中、小局域網(wǎng)交換機VLAN的網(wǎng)絡(luò )配置

有關(guān)VLAN的技術(shù)標準IEEE 802.1Q早在1999年6月份就由IEEE委員正式頒布實(shí)施了，而且最早的VLNA技術(shù)早在1996年(思科)公司就提出 了。隨著(zhù)幾年來(lái)的發(fā)展，VLAN技術(shù)得到廣泛的支持，在大大小小的企業(yè)網(wǎng)絡(luò )中廣泛應用，成為當前最為熱門(mén)的一種以太局域網(wǎng)技術(shù)。本篇就要 為大家介紹機的一個(gè)最常見(jiàn)技術(shù)應用--VLAN技術(shù)，并針對中、小局域網(wǎng)VLAN的網(wǎng)絡(luò )配置以實(shí)例的方式向大家簡(jiǎn)單介紹其配置方法。
　　
　　一、VLAN基礎
　　VLAN(Virtual Local Area Network)的中文名為虛擬局域網(wǎng)，注意不是VPN(虛擬專(zhuān)用網(wǎng))。VLAN是一種將局域網(wǎng)設備從邏輯上 劃分(注意，不是從物理上劃分)成一個(gè)個(gè)網(wǎng)段，從而實(shí)現虛擬工作組的新興數據技術(shù)。這一新興技術(shù)主要應用于交換機和器中，但主 流應用還是在交換機之中。但又不是所有交換機都具有此功能，只有VLAN的第三層以上交換機才具有此功能，這一點(diǎn)可以查看相應交換機 的說(shuō)明書(shū)即可得知。
　　
　　IEEE于1999年頒布了用以標準化VLAN實(shí)現方案的802.1Q標準草案。VLAN技術(shù)的出現，使得管理員根據實(shí)際應用需求，把同一 物理局域網(wǎng)內的不同用戶(hù)邏輯地劃分成不同的廣播域，每一個(gè)VLAN都包含一組有著(zhù)相同需求的計算機工作站，與物理上形成的LAN有著(zhù)相同的屬 性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個(gè)VLAN內的各個(gè)工作站沒(méi)有限制在同一個(gè)物理范圍中，即這些工作站可以在不同 物理LAN網(wǎng)段。由VLAN的特點(diǎn)可知，一個(gè)VLAN內部的廣播和單播流量都不會(huì )轉發(fā)到其他VLAN中，從而有助于控制流量、減少設備投資、簡(jiǎn)化網(wǎng)絡(luò ) 管理、提高網(wǎng)絡(luò )的性。
　　
　　交換技術(shù)的發(fā)展，也加快了新的交換技術(shù)(VLAN)的應用速度。通過(guò)將企業(yè)網(wǎng)絡(luò )劃分為虛擬網(wǎng)絡(luò )VLAN網(wǎng)段，可以強化網(wǎng)絡(luò )管理和網(wǎng) 絡(luò )，控制不必要的數據廣播。在共享網(wǎng)絡(luò )中，一個(gè)物理的網(wǎng)段就是一個(gè)廣播域。而在交換網(wǎng)絡(luò )中，廣播域可以是有一組任意選定的第二層 網(wǎng)絡(luò )地址(MAC地址)組成的虛擬網(wǎng)段。這樣，網(wǎng)絡(luò )中工作組的劃分可以突破共享網(wǎng)絡(luò )中的地理位置限制，而完全根據管理功能來(lái)劃分。這種基于 工作流的分組模式，大大提高了網(wǎng)絡(luò )規劃和重組的管理功能。在同一個(gè)VLAN中的工作站，不論它們實(shí)際與哪個(gè)交換機連接，它們之間的通訊就 好象在獨立的交換機上一樣。同一個(gè)VLAN中的廣播只有VLAN中的成員才能聽(tīng)到，而不會(huì )傳輸到其他的 VLAN中去，這樣可以很好的控制不必要的 廣播風(fēng)暴的產(chǎn)生。同時(shí)，若沒(méi)有的話(huà)，不同VLAN之間不能相互通訊，這樣增加了企業(yè)網(wǎng)絡(luò )中不同部門(mén)之間的安全性。網(wǎng)絡(luò )管理員可以通過(guò) 配置VLAN之間的路由來(lái)全面管理企業(yè)內部不同管理單元之間的信息互訪(fǎng)。交換機是根據用戶(hù)工作站的MAC地址來(lái)劃分VLAN的。所以，用戶(hù)可以自 由的在企業(yè)網(wǎng)絡(luò )中移動(dòng)辦公，不論他在何處接入交換網(wǎng)絡(luò )，他都可以與VLAN內其他用戶(hù)自如通訊。
　　
