基于VLAN的企業(yè)內(nèi)部網(wǎng)絡(luò)的規(guī)劃和設(shè)計

基于VLAN的企業(yè)內(nèi)部網(wǎng)絡(luò)的規(guī)劃和設(shè)計(論文)題

目基于VLAN的企業(yè)內(nèi)部網(wǎng)絡(luò)的規(guī)劃和設(shè)計

摘

要

在全球信息電子化、網(wǎng)絡(luò)化快速生長的大環(huán)境下，無論是從大趨勢上看，照舊從本身商業(yè)利益角度思索，樹立企業(yè)內(nèi)部維護信息系統(tǒng)是企業(yè)當務(wù)之急的職務(wù)。企業(yè)內(nèi)部對于靈活、動態(tài)地組建LAN網(wǎng)段的要求也越來越多，客觀上要求LAN本身的結(jié)構(gòu)可以實現(xiàn)動態(tài)組建、調(diào)整和管理。

在企業(yè)中，一般會有多個部門，像財務(wù)部、技術(shù)部、工程部等等。像財務(wù)部這種重要的部門有些資料是不允許被其他員工知道的。怎樣能清楚的區(qū)分不同的部門，以便于管理呢？使用VLAN技術(shù)！在網(wǎng)絡(luò)中進行合理VLAN劃分，可通過解決端口隔離充分防止沖突的產(chǎn)生，并且可以簡化企業(yè)網(wǎng)絡(luò)的管理及提高網(wǎng)絡(luò)的安全性。

關(guān)鍵詞：VLAN技術(shù)

廣播域

邏輯劃分

安全

目錄

摘

要I

第一章緒論1

1.1企業(yè)內(nèi)部局域網(wǎng)可行性劃分1

1.2公司對信息的需求1

1.3工程給公司帶來的效益1

1.4公司對網(wǎng)絡(luò)需求狀況2

1.5組建企業(yè)網(wǎng)注意事項2

1.6選定方案準繩2

第二章VLAN的技術(shù)簡介5

2.1三層交換技術(shù)概述5

2.2VLAN的概述6

2.3VLAN的優(yōu)點7

2.3.1提高網(wǎng)絡(luò)的性能7

2.3.2組建虛擬組織7

2.3.3簡化網(wǎng)絡(luò)管理7

2.3.4提高網(wǎng)絡(luò)安全8

2.3.5降低成本8

2.4PVLAN原理和配置8

2.5QINQ原理和配置8

2.6SUPERVLAN原理和配置9

第三章VLAN的劃分方式11

3.1基于端口劃分的VLAN11

3.2基于MAC地址劃分的VLAN11

3.3基網(wǎng)絡(luò)層協(xié)議劃分的VLAN12

3.4基于網(wǎng)絡(luò)層子網(wǎng)劃分的VLAN12

3.5基于網(wǎng)絡(luò)層組播劃分的VLAN12

3.6基于網(wǎng)絡(luò)以上協(xié)議乃至應(yīng)用程序的類型劃分的VLAN13

第四章VLAN之間的通信15

4.1背景15

4.2通過路由器實現(xiàn)VLAN之間的通信15

4.2.1通過路由器的不同物理接口與交換機上每個VLAN分別連接15

4.2.2通過路由器的邏輯子接口與交換機各個VLAN連接16

4.3用交換機代替路由器實現(xiàn)VLAN間的通信16

第五章企業(yè)網(wǎng)VLAN的規(guī)劃與設(shè)計17

5.1VLAN的實現(xiàn)過程17

5.2IP地址分配與VLAN地址的規(guī)劃18

5.3企業(yè)網(wǎng)VLAN規(guī)劃意義18

5.4企業(yè)網(wǎng)VLAN規(guī)劃與設(shè)計案例18

第六章VLAN的新用途23

6.1背景23

6.2新用途23

第七章總結(jié)與展望25

致

謝27

參考文獻29

第一章緒論

1.1企業(yè)內(nèi)部局域網(wǎng)可行性劃分

在全球信息電子化、網(wǎng)絡(luò)化快速生長的大環(huán)境下，無論是從大趨勢上看，照舊從本身商業(yè)利益角度思索，樹立企業(yè)內(nèi)部維護信息系統(tǒng)是企業(yè)當務(wù)之急的職務(wù)。

1.2公司對信息的需求

面對著劇烈的市場競爭，公司對信息的搜集、傳輸、加工、存貯、查詢以及預測決策等任務(wù)量越來越大，原來的計算機只是停留在單機任務(wù)的方式，各科室間的數(shù)據(jù)無法完成共享，致使任務(wù)效率大大降低，地道手工維護方式和手腕已無法順應(yīng)需求，這將嚴重障礙公司的生活和生長。社會提高要求企業(yè)必需改動現(xiàn)有的落后維護體制、維護辦法和手腕，樹立當今企業(yè)的新抽象，樹立本企業(yè)的自動化維護信息系統(tǒng)(即公司局域網(wǎng))，以提高維護水平，添加經(jīng)濟和社會效益。

綜合維護信息系統(tǒng)是為完成企業(yè)信息維護和辦公自動化而樹立的,它能為整個企業(yè)提供高效疏通的信息高速公路和公共服務(wù)支持環(huán)境,構(gòu)成一個以牢靠、迅捷、可提供多種功用的計算機網(wǎng)絡(luò)為基本的信息維護系統(tǒng),既能為各級部門提供了先進的信息服務(wù)和生產(chǎn)環(huán)境,同時又提高了各部門的辦公自動化和綜合維護水平。

如果整個網(wǎng)絡(luò)只有一個廣播域，那么一旦發(fā)出廣播信息，就會傳遍整個網(wǎng)絡(luò)，并且對網(wǎng)絡(luò)中的主機帶來額外的負擔。因此，在設(shè)計LAN時，需要注意如何才能有效地分割廣播域。改動傳統(tǒng)的維護思緒和維護方式,提高維護人員和任務(wù)人員的素質(zhì);使任務(wù)人員從冗雜的手工休息中解放出來;因而,樹立一個牢靠、適用、易于維護、具有綜合先進水平的企業(yè)局域網(wǎng)是必要的，基于VLAN的企業(yè)內(nèi)部網(wǎng)的規(guī)劃和設(shè)計是非常實用的一種。

