【精品論文】VLAN技術(shù)白皮書

1、vlan技術(shù)白皮書=摘要：vlan（virtual local areanetwork）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。ieee于1999年頒布了用以標(biāo)準(zhǔn)化vlan實(shí)現(xiàn)方案的802.1q協(xié)議標(biāo)準(zhǔn)草案。 關(guān)鍵詞：vlan vlan聚合 pvlan gvrp vtp 1、vlan概述vlan（virtual local areanetwork）即虛擬局域網(wǎng)，是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。ieee于1999年頒布了用以標(biāo)準(zhǔn)化vlan實(shí)現(xiàn)方案的802.1q協(xié)議標(biāo)準(zhǔn)草案。

2、vlan是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎(chǔ)上增加了vlan頭，用vlan id把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。 2、vlan在交換機(jī)上的實(shí)現(xiàn)方法，可以大致劃分為4類：（1）、 基于端口劃分的vlan這種劃分vlan的方法是根據(jù)以太網(wǎng)交換機(jī)的端，口來(lái)劃分，比如quidway s3526的14端口為vlan 10，517為vlan 20，1824為vlan 30，當(dāng)然，這些屬于同一vlan的端口可以不連續(xù)，如何配置，由管理員決定，如果有多

3、個(gè)交換機(jī)，例如，可以指定交換機(jī) 1的16端口和交換機(jī) 2 的14端口為同一vlan，即同一vlan可以跨越數(shù)個(gè)以太網(wǎng)交換機(jī)，根據(jù)端口劃分是目前定義vlan的最廣泛的方法，ieee 802.1q規(guī)定了依據(jù)以太網(wǎng)交換機(jī)的端口來(lái)劃分vlan的國(guó)際標(biāo)準(zhǔn)。這種劃分的方法的優(yōu)點(diǎn)是定義vlan成員時(shí)非常簡(jiǎn)單，只要將所有的端口都指定義一下就可以了。它的缺點(diǎn)是如果vlan a的用戶離開了原來(lái)的端口，到了一個(gè)新的交換機(jī)的某個(gè)端口，那么就必須重新定義。（2）、基于mac地址劃分vlan這種劃分vlan的方法是根據(jù)每個(gè)主機(jī)的mac地址來(lái)劃分，即對(duì)每個(gè)mac地址的主機(jī)都配置他屬于哪個(gè)組。這種劃分vlan的方法的最大優(yōu)點(diǎn)

4、就是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，vlan不用重新配置，所以，可以認(rèn)為這種根據(jù)mac地址的劃分方法是基于用戶的vlan，這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行配置，如果有幾百個(gè)甚至上千個(gè)用戶的話，配置是非常累的。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)vlan組的成員，這樣就無(wú)法限制廣播包了。另外，對(duì)于使用筆記本電腦的用戶來(lái)說(shuō)，他們的網(wǎng)卡可能經(jīng)常更換，這樣，vlan就必須不停的配置。（3）、基于網(wǎng)絡(luò)層劃分vlan這種劃分vlan的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法是

5、根據(jù)網(wǎng)絡(luò)地址，比如ip地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無(wú)關(guān)系。它雖然查看每個(gè)數(shù)據(jù)包的ip地址，但由于不是路由，所以，沒(méi)有rip，ospf等路由協(xié)議，而是根據(jù)生成樹算法進(jìn)行橋交換。這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬的vlan，而且可以根據(jù)協(xié)議類型來(lái)劃分vlan，這對(duì)網(wǎng)絡(luò)管理者來(lái)說(shuō)很重要，還有，這種方法不需要附加的幀標(biāo)簽來(lái)識(shí)別vlan，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的(相對(duì)于前面兩種方法)，一般的交換機(jī)芯片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)禎頭，但要讓芯片能檢查ip幀頭，需要更高的技術(shù)，同時(shí)也更費(fèi)時(shí)。當(dāng)

6、然，這與各個(gè)廠商的實(shí)現(xiàn)方法有關(guān)。4、根據(jù)ip組播劃分vlanip 組播實(shí)際上也是一種vlan的定義，即認(rèn)為一個(gè)組播組就是一個(gè)vlan，這種劃分的方法將vlan擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過(guò)路由器進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高。鑒于當(dāng)前業(yè)界vlan發(fā)展的趨勢(shì)，考慮到各種vlan劃分方式的優(yōu)缺點(diǎn)，為了最大程度上地滿足用戶在具體使用過(guò)程中需求，減輕用戶在vlan的具體使用和維護(hù)中的工作量，quidway s系列交換機(jī)采用根據(jù)端口來(lái)劃分vlan的方法。vlan技術(shù)簡(jiǎn)介因?yàn)関lan技術(shù)與局域網(wǎng)技術(shù)息息相關(guān)，所以在介紹vlan之前，我們首先來(lái)了解一下局域

7、網(wǎng)的有關(guān)知識(shí)。局域網(wǎng)（lan）通常被定義為一個(gè)單獨(dú)的廣播域，主要使用hub，網(wǎng)橋，或交換機(jī)等網(wǎng)絡(luò)設(shè)備連接同一網(wǎng)段內(nèi)的所有節(jié)點(diǎn)。同處一個(gè)局域網(wǎng)之內(nèi)的網(wǎng)絡(luò)節(jié)點(diǎn)之間可以不通過(guò)網(wǎng)絡(luò)路由器直接進(jìn)行通信；而處于不同局域網(wǎng)段內(nèi)的設(shè)備之間的通信則必須經(jīng)過(guò)網(wǎng)絡(luò)路由器。圖一所示為使用路由器構(gòu)建的典型的局域網(wǎng)環(huán)境。圖一所示網(wǎng)絡(luò)中，通過(guò)使用路由器劃分出不同的局域網(wǎng)段。其中，位于圓形區(qū)域之內(nèi)的部分就是一個(gè)個(gè)相互獨(dú)立的局域網(wǎng)段。為了便于在本文中進(jìn)行說(shuō)明，我們?yōu)椴煌木W(wǎng)段進(jìn)行了編號(hào)。需要注意的一點(diǎn)就是，每一個(gè)局域網(wǎng)所連接的路由器接口都屬于該局域網(wǎng)廣播域的一部分。隨著網(wǎng)絡(luò)的不斷擴(kuò)展，接入設(shè)備逐漸增多，網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，必須使

8、用更多的路由器才能將不同的用戶劃分到各自的廣播域中，在不同的局域網(wǎng)之間提供網(wǎng)絡(luò)互連。這樣做的一個(gè)缺陷就是隨著網(wǎng)絡(luò)中路由器數(shù)量的增多，網(wǎng)絡(luò)時(shí)延逐漸加長(zhǎng)，從而導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)傳輸速度的下降。這主要是因?yàn)閿?shù)據(jù)在從一處局域網(wǎng)傳遞到另一處局域網(wǎng)時(shí)，必須經(jīng)過(guò)路由器的路由操作，路由器根據(jù)數(shù)據(jù)包中的相應(yīng)信息確定數(shù)據(jù)包的目標(biāo)地址，然后再選擇合適的路徑轉(zhuǎn)發(fā)出去。vlan，又稱虛擬局域網(wǎng)，是由位于不同物理局域網(wǎng)段的設(shè)備組成。雖然vlan所連接的設(shè)備來(lái)自不同的網(wǎng)段，但是相互之間可以進(jìn)行直接通信，好像處于同一網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)。相比較傳統(tǒng)的局域網(wǎng)布局，vlan技術(shù)更加靈活。為了創(chuàng)建虛擬網(wǎng)絡(luò)，需要對(duì)已有的網(wǎng)絡(luò)拓?fù)?/p>

