VLAN的劃分與實現(xiàn).doc

VLAN的劃分與實現(xiàn)【摘 要】 信息化高度發(fā)展，網(wǎng)絡(luò)離我們越來越近，它影響著我們生活的各個方面，各個企業(yè)單位組建自己的局域網(wǎng)，而且規(guī)模在不斷擴大，用戶在不斷增加，網(wǎng)絡(luò)應(yīng)用也在不斷增長，網(wǎng)絡(luò)變得越來越擁擠，沖突不斷產(chǎn)生，管理難度日益加大。局域網(wǎng)內(nèi)部對于靈活、動態(tài)地組建LAN網(wǎng)段的要求也越來越多，客觀上要求LAN本身的結(jié)構(gòu)可以實現(xiàn)動態(tài)組建、調(diào)整和管理。為了有效地提高網(wǎng)絡(luò)管理的靈活性，提高網(wǎng)絡(luò)效率和網(wǎng)絡(luò)安全性，充分合理地進行VLAN劃分，是必需的。【關(guān)鍵詞】 VLAN 虛擬局域網(wǎng) 交換機 靜態(tài)VLAN 動態(tài)VLAN【引 言】 人類以最快的速度在改造世界，進入21世紀后，隨著信息社會不斷發(fā)展，虛擬世界也是發(fā)展迅速，當今社會已經(jīng)進入一個網(wǎng)絡(luò)快速發(fā)展的信息社會，信息技術(shù)的不斷發(fā)展，給人們的生活、工作、學(xué)習(xí)帶來了以往社會無比的便利，人們越來越離不開以計算機網(wǎng)絡(luò)為中心的信息時代。一般的企業(yè)都會有建立局域網(wǎng)，局域網(wǎng)是一般中小企業(yè)最常用的，同時又是結(jié)構(gòu)最簡單的計算機網(wǎng)絡(luò)。虛擬局域網(wǎng)（VLAN）技術(shù)是目前局域網(wǎng)中的一項常用技術(shù)；VLAN技術(shù)是在不改變局域網(wǎng)上節(jié)點物理位置的基礎(chǔ)上，按照功能、部門、應(yīng)用等因素劃分為若干“邏輯工作組”；VLAN技術(shù)有效避免了廣播風(fēng)暴，增強了局域網(wǎng)的安全性。一、VLAN的概念VLAN是（Virtual Local Area Network）的縮寫,我們又稱虛擬局域網(wǎng)，是一個可以跨不同網(wǎng)段，不同網(wǎng)絡(luò)的邏輯網(wǎng)絡(luò)。大家都知道，VLAN建是由局域網(wǎng)交換機發(fā)展而來的，是采用軟件的方式構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。是該進交換機技術(shù)的結(jié)果，它是一種將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分網(wǎng)段而實現(xiàn)虛擬工作組的技術(shù)。VLAN具有以下的特點：一個VLAN組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)（VLAN）中，在功能和操作上與傳統(tǒng)LAN保持相同，可以提供一定范圍內(nèi)終端系統(tǒng)的連接。VLAN是局域交換網(wǎng)的靈魂。這是因為通過VLAN用戶能方便地在網(wǎng)絡(luò)中移動，并不需要改變?nèi)魏斡布屯ㄐ啪€路。VLAN充分體現(xiàn)了現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征：高速、靈活、管理簡便和擴展容易。VLAN所指的LAN特指使用路由器或者交換機分割的網(wǎng)絡(luò)，也就是廣播域（廣播域，指的是廣播幀所能傳遞到的范圍，亦即能夠直接通信的范圍）。舉個例子：一個學(xué)校分為A,B,C三個系，各個系又有不同的職能部門，這三個系分別在三個不同的教學(xué)樓里面，學(xué)校要求各個不同系的部門之間要經(jīng)常交流數(shù)據(jù)，共享資源。這樣需要把這三個系要交流的部門劃分到一個VLAN里面。這樣就是一個典型的VLAN。另外關(guān)于VLAN的標準：在1995年，Cisco公司提倡使用IEEE802.10協(xié)議。在此之前，IEEE802.10曾經(jīng)在全球范圍內(nèi)作為VLAN安全性的同一規(guī)范。