1.3工程給公司帶來的效益

從企業(yè)維護和業(yè)務(wù)生長的角度動身，議決網(wǎng)絡(luò)對網(wǎng)絡(luò)資源的共用來改良企業(yè)內(nèi)部和企業(yè)與客戶之間的信息交流方式，滿足業(yè)務(wù)部門對信息存儲、檢索、處理和共享需求，使企業(yè)能快速掌握瞬息萬變的市場行情，使企業(yè)信息更有效地發(fā)揚效能；提高辦公自動化水平，提高任務(wù)效率，降低維護本錢，提高企業(yè)在市場上的競爭力；議決對每項業(yè)務(wù)的跟蹤，企業(yè)維護者可以明白業(yè)務(wù)起色狀況，掌握第一手資料，及時掌握市場動態(tài)，為企業(yè)提供投資導向信息，為干部決策提供數(shù)據(jù)支持；議決企業(yè)內(nèi)部網(wǎng)樹立，企業(yè)各業(yè)務(wù)部門可以有更簡約的交流溝通，維護者可隨時明白每一位員工的狀況，并加強對企業(yè)人力資源合理調(diào)度，真實做到系統(tǒng)的集成化設(shè)計，使原有的裝備、投資得到有效使用。

1.4公司對網(wǎng)絡(luò)需求狀況

公司現(xiàn)有技術(shù)曾經(jīng)完全具有了樹立網(wǎng)絡(luò)的條件，從久遠生長看，樹立計算機網(wǎng)絡(luò)也是當務(wù)之急，由于信息交流速度已制約了公司的生長，無論是公司獲取客戶的反應(yīng)信息，照舊公司之間的各種數(shù)據(jù)的傳送，呈現(xiàn)疑問的處理。

1.5組建企業(yè)網(wǎng)注意事項

企業(yè)的網(wǎng)絡(luò)主要注意兩個問題，一是對網(wǎng)絡(luò)能夠有效的管理，避免單個電腦對網(wǎng)絡(luò)資源占用過大或者無法獲得網(wǎng)絡(luò)資源，另一方面是要提升網(wǎng)絡(luò)的利用率，避免出現(xiàn)廣播風暴等波及所有用戶的網(wǎng)絡(luò)故障。對于這兩個方面，也各自有與之對應(yīng)的解決方案，分別是基于IP管理和對于網(wǎng)絡(luò)用戶進行分組?；贗P管理需要使用三層交換機，能夠?qū)ｉT設(shè)置某臺電腦的權(quán)限，對于網(wǎng)絡(luò)用戶的分組則可以在二層交換機上劃分出VLAN，將所有用戶依照某種共同點進行分組，然后設(shè)定整個群組的上網(wǎng)權(quán)限。

1.6選定方案準繩

在謀劃網(wǎng)絡(luò)拓撲結(jié)構(gòu)時，應(yīng)依據(jù)企業(yè)規(guī)模的大小、散布、對多媒體的需求等實踐狀況加以確定。普通可按以下準繩來確立：

(1)費用低

普通地在挑選網(wǎng)絡(luò)拓撲結(jié)構(gòu)的同時便大致確立了所要選取的傳輸介質(zhì)、自用裝備、裝置方式等。比如挑選總線網(wǎng)絡(luò)拓撲結(jié)構(gòu)時普通選用同軸電纜作為傳輸介質(zhì)，挑選星形拓撲結(jié)構(gòu)時須要選用集線器產(chǎn)品，因而每一種網(wǎng)絡(luò)拓撲結(jié)構(gòu)對應(yīng)的所需初期投資、現(xiàn)在的裝置維護費用都是不等的，在滿足其它要求的同時，應(yīng)盡量挑選投資費用較低的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。

(2)良好的靈敏性和可擴大性

在挑選網(wǎng)絡(luò)拓撲結(jié)構(gòu)時應(yīng)思索企業(yè)未來的生長，并且網(wǎng)絡(luò)中的裝備不是一成不變的，對一些裝備的更新?lián)Q代或裝備位置的變化，所選取的網(wǎng)絡(luò)拓撲結(jié)構(gòu)應(yīng)該可以簡約容易地舉行配置以滿足新的要求。

(3)固定性高

固定性關(guān)于一個網(wǎng)絡(luò)拓撲結(jié)構(gòu)是至關(guān)主要的。在網(wǎng)絡(luò)中會經(jīng)常發(fā)作節(jié)點毛病或傳輸介質(zhì)毛病，一個固定性高的網(wǎng)絡(luò)拓撲結(jié)構(gòu)應(yīng)具有良好的毛病診斷和毛病隔離才干，以使這些毛病對整個網(wǎng)絡(luò)的影響減至最小。

(4)因地制宜

挑選網(wǎng)絡(luò)拓撲結(jié)構(gòu)應(yīng)依據(jù)網(wǎng)絡(luò)中各節(jié)點的散布狀況，因地制宜地挑選不一樣的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。比如關(guān)于節(jié)點比擬集中的場所多選用星形拓撲結(jié)構(gòu)，而節(jié)點比擬分散時則可以選用總線型拓撲結(jié)構(gòu)。另外，若單一的網(wǎng)絡(luò)拓撲結(jié)構(gòu)無法滿足要求，則可挑選混合的拓撲結(jié)構(gòu)。比如，假定一個網(wǎng)絡(luò)中節(jié)點首要散布在兩個不一樣的地點，則可以在該兩個節(jié)點密集的場所選用星型拓撲結(jié)構(gòu)，然后運用總線拓撲結(jié)構(gòu)將這兩個地點銜接起來。

第二章VLAN的技術(shù)簡介

2.1三層交換技術(shù)概述

要回答這個問題還是先看看以太網(wǎng)的工作原理。以太網(wǎng)的工作原理是利用二進制位形成的一個個字節(jié)組合成一幀幀的數(shù)據(jù)(其實是一些電脈沖)在導線中進行傳播。首先，以太網(wǎng)網(wǎng)段上需要進行數(shù)據(jù)傳送的節(jié)點對導線進行監(jiān)聽，這個過程稱為CSMA/CD(CarrierSenseMultipleAccesswithCollisionDetection帶有沖突監(jiān)測的載波偵聽多址訪問)的載波偵聽。如果，這時有另外的節(jié)點正在傳送數(shù)據(jù)，監(jiān)聽節(jié)點將不得不等待，直到傳送節(jié)點的傳送任務(wù)結(jié)束。