　　VLAN網(wǎng)絡(luò )可以是有混合的網(wǎng)絡(luò )類(lèi)型設備組成，比如：10M以太網(wǎng)、100M以太網(wǎng)、令牌網(wǎng)、FDDI、CDDI等等，可以是工作站、 、集線(xiàn)器、網(wǎng)絡(luò )上行主干等等。
　　
　　VLAN除了能將網(wǎng)絡(luò )劃分為多個(gè)廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò )的拓撲結構變得非常靈活的優(yōu)點(diǎn)外，還可以 用于控制網(wǎng)絡(luò )中不同部門(mén)、不同站點(diǎn)之間的互相訪(fǎng)問(wèn)。
　　
　　VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的一種，它在以太網(wǎng) 幀的基礎上增加了VLAN頭，用VLAN ID把用戶(hù)劃分為更小的工作組，限制不同工作組間的用戶(hù)互訪(fǎng)，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域 網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò )。
　　
　　二、VLAN的劃分方法
　　VLAN在交換機上的實(shí)現方法，可以大致劃分為六類(lèi):
　　
　　1. 基于端口劃分的VLAN
　　
　　這是最常應用的一種VLAN劃分方法，應用也最為廣泛、最有效，目前絕大多數VLAN協(xié)議的交換機都提供這種VLAN配置方法。這種 劃分VLAN的方法是根據以太網(wǎng)交換機的交換端口來(lái)劃分的，它是將VLAN交換機上的物理端口和VLAN交換機內部的PVC(永久虛電路)端口分成若干 個(gè)組，每個(gè)組構成一個(gè)虛擬網(wǎng)，相當于一個(gè)獨立的VLAN交換機。
　　
　　對于不同部門(mén)需要互訪(fǎng)時(shí)，可通過(guò)路由器轉發(fā)，并配合基于MAC地址的端口過(guò)濾。對某站點(diǎn)的訪(fǎng)問(wèn)路徑上最靠近該站點(diǎn)的交換機、 路由交換機或路由器的相應端口上，設定可通過(guò)的MAC地址集。這樣就可以防止非法入侵者從內部盜用IP地址從其他可接入點(diǎn)入侵的可能。
　　
　　從這種劃分方法本身我們可以看出，這種劃分的方法的優(yōu)點(diǎn)是定義VLAN成員時(shí)非常簡(jiǎn)單，只要將所有的端口都定義為相應的VLAN 組即可。適合于任何大小的網(wǎng)絡(luò )。它的缺點(diǎn)是如果某用戶(hù)離開(kāi)了原來(lái)的端口，到了一個(gè)新的交換機的某個(gè)端口，必須重新定義。
　　
　　2. 基于MAC地址劃分VLAN
　　
　　這種劃分VLAN的方法是根據每個(gè)主機的MAC地址來(lái)劃分，即對每個(gè)MAC地址的主機都配置他屬于哪個(gè)組，它實(shí)現的機制就是每一塊 網(wǎng)卡都對應唯一的MAC地址，VLAN交換機跟蹤屬于VLAN MAC的地址。這種方式的VLAN允許網(wǎng)絡(luò )用戶(hù)從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置時(shí)，自 動(dòng)保留其所屬VLAN的成員身份。
　　
　　由這種劃分的機制可以看出，這種VLAN的劃分方法的最大優(yōu)點(diǎn)就是當用戶(hù)物理位置移動(dòng)時(shí)，即從一個(gè)交換機換到其他的交換機時(shí) ，VLAN不用重新配置，因為它是基于用戶(hù)，而不是基于交換機的端口。這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶(hù)都必須進(jìn)行配置，如果有幾百 個(gè)甚至上千個(gè)用戶(hù)的話(huà)，配置是非常累的，所以這種劃分方法通常適用于小型局域網(wǎng)。而且這種劃分的方法也導致了交換機執行效率的降低， 因為在每一個(gè)交換機的端口都可能存在很多個(gè)VLAN組的成員，保存了許多用戶(hù)的MAC地址，查詢(xún)起來(lái)相當不容易。另外，對于使用筆記本電腦的 用戶(hù)來(lái)說(shuō)，他們的網(wǎng)卡可能經(jīng)常更換，這樣VLAN就必須經(jīng)常配置。