基于VLAN的企業(yè)內(nèi)部網(wǎng)絡(luò)的規(guī)劃和設(shè)計(jì)

基于VLAN的企業(yè)內(nèi)部網(wǎng)絡(luò)的規(guī)劃和設(shè)計(jì)(論文)題

目基于VLAN的企業(yè)內(nèi)部網(wǎng)絡(luò)的規(guī)劃和設(shè)計(jì)

摘

要

在全球信息電子化、網(wǎng)絡(luò)化快速生長的大環(huán)境下，無論是從大趨勢上看，照舊從本身商業(yè)利益角度思索，樹立企業(yè)內(nèi)部維護(hù)信息系統(tǒng)是企業(yè)當(dāng)務(wù)之急的職務(wù)。企業(yè)內(nèi)部對于靈活、動態(tài)地組建LAN網(wǎng)段的要求也越來越多，客觀上要求LAN本身的結(jié)構(gòu)可以實(shí)現(xiàn)動態(tài)組建、調(diào)整和管理。

在企業(yè)中，一般會有多個(gè)部門，像財(cái)務(wù)部、技術(shù)部、工程部等等。像財(cái)務(wù)部這種重要的部門有些資料是不允許被其他員工知道的。怎樣能清楚的區(qū)分不同的部門，以便于管理呢？使用VLAN技術(shù)！在網(wǎng)絡(luò)中進(jìn)行合理VLAN劃分，可通過解決端口隔離充分防止沖突的產(chǎn)生，并且可以簡化企業(yè)網(wǎng)絡(luò)的管理及提高網(wǎng)絡(luò)的安全性。

關(guān)鍵詞：VLAN技術(shù)

廣播域

邏輯劃分

安全

目錄

摘

要I

第一章緒論1

1.1企業(yè)內(nèi)部局域網(wǎng)可行性劃分1

1.2公司對信息的需求1

1.3工程給公司帶來的效益1

1.4公司對網(wǎng)絡(luò)需求狀況2

1.5組建企業(yè)網(wǎng)注意事項(xiàng)2

1.6選定方案準(zhǔn)繩2

第二章VLAN的技術(shù)簡介5

2.1三層交換技術(shù)概述5

2.2VLAN的概述6

2.3VLAN的優(yōu)點(diǎn)7

2.3.1提高網(wǎng)絡(luò)的性能7

2.3.2組建虛擬組織7

2.3.3簡化網(wǎng)絡(luò)管理7

2.3.4提高網(wǎng)絡(luò)安全8

2.3.5降低成本8

2.4PVLAN原理和配置8

2.5QINQ原理和配置8

2.6SUPERVLAN原理和配置9

第三章VLAN的劃分方式11

3.1基于端口劃分的VLAN11

3.2基于MAC地址劃分的VLAN11

3.3基網(wǎng)絡(luò)層協(xié)議劃分的VLAN12

3.4基于網(wǎng)絡(luò)層子網(wǎng)劃分的VLAN12

3.5基于網(wǎng)絡(luò)層組播劃分的VLAN12

3.6基于網(wǎng)絡(luò)以上協(xié)議乃至應(yīng)用程序的類型劃分的VLAN13

第四章VLAN之間的通信15

4.1背景15

4.2通過路由器實(shí)現(xiàn)VLAN之間的通信15

4.2.1通過路由器的不同物理接口與交換機(jī)上每個(gè)VLAN分別連接15

4.2.2通過路由器的邏輯子接口與交換機(jī)各個(gè)VLAN連接16

4.3用交換機(jī)代替路由器實(shí)現(xiàn)VLAN間的通信16

第五章企業(yè)網(wǎng)VLAN的規(guī)劃與設(shè)計(jì)17

5.1VLAN的實(shí)現(xiàn)過程17

5.2IP地址分配與VLAN地址的規(guī)劃18

5.3企業(yè)網(wǎng)VLAN規(guī)劃意義18

5.4企業(yè)網(wǎng)VLAN規(guī)劃與設(shè)計(jì)案例18

第六章VLAN的新用途23

6.1背景23

6.2新用途23

第七章總結(jié)與展望25

致

謝27

參考文獻(xiàn)29

第一章緒論

1.1企業(yè)內(nèi)部局域網(wǎng)可行性劃分

在全球信息電子化、網(wǎng)絡(luò)化快速生長的大環(huán)境下，無論是從大趨勢上看，照舊從本身商業(yè)利益角度思索，樹立企業(yè)內(nèi)部維護(hù)信息系統(tǒng)是企業(yè)當(dāng)務(wù)之急的職務(wù)。

