區域網實現VLAN例項(轉)

區域網實現VLAN例項(轉)[@more@]

計算機網路技術的發展猶如戲劇舞臺，你方唱罷我登臺。從傳統的乙太網（10Mb/s）發展到快速乙太網（100Mb/s）和千兆乙太網（1000Mb/s）也不過幾年的時間，其迅猛的勢頭實在令人吃驚。而現在中大型規模網路建設中，以千兆三層交換機為核心的所謂“千兆主幹跑、百兆到桌面”的主流網路模型已不勝列舉。現在，網路業界對“三層交換”和VLAN這兩詞已經不感到陌生了。

一、什麼是三層交換和VLAN

要回答這個問題我們還是先看看乙太網的工作原理。乙太網的工作原理是利用二進位制位形成的一個個位元組組合成一幀幀的資料（其實是一些電脈衝）在導線中進行傳播。首先，乙太網網段上需要進行資料傳送的節點對導線進行監聽，這個過程稱為CSMA/CD（Carrier Sense Multiple Access with Collision Detection帶有衝突監測的載波偵聽多址訪問）的載波偵聽。如果，這時有另外的節點正在傳送資料，監聽節點將不得不等待，直到傳送節點的傳送任務結束。如果某時恰好有兩個工作站同時準備傳送資料，乙太網網段將發出“衝突”訊號。這時，節點上所有的工作站都將檢測到衝突訊號，因為這時導線上的電壓超出了標準電壓。這時乙太網網段上的任何節點都要等衝突結束後才能夠傳送資料。也就是說在CSMA/CD方式下，在一個時間段，只有一個節點能夠在導線上傳送資料。而轉發乙太網資料幀的聯網裝置是集線器,它是一層裝置，傳輸效率比較低。

衝突的產生降低了乙太網的頻寬，而且這種情況又是不可避免的。所以，當導線上的節點越來越多後，衝突的數量將會增加。顯而易見的解決方法是限制乙太網導線上的節點，需要對網路進行物理分段。將網路進行物理分段的網路裝置用到了網橋與交換機。網橋和交換機的基本作用是隻傳送去往其他物理網段的資訊。所以，如果所有的資訊都只發往本地的物理網段，那麼網橋和交換機上就沒有資訊透過。這樣可以有效減少網路上的衝突。網橋和交換機是基於目標MAC（介質訪問控制）地址做出轉發決定的，它們是二層裝置。我們已經知道了乙太網的缺點及物理網段中衝突的影響，現在，我們來看看另外一種導致網路降低執行速度的原因：廣播。廣播存在於所有的網路上，如果不對它們進行適當的控制，它們便會充斥於整個網路，產生大量的網路通訊。廣播不僅消耗了頻寬，而且也降低了使用者工作站的處理效率。由於各種各樣的原因，網路作業系統（NOS）使用了廣播，TCP/IP使用廣播從IP地址中解析MAC地址，還使用廣播透過RIP和IGRP協議進行宣告，所以，廣播也是不可避免的。網橋和交換機將對所有的廣播資訊進行轉發，而路由器不會。所以，為了對廣播進行控制，就必須使用路由器。路由器是基於第3層報頭、目標IP定址、目標IPX定址或目標Appletalk定址做出轉發決定。路由器是3層裝置。

在這裡，我們就容易理解三層交換技術了，通俗地講，就是將路由與交換合二為一的技術。路由器在對第一個資料流進行路由後，將會產生一個MAC地址與IP地址的對映表，當同樣的資料流再次透過時，將根據此對映表直接從二層進行交換而不是再次路由，提供線速效能，從而消除了路由器進行路由選擇而造成網路的延遲，提高了資料包轉發的效率。採用此技術的交換機我們常稱為三層交換機。

那麼，什麼是VLAN呢？VLAN（Virtual Local Area Network）就是虛擬區域網的意思。VLAN可以不考慮使用者的物理位置，而根據功能、應用等因素將使用者從邏輯上劃分為一個個功能相對獨立的工作組，每個使用者主機都連線在一個支援VLAN的交換機埠上並屬於一個VLAN。同一個VLAN中的成員都共享廣播，形成一個廣播域，而不同VLAN之間廣播資訊是相互隔離的。這樣，將整個網路分割成多個不同的廣播域（VLAN）。

