《VLAN入门知识4300.docx》由会员分享,可在线阅读,更多相关《VLAN入门知识4300.docx(58页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、带你入门一窥VLAN全貌VLAN(Virtual LAN),翻译成中文是“虚拟局域网”。LAN可以是由少数几台家用计算机构成的网络,也可以是数以百计的计算机构成的企业网络。 1菜鸟起步 初识VLLAN VLAN(VVirtuual LLocall Areea Neetworrk)又称称虚拟局域域网,是指指在交换局局域网的基基础上,采采用网络管管理软件构构建的可跨跨越不同网网段、不同同网络的端端到端的逻逻辑网络 什么是VLLAN VLAAN(Viirtuaal Loocal Areaa Nettworkk)又称虚虚拟局域网网,是指在在交换局域域网的基础础上,采用用网络管理理软件构建建的可跨越越不
2、同网段段、不同网网络的端到到端的逻辑辑网络。一一个VLAAN组成一一个逻辑子子网,即一一个逻辑广广播域,它它可以覆盖盖多个网络络设备,允允许处于不不同地理位位置的网络络用户加入入到一个逻逻辑子网中中。 组建VVLAN的的条件 VLAAN是建立立在物理网网络基础上上的一种逻逻辑子网,因因此建立VVLAN需需要相应的的支持VLLAN技术术的网络设设备。当网网络中的不不同VLAAN间进行行相互通信信时,需要要路由的支支持,这时时就需要增增加路由设设备要要实现路由由功能,既既可采用路路由器,也也可采用三三层交换机机来完成。 划分VVLAN的的基本策略略 从技术术角度讲,VVLAN的的划分可依依据不同原
3、原则,一般般有以下三三种划分方方法: 1、基基于端口的的VLANN划分 这种划划分是把一一个或多个个交换机上上的几个端端口划分一一个逻辑组组,这是最最简单、最最有效的划划分方法。该该方法只需需网络管理理员对网络络设备的交交换端口进进行重新分分配即可,不不用考虑该该端口所连连接的设备备。 2、基基于MACC地址的VVLAN划划分 MACC地址其实实就是指网网卡的标识识符,每一一块网卡的的MAC地地址都是惟惟一且固化化在网卡上上的。MAAC地址由由12位116进制数数表示,前前8位为厂厂商标识,后后4位为网网卡标识。网网络管理员员可按MAAC地址把把一些站点点划分为一一个逻辑子子网。 3、基基于路
4、由的的VLANN划分 路由协协议工作在在网络层,相相应的工作作设备有路路由器和路路由交换机机(即三层层交换机)。该该方式允许许一个VLLAN跨越越多个交换换机,或一一个端口位位于多个VVLAN中中。 就目前前来说,对对于VLAAN的划分分主要采取取上述第11、3种方方式,第22种方式为为辅助性的的方案。使用VLAAN优点 使用VVLAN具具有以下优优点: 1、控控制广播风风暴 一个VVLAN就就是一个逻逻辑广播域域,通过对对VLANN的创建,隔隔离了广播播,缩小了了广播范围围,可以控控制广播风风暴的产生生。 2、提提高网络整整体安全性性 通过路路由访问列列表和MAAC地址分分配等VLLAN划分
5、分原则,可可以控制用用户访问权权限和逻辑辑网段大小小,将不同同用户群划划分在不同同VLANN,从而提提高交换式式网络的整整体性能和和安全性。 3、网网络管理简简单、直观观 对于交交换式以太太网,如果果对某些用用户重新进进行网段分分配,需要要网络管理理员对网络络系统的物物理结构重重新进行调调整,甚至至需要追加加网络设备备,增大网网络管理的的工作量。而而对于采用用VLANN技术的网网络来说,一一个VLAAN可以根根据部门职职能、对象象组或者应应用将不同同地理位置置的网络用用户划分为为一个逻辑辑网段。在在不改动网网络物理连连接的情况况下可以任任意地将工工作站在工工作组或子子网之间移移动。利用用虚拟网
6、络络技术,大大大减轻了了网络管理理和维护工工作的负担担,降低了了网络维护护费用。在在一个交换换网络中,VVLAN提提供了网段段和机构的的弹性组合合机制。 三层交交换技术 传统的的路由器在在网络中有有路由转发发、防火墙墙、隔离广广播等作用用,而在一一个划分了了VLANN以后的网网络中,逻逻辑上划分分的不同网网段之间通通信仍然要要通过路由由器转发。由由于在局域域网上,不不同VLAAN之间的的通信数据据量是很大大的,这样样,如果路路由器要对对每一个数数据包都路路由一次,随随着网络上上数据量的的不断增大大,路由器器将不堪重重负,路由由器将成为为整个网络络运行的瓶瓶颈。 在这种种情况下,出出现了第三三层