IEEE于1999年頒布了用以標準化VLAN實現(xiàn)方案的802.1Q協(xié)議標準草案。802.1Q的出現(xiàn)打破了虛擬網(wǎng)依賴于單一廠商的僵局，從一個側(cè)面推動了VLAN的迅速發(fā)展。另外，來自市場的壓力使各大網(wǎng)絡(luò)廠商立刻將新標準融合到他們各自的產(chǎn)品中。二、VLAN在局域網(wǎng)的簡單描述根據(jù)上文，可以把它理解為將一臺交換機在邏輯上分割成了幾臺交換機。例如下圖描述在一臺交換機上生成紅、藍兩個VLAN，也可以看作是將一臺交換機換做一紅一藍兩臺虛擬的交換機。圖2-1 VLAN描述圖在紅、藍兩個VLAN之外生成新的VLAN時，可以想象成又添加了新的交換機。但是，VLAN生成的邏輯上的交換機是互不相通的。因此，在交換機上設(shè)置VLAN后，如果未做其他處理，VLAN間是無法通信的。這樣，我們利用軟件技術(shù)等于將一個物理的LAN分成了物理上獨立的小LAN了，達到了預(yù)期的目的，從根本上解決了廣播“泛洪”的問題。這里有個很奇怪的事情，明明接在同一臺交換機上，但卻偏偏無法通信這個事實也許讓人難以接受。但它既是VLAN方便易用的特征，又是使VLAN令人難以理解的原因。其實，這樣正是VLAN的魅力所在。前文提過，在現(xiàn)代其中很多的數(shù)據(jù)需要跨部門共享傳輸。而不同的部門分布在不同的VLAN中，那么，當我們需要在不同的VLAN間通信時又該怎么辦呢？其實這個問題很簡單，我們回憶一下：VLAN是廣播域。而通常兩個廣播域之間由路由器連接，廣播域之間來往的數(shù)據(jù)包都是由路由器中繼的。因此，VLAN間的通信也需要路由器提供中繼服務(wù)，這被稱作“VLAN間路由”。VLAN間路由，可以使用普通的路由器，也可以使用三層交換機。各種方法各有優(yōu)缺點。不同VLAN間互相通信時需要用到路由功能的設(shè)備來實現(xiàn)的。三、為什么要用VLAN1、運用VLAN可以做到（1）減少廣播域的工作點。，在一個VLAN內(nèi)的廣播包不會跑到別的VLAN上去。通過限制一個VLAN 上的設(shè)備數(shù)目，在一個VLAN 上的廣播率便可受到控制。一個正常的廣播率應(yīng)該平均每秒不超過30 個廣播包（但通過網(wǎng)友的現(xiàn)場性能監(jiān)測，建議廣播不應(yīng)該超出30 個/秒）。（2）增強安全性。因為虛擬局域網(wǎng)上各個子網(wǎng)上的廣播不會擴散開這樣就保證了數(shù)據(jù)的私有性和安全性。（就像在一個物理局域網(wǎng)中，工作站少了出問題的可能性就比較?。┘幢闶菐资_機器的小型局域網(wǎng)，如果要保證數(shù)據(jù)的隔離安全，也可以嘗試劃分VLAN來實現(xiàn)。當不同的VLAN間要互訪信息的時候需要通過三層的交換機。這樣的話數(shù)據(jù)包容易被管理人員監(jiān)視。提高了網(wǎng)絡(luò)的安全系數(shù)。（3）方便網(wǎng)絡(luò)設(shè)備的管理。假定我們把所有的打印機都規(guī)劃在一個子網(wǎng)上，而每一個打印機都必須在同一個廣播域里。這樣等于需要在每一個樓層上，分別安裝交換機。這些交換機都需要光纜和銅纜的連接，而這些打印機子網(wǎng)都需要連接到自己的專用路由器端口上。2、VLAN的優(yōu)點和缺點優(yōu)點如下：（1）能夠簡化網(wǎng)絡(luò)管理，使得網(wǎng)絡(luò)管理簡單而且直觀（2）能夠控制廣播風(fēng)暴（3）能夠提高網(wǎng)絡(luò)的整體安全性缺點如下：（1）在使用MAC地址定義VLAN的技術(shù)中，必須進行初始配置。而對大規(guī)模的網(wǎng)絡(luò)進行初始化工作時，需要把成百上千的用戶配置到某個虛擬局域網(wǎng)之中，因此，初始工作過于煩瑣。（2）當使用局域網(wǎng)交換機的端口劃分VLAN成員的方法時，用戶從一個交換機的端口移動到另一個端口時，網(wǎng)絡(luò)管理員必須對VLAN的成員重新配置。（3）需要專職的網(wǎng)絡(luò)管理員和必要的專業(yè)技術(shù)支持，這樣需要企業(yè)有一定的投入去維護VLAN.3、使用VLAN的場合一般，在幾十臺以下計算機構(gòu)成的小型局域網(wǎng)中，除非需要彼此的數(shù)據(jù)隔絕，否則沒有必要劃分虛擬局域網(wǎng)。