VLAN的划分与实现

VLAN的划分与实现

1.VLAN的概念

先来了解一下什么是VLAN。VLAN（Virtual LAN）是“虚拟局域网”。是一个可以跨不同网段，不同网络的逻辑网络。既然是虚拟局域网他必然有局域网的特性，比如共享资源。VLAN所指的LAN特指使用路由器或者交换机分割的网络，也就是广播域（广播域，指的是广播帧所能传递到的范围，亦即能够直接通信的范围）。举个例子：一个学校分为A,B,C 三个系，各个系又有不同的职能部门，这三个系分别在三个不同的教学楼里面，学校要求各个不同系的部门之间要经常交流数据，共享资源。这样需要把这三个系要交流的部门划分到一个VLAN里面。这样就是一个典型的VLAN。另外关于VLAN的标准：在1995年，Cisco公司提倡使用IEEE802.10协议。在此之前，IEEE802.10曾经在全球范围内作为VLAN安全性的同一规范。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。802.1Q的出现打破了虚拟网依赖于单一厂商的僵局，从一个侧面推动了VLAN的迅速发展。另外，来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。

2.为什么要用VLAN

运用VLAN可以做到：

（1）减少广播域的工作点。，在一个VLAN内的广播包不会跑到别的VLAN 上去。通过限制一个VLAN 上的设备数目，在一个VLAN 上的广播率便可受到控制。一个正常的广播率应该平均每秒不超过30 个广播包（但通过网友的现场性能监测，建议广播不应该超出30 个/秒）。

（2）增强安全性。因为虚拟局域网上各个子网上的广播不会扩散开这样就保证了数据的私有性和安全性。（就像在一个物理局域网中，工作站少了出问题的可能性就比较小）即便是几十台机器的小型局域网，如果要保证数据的隔离安全，也可以尝试划分VLAN来实现。

当不同的VLAN间要互访信息的时候需要通过三层的交换机。这样的话数据包容易被管理人员监视。提高了网络的安全系数。

（3）方便网络设备的管理。

假定我们把所有的打印机都规划在一个子网上，而每一个打印机都必须在同一个广播域里。这样等于需要在每一个楼层上，分别安装交换机。这些交换机都需要光缆和铜缆的连接，而这些打印机子网都需要连接到自己的专用路由器端口上。

既然说到需要运用VLAN那么现在就有必要讨论一下VLAN的优点和缺点。

优点如下：

（1）能够简化网络管理，使得网络管理简单而且直观

（2）能够控制广播风暴

（3）能够提高网络的整体安全性

缺点如下：

（1）在使用MAC地址定义VLAN的技术中，必须进行初始配置。而对大规模的网络进行初始化工作时，需要把成百上千的用户配置到某个虚拟局域网之中，因此，初始工作过于烦琐。

（2）当使用局域网交换机的端口划分VLAN成员的方法时，用户从一个交换机的端口移动到另一个端口时，网络管理员必须对VLAN的成员重新配置。

（3）需要专职的网络管理员和必要的专业技术支持，这样需要企业有一定的投入去维护VLAN.

使用VLAN的场合：

一般，在几十台以下计算机构成的小型局域网中，除非需要彼此的数据隔绝，否则没有必要划分虚拟局域网。在几百台乃至上千台计算机构成的大中型局域网中，划分和建立虚拟局域网，应当说是十分必要的。这是因为大型局域网产生广播风暴的可能性大大增加，而虚拟局域网技术能够有效地隔离广播风暴。

3.实现VLAN的划分需要哪些资源：

一般来说计算机的系统构成都需要软件和硬件。VLAN也从这两个方面来说

软件：像其他系统一样，VLAN需要一个管理软件来实现它的维护。

硬件：需要一个支持VLAN功能的交换机。

4．VLAN的实现：

1.虚拟局域网实现的基本原则：

（1）考虑到交换机软件的兼容性，在整个局域网中应当尽量使用同一厂家的支持VLAN的交换机。如果设备不兼容网络是无法正常运转的，风险太大。所以一定要用兼容的。

（2）为了实现网络的统一管理，在可以使用交换机的场合尽量使用交换机，并且尽可能多地将计算机接入交换机的端口，而不是集线器或路由器的端口。

（3）在整个网络中，应尽量使用第3层以上的交换机来取代传统的路由器。这是由于实现路由功能，既可以采用路由器，也可以采用第三层交换机（路由交换

机）。而只有采用路由交换机，才能综合交换和路由这两种功能，这样才能既保证传统路由功能的实现，也实现VLAN的技术。另一方面考虑，VLAN属于星形的网路拓扑结构，这样要求中间设备有相当的稳定性。所以最好选用三层的交换机，能够有技术过硬的厂商的品牌就更好了。

（4）尽可能地使整个网络成为树型结构，以保证整个网络的层次性，以及VLAN 的物理连通性。层次清晰方便管理人员管理，如果非常乱的话对于日后的升级管理都是不小的阻碍。

（5）首先，根据应用的需要来选择交换机，使所选的交换机应能够满足实际需要。其次，通过交换机相应的软件将整个网络划分为多个VLAN，无论每个VLAN 上计算机的物理位置如何，都可以划分在一个逻辑工作组内。各个VLAN可以相互连通，也可以设置为互不相通。

2.VLAN实现的方式：

这个和物理局域网很相似，分为动态和静态。也有观点说有三种甚至五种实现方式，实际上大同小异。不过是细分了一下动态的实现方式，最经典的就是动态的和静态的划分。

（1）静态实现是网络管理员将交换机端口分配给某一个VLAN，这是一种以前最经常使用的配置方式，容易实现和监视，而且比较安全。因为是绑定MAC地址，解析起来比较消耗网络带宽资源，而且机动性不强，初期配置相当麻烦，是一个相当大且繁琐的工作。现在这种实现方式用的比较少。

（2）动态实现方式中，管理员必须先建立一个较复杂的数据库，例如输入要连接的网络设备的MAC地址及相应的VLAN号，这样当网络设备接到交换机端口时交换机自动把这个网络设备所连接的端口分配给相应的VLAN。动态VLAN的配置可以基于网络设备的MAC地址、IP地址、应用或者所使用的协议。实现动态VL AN时一般使用管理软件来进行管理。动态跟静态比起来开始比较方便。方案比较多，现在比较主流。通过设置VMPS（VLAN MembershipPolicy Server），包含了一个MAC地址与VLAN号的映射表，当数据帧到达交换机后，交换机会查询VMPS获得相应MAC地址的VLAN ID。

具体分起来：

1．基于交换机端口划分的VLAN