7、交换技技术,它是是将路由技技术与交换换技术合二二为一的技技术。三层层交换机在在对第一个个数据流进进行路由后后,会产生生一个MAAC地址与与IP地址址的映射表表,当同样样的数据流流再次通过过时,将根根据此表直直接从二层层通过而不不是再次路路由,从而而消除了路路由器进行行路由选择择而造成网网络的延迟迟,提高了了数据包转转发的效率率,消除了了路由器可可能产生的的网络瓶颈颈问题。可可见,三层层交换机集集路由与交交换于一身身,在交换换机内部实实现了路由由,提高了了网络的整整体性能。 在以三三层交换机机为核心的的千兆网络络中,为保保证不同职职能部门管管理的方便便性和安全全性以及整整个网络运运行的稳定定性,
8、可采采用VLAAN技术进进行虚拟网网络划分。VVLAN子子网隔离了了广播风暴暴,对一些些重要部门门实施了安安全保护;且当某一一部门物理理位置发生生变化时,只只需对交换换机进行设设置,就可可以实现网网络的重组组,非常方方便、快捷捷,同时节节约了成本本。 2虚拟局域网网入门虚拟网是指指在物理网网络基础架架构上,利利用交换机机和路由器器的功能,配配置网络的的逻辑拓扑扑结构,从从而允许网网络管理员员任意地将将一个局域域网内的任任何数量网网段聚合成成一个用户户组,就好好像它们是是一个单独独的局域网网 有很多企业业在发展的的初期,人人员较少 ,因此对对网络的要要求也不高高,而且为为了节约成成本,很多多企业
9、网都都采用了通通过路由器器实现分段段的简单结结构(图11)。在这这样的网络络下,每一一个局域网网上的广播播数据包都都可以被该该段上的所所有设备收收到,而无无论这些设设备是否需需要。随着着企业规模模的不断扩扩大,特别别是多媒体体在企业局局域网中的的应用,使使每个部门门内部的数数据传输量量非常大。此此外,由于于公司发展展中一些遗遗留下来的的问题,使使得一个部部门的员工工不能相对对集中办公公。更重要要的是,公公司的财务务部门需要要越来越高高的安全性性,不能和和其他的部部门混用一一个以太网网段,以防防止数据窃窃听。这些些新问题需需要更灵活活地配置局局域网,因因此就产生生了虚拟局局域网(VVirtuua
10、l LLAN)技技术。图1 虚拟网网是指在物物理网络基基础架构上上,利用交交换机和路路由器的功功能,配置置网络的逻逻辑拓扑结结构,从而而允许网络络管理员任任意地将一一个局域网网内的任何何数量网段段聚合成一一个用户组组,就好像像它们是一一个单独的的局域网。近近期虚拟网网(VLAAN)迅速速倔起,并并成为最具具生命力的的组网技术术之一。(图图2)图2 虚拟局局域网的特特点在在使用带宽宽、灵活性性、性能等等方面,虚虚拟局域网网(VLAAN)都显显示出很大大优势。虚虚拟局域网网的使用能能够方便地地进行用户户的增加、删删除、移动动等工作,提提高网络管管理的效率率。他具有有以下特点点:11、灵活的的、软定
11、义义的、边界界独立于物物理媒质的的设备群。VVLAN概概念的引入入,使交换换机承担了了网络的分分段工作,而而不再使用用路由器来来完成。通通过使用VVLAN,能能够把原来来一个物理理的局域网网划分成很很多个逻辑辑意义上的的子网,而而不必考虑虑具体的物物理位置,每每一个VLLAN都可可以对应于于一个逻辑辑单位,如如部门、车车间和项目目组等。2、广广播流量被被限制在软软定义的边边界内、提提高了网络络的安全性性。由于在在相同VLLAN内的的主机间传传送的数据据不会影响响到其他VVLAN上上的主机,因因此减少了了数据窃听听的可能性性,极大地地增强了网网络的安全全性。3、在同一一个虚拟局局域网成员员之间提
12、供供低延迟、线线速的通信信。能够在在网络内划划分网段或或者微网段段,提高网网络分组的的灵活性。VVLAN技技术通过把把网络分成成逻辑上的的不同广播播域,使网网络上传送送的包只在在与位于同同一个VLLAN的端端口之间交交换。这样样就限制了了某个局域域网只与同同一个VLLAN的其其它局域网网互相连,避避免浪费带带宽,从而而消除了传传统的桥接接交换网网络的固有有缺陷包经常被被传送到并并不需要它它的局域网网中。这也也改善了网网络配置规规模的灵活活性,尤其其是在支持持广播多多播协议和和应用程序序的局域网网环境中,会会遭遇到如如潮水般涌涌来的包。而而在 VLLAN结构构中,可以以轻松地拒拒绝其他VVLAN
