VLAN的划分与实现

VLAN的划分与实现
1.VLAN的概念
先来了解一下什么是VLAN。

VLAN（Virtual LAN）是“虚拟局域网”。

是一个可以跨不同网段，不同网络的逻辑网络。

既然是虚拟局域网他必然有局域网的特性，比如共享资源。

VLAN所指的LAN特指使用路由器或者交换机分割的网络，也就是广播域（广播域，指的是广播帧所能传递到的范围，亦即能够直接通信的范围）。

举个例子：一个学校分为A,B,C 三个系，各个系又有不同的职能部门，这三个系分别在三个不同的教学楼里面，学校要求各个不同系的部门之间要经常交流数据，共享资源。

这样需要把这三个系要交流的部门划分到一个VLAN里面。

这样就是一个典型的VLAN。

另外关于VLAN的标准：在1995年，Cisco公司提倡使用IEEE802.10协议。

在此之前，IEEE802.10曾经在全球范围内作为VLAN安全性的同一规范。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

802.1Q的出现打破了虚拟网依赖于单一厂商的僵局，从一个侧面推动了VLAN的迅速发展。

另外，来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。

2.为什么要用VLAN
运用VLAN可以做到：
（1）减少广播域的工作点。

，在一个VLAN内的广播包不会跑到别的VLAN 上去。

通过限制一个VLAN 上的设备数目，在一个VLAN 上的广播率便可受到控制。

一个正常的广播率应该平均每秒不超过30 个广播包（但通过网友的现场性能监测，建议广播不应该超出30 个/秒）。

（2）增强安全性。

因为虚拟局域网上各个子网上的广播不会扩散开这样就保证了数据的私有性和安全性。

（就像在一个物理局域网中，工作站少了出问题的可能性就比较小）即便是几十台机器的小型局域网，如果要保证数据的隔离安全，也可以尝试划分VLAN来实现。

当不同的VLAN间要互访信息的时候需要通过三层的交换机。

这样的话数据包容易被管理人员监视。

提高了网络的安全系数。

（3）方便网络设备的管理。

假定我们把所有的打印机都规划在一个子网上，而每一个打印机都必须在同一个广播域里。

这样等于需要在每一个楼层上，分别安装交换机。

这些交换机都需要光缆和铜缆的连接，而这些打印机子网都需要连接到自己的专用路由器端口上。

既然说到需要运用VLAN那么现在就有必要讨论一下VLAN的优点和缺点。

优点如下：
（1）能够简化网络管理，使得网络管理简单而且直观
（2）能够控制广播风暴
（3）能够提高网络的整体安全性
缺点如下：
（1）在使用MAC地址定义VLAN的技术中，必须进行初始配置。

而对大规模的网络进行初始化工作时，需要把成百上千的用户配置到某个虚拟局域网之中，因此，初始工作过于烦琐。

（2）当使用局域网交换机的端口划分VLAN成员的方法时，用户从一个交换机的端口移动到另一个端口时，网络管理员必须对VLAN的成员重新配置。

（3）需要专职的网络管理员和必要的专业技术支持，这样需要企业有一定的投入去维护VLAN.
使用VLAN的场合：
一般，在几十台以下计算机构成的小型局域网中，除非需要彼此的数据隔绝，否则没有必要划分虚拟局域网。

