VLAN的劃分與實(shí)現(xiàn).doc

VLAN的劃分與實(shí)現(xiàn)【摘 要】 信息化高度發(fā)展，網(wǎng)絡(luò)離我們?cè)絹?lái)越近，它影響著我們生活的各個(gè)方面，各個(gè)企業(yè)單位組建自己的局域網(wǎng)，而且規(guī)模在不斷擴(kuò)大，用戶在不斷增加，網(wǎng)絡(luò)應(yīng)用也在不斷增長(zhǎng)，網(wǎng)絡(luò)變得越來(lái)越擁擠，沖突不斷產(chǎn)生，管理難度日益加大。局域網(wǎng)內(nèi)部對(duì)于靈活、動(dòng)態(tài)地組建LAN網(wǎng)段的要求也越來(lái)越多，客觀上要求LAN本身的結(jié)構(gòu)可以實(shí)現(xiàn)動(dòng)態(tài)組建、調(diào)整和管理。為了有效地提高網(wǎng)絡(luò)管理的靈活性，提高網(wǎng)絡(luò)效率和網(wǎng)絡(luò)安全性，充分合理地進(jìn)行VLAN劃分，是必需的?！娟P(guān)鍵詞】 VLAN 虛擬局域網(wǎng) 交換機(jī) 靜態(tài)VLAN 動(dòng)態(tài)VLAN【引 言】 人類以最快的速度在改造世界，進(jìn)入21世紀(jì)后，隨著信息社會(huì)不斷發(fā)展，虛擬世界也是發(fā)展迅速，當(dāng)今社會(huì)已經(jīng)進(jìn)入一個(gè)網(wǎng)絡(luò)快速發(fā)展的信息社會(huì)，信息技術(shù)的不斷發(fā)展，給人們的生活、工作、學(xué)習(xí)帶來(lái)了以往社會(huì)無(wú)比的便利，人們?cè)絹?lái)越離不開以計(jì)算機(jī)網(wǎng)絡(luò)為中心的信息時(shí)代。一般的企業(yè)都會(huì)有建立局域網(wǎng)，局域網(wǎng)是一般中小企業(yè)最常用的，同時(shí)又是結(jié)構(gòu)最簡(jiǎn)單的計(jì)算機(jī)網(wǎng)絡(luò)。虛擬局域網(wǎng)（VLAN）技術(shù)是目前局域網(wǎng)中的一項(xiàng)常用技術(shù)；VLAN技術(shù)是在不改變局域網(wǎng)上節(jié)點(diǎn)物理位置的基礎(chǔ)上，按照功能、部門、應(yīng)用等因素劃分為若干“邏輯工作組”；VLAN技術(shù)有效避免了廣播風(fēng)暴，增強(qiáng)了局域網(wǎng)的安全性。一、VLAN的概念VLAN是（Virtual Local Area Network）的縮寫,我們又稱虛擬局域網(wǎng)，是一個(gè)可以跨不同網(wǎng)段，不同網(wǎng)絡(luò)的邏輯網(wǎng)絡(luò)。大家都知道，VLAN建是由局域網(wǎng)交換機(jī)發(fā)展而來(lái)的，是采用軟件的方式構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。是該進(jìn)交換機(jī)技術(shù)的結(jié)果，它是一種將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分網(wǎng)段而實(shí)現(xiàn)虛擬工作組的技術(shù)。VLAN具有以下的特點(diǎn)：一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)（VLAN）中，在功能和操作上與傳統(tǒng)LAN保持相同，可以提供一定范圍內(nèi)終端系統(tǒng)的連接。VLAN是局域交換網(wǎng)的靈魂。這是因?yàn)橥ㄟ^(guò)VLAN用戶能方便地在網(wǎng)絡(luò)中移動(dòng)，并不需要改變?nèi)魏斡布屯ㄐ啪€路。VLAN充分體現(xiàn)了現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征：高速、靈活、管理簡(jiǎn)便和擴(kuò)展容易。