VLAN管理

第1节 VLAN概述
第2节 VLAN在网络管理中的应用
第3节 VLAN的的实现方法 第4节 链路类型及管理方法 第5节 VTP的应用管理和配置 第6节 VLAN及VTP的综合实验
第1节 VLAN概述
1.1 VLAN的概念及产生
原因
1.2 VLAN的划分方法
VLAN的概念
• VLAN（Virtual Local Area Network的中文 名为虚拟局域网）是在一个物理网络上划 分出来的逻辑网络，为解决以太网的广播 问题和安全性而提出的一种协议，它在以 太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同 工作组间的用户互访，每个工作组就是一 个虚拟局域网。虚拟局域网的好处是可以 限制广播范围，并能够形成虚拟工作组， 动态管理网络。
VLAN在网络管理中的作用
2.2 利用VLAN提高网络整体的安全性：
◆共享式局域网之所以很难保证网络的安全性，是因为只要用户接
入一个活动端口，就能访问网络。而VLAN能够限制个别用户的访 问，控制广播域的大小和位置，甚至能够锁定某台设备的MAC地址， 因此VLAN能够确保网络的安全性 ◆通过VLAN访问控制列表等规则，我们可以控制用户访问权限和逻 辑网段大小，将不同用户群划分在不同VLAN中，从而提高交换式 网络的整体性能和安全性
VLAN的产生原因－广播风暴
广播域
……
通过路由器将网络分段
广播域
广播域
……
通过VLAN划分广播域
Port 1 : VLAN-1 Port 2 : VLAN-2
广播域
广Leabharlann Baidu域
……
VLAN的优点
• 相对与传统的LAN技术，VLAN具有如下优点： • 1. 广播风暴防范 • 限制网络上的广播，将网络划分为多个VLAN可减少参 与广播风暴的设备数量。LAN分段可以防止广播风暴 波及整个网络。VLAN可以提供建立防火墙的机制，防 止交换网络的过量广播。使用VLAN，可以将某个交换 端口或用户赋于某一个特定的VLAN组，该VLAN组可 以在一个交换网中或跨接多个交换机，在一个VLAN中 的广播不会送到VLAN之外。同样，相邻的端口不会收 到其他VLAN产生的广 播。这样可以减少广播流量， 释放带宽给用户应用，减少广播的产生。
静态VLAN
• 静态VLAN优点：定义VLAN成员时很简单， 只需要将相应的端口指定所属的VLAN即可。 • 静态VLAN缺点：如果某个用户离开了原来 的交换机端口，到一个新的交换机的某个 端口，那么就必须重新定义。
3.2什么是动态VLAN
• 动态VLAN。动态VLAN的实现方法有多种，目前最普遍的 实现方法是基于MAC地址的动态VLAN。基于MAC地址的 动态VLAN需要一台VMPS（VLAN Membership Policy Server）VLAN 管理策略服务器,VMPS可以是一台具有该 功能的交换机（如Catalyst 5000 交换机）或是一台外部 服务器，VMPS中维护着MAC地址与VLAN的对应关系表。 另外，需要把交换机的端口设置为支持动态VLAN属性的 端口。当交换机的支持动态VLAN的端口收到数据帧时， 通过使用该数据帧的源MAC地址查询VMPS，从而建立起 端口与VLAN的对应关系。一个动态使用该数据帧的源 MAC地址查询VMPS，从而建立起端口与VLAN的对应关 系。一个动态的端口在某一时刻只能属于一个VLAN，属 于同一VLAN的多个主机可以连接在交换机的同一个端口 上
• 7. 增加了网络连接的灵活性。 借助VLAN技术，能将不同地点、不同网 络、不同用户组合在一起，形成一个虚拟 的网络环境，就像使用本地LAN一样方便、 灵活、有效。VLAN可以降低移动或变更工 作站地理位置的管 理费用，特别是一些业 务情况有经常性变动的公司使用了VLAN后， 这部分管理费用大大降低。
VLAN的划分方法—基于协议的 VLAN
VLAN表
协议类 所属 VLAN 型
IPX协议 VLAN5 IP协议 VLAN1 0 …… ……
主机A 主机B
主机C 主机D
