《企业管理VLAN入门知识.docx》由会员分享,可在线阅读,更多相关《企业管理VLAN入门知识.docx(40页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、带你入门一窥VLAN全貌VLAN(Virtual LAN),翻译成中文是“虚拟局域网”。LAN可以是由少数几台家用计算机构成的网络,也可以是数以百计的计算机构成的企业网络。 菜鸟起步步 初识识VLAAN VLANN(Viirtuual Loccal Areea NNetwworkk)又称称虚拟局局域网,是指在在交换局局域网的的基础上上,采用用网络管管理软件件构建的的可跨越越不同网网段、不不同网络络的端到到端的逻逻辑网络络 什么是VLAN VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到
2、端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。 组建VLAN的条件VLLAN是是建立在在物理网网络基础础上的一一种逻辑辑子网,因此建建立VLLAN需需要相应应的支持持VLAAN技术术的网络络设备。当网络络中的不不同VLLAN间间进行相相互通信信时,需需要路由由的支持持,这时时就需要要增加路路由设备备要要实现路路由功能能,既可可采用路路由器,也可采采用三层层交换机机来完成成。 划分VLLAN的的基本策策略从技技术角度度讲,VVLANN的划分分可依据据不同原原则,一一般有以以下三种种划分方方法: 1、基于于
3、端口的的VLAAN划分分 这种种划分是是把一个个或多个个交换机机上的几几个端口口划分一一个逻辑辑组,这这是最简简单、最最有效的的划分方方法。该该方法只只需网络络管理员员对网络络设备的的交换端端口进行行重新分分配即可可,不用用考虑该该端口所所连接的的设备。 2、基于于MACC地址的的VLAAN划分分MAAC地址址其实就就是指网网卡的标标识符,每一块块网卡的的MACC地址都都是惟一一且固化化在网卡卡上的。MACC地址由由12位位16进进制数表表示,前前8位为为厂商标标识,后后4位为为网卡标标识。网网络管理理员可按按MACC地址把把一些站站点划分分为一个个逻辑子子网。 3、基于于路由的的VLAAN划
4、分分路由由协议工工作在网网络层,相应的的工作设设备有路路由器和和路由交交换机(即三层层交换机机)。该该方式允允许一个个VLAAN跨越越多个交交换机,或一个个端口位位于多个个VLAAN中。 就目目前来说说,对于于VLAAN的划划分主要要采取上上述第11、3种种方式,第2种种方式为为辅助性性的方案案。使用VLLAN优优点 使用用VLAAN具有有以下优优点: 1、控制广广播风暴暴一个个VLAAN就是是一个逻逻辑广播播域,通通过对VVLANN的创建建,隔离离了广播播,缩小小了广播播范围,可以控控制广播播风暴的的产生。 2、提高高网络整整体安全全性 通过过路由访访问列表表和MAAC地址址分配等等VLAA
5、N划分分原则,可以控控制用户户访问权权限和逻逻辑网段段大小,将不同同用户群群划分在在不同VVLANN,从而而提高交交换式网网络的整整体性能能和安全全性。 3、网络络管理简简单、直直观 对于于交换式式以太网网,如果果对某些些用户重重新进行行网段分分配,需需要网络络管理员员对网络络系统的的物理结结构重新新进行调调整,甚甚至需要要追加网网络设备备,增大大网络管管理的工工作量。而对于于采用VVLANN技术的的网络来来说,一一个VLLAN可可以根据据部门职职能、对对象组或或者应用用将不同同地理位位置的网网络用户户划分为为一个逻逻辑网段段。在不不改动网网络物理理连接的的情况下下可以任任意地将将工作站站在工
6、作作组或子子网之间间移动。利用虚虚拟网络络技术,大大减减轻了网网络管理理和维护护工作的的负担,降低了了网络维维护费用用。在一一个交换换网络中中,VLLAN提提供了网网段和机机构的弹弹性组合合机制。 三层交换换技术 传统统的路由由器在网网络中有有路由转转发、防防火墙、隔离广广播等作作用,而而在一个个划分了了VLAAN以后后的网络络中,逻逻辑上划划分的不不同网段段之间通通信仍然然要通过过路由器器转发。由于在在局域网网上,不不同VLLAN之之间的通通信数据据量是很很大的,这样,如果路路由器要要对每一一个数据据包都路路由一次次,随着着网络上上数据量量的不断断增大,路由器器将不堪堪重负,路由器器将成为为