9、結(jié)構(gòu)進(jìn)行相應(yīng)的調(diào)整。還是連接相同的網(wǎng)絡(luò)終端，通過(guò)如圖所示的交換網(wǎng)絡(luò)提供了同樣的網(wǎng)絡(luò)連接。雖然圖二所示的網(wǎng)絡(luò)比起圖一所示網(wǎng)絡(luò)在速度和網(wǎng)絡(luò)時(shí)延方面都有了很大的改進(jìn)和提高，但是同樣存在一些不足。其中，最突出的一點(diǎn)就是現(xiàn)在所有的網(wǎng)絡(luò)節(jié)點(diǎn)都處于同一個(gè)廣播域內(nèi)，大大增加了網(wǎng)絡(luò)中所有設(shè)備之間的數(shù)據(jù)流量。隨著網(wǎng)絡(luò)的不斷擴(kuò)充，很有可能出現(xiàn)廣播風(fēng)暴，導(dǎo)致整個(gè)網(wǎng)絡(luò)無(wú)法使用。vlan技術(shù)入門vlan是英文virtual localarea network的縮寫，即虛擬局域網(wǎng)。一方面，vlan建立在局域網(wǎng)交換機(jī)的基礎(chǔ)之上；另一方面，vlan是局域交換網(wǎng)的靈魂。這是因?yàn)橥ㄟ^(guò)vlan用戶能方便地在網(wǎng)絡(luò)中移動(dòng)和快捷地組建寬帶

10、網(wǎng)絡(luò)，而無(wú)需改變?nèi)魏斡布屯ㄐ啪€路。這樣，網(wǎng)絡(luò)管理員就能從邏輯上對(duì)用戶和網(wǎng)絡(luò)資源進(jìn)行分配，而無(wú)需考慮物理連接方式。 vlan充分體現(xiàn)了現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征：高速、靈活、管理簡(jiǎn)便和擴(kuò)展容易。是否具有vlan功能是衡量局域網(wǎng)交換機(jī)的一項(xiàng)重要指標(biāo)。網(wǎng)絡(luò)的虛擬化是未來(lái)網(wǎng)絡(luò)發(fā)展的潮流。vlan與普通局域網(wǎng)從原理上講沒(méi)有什么不同，但從用戶使用和網(wǎng)絡(luò)管理的角度來(lái)看，vlan與普通局域網(wǎng)最基本的差異體現(xiàn)在：vlan并不局限于某一網(wǎng)絡(luò)或物理范圍，vlan中的用戶可以位于一個(gè)園區(qū)的任意位置，甚至位于不同的國(guó)家。vlan具有以下優(yōu)點(diǎn)：控制網(wǎng)絡(luò)的廣播風(fēng)暴采用vlan技術(shù)，可將某個(gè)交換端口劃到某個(gè)vlan中，而一個(gè)v

11、lan的廣播風(fēng)暴不會(huì)影響其它vlan的性能。確保網(wǎng)絡(luò)安全共享式局域網(wǎng)之所以很難保證網(wǎng)絡(luò)的安全性，是因?yàn)橹灰脩舨迦胍粋€(gè)活動(dòng)端口，就能訪問(wèn)網(wǎng)絡(luò)。而vlan能限制個(gè)別用戶的訪問(wèn)，控制廣播組的大小和位置，甚至能鎖定某臺(tái)設(shè)備的mac地址，因此vlan能確保網(wǎng)絡(luò)的安全性。簡(jiǎn)化網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理員能借助于vlan技術(shù)輕松管理整個(gè)1112網(wǎng)絡(luò)。例如需要為完成某個(gè)項(xiàng)目建立一個(gè)工作組網(wǎng)絡(luò)，其成員可能遍及全國(guó)或全世界，此時(shí)，網(wǎng)絡(luò)管理員只需設(shè)置幾條命令，就能在幾分鐘內(nèi)建立該項(xiàng)目的vlan網(wǎng)絡(luò)，其成員使用vlan網(wǎng)絡(luò)，就像在本地使用局域網(wǎng)一樣。 vlan的分類主要有以下幾種：基于端口的vlan基于端口的vlan是劃分虛

12、擬局域網(wǎng)最簡(jiǎn)單也是最有效的方法，這實(shí)際上是某些交換端口的集合，網(wǎng)絡(luò)管理員只需要管理和配置交換端口，而不管交換端口連接什么設(shè)備?；趍ac地址的vlan由于只有網(wǎng)卡才分配有mac地址，因此按mac地址來(lái)劃分vlan實(shí)際上是將某些工作站和服務(wù)器劃屬于某個(gè)vlan。事實(shí)上，該vlan是一些mac地址的集合。當(dāng)設(shè)備移動(dòng)時(shí)，vlan能夠自動(dòng)識(shí)別。網(wǎng)絡(luò)管理需要管理和配置設(shè)備的mac地址，顯然當(dāng)網(wǎng)絡(luò)規(guī)模很大，設(shè)備很多時(shí)，會(huì)給管理帶來(lái)難度?；诘?層的vlan基于第3層的vlan是采用在路由器中常用的方法：ip子網(wǎng)和ipx網(wǎng)絡(luò)號(hào)等。其中，局域網(wǎng)交換機(jī)允許一個(gè)子網(wǎng)擴(kuò)展到多個(gè)局域網(wǎng)交換端口，甚至允許一個(gè)端口對(duì)應(yīng)于

13、多個(gè)子網(wǎng)?；诓呗缘膙lan基于策略的vlan是一種比較靈活有效的vlan劃分方法。該方法的核心是采用什么樣的策略？目前，常用的策略有（與廠商設(shè)備的支持有關(guān)）：按mac地址按ip地址按以太網(wǎng)協(xié)議類型按網(wǎng)絡(luò)的應(yīng)用等vlan的標(biāo)準(zhǔn)對(duì)vlan的標(biāo)準(zhǔn)，我們只是介紹兩種比較通用的標(biāo)準(zhǔn)，當(dāng)然也有一些公司具有自己的標(biāo)準(zhǔn)，比如cisco公司的isl標(biāo)準(zhǔn)，雖然不是一種大眾化的標(biāo)準(zhǔn)，但是由于cisco catalyst交換機(jī)的大量使用，isl也成為一種不是標(biāo)準(zhǔn)的標(biāo)準(zhǔn)了。 802.10vlan標(biāo)準(zhǔn)在1995年，cisco公司提倡使用ieee802.10協(xié)議。在此之前，ieee802.10曾經(jīng)在全球范圍內(nèi)作為vlan

14、安全性的同一規(guī)范。cisco公司試圖采用優(yōu)化后的802.10幀格式在網(wǎng)絡(luò)上傳輸framtagging模式中所必須的vlan標(biāo)簽。然而，大多數(shù)802委員會(huì)的成員都反對(duì)推廣802.10。因?yàn)?，該協(xié)議是基于frametagging方式的。 802.1q在1996年3月，ieee802.1internetworking委員會(huì)結(jié)束了對(duì)vlan初期標(biāo)準(zhǔn)的修訂工作。新出臺(tái)的標(biāo)準(zhǔn)進(jìn)一步完善了vlan的體系結(jié)構(gòu)，統(tǒng)一了fram-etagging方式中不同廠商的標(biāo)簽格式，并制定了vlan標(biāo)準(zhǔn)在未來(lái)一段時(shí)間內(nèi)的發(fā)展方向，形成的802.1q的標(biāo)準(zhǔn)在業(yè)界獲得了廣泛的推廣。它成為vlan史上的一塊里程碑。802.1q的出