1.2公司對信息的需求

面對著劇烈的市場競爭，公司對信息的搜集、傳輸、加工、存貯、查詢以及預(yù)測決策等任務(wù)量越來越大，原來的計(jì)算機(jī)只是停留在單機(jī)任務(wù)的方式，各科室間的數(shù)據(jù)無法完成共享，致使任務(wù)效率大大降低，地道手工維護(hù)方式和手腕已無法順應(yīng)需求，這將嚴(yán)重障礙公司的生活和生長。社會提高要求企業(yè)必需改動現(xiàn)有的落后維護(hù)體制、維護(hù)辦法和手腕，樹立當(dāng)今企業(yè)的新抽象，樹立本企業(yè)的自動化維護(hù)信息系統(tǒng)(即公司局域網(wǎng))，以提高維護(hù)水平，添加經(jīng)濟(jì)和社會效益。

綜合維護(hù)信息系統(tǒng)是為完成企業(yè)信息維護(hù)和辦公自動化而樹立的,它能為整個(gè)企業(yè)提供高效疏通的信息高速公路和公共服務(wù)支持環(huán)境,構(gòu)成一個(gè)以牢靠、迅捷、可提供多種功用的計(jì)算機(jī)網(wǎng)絡(luò)為基本的信息維護(hù)系統(tǒng),既能為各級部門提供了先進(jìn)的信息服務(wù)和生產(chǎn)環(huán)境,同時(shí)又提高了各部門的辦公自動化和綜合維護(hù)水平。

如果整個(gè)網(wǎng)絡(luò)只有一個(gè)廣播域，那么一旦發(fā)出廣播信息，就會傳遍整個(gè)網(wǎng)絡(luò)，并且對網(wǎng)絡(luò)中的主機(jī)帶來額外的負(fù)擔(dān)。因此，在設(shè)計(jì)LAN時(shí)，需要注意如何才能有效地分割廣播域。改動傳統(tǒng)的維護(hù)思緒和維護(hù)方式,提高維護(hù)人員和任務(wù)人員的素質(zhì);使任務(wù)人員從冗雜的手工休息中解放出來;因而,樹立一個(gè)牢靠、適用、易于維護(hù)、具有綜合先進(jìn)水平的企業(yè)局域網(wǎng)是必要的，基于VLAN的企業(yè)內(nèi)部網(wǎng)的規(guī)劃和設(shè)計(jì)是非常實(shí)用的一種。

1.3工程給公司帶來的效益

從企業(yè)維護(hù)和業(yè)務(wù)生長的角度動身，議決網(wǎng)絡(luò)對網(wǎng)絡(luò)資源的共用來改良企業(yè)內(nèi)部和企業(yè)與客戶之間的信息交流方式，滿足業(yè)務(wù)部門對信息存儲、檢索、處理和共享需求，使企業(yè)能快速掌握瞬息萬變的市場行情，使企業(yè)信息更有效地發(fā)揚(yáng)效能；提高辦公自動化水平，提高任務(wù)效率，降低維護(hù)本錢，提高企業(yè)在市場上的競爭力；議決對每項(xiàng)業(yè)務(wù)的跟蹤，企業(yè)維護(hù)者可以明白業(yè)務(wù)起色狀況，掌握第一手資料，及時(shí)掌握市場動態(tài)，為企業(yè)提供投資導(dǎo)向信息，為干部決策提供數(shù)據(jù)支持；議決企業(yè)內(nèi)部網(wǎng)樹立，企業(yè)各業(yè)務(wù)部門可以有更簡約的交流溝通，維護(hù)者可隨時(shí)明白每一位員工的狀況，并加強(qiáng)對企業(yè)人力資源合理調(diào)度，真實(shí)做到系統(tǒng)的集成化設(shè)計(jì)，使原有的裝備、投資得到有效使用。