7、整个网网络运行行的瓶颈颈。 在这这种情况况下,出出现了第第三层交交换技术术,它是是将路由由技术与与交换技技术合二二为一的的技术。三层交交换机在在对第一一个数据据流进行行路由后后,会产产生一个个MACC地址与与IP地地址的映映射表,当同样样的数据据流再次次通过时时,将根根据此表表直接从从二层通通过而不不是再次次路由,从而消消除了路路由器进进行路由由选择而而造成网网络的延延迟,提提高了数数据包转转发的效效率,消消除了路路由器可可能产生生的网络络瓶颈问问题。可可见,三三层交换换机集路路由与交交换于一一身,在在交换机机内部实实现了路路由,提提高了网网络的整整体性能能。 在以以三层交交换机为为核心的的千
8、兆网网络中,为保证证不同职职能部门门管理的的方便性性和安全全性以及及整个网网络运行行的稳定定性,可可采用VVLANN技术进进行虚拟拟网络划划分。VVLANN子网隔隔离了广广播风暴暴,对一一些重要要部门实实施了安安全保护护;且当当某一部部门物理理位置发发生变化化时,只只需对交交换机进进行设置置,就可可以实现现网络的的重组,非常方方便、快快捷,同同时节约约了成本本。 虚拟局域域网入门门虚拟网是是指在物物理网络络基础架架构上,利用交交换机和和路由器器的功能能,配置置网络的的逻辑拓拓扑结构构,从而而允许网网络管理理员任意意地将一一个局域域网内的的任何数数量网段段聚合成成一个用用户组,就好像像它们是是一
9、个单单独的局局域网 有很多企企业在发发展的初初期,人人员较少少 ,因因此对网网络的要要求也不不高,而而且为了了节约成成本,很很多企业业网都采采用了通通过路由由器实现现分段的的简单结结构(图图1)。在这样样的网络络下,每每一个局局域网上上的广播播数据包包都可以以被该段段上的所所有设备备收到,而无论论这些设设备是否否需要。随着企企业规模模的不断断扩大,特别是是多媒体体在企业业局域网网中的应应用,使使每个部部门内部部的数据据传输量量非常大大。此外外,由于于公司发发展中一一些遗留留下来的的问题,使得一一个部门门的员工工不能相相对集中中办公。更重要要的是,公司的的财务部部门需要要越来越越高的安安全性,不
10、能和和其他的的部门混混用一个个以太网网段,以以防止数数据窃听听。这些些新问题题需要更更灵活地地配置局局域网,因此就就产生了了虚拟局局域网(Virrtuaal LLAN)技术。图1 虚拟拟网是指指在物理理网络基基础架构构上,利利用交换换机和路路由器的的功能,配置网网络的逻逻辑拓扑扑结构,从而允允许网络络管理员员任意地地将一个个局域网网内的任任何数量量网段聚聚合成一一个用户户组,就就好像它它们是一一个单独独的局域域网。近近期虚拟拟网(VVLANN)迅速速倔起,并成为为最具生生命力的的组网技技术之一一。(图图2)图2 虚拟局域域网的特特点在使用用带宽、灵活性性、性能能等方面面,虚拟拟局域网网(VLL
11、AN)都显示示出很大大优势。虚拟局局域网的的使用能能够方便便地进行行用户的的增加、删除、移动等等工作,提高网网络管理理的效率率。他具具有以下下特点:11、灵活活的、软软定义的的、边界界独立于于物理媒媒质的设设备群。VLAAN概念念的引入入,使交交换机承承担了网网络的分分段工作作,而不不再使用用路由器器来完成成。通过过使用VVLANN,能够够把原来来一个物物理的局局域网划划分成很很多个逻逻辑意义义上的子子网,而而不必考考虑具体体的物理理位置,每一个个VLAAN都可可以对应应于一个个逻辑单单位,如如部门、车间和和项目组组等。2、广播流流量被限限制在软软定义的的边界内内、提高高了网络络的安全全性。由
12、由于在相相同VLLAN内内的主机机间传送送的数据据不会影影响到其其他VLLAN上上的主机机,因此此减少了了数据窃窃听的可可能性,极大地地增强了了网络的的安全性性。3、在同同一个虚虚拟局域域网成员员之间提提供低延延迟、线线速的通通信。能能够在网网络内划划分网段段或者微微网段,提高网网络分组组的灵活活性。VVLANN技术通通过把网网络分成成逻辑上上的不同同广播域域,使网网络上传传送的包包只在与与位于同同一个VVLANN的端口口之间交交换。这这样就限限制了某某个局域域网只与与同一个个VLAAN的其其它局域域网互相相连,避避免浪费费带宽,从而消消除了传传统的桥桥接交交换网络络的固有有缺陷包经经常被传传