15、現(xiàn)打破了虛擬網(wǎng)依賴于單一廠商的僵局，從一個(gè)側(cè)面推動(dòng)了vlan的迅速發(fā)展。另外，來(lái)自市場(chǎng)的壓力使各大網(wǎng)絡(luò)廠商立刻將新標(biāo)準(zhǔn)融合到他們各自的產(chǎn)品中。關(guān)于trunk方式- trunk是獨(dú)立于vlan的、將多條物理鏈路模擬為一條邏輯鏈路的vlan與vlan之間的連接方式。采用trunk方式不僅能夠連接不同的vlan或跨越多個(gè)交換機(jī)的相同vlan，而且還能增加交換機(jī)間的物理連接帶寬，增強(qiáng)網(wǎng)絡(luò)設(shè)備間的冗余。由于在基于交換機(jī)的vlan劃分當(dāng)中，交換機(jī)的各端口分別屬于各vlan段，如果將某一vlan端口用于網(wǎng)絡(luò)設(shè)備間的級(jí)聯(lián)，則該網(wǎng)絡(luò)設(shè)備的其他vlan中的網(wǎng)絡(luò)終端就無(wú)法與隸屬于其他網(wǎng)絡(luò)設(shè)備的vlan網(wǎng)絡(luò)終端進(jìn)行通

16、信。有鑒于此，網(wǎng)絡(luò)設(shè)備間的級(jí)聯(lián)必須采用trunk方式，使得該端口不隸屬于任何vlan，也就是說(shuō)該端口所建成的網(wǎng)絡(luò)設(shè)備間的級(jí)聯(lián)鏈路是所有vlan進(jìn)行通信的公用通道。vlan新用途雖然vlan并非最好的網(wǎng)絡(luò)技術(shù)，但這種用于網(wǎng)絡(luò)結(jié)點(diǎn)邏輯分段的方法正為許多企業(yè)所使用。vlan采用多種方式配置于企業(yè)網(wǎng)絡(luò)中，包括網(wǎng)絡(luò)安全認(rèn)證、使無(wú)線用戶在802.11b接入點(diǎn)漫游、隔離ip語(yǔ)音流及在不同協(xié)議的網(wǎng)絡(luò)中傳輸數(shù)據(jù)等。六年前引進(jìn)vlan的時(shí)候，多數(shù)vlan都是基于ieee 802.1q和802.1p標(biāo)準(zhǔn)的。802.1q規(guī)范用于將vlan用戶信息載入以太網(wǎng)幀，而802.1p使二層交換機(jī)具有流量?jī)?yōu)先和實(shí)施動(dòng)態(tài)多址濾波的

17、能力。當(dāng)初引進(jìn)vlan時(shí)，它被看作是一個(gè)簡(jiǎn)化地址管理的方法，可以使it人員在網(wǎng)絡(luò)的任意點(diǎn)對(duì)服務(wù)器和pc機(jī)進(jìn)行物理配置，并將pc機(jī)加入到組中。多數(shù)網(wǎng)絡(luò)設(shè)備的軟件可用于將媒體訪問(wèn)控制（mac）地址與vlan相關(guān)聯(lián)，當(dāng)客戶從一個(gè)端口移動(dòng)到另一個(gè)端口時(shí)，可以使其自動(dòng)連接到網(wǎng)絡(luò)上。vlan的應(yīng)用最近，休斯頓在4棟22層的建筑物中建立了網(wǎng)絡(luò)及其子網(wǎng)，包括122個(gè)法庭、法律事務(wù)所和審判廳，這種建筑物非常適合建立vlan，因?yàn)閷?22個(gè)私人子網(wǎng)合并到一個(gè)vlan中要比將用戶插入端口組容易得多。vlan和靜態(tài)ip地址也可用于安全機(jī)制。所有工作于這里的客戶都分配了一個(gè)靜態(tài)ip地址，通過(guò)alcatel的omnisw

18、itch路由器和omnicore5052主干網(wǎng)交換器連接到網(wǎng)絡(luò)中。這種配置方式使法官和律師在不同的法庭中都可以進(jìn)行工作。這種設(shè)置可控制許可用戶的訪問(wèn)權(quán)限以及限制未注冊(cè)用戶的訪問(wèn)，因而可以提供安全性。接入網(wǎng)絡(luò)的唯一方法就是必須擁有一個(gè)ip地址，而且這些pc機(jī)都連接在其中的一個(gè)vlan上。vlan的漫游功能massachusetts的/pidgewater州立學(xué)院配置了100多個(gè)enterasys公司的roamabout 802.11b/a無(wú)線接入點(diǎn)，因而學(xué)生在整個(gè)校園中都可以訪問(wèn)web和e-mail。如果沒(méi)有對(duì)無(wú)線流量進(jìn)入自己的vlan進(jìn)行隔離，那么對(duì)于希望在校園范圍內(nèi)保持網(wǎng)絡(luò)連接的移動(dòng)用戶來(lái)說(shuō)

19、，它將成為一場(chǎng)噩夢(mèng)。將所有的無(wú)線流量置于一個(gè)vlan中，可以確保當(dāng)用戶從一個(gè)接入點(diǎn)移動(dòng)到另一個(gè)接入點(diǎn)時(shí)不會(huì)掉線。而實(shí)際上當(dāng)整個(gè)校園中配置的enterasys接入點(diǎn)只有150英尺的范圍時(shí)，這種情況很容易發(fā)生。在宿舍、教室和管理機(jī)構(gòu)中，利用cisco和enterasys混合的可堆疊交換器來(lái)連接到無(wú)線接入點(diǎn)?？朔艘恍┙徊鎻S商的vlan配置問(wèn)題之后，現(xiàn)在可以在校園的任意地方漫游，無(wú)論是連接到cisco還是enterasys交換器上，都可以保持連接在同一vlan上。vlan管理vlan不僅可用于安全和網(wǎng)絡(luò)管理，對(duì)于混合型網(wǎng)絡(luò)的管理來(lái)說(shuō)，它同樣不失為一個(gè)有益的工具。有人利用enterasys公司的sma

20、rtswitch可堆疊交換器和smartswitch router主干網(wǎng)交換器來(lái)在整個(gè)子網(wǎng)上建立vlan，這些子網(wǎng)是運(yùn)行多種協(xié)議的。醫(yī)療數(shù)據(jù)庫(kù)建立在vax小型機(jī)上，這種應(yīng)用運(yùn)行于遺留的decnet協(xié)議之上。decnet的確使用了大量的廣播流量，可將這些流量置于其自己的vlan上，因而decnet數(shù)據(jù)流只能夠到達(dá)一定的網(wǎng)段。netware 4.11服務(wù)器在網(wǎng)絡(luò)上運(yùn)行的情況與此類似。它只為novell服務(wù)器及用戶創(chuàng)建獨(dú)立的ipx vlan，這使多數(shù)基于ip和windows nt/2000服務(wù)器的網(wǎng)絡(luò)不會(huì)陷入ipx和decnet流量的海洋中。隔離voip流量進(jìn)入vlan也成為3com、cisco、a