VLAN所指的LAN特指使用路由器或者交換機(jī)分割的網(wǎng)絡(luò)，也就是廣播域（廣播域，指的是廣播幀所能傳遞到的范圍，亦即能夠直接通信的范圍）。舉個(gè)例子：一個(gè)學(xué)校分為A,B,C三個(gè)系，各個(gè)系又有不同的職能部門，這三個(gè)系分別在三個(gè)不同的教學(xué)樓里面，學(xué)校要求各個(gè)不同系的部門之間要經(jīng)常交流數(shù)據(jù)，共享資源。這樣需要把這三個(gè)系要交流的部門劃分到一個(gè)VLAN里面。這樣就是一個(gè)典型的VLAN。另外關(guān)于VLAN的標(biāo)準(zhǔn)：在1995年，Cisco公司提倡使用IEEE802.10協(xié)議。在此之前，IEEE802.10曾經(jīng)在全球范圍內(nèi)作為VLAN安全性的同一規(guī)范。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。802.1Q的出現(xiàn)打破了虛擬網(wǎng)依賴于單一廠商的僵局，從一個(gè)側(cè)面推動(dòng)了VLAN的迅速發(fā)展。另外，來(lái)自市場(chǎng)的壓力使各大網(wǎng)絡(luò)廠商立刻將新標(biāo)準(zhǔn)融合到他們各自的產(chǎn)品中。二、VLAN在局域網(wǎng)的簡(jiǎn)單描述根據(jù)上文，可以把它理解為將一臺(tái)交換機(jī)在邏輯上分割成了幾臺(tái)交換機(jī)。例如下圖描述在一臺(tái)交換機(jī)上生成紅、藍(lán)兩個(gè)VLAN，也可以看作是將一臺(tái)交換機(jī)換做一紅一藍(lán)兩臺(tái)虛擬的交換機(jī)。圖2-1 VLAN描述圖在紅、藍(lán)兩個(gè)VLAN之外生成新的VLAN時(shí)，可以想象成又添加了新的交換機(jī)。但是，VLAN生成的邏輯上的交換機(jī)是互不相通的。因此，在交換機(jī)上設(shè)置VLAN后，如果未做其他處理，VLAN間是無(wú)法通信的。這樣，我們利用軟件技術(shù)等于將一個(gè)物理的LAN分成了物理上獨(dú)立的小LAN了，達(dá)到了預(yù)期的目的，從根本上解決了廣播“泛洪”的問(wèn)題。這里有個(gè)很奇怪的事情，明明接在同一臺(tái)交換機(jī)上，但卻偏偏無(wú)法通信這個(gè)事實(shí)也許讓人難以接受。但它既是VLAN方便易用的特征，又是使VLAN令人難以理解的原因。其實(shí)，這樣正是VLAN的魅力所在。前文提過(guò)，在現(xiàn)代其中很多的數(shù)據(jù)需要跨部門共享傳輸。而不同的部門分布在不同的VLAN中，那么，當(dāng)我們需要在不同的VLAN間通信時(shí)又該怎么辦呢？其實(shí)這個(gè)問(wèn)題很簡(jiǎn)單，我們回憶一下：VLAN是廣播域。而通常兩個(gè)廣播域之間由路由器連接，廣播域之間來(lái)往的數(shù)據(jù)包都是由路由器中繼的。因此，VLAN間的通信也需要路由器提供中繼服務(wù)，這被稱作“VLAN間路由”。VLAN間路由，可以使用普通的路由器，也可以使用三層交換機(jī)。各種方法各有優(yōu)缺點(diǎn)。不同VLAN間互相通信時(shí)需要用到路由功能的設(shè)備來(lái)實(shí)現(xiàn)的。三、為什么要用VLAN1、運(yùn)用VLAN可以做到（1）減少?gòu)V播域的工作點(diǎn)。，在一個(gè)VLAN內(nèi)的廣播包不會(huì)跑到別的VLAN上去。通過(guò)限制一個(gè)VLAN 上的設(shè)備數(shù)目，在一個(gè)VLAN 上的廣播率便可受到控制。一個(gè)正常的廣播率應(yīng)該平均每秒不超過(guò)30 個(gè)廣播包（但通過(guò)網(wǎng)友的現(xiàn)場(chǎng)性能監(jiān)測(cè)，建議廣播不應(yīng)該超出30 個(gè)/秒）。