一般來說，如果一個VLAN裡面的工作站傳送一個廣播，那麼這個VLAN裡面所有的工作站都接收到這個廣播，但是交換機不會將廣播傳送至其他VLAN上的任何一個埠。如果要將廣播傳送到其它的VLAN埠，就要用到三層交換機。

二、如何配置三層交換機建立VLAN

以下的介紹都是基於Cisco交換機的VLAN。Cisco的VLAN實現通常是以埠為中心的。與節點相連的埠將確定它所駐留的VLAN。將埠分配給VLAN的方式有兩種，分別是靜態的和動態的.形成靜態VLAN的過程是將埠強制性地分配給VLAN的過程。即我們先在VTP （VLAN Trunking Protocol）Server上建立VLAN，然後將每個埠分配給相應的VLAN的過程。這是我們建立VLAN最常用的方法。

動態VLAN形成很簡單，由埠決定自己屬於哪個VLAN。即我們先建立一個VMPS（VLAN Membership Policy Server）VLAN管理策略伺服器，裡面包含一個文字檔案，檔案中存有與VLAN對映的MAC地址表。交換機根據這個對映表決定將埠分配給何種VLAN。這種方法有很大的優勢，但是建立資料庫是一項非常艱苦而且非常繁瑣的工作。

下面以例項說明如何在一個典型的快速以太區域網中實現VLAN。所謂典型的區域網就是指由一臺具備三層交換功能的核心交換機接幾臺分支交換機（不一定具備三層交換能力）。我們假設核心交換機名稱為：COM；分支交換機分別為：PAR1、PAR2、PAR3……，分別透過Port 1的光線模組與核心交換機相連；並且假設VLAN名稱分別為COUNTER、MARKET、MANAGING……。

1、設定VTP DOMAIN VTP DOMAIN 稱為管理域。交換VTP更新資訊的所有交換機必須配置為相同的管理域。如果所有的交換機都以中繼線相連，那麼只要在核心交換機上設定一個管理域，網路上所有的交換機都加入該域，這樣管理域裡所有的交換機就能夠了解彼此的VLAN列表。

COM#vlan database 進入VLAN配置模式

COM(vlan)#vtp domain COM 設定VTP管理域名稱COM

COM(vlan)#vtp server 設定交換機為伺服器模式

PAR1#vlan database 進入VLAN配置模式

PAR1(vlan)#vtp domain COM 設定VTP管理域名稱COM

PAR1(vlan)#vtp Client 設定交換機為客戶端模式

PAR2#vlan database 進入VLAN配置模式

PAR2(vlan)#vtp domain COM 設定VTP管理域名稱COM

PAR2(vlan)#vtp Client 設定交換機為客戶端模式

PAR3#vlan database 進入VLAN配置模式

PAR3(vlan)#vtp domain COM 設定VTP管理域名稱COM

PAR3(vlan)#vtp Client 設定交換機為客戶端模式

注意：這裡設定交換機為Server模式是指允許在本交換機上建立、修改、刪除VLAN及其他一些對整個VTP域的配置引數，同步本VTP域中其他交換機傳遞來的最新的VLAN資訊；Client模式是指本交換機不能建立、刪除、修改VLAN配置，也不能在NVRAM中儲存VLAN配置，但可以同步由本VTP域中其他交換機傳遞來的VLAN資訊。

2、配置中繼

為了保證管理域能夠覆蓋所有的分支交換機，必須配置中繼。Cisco交換機能夠支援任何介質作為中繼線，為了實現中繼可使用其特有的ISL標籤。ISL（Inter－Switch Link）是一個在交換機之間、交換機與路由器之間及交換機與伺服器之間傳遞多個VLAN資訊及VLAN資料流的協議，透過在交換機直接相連的埠配置ISL封裝，即可跨越交換機進行整個網路的VLAN分配和進行配置。