4.基于协议划分VLAN
• 基于子网划分VLAN就是根据IP子网把某个 子网划分到某个VLAN中
VLAN的划分方法—基于子网的 VLAN
制在一个VLAN内部。划分VLAN后，由于广播域的缩小，网络中广 播包消耗带宽所占的比例大大降低，网络的性能得到显著提高。 不同的VLAN之间的数据传输是通过第三层（网络层）的路由功能 来实现的。
• 所谓广播风暴，简单的讲，当广播数据充 斥网络无法处理，并占用大量网络带宽， 导致正常业务不能运行，甚至彻底瘫痪， 这就发生了“广播风暴”。一个数据帧或 包被传输到本地网段 (由广播域定义)上的每 个节点就是广播；由于网络拓扑的设计和 连接问题，或其他原因导致广播在网段内 大量复制，传播数据帧，导致网络性能下 降，甚至网络瘫痪，这就是广播风暴。
VLAN管理
课程制作：盛夏的轨迹
VLAN的产生为传统的LAN网络注入了新 的活力，引起了LAN应用的一场变革。 本课程介绍了在交换机中怎样实现VLAN， 详细描述了VLAN数据帧在交换机与交换 机之间传递过程中的变化情况，VLAN的 动态配置。
学习完此课程，您将会： – 描述VLAN的功能与定义 – 描述VLAN的划分与实现方 法 – 描述VLAN的配置 – 描述VLAN间路由的原理与 实现 – 描述VTP的基本配置和管理 _VLAN综合应用实验
第3节 VLAN的实现方法
3.1 什么是静态VLAN 3.2 什么是动态VLAN
3.1什么是静态VLAN
• 静态 VLAN 是基于端口划分的VLAN，它的 实现方式也是现在最常见的。在基于端口 的VLAN中。端口到VLAN的映射是手工一 一配置的，指定了哪些端口与特定的VLAN 相关联。这就直接在每个交换机上实现了 端口和VLAN的映射。这种端口和VLAN的 映射只有本地有效的，交换机之间不共享 这一信息。
VLAN在网络管理中的作用
利用VLAN方便网络管理： • 网络管理员能够借助于VLAN技术轻松管理整个网络。 对于交换式以太网，如果要对某些用户重新进行网段 分配（如从一个IP地址范围移动到另一个IP地址范 围），需要对网络系统的物理结构重新进行调整，甚 至需要追加网络设备，增大了网络管理的工作量。 • 而对于采用VLAN技术的网络来说，一个VLAN可以根据 部门职能、对象组或者应用将不同地理位置的网络用 户划分为一个逻辑网段。在不改动网络物理连接的情 况下可以任意地将工作站在工作组或子网之间移动。 利用VLAN技术，大大减轻了网络管理和维护工作的负 担，降低了网络维护费用。
• 这种划分VLAN的方法是根据每个主机的 MAC地址来划分，即对每个MAC地址的主机都配 置它属于哪个组。这种划分VLAN方法的最大优点 就是当用户物理位置移动时，即从一个交换机换 到其他的交换机时，VLAN不用重新配置，所以， 可以认为这种根据MAC地址的划分方法是基于用 户的VLAN，这种方法的缺点是初始化时，所有的 用户都必须进行配置，如果有几百个甚至上千个 用户的话，配置是非常累的。而且这种划分的方 法也导致了交换机执行效率的降低，因为在每一 个交换机的端口都可能存在很多个VLAN组的成员， 这样就无法限制广播包了。另外，对于使用笔记 本电脑的用户来说，他们的网卡可能经常更换， 这样，VLAN就必须不停地配置。
IP网络 所属 VLAN
主机A 主机B
主机C 主机D
IP VLAN5 1.1.1.0/ 24 IP VLAN10 1.1.2.0/ 24 …… ……
小结
• VLAN的优点？ • VLAN的划分方 法？
VLAN的优点
• 相对与传统的LAN技术，VLAN具有 如下优势：
– 隔离广播域，抑制广播报文. – 减少移动和改变的代价 – 创建虚拟工作组，超越传统网络的工 作方式 – 增强通讯的安全性 – 增强网络的健壮性
VLAN的划分方法— 基于MAC地 址的VLAN
VLAN表
MAC地 址
MAC A MAC B MAC C MAC D
所属 VLAN
VLAN5 VLAN10 VLAN5 VLAN10
主机A 主机B
主机C 主机D