（2）增強(qiáng)安全性。因?yàn)樘摂M局域網(wǎng)上各個(gè)子網(wǎng)上的廣播不會(huì)擴(kuò)散開這樣就保證了數(shù)據(jù)的私有性和安全性。（就像在一個(gè)物理局域網(wǎng)中，工作站少了出問(wèn)題的可能性就比較小）即便是幾十臺(tái)機(jī)器的小型局域網(wǎng)，如果要保證數(shù)據(jù)的隔離安全，也可以嘗試劃分VLAN來(lái)實(shí)現(xiàn)。當(dāng)不同的VLAN間要互訪信息的時(shí)候需要通過(guò)三層的交換機(jī)。這樣的話數(shù)據(jù)包容易被管理人員監(jiān)視。提高了網(wǎng)絡(luò)的安全系數(shù)。（3）方便網(wǎng)絡(luò)設(shè)備的管理。假定我們把所有的打印機(jī)都規(guī)劃在一個(gè)子網(wǎng)上，而每一個(gè)打印機(jī)都必須在同一個(gè)廣播域里。這樣等于需要在每一個(gè)樓層上，分別安裝交換機(jī)。這些交換機(jī)都需要光纜和銅纜的連接，而這些打印機(jī)子網(wǎng)都需要連接到自己的專用路由器端口上。2、VLAN的優(yōu)點(diǎn)和缺點(diǎn)優(yōu)點(diǎn)如下：（1）能夠簡(jiǎn)化網(wǎng)絡(luò)管理，使得網(wǎng)絡(luò)管理簡(jiǎn)單而且直觀（2）能夠控制廣播風(fēng)暴（3）能夠提高網(wǎng)絡(luò)的整體安全性缺點(diǎn)如下：（1）在使用MAC地址定義VLAN的技術(shù)中，必須進(jìn)行初始配置。而對(duì)大規(guī)模的網(wǎng)絡(luò)進(jìn)行初始化工作時(shí)，需要把成百上千的用戶配置到某個(gè)虛擬局域網(wǎng)之中，因此，初始工作過(guò)于煩瑣。（2）當(dāng)使用局域網(wǎng)交換機(jī)的端口劃分VLAN成員的方法時(shí)，用戶從一個(gè)交換機(jī)的端口移動(dòng)到另一個(gè)端口時(shí)，網(wǎng)絡(luò)管理員必須對(duì)VLAN的成員重新配置。（3）需要專職的網(wǎng)絡(luò)管理員和必要的專業(yè)技術(shù)支持，這樣需要企業(yè)有一定的投入去維護(hù)VLAN.3、使用VLAN的場(chǎng)合一般，在幾十臺(tái)以下計(jì)算機(jī)構(gòu)成的小型局域網(wǎng)中，除非需要彼此的數(shù)據(jù)隔絕，否則沒有必要?jiǎng)澐痔摂M局域網(wǎng)。在幾百臺(tái)乃至上千臺(tái)計(jì)算機(jī)構(gòu)成的大中型局域網(wǎng)中，劃分和建立虛擬局域網(wǎng)，應(yīng)當(dāng)說(shuō)是十分必要的。這是因?yàn)榇笮途钟蚓W(wǎng)產(chǎn)生廣播風(fēng)暴的可能性大大增加，而虛擬局域網(wǎng)技術(shù)能夠有效地隔離廣播風(fēng)暴。四、VLAN的優(yōu)勢(shì)簡(jiǎn)介 VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”。是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用在有VLAN協(xié)議的第三層以上交換機(jī)之中。 VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的局域網(wǎng)邏輯地劃分成不同的廣播域，每一個(gè)VLAN都是按照企業(yè)的一個(gè)職能部門來(lái)劃分，包含著一組具有相同工作特點(diǎn)的計(jì)算機(jī)。它是按功能劃分而不是按物理劃分，同一個(gè)VLAN內(nèi)的各個(gè)工作站無(wú)須被放置在同一個(gè)物理空間里，這些工作站可以不屬于同一個(gè)物理局域網(wǎng)網(wǎng)段，一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中。