VLAN 技术分析合集 及配置

VLAN 之间的访问控制
路由器通过以太网的子口建立与下连交换机TRUNK口相连。

要求管理VLAN可以访问其它业务VLAN、办公VLAN、财务VLAN、家庭网VLAN，但是其它VLAN不可以访问管理VLAN。

下面把路由器上的配置附上：
ip access-list extended infilter
evaluate mppacket
deny ip 10.54.16.0 0.0.0.255 10.54.17.0 0.0.0.255
deny ip 10.54.16.0 0.0.0.255 10.54.18.0 0.0.0.255
deny ip 10.54.16.0 0.0.0.255 10.54.19.0 0.0.0.255
deny ip 10.54.16.0 0.0.0.255 10.54.31.0 0.0.0.255
deny ip 10.54.17.0 0.0.0.255 10.54.16.0 0.0.0.255
deny ip 10.54.17.0 0.0.0.255 10.54.18.0 0.0.0.255
deny ip 10.54.17.0 0.0.0.255 10.54.19.0 0.0.0.255
deny ip 10.54.17.0 0.0.0.255 10.54.31.0 0.0.0.255
deny ip 10.54.18.0 0.0.0.255 10.54.16.0 0.0.0.255
deny ip 10.54.18.0 0.0.0.255 10.54.17.0 0.0.0.255
deny ip 10.54.18.0 0.0.0.255 10.54.19.0 0.0.0.255
deny ip 10.54.18.0 0.0.0.255 10.54.31.0 0.0.0.255
deny ip 10.54.19.0 0.0.0.255 10.54.16.0 0.0.0.255
deny ip 10.54.19.0 0.0.0.255 10.54.17.0 0.0.0.255
deny ip 10.54.19.0 0.0.0.255 10.54.18.0 0.0.0.255
deny ip 10.54.19.0 0.0.0.255 10.54.31.0 0.0.0.255
permit ip any any
exit
ip access-list extended outfilter
permit ip any any reflect mppacket
exit
interface fastethernet0
ip address 10.255.49.2 255.255.255.252
exit
interface fastethernet1
exit
interface fastethernet1.1
description Guanli
ip address 10.54.31.254 255.255.255.0
encapsulation dot1q 1
exit
interface fastethernet1.2
description Yewu
ip address 10.54.17.254 255.255.255.0
encapsulation dot1q 2
ip access-group outfilter out
ip access-group infilter in
exit
interface fastethernet1.3
description Bangong
ip address 10.54.16.254 255.255.255.0
encapsulation dot1q 3
ip access-group outfilter out
ip access-group infilter in
exit
interface fastethernet1.4
description Caiwu
ip address 10.54.18.254 255.255.255.0
encapsulation dot1q 4
ip access-group outfilter out
ip access-group infilter in
exit
interface fastethernet1.5
description Jiating
ip address 10.54.19.254 255.255.255.0
encapsulation dot1q 5
ip access-group outfilter out
ip access-group infilter in
exit
ip route 0.0.0.0 0.0.0.0 10.255.49.1
VLAN技术实例之旁门左道
某局域网的IP地址主要通过DHCP来分配，各VLAN的PC都使用位于VLAN1的一台DHCP服务器来获取IP地址和网关等参数。

管理员发现在该网络中存在一个奇怪的现象，就是有一些机器有的时候获得的不是本VLAN的IP地址，而是别的VLAN的地址，更奇怪的是，使用别的VLAN的地址也能正常通讯！这怎么可能呢？
经过观察，管理员终于跟踪到一个具体的表现。

一台PC连接在交换机3548-03的F0/37端口，该端口属于VLAN1，但当前获得的是VLAN4的IP地址：192.168.4.111，它与其它网段互通没有问题。

在DOS窗口中输入命令ipconfig /all可以查看到PC的MAC地址00-d0-b7-19-06-fa。

在3548-03交换机上使用命令：show mac-address-table dynamic interface f 0/37, 没错该PC是连接在这个端口上：
Non-static Address Table:
Destination Address Address Type VLAN Destination Port
------------------- ------------ ---- -----------------
00d0.b719.06fa Dynamic 1 FastEthernet0/37
在核心交换机6509的路由模块MSFC上ping 192.168.4.111，通的，show arp | in 192.168.4.111观察ARP记录，正确无误；从别的网段ping 和tracert 该地址，通的；使用工具扫描，分析结果可以确定地址192.168.4.111的确是那台PC。