• 3.根据网络层划分VLAN
• 这种划分VLAN的方法是根据每个主机的网络层地址 或协议类型(如果支持多协议)划分的，虽然这种划分方法 是根据网络地址，比如IP地址，但它不是路由，与网络层 的路由毫无关系。 • 这种方法的优点是用户的物理位置改变了，不需要重 新配置所属的VLAN，而且可以根据协议类型来划分VLAN， 这对网络管理者来说很重要，还有，这种方法不需要附加 的帧标签来识别VLAN，这样可以减少网络的通信量。 • 这种方法的缺点是效率低，因为检查每一个数据包的 网络层地址是需要消耗处理时间的(相对于前面两种方法)， 一般的交换机芯片都可以自动检查网络上数据包的以太网 帧头，但要让芯片能检查IP帧头，需要更高的技术，同时 也更费时。当然，这与各个厂商的实现方法有关。
VLAN划分方法
• • • • 基于端口的划分 基于MAC地址的划分 基于协议的划分 基于子网的划分
第2节 VLAN在网络管理中
的应用
2.1 利用VLAN控制广播
风暴 2.2 利用VLAN提高网络
整体的安全性
2.3 利用VLAN方便网络 管理
VLAN在网络管理中的作用
2.1利用VLAN控制广播风暴： ◆VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控
动态VLAN
• 动态VLAN优点：网络管理员只需要维护相应的数 据库即可，而不用关心用户使用哪个端口，当用 户物理位置移动（例如，当从一个交换机到另一 个交换机）时，VLAN不用重新配置，所以可认为 这种根据MAC地质的划分是基于用户的VLAN。 • 动态VLAN缺点：在初始化时，必须对所有用户进 行配置，如果有几百甚至上千个用户，那么这个 配置非常麻烦。而且这种划分也导致交换机效率 的降低，因为在每个交换机端口都可能存在很多 个VLAN组成员，这样无法限制广播包。
• 2. 安全 增强局域网的安全性，含有敏感数据的 用户组可与网络的其余部分隔离，从而降 低泄露机密信息的可能性。不同VLAN内的 报文在传输时是相互隔离的，即一个VLAN 内的用户不能和其它VLAN内的用户直接通 信，如果不同VLAN要进行通信，则需要通 过路由器或三层交换机等三层设备。
• 3.成本降低 • 成本高昂的网络升级需求减少，现有带宽和上行链路 的利用率更高，因此可节约成本。 • 4.性能提高 • 将第二层平面网络划分为多个逻辑工作组（广播域） 可以减少网络上不必要的流量并提高性能。 • 5.提高IT员工效率 • VLAN为网络管理带来了方便，因为有相似网络需求 的用户将共享同一个VLAN。 • 6.简化项目管理或应用管理 • VLAN 将用户和网络设备聚合到一起，以支持商业需 求或地域上的需求。通过职能划分，项目管理或特殊应用 的处理都变得十分方便，例如可以轻松管理教师的电子教 学开发平台。此外，也很容易确定升级网络服务的影响范 围。
VLAN的划分方法—基于端口的 VLAN
VLAN表
端口
Port 1 Port 10 Port 2 Port 7
所属 VLAN
VLAN5 VLAN10 …… VLAN5 …… VLAN10
主机A 主机B
主机C 主机D
Port1 Port2 …… Port7 …… Port10
• 2.根据MAC地址划分VLAN
第1节 VLAN概述
1.1 VLAN的产生原因 1.2 VLAN的划分方法
• 1.根据端口来划分VLAN
• 许多VLAN厂商都利用交换机的端口来划分 VLAN成员。被设定的端口都在同一个广播域中。 例如，一个交换机的1，2，3，4，5端口被定义 为虚拟网AAA，同一交换机的6，7，8端口组成 虚拟网BBB。这样做允许各端口之间的通讯，并 允许共享型网络的升级。但是，这种划分模式将 虚拟网限制在了一台交换机上。 • 第二代端口VLAN技术允许跨越多个交换机的 多个不同端口划分VLAN，不同交换机上的若干个 端口可以组成同一个虚拟网。 • 以交换机端口来划分网络成员，其配置过程 简单明了。因此，从目前来看，这种根据端口来 划分VLAN的方式仍然是最常用的一种方式。