21、lcatel、nortel和avaya等ip電話廠商的一個(gè)標(biāo)準(zhǔn)推薦。所有這些廠商的交換器和ip pbx設(shè)備都支持802.1q技術(shù)，這就隔離了ip語(yǔ)音流進(jìn)入其自己的vlan。廠商和用戶都認(rèn)為，在其虛擬段保持語(yǔ)音可能是非常有用的，作為一個(gè)隔離語(yǔ)音流的方法，它可以達(dá)到故障診斷的目的。如果有大流量的廣播或大的文件下載，它也能確保語(yǔ)音質(zhì)量不會(huì)下降。如何在交換機(jī)上配置vlan我們知道，傳統(tǒng)的局域網(wǎng)ethernet 使用具有沖突檢測(cè)的載波監(jiān)聽多路訪問(wèn)( csma / cd )方法。在csma / cd 網(wǎng)絡(luò)中，節(jié)點(diǎn)可以在它們有數(shù)據(jù)需要發(fā)送的任何時(shí)候使用網(wǎng)絡(luò)。在節(jié)點(diǎn)傳輸數(shù)據(jù)之前，它進(jìn)行監(jiān)聽以了解網(wǎng)絡(luò)是否很繁忙

22、。如果不是，則節(jié)點(diǎn)開始傳送數(shù)據(jù)。如果網(wǎng)絡(luò)正在使用，則節(jié)點(diǎn)等待。如果兩個(gè)節(jié)點(diǎn)進(jìn)行監(jiān)聽，沒(méi)有聽到任何東西，而開始同時(shí)使用線路，則會(huì)出現(xiàn)沖突。在發(fā)送數(shù)據(jù)時(shí)，它如果使用廣播地址，那么在此網(wǎng)段上的所有pc都將收到數(shù)據(jù)包，這樣一來(lái)如果該網(wǎng)段pc眾多，很容易引起廣播風(fēng)暴。而沖突和廣播風(fēng)暴是影響網(wǎng)絡(luò)性能的重要因素。為解 決這一問(wèn)題，引入1112了虛擬局域網(wǎng)（vlan的）概念。虛擬網(wǎng)絡(luò)是在整個(gè)網(wǎng)絡(luò)中通過(guò)網(wǎng)絡(luò)交換設(shè)備建立的虛擬工作組。虛擬網(wǎng)在邏輯上等于osi模型的第二層的廣播域，與具體的物理網(wǎng)及地理位置無(wú)關(guān)。虛擬工作組可以包含不同位置的部門和工作組，不必在物理上重新配置任何端口，真正實(shí)現(xiàn)了網(wǎng)絡(luò)用戶與它們的物理位置

23、無(wú)關(guān)。虛擬網(wǎng)技術(shù)把傳統(tǒng)的廣播域按需要分割成各個(gè)獨(dú)立的子廣播域，將廣播限制在虛擬工作組中，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。我們結(jié)合下面的圖來(lái)看看講下。圖1所表示的是兩層樓中的相同性質(zhì)的部門劃分到一個(gè)vlan中，這樣，會(huì)計(jì)的數(shù)據(jù)不會(huì)向市場(chǎng)的機(jī)器上廣播，也不會(huì)和市場(chǎng)的機(jī)器發(fā)生數(shù)據(jù)沖突。所以vlan有效的分割了沖突域和廣播域。我們可以在交換機(jī)的某個(gè)端口上定義vlan ，所有連接到這個(gè)特定端口的終端都是虛擬網(wǎng)絡(luò)的一部分，并且整個(gè)網(wǎng)絡(luò)可以支持多個(gè)vlan。vlan通過(guò)建立網(wǎng)絡(luò)防火墻使不必要的數(shù)據(jù)流量減至最少，隔離各個(gè)vlan間的傳輸和可能出現(xiàn)的問(wèn)題，使網(wǎng)

24、絡(luò)吞吐量大大增加，減少了網(wǎng)絡(luò)延遲。在虛擬網(wǎng)絡(luò)環(huán)境中，可以通過(guò)劃分不同的虛擬網(wǎng)絡(luò)來(lái)控制處于同一物理網(wǎng)段中的用戶之間的通信。這樣一來(lái)有效的實(shí)現(xiàn)了數(shù)據(jù)的保密工作，而且配置起來(lái)并不麻煩，網(wǎng)絡(luò)管理員可以邏輯上重新配置網(wǎng)絡(luò)，迅速、簡(jiǎn)單、有效地平衡負(fù)載流量，輕松自如地增加、刪除和修改用戶，而不必從物理上調(diào)整網(wǎng)絡(luò)配置。既然vlan有那么多的優(yōu)點(diǎn)，我們?yōu)槭裁床涣私馑鼜亩裿lan技術(shù)應(yīng)用到我們的現(xiàn)實(shí)網(wǎng)絡(luò)管理中去呢。好的讓我們通過(guò)實(shí)際的在catalyst 1900交換機(jī)上來(lái)配置靜態(tài)vlan的例子來(lái)看看如何在交換機(jī)上配置vlan。圖1 在catalyst 1900 上的兩個(gè)vlan設(shè)置好超級(jí)終端，連接上1900交換

25、機(jī)后（可以參考1900系列以太網(wǎng)交換機(jī)快速入門指南或其他的cisco參考資料），會(huì)出現(xiàn)如下的主配置界面：-1 user(s) now active on management console.user interface menum menusk command linei ip configurationenter selection:我們簡(jiǎn)單介紹下，這兒顯示了三個(gè)選項(xiàng)，m menus 是主菜單，主要是交換機(jī)的初始配置和監(jiān)控交換機(jī)的運(yùn)行狀況。k command line是命令行，很象路由器里面用命令來(lái)配置和監(jiān)控路由器一樣，主要是通過(guò)命令來(lái)操作。i ip configuration 是配置ip

26、地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)管的一個(gè)選項(xiàng)。這是第一次連上交換機(jī)顯示的界面，如果你已經(jīng)配置好了ip configuration，那么下次登陸的時(shí)候?qū)](méi)有這個(gè)選項(xiàng)。因?yàn)橛妹钆渲煤?jiǎn)潔明了，清晰易懂，所以我們通過(guò) k command line 來(lái)實(shí)現(xiàn)vlan的配置的。設(shè)置好超級(jí)終端，連接上1900交換機(jī)后（可以參考1900系列以太網(wǎng)交換機(jī)快速入門指南或其他的cisco參考資料），會(huì)出現(xiàn)如下的主配置界面：-1 user(s) now active on management console.user interface menum menusk command linei ip configuratione

27、nter selection:我們簡(jiǎn)單介紹下，這兒顯示了三個(gè)選項(xiàng)，m menus 是主菜單，主要是交換機(jī)的初始配置和監(jiān)控交換機(jī)的運(yùn)行狀況。k command line是命令行，很象路由器里面用命令來(lái)配置和監(jiān)控路由器一樣，主要是通過(guò)命令來(lái)操作。i ip configuration 是配置ip地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)管的一個(gè)選項(xiàng)。這是第一次連上交換機(jī)顯示的界面，如果你已經(jīng)配置好了ip configuration，那么下次登陸的時(shí)候?qū)](méi)有這個(gè)選項(xiàng)。因?yàn)橛妹钆渲煤?jiǎn)潔明了，清晰易懂，所以我們通過(guò) k command line 來(lái)實(shí)現(xiàn)vlan的配置的。我們選擇 k command line ，進(jìn)入命令行配

28、置enter selection:k 回車cli session with the switch is open.to end the cli session,enter exit .現(xiàn)在我們進(jìn)入到了交換機(jī)的普通用戶模式，就象路由器一樣，這種模式只能查看現(xiàn)在的配置，不能更改配置，并且能夠使用的命令很有限。我們輸入enable，進(jìn)入特權(quán)模式：enable#config tenter configuration commands,one per line.end with cntl/z(config)#為了安全和方便起見，我們給這個(gè)交換機(jī)起個(gè)名字，并且設(shè)置登陸密碼。(config)#hostnam