在几百台乃至上千台计算机构成的大中型局域网中，划分和建立虚拟局域网，应当说是十分必要的。

这是因为大型局域网产生广播风暴的可能性大大增加，而虚拟局域网技术能够有效地隔离广播风暴。

3.实现VLAN的划分需要哪些资源：
一般来说计算机的系统构成都需要软件和硬件。

VLAN也从这两个方面来说
软件：像其他系统一样，VLAN需要一个管理软件来实现它的维护。

硬件：需要一个支持VLAN功能的交换机。

4．VLAN的实现：
1.虚拟局域网实现的基本原则：
（1）考虑到交换机软件的兼容性，在整个局域网中应当尽量使用同一厂家的支持VLAN的交换机。

如果设备不兼容网络是无法正常运转的，风险太大。

所以一定要用兼容的。

（2）为了实现网络的统一管理，在可以使用交换机的场合尽量使用交换机，并且尽可能多地将计算机接入交换机的端口，而不是集线器或路由器的端口。

（3）在整个网络中，应尽量使用第3层以上的交换机来取代传统的路由器。

这是由于实现路由功能，既可以采用路由器，也可以采用第三层交换机（路由交换
机）。

而只有采用路由交换机，才能综合交换和路由这两种功能，这样才能既保证传统路由功能的实现，也实现VLAN的技术。

另一方面考虑，VLAN属于星形的网路拓扑结构，这样要求中间设备有相当的稳定性。

所以最好选用三层的交换机，能够有技术过硬的厂商的品牌就更好了。

（4）尽可能地使整个网络成为树型结构，以保证整个网络的层次性，以及VLAN 的物理连通性。

层次清晰方便管理人员管理，如果非常乱的话对于日后的升级管理都是不小的阻碍。

（5）首先，根据应用的需要来选择交换机，使所选的交换机应能够满足实际需要。

其次，通过交换机相应的软件将整个网络划分为多个VLAN，无论每个VLAN 上计算机的物理位置如何，都可以划分在一个逻辑工作组内。

各个VLAN可以相互连通，也可以设置为互不相通。

2.VLAN实现的方式：
这个和物理局域网很相似，分为动态和静态。

也有观点说有三种甚至五种实现方式，实际上大同小异。

不过是细分了一下动态的实现方式，最经典的就是动态的和静态的划分。

（1）静态实现是网络管理员将交换机端口分配给某一个VLAN，这是一种以前最经常使用的配置方式，容易实现和监视，而且比较安全。

因为是绑定MAC地址，解析起来比较消耗网络带宽资源，而且机动性不强，初期配置相当麻烦，是一个相当大且繁琐的工作。

现在这种实现方式用的比较少。

（2）动态实现方式中，管理员必须先建立一个较复杂的数据库，例如输入要连接的网络设备的MAC地址及相应的VLAN号，这样当网络设备接到交换机端口时交换机自动把这个网络设备所连接的端口分配给相应的VLAN。

动态VLAN的配置可以基于网络设备的MAC地址、IP地址、应用或者所使用的协议。

实现动态VL AN时一般使用管理软件来进行管理。

动态跟静态比起来开始比较方便。

方案比较多，现在比较主流。

通过设置VMPS（VLAN MembershipPolicy Server），包含了一个MAC地址与VLAN号的映射表，当数据帧到达交换机后，交换机会查询VMPS获得相应MAC地址的VLAN ID。

具体分起来：
1．基于交换机端口划分的VLAN
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。

该方法只需网络管理员对网络设备的交换端口进行分配和设置，不用考虑该端口所连接的设备。

交换机的端口，可以分为以下两种：访问链接（Access Link）根据英文可以得到意思是用来访问用的，相当于物理局域网的LAN口，汇聚链接（Trunk Link）又叫主干口，根据意思判断相当于WAN口。

2．基于MAC地址划分的VLAN
基于MAC地址划分VLAN就是以网卡的MAC地址来决定隶属的虚拟网。

MAC地址是指网卡的标识符，每一块网卡的MAC地址都是惟一的，并且已经固化在网卡上。

MAC地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标识。

网络管理员可以按照各个网络节点的MAC地址将一些站点划分为一个逻辑子网
VLAN-l，将另外一些站点划分为另一个逻辑子网VLAN-2。

3．基于网络层协议或地址划分的VLAN
路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。

基于网络层的虚拟网有多种划分方式，例如当网络中存在多种协议时，可以通过不同的可路由协议来划分多个VLAN；当然，也可以使用网络层地址来确定虚拟网络的成员。

例如对于使用TCP/IP协议的网络，可以使用子网段的地址来划分VLAN。

4．基于IP广播组划分的VLAN
基于IP广播组划分的VLAN是以动态的方式建立的多点广播组来确定虚拟网。

每一站点通过对标识不同虚拟网的广播信息的确认来决定是否加入某一虚拟网。

根据IP广播组划分的VLAN是利用了一种被称为代理的设备对虚拟网络的成员进行管理。

以这种方式定义VLAN时，任何属于同一IP广播组的计算机都属于同一虚拟网。

5．基于策略划分的VLAN（此种方式VLAN技术白皮书中未与其他并列提到，策略与厂商设备的支持有关）
基于策略的VLAN划分是一种比较有效而且直接的方式。

这主要取决于在VLAN
划分中所采用的策略。

前边所述的任何一种方法都可以算作是一种策略，利用上
述这些策略还可以组合为新的策略。

当一种策略被定义到交换机上时，该策略就会应用到整个网络上。

实现VLAN的设备
上面提到，实现VLAN需要的硬件设备是带路由功能的交换机。

也就是说可以是一个三层交换机，也可以是一个路由器，带着一个二层交换机。

传统的路由器在网络中有路由转发、防火墙、隔离广播等作用，而在一个划分了VLAN以后的网络中，逻辑上划分的不同网段之间通信仍然要通过路由器转发。

由于在局域网上，不同VLAN之间的通信数据量是很大的，这样，如果路由器要对每一个数据包都路由一次，随着网络上数据量的不断增大，路由器将不堪重负，路由器将成为整个网络运行的瓶颈。

