中、小局域網(wǎng)交換機(jī)VLAN的網(wǎng)絡(luò)配置

有關(guān)VLAN的技術(shù)標(biāo)準(zhǔn)IEEE 802.1Q早在1999年6月份就由IEEE委員正式頒布實(shí)施了，而且最早的VLNA技術(shù)早在1996年(思科)公司就提出 了。隨著幾年來的發(fā)展，VLAN技術(shù)得到廣泛的支持，在大大小小的企業(yè)網(wǎng)絡(luò)中廣泛應(yīng)用，成為當(dāng)前最為熱門的一種以太局域網(wǎng)技術(shù)。本篇就要 為大家介紹機(jī)的一個(gè)最常見技術(shù)應(yīng)用--VLAN技術(shù)，并針對(duì)中、小局域網(wǎng)VLAN的網(wǎng)絡(luò)配置以實(shí)例的方式向大家簡單介紹其配置方法。
　　
　　一、VLAN基礎(chǔ)
　　VLAN(Virtual Local Area Network)的中文名為虛擬局域網(wǎng)，注意不是VPN(虛擬專用網(wǎng))。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上 劃分(注意，不是從物理上劃分)成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機(jī)和器中，但主 流應(yīng)用還是在交換機(jī)之中。但又不是所有交換機(jī)都具有此功能，只有VLAN的第三層以上交換機(jī)才具有此功能，這一點(diǎn)可以查看相應(yīng)交換機(jī) 的說明書即可得知。
　　
　　IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q標(biāo)準(zhǔn)草案。VLAN技術(shù)的出現(xiàn)，使得管理員根據(jù)實(shí)際應(yīng)用需求，把同一 物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域，每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬 性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站沒有限制在同一個(gè)物理范圍中，即這些工作站可以在不同 物理LAN網(wǎng)段。由VLAN的特點(diǎn)可知，一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò) 管理、提高網(wǎng)絡(luò)的性。
　　
　　交換技術(shù)的發(fā)展，也加快了新的交換技術(shù)(VLAN)的應(yīng)用速度。通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段，可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng) 絡(luò)，控制不必要的數(shù)據(jù)廣播。在共享網(wǎng)絡(luò)中，一個(gè)物理的網(wǎng)段就是一個(gè)廣播域。而在交換網(wǎng)絡(luò)中，廣播域可以是有一組任意選定的第二層 網(wǎng)絡(luò)地址(MAC地址)組成的虛擬網(wǎng)段。這樣，網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制，而完全根據(jù)管理功能來劃分。這種基于 工作流的分組模式，大大提高了網(wǎng)絡(luò)規(guī)劃和重組的管理功能。在同一個(gè)VLAN中的工作站，不論它們實(shí)際與哪個(gè)交換機(jī)連接，它們之間的通訊就 好象在獨(dú)立的交換機(jī)上一樣。同一個(gè)VLAN中的廣播只有VLAN中的成員才能聽到，而不會(huì)傳輸?shù)狡渌?VLAN中去，這樣可以很好的控制不必要的 廣播風(fēng)暴的產(chǎn)生。同時(shí)，若沒有的話，不同VLAN之間不能相互通訊，這樣增加了企業(yè)網(wǎng)絡(luò)中不同部門之間的安全性。網(wǎng)絡(luò)管理員可以通過 配置VLAN之間的路由來全面管理企業(yè)內(nèi)部不同管理單元之間的信息互訪。交換機(jī)是根據(jù)用戶工作站的MAC地址來劃分VLAN的。所以，用戶可以自 由的在企業(yè)網(wǎng)絡(luò)中移動(dòng)辦公，不論他在何處接入交換網(wǎng)絡(luò)，他都可以與VLAN內(nèi)其他用戶自如通訊。
　　
　　VLAN網(wǎng)絡(luò)可以是有混合的網(wǎng)絡(luò)類型設(shè)備組成，比如：10M以太網(wǎng)、100M以太網(wǎng)、令牌網(wǎng)、FDDI、CDDI等等，可以是工作站、 、集線器、網(wǎng)絡(luò)上行主干等等。
　　
　　VLAN除了能將網(wǎng)絡(luò)劃分為多個(gè)廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外，還可以 用于控制網(wǎng)絡(luò)中不同部門、不同站點(diǎn)之間的互相訪問。
　　
　　VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的一種，它在以太網(wǎng) 幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域 網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。
　　
　　二、VLAN的劃分方法
　　VLAN在交換機(jī)上的實(shí)現(xiàn)方法，可以大致劃分為六類:
　　
　　1. 基于端口劃分的VLAN
　　
　　這是最常應(yīng)用的一種VLAN劃分方法，應(yīng)用也最為廣泛、最有效，目前絕大多數(shù)VLAN協(xié)議的交換機(jī)都提供這種VLAN配置方法。這種 劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的交換端口來劃分的，它是將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的PVC(永久虛電路)端口分成若干 個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的VLAN交換機(jī)。
　　
　　對(duì)于不同部門需要互訪時(shí)，可通過路由器轉(zhuǎn)發(fā)，并配合基于MAC地址的端口過濾。對(duì)某站點(diǎn)的訪問路徑上最靠近該站點(diǎn)的交換機(jī)、 路由交換機(jī)或路由器的相應(yīng)端口上，設(shè)定可通過的MAC地址集。這樣就可以防止非法入侵者從內(nèi)部盜用IP地址從其他可接入點(diǎn)入侵的可能。
　　
　　從這種劃分方法本身我們可以看出，這種劃分的方法的優(yōu)點(diǎn)是定義VLAN成員時(shí)非常簡單，只要將所有的端口都定義為相應(yīng)的VLAN 組即可。適合于任何大小的網(wǎng)絡(luò)。它的缺點(diǎn)是如果某用戶離開了原來的端口，到了一個(gè)新的交換機(jī)的某個(gè)端口，必須重新定義。
　　
　　2. 基于MAC地址劃分VLAN
　　
　　這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來劃分，即對(duì)每個(gè)MAC地址的主機(jī)都配置他屬于哪個(gè)組，它實(shí)現(xiàn)的機(jī)制就是每一塊 網(wǎng)卡都對(duì)應(yīng)唯一的MAC地址，VLAN交換機(jī)跟蹤屬于VLAN MAC的地址。這種方式的VLAN允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置時(shí)，自 動(dòng)保留其所屬VLAN的成員身份。
　　
　　由這種劃分的機(jī)制可以看出，這種VLAN的劃分方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí) ，VLAN不用重新配置，因?yàn)樗腔谟脩?，而不是基于交換機(jī)的端口。這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行配置，如果有幾百 個(gè)甚至上千個(gè)用戶的話，配置是非常累的，所以這種劃分方法通常適用于小型局域網(wǎng)。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低， 因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員，保存了許多用戶的MAC地址，查詢起來相當(dāng)不容易。另外，對(duì)于使用筆記本電腦的 用戶來說，他們的網(wǎng)卡可能經(jīng)常更換，這樣VLAN就必須經(jīng)常配置。