在核心交換機端配置如下：

COM(config)#interface gigabitEthernet 2/1

COM(config-if)#switchport

COM(config-if)#switchport trunk encapsulation isl

COM(config-if)#switchport mode trunk

COM(config)#interface gigabitEthernet 2/2

COM(config-if)#switchport

COM(config-if)#switchport trunk encapsulation isl

COM(config-if)#switchport mode trunk

COM(config)#interface gigabitEthernet 2/3

COM(config-if)#switchport

COM(config-if)#switchport trunk encapsulation isl

COM(config-if)#switchport mode trunk

在分支交換機端配置如下：

PAR1(config)#interface gigabitEthernet 0/1

PAR1(config-if)#switchport mode trunk

PAR2(config)#interface gigabitEthernet 0/1

PAR2(config-if)#switchport mode trunk

PAR3(config)#interface gigabitEthernet 0/1

PAR3(config-if)#switchport mode trunk

……

此時，管理域算是設定完畢了。

3、建立VLAN

一旦建立了管理域，就可以建立VLAN了。

COM(vlan)#Vlan 10 name COUNTER 建立了一個編號為10名字為COUNTER的 VLAN

COM(vlan)#Vlan 11 name MARKET 建立了一個編號為11名字為MARKET的 VLAN

COM(vlan)#Vlan 12 name MANAGING 建立了一個編號為12名字為MANAGING的 VLAN

……

注意，這裡的VLAN是在核心交換機上建立的，其實，只要是在管理域中的任何一臺VTP 屬性為Server的交換機上建立VLAN，它就會透過VTP通告整個管理域中的所有的交換機。但是如果要將交換機的埠劃入某個VLAN，就必須在該埠所屬的交換機上進行設定。

4、將交換機埠劃入VLAN

例如，要將PAR1、PAR2、PAR3……分支交換機的埠1劃入COUNTER VLAN，埠2劃入MARKET VLAN，埠3劃入MANAGING VLAN……

PAR1(config)#interface fastEthernet 0/1 配置埠1

PAR1(config-if)#switchport access vlan 10 歸屬COUNTER VLAN

PAR1(config)#interface fastEthernet 0/2 配置埠2

PAR1(config-if)#switchport access vlan 11 歸屬MARKET VLAN

PAR1(config)#interface fastEthernet 0/3 配置埠3

PAR1(config-if)#switchport access vlan 12 歸屬MANAGING VLAN

PAR2(config)#interface fastEthernet 0/1 配置埠1

PAR2(config-if)#switchport access vlan 10 歸屬COUNTER VLAN

PAR2(config)#interface fastEthernet 0/2 配置埠2

PAR2(config-if)#switchport access vlan 11 歸屬MARKET VLAN

PAR2(config)#interface fastEthernet 0/3 配置埠3

PAR2(config-if)#switchport access vlan 12 歸屬MANAGING VLAN

PAR3(config)#interface fastEthernet 0/1 配置埠1

PAR3(config-if)#switchport access vlan 10 歸屬COUNTER VLAN

PAR3(config)#interface fastEthernet 0/2 配置埠2

PAR3(config-if)#switchport access vlan 11 歸屬MARKET VLAN

PAR3(config)#interface fastEthernet 0/3 配置埠3

PAR3(config-if)#switchport access vlan 12 歸屬MANAGING VLAN

……

5、配置三層交換

到這裡，VLAN已經基本劃分完畢。但是，VLAN間如何實現三層（網路層）交換呢？這時就要給各VLAN分配網路（IP）地址了。給VLAN分配IP地址分兩種情況，其一，給VLAN所有的節點分配靜態IP地址；其二，給VLAN所有的節點分配動態IP地址。下面就這兩種情況分別介紹。

我們假設給VLAN COUNTER分配的介面Ip地址為172.16.58.1/24，網路地址為：172.16.58.0，VLAN MARKET分配的介面Ip地址為172.16.59.1/24，網路地址為172.16.59.0，VLAN MANAGING分配的介面Ip地址為172.16.60.1/24，網路地址為172.16.60.0……。如果動態分配IP地址，則設網路上的DHCP伺服器IP地址為172.16.1.11。