在这种情况下，出现了第三层交换技术，它是将路由技术与交换技术合二为一的技术。

三层交换机在对第一个数据流进行路由后，会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此表直接从二层通过而不是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率，消除了路由器可能产生的网络瓶颈问题。

可见，三层交换机集路由与交换于一身，在交换机内部实现了路由，提高了网络的整体性能。

在以三层交换机为核心的千兆网络中，为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性，可采用VLAN技术进行虚拟网络划分。

VLAN子网隔离了广播风暴，对一些重要部门实施了安全保护；且当某一部门物理位置发生变化时，只需对交换机进行设置，就可以实现网络的重组，非常方便、快捷，同时节约了成本。

配置VLAN
（1）VLAN的工作模式：
静态VLAN：管理员针对交换机端口指定VLAN。

动态VLAN：通过设置VMPS（VLAN MembershipPolicy Server），包含了一个MAC地址与VLAN号的映射表，当数据帧到达交换机后，交换机会查询V MPS获得相应MAC地址的VLAN ID。

（2）ISL标签：ISL（Inter－Switch Link）是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接相连的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和进行配置。

VLAN封装的国际标准为IEEE 802.1Q。

（3）VTP（VLAN TrunkingProtocol）：它是一个在交换机之间同步及传递VLAN配置信息的协议。

一个VTP Server上的配置将会传递给网络中的所有交换机，VTP通过减少手工配置而支持较大规模的网络。

VTP有三种模式：
Server模式：允许创建、修改、删除VLAN及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN信息。

Client模式：在Client模式下，一台交换机不能创建、删除、修改VLAN配置，也不能在NVRAM中存储VLAN配置，但可以同步由本VTP域中其他交换机传递来的VLAN信息。

Transparent模式：可以进行创建、修改、删除，也可以传递本VTP域中其他交换机送来的VTP广播信息，但并不参与本VTP域的同步和分配，也不将自己的VLAN配置传递给本VTP域中的其他交换机，它的VLAN配置只影响到它自己。

交换机在默认情况下为Server模式。

（4）创建VLAN，默认情况下交换机只有VLAN 1,可以通过命令增加所需的VLAN。

（5）将VLAN指定给交换机的各个端口。

默认情况下交换机所有端口均属于VLAN 1，可以通过全局命令修改交换机各端口的VLAN ID，但交换机每个端口只能属于一个VLAN。

配置三层交换
配置MLSP协议，使RP与SE之间可以交换信息。

配置管理端口，MLSP通过这个端口收发RP与SE之间的通信。

针对不同的VLAN分配不同的VLAN网关地址。

启动路由器的路由功能。

根据需要，可以定义VLAN虚网间的访问策略，可通过定义访问列表来实现。

在公司内部如何进行VLAN划分?
公司内部进行VLAN的划分实例
对于每个公司而言都有自己不同的需求，下面我们给出一个典型的公司的VLAN的实例，这样也可以成为我们以后为公司划分VLAN的依据。

某公司现在有工程部、销售部、财务部。

VLAN的划分：工程部VLAN10，销售部VLAN20，财务部VLAN30，并且各部门还可以相互通讯。

现有设备如下: Cisco3640路由器，Cisco Catalyst 2924交换机一台，二级交换机若干台。

交换机配置文件中的部分代码如下：
......
!
interface vlan10
ip address 192.168.0.1
!
interface vlan20
ip address 192.168.1.1
!
interface vlan30
ip address 192.168.2.1
!
……
路由器配置文件中的部分代码如下：……
interface FastEthernet 1/0.1 encapsulation isl 10
ip address 192.168.0.2
!
interface FastEthernet 1/0.2 encapsulation isl 20
ip address 192.168.1.2
!
interface FastEthernet 1/0.3 encapsulation isl 30
ip address 192.168.2.2
!
……
!
router rip
network 192.168.0.0 !
……。