13、的的包,从而而大大减少少网络流量量。虚拟局局域网的分分类虚虚拟局域网网是一种软软技术,如如何分类,将将决定此技技术在网络络中能否发发挥到预期期作用,下下面将介绍绍虚拟局域域网的分类类以及特性性。常见的的虚拟局域域网分类有有三种:基基于端口、基基于硬件MMAC地址址、基于网网络层。 1、 基于端端口基基于端口的的虚拟局域域网划分是是比较流行行和最早的的划分方式式,其特点点是将交换换机按照端端口进行分分组,每一一组定义为为一个虚拟拟局域网。这这些交换机机端口分组组可以在一一台交换机机上也可以以跨越几个个交换机(例例如,号号交换机的的端口1和和2以及22号交换机机的端口44、5、66和7上的的最终工
14、作作站组成了了虚拟局域域网A;而而1号交换换机的端口口3、4、55、6、77和8加上上2号交换换机的端口口1、2、33和8上的的最终工作作站组成了了虚拟局域域网B)。图3 端口分分组目前是是定义虚拟拟局域网成成员最常用用的方法,而而且配置也也相当直截截了当。纯纯粹用端口口分组来定定义虚拟局局域网不会会容许多个个虚拟局域域网包含同同一个实际际网段(或或交换机端端口)。其其特点是一一个虚拟局局域网的各各个端口上上的所有终终端都在一一个广播域域中,它们们相互可以以通信,不不同的虚拟拟局域网之之间进行通通信需经过过路由来进进行。这种种虚拟局域域网划分方方式的优点点在于简单单,容易实实现,从一一个端口发
15、发出的广播播,直接发发送到虚拟拟局域网内内的其他端端口,也便便于直接监监控。但是是,用端口口定义虚拟拟局域网的的主要局限限性是:使使用不够灵灵活,当用用户从一个个端口移动动到另一个个端口的时时候网络管管理员必须须重新配置置虚拟局域域网成员。不不过这一点点可以通过过灵活的网网络管理软软件来弥补补。2 、基于于硬件MAAC地址层层基于于硬件MAAC地址层层地址的虚虚拟局域网网具有不同同的优点和和缺点。由由于硬件地地址层的地地址是硬连连接到工作作站的网络络界面卡(NNIC)上上的,所以以基于硬件件地址层地地址的的虚虚拟局域网网使网络管管理者能够够把网络上上的工作站站移动到不不同的实际际位置,而而且可
16、以让让这台工作作站自动地地保持它原原有的虚拟拟局域网成成员资格。按按照这种方方式,由硬硬件地址层层地址定义义的虚拟局局域网可以以被视为基基于用户的的虚拟局域域网。这种方式式的虚拟局局域网,交交换机对终终端的MAAC地址和和交换机端端口进行跟跟踪,在新新终端入网网时根据已已经定义的的虚拟局域域网MMAC对应应表将其划划归至某一一个虚拟局局域网,而而无论该终终端在网络络中怎样移移动,由于于其MACC地址保持持不变,故故不需进行行虚拟局域域网的重新新配置。这这种划分方方式减少了了网络管理理员的日常常维护工作作量,不足足之处在于于所有的终终端必须被被明确的分分配在一个个具体的虚虚拟局域网网,任何时时候
17、增加终终端或者更更换网卡,都都要对虚拟拟局域网数数据库调整整,以实现现对该终端端的动态跟跟踪。基于硬件件地址层地地址的虚拟拟局域网解解决方案的的缺点之一一是要求所所有的用户户必须初始始配置在至至少一个虚虚拟局域网网中。在这这次初始手手工配置之之后,用户户的自动跟跟踪才有可可能实现,而而且取决于于特定的供供应商解决决方案。然然而,这种种不得不在在一开始先先用人工配配置虚拟局局域网的方方法,其缺缺点在一个个非常大的的网络中变变得非常明明显:几千千个用户必必须逐个地地分配到各各自特定的的虚拟局域域网中。某某些供应商商已经减少少了初始手手工配置基基于硬件地地址的虚拟拟局域网的的繁重任务务,它们采采用根
18、据网网络的当前前状态生成成虚拟局域域网的工具具,也就是是说为每一一个子网生生成一个基基于硬件地地址的虚拟拟局域网。 3 、基基于网络层层基于于网络层的的虚拟局域域网划分也也叫做基于于策略(PPOLICCY)的划划分,是这这几种划分分方式中最最高级也是是最为复杂杂的。基于于网络层的的虚拟局域域网使用协协议(如果果网络中存存在多协议议的话)或或网络层地地址(如TTCP/IIP中的子子网段地址址)来确定定网络成员员。利用网网络层定义义虚拟网有有以下几点点优势。第第一,这种种方式可以以按传输协协议划分网网段。其次次,用户可可以在网络络内部自由由移动而不不用重新配配置自己的的工作站。第第三,这种种类型的