29、e 1900switch1900switch(config)# enable password level 15 goodwork1900switch(config)#注意：密碼必須是4-8位的字符。交換機(jī)密碼的設(shè)置和路由器稍微不同，交換機(jī)用 level 級(jí)別的大小來(lái)決定密碼的權(quán)限。level 1 是進(jìn)入命令行界面的密碼，也就是說(shuō)，設(shè)置了 level 1 的密碼后，你下次連上交換機(jī)，并輸入 k 后，就會(huì)讓你輸入密碼，這個(gè)密碼就是 level1 設(shè)置的密碼。而 level 15 是你輸入了enable命令后讓你輸入的特權(quán)模式密碼。路由器里面是使用 enable password 和 enable

30、 screet做此區(qū)分的。好拉，我們已經(jīng)設(shè)置好了名字和密碼這樣就足夠安全了，讓我們?cè)O(shè)置vlan。vlan的設(shè)置分以下2步：1 設(shè)置vlan名稱2 應(yīng)用到端口我們先設(shè)置vlan的名稱。使用 vlan vlan號(hào) name vlan名稱。 在特權(quán)配置模式下進(jìn)行配置：1900switch (config)#vlan 2 name accounting1900switch (config)#vlan 3 name marketing我們新配置了2個(gè)vlan，為什么vlan號(hào)從2開始呢？這是因?yàn)槟J(rèn)情況下，所有的端口否放在vlan 1上，所以要從2開始配置。1900系列的交換機(jī)最多可以配置1024個(gè)vl

31、an，但是，只能有64個(gè)同時(shí)工作，當(dāng)然了，這是理論上的，我們應(yīng)該根據(jù)自己網(wǎng)絡(luò)的實(shí)際需要來(lái)規(guī)劃vlan的號(hào)碼。配置好了vlan名稱后我們要進(jìn)入每一個(gè)端口來(lái)設(shè)置vlan。在交換機(jī)中，要進(jìn)入某個(gè)端口比如說(shuō)第4個(gè)端口，要用 interface ethernet 0/4，好的，結(jié)合上面給出的圖我們讓端口2、3、4和5屬于vlan2 ，端口17-22屬于vlan3 。命令是vlan-membership static/ dynamic vlan號(hào) 。 靜態(tài)的或者動(dòng)態(tài)的兩者必須選擇一個(gè)，后面是剛才配置的vlan號(hào)。好的，我們看結(jié)果：1900switch(config)#interface ethernet

32、0/21900switch(config-if)#vlan-membership static 21900switch(config-if)#int e0/31900switch(config-if)#vlan-membership static 21900switch(config-if)#int e0/41900switch(config-if)#vlan-membership static 21900switch(config-if)#int e0/51900switch(config-if)#vlan-membership static 21900switch(config-if)#i

33、nt e0/171900switch(config-if)#vlan-membership static 3。1900switch(config-if)#int e0/221900switch(config-if)#vlan-membership static 31900switch(config-if)#好的，我們已經(jīng)把vlan都定義到了交換機(jī)的端口上了。這兒，我們只是配置的靜態(tài)的，關(guān)于動(dòng)態(tài)的，我們?cè)诤竺鏁?huì)有提及的。到現(xiàn)在為止，我們已經(jīng)把交換機(jī)的vlan配置好了，怎么樣，沒(méi)有你想象的那么復(fù)雜吧。為了驗(yàn)證我們的配置，我們?cè)谔貦?quán)模式使用show vlan命令。輸出如下：1900switch(co

34、nfig)#show vlanvlan name status ports-1 default enabled 1,6-16,22-24,aui,a,b2 acconting enabled 2-53 marketing enabled 17-221002 fddi-default suspended1003 token-ring-defau sus1112pended1004 fddinet-default suspended1005 trnet-default suspended這是一個(gè)24口的交換機(jī)，并且?guī)в衋ui和兩個(gè)100兆端口（a、b），可以看出來(lái)，我們的設(shè)置已經(jīng)正常工作了，什么，

35、還要不要保存running configure？當(dāng)然不用了，交換機(jī)是即時(shí)自動(dòng)保存的，所以不用我們使用命令來(lái)保存設(shè)置了。當(dāng)然了，你也可以使用 show vlan vlan號(hào) 的命令來(lái)查看某個(gè)vlan，比如show vlan2 , show vlan 3. 還可以使用show vlan-membership ，改命令主要是顯示交換機(jī)上的每一個(gè)端口靜態(tài)或動(dòng)態(tài)的屬于哪個(gè)vlan。以上是給交換機(jī)配置靜態(tài)vlan的過(guò)程，下面我們看看動(dòng)態(tài)的vlan。動(dòng)態(tài)的v l a n 形成很簡(jiǎn)單，由端口自己決定它屬于哪個(gè)v l a n 時(shí)，就形成了動(dòng)態(tài)的v l a n 。不過(guò)，這并不意味著就一層不變了，它只是一個(gè)簡(jiǎn)單的映

36、射，這個(gè)映射取決于網(wǎng)絡(luò)管理員創(chuàng)建的數(shù)據(jù)庫(kù)。分配給動(dòng)態(tài)v l a n 的端口被激活后，交換機(jī)就緩存初始幀的源m a c 地址，隨后，交換機(jī)便向一個(gè)稱為vmps （v l a n 管理策略服務(wù)器）的外部服務(wù)器發(fā)出請(qǐng)求，v m p s 中包含一個(gè)文本文件，文件中存有進(jìn)行v l a n 映射的m a c 地址。交換機(jī)對(duì)這個(gè)文件進(jìn)行下載，然后對(duì)文件中的m a c 地址進(jìn)行校驗(yàn)。如果在文件列表中找到m a c 地址，交換機(jī)就將端口分配給列表中的v l a n 。如果列表中沒(méi)有m a c 地址，交換機(jī)就將端口分配給默認(rèn)的v l a n （假設(shè)已經(jīng)定義默認(rèn)了v l a n ）。如果在列表中沒(méi)有m a c 地址

37、，而且也沒(méi)有定義默認(rèn)的v l a n ，端口不會(huì)被激活。這是維護(hù)網(wǎng)絡(luò)安全一種非常好的的方法。從表面上看，動(dòng)態(tài)v l a n 的優(yōu)勢(shì)很大，但它也有致命的缺點(diǎn)，即創(chuàng)建數(shù)據(jù)庫(kù)是一項(xiàng)非常艱苦而且非常繁瑣的工作。如果網(wǎng)絡(luò)上有數(shù)千個(gè)工作站，則有大量的輸入工作要做。即使有人能勝任這項(xiàng)工作，也還會(huì)出現(xiàn)與動(dòng)態(tài)的v la n 有關(guān)的很多問(wèn)題。另外，保持?jǐn)?shù)據(jù)庫(kù)為最新也是要隨時(shí)進(jìn)行的非常費(fèi)時(shí)的工作。所以不經(jīng)常用到它，這里我們就不做詳細(xì)的講解，可以參考相關(guān)的cisco的文檔資料。這么樣，沒(méi)有你想象的那么復(fù)雜吧。我們已經(jīng)把vlan配置好了，那么vlan的另一部分不容忽視的工作，就是前期的對(duì)網(wǎng)絡(luò)的規(guī)劃。就是說(shuō)，哪些機(jī)器在一