1.4公司對網(wǎng)絡(luò)需求狀況

公司現(xiàn)有技術(shù)曾經(jīng)完全具有了樹立網(wǎng)絡(luò)的條件，從久遠(yuǎn)生長看，樹立計(jì)算機(jī)網(wǎng)絡(luò)也是當(dāng)務(wù)之急，由于信息交流速度已制約了公司的生長，無論是公司獲取客戶的反應(yīng)信息，照舊公司之間的各種數(shù)據(jù)的傳送，呈現(xiàn)疑問的處理。

1.5組建企業(yè)網(wǎng)注意事項(xiàng)

企業(yè)的網(wǎng)絡(luò)主要注意兩個(gè)問題，一是對網(wǎng)絡(luò)能夠有效的管理，避免單個(gè)電腦對網(wǎng)絡(luò)資源占用過大或者無法獲得網(wǎng)絡(luò)資源，另一方面是要提升網(wǎng)絡(luò)的利用率，避免出現(xiàn)廣播風(fēng)暴等波及所有用戶的網(wǎng)絡(luò)故障。對于這兩個(gè)方面，也各自有與之對應(yīng)的解決方案，分別是基于IP管理和對于網(wǎng)絡(luò)用戶進(jìn)行分組。基于IP管理需要使用三層交換機(jī)，能夠?qū)ｉT設(shè)置某臺電腦的權(quán)限，對于網(wǎng)絡(luò)用戶的分組則可以在二層交換機(jī)上劃分出VLAN，將所有用戶依照某種共同點(diǎn)進(jìn)行分組，然后設(shè)定整個(gè)群組的上網(wǎng)權(quán)限。

1.6選定方案準(zhǔn)繩

在謀劃網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)，應(yīng)依據(jù)企業(yè)規(guī)模的大小、散布、對多媒體的需求等實(shí)踐狀況加以確定。普通可按以下準(zhǔn)繩來確立：

(1)費(fèi)用低

普通地在挑選網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的同時(shí)便大致確立了所要選取的傳輸介質(zhì)、自用裝備、裝置方式等。比如挑選總線網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)普通選用同軸電纜作為傳輸介質(zhì)，挑選星形拓?fù)浣Y(jié)構(gòu)時(shí)須要選用集線器產(chǎn)品，因而每一種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)對應(yīng)的所需初期投資、現(xiàn)在的裝置維護(hù)費(fèi)用都是不等的，在滿足其它要求的同時(shí)，應(yīng)盡量挑選投資費(fèi)用較低的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

(2)良好的靈敏性和可擴(kuò)大性

在挑選網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)應(yīng)思索企業(yè)未來的生長，并且網(wǎng)絡(luò)中的裝備不是一成不變的，對一些裝備的更新?lián)Q代或裝備位置的變化，所選取的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)應(yīng)該可以簡約容易地舉行配置以滿足新的要求。

(3)固定性高

固定性關(guān)于一個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是至關(guān)主要的。在網(wǎng)絡(luò)中會經(jīng)常發(fā)作節(jié)點(diǎn)毛病或傳輸介質(zhì)毛病，一個(gè)固定性高的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)應(yīng)具有良好的毛病診斷和毛病隔離才干，以使這些毛病對整個(gè)網(wǎng)絡(luò)的影響減至最小。

(4)因地制宜

挑選網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)應(yīng)依據(jù)網(wǎng)絡(luò)中各節(jié)點(diǎn)的散布狀況，因地制宜地挑選不一樣的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。比如關(guān)于節(jié)點(diǎn)比擬集中的場所多選用星形拓?fù)浣Y(jié)構(gòu)，而節(jié)點(diǎn)比擬分散時(shí)則可以選用總線型拓?fù)浣Y(jié)構(gòu)。另外，若單一的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)無法滿足要求，則可挑選混合的拓?fù)浣Y(jié)構(gòu)。比如，假定一個(gè)網(wǎng)絡(luò)中節(jié)點(diǎn)首要散布在兩個(gè)不一樣的地點(diǎn)，則可以在該兩個(gè)節(jié)點(diǎn)密集的場所選用星型拓?fù)浣Y(jié)構(gòu)，然后運(yùn)用總線拓?fù)浣Y(jié)構(gòu)將這兩個(gè)地點(diǎn)銜接起來。