如果某時恰好有兩個工作站同時準備傳送數(shù)據(jù)，以太網(wǎng)網(wǎng)段將發(fā)出“沖突”信號。這時，節(jié)點上所有的工作站都將檢測到?jīng)_突信號，因為這時導線上的電壓超出了標準電壓。這時以太網(wǎng)網(wǎng)段上的任何節(jié)點都要等沖突結(jié)束后才能夠傳送數(shù)據(jù)。也就是說在CSMA/CD方式下，在一個時間段，只有一個節(jié)點能夠在導線上傳送數(shù)據(jù)。而轉(zhuǎn)發(fā)以太網(wǎng)數(shù)據(jù)幀的聯(lián)網(wǎng)設(shè)備是集線器,它是一層設(shè)備，傳輸效率比較低。

沖突的產(chǎn)生降低了以太網(wǎng)的帶寬，而且這種情況又是不可避免的。所以，當導線上的節(jié)點越來越多后，沖突的數(shù)量將會增加。顯而易見的解決方法是限制以太網(wǎng)導線上的節(jié)點，需要對網(wǎng)絡(luò)進行物理分段。將網(wǎng)絡(luò)進行物理分段的網(wǎng)絡(luò)設(shè)備用到了網(wǎng)橋與交換機。網(wǎng)橋和交換機的基本作用是只發(fā)送去往其他物理網(wǎng)段的信息。所以，如果所有的信息都只發(fā)往本地的物理網(wǎng)段，那么網(wǎng)橋和交換機上就沒有信息通過。這樣可以有效減少網(wǎng)絡(luò)上的沖突。網(wǎng)橋和交換機是基于目標MAC(介質(zhì)訪問控制)地址做出轉(zhuǎn)發(fā)決定的，它們是二層設(shè)備。

現(xiàn)在已經(jīng)知道了以太網(wǎng)的缺點及物理網(wǎng)段中沖突的影響，現(xiàn)在，大家來看看另外一種導致網(wǎng)絡(luò)降低運行速度的原因：廣播。廣播存在于所有的網(wǎng)絡(luò)上，如果不對它們進行適當?shù)目刂?，它們便會充斥于整個網(wǎng)絡(luò)，產(chǎn)生大量的網(wǎng)絡(luò)通信。廣播不僅消耗了帶寬，而且也降低了用戶工作站的處理效率。由于各種各樣的原因，網(wǎng)絡(luò)操作系統(tǒng)(NOS)使用了廣播，TCP/IP使用廣播從IP地址中解析MAC地址，還使用廣播通過RIP和IGRP協(xié)議進行宣告，所以，廣播也是不可避免的。

網(wǎng)橋和交換機將對所有的廣播信息進行轉(zhuǎn)發(fā)，而路由器不會。所以，為了對廣播進行控制，就必須使用路由器。路由器是基于第3層報頭、目標IP尋址、目標IPX尋址或目標Appletalk尋址做出轉(zhuǎn)發(fā)決定。路由器是3層設(shè)備。

在這里，我們就容易理解三層交換技術(shù)了，就是將路由與交換合二為一的技術(shù)。路由器在對第一個數(shù)據(jù)流進行路由后，將會產(chǎn)生一個MAC地址與IP地址的映射表，當同樣的數(shù)據(jù)流再次通過時，將根據(jù)此映射表直接從二層進行交換而不是再次路由，提供線速性能，從而消除了路由器進行路由選擇而造成網(wǎng)絡(luò)的延遲，提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率。采用此技術(shù)的交換機我們常稱為三層交換機。如圖2-1所示即為三層交換機原理圖：

圖2-1三層交換機原理圖

2.2VLAN的概述

VLAN(VirtualLocalAreaNetwork)又稱虛擬局域網(wǎng)，一方面，VLAN建立在局域網(wǎng)交換機的基礎(chǔ)之上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個VLAN組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中，在功能和操作上與傳統(tǒng)LAN基本相同，可以提供一定范圍內(nèi)終端系統(tǒng)的互聯(lián)。

另一方面，VLAN是局域交換網(wǎng)的靈魂。這是因為通過VLAN用戶能方便地在網(wǎng)絡(luò)中移動和快捷地組建寬帶網(wǎng)絡(luò)，而無需改變?nèi)魏斡布屯ㄐ啪€路。這樣，網(wǎng)絡(luò)管理員就能從邏輯上對用戶和網(wǎng)絡(luò)資源進行分配，而無需考慮物理連接方式。VLAN充分體現(xiàn)了現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征：高速、靈活、管理簡便和擴展容易。是否具有VLAN功能是衡量局域網(wǎng)交換機的一項重要指標。網(wǎng)絡(luò)的虛擬化是未來網(wǎng)絡(luò)發(fā)展的潮流。如圖2-2為VLAN的結(jié)構(gòu)圖：

圖2-2VLAN的結(jié)構(gòu)圖

2.3VLAN的優(yōu)點

應(yīng)用VLAN技術(shù)可以獲得的益處是巨大的，主要有以下幾個方面：提高網(wǎng)絡(luò)性能、組建虛擬組織、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)安全、減少設(shè)備投資......