因此使用VLAN技術(shù)可以控制流量，減少設(shè)備投資，簡(jiǎn)化網(wǎng)絡(luò)管理，提高網(wǎng)絡(luò)的安全性。五、VLAN的分類 1、基于端口劃分的VLAN 基于端口劃分VLAN是最常應(yīng)用的一種VLAN劃分方法，應(yīng)用也最為廣泛有效，目前絕大多數(shù)VLAN協(xié)議的交換機(jī)都提供這種VLAN配置方法。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的交換端口來(lái)劃分的，它是將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的PVC端口分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的VLAN交換機(jī)。 對(duì)于不同部門需要互訪時(shí)，可通過(guò)路由器轉(zhuǎn)發(fā)，并配合基于MAC地址的端口過(guò)濾。對(duì)某站點(diǎn)的訪問(wèn)路徑上最靠近該站點(diǎn)的交換機(jī)、路由交換機(jī)或路由器的相應(yīng)端口上，設(shè)定可通過(guò)的MAC地址集。這樣就可以防止非法入侵者從內(nèi)部盜用IP地址從其他可接入點(diǎn)入侵的可能。 2、 基于MAC地址劃分VLAN 這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來(lái)劃分，即對(duì)每個(gè)MAC地址的主機(jī)都配置他屬于哪個(gè)組，它實(shí)現(xiàn)的機(jī)制就是每一塊網(wǎng)卡都對(duì)應(yīng)唯一的MAC地址，VLAN交換機(jī)跟蹤屬于VLAN MAC的地址。這種方式的VLAN允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置時(shí)，自動(dòng)保留其所屬VLAN的成員身份。 3、 基于網(wǎng)絡(luò)層協(xié)議劃分VLAN VLAN按網(wǎng)絡(luò)層協(xié)議來(lái)劃分，可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議來(lái)組成的VLAN，可使廣播域跨越多個(gè)VLAN交換機(jī)。這對(duì)于希望針對(duì)具體應(yīng)用和服務(wù)來(lái)組織用戶的網(wǎng)絡(luò)管理員來(lái)說(shuō)是非常具有吸引力的。而且，用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動(dòng)，但其VLAN成員身份仍然保留不變。 4、 根據(jù)IP組播劃分VLAN IP組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個(gè)IP組播組就是一個(gè)VLAN。這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過(guò)路由器進(jìn)行擴(kuò)展，主要適合于不在同一地理范圍的局域網(wǎng)用戶組成一個(gè)VLAN，不適合局域網(wǎng)，主要是效率不高。 5、按策略劃分VLAN 基于策略組成的VLAN能實(shí)現(xiàn)多種分配方法，包括VLAN交換機(jī)端口、MAC地址、IP地址、網(wǎng)絡(luò)層協(xié)議等。網(wǎng)絡(luò)管理人員可根據(jù)自己的管理模式和本單位的需求來(lái)決定選擇哪種類型的VLAN。 