(1)給VLAN所有的節點分配靜態IP地址

首先在核心交換機上分別設定各VLAN的介面IP地址，如下所示：

COM(config)#interface vlan 10

COM(config-if)#ip address 172.16.58.1 255.255.255.0 VLAN10介面IP

COM(config)#interface vlan 11

COM(config-if)#ip address 172.16.59.1 255.255.255.0 VLAN11介面IP

COM(config)#interface vlan 12

COM(config-if)#ip address 172.16.60.1 255.255.255.0 VLAN12介面IP

……

再在各接入VLAN的計算機上設定與所屬VLAN的網路地址一致的IP地址，並且把預設閘道器設定為該VLAN的介面地址。這樣，所有的VLAN也可以互訪了。

(2)給VLAN所有的節點分配動態IP地址

首先在核心交換機上分別設定各VLAN的介面IP地址和DHCP伺服器的IP地址，如下所示：

COM(config)#interface vlan 10

COM(config-if)#ip address 172.16.58.1 255.255.255.0 VLAN10介面IP

COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP

COM(config)#interface vlan 11

COM(config-if)#ip address 172.16.59.1 255.255.255.0 VLAN11介面IP

COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP

COM(config)#interface vlan 12

COM(config-if)#ip address 172.16.60.1 255.255.255.0 VLAN12介面IP

COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP

……

再在DHCP伺服器上設定網路地址分別為172.16.58.0，172.16.59.0，172.16.60.0的作用域，並將這些作用域的“路由器”選項設定為對應VLAN的介面IP地址。這樣，可以保證所有的VLAN也可以互訪了。

最後在各接入VLAN的計算機進行網路設定，將IP地址選項設定為自動獲得IP地址即可。

三、總結

本文是筆者在實際工作中的一些總結。筆者力圖用通俗易懂的文字來闡述建立VLAN的全過程。並且給出了詳細的設定步驟，只要你對Cisco交換機的IOS有所瞭解，看懂本文並不難。按照本文所示的步驟一步一步地做，你完全可以給一個典型的快速乙太網路建立多個VLAN

企業網中的VLAN設計

文章來源：（eNet）

---- 在企業網路剛剛興起之時，由於規模小、應用面窄、對Internet接入認識程度低以及關於網路安全和管理知識貧乏等原因，使得企業網僅僅侷限於交換模式狀態。交換技術主要有2種方式: 基於乙太網的幀交換和基於ATM的信元交換，它相對於共享式網路效能有很大提高，但對於所有處於一個IP網段或IPX網段的網路裝置來說，卻同在一個廣播域中。當工作站數量較多和資訊流較大時，容易形成廣播風暴，嚴重影響了網路執行速度，甚至容易造成網路癱瘓。怎樣避免這個問題出現呢？採用劃分網路的辦法是個不錯的選擇。

---- 在採用交換技術的網路模式中，一般採用劃分物理網段的手段進行網路結構的劃分。從效率和安全性等方面來看，這種結構劃分有一定缺陷，而且在很大程度上限制了網路的靈活性。因為如果要將一個廣播域分開，必須另外購買交換機，並且需要重新進行人工佈線。好在，虛擬區域網（Virtual Local Area Network，VLAN）技術的出現解決了上述問題。實際上，VLAN就是一個廣播域，它不受地理位置的限制，可以跨多個區域網交換機。一個VLAN可以根據部門職能、物件組或者應用來將不同地理位置的網路使用者劃分為一個邏輯網段。對於區域網交換機，其每一個埠只能標記一個VLAN，一個VLAN中的所有埠擁有一個廣播域，而處於不同VLAN的埠則共享不同的廣播域，這樣就避免了廣播風暴的產生。可以說，在一個交換網路中，VLAN提供了網段和機構的彈性組合機制。

---- 通常，一個規模較大的企業，其下屬一般擁有多個二級單位，為保證對不同職能部門管理的方便性和安全性以及整體網路執行的穩定性，可以採用VLAN劃分技術，進行虛擬網路劃分。下面，我們透過對一個實際案例的分析，讓大家瞭解和掌握應用VLAN技術的真諦。

網路狀況

---- 某大型起重裝置總公司下屬有2個二級單位，主要進行研發、服務與銷售等工作。由於地理位置相對較遠，業務規模尚未發展壯大，在企業成立之初，公司總部、二級單位1和二級單位2分別建立了獨立的網路環境，各網路系統均採用以交換技術為主的方式，3網主幹均採用千兆乙太網技術。公司總部中心交換機採用了Cisco Catalyst 6506產品，它是帶有三層路由的引擎，可使企業網具有很強的升級能力。各二級單位的中心交換機採用了Cisco Catalyst 4006。其他二級和三級交換機採用了Cisco Catalyst 3500系列交換機，主要因為Catalyst 3500系列交換機具有很高的效能和可堆疊能力。

需求分析

---- 由於業務發展迅猛，總公司與2個二級單位迫切需要暢通無阻的資訊交流，從而讓公司總部能對2個下屬單位進行更直接和更有效的管理，進而達到三方資訊共享的目的，所以將彼此相互獨立的3個子網聯成一個統一網路勢在必行。