19、虚虚拟网可以以减少由于于协议转换换而造成的的网络延迟迟。这种方方式看起来来是最为理理想的方式式,但是在在采用这种种划分之前前,要明确确两件事情情:一是IIP盗用,二二是对设备备要求较高高,不是所所有设备都都支持这种种方式。虚拟局域网网的应用由于虚虚拟局域网网具有比较较明显的优优势,在各各种企业中中都有了很很好的应用用。下面就就根据不同同的案例来来分析虚拟拟局域网的的应用情况况。 1、局局域网内部部的局域网网往往往很多企业业已经具有有一个相当当规模的局局域网,但但是现在企企业内部因因为保密或或者其他原原因,要求求各业务部部门或者课课题组独立立成为一个个局域网,同同时,各业业务部门或或者课题组组的
20、人员不不一定是在在同一个办办公地点,各各网络之间间不允许互互相访问。根根据这种情情况,可以以有几种解解决方法,但但是虚拟局局域网解决决方法可能能是最好的的。为了完完成上述任任务,我们们要做的工工作是收集集各部门或或者课题组组的人员组组成、所在在位置、与与交换机连连接的端口口等信息。根根据部门数数量对交换换机进行配配置,创建建虚拟局域域网,设置置中继,最最后,在一一个公用的的局域网内内部划分出出来若干个个虚拟的局局域网,同同时减少了了局域网内内的广播,提提高了网络络传输性能能。这样的的虚拟局域域网可以方方便地根据据需要增加加、改变、删删除。2、共享享访问访问共同同的接入点点和服务器器在一一些大型
21、写写字楼或商商业建筑(酒酒店、展览览中心等),经经常存在这这样的现象象:大楼出出租给各个个单位,并并且大楼内内部已经构构建好了局局域网,提提供给入驻驻企业或客客户网络平平台,并通通过共同的的出口访问问Inteernett或者大楼楼内部的综综合信息服服务器。由由于大楼的的网络平台台是统一的的,使用的的客户有物物业管理人人员、有其其他不同单单位的客户户。在这样样一个共享享的网络环环境下,解解决不同企企业或单位位对网络的的需求的同同时,还要要保证各企企业间信息息的独立性性。这种情情况下,虚虚拟局域网网提供了很很好的解决决方案。大大厦的系统统管理员可可以为入驻驻企业创建建一个个独独立的虚拟拟局域网,保
22、保证企业内内部的互相相访问和企企业间信息息的独立,然然后利用中中继技术,将将提供接入入服务的代代理服务器器或者路由由器所对应应的局域网网接口配置置成为中继继模式,实实现共享接接入。这种种配置方式式还有一个个好处,可可以根据需需要设置中中继的访问问许可,灵灵活地允许许或者拒绝绝某个虚拟拟局域网的的访问。3、交叠虚虚拟局域网网交叠叠虚拟局域域网是在基基于端口划划分虚拟局局域网的基基础上提出出来的,最最早的交换换机每一个个端口只能能同时属于于一个虚拟拟局域网,交交叠虚拟局局域网允许许一个交换换机端口同同时属于多多个虚拟局局域网。这这种技术可可以解决一一些突发性性的、临时时性的虚拟拟局域网划划分。比如
23、如在一个科科研机构,已已经划分了了若干个虚虚拟局域网网,但是因因为某个科科研任务,从从各个虚拟拟局域网里里面抽调出出来技术人人员临时组组成课题组组,要求课课题组内部部通信自如如,同时各各科研人员员还要保持持和原来的的虚拟局域域网进行信信息交流。如如果采用路路由和访问问列表控制制技术,成成本会较大大,同时会会降低网络络性能。交交叠技术的的出现,为为这一问题题提供了廉廉价的解决决方法;只只需要将要要加入课题题组的人员员所对应的的交换机端端口设置成成为支持多多个虚拟局局域网,然然后创建一一个新虚拟拟局域网,将将所有人员员划分到新新虚拟局域域网,保持持各人员原原来所属虚虚拟局域网网不变即可可。图4 以
24、上简简单的介绍绍了虚拟局局域网的主主要技术和和一些实际际应用,希希望会给读读者带来有有益的帮助助。随着现现代交换技技术的发展展而出现,并并将随着网网络的应用用得到普及及,虚拟局局域网将成成为众多网网络设计、规规划和管理理人员欢迎迎和使用的的技术。 交换机VLLAN的配配置本篇就要为为大家介绍绍交换机的的一个最常常见技术应应用-VVLAN技技术,并针针对中、小小局域网VVLAN的的网络配置置以实例的的方式向大大家简单介介绍其配置置方法。 谈到VLAAN,或许许许多人都都觉得非常常神秘,甚甚至包括一一些网管人人员。其实实有关VLLAN的技技术标准IIEEE 802.1Q早在在19999年6月份份就