6、按用戶定義、非用戶授權(quán)劃分VLAN 基于用戶定義、非用戶授權(quán)來(lái)劃分VLAN，是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò)，根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來(lái)定義和設(shè)計(jì)VLAN，而且可以讓非VLAN群體用戶訪問(wèn)VLAN，但是需要提供用戶密碼，在得到VLAN管理的認(rèn)證后才可以加入一個(gè)VLAN。六、實(shí)現(xiàn)VLAN的劃分需要哪些資源 一般來(lái)說(shuō)計(jì)算機(jī)的系統(tǒng)構(gòu)成都需要軟件和硬件。VLAN也從這兩個(gè)方面來(lái)說(shuō)軟件：像其他系統(tǒng)一樣，VLAN需要一個(gè)管理軟件來(lái)實(shí)現(xiàn)它的維護(hù)。硬件：需要一個(gè)支持VLAN功能的交換機(jī)。七、VLAN的實(shí)現(xiàn)1、虛擬局域網(wǎng)實(shí)現(xiàn)的基本原則：（1）考慮到交換機(jī)軟件的兼容性，在整個(gè)局域網(wǎng)中應(yīng)當(dāng)盡量使用同一廠家的支持VLAN的交換機(jī)。如果設(shè)備不兼容網(wǎng)絡(luò)是無(wú)法正常運(yùn)轉(zhuǎn)的，風(fēng)險(xiǎn)太大。所以一定要用兼容的。（2）為了實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一管理，在可以使用交換機(jī)的場(chǎng)合盡量使用交換機(jī)，并且盡可能多地將計(jì)算機(jī)接入交換機(jī)的端口，而不是集線器或路由器的端口。（3）在整個(gè)網(wǎng)絡(luò)中，應(yīng)盡量使用第3層以上的交換機(jī)來(lái)取代傳統(tǒng)的路由器。這是由于實(shí)現(xiàn)路由功能，既可以采用路由器，也可以采用第三層交換機(jī)（路由交換機(jī)）。而只有采用路由交換機(jī)，才能綜合交換和路由這兩種功能，這樣才能既保證傳統(tǒng)路由功能的實(shí)現(xiàn)，也實(shí)現(xiàn)VLAN的技術(shù)。另一方面考慮，VLAN屬于星形的網(wǎng)路拓?fù)浣Y(jié)構(gòu)，這樣要求中間設(shè)備有相當(dāng)?shù)姆€(wěn)定性。所以最好選用三層的交換機(jī)，能夠有技術(shù)過(guò)硬的廠商的品牌就更好了。（4）盡可能地使整個(gè)網(wǎng)絡(luò)成為樹型結(jié)構(gòu)，以保證整個(gè)網(wǎng)絡(luò)的層次性，以及VLAN的物理連通性。層次清晰方便管理人員管理，如果非常亂的話對(duì)于日后的升級(jí)管理都是不小的阻礙。（5）首先，根據(jù)應(yīng)用的需要來(lái)選擇交換機(jī)，使所選的交換機(jī)應(yīng)能夠滿足實(shí)際需要。其次，通過(guò)交換機(jī)相應(yīng)的軟件將整個(gè)網(wǎng)絡(luò)劃分為多個(gè)VLAN，無(wú)論每個(gè)VLAN上計(jì)算機(jī)的物理位置如何，都可以劃分在一個(gè)邏輯工作組內(nèi)。各個(gè)VLAN可以相互連通，也可以設(shè)置為互不相通。2、VLAN實(shí)現(xiàn)的方式：這個(gè)和物理局域網(wǎng)很相似，分為動(dòng)態(tài)和靜態(tài)。也有觀點(diǎn)說(shuō)有三種甚至五種實(shí)現(xiàn)方式，實(shí)際上大同小異。不過(guò)是細(xì)分了一下動(dòng)態(tài)的實(shí)現(xiàn)方式，最經(jīng)典的就是動(dòng)態(tài)的和靜態(tài)的劃分。（1）靜態(tài)實(shí)現(xiàn)是網(wǎng)絡(luò)管理員將交換機(jī)端口分配給某一個(gè)VLAN，這是一種以前最經(jīng)常使用的配置方式，容易實(shí)現(xiàn)和監(jiān)視，而且比較安全。