这样说来，很可能是VLAN 1和VLAN 4在网络的某个地方被连通了。

假设是这样，怎么才能找出这个错误的连接点呢？
既然该PC使用VLAN 1 或VLAN 4的IP地址都可以与别的网段连通，那么它和位于MSFC上的网关通讯肯定是正常的。

由于MSFC的唯一邻接的二层设备就是6509的交换引擎，所以引擎的MAC地址表中无论是VLAN 1 或VLAN 4都应该有该工作站的MAC地址记录。

使用命令show camp 看到如下结果：
6509_se> (enable) show cam 00-d0-b7-19-06-fa
* = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry.
X = Port Security Entry $ = Dot1x Security Entry
VLAN Dest MAC/Route Des [CoS] Destination Ports or VCs / [Protocol Type]
---- ------------------ ----- -------------------------------------------
1 00-d0-b7-19-06-fa 3/
2 [ALL]
4 00-d0-b7-19-06-fa 3/1 [ALL]
好了，胜利在望。

端口3/2 连接的是3548-03交换机，正确的，MAC地址出现在VLAN 1中，也是正确的; 端口3/1连接的是另一台交换机3548-01, 何以它会报告该MAC地址出现在VLAN 4中呢？
登录3548-01交换机，使用show cdp nei 得到如下输出：
设备名称本地端口设备型号远端端口
3548-01 Fas 0/33 127 T S WS-C3548-XFas 0/38
3548-01 Fas 0/38 127 T S WS-C3548-XFas 0/33
可以看到，设备出现在自已的cdp nei 表中，说明端口f0/33和f0/38可能通过交叉线或HUB之类的设备相连形成了环路；通过命令show vlan 可以发现，f0/33端口属于VLAN 1, 而f0/38端口则属于VLAN 4，问题至此水落石出。

如果端口f0/33和f0/38都属于VLAN 1，且允许了spantree portfast 特性，那就很可能会引起生成树的环路。

现象为网络时通时断，MSFC的MAC地址在正确的端口(15/1或16/1)和出问题的交换机端口之间flapping。

技术观点：谈谈VLAN的设计与应用(图)
VLAN相互受影响
根据VLAN的定义和技术规范，VLAN不是由独享的物理设备和物理链路搭建的物理子网或网段，VLAN与实实在在的物理子网的本质区别在于，VLAN之间要共享物理设备和物理链路，因此，VLAN间就会通过所共享的设备和链路相互影响。

这种影响是如何产生的呢?VLAN是通过将一个物理拓扑中的两个或多个节点通过逻辑组合而形成的，要想实现这种逻辑的组合就必须使用支持VLAN的交换设备，但真正提供VLAN功能的是这些设备内部的软件。

也就是说，VLAN所构造的子网(广播域)是软件实现的，而不是由网络拓扑所决定的。

网络拓扑仅对由软件所建立的VLAN有所限制。

知道了VLAN的工作原理，就不难解释VLAN间的影响了，同一交换机上的不同VLAN要共享交换机、要争夺交换机的CPU和背板资源。

VLAN对交换机和链路的共享可分为两种类型:一种是“广播共享”，即VLAN划定的广播域贯穿共享设备和链路(如图1所示)，换句话说广播共享是二层的共享。

另一种我们称之为“路由共享”，也可以说是三层共享，在这种类型的共享中，不同VLAN的数据
包是以路由(三层交换)方式穿过交换机的(如图2中虚线所示)，通过的包基本上不含有一般的广播包(DHCP和特殊协议的广播除外)。

VLAN在“广播共享”网络资源时的相互影响要比“路由共享”时更大。

从图1可清楚地看出所共享的网络资源(交换机和链路)。

在正常情况下，VLAN间的这种影响不被我们所注意，原因是共享的交换机有足够的交换能力，链路不是很拥挤，但在某一VLAN出现异常时(如感染病毒或出现环路)情况就不同了。