25、由IEEEE委员员正式颁布布实施了,而而且最早的的VLNAA技术早在在19966年Cissco(思思科)公司司就提出了了。随着几几年来的发发展,VLLAN技术术得到广泛泛的支持,在在大大小小小的企业网网络中广泛泛应用,成成为当前最最为热门的的一种以太太局域网技技术。本篇篇就要为大大家介绍交交换机的一一个最常见见技术应用用-VLLAN技术术,并针对对中、小局局域网VLLAN的网网络配置以以实例的方方式向大家家简单介绍绍其配置方方法。一、VVLAN基基础VLAAN(Viirtuaal Loocal Areaa Nettworkk)的中文文名为虚虚拟局域网网,注意意不是VVPN(虚虚拟专用网网)。V
26、LLAN是一一种将局域域网设备从从逻辑上划划分(注意意,不是从从物理上划划分)成一一个个网段段,从而实实现虚拟工工作组的新新兴数据交交换技术。这这一新兴技技术主要应应用于交换换机和路由由器中,但但主流应用用还是在交交换机之中中。但又不不是所有交交换机都具具有此功能能,只有VVLAN协协议的第三三层以上交交换机才具具有此功能能,这一点点可以查看看相应交换换机的说明明书即可得得知。IEEEE于19999年颁颁布了用以以标准化VVLAN实实现方案的的802.1Q协议议标准草案案。VLAAN技术的的出现,使使得管理员员根据实际际应用需求求,把同一一物理局域域网内的不不同用户逻逻辑地划分分成不同的的广播
27、域,每每一个VLLAN都包包含一组有有着相同需需求的计算算机工作站站,与物理理上形成的的LAN有有着相同的的属性。由由于它是从从逻辑上划划分,而不不是从物理理上划分,所所以同一个个VLANN内的各个个工作站没没有限制在在同一个物物理范围中中,即这些些工作站可可以在不同同物理LAAN网段。由由VLANN的特点可可知,一个个VLANN内部的广广播和单播播流量都不不会转发到到其他VLLAN中,从从而有助于于控制流量量、减少设设备投资、简简化网络管管理、提高高网络的安安全性。 交换技技术的发展展,也加快快了新的交交换技术(VVLAN)的的应用速度度。通过将将企业网络络划分为虚虚拟网络VVLAN网网段,
28、可以以强化网络络管理和网网络安全,控控制不必要要的数据广广播。在共共享网络中中,一个物物理的网段段就是一个个广播域。而而在交换网网络中,广广播域可以以是有一组组任意选定定的第二层层网络地址址(MACC地址)组组成的虚拟拟网段。这这样,网络络中工作组组的划分可可以突破共共享网络中中的地理位位置限制,而而完全根据据管理功能能来划分。这这种基于工工作流的分分组模式,大大大提高了了网络规划划和重组的的管理功能能。在同一一个VLAAN中的工工作站,不不论它们实实际与哪个个交换机连连接,它们们之间的通通讯就好象象在独立的的交换机上上一样。同同一个VLLAN中的的广播只有有VLANN中的成员员才能听到到,而
29、不会会传输到其其他的 VVLAN中中去,这样样可以很好好的控制不不必要的广广播风暴的的产生。同同时,若没没有路由的的话,不同同VLANN之间不能能相互通讯讯,这样增增加了企业业网络中不不同部门之之间的安全全性。网络络管理员可可以通过配配置VLAAN之间的的路由来全全面管理企企业内部不不同管理单单元之间的的信息互访访。交换机机是根据用用户工作站站的MACC地址来划划分VLAAN的。所所以,用户户可以自由由的在企业业网络中移移动办公,不不论他在何何处接入交交换网络,他他都可以与与VLANN内其他用用户自如通通讯。 VLAAN网络可可以是有混混合的网络络类型设备备组成,比比如:100M以太网网、10
30、00M以太网网、令牌网网、FDDDI、CDDDI等等等,可以是是工作站、服服务器、集集线器、网网络上行主主干等等。 VLAAN除了能能将网络划划分为多个个广播域,从从而有效地地控制广播播风暴的发发生,以及及使网络的的拓扑结构构变得非常常灵活的优优点外,还还可以用于于控制网络络中不同部部门、不同同站点之间间的互相访访问。VLAAN是为解解决以太网网的广播问问题和安全全性而提出出的一种协协议,它在在以太网帧帧的基础上上增加了VVLAN头头,用VLLAN IID把用户户划分为更更小的工作作组,限制制不同工作作组间的用用户互访,每每个工作组组就是一个个虚拟局域域网。虚拟拟局域网的的好处是可可以限制广广