因?yàn)槭墙壎∕AC地址，解析起來(lái)比較消耗網(wǎng)絡(luò)帶寬資源，而且機(jī)動(dòng)性不強(qiáng)，初期配置相當(dāng)麻煩，是一個(gè)相當(dāng)大且繁瑣的工作?，F(xiàn)在這種實(shí)現(xiàn)方式用的比較少。（2）動(dòng)態(tài)實(shí)現(xiàn)方式中，管理員必須先建立一個(gè)較復(fù)雜的數(shù)據(jù)庫(kù)，例如輸入要連接的網(wǎng)絡(luò)設(shè)備的MAC地址及相應(yīng)的VLAN號(hào)，這樣當(dāng)網(wǎng)絡(luò)設(shè)備接到交換機(jī)端口時(shí)交換機(jī)自動(dòng)把這個(gè)網(wǎng)絡(luò)設(shè)備所連接的端口分配給相應(yīng)的VLAN。動(dòng)態(tài)VLAN的配置可以基于網(wǎng)絡(luò)設(shè)備的MAC地址、IP地址、應(yīng)用或者所使用的協(xié)議。實(shí)現(xiàn)動(dòng)態(tài)VLAN時(shí)一般使用管理軟件來(lái)進(jìn)行管理。動(dòng)態(tài)跟靜態(tài)比起來(lái)開始比較方便。方案比較多，現(xiàn)在比較主流。通過(guò)設(shè)置VMPS（VLAN MembershipPolicy Server），包含了一個(gè)MAC地址與VLAN號(hào)的映射表，當(dāng)數(shù)據(jù)幀到達(dá)交換機(jī)后，交換機(jī)會(huì)查詢VMPS獲得相應(yīng)MAC地址的VLAN ID。3、VLAN具體劃分：（1）基于交換機(jī)端口劃分的VLAN這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，這是最簡(jiǎn)單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行分配和設(shè)置，不用考慮該端口所連接的設(shè)備。 交換機(jī)的端口，可以分為以下兩種：訪問(wèn)鏈接（Access Link）根據(jù)英文可以得到意思是用來(lái)訪問(wèn)用的，相當(dāng)于物理局域網(wǎng)的LAN口，匯聚鏈接（Trunk Link）又叫主干口，根據(jù)意思判斷相當(dāng)于WAN口。（2）基于MAC地址劃分的VLAN基于MAC地址劃分VLAN就是以網(wǎng)卡的MAC地址來(lái)決定隸屬的虛擬網(wǎng)。MAC地址是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的MAC地址都是惟一的，并且已經(jīng)固化在網(wǎng)卡上。MAC地址由12位16進(jìn)制數(shù)表示，前8位為廠商標(biāo)識(shí)，后4位為網(wǎng)卡標(biāo)識(shí)。網(wǎng)絡(luò)管理員可以按照各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的MAC地址將一些站點(diǎn)劃分為一個(gè)邏輯子網(wǎng)VLAN-l，將另外一些站點(diǎn)劃分為另一個(gè)邏輯子網(wǎng)VLAN-2。（3）基于網(wǎng)絡(luò)層協(xié)議或地址劃分的VLAN路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）?；诰W(wǎng)絡(luò)層的虛擬網(wǎng)有多種劃分方式，例如當(dāng)網(wǎng)絡(luò)中存在多種協(xié)議時(shí)，可以通過(guò)不同的可路由協(xié)議來(lái)劃分多個(gè)VLAN；當(dāng)然，也可以使用網(wǎng)絡(luò)層地址來(lái)確定虛擬網(wǎng)絡(luò)的成員。