2.3.1提高網(wǎng)絡(luò)的性能

應(yīng)用VLAN技術(shù)可以提高網(wǎng)絡(luò)性能：

其一，VLAN技術(shù)允許網(wǎng)絡(luò)管理員將交換機上的端口作邏輯分組，使得從某個VLAN中產(chǎn)生的字節(jié)流只能在從屬于該VLAN的交換機端口之間流動。在一個有大量廣播和多播報文的網(wǎng)絡(luò)中，應(yīng)用VLAN技術(shù)可以把這些報文限制在各個VLAN里，從而可以大大減少整個網(wǎng)絡(luò)中不必要的信息流量，提高網(wǎng)絡(luò)性能。

其二，相比較網(wǎng)橋和交換機而言，路由器在處理接收到的數(shù)據(jù)時要慢一些。使用了VLAN技術(shù)后，人們可以用交換機來代替路由器隔離廣播域。由于減少了路由器的使用量，網(wǎng)絡(luò)性能也相應(yīng)地得到了提高。

2.3.2組建虛擬組織

如前所述，VLAN技術(shù)是隨著人們生產(chǎn)活動中越來越多的跨部門跨職能開發(fā)團隊的出現(xiàn)而提出的。組建虛擬組織、特別是虛擬工作組，是提出VLAN技術(shù)的初衷和目標之一。在實際應(yīng)用時，對于同一個工作組內(nèi)的成員，在該工作組存在的短時期內(nèi)，可以把他們的計算機工作站劃分在一個VLAN里以便于其進行通信。這樣，每個組內(nèi)成員的計算機工作站既無需搬移到一起、也無需改變各自的設(shè)置，只需在網(wǎng)絡(luò)管理員那里作一些改變就可以了。

2.3.3簡化網(wǎng)絡(luò)管理

根據(jù)相關(guān)專家的分析計算，傳統(tǒng)的LAN中約有70%的網(wǎng)絡(luò)花銷是因為添加、刪除、移動、更改網(wǎng)絡(luò)用戶而導致的。每當有一個用戶加入局域網(wǎng)，就會引發(fā)一系列的端口分配、地址分配、網(wǎng)絡(luò)設(shè)備重新配置等網(wǎng)絡(luò)管理任務(wù)。在使用VLAN技術(shù)后，這些任務(wù)都可得以簡化。舉例來說，當某臺計算機工作站從一個空間位置移動到另一個空間位置時，不需要為其重新手工配置網(wǎng)絡(luò)屬性，網(wǎng)絡(luò)自身就能夠動態(tài)地完成這項任務(wù)。這種動態(tài)管理網(wǎng)絡(luò)的方式給網(wǎng)絡(luò)管理者和使用者都帶來了極大的便利。

2.3.4提高網(wǎng)絡(luò)安全

在傳統(tǒng)的局域網(wǎng)中，不時的會有些敏感數(shù)據(jù)被有意或無意地廣播到網(wǎng)絡(luò)上，從而有可能造成信息泄密。在這種情況下，確定誰可以訪問到這些數(shù)據(jù)就顯得很重要。使用VLAN技術(shù)可以將敏感數(shù)據(jù)的傳播限制在安全范圍內(nèi)，只允許已定義的VLAN成員訪問相關(guān)數(shù)據(jù)。VLAN還可被用來設(shè)立防火墻、限制數(shù)據(jù)訪問以及將網(wǎng)絡(luò)入侵事件通知給網(wǎng)絡(luò)管理員等，這些都可以提高網(wǎng)絡(luò)的安全系數(shù)。

2.3.5降低成本

VLAN技術(shù)可被用來創(chuàng)建邏輯的廣播域，因而可以減少用于購買昂貴的路由器等廣播域隔離設(shè)備的投資。

2.4PVLAN原理和配置

為了提高網(wǎng)絡(luò)的安全性，要將用戶之間的報文隔離開，傳統(tǒng)的解決辦法是給每個用戶分配一個VLAN。這種方法具有明顯的局限性，主要表現(xiàn)在以下幾個方面：

(1)目前IEEE802.1Q標準中所支持的VLAN數(shù)目最多為4094個，用戶數(shù)量受到限制，且不利于網(wǎng)絡(luò)的擴展。

(2)每個VLAN對應(yīng)一個IP子網(wǎng)，劃分大量的子網(wǎng)會造成IP地址的浪費。

(3)大量VLAN和IP子網(wǎng)的規(guī)劃和管理使網(wǎng)絡(luò)管理變得非常復雜。

PVLAN(PrivateVLAN)技術(shù)的出現(xiàn)解決了這些問題。

PVLAN將VLAN中的端口分為兩類：與用戶相連的端口為隔離端口(Isolate

Port)，上行與路由器相連的端口為混合端口(PromiscuousPort)。隔離端口只能與混合端口通信，相互之間不能通信。這樣就將同一個VLAN下的端口隔離開來，用戶只能與自己的默認網(wǎng)關(guān)通信，網(wǎng)絡(luò)的安全性得到保障。

2.5QinQ原理和配置

QinQ是對基于IEEE802.1Q封裝的隧道協(xié)議的形象稱呼，又稱VLAN堆疊。QinQ技術(shù)是在原有VLAN標簽(內(nèi)層標簽)之外再增加一個VLAN標簽(外層標簽)，外層標簽可以將內(nèi)層標簽屏蔽起來。

QinQ不需要協(xié)議的支持，通過它可以實現(xiàn)簡單的L2VPN(二層虛擬專用網(wǎng))，特別適合以三層交換機為骨干的小型局域網(wǎng)。

QinQ技術(shù)的典型組網(wǎng)，連接用戶網(wǎng)絡(luò)的端口稱為Customer端口，連接服務(wù)提供商網(wǎng)絡(luò)的端口稱為Uplink端口，服務(wù)提供商網(wǎng)絡(luò)邊緣接入設(shè)備稱為PE

用戶網(wǎng)絡(luò)一般通過TrunkVLAN方式接入PE，服務(wù)提供商網(wǎng)絡(luò)內(nèi)部的Uplink端口通過TrunkVLAN方式對稱連接。

當報文從用戶網(wǎng)絡(luò)1到達交換機A的customer端口時，無論報文是tagged還是untagged的，交換機A都強行插入外層標簽(VLANID為10)。在服務(wù)提供商網(wǎng)絡(luò)內(nèi)部，報文沿著VLAN10的端口傳播，直至到達交換機B。交換機B發(fā)現(xiàn)與用戶網(wǎng)絡(luò)2相連的端口為customer端口，于是按照傳統(tǒng)的802.1Q協(xié)議剝離外層標簽，恢復成用戶的原始報文，發(fā)送到用戶網(wǎng)絡(luò)2。

這樣，用戶網(wǎng)絡(luò)1和2之間的數(shù)據(jù)可以通過服務(wù)提供商網(wǎng)絡(luò)進行透明傳輸，用戶網(wǎng)絡(luò)可以自由規(guī)劃自己的私網(wǎng)VLANID，而不會導致和服務(wù)提供商網(wǎng)絡(luò)中的VLANID沖突。