这时被感染VLAN(如VLAN1)中的大量数据帧将挤占该VLAN所及的所有交换机的CPU资源、背板带宽，并长时间占用物理链路，其他VLAN(如VLAN2)中的设备尽管“看”不到出现异常VLAN中的数据帧，但其所依赖的网络资源已被用尽，因此，VLAN1所覆盖的网络区域就会出现异常。

如果故障点发生在核心交换机附近，那么整个网络就有可能瘫痪。

这在各网络拓扑层交换机的性能相差不多的情况下尤为严重。

三层共享有作用
由VLAN的性质所决定，完全消除VLAN间的链路和设备的共享在理论上是不可能的。

我们所做的努力只能尽量减少相互影响的范围、降低相互影响的程度。

如何做到这一点呢?在实践中我们总结出如下原则:1)应尽量避免在同一交换机中配置多个VLAN;2)不同物理位置上的交换机上的端口尽量不要划归到同一个VLAN。

前者较好理解，也容易实现，我们重点讨论后者，即如何做到VLAN不跨越核心交换机和拓扑结构的“层”。

从图1可以看出，由于VLAN1(VLAN2也是这样)的范围跨越了整个网络，如果把所有VLAN的覆盖面都限定在核心交换机的同一侧，这些资源被共享的程度不就减轻了吗?按此想法我们可以将图1所示的网络改变为图2所示的结构。

由于在这种结构中不存在跨越核心交换机的虚网，因此各VLAN的广播包就不会穿过核心交换机，但这些广播包却均能到达核心交换机，同时核心交换机上还会有ACL允许的VLAN间的正常数据流(如图2中的虚线所示)通过。

很显然，这时的核心交换机既阻挡了各VLAN的广播包，又转发了VLAN间的正常数据流，其被共享的形式由“广播式”变成了“路由式”，受VLAN影响的程度变小。

有人可能会说，把核心交换机从二层提到了三层，性能会下降。

这种说法无疑是正确的，但这点性能的降低对于当今的三层交换机所能提供的性能来说已经算不得什么了。

从图2还可以看出，尽管受单个VLAN影响的程度和范围均变小，但共享链路的长度和强度并没有本质的变化。

三层结构最有效
细心的读者可能还会发现，图2所示网络中的VLAN没有体现VLAN技术的原始目的——不同物理位置上的计算机能像在同一物理网中一样相互访问。

这个问题正是本文涉及的核心问题，也是针对规划、部署VLAN提出的新观点:在网络中，特别是较大型网络，不要企图利用VLAN去实现不同物理位置上计算机的互联互通，互通性要由路由策略去实现。

这在以往会有些问题，但网络技术发展到今天，交换机与路由器间的差别变得越来越小，原来用二层实现的方法很多都能够用三层技术所代替。

用三层技术代替二层的功能有很多优点，主要表现在:结构更加清晰、控制更加丰富、扩展更加灵活、网络更加稳定、实现更加容易。

继续分析图2中所存在的问题不难看出，尽管核心交换机被共享的形式改变了，但仍存在受到各VLAN出现异常情况的影响。

要想避免核心交换机受到各个VLAN的影响、减小影响范围、避免全网瘫痪的发生，很容易想到在核心交换机和划有VLAN的交换机之间加上一层，以隔离核心交换机和各个VLAN。

这时就形成了目前较为流行的三层拓扑结构的网络，如图3所示。

在三层网络结构中，汇聚层与核心层之间的区域不再有VLAN，汇聚层交换机的VLAN也仅限于部分端口，这时汇聚层交换机成为被“路由共享”的交换机，而且这种“路由共享”比图2的情况更弱。

如果使汇聚层交换机的性能远高于接入层的交换机，那么由VLAN的广播(多由病毒引起)所引起的整网瘫痪问题就基本解决了。

任何方案都具有利的一面和不利的一面，三层拓扑结构的网络也会带来一些问题:1)利用一般的手段较难实现对各个VLAN进行集中式的远程管理，对于这个问题的解决方案可充分利用网管软件。