在幾百臺乃至上千臺計算機構(gòu)成的大中型局域網(wǎng)中，劃分和建立虛擬局域網(wǎng)，應(yīng)當說是十分必要的。這是因為大型局域網(wǎng)產(chǎn)生廣播風(fēng)暴的可能性大大增加，而虛擬局域網(wǎng)技術(shù)能夠有效地隔離廣播風(fēng)暴。四、VLAN的優(yōu)勢簡介 VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”。是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用在有VLAN協(xié)議的第三層以上交換機之中。 VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的局域網(wǎng)邏輯地劃分成不同的廣播域，每一個VLAN都是按照企業(yè)的一個職能部門來劃分，包含著一組具有相同工作特點的計算機。它是按功能劃分而不是按物理劃分，同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，這些工作站可以不屬于同一個物理局域網(wǎng)網(wǎng)段，一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中。因此使用VLAN技術(shù)可以控制流量，減少設(shè)備投資，簡化網(wǎng)絡(luò)管理，提高網(wǎng)絡(luò)的安全性。五、VLAN的分類 1、基于端口劃分的VLAN 基于端口劃分VLAN是最常應(yīng)用的一種VLAN劃分方法，應(yīng)用也最為廣泛有效，目前絕大多數(shù)VLAN協(xié)議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機的交換端口來劃分的，它是將VLAN交換機上的物理端口和VLAN交換機內(nèi)部的PVC端口分成若干個組，每個組構(gòu)成一個虛擬網(wǎng)，相當于一個獨立的VLAN交換機。 對于不同部門需要互訪時，可通過路由器轉(zhuǎn)發(fā)，并配合基于MAC地址的端口過濾。對某站點的訪問路徑上最靠近該站點的交換機、路由交換機或路由器的相應(yīng)端口上，設(shè)定可通過的MAC地址集。這樣就可以防止非法入侵者從內(nèi)部盜用IP地址從其他可接入點入侵的可能。 2、 基于MAC地址劃分VLAN 這種劃分VLAN的方法是根據(jù)每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置他屬于哪個組，它實現(xiàn)的機制就是每一塊網(wǎng)卡都對應(yīng)唯一的MAC地址，VLAN交換機跟蹤屬于VLAN MAC的地址。這種方式的VLAN允許網(wǎng)絡(luò)用戶從一個物理位置移動到另一個物理位置時，自動保留其所屬VLAN的成員身份。 3、 基于網(wǎng)絡(luò)層協(xié)議劃分VLAN VLAN按網(wǎng)絡(luò)層協(xié)議來劃分，可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議來組成的VLAN，可使廣播域跨越多個VLAN交換機。這對于希望針對具體應(yīng)用和服務(wù)來組織用戶的網(wǎng)絡(luò)管理員來說是非常具有吸引力的。而且，用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動，但其VLAN成員身份仍然保留不變。 4、 根據(jù)IP組播劃分VLAN IP組播實際上也是一種VLAN的定義，即認為一個IP組播組就是一個VLAN。這種劃分的方法將VLAN擴大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，主要適合于不在同一地理范圍的局域網(wǎng)用戶組成一個VLAN，不適合局域網(wǎng)，主要是效率不高。 5、按策略劃分VLAN 基于策略組成的VLAN能實現(xiàn)多種分配方法，包括VLAN交換機端口、MAC地址、IP地址、網(wǎng)絡(luò)層協(xié)議等。