13、送到并并不需要要它的局局域网中中。这也也改善了了网络配配置规模模的灵活活性,尤尤其是在在支持广广播多多播协议议和应用用程序的的局域网网环境中中,会遭遭遇到如如潮水般般涌来的的包。而而在 VVLANN结构中中,可以以轻松地地拒绝其其他VLLAN的的包,从从而大大大减少网网络流量量。虚拟拟局域网网的分类类虚虚拟局域域网是一一种软技技术,如如何分类类,将决决定此技技术在网网络中能能否发挥挥到预期期作用,下面将将介绍虚虚拟局域域网的分分类以及及特性。常见的的虚拟局局域网分分类有三三种:基基于端口口、基于于硬件MMAC地地址、基基于网络络层。11、 基于端端口基于端端口的虚虚拟局域域网划分分是比较较流行
14、和和最早的的划分方方式,其其特点是是将交换换机按照照端口进进行分组组,每一一组定义义为一个个虚拟局局域网。这些交交换机端端口分组组可以在在一台交交换机上上也可以以跨越几几个交换换机(例例如,号交换换机的端端口1和和2以及及2号交交换机的的端口44、5、6和77上的最最终工作作站组成成了虚拟拟局域网网A;而而1号交交换机的的端口33、4、5、66、7和和8加上上2号交交换机的的端口11、2、3和88上的最最终工作作站组成成了虚拟拟局域网网B)。图3 端口口分组目目前是定定义虚拟拟局域网网成员最最常用的的方法,而且配配置也相相当直截截了当。纯粹用用端口分分组来定定义虚拟拟局域网网不会容容许多个个虚
15、拟局局域网包包含同一一个实际际网段(或交换换机端口口)。其其特点是是一个虚虚拟局域域网的各各个端口口上的所所有终端端都在一一个广播播域中,它们相相互可以以通信,不同的的虚拟局局域网之之间进行行通信需需经过路路由来进进行。这这种虚拟拟局域网网划分方方式的优优点在于于简单,容易实实现,从从一个端端口发出出的广播播,直接接发送到到虚拟局局域网内内的其他他端口,也便于于直接监监控。但但是,用用端口定定义虚拟拟局域网网的主要要局限性性是:使使用不够够灵活,当用户户从一个个端口移移动到另另一个端端口的时时候网络络管理员员必须重重新配置置虚拟局局域网成成员。不不过这一一点可以以通过灵灵活的网网络管理理软件来
16、来弥补。2 、基基于硬件件MACC地址层层基基于硬件件MACC地址层层地址的的虚拟局局域网具具有不同同的优点点和缺点点。由于于硬件地地址层的的地址是是硬连接接到工作作站的网网络界面面卡(NNIC)上的,所以基基于硬件件地址层层地址的的的虚拟拟局域网网使网络络管理者者能够把把网络上上的工作作站移动动到不同同的实际际位置,而且可可以让这这台工作作站自动动地保持持它原有有的虚拟拟局域网网成员资资格。按按照这种种方式,由硬件件地址层层地址定定义的虚虚拟局域域网可以以被视为为基于用用户的虚虚拟局域域网。这种种方式的的虚拟局局域网,交换机机对终端端的MAAC地址址和交换换机端口口进行跟跟踪,在在新终端端入
17、网时时根据已已经定义义的虚拟拟局域网网MMAC对对应表将将其划归归至某一一个虚拟拟局域网网,而无无论该终终端在网网络中怎怎样移动动,由于于其MAAC地址址保持不不变,故故不需进进行虚拟拟局域网网的重新新配置。这种划划分方式式减少了了网络管管理员的的日常维维护工作作量,不不足之处处在于所所有的终终端必须须被明确确的分配配在一个个具体的的虚拟局局域网,任何时时候增加加终端或或者更换换网卡,都要对对虚拟局局域网数数据库调调整,以以实现对对该终端端的动态态跟踪。基基于硬件件地址层层地址的的虚拟局局域网解解决方案案的缺点点之一是是要求所所有的用用户必须须初始配配置在至至少一个个虚拟局局域网中中。在这这次
18、初始始手工配配置之后后,用户户的自动动跟踪才才有可能能实现,而且取取决于特特定的供供应商解解决方案案。然而而,这种种不得不不在一开开始先用用人工配配置虚拟拟局域网网的方法法,其缺缺点在一一个非常常大的网网络中变变得非常常明显:几千个个用户必必须逐个个地分配配到各自自特定的的虚拟局局域网中中。某些些供应商商已经减减少了初初始手工工配置基基于硬件件地址的的虚拟局局域网的的繁重任任务,它它们采用用根据网网络的当当前状态态生成虚虚拟局域域网的工工具,也也就是说说为每一一个子网网生成一一个基于于硬件地地址的虚虚拟局域域网。 3 、基于网网络层基于于网络层层的虚拟拟局域网网划分也也叫做基基于策略略(POO