2)由于VLAN数量的增多、路由协议等技术的引入，此时的网络会比二层平面交换网络要复杂，对网络技术人员的要求更高，管理维护成本会有所增加。

这两点是大型网络管理本身的要求，大型网络的管理不可能不使用网络管理工具，技术人员的缺乏更是各个企业都面临的问题，对此有的专家提出了“IT 物业”的理念，也许这就是将来解决这个问题的最终方案。

创新使用虚拟局域网
VLAN以不同的用途部署在企业网络中，这些用途包括网络安全认证、使无线客户机可以在802.11b接入点之间漫游、隔离IP语音传输流以及一种在混合协议网络上容纳遗留协议传输流的方法。

VLAN是在差不多六年前推出的，其中的大多数VLAN是基于IEEE 802.1Q和802.1p 标准的。

802.1Q规范建立了一种标准的将VLAN成员信息插入到以太网帧中的方式。

而802.1p是使第二层交换机能够为传输流提供优先级和执行动态多播过滤的规范。

当VLAN首次推出时，被视为一种简化地址管理的途径，它使IT部门在网络上任何位置部署服务器和PC，然后将这些设备虚拟地连接在一起组成设备组。

运行在大多数管理网络设备上的软件可以被用来将PC媒介访问控制地址(MAC)与VLAN建立关系，使客户机在从一个端口转移到另一端口时，可以自动地连接到网络上。

当第三层交换机的出现时，观察家说，VLAN技术将变得过时，因为子网之间的线速度路由将使用户可以更加容易地控制网络广播传输流。

此外，DHCP在IP网络上普遍地应用解决了用户移动性的问题。

但是，据IDC说，由于第三层交换机只在全球以太网交换机端口安装基础中占6%，因此，VLAN仍在网络专业人员中得到广泛的使用。

用户也出于网络管理之外的理由在他们的网络中使用802.1Q技术。

无线局域网
当Wi-Fi加入到局域网阵营后，管理漫游客户机变得很棘手。

网管人员可以将无线传输流隔离到一个VLAN中，保证没有人在从一个接入点转移到另一个接入点时脱离网络。

利用VLAN管理遗留协议
VLAN是可以为一些企业中尚存在的一些老的应用提供特殊协议服务，方便网络管理人员管理网络，不必为这些老家伙建立独立的物理网络。

在国外的一家医院的应用中，他们仍在使用Digital V AX小型机处理运行在遗留DECnet 协议上的定制医疗数据库，同时还在使用Novell NetWare 4.11服务器。

Novell服务器和用户，以及DECnet建立独立的VLAN，使得基于IP和Windows NT/2000服务器的大部分网络避免被IPX和DECnet传输流所压垮。

将V oIP传输流隔离到不同的VLAN中也已经成为3Com、Cisco、Alcatel、Nortel和Avaya 等IP电话厂商的标准建议。

所有这些厂商都在自己的交换机和IP PBX设备上支持802.1Q 技术，使IP语音流被隔离到自己的VLAN上。

厂商和用户说，作为一种为故障检测而隔离语音流的手段，将语音保持在它自己的虚拟网段上很有用。

它还可以保证在一个网络的很多网段上发生广播风暴或大型文件下载时，语音质量不会降低。

VLAN的优缺点
巩固私有VLAN和VLAN访问控制列表的网络
前言
其中一个关键要素到建立一个成功的网络安全设计是识别和强制执行一个适当信任模式。

适当信任模式定义了谁需要谈与谁并且什么样的数据流需要被交换; 应该否决其他数据流。

一旦适当信任模式被识别，然后安全设计员应该决定如何强制执行型号。

因为重要资源是全局可用的并且网络攻击的新的表演
变，网络安全基础设施倾向于变得更加复杂，并且更多产品是可用的。

防火墙、路由器、LAN交换机、入侵检测系统、AAA服务器和VPN是可帮助强制执行型号的某些技术和产品。

当然，每一个这些产品和技术在整体安全实施之内扮演一个特定的角色，并且了解设计员是重要的这些元素如何可以配置。

使用的组件
本文不限于特定软件和硬件版本。

背景信息
识别和强制执行一个适当信任模式似乎是一项非常基本任务，但在几年支持的安全实施之后，我们的经验表明安全事件经常与恶劣的安全设计有关。

通常这些设计差是不强制执行一个适当信任模式的一个直接后果，有时因为什么是公正必要的没有了解，其他次正因为充分地没有了解也没有误用介入的技术。

本文详细解释如何二个功能可用在我们的Catalyst交换机，专用VLAN (PVLANs)并且VLAN 访问控制表 (VACLs)，在两可帮助保证适当信任模型企业并且服务提供商环境。