例如對(duì)于使用TCP/IP協(xié)議的網(wǎng)絡(luò)，可以使用子網(wǎng)段的地址來(lái)劃分VLAN。（4）基于IP廣播組劃分的VLAN基于IP廣播組劃分的VLAN是以動(dòng)態(tài)的方式建立的多點(diǎn)廣播組來(lái)確定虛擬網(wǎng)。每一站點(diǎn)通過(guò)對(duì)標(biāo)識(shí)不同虛擬網(wǎng)的廣播信息的確認(rèn)來(lái)決定是否加入某一虛擬網(wǎng)。根據(jù)IP廣播組劃分的VLAN是利用了一種被稱為代理的設(shè)備對(duì)虛擬網(wǎng)絡(luò)的成員進(jìn)行管理。以這種方式定義VLAN時(shí)，任何屬于同一IP廣播組的計(jì)算機(jī)都屬于同一虛擬網(wǎng)。（5）基于策略劃分的VLAN（此種方式VLAN技術(shù)白皮書中未與其他并列提到，策略與廠商設(shè)備的支持有關(guān)）基于策略的VLAN劃分是一種比較有效而且直接的方式。這主要取決于在VLAN劃分中所采用的策略。前邊所述的任何一種方法都可以算作是一種策略，利用上述這些策略還可以組合為新的策略。當(dāng)一種策略被定義到交換機(jī)上時(shí)，該策略就會(huì)應(yīng)用到整個(gè)網(wǎng)絡(luò)上。4、實(shí)現(xiàn)VLAN的設(shè)備上面提到，實(shí)現(xiàn)VLAN需要的硬件設(shè)備是帶路由功能的交換機(jī)。也就是說(shuō)可以是一個(gè)三層交換機(jī)，也可以是一個(gè)路由器，帶著一個(gè)二層交換機(jī)。傳統(tǒng)的路由器在網(wǎng)絡(luò)中有路由轉(zhuǎn)發(fā)、防火墻、隔離廣播等作用，而在一個(gè)劃分了VLAN以后的網(wǎng)絡(luò)中，邏輯上劃分的不同網(wǎng)段之間通信仍然要通過(guò)路由器轉(zhuǎn)發(fā)。由于在局域網(wǎng)上，不同VLAN之間的通信數(shù)據(jù)量是很大的，這樣，如果路由器要對(duì)每一個(gè)數(shù)據(jù)包都路由一次，隨著網(wǎng)絡(luò)上數(shù)據(jù)量的不斷增大，路由器將不堪重負(fù)，路由器將成為整個(gè)網(wǎng)絡(luò)運(yùn)行的瓶頸。 在這種情況下，出現(xiàn)了第三層交換技術(shù)，它是將路由技術(shù)與交換技術(shù)合二為一的技術(shù)。三層交換機(jī)在對(duì)第一個(gè)數(shù)據(jù)流進(jìn)行路由后，會(huì)產(chǎn)生一個(gè)MAC地址與IP地址的映射表，當(dāng)同樣的數(shù)據(jù)流再次通過(guò)時(shí)，將根據(jù)此表直接從二層通過(guò)而不是再次路由，從而消除了路由器進(jìn)行路由選擇而造成網(wǎng)絡(luò)的延遲，提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率，消除了路由器可能產(chǎn)生的網(wǎng)絡(luò)瓶頸問(wèn)題?？梢?，三層交換機(jī)集路由與交換于一身，在交換機(jī)內(nèi)部實(shí)現(xiàn)了路由，提高了網(wǎng)絡(luò)的整體性能。 在以三層交換機(jī)為核心的千兆網(wǎng)絡(luò)中，為保證不同職能部門管理的方便性和安全性以及整個(gè)網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性，可采用VLAN技術(shù)進(jìn)行虛擬網(wǎng)絡(luò)劃分。VLAN子網(wǎng)隔離了廣播風(fēng)暴，對(duì)一些重要部門實(shí)施了安全保護(hù)；且當(dāng)某一部門物理位置發(fā)生變化時(shí)，只需對(duì)交換機(jī)進(jìn)行設(shè)置，就可以實(shí)現(xiàn)網(wǎng)絡(luò)的重組，非常方便、快捷，同時(shí)節(jié)約了成本。