38、個(gè)vlan中，各自的ip地址、子網(wǎng)掩碼如何分配，以及vlan之間互相通訊的問(wèn)題。只有規(guī)劃計(jì)劃好了，才能夠在配置和以后的使用維護(hù)過(guò)程中輕松省事。lan的網(wǎng)絡(luò)管理過(guò)去常常在網(wǎng)絡(luò)里使用路由器和集線器，而現(xiàn)在很多網(wǎng)絡(luò)使用交換機(jī)，怎樣面對(duì)路由網(wǎng)絡(luò)和交換技術(shù)的挑戰(zhàn)嗎？目前，交換機(jī)在網(wǎng)絡(luò)市場(chǎng)上占據(jù)了主導(dǎo)地位，其中原因是：首先是交換機(jī)性價(jià)比高，其次是結(jié)構(gòu)靈活，可以隨著未來(lái)應(yīng)用的變化而靈活配置。數(shù)字最能說(shuō)明問(wèn)題。在有一個(gè)100mbps上行鏈路的交換機(jī)里，每個(gè)10mbps受控交換機(jī)端口的成本為100美元。路由選擇技術(shù)并不真正按給每個(gè)端口分配一個(gè)用戶的方式來(lái)分段網(wǎng)絡(luò)，每個(gè)路由器端口的成本至少是交換機(jī)端口的三四倍，因

39、而管理負(fù)擔(dān)大得驚人。盡管用路由器分段的網(wǎng)絡(luò)只有tcp/ip通信量，但由于成本高，性能不高，子網(wǎng)太多，并且配置工作量大，所以很快就行不通了。相比而言，交換機(jī)和集線器一樣，是即插即用設(shè)備。目前正在出現(xiàn)具有“自學(xué)”功能的路由選擇設(shè)備，采用所支持的協(xié)議自動(dòng)配置端口。在缺省情況下，純交換網(wǎng)絡(luò)是平面網(wǎng)絡(luò)。如果每個(gè)節(jié)點(diǎn)都有自己的交換端口，網(wǎng)絡(luò)就很難發(fā)生爭(zhēng)用情況，即入站通信量與節(jié)點(diǎn)的出站通信量發(fā)生資源爭(zhēng)用，反之亦然。相比而言，在傳統(tǒng)的共享網(wǎng)段或者環(huán)里，每個(gè)節(jié)點(diǎn)的吞吐量隨著節(jié)點(diǎn)的增多而下降，例如有25個(gè)節(jié)點(diǎn)的10baset網(wǎng)絡(luò)只能給每個(gè)節(jié)點(diǎn)平均提供400kbps帶寬，而有專業(yè)交換端口的節(jié)點(diǎn)卻擁有10mbps吞吐

40、量。一般被節(jié)點(diǎn)用于做廣告或者尋找目前未知的廣播技術(shù)可大大提供這種網(wǎng)絡(luò)的吞吐量，而通常的單址廣播幀只能廣播到一個(gè)目的地節(jié)點(diǎn)和中間交換端口。自從網(wǎng)橋流行的那一天起，我們就知道我們實(shí)際上并不希望有數(shù)千個(gè)節(jié)點(diǎn)的廣播域，因?yàn)閺V播風(fēng)暴無(wú)法預(yù)測(cè)且難以控制。把平面網(wǎng)絡(luò)變成較小的廣播域，無(wú)異于使交換網(wǎng)絡(luò)變成一種豐富多彩的調(diào)色板。與其用路由器定義任意大小的子網(wǎng)，倒不如用交換機(jī)建立vlan。vlan的管理vlan與交換網(wǎng)絡(luò)密不可分，但實(shí)施vlan要重新定義管理環(huán)境。vlan定義的邏輯域涉及網(wǎng)絡(luò)里的可能視圖，因而網(wǎng)絡(luò)管理平臺(tái)可顯示ip圖像，有時(shí)還會(huì)顯示基于ipx的圖像。如果部署vlan，其拓?fù)淇赡芘c上述視圖不匹配。當(dāng)

41、vlan部署完畢之后，你很可能對(duì)根據(jù)逐個(gè)vlan監(jiān)視通信量并生成警報(bào)這一點(diǎn)感興趣。在目前，大多數(shù)基于交換機(jī)的vlan是專用的。ieee 802.1p委員會(huì)開發(fā)出一種多址廣播標(biāo)準(zhǔn)，使vlan成員可以在取消vlan廣播抑制任務(wù)的情況下通信。在可互操作的軟件和硬件里實(shí)現(xiàn)上述標(biāo)準(zhǔn)之前，vlan配置仍將要求維護(hù)單一供應(yīng)商交換機(jī)環(huán)境。即使在單一供應(yīng)商vlan里，網(wǎng)絡(luò)管理也是一種挑戰(zhàn)，例如檢查vlan對(duì)話要求管理軟件處理的統(tǒng)計(jì)信息不同于檢查常見的lan或ip子網(wǎng)對(duì)話：rmon mib和rmon-2 mib分別提供確定lan和子網(wǎng)信息的框架，而vlan配置必須定義自己的mib，或者配置如何根據(jù)其他mib獲得上

42、述信息。此外，為了提供連貫的vlan行為特性圖，管理軟件要收集并合并來(lái)自多個(gè)rmon檢測(cè)器的數(shù)據(jù)。如果上述問(wèn)題很嚴(yán)重，就要考慮捕捉多交換機(jī)valn數(shù)據(jù)的地方只限于中間交換機(jī)鏈路或者主干網(wǎng)。在大型網(wǎng)絡(luò)里，主干幾乎都在100mbps以上，高速控制器的部署與常見vlan不一樣，而且成本很高。vlan的配置如果根據(jù)交換機(jī)端口定義vlan，通常很容易用某種拖放軟件把一個(gè)或多個(gè)用戶分配到特定的vlan。在非交換環(huán)境里，移動(dòng)、添加或更改操作很麻煩，有可能要改動(dòng)接線板上的跳線充一個(gè)集線器端口移動(dòng)到另一個(gè)端口。然而，改動(dòng)vlan分配仍然要靠人工進(jìn)行：在大型網(wǎng)絡(luò)里，這樣做很費(fèi)時(shí)，因而很多聯(lián)網(wǎng)供應(yīng)商鼓吹采用vlan

43、可以簡(jiǎn)化移動(dòng)、添加和更改操作?；趍ac地址的vlan分配方案確實(shí)可使某些移動(dòng)、添加和更改操作自動(dòng)化。如果用戶根據(jù)mac地址被分配到一個(gè)vlan或多個(gè)vlan，他們的計(jì)算機(jī)可以連接交換網(wǎng)絡(luò)的任何一個(gè)端口，所有通信量均能正確無(wú)誤地到達(dá)目的地。顯然，管理員要進(jìn)行vlan初始分配，但用戶移動(dòng)到不同的物理連接不需要在管理控制臺(tái)進(jìn)行人工干預(yù)；例如有很多移動(dòng)用戶的站，他們并非總是連接同一端口或許因?yàn)檗k公室都是臨時(shí)性的，采用基于mac地址的vlan可避免很多麻煩。傳統(tǒng)的layer3技術(shù)怎么樣呢？這里離開vlan最近的是ip子網(wǎng)：每個(gè)子網(wǎng)需要一個(gè)路由器端口，因?yàn)橥ㄐ帕恐荒芡ㄟ^(guò)一個(gè)路由器從一個(gè)子網(wǎng)移動(dòng)到另一個(gè)子