强制执行适当信任模式的重要性
不强制执行适当信任模型的一个立即后果是整体安全实施变得较不对免疫有恶意的活动。

非敏感区域(DMZs)普通是被实施没有强制执行正确的制度因而实现一个潜在入侵者的活动。

此部分分析DMZs经常如何是被实施和设计差的后果。

我们以后将解释如何缓和，或者在最佳的案件避免，这些后果。

通常，DMZ服务器只应该处理流入请求从互联网和最终首次与一些后端服务器的连接位于里面或其他DMZ 分段，例如数据库服务器。

同时，DMZ服务器不应该彼此谈或首次与外界的任何连接。

这在一个简单信任型号清楚地定义了必要的数据流; 然而，我们经常看型号不足够被强制执行的这种。

设计员通常倾向于使用一个共用段实现DMZs为所有服务器没有对数据流的任何控制他们之间。

例如，所有服务器位于普通的VLAN。

因为什么都在同样VLAN之内不控制数据流，如果其中一个服务器被攻陷然后在同一个分段可以使用同一个服务器来源攻击对任何服务器和主机。

这清楚地实现展开端口重定向或应用层攻击的一个潜在入侵者的活动。

一般，只用于防火墙和信息包过滤器控制流入的连接，但是什么都通常没有完成从DMZ限制被发起的连接。

一些时间前有允许入侵者通过发送HTTP流开始X 终端仿真程序会话的cgi-bi脚本的一个着名的弱点; 这是应该由防火墙允许的数据流。

如果入侵者足够幸运，他或她可能使用另一种款待得到根提示，典型地缓冲溢出攻击。

这类问题可以通过强制执行一个适当信任模式避免的大多时代。

首先，服务器不应该彼此谈，并且不应该于这些服务器其次发起连接与外界。

同样备注适用于许多其他方案，去从所有正常不信任的分段至小型服务器
站在应用程序服务提供商。

PVLANs和VACLs在Catalyst 交换机可帮助保证一个适当信任模式。

PVLANs 将通过限制主机的之间数据流帮助在一个共用段，而VACLs将通过提供对产生或被注定的所有数据流的进一步控制贡献给一个特定段。

这些功能在以下部分讨论。

专用VLAN
PVLANs是可用的在运行CatcOs 5.4或以上，在 Catalyst 4000的Catalyst 6000，2980G、2980G-A、运行 CatcOs 6.2或以上的2948G和4912G。