---- 圖1所示的是起重裝置總公司3個子網互聯形成統一網路的示意圖，3個子網是採用千兆乙太網技術進行互聯的。為了避免在主幹引發瓶頸問題，各子網在互聯時採用了Trunk技術(即雙千兆技術)，使網路頻寬達到4GB，這樣，既增加了頻寬，又提供了鏈路的冗餘，還提高了整體網路高速、穩定和安全的執行效能。

---- 然而，由於網路規模不斷擴大，資訊流量逐漸加大，人員管理變得日益複雜，給企業網的安全、穩定和高效執行帶來新的隱患，如何消除這些隱患呢？VLAN劃分技術能為此排憂解難。

---- 根據起重裝置總公司業務發展需要，我們將聯網後的統一網路劃分為5個虛擬子網，分別是: 經理辦子網、財務子網、供銷子網和資訊中心子網，其餘部分劃為一個子網。

---- 由於統一網路的IP地址處於192.168.0.0網段，所以我們可以將各VLAN的IP地址分配如下。

---- 經理辦子網：192.168.1.0～192.168.2.0/22 閘道器：192.168.1.1

---- 財務子網： 192.168.3.0～192.168.5.0/22 閘道器：192.168.3.1

---- 供銷子網： 192.168.6.0～192.168.8.0/22 閘道器：192.168.6.1

---- 資訊中心子網：192.168.7.0/24 閘道器：192.168.7.1

---- 伺服器子網：192.168.100.0/24 閘道器：192.168.100.1

---- 其餘子網： 192.168.8.0～192.168.9.0/22 閘道器：192.168.8.1

詳細設計

---- 在劃分VLAN時，Cisco的產品主要基於2種標準協議：ISL和802.1q。ISL是Cisco自己研發設計的通用於所有Cisco網路產品的VLAN間互聯封裝協議，該協議針對Cisco網路裝置的硬體平臺在資訊流處理和多媒體應用方面進行了合理有效的最佳化。802.1q協議是IEEE802委員會於1996年釋出的國際規範標準。

---- 在此案例中，因為所採用的均是Cisco網路裝置，故在進行VLAN間互聯時採用了ISL協議(對於不同網路裝置的互聯，本文在結尾處有相應介紹)。

---- 從圖1我們可以看到，總公司中心交換機採用了Cisco Catalyst 6506，其2級節點為Catalyst 3508和Catalyst 3548，Catalyst 3508交換機具有8個千兆乙太網埠，並且利用Catalyst 3500系列交換機的堆疊能力，可以隨時擴充工作站數量。邊緣交換機則採用具有千兆模組的Catalyst 3548。二級單位的中心交換機則採用了Cisco Catalyst 4006，其2級節點和邊緣交換機採用的也是Catalyst 3548。公司總部與各二級附屬單位的連線採用了ISL封裝的Trunk方式，用2組光纖連線（在Catalyst 6506與Catalyst 4006之間），這樣既解決了VLAN間的互聯問題，同時又提高了網路頻寬和系統的冗餘，為3個子網互聯提供了可靠保障。對於到Internet的連線，介面為2MB DDN專線接入，各二級單位透過公司總部的Proxy接入Internet。Internet的管理由公司總部資訊中心統一規劃。

---- 需要說明的是，由於本案例中關於VLAN的劃分覆蓋了各個交換機，所以交換機之間的連線都必須採用Trunk方式。鑑於經理辦和供銷子網代表了VLAN劃分中的2個問題: 擴充套件交換機VLAN的劃分和埠VLAN的劃分，所以我們再將經理辦子網和供銷子網對VLAN做一詳細介紹。

經理辦VLAN

---- 由於經理辦工作站所在區域網交換機劃分了多個VLAN，連線了多個VLAN工作站，所以該交換機與其上層交換機之間的連線必須採用Trunk方式(如圖2所示)。

---- 公司總部採用了Catalyst 3508和Catalyst 6506，二級單位1採用了Catalyst 3548和Catalyst 4006，二級單位2採用了Catalyst 3548和Catalyst 4006。

供銷VLAN

---- 雖然當一個交換機覆蓋了多個VLAN時，必須採用Trunk方式連線，但在供銷VLAN劃分中，其二級單位1中的供銷獨立於交換機Catalyst 3548，所以在這裡，Catalyst 3548與二級中心交換機Catalyst 4006只需採用正常的交換式連線即可(如圖3所示)。對於此部分供銷VLAN的劃分，只要在Catalyst 4006上針對與Catalyst 3548連線的埠進行劃分即可。這是一種基於埠的VLAN劃分。