19、LICCY)的的划分,是这几几种划分分方式中中最高级级也是最最为复杂杂的。基基于网络络层的虚虚拟局域域网使用用协议(如果网网络中存存在多协协议的话话)或网网络层地地址(如如TCPP/IPP中的子子网段地地址)来来确定网网络成员员。利用用网络层层定义虚虚拟网有有以下几几点优势势。第一一,这种种方式可可以按传传输协议议划分网网段。其其次,用用户可以以在网络络内部自自由移动动而不用用重新配配置自己己的工作作站。第第三,这这种类型型的虚拟拟网可以以减少由由于协议议转换而而造成的的网络延延迟。这这种方式式看起来来是最为为理想的的方式,但是在在采用这这种划分分之前,要明确确两件事事情:一一是IPP盗用,二
20、是对对设备要要求较高高,不是是所有设设备都支支持这种种方式。虚拟局域域网的应应用由于虚虚拟局域域网具有有比较明明显的优优势,在在各种企企业中都都有了很很好的应应用。下下面就根根据不同同的案例例来分析析虚拟局局域网的的应用情情况。 1、局域网网内部的的局域网网往往往很多多企业已已经具有有一个相相当规模模的局域域网,但但是现在在企业内内部因为为保密或或者其他他原因,要求各各业务部部门或者者课题组组独立成成为一个个局域网网,同时时,各业业务部门门或者课课题组的的人员不不一定是是在同一一个办公公地点,各网络络之间不不允许互互相访问问。根据据这种情情况,可可以有几几种解决决方法,但是虚虚拟局域域网解决决
21、方法可可能是最最好的。为了完完成上述述任务,我们要要做的工工作是收收集各部部门或者者课题组组的人员员组成、所在位位置、与与交换机机连接的的端口等等信息。根据部部门数量量对交换换机进行行配置,创建虚虚拟局域域网,设设置中继继,最后后,在一一个公用用的局域域网内部部划分出出来若干干个虚拟拟的局域域网,同同时减少少了局域域网内的的广播,提高了了网络传传输性能能。这样样的虚拟拟局域网网可以方方便地根根据需要要增加、改变、删除。2、共共享访问问访访问共同同的接入入点和服服务器在一一些大型型写字楼楼或商业业建筑(酒店、展览中中心等),经常常存在这这样的现现象:大大楼出租租给各个个单位,并且大大楼内部部已经
22、构构建好了了局域网网,提供供给入驻驻企业或或客户网网络平台台,并通通过共同同的出口口访问IInteerneet或者者大楼内内部的综综合信息息服务器器。由于于大楼的的网络平平台是统统一的,使用的的客户有有物业管管理人员员、有其其他不同同单位的的客户。在这样样一个共共享的网网络环境境下,解解决不同同企业或或单位对对网络的的需求的的同时,还要保保证各企企业间信信息的独独立性。这种情情况下,虚拟局局域网提提供了很很好的解解决方案案。大厦厦的系统统管理员员可以为为入驻企企业创建建一个个个独立的的虚拟局局域网,保证企企业内部部的互相相访问和和企业间间信息的的独立,然后利利用中继继技术,将提供供接入服服务的
23、代代理服务务器或者者路由器器所对应应的局域域网接口口配置成成为中继继模式,实现共共享接入入。这种种配置方方式还有有一个好好处,可可以根据据需要设设置中继继的访问问许可,灵活地地允许或或者拒绝绝某个虚虚拟局域域网的访访问。3、交叠叠虚拟局局域网交叠叠虚拟局局域网是是在基于于端口划划分虚拟拟局域网网的基础础上提出出来的,最早的的交换机机每一个个端口只只能同时时属于一一个虚拟拟局域网网,交叠叠虚拟局局域网允允许一个个交换机机端口同同时属于于多个虚虚拟局域域网。这这种技术术可以解解决一些些突发性性的、临临时性的的虚拟局局域网划划分。比比如在一一个科研研机构,已经划划分了若若干个虚虚拟局域域网,但但是因