如圖2-3即為802.1Q與QinQ封裝結(jié)構(gòu)的比較:

圖2-3802.1Q與QinQ封裝結(jié)構(gòu)的比較

2.6SuperVLAN原理和配置

傳統(tǒng)的ISP網(wǎng)絡(luò)給每個用戶被分配一個IP子網(wǎng)，每分配一個子網(wǎng)，就有三個IP地址被占用，分別作為子網(wǎng)的網(wǎng)絡(luò)號、廣播地址和缺省網(wǎng)關(guān)。如果一些用戶的子網(wǎng)中有大量未分配的IP地址，也無法給其他用戶使用。因此這種方法會造成IP地址的浪費。

SuperVLAN有效的解決了這個問題，它把多個VLAN(稱為子VLAN)聚合成一個SuperVLAN，這些子VLAN使用同一個IP子網(wǎng)和缺省網(wǎng)關(guān)。

利用SuperVLAN技術(shù)，ISP只需為SuperVLAN分配一個IP子網(wǎng)，并為每個用戶建立一個子VLAN，所有子VLAN可以靈活分配SuperVLAN子網(wǎng)中的IP地址，使用SuperVLAN的缺省網(wǎng)關(guān)。每個子VLAN都是一個獨立的廣播域，保證不同用戶之間的隔離，子VLAN之間的通信通過SuperVLAN進行路由。

第三章VLAN的劃分方式

3.1基于端口劃分的VLAN

以網(wǎng)絡(luò)設(shè)備的哪個端口屬于哪個VLAN的標準來劃分VLAN。例如，在一個有8個端口的網(wǎng)橋中，端口1、2、4、7屬于VLAN1，而端口3、5、6、8屬于VLAN2。則與這些端口相連的設(shè)備、這些設(shè)備收發(fā)的數(shù)據(jù)幀相應(yīng)地也分別屬于VLAN1、VLAN2。究竟如何配置，由管理員決定。

如果有多個網(wǎng)絡(luò)設(shè)備，例如有多個交換機，可以指定交換機1的1~6端口和交換機2的1~4端口為同一VLAN，即同一VLAN可以跨越數(shù)個交換機，根據(jù)端口劃分是目前定義VLAN的最常用的方法，IEEE802.1Q協(xié)議標準草案中對如何根據(jù)交換機的端口來劃分VLAN給出了明確的規(guī)定。

這種劃分方法的優(yōu)點和缺點都很明顯：優(yōu)點是定義VLAN成員時非常簡單，只要將所有的端口都指定一下就可以了；缺點是不允許用戶隨便移動。如果屬于某個VLAN的用戶離開了原來的端口，到了一個新的網(wǎng)絡(luò)設(shè)備的某個端口，那么網(wǎng)絡(luò)管理者就必須重新定義VLAN。如圖3-1基于端口劃分VLAN：

圖3-1基于端口劃分VLAN

3.2基于MAC地址劃分的VLAN

以計算機工作站網(wǎng)卡的MAC地址來劃分VLAN。這種劃分方法的最大優(yōu)點就是由于一個MAC地址唯一對應(yīng)一塊計算機網(wǎng)卡，故此當某個計算機工作站物理位置改變時、即從一臺交換機轉(zhuǎn)移到另一臺交換機時，不需要重新配置VLAN；而缺點是所有的VLAN成員必須事先定義，這在有數(shù)以百計乃至千計用戶的網(wǎng)絡(luò)中，這并不是一件輕松的事。而且這種劃分方法也導致了交換機執(zhí)行效率的降低，因為交換機的每一個端口都可能連接許多不同VLAN組的成員，這樣就無法限制廣播報文了。另外，對于使用筆記本電腦的用戶來說，他們的網(wǎng)卡可能經(jīng)常更換，VLAN就必須不停的配置。如圖3-2基于MAC地址劃分VLAN：

圖3-2基于MAC地址劃分VLAN

3.3基網(wǎng)絡(luò)層協(xié)議劃分的VLAN

如果網(wǎng)絡(luò)支持多網(wǎng)絡(luò)層協(xié)議，那么根據(jù)數(shù)據(jù)幀頭中的網(wǎng)絡(luò)層協(xié)議類型字段也可以劃分VLAN。這對網(wǎng)絡(luò)管理員來說很重要，同時，這種方法不需要附加的幀標簽來識別VLAN，可以減少網(wǎng)絡(luò)的通信量。

3.4基于網(wǎng)絡(luò)層子網(wǎng)劃分的VLAN

根據(jù)數(shù)據(jù)報文頭中的網(wǎng)絡(luò)層子網(wǎng)地址也可以劃分VLAN。雖然這種劃分方法根據(jù)的是第3層信息即網(wǎng)絡(luò)地址(比如IP地址)，但它與網(wǎng)絡(luò)層的路由功能一點關(guān)系也沒有。它只是查看每個數(shù)據(jù)報文的網(wǎng)絡(luò)層地址，并根據(jù)過濾數(shù)據(jù)庫中事先定義好的信息決定其歸屬于哪個VLAN，然后再根據(jù)生成樹算法進行橋交換，并不牽涉任何路由操作。這種方法的優(yōu)點是當某個計算機工作站物理位置改變時，即從一臺交換機轉(zhuǎn)移到其它的交換機，不需要重新配置VLAN。其缺點是效率低，因為相對于第1、2層VLAN的實現(xiàn)技術(shù)，檢查每一個數(shù)據(jù)報文的網(wǎng)絡(luò)層地址是很費時間的。一般的交換機芯片都優(yōu)點是具有更大的靈活性，而且也很容易通過路由器進行擴展。缺點是不適合LAN，主要是效率不高。

3.5基于網(wǎng)絡(luò)層組播劃分的VLAN

網(wǎng)絡(luò)層組播實際上是一種VLAN。即認為一個組播組就是一個VLAN，這種劃分方法實際將VLAN擴大到了WAN。該方法的應(yīng)用程序的類型乃至兩者的綜合來劃分VLAN也是有可能的。例如，規(guī)定所有的FTP應(yīng)用在一個VLAN里運行而所有的Telnet應(yīng)用在另一個VLAN里運行。這些方法的缺點在于它們都很費時，都要求更高的處理技術(shù)和更快的處理速度，目前的實現(xiàn)尚無法令人們滿意。