---- 由於2個Catalyst 4006與主中心交換機Catalyst 6506間採用的是雙光纖通道式連線，遮蔽了Catalyst 4006與Catalyst 6506間線路故障的產生，所以對整體網路的路由進行基於Catalyst 6506的集中式管理。下面我們對VLAN之間的路由做一個介紹。

---- 在中心交換機Catalyst 6506上設定VLAN路由如下。

---- 經理辦VLAN：192.168.1.1/22

---- 財務VLAN： 192.168.3.1/22

---- 供銷VLAN： 192.168.6.1/22

---- 資訊中心VLAN：192.168.7.1/24

---- 其餘VLAN： 192.168.8.1/22

---- 在中心交換機上設定路由協議RIP或OSPF，並指定網段192.168.0.0。在全域性配置模式下執行如下命令。

---- router rip network 192.168.0.0

---- 由於IP地址處於192.168.0.0網段，所以對各VLAN的IP地址分配如下所示。

---- 經理辦子網: 192.168.1.0，子網掩碼: 255.255.255.0，閘道器: 192.168.1.1。

---- 財務子網: 192.168.2.0，子網掩碼: 255.255.255.0，閘道器: 192.168.2.1。

---- 供銷子網: 192.168.3.0，子網掩碼為255.255.255.0，閘道器: 192.168.3.1。

---- 資訊中心子網: 192.168.4.0，子網掩碼: 255.255.255.0，閘道器: 192.168.4.1。

---- 伺服器子網: 192.168.100.0，子網掩碼: 255.255.255.0，閘道器: 192.168.100.1。

---- 其餘子網: 192.168.8.0，子網掩碼為255.255.255.0，閘道器: 192.168.8.1。

---- 根據上述IP地址分配情況，不難看出各子網的網路終端數均可達到254臺，完全滿足目前或將來的應用需要，同時還降低了管理工作量，增強了管理力度。

注意事項

---- 需要注意的是: 因為起重裝置總公司統一網路系統的VLAN劃分是作為一個整體結構來設計的，所以為了保持與VLAN列表的一致性，需要Catalyst 4006對整體網路的其他部分進行廣播。所以在設定VTP（VLAN Trunk Protocol）時注意，要將VTP的域作為一個整體，其中VTP型別為Server和Client。

---- 有些企業建網較早，若所選用的網路裝置為其他廠商的產品，而後期的產品又不能與前期統一，這樣在VLAN的劃分中就會遇到一些問題。例如，在Cisco產品與3COM產品的混合網路結構中劃分VLAN，對於Cisco網路裝置Trunk的封裝協議必須採用802.1q，以達到能與3COM產品進行通訊的目的。雖然兩者之間可以建立VLAN的正常劃分，並進行正常的應用，但兩者配合使用的協調性略差一些。當兩者的連線發生變化時，必須在Cisco交換機上使用命令Clear Counter進行清除，方可使兩者工作協調起來。

VLAN

---- 所謂VLAN是指處於不同物理位置的節點根據需要組成不同的邏輯子網，即一個VLAN就是一個邏輯廣播域，它可以覆蓋多個網路裝置。VLAN允許處於不同地理位置的網路使用者加入到一個邏輯子網中，共享一個廣播域。透過對VLAN的建立可以控制廣播風暴的產生，從而提高交換式網路的整體效能和安全性。

---- VLAN對於網路使用者來說是完全透明的，使用者感覺不到使用中與交換式網路有任何的差別，但對於網路管理人員則有很大的不同，因為這主要取決於VLAN的幾點優勢。

---- 1. 控制廣播風暴

---- 主要有2種方式: 物理網路分段和VLAN邏輯分段。

---- 2. 提高網路整體安全性

---- 透過路由訪問列表和MAC地址分配等VLAN劃分原則，可以控制使用者訪問許可權和邏輯網段大小。

---- 3. 網路管理簡單、直觀

---- 對於交換式乙太網，如果對某些使用者重新進行網段分配，需要網管員對網路系統的物理結構重新進行調整，甚至需要追加網路裝置，增大網路管理的工作量。而對於採用VLAN技術的網路來說，只需網管人員在網管中心對該使用者進行VLAN網段的重新分配即可。