24、为为某个科科研任务务,从各各个虚拟拟局域网网里面抽抽调出来来技术人人员临时时组成课课题组,要求课课题组内内部通信信自如,同时各各科研人人员还要要保持和和原来的的虚拟局局域网进进行信息息交流。如果采采用路由由和访问问列表控控制技术术,成本本会较大大,同时时会降低低网络性性能。交交叠技术术的出现现,为这这一问题题提供了了廉价的的解决方方法;只只需要将将要加入入课题组组的人员员所对应应的交换换机端口口设置成成为支持持多个虚虚拟局域域网,然然后创建建一个新新虚拟局局域网,将所有有人员划划分到新新虚拟局局域网,保持各各人员原原来所属属虚拟局局域网不不变即可可。图4 以上上简单的的介绍了了虚拟局局域网的的
25、主要技技术和一一些实际际应用,希望会会给读者者带来有有益的帮帮助。随随着现代代交换技技术的发发展而出出现,并并将随着着网络的的应用得得到普及及,虚拟拟局域网网将成为为众多网网络设计计、规划划和管理理人员欢欢迎和使使用的技技术。 交换机VVLANN的配置置本篇就要要为大家家介绍交交换机的的一个最最常见技技术应用用-VVLANN技术,并针对对中、小小局域网网VLAAN的网网络配置置以实例例的方式式向大家家简单介介绍其配配置方法法。 谈到VLLAN,或许许许多人都都觉得非非常神秘秘,甚至至包括一一些网管管人员。其实有有关VLLAN的的技术标标准IEEEE 8022.1QQ早在119999年6月月份就
26、由由IEEEE委员员正式颁颁布实施施了,而而且最早早的VLLNA技技术早在在19996年CCiscco(思思科)公公司就提提出了。随着几几年来的的发展,VLAAN技术术得到广广泛的支支持,在在大大小小小的企企业网络络中广泛泛应用,成为当当前最为为热门的的一种以以太局域域网技术术。本篇篇就要为为大家介介绍交换换机的一一个最常常见技术术应用-VLLAN技技术,并并针对中中、小局局域网VVLANN的网络络配置以以实例的的方式向向大家简简单介绍绍其配置置方法。一、VLLAN基基础VLLAN(Virrtuaal LLocaal AAreaa Neetwoork)的中文文名为虚拟局局域网,注意意不是VPN
27、N(虚虚拟专用用网)。VLAAN是一一种将局局域网设设备从逻逻辑上划划分(注注意,不不是从物物理上划划分)成成一个个个网段,从而实实现虚拟拟工作组组的新兴兴数据交交换技术术。这一一新兴技技术主要要应用于于交换机机和路由由器中,但主流流应用还还是在交交换机之之中。但但又不是是所有交交换机都都具有此此功能,只有VVLANN协议的的第三层层以上交交换机才才具有此此功能,这一点点可以查查看相应应交换机机的说明明书即可可得知。IEEEE于于19999年颁颁布了用用以标准准化VLLAN实实现方案案的8002.11Q协议议标准草草案。VVLANN技术的的出现,使得管管理员根根据实际际应用需需求,把把同一物物
28、理局域域网内的的不同用用户逻辑辑地划分分成不同同的广播播域,每每一个VVLANN都包含含一组有有着相同同需求的的计算机机工作站站,与物物理上形形成的LLAN有有着相同同的属性性。由于于它是从从逻辑上上划分,而不是是从物理理上划分分,所以以同一个个VLAAN内的的各个工工作站没没有限制制在同一一个物理理范围中中,即这这些工作作站可以以在不同同物理LLAN网网段。由由VLAAN的特特点可知知,一个个VLAAN内部部的广播播和单播播流量都都不会转转发到其其他VLLAN中中,从而而有助于于控制流流量、减减少设备备投资、简化网网络管理理、提高高网络的的安全性性。 交换换技术的的发展,也加快快了新的的交换
29、技技术(VVLANN)的应应用速度度。通过过将企业业网络划划分为虚虚拟网络络VLAAN网段段,可以以强化网网络管理理和网络络安全,控制不不必要的的数据广广播。在在共享网网络中,一个物物理的网网段就是是一个广广播域。而在交交换网络络中,广广播域可可以是有有一组任任意选定定的第二二层网络络地址(MACC地址)组成的的虚拟网网段。这这样,网网络中工工作组的的划分可可以突破破共享网网络中的的地理位位置限制制,而完完全根据据管理功功能来划划分。这这种基于于工作流流的分组组模式,大大提提高了网网络规划划和重组组的管理理功能。在同一一个VLLAN中中的工作作站,不不论它们们实际与与哪个交交换机连连接,它它们