網(wǎng)絡(luò)管理人員可根據(jù)自己的管理模式和本單位的需求來決定選擇哪種類型的VLAN。 6、按用戶定義、非用戶授權(quán)劃分VLAN 基于用戶定義、非用戶授權(quán)來劃分VLAN，是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò)，根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認證后才可以加入一個VLAN。六、實現(xiàn)VLAN的劃分需要哪些資源 一般來說計算機的系統(tǒng)構(gòu)成都需要軟件和硬件。VLAN也從這兩個方面來說軟件：像其他系統(tǒng)一樣，VLAN需要一個管理軟件來實現(xiàn)它的維護。硬件：需要一個支持VLAN功能的交換機。七、VLAN的實現(xiàn)1、虛擬局域網(wǎng)實現(xiàn)的基本原則：（1）考慮到交換機軟件的兼容性，在整個局域網(wǎng)中應(yīng)當盡量使用同一廠家的支持VLAN的交換機。如果設(shè)備不兼容網(wǎng)絡(luò)是無法正常運轉(zhuǎn)的，風(fēng)險太大。所以一定要用兼容的。（2）為了實現(xiàn)網(wǎng)絡(luò)的統(tǒng)一管理，在可以使用交換機的場合盡量使用交換機，并且盡可能多地將計算機接入交換機的端口，而不是集線器或路由器的端口。（3）在整個網(wǎng)絡(luò)中，應(yīng)盡量使用第3層以上的交換機來取代傳統(tǒng)的路由器。這是由于實現(xiàn)路由功能，既可以采用路由器，也可以采用第三層交換機（路由交換機）。而只有采用路由交換機，才能綜合交換和路由這兩種功能，這樣才能既保證傳統(tǒng)路由功能的實現(xiàn)，也實現(xiàn)VLAN的技術(shù)。另一方面考慮，VLAN屬于星形的網(wǎng)路拓撲結(jié)構(gòu)，這樣要求中間設(shè)備有相當?shù)姆€(wěn)定性。所以最好選用三層的交換機，能夠有技術(shù)過硬的廠商的品牌就更好了。（4）盡可能地使整個網(wǎng)絡(luò)成為樹型結(jié)構(gòu)，以保證整個網(wǎng)絡(luò)的層次性，以及VLAN的物理連通性。層次清晰方便管理人員管理，如果非常亂的話對于日后的升級管理都是不小的阻礙。（5）首先，根據(jù)應(yīng)用的需要來選擇交換機，使所選的交換機應(yīng)能夠滿足實際需要。其次，通過交換機相應(yīng)的軟件將整個網(wǎng)絡(luò)劃分為多個VLAN，無論每個VLAN上計算機的物理位置如何，都可以劃分在一個邏輯工作組內(nèi)。各個VLAN可以相互連通，也可以設(shè)置為互不相通。2、VLAN實現(xiàn)的方式：這個和物理局域網(wǎng)很相似，分為動態(tài)和靜態(tài)。也有觀點說有三種甚至五種實現(xiàn)方式，實際上大同小異。不過是細分了一下動態(tài)的實現(xiàn)方式，最經(jīng)典的就是動態(tài)的和靜態(tài)的劃分。（1）靜態(tài)實現(xiàn)是網(wǎng)絡(luò)管理員將交換機端口分配給某一個VLAN，這是一種以前最經(jīng)常使用的配置方式，容易實現(xiàn)和監(jiān)視，而且比較安全。因為是綁定MAC地址，解析起來比較消耗網(wǎng)絡(luò)帶寬資源，而且機動性不強，初期配置相當麻煩，是一個相當大且繁瑣的工作?，F(xiàn)在這種實現(xiàn)方式用的比較少。（2）動態(tài)實現(xiàn)方式中，管理員必須先建立一個較復(fù)雜的數(shù)據(jù)庫，例如輸入要連接的網(wǎng)絡(luò)設(shè)備的MAC地址及相應(yīng)的VLAN號，這樣當網(wǎng)絡(luò)設(shè)備接到交換機端口時交換機自動把這個網(wǎng)絡(luò)設(shè)備所連接的端口分配給相應(yīng)的VLAN。動態(tài)VLAN的配置可以基于網(wǎng)絡(luò)設(shè)備的MAC地址、IP地址、應(yīng)用或者所使用的協(xié)議。實現(xiàn)動態(tài)VLAN時一般使用管理軟件來進行管理。