31、播范围,并并能够形成成虚拟工作作组,动态态管理网络络。二、VLAAN的划分分方法VLAAN在交换换机上的实实现方法,可可以大致划划分为六类类:1. 基基于端口划划分的VLLAN这是最最常应用的的一种VLLAN划分分方法,应应用也最为为广泛、最最有效,目目前绝大多多数VLAAN协议的的交换机都都提供这种种VLANN配置方法法。这种划划分VLAAN的方法法是根据以以太网交换换机的交换换端口来划划分的,它它是将VLLAN交换换机上的物物理端口和和VLANN交换机内内部的PVVC(永久久虚电路)端端口分成若若干个组,每每个组构成成一个虚拟拟网,相当当于一个独独立的VLLAN交换换机。对于不不同部门需需
32、要互访时时,可通过过路由器转转发,并配配合基于MMAC地址址的端口过过滤。对某某站点的访访问路径上上最靠近该该站点的交交换机、路路由交换机机或路由器器的相应端端口上,设设定可通过过的MACC地址集。这这样就可以以防止非法法入侵者从从内部盗用用IP地址址从其他可可接入点入入侵的可能能。从这种种划分方法法本身我们们可以看出出,这种划划分的方法法的优点是是定义VLLAN成员员时非常简简单,只要要将所有的的端口都定定义为相应应的VLAAN组即可可。适合于于任何大小小的网络。它它的缺点是是如果某用用户离开了了原来的端端口,到了了一个新的的交换机的的某个端口口,必须重重新定义。2. 基于MAAC地址划划分
33、VLAAN 这种划划分VLAAN的方法法是根据每每个主机的的MAC地地址来划分分,即对每每个MACC地址的主主机都配置置他属于哪哪个组,它它实现的机机制就是每每一块网卡卡都对应唯唯一的MAAC地址,VVLAN交交换机跟踪踪属于VLLAN MMAC的地地址。这种种方式的VVLAN允允许网络用用户从一个个物理位置置移动到另另一个物理理位置时,自自动保留其其所属VLLAN的成成员身份。由这种种划分的机机制可以看看出,这种种VLANN的划分方方法的最大大优点就是是当用户物物理位置移移动时,即即从一个交交换机换到到其他的交交换机时,VVLAN不不用重新配配置,因为为它是基于于用户,而而不是基于于交换机的
34、的端口。这这种方法的的缺点是初初始化时,所所有的用户户都必须进进行配置,如如果有几百百个甚至上上千个用户户的话,配配置是非常常累的,所所以这种划划分方法通通常适用于于小型局域域网。而且且这种划分分的方法也也导致了交交换机执行行效率的降降低,因为为在每一个个交换机的的端口都可可能存在很很多个VLLAN组的的成员,保保存了许多多用户的MMAC地址址,查询起起来相当不不容易。另另外,对于于使用笔记记本电脑的的用户来说说,他们的的网卡可能能经常更换换,这样VVLAN就就必须经常常配置。3. 基于网络络层协议划划分VLAAN VLAAN按网络络层协议来来划分,可可分为IPP、IPXX、DECCnet、A
35、AppleeTalkk、Bannyan等等VLANN网络。这这种按网络络层协议来来组成的VVLAN,可可使广播域域跨越多个个VLANN交换机。这这对于希望望针对具体体应用和服服务来组织织用户的网网络管理员员来说是非非常具有吸吸引力的。而而且,用户户可以在网网络内部自自由移动,但但其VLAAN成员身身份仍然保保留不变。这种方方法的优点点是用户的的物理位置置改变了,不不需要重新新配置所属属的VLAAN,而且且可以根据据协议类型型来划分VVLAN,这这对网络管管理者来说说很重要,还还有,这种种方法不需需要附加的的帧标签来来识别VLLAN,这这样可以减减少网络的的通信量。这这种方法的的缺点是效效率低,