44、網(wǎng)。由于ip32位地址提供的地址空間很有限，所以很難分配子網(wǎng)地址，還有看你是否熟悉二進(jìn)制算法。因此，在ip網(wǎng)絡(luò)里執(zhí)行移動(dòng)、添加和更改操作很困難，速度慢，容易出錯(cuò)，而且費(fèi)用大。另外，在公司更換isp或者采用新安全策略時(shí)，可能有必要重新編號(hào)網(wǎng)絡(luò)，這對(duì)于大型網(wǎng)絡(luò)來(lái)說(shuō)是無(wú)法想像的。實(shí)際上，如果有人采用現(xiàn)有的有子網(wǎng)的路由ip網(wǎng)絡(luò)，并根據(jù)ip地址訪問(wèn)任意vlan成員，路由器就可能會(huì)被不必要的通信量淹沒(méi)。如果很多子網(wǎng)里都有valn成員，常用的vlan廣播必須通過(guò)路由器才能達(dá)到所有成員。此外，糟糕的是廣域鏈路會(huì)生成額外廣播通信量；有wan連接服務(wù)的vlan成員數(shù)通常應(yīng)該保持在最低水平。實(shí)際上，基于layer3

45、地址的vlan成員值有可能在增強(qiáng)和修改現(xiàn)有子網(wǎng)分布方面很有用，例如可通過(guò)一個(gè)全子網(wǎng)給vlan添加兩個(gè)新節(jié)點(diǎn)，或者可用兩個(gè)子網(wǎng)組成一個(gè)vlan而無(wú)須重新編號(hào)。cabletron的securefast virtual networking layer3交換技術(shù)采用路由服務(wù)器模型而1112不是傳統(tǒng)的路由選擇模型。第一個(gè)信息包傳送到路由服務(wù)器進(jìn)行常規(guī)路由計(jì)算，但交換機(jī)能記憶路徑，因而后續(xù)信息包可在layer2交換，而無(wú)須查對(duì)路由表。由于有了基于純layer3地址的vlan，所以ip地址可以作為通用網(wǎng)絡(luò)id，允許任何人連接任何數(shù)據(jù)鏈路，從而獲得全網(wǎng)絡(luò)訪問(wèn)，大大簡(jiǎn)化移動(dòng)、添加和更改任務(wù)。但是，還有其他方法

46、解決ip子網(wǎng)引起的管理問(wèn)題。dhcp（動(dòng)態(tài)主機(jī)配置協(xié)議）已經(jīng)在連接時(shí)給用戶分配地址的其他技術(shù)，都可用于解決上述問(wèn)題。vlan的測(cè)試傳統(tǒng)上，共享介質(zhì)如ethernet沖突網(wǎng)段或者令牌環(huán)，已經(jīng)成為網(wǎng)絡(luò)管理的級(jí)別單元，連接網(wǎng)段或環(huán)任何地方的協(xié)議分析儀都可捕捉所以節(jié)點(diǎn)自己發(fā)生的所有對(duì)話。集線器的snmp代理捕捉整個(gè)網(wǎng)段通信量，錯(cuò)誤和廣播統(tǒng)計(jì)信息。rmon檢測(cè)器（一種網(wǎng)絡(luò)監(jiān)視器或手持式故障排除設(shè)備）可檢測(cè)共享介質(zhì)發(fā)生的所有重大事件。這些設(shè)備提供測(cè)試手段即基本數(shù)據(jù)捕捉作業(yè)，旨在有效管理網(wǎng)絡(luò)。交換網(wǎng)絡(luò)必須裝備類似的工具。網(wǎng)絡(luò)數(shù)或者環(huán)數(shù)成倍增加，因而必備的設(shè)備也相應(yīng)地成倍增加。對(duì)于老式10baset來(lái)說(shuō)，大多

47、數(shù)獨(dú)立rmon檢測(cè)器的價(jià)格比較昂貴。同時(shí)，任何網(wǎng)段的通信量都可能只有一個(gè)源和一個(gè)目的地，使問(wèn)題分析變得很困難。即使是很簡(jiǎn)單的問(wèn)題，如觀察廣播是否正確無(wú)誤地傳送到vlan成員，而不傳送到其他節(jié)點(diǎn)，也要把協(xié)議分析儀和一個(gè)三端口中繼器連接到vlan的每個(gè)網(wǎng)段上。但情況并非很糟糕。常用的連接部件如nic，連接器，電纜和端口可用以前的方法測(cè)試，它們并不受交換結(jié)構(gòu)的影響。服務(wù)器，路由器，打印機(jī)和工作站發(fā)生的問(wèn)題可能會(huì)很難解決。如何路由器采用netbios橋結(jié)vlan不當(dāng)，可以從vlan里的任何一個(gè)節(jié)點(diǎn)診斷出來(lái)。其他問(wèn)題如沖突，應(yīng)該可以消除掉，因?yàn)榻橘|(zhì)不再是共享介質(zhì)，或者共享程度不象以前那么高。針對(duì)交換網(wǎng)絡(luò)

48、測(cè)試設(shè)備不足的問(wèn)題，交換機(jī)供應(yīng)商做了很多工作。很多交換機(jī)都可配置一個(gè)監(jiān)視端口，以便連接協(xié)議分析儀或者其他監(jiān)視器。在有的交換機(jī)里，可以配置監(jiān)視端口檢查任何兩個(gè)端口之間的通信量。在少數(shù)基于底板的交換機(jī)里，監(jiān)視端口可用于捕捉交換機(jī)傳送的所有通信量。這些監(jiān)視工作可以通過(guò)神奇的電子技術(shù)來(lái)實(shí)現(xiàn)，而不影響交換機(jī)的性能，如果你的交換機(jī)沒(méi)有監(jiān)視端口，并且每個(gè)端口都沒(méi)有rmon，就不能執(zhí)行監(jiān)視作業(yè)，即使可以執(zhí)行也很難且代價(jià)昂貴。因此購(gòu)買交換機(jī)必須考慮它有沒(méi)有監(jiān)視端口。另外，很多交換機(jī)供應(yīng)商還為每個(gè)端口配備了rmon代理。如果基本的交換機(jī)硬件沒(méi)有集成rmon設(shè)備，它不會(huì)削弱系統(tǒng)的總體性能。結(jié)束語(yǔ)大供應(yīng)商旨在支持基于

49、端口、mac地址和layer3地址建立vlan。也有一種說(shuō)法是支持基于應(yīng)用的vlan成員，從而壓縮視頻或音頻數(shù)據(jù)流的多址廣播支持。當(dāng)vlan定義很豐富而且靈活的時(shí)候，其他令人感興趣的管理服務(wù)才可能走向成熟。特別地，管理員再也不必為了建立vlan成員而把一個(gè)圖標(biāo)拖到一個(gè)映象上去，vlan可采用策略管理動(dòng)態(tài)定義。隨著可動(dòng)態(tài)定義的vlan產(chǎn)品和方案的推出和實(shí)施，配置和管理網(wǎng)絡(luò)節(jié)點(diǎn)所面對(duì)的挑戰(zhàn)也將發(fā)生根本性的轉(zhuǎn)變。對(duì)于陷于沉重管理事務(wù)的管理員來(lái)說(shuō)，vlan似乎并不能改變他們的窘境，因?yàn)樗麄儽仨毻鼌s某些基于路由器的聯(lián)網(wǎng)原理。但無(wú)論如何，每個(gè)管理員都將要面對(duì)交換式網(wǎng)絡(luò)，而vlan是實(shí)現(xiàn)商業(yè)目標(biāo)的重要工具。