動態(tài)跟靜態(tài)比起來開始比較方便。方案比較多，現(xiàn)在比較主流。通過設(shè)置VMPS（VLAN MembershipPolicy Server），包含了一個MAC地址與VLAN號的映射表，當數(shù)據(jù)幀到達交換機后，交換機會查詢VMPS獲得相應(yīng)MAC地址的VLAN ID。3、VLAN具體劃分：（1）基于交換機端口劃分的VLAN這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進行分配和設(shè)置，不用考慮該端口所連接的設(shè)備。 交換機的端口，可以分為以下兩種：訪問鏈接（Access Link）根據(jù)英文可以得到意思是用來訪問用的，相當于物理局域網(wǎng)的LAN口，匯聚鏈接（Trunk Link）又叫主干口，根據(jù)意思判斷相當于WAN口。（2）基于MAC地址劃分的VLAN基于MAC地址劃分VLAN就是以網(wǎng)卡的MAC地址來決定隸屬的虛擬網(wǎng)。MAC地址是指網(wǎng)卡的標識符，每一塊網(wǎng)卡的MAC地址都是惟一的，并且已經(jīng)固化在網(wǎng)卡上。MAC地址由12位16進制數(shù)表示，前8位為廠商標識，后4位為網(wǎng)卡標識。網(wǎng)絡(luò)管理員可以按照各個網(wǎng)絡(luò)節(jié)點的MAC地址將一些站點劃分為一個邏輯子網(wǎng)VLAN-l，將另外一些站點劃分為另一個邏輯子網(wǎng)VLAN-2。（3）基于網(wǎng)絡(luò)層協(xié)議或地址劃分的VLAN路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機（即三層交換機）?；诰W(wǎng)絡(luò)層的虛擬網(wǎng)有多種劃分方式，例如當網(wǎng)絡(luò)中存在多種協(xié)議時，可以通過不同的可路由協(xié)議來劃分多個VLAN；當然，也可以使用網(wǎng)絡(luò)層地址來確定虛擬網(wǎng)絡(luò)的成員。例如對于使用TCP/IP協(xié)議的網(wǎng)絡(luò)，可以使用子網(wǎng)段的地址來劃分VLAN。（4）基于IP廣播組劃分的VLAN基于IP廣播組劃分的VLAN是以動態(tài)的方式建立的多點廣播組來確定虛擬網(wǎng)。每一站點通過對標識不同虛擬網(wǎng)的廣播信息的確認來決定是否加入某一虛擬網(wǎng)。根據(jù)IP廣播組劃分的VLAN是利用了一種被稱為代理的設(shè)備對虛擬網(wǎng)絡(luò)的成員進行管理。以這種方式定義VLAN時，任何屬于同一IP廣播組的計算機都屬于同一虛擬網(wǎng)。（5）基于策略劃分的VLAN（此種方式VLAN技術(shù)白皮書中未與其他并列提到，策略與廠商設(shè)備的支持有關(guān)）基于策略的VLAN劃分是一種比較有效而且直接的方式。這主要取決于在VLAN劃分中所采用的策略。前邊所述的任何一種方法都可以算作是一種策略，利用上述這些策略還可以組合為新的策略。當一種策略被定義到交換機上時，該策略就會應(yīng)用到整個網(wǎng)絡(luò)上。4、實現(xiàn)VLAN的設(shè)備上面提到，實現(xiàn)VLAN需要的硬件設(shè)備是帶路由功能的交換機。也就是說可以是一個三層交換機，也可以是一個路由器，帶著一個二層交換機。傳統(tǒng)的路由器在網(wǎng)絡(luò)中有路由轉(zhuǎn)發(fā)、防火墻、隔離廣播等作用，而在一個劃分了VLAN以后的網(wǎng)絡(luò)中，邏輯上劃分的不同網(wǎng)段之間通信仍然要通過路由器轉(zhuǎn)發(fā)。由于在局域網(wǎng)上，不同VLAN之間的通信數(shù)據(jù)量是很大的，這樣，如果路由器要對每一個數(shù)據(jù)包都路由一次，隨著網(wǎng)絡(luò)上數(shù)據(jù)量的不斷增大，路由器將不堪重負，路由器將成為整個網(wǎng)絡(luò)運行的瓶頸。 在這種情況下，出現(xiàn)了第三層交換技術(shù)，它是將路由技術(shù)與交換技術(shù)合二為一的技術(shù)。