802.1Q草案標準僅僅定義了基于端口和MAC地址來劃分VLAN的標準方案，雖然它也允許基于協(xié)議類型的VLAN以及3層以上VLAN，但并沒有給出相應(yīng)的標準。

3.6基于網(wǎng)絡(luò)以上協(xié)議乃至應(yīng)用程序的類型劃分的VLAN

根據(jù)網(wǎng)絡(luò)層以上協(xié)議的類型、可以自動檢查數(shù)據(jù)幀的幀頭，但檢查數(shù)據(jù)報文的報文頭，則需要更高的技術(shù)(設(shè)備設(shè)計制造成本也會相應(yīng)增加)，同時也更費時。當然，這跟各個廠商的實現(xiàn)方法有關(guān)。

第四章VLAN之間的通信

4.1背景

隨著交換機應(yīng)用的普及，VLAN技術(shù)的應(yīng)用也越來越廣泛。眾所周知，VLAN技術(shù)的主要作用是可將分布于不同地理位置的計算機按工作需要組合成一個邏輯網(wǎng)絡(luò)，同時VLAN的劃分可縮小廣播域，以提高網(wǎng)絡(luò)傳輸速度，由于處于不同VLAN的計算機之間不能直接通信，從而使網(wǎng)絡(luò)的安全性能得到了很大提高。

但事實上在很多網(wǎng)絡(luò)中要求處于不同VLAN中的計算機間能夠相互通信，如何解決VLAN間的通信問題是我們在規(guī)劃VLAN時必須認真考慮的問題。在企業(yè)網(wǎng)絡(luò)發(fā)展的初期，網(wǎng)絡(luò)中只有10%~20%的信息在VLAN之間傳播，但隨著多媒體技術(shù)在企業(yè)網(wǎng)絡(luò)中應(yīng)用的迅速普及，VLAN之間信息的傳輸量增加了許多倍，如果VLAN之間的通信問題解決得不好，將嚴重影響網(wǎng)絡(luò)的使用和安全。

在LAN內(nèi)的通信，是通過數(shù)據(jù)幀頭中指定通信目標的MAC地址來完成的。而為了獲取MAC地址，TCP/IP協(xié)議下使用ARP地址協(xié)議解析MAC地址的方法是通過廣播報文來實現(xiàn)的，如果廣播報文無法到達目的地，那么就無從解析MAC地址，亦即無法直接通信。

當計算機分屬不同的VLAN時，就意味著分屬不同的廣播域，自然收不到彼此的廣播報文。因此，屬于不同VLAN的計算機之間無法直接互相通信。為了能夠在VLAN間通信，需要利用OSI參照模型中更高一層——網(wǎng)絡(luò)層的信息(IP地址)來進行路由。在目前的網(wǎng)絡(luò)互連設(shè)備中能完成路由功能的設(shè)備主要有路由器和三層以上的交換機。

4.2通過路由器實現(xiàn)VLAN之間的通信

使用路由器實現(xiàn)VLAN間通信時，路由器與交換機的連接方式有兩種。第一種通過路由器的不同物理接口與交換機上的每個VLAN分別連接。第二種通過路由器的邏輯子接口與交換機的各個VLAN連接。

4.2.1通過路由器的不同物理接口與交換機上每個VLAN分別連接

這種方式的優(yōu)點是管理簡單，缺點是網(wǎng)絡(luò)擴展難度大。每增加一個新的VLAN，都需要消耗路由器的端口和交換機上的訪問鏈接，而且還需要重新布設(shè)一條網(wǎng)線。而路由器，通常不會帶有太多LAN接口的。新建VLAN時，為了對應(yīng)增加的VLAN所需的端口，就必須將路由器升級成帶有多個LAN接口的高端產(chǎn)品，這部分成本、還有重新布線所帶來的開銷，都使得這種接線法成為一種不受歡迎的辦法。

4.2.2通過路由器的邏輯子接口與交換機各個VLAN連接

這種連接方式要求路由器和交換機的端口都支持匯聚鏈接，且雙方用于匯聚鏈路的協(xié)議自然也必須相同。接著在路由器上定義對應(yīng)各個VLAN的邏輯子接口E1.1和E1.2。由于這種方式是靠在一個物理端口上設(shè)置多個邏輯子接口的方式實現(xiàn)網(wǎng)絡(luò)擴展，因此網(wǎng)絡(luò)擴展比較容易且成本較低，只是對路由器的配置要復雜一些。

4.3用交換機代替路由器實現(xiàn)VLAN間的通信

目前市場上有許多三層以上的交換機，在這些交換機中，廠家通過硬件或軟件的方式將路由功能集成到交換機中，交換機主要用于園區(qū)網(wǎng)中，園區(qū)網(wǎng)中的路由比較簡單，但要求數(shù)據(jù)交換的速度較快，因此在大型園區(qū)網(wǎng)中用交換機代替路由器已是不爭的事實。用交換機代替路由器實現(xiàn)VLAN間通信的方式也有兩種，其一，就是啟用交換機的路由功能，這種方式的實現(xiàn)方法可采用以上介紹的路由器方式的任一種。其二，是利用某些高端交換機所支持的專用VLAN功能來實現(xiàn)VLAN間的通信。

第五章企業(yè)網(wǎng)VLAN的規(guī)劃與設(shè)計

5.1VLAN的實現(xiàn)過程

當一個網(wǎng)橋或交換機接收到來自于某個計算機工作站的數(shù)據(jù)幀，它將給這個數(shù)據(jù)幀加上一個標簽以標識這個數(shù)據(jù)幀來自于哪個VLAN。加標簽的原則有多種：可以基于數(shù)據(jù)幀來自于網(wǎng)橋的哪個端口、可以基于數(shù)據(jù)幀的數(shù)據(jù)鏈路層協(xié)議源地址、可以基于數(shù)據(jù)幀的網(wǎng)絡(luò)層協(xié)議源地址、也可以基于數(shù)據(jù)幀的其它字段或多個字段的綜合。為了能夠使用任意一種方法給數(shù)據(jù)幀加標簽，網(wǎng)橋必須有一個不斷升級更新的數(shù)據(jù)庫。這個數(shù)據(jù)庫叫做過濾數(shù)據(jù)庫，包含了本網(wǎng)絡(luò)中全部VLAN之間的映射以及它們使用哪個字段作為標簽。