八、配置VLAN1、VLAN的工作模式：（1）靜態(tài)VLAN：管理員針對(duì)交換機(jī)端口指定VLAN。（2）動(dòng)態(tài)VLAN：通過(guò)設(shè)置VMPS（VLAN MembershipPolicy Server），包含了一個(gè)MAC地址與VLAN號(hào)的映射表，當(dāng)數(shù)據(jù)幀到達(dá)交換機(jī)后，交換機(jī)會(huì)查詢VMPS獲得相應(yīng)MAC地址的VLAN ID。（3）ISL標(biāo)簽：ISL（InterSwitch Link）是一個(gè)在交換機(jī)之間、交換機(jī)與路由器之間及交換機(jī)與服務(wù)器之間傳遞多個(gè)VLAN信息及VLAN數(shù)據(jù)流的協(xié)議，通過(guò)在交換機(jī)直接相連的端口配置ISL封裝，即可跨越交換機(jī)進(jìn)行整個(gè)網(wǎng)絡(luò)的VLAN分配和進(jìn)行配置。（4）VTP（VLAN TrunkingProtocol）：它是一個(gè)在交換機(jī)之間同步及傳遞VLAN配置信息的協(xié)議。一個(gè)VTP Server上的配置將會(huì)傳遞給網(wǎng)絡(luò)中的所有交換機(jī)，VTP通過(guò)減少手工配置而支持較大規(guī)模的網(wǎng)絡(luò)。VTP有三種模式：（5）Server模式：允許創(chuàng)建、修改、刪除VLAN及其他一些對(duì)整個(gè)VTP域的配置參數(shù)，同步本VTP域中其他交換機(jī)傳遞來(lái)的最新的VLAN信息。（6）Client模式：在Client模式下，一臺(tái)交換機(jī)不能創(chuàng)建、刪除、修改VLAN配置，也不能在NVRAM中存儲(chǔ)VLAN配置，但可以同步由本VTP域中其他交換機(jī)傳遞來(lái)的VLAN信息。（7）Transparent模式：可以進(jìn)行創(chuàng)建、修改、刪除，也可以傳遞本VTP域中其他交換機(jī)送來(lái)的VTP廣播信息，但并不參與本VTP域的同步和分配，也不將自己的VLAN配置傳遞給本VTP域中的其他交換機(jī)，它的VLAN配置只影響到它自己。交換機(jī)在默認(rèn)情況下為Server模式。創(chuàng)建VLAN，默認(rèn)情況下交換機(jī)只有VLAN 1,可以通過(guò)命令增加所需的VLAN。將VLAN指定給交換機(jī)的各個(gè)端口。默認(rèn)情況下交換機(jī)所有端口均屬于VLAN 1，可以通過(guò)全局命令修改交換機(jī)各端口的VLAN ID，但交換機(jī)每個(gè)端口只能屬于一個(gè)VLAN。3、配置三層交換配置MLSP協(xié)議，使RP與SE之間可以交換信息。配置管理端口，MLSP通過(guò)這個(gè)端口收發(fā)RP與SE之間的通信。針對(duì)不同的VLAN分配不同的VLAN網(wǎng)關(guān)地址。啟動(dòng)路由器的路由功能。根據(jù)需要，可以定義VLAN虛網(wǎng)間的訪問(wèn)策略，可通過(guò)定義訪問(wèn)列表來(lái)實(shí)現(xiàn)。4、在公司內(nèi)部如何進(jìn)行VLAN劃分?公司內(nèi)部進(jìn)行VLAN的劃分實(shí)例 對(duì)于每個(gè)公司而言都有自己不同的需求，下面我們給出一個(gè)典型的公司的VLAN的實(shí)例，這樣也可以成為我們以后為公司劃分VLAN的依據(jù)。某公司現(xiàn)在有工程部、銷售部、財(cái)務(wù)部。VLAN的劃分：工程部VLAN10，銷售部VLAN20，財(cái)務(wù)部VLAN30，并且各部門還可以相互通訊?，F(xiàn)有設(shè)備如下:Cisco3640路由器，Cisco Catalyst