30、之间间的通讯讯就好象象在独立立的交换换机上一一样。同同一个VVLANN中的广广播只有有VLAAN中的的成员才才能听到到,而不不会传输输到其他他的 VVLANN中去,这样可可以很好好的控制制不必要要的广播播风暴的的产生。同时,若没有有路由的的话,不不同VLLAN之之间不能能相互通通讯,这这样增加加了企业业网络中中不同部部门之间间的安全全性。网网络管理理员可以以通过配配置VLLAN之之间的路路由来全全面管理理企业内内部不同同管理单单元之间间的信息息互访。交换机机是根据据用户工工作站的的MACC地址来来划分VVLANN的。所所以,用用户可以以自由的的在企业业网络中中移动办办公,不不论他在在何处接接入
31、交换换网络,他都可可以与VVLANN内其他他用户自自如通讯讯。 VLLAN网网络可以以是有混混合的网网络类型型设备组组成,比比如:110M以以太网、1000M以太太网、令令牌网、FDDDI、CCDDII等等,可以是是工作站站、服务务器、集集线器、网络上上行主干干等等。 VLLAN除除了能将将网络划划分为多多个广播播域,从从而有效效地控制制广播风风暴的发发生,以以及使网网络的拓拓扑结构构变得非非常灵活活的优点点外,还还可以用用于控制制网络中中不同部部门、不不同站点点之间的的互相访访问。VLLAN是是为解决决以太网网的广播播问题和和安全性性而提出出的一种种协议,它在以以太网帧帧的基础础上增加加了V
32、LLAN头头,用VVLANN IDD把用户户划分为为更小的的工作组组,限制制不同工工作组间间的用户户互访,每个工工作组就就是一个个虚拟局局域网。虚拟局局域网的的好处是是可以限限制广播播范围,并能够够形成虚虚拟工作作组,动动态管理理网络。二、VLLAN的的划分方方法VLLAN在在交换机机上的实实现方法法,可以以大致划划分为六六类:11. 基基于端口口划分的的VLAAN这是是最常应应用的一一种VLLAN划划分方法法,应用用也最为为广泛、最有效效,目前前绝大多多数VLLAN协协议的交交换机都都提供这这种VLLAN配配置方法法。这种种划分VVLANN的方法法是根据据以太网网交换机机的交换换端口来来划分
33、的的,它是是将VLLAN交交换机上上的物理理端口和和VLAAN交换换机内部部的PVVC(永永久虚电电路)端端口分成成若干个个组,每每个组构构成一个个虚拟网网,相当当于一个个独立的的VLAAN交换换机。对于于不同部部门需要要互访时时,可通通过路由由器转发发,并配配合基于于MACC地址的的端口过过滤。对对某站点点的访问问路径上上最靠近近该站点点的交换换机、路路由交换换机或路路由器的的相应端端口上,设定可可通过的的MACC地址集集。这样样就可以以防止非非法入侵侵者从内内部盗用用IP地地址从其其他可接接入点入入侵的可可能。从这这种划分分方法本本身我们们可以看看出,这这种划分分的方法法的优点点是定义义V
34、LAAN成员员时非常常简单,只要将将所有的的端口都都定义为为相应的的VLAAN组即即可。适适合于任任何大小小的网络络。它的的缺点是是如果某某用户离离开了原原来的端端口,到到了一个个新的交交换机的的某个端端口,必必须重新新定义。2. 基基于MAAC地址址划分VVLANN 这种种划分VVLANN的方法法是根据据每个主主机的MMAC地地址来划划分,即即对每个个MACC地址的的主机都都配置他他属于哪哪个组,它实现现的机制制就是每每一块网网卡都对对应唯一一的MAAC地址址,VLLAN交交换机跟跟踪属于于VLAAN MMAC的的地址。这种方方式的VVLANN允许网网络用户户从一个个物理位位置移动动到另一一
35、个物理理位置时时,自动动保留其其所属VVLANN的成员员身份。由这这种划分分的机制制可以看看出,这这种VLLAN的的划分方方法的最最大优点点就是当当用户物物理位置置移动时时,即从从一个交交换机换换到其他他的交换换机时,VLAAN不用用重新配配置,因因为它是是基于用用户,而而不是基基于交换换机的端端口。这这种方法法的缺点点是初始始化时,所有的的用户都都必须进进行配置置,如果果有几百百个甚至至上千个个用户的的话,配配置是非非常累的的,所以以这种划划分方法法通常适适用于小小型局域域网。而而且这种种划分的的方法也也导致了了交换机机执行效效率的降降低,因因为在每每一个交交换机的的端口都都可能存存在很多多