36、因因为检查每每一个数据据包的网络络层地址是是需要消耗耗处理时间间的(相对对于前面两两种方法),一般的的交换机芯芯片都可以以自动检查查网络上数数据包的以以太网祯头头,但要让让芯片能检检查IP帧帧头,需要要更高的技技术,同时时也更费时时。当然,这这与各个厂厂商的实现现方法有关关。4. 根根据IP组组播划分VVLAN IP 组播实际际上也是一一种VLAAN的定义义,即认为为一个IPP组播组就就是一个VVLAN。这这种划分的的方法将VVLAN扩扩大到了广广域网,因因此这种方方法具有更更大的灵活活性,而且且也很容易易通过路由由器进行扩扩展,主要要适合于不不在同一地地理范围的的局域网用用户组成一一个VLA
37、AN,不适适合局域网网,主要是是效率不高高。 5. 按策略划划分VLAAN基于策策略组成的的VLANN能实现多多种分配方方法,包括括VLANN交换机端端口、MAAC地址、IIP地址、网网络层协议议等。网络络管理人员员可根据自自己的管理理模式和本本单位的需需求来决定定选择哪种种类型的VVLAN 。6. 按按用户定义义、非用户户授权划分分VLANN基于用用户定义、非非用户授权权来划分VVLAN,是是指为了适适应特别的的VLANN网络,根根据具体的的网络用户户的特别要要求来定义义和设计VVLAN,而而且可以让让非VLAAN群体用用户访问VVLAN,但但是需要提提供用户密密码,在得得到VLAAN管理的
38、的认证后才才可以加入入一个VLLAN。三、VLAAN的优越越性任何新新技术要得得到广泛支支持和应用用,肯定存存在一些关关键优势,VVLAN技技术也一样样,它的优优势主要体体现在以下下几个方面面:1. 增加了网网络连接的的灵活性借助VVLAN技技术,能将将不同地点点、不同网网络、不同同用户组合合在一起,形形成一个虚虚拟的网络络环境 ,就就像使用本本地LANN一样方便便、灵活、有有效。VLLAN可以以降低移动动或变更工工作站地理理位置的管管 理费用用,特别是是一些业务务情况有经经常性变动动的公司使使用了VLLAN后,这这部分管理理费用大大大降低。2. 控制网网络上的广广播VLAN可以提供建立防火墙
39、的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机, 在一个VLAN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。3. 增增加网络的的安全性因为为一个VLLAN就是是一个单独独的广播域域,VLAAN之间相相互隔离,这这大大提高高了网络的的利用率,确确保了网络络的安全保保密性。人人们在LAAN上经常常传送一些些保密的、关关键性的数数据。保密密的数据应应 提供访访问控制等等安全手段段。一个有有效和容易易实现的方方法
40、是将网网络分段成成几个不同同的广播组组, 网络络管理员限限制了VLLAN中用用户的数量量,禁止未未经允许而而访问VLLAN中的的应用。交交换端口可可以基 于于应用类型型和访问特特权来进行行分组,被被限制的应应用程序和和资源一般般置于安全全性VLAAN中。四、VVLAN网网络的配置置实例为了给给大家一个个真实的配配置实例学学习机会,下下面就以典典型的中型型局域网VVLAN配配置为例向向各位介绍绍目前最常常用的按端端口划分VVLAN的的配置方法法。某公司司有1000台计算机机左右,主主要使用网网络的部门门有:生产产部(200)、财务务部(155)、人事事部(8)和信息中中心(122)四大部部分,如
41、图图1所示。网络基基本结构为为:整个网网络中干部部分采用33台Cattalysst 19900网管管型交换机机(分别命命名为:SSwitcch1、SSwitcch2和SSwitcch3,各各交换机根根据需要下下接若干个个集线器,主主要用于非非VLANN用户,如如行政文书书、临时用用户等)、一一台Cissco 22514路路由器,整整个网络都都通过路由由器Cissco 22514与与外部互联联网进行连连接。图1所连的用户户主要分布布于四个部部分,即:生产部、财财务部、信信息中心和和人事部。主主要对这四四个部分用用户单独划划分VLAAN,以确确保相应部部门网络资资源不被盗盗用或破坏坏。 现为了了公
42、司相应应部分网络络资源的安安全性需要要,特别是是对于像财财务部、人人事部这样样的敏感部部门,其网网络上的信信息不想让让太多人可可以随便进进出,于是是公司采用用了VLAAN的方法法来解决以以上问题。通通过VLAAN的划分分,可以把把公司主要要网络划分分为:生产产部、财务务部、人事事部和信息息中心四个个主要部分分,对应的的VLANN组名为:Prodd、Finna、Huuma、IInfo,各各VLANN组所对应应的网段如如下表所示示。VLAN 号 VLAN 名 端口号 2 P rodd Switcch 1 2211 3 Fina Switcch2 2216 4 Huma Switcch3 229 5