關於Trunk方式

---- Trunk是獨立於VLAN的、將多條物理鏈路模擬為一條邏輯鏈路的VLAN與VLAN之間的連線方式。採用Trunk方式不僅能夠連線不同的VLAN或跨越多個交換機的相同VLAN，而且還能增加交換機間的物理連線頻寬，增強網路裝置間的冗餘。由於在基於交換機的VLAN劃分當中，交換機的各埠分別屬於各VLAN段，如果將某一VLAN埠用於網路裝置間的級聯，則該網路裝置的其他VLAN中的網路終端就無法與隸屬於其他網路裝置的VLAN網路終端進行通訊。有鑑於此，網路裝置間的級聯必須採用Trunk方式，使得該埠不隸屬於任何VLAN，也就是說該埠所建成的網路裝置間的級聯鏈路是所有VLAN進行通訊的公用通道。

VLAN劃分的4種策略

---- 1. 基於埠的VLAN劃分

---- 基於埠的VLAN劃分是最簡單、最有效的劃分方法。該方法只需網路管理員對網路裝置的交換埠進行重新分配即可，不用考慮該埠所連線的裝置。

---- 2. 基於MAC地址的VLAN劃分

---- MAC地址其實就是指網路卡的識別符號，每一塊網路卡的MAC地址都是惟一且固化在網路卡上的。MAC地址由12位16進位制數表示，前8位為廠商標識，後4位為網路卡標識。

---- 基於MAC地址的VLAN劃分其實就是基於工作站與伺服器的VLAN組合。在網路規模較小時，該方案亦不失為一個好方法，但隨著網路規模的擴大，網路裝置和使用者的增加，則會很大程度上加大管理難度。

---- 3. 基於路由的VLAN劃分

---- 路由協議工作在網路層，相應的工作裝置有路由器和路由交換機。該方式允許一個VLAN跨越多個交換機，或一個埠位於多個VLAN中。

---- 4. 基於策略的VLAN劃分

---- 基於策略的VLAN劃分是一種比較有效而且直接的方式。這主要取決於在VLAN劃分中所採用的策略。

---- 就目前來說，對於VLAN的劃分主要採用上述第1和3方式，第2種方式為輔助性的方案。

向版主反映這個帖子

VLAN在網路管理中的應用

文章來源：（李緒忠 陳曉斌 梁娟 ）

一、前言

廣州分院計算機網是中科院"百所聯網"二期工程的一部分，網路中心裝置於1998年初安裝執行，隨著使用者接入和網路應用的開展，在執行、管理中碰到不少問題。雖然已逐漸完善網路中心裝置及伺服器的配置和建立了相應的管理制度，一些問題也得以解決和控制，但對防止一些不守法使用者經常採用未授權IP上網問題，仍不能得到解決，網管人員為此花費不少精力。當時曾想在邊界路由器上做IP-MAC繫結，但由於CSTNET從網路整體安全考慮，邊界路由器管理權由院網路中心控制，對二級節點的廣州分院網來說,如把IP-MAC繫結在邊界路由器上，將不利於網路監控及管理,對可能發生的一些事件無法做出快速反應，因此實際是不可行的。解決問題只能在廣州分院網路中心裝置上入手。

二、網路結構配置及解決方案

由於4500只配高速口f0，其餘為非同步口，使得邊界路由Cisco 2514只能接入Catalyst3200，和所有區域網形成"平構式"結構，對防止IP盜用問題造成先天不足。

從分析Catalyst 3200虛網功能上可見，除了虛網功能本身的優點外，Catalyst 3200 交換機與Cisco 4500路由器的高速口支援ISL(InterSwitch Link)及VTP（VLAN TRUNK PROTOCOL），這對強化網路管理提供有力的技術保證。透過對Catalyst 3200的埠進行虛網設定，再跟據網路使用者所在的物理位置、工作性質、網路通訊負載儘量均衡原則，把所有網路使用者納入不同虛擬子網,各子網經 Catalyst 3200與Cisco 4500的高速口連線--路由，再把IP-MAC繫結在Cisco 4500上就可能達到預期目的。

三、虛擬子網VLAN的配置

1).Catalyst 3200交換機上VLAN及VTP的配置 經超級終端進入Catalyst 3200控臺

a).設定VLAN管理域 進入"SET VTP AND···· ",選"VTP ADMINISTRATION CONFIGURATION" 設定VALN管理域名"GIETNET"；VTP方式為"SERVER"。

b).設定VLAN及TRUNK： 將所有子網的交換機、HUB上連至Catalyst 3200的10MB或100MB口，並按上述原則分配VLAN，將這些埠進行虛網劃分如下：