36、个VLLAN组组的成员员,保存存了许多多用户的的MACC地址,查询起起来相当当不容易易。另外外,对于于使用笔笔记本电电脑的用用户来说说,他们们的网卡卡可能经经常更换换,这样样VLAAN就必必须经常常配置。3. 基基于网络络层协议议划分VVLANN VLLAN按按网络层层协议来来划分,可分为为IP、IPXX、DEECneet、AApplleTaalk、Bannyann等VLLAN网网络。这这种按网网络层协协议来组组成的VVLANN,可使使广播域域跨越多多个VLLAN交交换机。这对于于希望针针对具体体应用和和服务来来组织用用户的网网络管理理员来说说是非常常具有吸吸引力的的。而且且,用户户可以在在网
37、络内内部自由由移动,但其VVLANN成员身身份仍然然保留不不变。这种种方法的的优点是是用户的的物理位位置改变变了,不不需要重重新配置置所属的的VLAAN,而而且可以以根据协协议类型型来划分分VLAAN,这这对网络络管理者者来说很很重要,还有,这种方方法不需需要附加加的帧标标签来识识别VLLAN,这样可可以减少少网络的的通信量量。这种种方法的的缺点是是效率低低,因为为检查每每一个数数据包的的网络层层地址是是需要消消耗处理理时间的的(相对对于前面面两种方方法),一般的的交换机机芯片都都可以自自动检查查网络上上数据包包的以太太网祯头头,但要要让芯片片能检查查IP帧帧头,需需要更高高的技术术,同时时也
38、更费费时。当当然,这这与各个个厂商的的实现方方法有关关。4. 根据据IP组组播划分分VLAAN IPP 组播播实际上上也是一一种VLLAN的的定义,即认为为一个IIP组播播组就是是一个VVLANN。这种种划分的的方法将将VLAAN扩大大到了广广域网,因此这这种方法法具有更更大的灵灵活性,而且也也很容易易通过路路由器进进行扩展展,主要要适合于于不在同同一地理理范围的的局域网网用户组组成一个个VLAAN,不不适合局局域网,主要是是效率不不高。 5. 按按策略划划分VLLAN基于于策略组组成的VVLANN能实现现多种分分配方法法,包括括VLAAN交换换机端口口、MAAC地址址、IPP地址、网络层层协
39、议等等。网络络管理人人员可根根据自己己的管理理模式和和本单位位的需求求来决定定选择哪哪种类型型的VLLAN 。6. 按用用户定义义、非用用户授权权划分VVLANN基于于用户定定义、非非用户授授权来划划分VLLAN,是指为为了适应应特别的的VLAAN网络络,根据据具体的的网络用用户的特特别要求求来定义义和设计计VLAAN,而而且可以以让非VVLANN群体用用户访问问VLAAN,但但是需要要提供用用户密码码,在得得到VLLAN管管理的认认证后才才可以加加入一个个VLAAN。三、VLLAN的的优越性性任何何新技术术要得到到广泛支支持和应应用,肯肯定存在在一些关关键优势势,VLLAN技技术也一一样,它
40、它的优势势主要体体现在以以下几个个方面:1. 增增加了网网络连接接的灵活活性借助助VLAAN技术术,能将将不同地地点、不不同网络络、不同同用户组组合在一一起,形形成一个个虚拟的的网络环环境 ,就像使使用本地地LANN一样方方便、灵灵活、有有效。VVLANN可以降降低移动动或变更更工作站站地理位位置的管管 理费费用,特特别是一一些业务务情况有有经常性性变动的的公司使使用了VVLANN后,这这部分管管理费用用大大降降低。22. 控控制网络络上的广广播VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换
41、网中或跨接多个交换机,在一个VLAN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。3. 增加网网络的安安全性因因为一个个VLAAN就是是一个单单独的广广播域,VLAAN之间间相互隔隔离,这这大大提提高了网网络的利利用率,确保了了网络的的安全保保密性。人们在在LANN上经常常传送一一些保密密的、关关键性的的数据。保密的的数据应应 提供供访问控控制等安安全手段段。一个个有效和和容易实实现的方方法是将将网络分分段成几几个不同同的广播播组, 网络管管理员限限制了VVLANN中用户户的数量量,禁止止未经允允许而访访