43、 Info Switcch3 110211 【注】之之所以把交交换机的VVLAN号号从2号开始,那那是因为交交换机有一一个默认的的VLANN,那就是是1号号VLANN,它包括括所有连在在该交换机机上的用户户。VLAAN的配置置过程其实实非常简单单,只需两两步:(11)为各VVLAN组组命名;(22)把相应应的VLAAN对应到到相应的交交换机端口口。下面是是具体的配配置过程:第1步步:设置好好超级终端端,连接上上19000交换机,通通过超级终终端配置交交换机的VVLAN,连连接成功后后出现如下下所示的主主配置界面面(交换机机在此之前前已完成了了基本信息息的配置): 1 uuser(s) nnow
44、 aactivve onn Mannagemment Conssole.Usser IInterrfacee MennuM MMenussKK Coommannd LiineI IP CConfiiguraationnEnnter Seleectioon:【注】超超级终端是是利用Wiindowws系统自自带的超超级终端(Hyppertrrm)程序序进行的,具具体参见有有关资料。第2步步:单击K按键键,选择主主界面菜单单中KK Coommannd Liine选选项 ,进进入如下命命令行配置置界面:CLII sesssionn witth thhe swwitchh is openn.TTo en
45、nd thhe CLLI seessioon,ennter Exiit .此时我我们进入了了交换机的的普通用户户模式,就就象路由器器一样,这这种模式只只能查看现现在的配置置,不能更更改配置,并并且能够使使用的命令令很有限。所所以我们必必须进入特权模式式。第3步:在在上一步提示示符下输入入进入特权权模式命令令enaable,进入特特权模式,命命令格式为为ennablee,此时时就进入了了交换机配配置的特权权模式提示示符:#coonfigg tEnteer coonfiggurattion commmandss,onee perr linne.Ennd wiith CCNTL/Z(conffig)
46、#第4步步:为了安安全和方便便起见,我我们分别给给这3个CCatallyst 19000交换机起起个名字,并并且设置特特权模式的的登陆密码码。下面仅仅以Swiitch11为例进行行介绍。配配置代码如如下:(coonfigg)#hoostnaame SSwitcch1Swittch1(conffig)# enaable passswordd levvel 115 XXXXXXXXSwwitchh1(coonfigg)#【注】特特权模式密密码必须是是48位位字符这,要要注意,这这里所输入入的密码是是以明文形形式直接显显示的,要要注意保密密。交换机机用 leevel 级别的大大小来决定定密码的权权限
47、。Leevel 1 是进进入命令行行界面的密密码,也就就是说,设设置了 llevell 1 的的密码后,你你下次连上上交换机,并并输入 KK 后,就就会让你输输入密码,这这个密码就就是 leevel 1 设置置的密码。而而 levvel 115 是你你输入了enabble命命令后让你你输入的特特权模式密密码。第5步步:设置VVLAN名名称。因四四个VLAAN分属于于不同的交交换机,VVLAN命命名的命令令为 vvlan vlaan号nname vlaan名称,在Swwitchh1、Swwitchh2、Swwitchh3、交换换机上配置置2、3、44、5号VVLAN的的代码为:Swiitch11 (coonfigg)#vllan 22 namme PrrodSwittch2 (connfig)#vlaan 3 namee FinnaSSwitcch3 (conffig)#vlann 4 nname HumaaSwwitchh3 (cconfiig)#vvlan 5 naame IInfo【注】以以上配置是是