本項設定是從控制檯的CONFIGURATION選定"LOCAL VLAN PROT CONFIGURATION"，進行VLAN及TRUNK口的指定，並把所有的3個VLAN填入TRUNK口的配置單中，最後顯示如下

2).Cisco 4500路由器的設定

把Cisco 4500的f0口按子網數"分割"成相應的"子口"， 根據其設定的ISL（InterSwitch Link）號,與相應子網進行邏輯連線。在本例中，f0被分割為f0.1、f0.2、f0.3與VLAN1、VLAN2、VLAN3連線，其配置命令如下：

router#config t

router(config)#int f0.1

router(config-subif)#Description VLAN1_GIET

router(config-subif)#ip address 192.168.111.1 255.255.255.192

router(config-subif)#encapsulation isl 2

. .

router(config)#int f0.2

router(config-subif)#Description VLAN2_gzbnic

router(config-subif)#ip addess 192.168.111.65 255.255.255.192

router(config-subif)#encapsulation isl 3

. .

Ctl Z

wr

設定完畢,再請北京網路中心把邊界路由器中有關子網路由項全部指向Cisco 4500,使用者的閘道器按其子網路由器地址設定。

3).在Cisco 4500路由器上建立ARP表

為強化網路管理防止IP盜用，在Cisco 4500路由器上建立ARP表，將所有子網的IP與相應的網路卡MAC地址進行繫結，對於未用的IP也進行繫結，如：

ARP 192.168.111.130 0800.3c5d.419f ARPA (已分配的IP有網路卡地址)

.

ARP 192.168.111.169 0000.0000.0000 ARPA (未分配的IP無網路卡地址)

當註冊網路使用者需更換網路卡時，需得到網管人員的確認、同意，對企圖非法盜用者將無法進行（參見下述）；另外可按具體情況設定訪問控制列表等安全管理措施。

四、系統特點

經過虛網設定和IP-MAC繫結結合, 網路系統的特點：

1).發揮VLAN優勢

合理分配網路資源，均衡網路負載，有效降低網上廣播資訊,方便對使用者的分組管理。

2).增強網路安全

由於網路各子網相互隔離，網路通訊限制在子網內；子網間的交通或出境的通訊全部透過其相應的路由埠,加強了Cisco 4500對全網的控制能力,並由4500上的ARP表進行使用者IP的合法性核查。

3).強化網路管理、合理記費

如2)所述，由於虛網的配置加上Cisco 4500的IP-MAC的匹配檢查，使得IP盜用比一般的地址繫結更為困難，理由是這種配置結構下，即使想盜用，其通訊也只限於本子網內(活動範圍大大減少,被當場抓獲可能性加大) ；Cisco 4500上的IP-MAC的匹配核查，使得有計費的IP盜用無法進行(盜用變得無意義)，從而達到合理記費和有效提高網路管理、控制能力。

本工作於去年完成，執行穩定，滿足要求。華教公司的田戈先生對方案提供寶貴意見，在此表示感謝。

名詞解釋：

1).VLAN TRUNK PROTOCOL（VTP）：用VTP設定和管理整個域內的VLAN，在管理域內VTP自動釋出配置資訊，其範圍包括所有TRUNK連線，如交換互連（ISL）、802.10和ATMLAN（LANE） 當交換機加電時，它會週期性地送出VTP配置請求，直至接到近鄰的配置（summary）廣播資訊，從而進行結構配置必要的更新。 交換機的VTP配置有三種模式：伺服器、客戶和透明模式。

2).ISLTRUNK ISL中繼不同的VLAN多路包，包頭帶有"ISL VLAN數"標誌（VTP VLAN ID）。

CISCO交換機支援VLAN列表 　

1900系列標準版：不支援VLAN

1900系列企業版：支援1024個ISL VLAN

2926：支援1000個ISL VLAN

2948G：支援1024個802.1Q VLAN

2912XL/2912MF XL/2924XL/2924C XL/2924M XL支援64個ISL 802.1Q VLAN

6006600965066509支援1000個VLAN

4003 4006支援個1024ISL(L3)/802.1Q

5002 5000 5500 5505 5509支援1000個VLA