50、企業(yè)網(wǎng)中的vlan設(shè)計(jì)- 在企業(yè)網(wǎng)絡(luò)剛剛興起之時(shí)，由于規(guī)模小、應(yīng)用面窄、對(duì)internet接入認(rèn)識(shí)程度低以及關(guān)于網(wǎng)絡(luò)安全和管理知識(shí)貧乏等原因，使得企業(yè)網(wǎng)僅僅局限于交換模式狀態(tài)。交換技術(shù)主要有2種方式: 基于以太網(wǎng)的幀交換和基于atm的信元交換，它相對(duì)于共享式網(wǎng)絡(luò)性能有很大提高，但對(duì)于所有處于一個(gè)ip網(wǎng)段或ipx網(wǎng)段的網(wǎng)絡(luò)設(shè)備來(lái)說(shuō)，卻同在一個(gè)廣播域中。當(dāng)工作站數(shù)量較多和信息流較大時(shí)，容易形成廣播風(fēng)暴，嚴(yán)重影響了網(wǎng)絡(luò)運(yùn)行速度，甚至容易造成網(wǎng)絡(luò)癱瘓。怎樣避免這個(gè)問(wèn)題出現(xiàn)呢？采用劃分網(wǎng)絡(luò)的辦法是個(gè)不錯(cuò)的選擇。- 在采用交換技術(shù)的網(wǎng)絡(luò)模式中，一般采用劃分物理網(wǎng)段的手段進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)的劃分。從效率和安全性等

51、方面來(lái)看，這種結(jié)構(gòu)劃分有一定缺陷，而且在很大程度上限制了網(wǎng)絡(luò)的靈活性。因?yàn)槿绻獙⒁粋€(gè)廣播域分開，必須另外購(gòu)買交換機(jī)，并且需要重新進(jìn)行人工布線。好在虛擬局域網(wǎng)（virtual local areanetwork，vlan）技術(shù)的出現(xiàn)解決了上述問(wèn)題。實(shí)際上，vlan就是一個(gè)廣播域，它不受地理位置的限制，可以跨多個(gè)局域網(wǎng)交換機(jī)。一個(gè)vlan可以根據(jù)部門職能、對(duì)象組或者應(yīng)用來(lái)將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。對(duì)于局域網(wǎng)交換機(jī)，其每一個(gè)端口只能標(biāo)記一個(gè)vlan，一個(gè)vlan中的所有端口擁有一個(gè)廣播域，而處于不同vlan的端口則共享不同的廣播域，這樣就避免了廣播風(fēng)暴的產(chǎn)生?？梢哉f(shuō)，在一個(gè)交換網(wǎng)

52、絡(luò)中，vlan提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。- 通常，一個(gè)規(guī)模較大的企業(yè)，其下屬一般擁有多個(gè)二級(jí)單位，為保證對(duì)不同職能部門管理的方便性和安全性以及整體網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性，可以采用vlan劃分技術(shù)，進(jìn)行虛擬網(wǎng)絡(luò)劃分。下面，我們通過(guò)對(duì)一個(gè)實(shí)際案例的分析，讓大家了解和掌握應(yīng)用vlan技術(shù)的真諦。網(wǎng)絡(luò)狀況- 某大型起重設(shè)備總公司下屬有2個(gè)二級(jí)單位，主要進(jìn)行研發(fā)、服務(wù)與銷售等工作。由于地理位置相對(duì)較遠(yuǎn)，業(yè)務(wù)規(guī)模尚未發(fā)展壯大，在企業(yè)成立之初，公司總部、二級(jí)單位1和二級(jí)單位2分別建立了獨(dú)立的網(wǎng)絡(luò)環(huán)境，各網(wǎng)絡(luò)系統(tǒng)均采用以交換技術(shù)為主的方式，3網(wǎng)主干均采用千兆以太網(wǎng)技術(shù)。公司總部中心交換機(jī)采用了cisco ca

53、talyst 6506產(chǎn)品，它是帶有三層路由的引擎，可使企業(yè)網(wǎng)具有很強(qiáng)的升級(jí)能力。各二級(jí)單位的中心交換機(jī)采用了cisco catalyst 4006。其他二級(jí)和三級(jí)交換機(jī)采用了cisco catalyst 3500系列交換機(jī)，主要因?yàn)閏atalyst 3500系列交換機(jī)具有很高的性能和可堆疊能力。需求分析- 由于業(yè)務(wù)發(fā)展迅猛，總公司與2個(gè)二級(jí)單位迫切需要暢通無(wú)阻的信息交流，從而讓公司總部能對(duì)2個(gè)下屬單位進(jìn)行更直接和更有效的管理，進(jìn)而達(dá)到三方信息共享的目的，所以將彼此相互獨(dú)立的3個(gè)子網(wǎng)聯(lián)成一個(gè)統(tǒng)一網(wǎng)絡(luò)勢(shì)在必行。- 圖1所示的是起重設(shè)備總公司3個(gè)子網(wǎng)互聯(lián)形成統(tǒng)一網(wǎng)絡(luò)的示意圖，3個(gè)子網(wǎng)是采用千兆以太

54、網(wǎng)技術(shù)進(jìn)行互聯(lián)的。為了避免在主干引發(fā)瓶頸問(wèn)題，各子網(wǎng)在互聯(lián)時(shí)采用了trunk技術(shù)(即雙千兆技術(shù))，使網(wǎng)絡(luò)帶寬達(dá)到4gb，這樣，既增加了帶寬，又提供了鏈路的冗余，還提高了整體網(wǎng)絡(luò)高速、穩(wěn)定和安全的運(yùn)行性能。- 然而，由于網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，信息流量逐漸加大，人員管理變得日益復(fù)雜，給企業(yè)網(wǎng)的安全、穩(wěn)定和高效運(yùn)行帶來(lái)新的隱患，如何消除這些隱患呢？vlan劃分技術(shù)能為此排憂解難。- 根據(jù)起重設(shè)備總公司業(yè)務(wù)發(fā)展需要，我們將聯(lián)網(wǎng)后的統(tǒng)一網(wǎng)絡(luò)劃分為5個(gè)虛擬子網(wǎng)，分別是: 經(jīng)理辦子網(wǎng)、財(cái)務(wù)子網(wǎng)、供銷子網(wǎng)和信息中心子網(wǎng)，其余部分劃為一個(gè)子網(wǎng)。- 由于統(tǒng)一網(wǎng)絡(luò)的ip地址處于192.168.0.0網(wǎng)段，所以我們可以將

55、各vlan的ip地址分配如下。- 經(jīng)理辦子網(wǎng)：192.168.1.0192.168.2.0/22 網(wǎng)關(guān)：192.168.1.1- 財(cái)務(wù)子網(wǎng)： 192.168.3.0192.168.5.0/22 網(wǎng)關(guān)：192.168.3.1- 供銷子網(wǎng)： 192.168.6.0192.168.8.0/22 網(wǎng)關(guān)：192.168.6.1- 信息中心子網(wǎng)：192.168.7.0/24 網(wǎng)關(guān)：192.168.7.1- 服務(wù)器子網(wǎng)：192.168.100.0/24 網(wǎng)關(guān)：192.168.100.1- 其余子網(wǎng)： 192.168. 8.0192.168.9.0/22 網(wǎng)關(guān)：192.168.8.1詳細(xì)設(shè)計(jì)- 在劃分vlan時(shí)，cisco的產(chǎn)品主要基于21112種標(biāo)準(zhǔn)協(xié)議：isl和802.1q。isl