42、问VLLAN中中的应用用。交换换端口可可以基 于应用用类型和和访问特特权来进进行分组组,被限限制的应应用程序序和资源源一般置置于安全全性VLLAN中中。四、VLAAN网络络的配置置实例为了了给大家家一个真真实的配配置实例例学习机机会,下下面就以以典型的的中型局局域网VVLANN配置为为例向各各位介绍绍目前最最常用的的按端口口划分VVLANN的配置置方法。某公公司有1100台台计算机机左右,主要使使用网络络的部门门有:生生产部(20)、财务务部(115)、人事部部(8)和信息息中心(12)四大部部分,如如图1所所示。网络络基本结结构为:整个网网络中干干部分采采用3台台Cattalyyst 190
43、00网管管型交换换机(分分别命名名为:SSwittch11、Swwitcch2和和Swiitchh3,各各交换机机根据需需要下接接若干个个集线器器,主要要用于非非VLAAN用户户,如行行政文书书、临时时用户等等)、一一台Ciiscoo 25514路路由器,整个网网络都通通过路由由器Ciiscoo 25514与与外部互互联网进进行连接接。图1所连的用用户主要要分布于于四个部部分,即即:生产产部、财财务部、信息中中心和人人事部。主要对对这四个个部分用用户单独独划分VVLANN,以确确保相应应部门网网络资源源不被盗盗用或破破坏。 现为为了公司司相应部部分网络络资源的的安全性性需要,特别是是对于像像财
44、务部部、人事事部这样样的敏感感部门,其网络络上的信信息不想想让太多多人可以以随便进进出,于于是公司司采用了了VLAAN的方方法来解解决以上上问题。通过VVLANN的划分分,可以以把公司司主要网网络划分分为:生生产部、财务部部、人事事部和信信息中心心四个主主要部分分,对应应的VLLAN组组名为:Prood、FFinaa、Huuma、Inffo,各各VLAAN组所所对应的的网段如如下表所所示。VLANN 号 VLANN 名 端口号 2 P rood Swittch 1 22211 3 Finaa Swittch22 216 4 Humaa Swittch33 29 5 Infoo Swittch3
45、3 100211 【注注】之所所以把交交换机的的VLAAN号从从2号开始始,那是是因为交交换机有有一个默默认的VVLANN,那就就是11号VVLANN,它包包括所有有连在该该交换机机上的用用户。VLLAN的的配置过过程其实实非常简简单,只只需两步步:(11)为各各VLAAN组命命名;(2)把把相应的的VLAAN对应应到相应应的交换换机端口口。下面面是具体体的配置置过程:第1步:设置好好超级终终端,连连接上119000交换机机,通过过超级终终端配置置交换机机的VLLAN,连接成成功后出出现如下下所示的的主配置置界面(交换机机在此之之前已完完成了基基本信息息的配置置): 1 useer(ss) n
46、now acttivee onn Maanaggemeent Connsolle.Usser Intterffacee MeenuMM MMenuusK Coommaand LinneI IPP CoonfiigurratiionEnnterr Seelecctioon:【注注】超级级终端是是利用WWinddowss系统自自带的超级终终端(Hypperttrm)程序进进行的,具体参参见有关关资料。第2步:单击K按按键,选选择主界界面菜单单中K Commmannd LLinee选项项 ,进进入如下下命令行行配置界界面:CLLI ssesssionn wiith thee swwitcch iis
47、 oopenn.To endd thhe CCLI sesssioon,eenteer Exiit .此时时我们进进入了交交换机的的普通用用户模式式,就象象路由器器一样,这种模模式只能能查看现现在的配配置,不不能更改改配置,并且能能够使用用的命令令很有限限。所以以我们必必须进入入特权权模式。第3步:在上一一步提示示符下输输入进入入特权模模式命令令ennablle,进入特特权模式式,命令令格式为为eenabble,此时时就进入入了交换换机配置置的特权权模式提提示符:#cconffig tEntter connfigguraatioon ccommmandds,oone perr liine.Endd wiith CNTTL/ZZ(connfigg)#第4步:为了安安全和方方便起见见,我们们分别给给这3个个Cattalyyst 19