从我们的透视图，PVLANs是准许分离数据流在把广播分段的变成第二层的一个工具(L2)一个非广播multi-access-like分段。

交易在所有端口来自到交换机一个混乱端口(即是能转发主要和辅助 VLAN)能出去属于同样主VLAN的端口。

交易(它可以是查出，属性或者走向交换机自端口被映射对辅助VLAN 的双向属性VLAN)可以转发到属于同一属性VLAN 的一个混乱端口或端口。

多个端口映射对同样隔离VLAN不能交换任何数据流。

以下镜象显示概念。

图1：专用VLAN
主VLAN在蓝色表示; 辅助VLAN在红色和黄色表示。

Host-1连接到属于辅助VLAN红色交换机的端口。

Host-2连接到属于辅助 VLAN 黄色交换机的端口。

当主机传输时，数据流运载辅助VLAN。

例如，当时Host-2传输，其数据
流在VLAN 黄色去。

当那些主机接受时，数据流来自VLAN 蓝色，是主VLAN。

路由器和防火墙其中连接的端口是混乱端口因为在映射能转发数据流来自每个辅助 VLAN定义的那些端口并且主VLAN。

端口连接到每主机能只转发来自主VLAN和辅助VLAN 的数据流配置在该端口。

图画表示专用VLAN作为连接路由器和主机的不同的管道：包所有其他的管道是主VLAN (蓝色)和数据流在VLAN蓝色从路由器流到主机。

管道内部对主VLAN是辅助VLAN，并且移动在那些管道的数据流是从主机往路由器。

当镜象显示，主VLAN能包一个或更多辅助VLAN。

及早在本文我们说PVLANs 帮助在一个共用段之内通过简单保证主机的离
析强制执行适当信任模式。

即然我们知道更多专用VLAN ，让我们看见这在我们最初的DMZ方案如何可以实现。

服务器不应该彼此谈，但是他们还是需要与他们被联系的防火墙或路由器谈。

在这种情况下，当应该附有路由器和防火墙混乱端口时，应该连接服务器到隔离的端口。

通过执行此，如果其中一个服务器被攻陷，入侵者不会能使用同一个服务器来源攻击到另一个服务器在同一个分段之内。

交换机将投下所有信息包以线速，没有任何影响性能。

另一个注意事项是这种控制可以只是被实施在L2设备因为所有切断属于相同子网。

没什么每防火墙或路由器能执行因为切断将设法直接地沟通。

另一个选项是投入一个防火墙端口每个服务器，但这是可能太消耗大，难实现和不扩展。

在一个后面的章节，我们详细描述您能使用此功能的一些其他典型的方案。

VLAN访问控制表
VACLs是可用的在运行 CatcOs 5.3或以后的Catalyst 6000系列。

VACLs在一台Catalyst 6500可以配置在L2 没有需要对于路由器(您只需要Policy Feature Card (PFC))。

他们在配置VACLs被强制执行以线速那么那里是没有影响性能在 Catalyst 6500。

因为VACLs查找在硬件执行不管访问控制列表的大小，转发速率保持不变。

VACLs可以分开被映射对主要或备用VLAN 。

有在辅助VLAN配置的VACL准许过滤主机产生的数据流没有涉及路由器或防火墙生成的数据流。

通过结合 VACLs和专用VLAN它是可能的对根据流量方向的过滤流量。

例如，如果二个路由器连接到分段和一些主机(例如服务器一样)， VACLs在辅助VLAN可以配置以便主机生成的仅数据流被过滤当数据流被交换在路由器之间
是未触动过的时。