三層交換機在對第一個數(shù)據(jù)流進行路由后，會產(chǎn)生一個MAC地址與IP地址的映射表，當同樣的數(shù)據(jù)流再次通過時，將根據(jù)此表直接從二層通過而不是再次路由，從而消除了路由器進行路由選擇而造成網(wǎng)絡(luò)的延遲，提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率，消除了路由器可能產(chǎn)生的網(wǎng)絡(luò)瓶頸問題?？梢?，三層交換機集路由與交換于一身，在交換機內(nèi)部實現(xiàn)了路由，提高了網(wǎng)絡(luò)的整體性能。 在以三層交換機為核心的千兆網(wǎng)絡(luò)中，為保證不同職能部門管理的方便性和安全性以及整個網(wǎng)絡(luò)運行的穩(wěn)定性，可采用VLAN技術(shù)進行虛擬網(wǎng)絡(luò)劃分。VLAN子網(wǎng)隔離了廣播風(fēng)暴，對一些重要部門實施了安全保護；且當某一部門物理位置發(fā)生變化時，只需對交換機進行設(shè)置，就可以實現(xiàn)網(wǎng)絡(luò)的重組，非常方便、快捷，同時節(jié)約了成本。八、配置VLAN1、VLAN的工作模式：（1）靜態(tài)VLAN：管理員針對交換機端口指定VLAN。（2）動態(tài)VLAN：通過設(shè)置VMPS（VLAN MembershipPolicy Server），包含了一個MAC地址與VLAN號的映射表，當數(shù)據(jù)幀到達交換機后，交換機會查詢VMPS獲得相應(yīng)MAC地址的VLAN ID。（3）ISL標簽：ISL（InterSwitch Link）是一個在交換機之間、交換機與路由器之間及交換機與服務(wù)器之間傳遞多個VLAN信息及VLAN數(shù)據(jù)流的協(xié)議，通過在交換機直接相連的端口配置ISL封裝，即可跨越交換機進行整個網(wǎng)絡(luò)的VLAN分配和進行配置。（4）VTP（VLAN TrunkingProtocol）：它是一個在交換機之間同步及傳遞VLAN配置信息的協(xié)議。一個VTP Server上的配置將會傳遞給網(wǎng)絡(luò)中的所有交換機，VTP通過減少手工配置而支持較大規(guī)模的網(wǎng)絡(luò)。VTP有三種模式：（5）Server模式：允許創(chuàng)建、修改、刪除VLAN及其他一些對整個VTP域的配置參數(shù)，同步本VTP域中其他交換機傳遞來的最新的VLAN信息。（6）Client模式：在Client模式下，一臺交換機不能創(chuàng)建、刪除、修改VLAN配置，也不能在NVRAM中存儲VLAN配置，但可以同步由本VTP域中其他交換機傳遞來的VLAN信息。（7）Transparent模式：可以進行創(chuàng)建、修改、刪除，也可以傳遞本VTP域中其他交換機送來的VTP廣播信息，但并不參與本VTP域的同步和分配，也不將自己的VLAN配置傳遞給本VTP域中的其他交換機，它的VLAN配置只影響到它自己。交換機在默認情況下為Server模式。創(chuàng)建VLAN，默認情況下交換機只有VLAN 1,可以通過命令增加所需的VLAN。將VLAN指定給交換機的各個端口。默認情況下交換機所有端口均屬于VLAN 1，可以通過全局命令修改交換機各端口的VLAN ID，但交換機每個端口只能屬于一個VLAN。3、配置三層交換配置MLSP協(xié)議，使RP與SE之間可以交換信息。配置管理端口，MLSP通過這個端口收發(fā)RP與SE之間的通信。針對不同的VLAN分配不同的VLAN網(wǎng)關(guān)地址。啟動路由器的路由功能。根據(jù)需要，可以定義VLAN虛網(wǎng)間的訪問策略，可通過定義訪問列表來實現(xiàn)。4、在公司內(nèi)部如何進行VLAN劃分?公司內(nèi)部進行VLAN的劃分實例 對于每個公司而言都有自己不同的需求，下面我們給出一個典型的公司的VLAN的實例，這樣也可以成為我們以后為公司劃分VLAN的依據(jù)。某公司現(xiàn)在有工程部、銷售部、財務(wù)部。VLAN的劃分：工程部VLAN10，銷售部VLAN20，財務(wù)部VLAN30，并且各部門還可以相互通訊?，F(xiàn)有設(shè)備如下:Cisco3640路由器，Cisco Catalyst