例如，如果通過基于端口的方式來加標簽，該數(shù)據(jù)庫應(yīng)該指示哪個端口屬于哪個VLAN。網(wǎng)橋必須能夠維護這樣的一個數(shù)據(jù)庫并且應(yīng)保證所有在這個LAN中的網(wǎng)橋在它們的過濾數(shù)據(jù)庫中有同樣的信息。

基于IEEE802.1Q協(xié)議時，4個字節(jié)的VLAN標簽加到傳統(tǒng)的以太網(wǎng)幀的目的MAC地址字段和協(xié)議類型字段(在符合IEEE802.3協(xié)議的幀中是長度字段)之間。其中包含有一個12比特大小的VLANID號以區(qū)別各個VLAN，如圖4-1所示：

圖5-1基于802.1Q協(xié)議的VLAN幀格式封裝類型

由于802.1Q協(xié)議的標簽頭的4個字節(jié)是新增加的，故目前使用的計算機并不支持802.1Q，即計算機發(fā)送出去的數(shù)據(jù)包的以太網(wǎng)幀頭還不包含這4個字節(jié)，同時也無法識別這4個字節(jié)。對于交換機來說，如果它所連接的以太網(wǎng)段的所有主機都能識別和發(fā)送這種帶802.1Q標簽頭的數(shù)據(jù)包，該端口稱為TagAware端口，需要給數(shù)據(jù)幀加標簽。

反之，如果該交換機端口所連接的以太網(wǎng)段里只要有一臺主機不支持這種帶802.1Q標簽頭的數(shù)據(jù)包，該端口稱為Access端口，則不能給數(shù)據(jù)幀加標簽。對于每一個到來的VLAN幀，網(wǎng)橋或交換機將根據(jù)查找過濾數(shù)據(jù)庫的結(jié)果決定該幀歸屬于哪一個VLAN將從哪個接口被轉(zhuǎn)發(fā)出去。一旦網(wǎng)橋或交換機決定了某個數(shù)據(jù)幀的下一步去向，它就得決定是否需要給這個數(shù)據(jù)幀加標簽。具體實現(xiàn)包括以下三個過程：

(1)接收過程：負責接收數(shù)據(jù)包，數(shù)據(jù)包可以是帶標簽頭的，也可以不帶標簽頭。如果不帶，交換機會根據(jù)該端口所屬的VLAN添加上相應(yīng)的標簽頭。

(2)查找/路由過程：根據(jù)數(shù)據(jù)包的目的MAC地址、VLAN標識，查找過濾數(shù)據(jù)庫中注冊的信息，以決定把數(shù)據(jù)包發(fā)送到哪個端口。

(3)發(fā)送過程：將數(shù)據(jù)包發(fā)送到以太網(wǎng)段上，如果該網(wǎng)段的主機不能識別802.1Q標簽頭，則在出端口前將該標簽頭去掉；如果是發(fā)送到互連的其它交換機的端口，則標簽頭一般不去掉。

5.2IP地址分配與VLAN地址的規(guī)劃

隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，用戶不斷增加，網(wǎng)絡(luò)應(yīng)用也不斷增長，網(wǎng)絡(luò)變得越來越擁擠，沖突不斷產(chǎn)生，管理難度日益加大。為了有效地提高網(wǎng)絡(luò)管理的靈活性，提高網(wǎng)絡(luò)效率和網(wǎng)絡(luò)安全性，一個合理的VLAN規(guī)劃給網(wǎng)絡(luò)的管理更加有效。

網(wǎng)絡(luò)中目前的電腦數(shù)目已經(jīng)上千臺了。如果把這個龐大的網(wǎng)絡(luò)作為一個VLAN，那么網(wǎng)絡(luò)性能和安全性就會大大的降低，而且能產(chǎn)生網(wǎng)絡(luò)風暴使網(wǎng)絡(luò)癱瘓。因此，應(yīng)對這個龐大的網(wǎng)絡(luò)進行VLAN的規(guī)劃，把它劃分為若干個虛擬子網(wǎng)，這樣可以提高網(wǎng)絡(luò)的網(wǎng)絡(luò)性能和安全性，防止網(wǎng)絡(luò)風暴。

網(wǎng)絡(luò)主要是由中興3228交換機組成。

如為了使某兩個企業(yè)部門之間在網(wǎng)絡(luò)中不能進行訪問，確保部門與部門之間發(fā)生廣播風暴，而把各個企業(yè)部門之間劃分為單獨的VLAN，從而提高各個企業(yè)部門之間的網(wǎng)絡(luò)安全性。

5.3企業(yè)網(wǎng)VLAN規(guī)劃意義

隨著企業(yè)網(wǎng)的建成，對于企業(yè)網(wǎng)的管理的要求也越來越高了。目前，由于數(shù)據(jù)廣播在網(wǎng)絡(luò)中起著非常重要的作用，隨著企業(yè)網(wǎng)內(nèi)的計算機數(shù)量的增加，VOD視頻的大量應(yīng)用，廣播的數(shù)量在積聚增加，當廣播的數(shù)量占到總量的30%時，網(wǎng)絡(luò)的傳輸效率將會明顯下降。特別是當某網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，會不停地向網(wǎng)絡(luò)發(fā)送廣播，從而導致通信陷于癱瘓。

當企業(yè)網(wǎng)絡(luò)內(nèi)的計算機數(shù)超過200臺后，就需要采取措施將網(wǎng)絡(luò)分隔開來，將一個大的廣播域劃分成若干個小的廣播域。目前，企業(yè)網(wǎng)的計算機已經(jīng)有上千臺，因此更應(yīng)將這個大的廣播域劃分成若干個小的廣播域，劃分廣播域的方式主要是將企業(yè)網(wǎng)劃分為若干個虛擬子網(wǎng)，也就是VLAN。對企業(yè)網(wǎng)進行VLAN劃分，可以強化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)的安全，控制不必要的廣播的數(shù)量。