VACLs可以容易地配置强制执行适当信任模式。

请分析我们的DMZ案件。

服务器在DMZ应该服务仅流入的连接，并且他们没有预计首次与外界的连接。

VACL可以适用于他们的辅助VLAN为了控制离开这些服务器的数据流。

注意到是关键的，当时使用VACLs ，数据流在硬件降低那么那里是对路由器的CPU的没有影响亦不交换机。

在案件一个服务器在分布拒绝服务（DDos）攻击涉及作为来源，交换机将降低所有非法数据流以线速，没有任何影响性能。

相似的过滤器在服务器在哪里连接到的路由器或防火墙可以被应用，但这通常有严重性能指示。

VACLs 和PVLANs的已知限制
当配置过滤用VACLs时，您在PFC应该小心关于片段处理，根据硬件的规格，并且那配置被调整。

假使 Catalyst 6500的Supervisor 1的PFC的硬件设计，明确地拒绝icmp 片段最好的。

原因是互联网控制信息协议(ICMP)片段和ECHO 回复由硬件认为同样，默认情况下并且硬件被编程明确地允许片段。

如此如果想要从离开服务器终止回应数据包，您必须用线路deny icmp any any fragment 明确配置此。

配置在本文考虑到此。

有一个着名的安全限制对 PVLANs，是可能性路由器转发数据流来自的取消相同子网。

路由器能发送数据流横跨阻挠目的对于PVLANs的隔离的端口。

此限制归结于事实PVLANs是提供隔离在L2的工具，不在第三层(L3) 。

有修正到此问题，通过在主VLAN配置的VACLs达到。

案例分析提供在主VLAN需要配置到下落数据流产生由相同子网和路由回到相同子网的VACLs。

在一些线路卡，PVLAN映射/映射/中继端口的配置是受多个PVLAN映射其中必须属于不同的端口专用集成电路的一些限制支配(ASIC)为了获得配置。

那些限制在新的端口ASIC Coil3 被去除。

参见软件配置的最新的 Catalyst 交换机文档的这些详细资料。

示例分析
以下部分描述三个案例分析，我们相信是多数实施代表并且给予详细资料与PVLANs 和 VACLs的安全部署有关。

这些方案是：
转接DMZ
外部DMZ
与防火墙并联的VPN集中器
转接DMZ
这是其中一个最普通配置的方案。

在本例中，DMZ实现一个转换区域在二
个防火墙路由器之间如下图所示的。

图2：转接 DMZ
在本例中，DMZ服务器应该由外部获取并且内部用户，但他们不需要与彼此联络。

在某些情况下，DMZ服务器需要打开与一台内部主机的连接。

同时，内部客户端应该访问
VLAN中的VTP和STP-ISL
L3，L4交换已经非常成熟。

Internet中也越来越广泛地应用了交换技术，全交换网络已经非常普遍。

在这些网络中，VLAN的使用是必不可少的。

1．VLAN（Virtual LANs）的描述
VLAN是一个根据作用、计划组、应用等进行逻辑划分的交换式网络。

与用户的物理位置没有关系。

举个例子来说，几个终端可能被组成一个部分，可能包括工程师或财务人员。

当终端的实际物理位置比较相近，可以组成一个局域网（LAN）。

如果他们在不同的建筑物中，就可以通过VLAN将他们聚合在一起。

同一个VLAN中的端口可以接受VLAN中的广播包。

但别的VLAN中的端口却接受不到。

VLAN提供以下一些特性
* 简化了终端的删除、增加、改动
当一个终端从物理上移动到一个新的位置，它的特征可以从网络管理工作站通过SNMP 或用户界面菜单中重新定义。

而对于仅在同一个VLAN中移动的终端来说，它会保持以前定义的特征。

在不同VLAN中移动的终端来说，终端可以获得新的VLAN定义。

* 控制通讯活动
VLAN可以由相同或不同的交换机端口组成。

广播信息被限制在VLAN中。

这个特征限定了只在VLAN中的端口才有广播、多播通讯。

管理域（management domain）是一个仅有单一管理者的多个VLAN的集合。

* 工作组和网络安全
将网络划分不同的域可以增加安全性。

VLAN可以限制广播域的用户数。

控制VLAN 的大小和组成可以控制广播域的相应特性。

在VLAN中应用最广的就是VTP和STP技术。

它们是VLAN中优点的集中体现。

2．VTP（VLAN Trunking Protocol）
VTP通过网络保持VLAN配置统一性。

VTP在系统级管理增加，删除，调整的VLAN，自动地将信息向网络中其它的交换机广播。

此外，VTP减小了那些可能导致安全问题的配置。

* 当使用多重名字VLAN能变成交*--连接。

* 当它们是错误地映射在一个和其它局域网，VLAN能变成内部断开。

VTP模式
当交换机是在VTP Server或透明的模式，能在交换机配置VLAN。

当交换机配置在VTP Server或透明的模式，使用CLI、控制台菜单、MIB（当使用SNMP简单网络管理协议管理工作站）修改VLAN配置。

一个配置为VTP Server模式的交换机向邻近的交换机广播VLAN配置，通过它的Trunk 从邻近的交换机学习新的VLAN配置。

在Server模式下可以通过MIB，CLI，或者控制台模式添加、删除和修改VLAN。

例如：增加了一个VLAN，VTP将广播这个新的VLAN，Server和Client机的Trunk网络端口准备接收信息。

在交换机自动转到VTP的Client模式后，它会传送广播信息并从广播中学习新的信息。

但是，不能通过MIB、CLI、或者控制台来增加、删除、修改VLAN。

VTP Client端不能保持VLAN信息在非易失存储器中。

当启动时，它会通过Trunk网络端口接受广播信息，学习配置信息。

在VTP透明的模式，交换不做广播或从网络学习VLAN配置。

当一个交换机是在VTP 透明的模式，能通过控制台、CLI、MIB来修改、增加、删除VLAN。

为使每一个VLAN能够使用，必须使VTP知道。

并且包含在Trunk port 的准许列表中，一个快速以太网ISL Trunk自动为VLAN传输数据，并且从一个交换机到另一个交换机。