5.4企業(yè)網(wǎng)VLAN規(guī)劃與設(shè)計案例

企業(yè)網(wǎng)絡(luò)是由多臺ZXR103228交換機組成的堆疊組。以財務(wù)部、市場部為例，企業(yè)財務(wù)部、市場部網(wǎng)絡(luò)組成。

下面是企業(yè)財務(wù)部、市場部的組網(wǎng)圖:

圖5-2企業(yè)財務(wù)部、市場部的組網(wǎng)圖

如果有很多臺電腦同時相互之間傳送文件或下載東西，那樣就會影響上網(wǎng)的速度，從而有可能產(chǎn)生廣播風暴。因此，可以基于ZXR103228交換機每個端口劃一個的VLAN來控制廣播，有效地避免廣播風暴的產(chǎn)生，并且網(wǎng)絡(luò)管理更加有效。

整個網(wǎng)絡(luò)在同一個網(wǎng)段IP地址/16內(nèi)：

交換機一的端口1的IP地址為；

交換機一的端口2的IP地址為；

交換機一的端口3的IP地址為；

交換機一的端口4的IP地址為；

交換機一的端口5作為Trunk口不配置IP地址；

交換機二的端口1的IP地址為；

交換機二的端口2的IP地址為；

交換機二的端口3的IP地址為；

交換機二的端口4的IP地址為；

交換機二的端口5作為Trunk口不配置IP地址。

市場部劃入vlan10內(nèi)；

財務(wù)部劃入vlan20內(nèi)。

在上作如下配置：

交換機一的配置：

ZXR10>enable

ZXR10#configureterminal

ZXR10(config)#enablesecretZTE

ZXR10(config)interfacefei_1/1

ZXR10(config-if)#ipaddress

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/2

ZXR10(config-if)#ipaddress

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/3

ZXR10(config-if)#ipaddress

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/4

ZXR10(config-if)#ipaddress

ZXR10(config-if)#exit

ZXR10(config)#vlan10

ZXR10(config-vlan)#exit

ZXR10(config)#vlan20

ZXR10(config-vlan)#exit

ZXR10(config)interfacefei_1/1

ZXR10(config-if)#switchportaccessvlan10

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/2

ZXR10(config-if)#switchportaccessvlan10

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/3

ZXR10(config-if)#switchportaccessvlan20

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/4

ZXR10(config-if)#switchportaccessvlan20

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/5

ZXR10(config-if)#switchportmodevlantrunk

ZXR10(config-if)#switchporttrunkvlan10

ZXR10(config-if)#switchporttrunkvlan20

交換機二的配置：

ZXR10>enable

ZXR10#configureterminal

ZXR10(config)#enablesecretZTE

ZXR10(config)interfacefei_1/1

ZXR10(config-if)#ipaddress

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/2

ZXR10(config-if)#ipaddress

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/3

ZXR10(config-if)#ipaddress

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/4

ZXR10(config-if)#ipaddress

ZXR10(config-if)#exit

ZXR10(config)#vlan10

ZXR10(config-vlan)#exit

ZXR10(config)#vlan20

ZXR10(config-vlan)#exit

ZXR10(config)interfacefei_1/1

ZXR10(config-if)#switchportaccessvlan10

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/2

ZXR10(config-if)#switchportaccessvlan10

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/3

ZXR10(config-if)#switchportaccessvlan20

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/4

ZXR10(config-if)#switchportaccessvlan20

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/5

ZXR10(config-if)#switchportmodevlantrunk

ZXR10(config-if)#switchporttrunkvlan10

ZXR10(config-if)#switchporttrunkvlan20

第六章VLAN的新用途

6.1背景

雖然VLAN并非最好的網(wǎng)絡(luò)技術(shù)，但這種用于網(wǎng)絡(luò)結(jié)點邏輯分段的方法正為許多企業(yè)所使用。VLAN采用多種方式配置于企業(yè)網(wǎng)絡(luò)中，包括網(wǎng)絡(luò)安全認證、使無線用戶在802.11b接入點漫游等。

多年前引進VLAN的時候，多數(shù)VLAN都是基于IEEE802.1Q和802.1p標準的。802.1Q規(guī)范用于將VLAN用戶信息載入以太網(wǎng)幀，而802.1p使二層交換機具有流量優(yōu)先和實施動態(tài)多址濾波的能力。

當初引進VLAN時，它被看作是一個簡化地址管理的方法，可以使IT人員在網(wǎng)絡(luò)的任意點對服務(wù)器和PC機進行物理配置，并將PC機加入到組中。

多數(shù)網(wǎng)絡(luò)設(shè)備的軟件可用于將媒體訪問控制(MAC)地址與VLAN相關(guān)聯(lián)，當客戶從一個端口移動到另一個端口時，可以使其自動連接到網(wǎng)絡(luò)上。

6.2新用途

(1)VLAN的無線接入

隨著越來越多的公司推出其無線網(wǎng)絡(luò)，人們最關(guān)心的問題恐怕就是如何將無線用戶接入適當?shù)挠芯€VLAN。有線網(wǎng)絡(luò)中的VLAN用戶身份通常都是由用戶的物理層二層交換機或三層路由器連接端口來定義的。但在無線網(wǎng)絡(luò)中，用戶根本沒有與任何物理端口連接。

為解決這一問題，人們開始采用先進的無線驗證技術(shù)，并利用基于角色的VLAN關(guān)聯(lián)來進行用戶識別。這種方法可以利用一系列標準的驗證方法，如基于HTTP捕獲端口和802.1x等可選驗證機制來判斷出正確的VLAN用戶身份。

(2)VLAN的應(yīng)用

最近，休斯頓在4棟22層的建筑物中建立了網(wǎng)絡(luò)及其子網(wǎng)，包括122個法庭、法律事務(wù)所和審判廳，這種建筑物非常適合建立VLAN，因為將122個私人子網(wǎng)合并到一個VLAN中要比將用戶插入端口組容易得多。

VLAN和靜態(tài)IP地址也可用于安全機制。所有工作于這里的客戶都分配