第二章VLAN的技術(shù)簡介

2.1三層交換技術(shù)概述

要回答這個(gè)問題還是先看看以太網(wǎng)的工作原理。以太網(wǎng)的工作原理是利用二進(jìn)制位形成的一個(gè)個(gè)字節(jié)組合成一幀幀的數(shù)據(jù)(其實(shí)是一些電脈沖)在導(dǎo)線中進(jìn)行傳播。首先，以太網(wǎng)網(wǎng)段上需要進(jìn)行數(shù)據(jù)傳送的節(jié)點(diǎn)對導(dǎo)線進(jìn)行監(jiān)聽，這個(gè)過程稱為CSMA/CD(CarrierSenseMultipleAccesswithCollisionDetection帶有沖突監(jiān)測的載波偵聽多址訪問)的載波偵聽。如果，這時(shí)有另外的節(jié)點(diǎn)正在傳送數(shù)據(jù)，監(jiān)聽節(jié)點(diǎn)將不得不等待，直到傳送節(jié)點(diǎn)的傳送任務(wù)結(jié)束。

如果某時(shí)恰好有兩個(gè)工作站同時(shí)準(zhǔn)備傳送數(shù)據(jù)，以太網(wǎng)網(wǎng)段將發(fā)出“沖突”信號。這時(shí)，節(jié)點(diǎn)上所有的工作站都將檢測到?jīng)_突信號，因?yàn)檫@時(shí)導(dǎo)線上的電壓超出了標(biāo)準(zhǔn)電壓。這時(shí)以太網(wǎng)網(wǎng)段上的任何節(jié)點(diǎn)都要等沖突結(jié)束后才能夠傳送數(shù)據(jù)。也就是說在CSMA/CD方式下，在一個(gè)時(shí)間段，只有一個(gè)節(jié)點(diǎn)能夠在導(dǎo)線上傳送數(shù)據(jù)。而轉(zhuǎn)發(fā)以太網(wǎng)數(shù)據(jù)幀的聯(lián)網(wǎng)設(shè)備是集線器,它是一層設(shè)備，傳輸效率比較低。

沖突的產(chǎn)生降低了以太網(wǎng)的帶寬，而且這種情況又是不可避免的。所以，當(dāng)導(dǎo)線上的節(jié)點(diǎn)越來越多后，沖突的數(shù)量將會增加。顯而易見的解決方法是限制以太網(wǎng)導(dǎo)線上的節(jié)點(diǎn)，需要對網(wǎng)絡(luò)進(jìn)行物理分段。將網(wǎng)絡(luò)進(jìn)行物理分段的網(wǎng)絡(luò)設(shè)備用到了網(wǎng)橋與交換機(jī)。網(wǎng)橋和交換機(jī)的基本作用是只發(fā)送去往其他物理網(wǎng)段的信息。所以，如果所有的信息都只發(fā)往本地的物理網(wǎng)段，那么網(wǎng)橋和交換機(jī)上就沒有信息通過。這樣可以有效減少網(wǎng)絡(luò)上的沖突。網(wǎng)橋和交換機(jī)是基于目標(biāo)MAC(介質(zhì)訪問控制)地址做出轉(zhuǎn)發(fā)決定的，它們是二層設(shè)備。

現(xiàn)在已經(jīng)知道了以太網(wǎng)的缺點(diǎn)及物理網(wǎng)段中沖突的影響，現(xiàn)在，大家來看看另外一種導(dǎo)致網(wǎng)絡(luò)降低運(yùn)行速度的原因：廣播。廣播存在于所有的網(wǎng)絡(luò)上，如果不對它們進(jìn)行適當(dāng)?shù)目刂疲鼈儽銜涑庥谡麄€(gè)網(wǎng)絡(luò)，產(chǎn)生大量的網(wǎng)絡(luò)通信。廣播不僅消耗了帶寬，而且也降低了用戶工作站的處理效率。由于各種各樣的原因，網(wǎng)絡(luò)操作系統(tǒng)(NOS)使用了廣播，TCP/IP使用廣播從IP地址中解析MAC地址，還使用廣播通過RIP和IGRP協(xié)議進(jìn)行宣告，所以，廣播也是不可避免的。

網(wǎng)橋和交換機(jī)將對所有的廣播信息進(jìn)行轉(zhuǎn)發(fā)，而路由器不會。所以，為了對廣播進(jìn)行控制，就必須使用路由器。路由器是基于第3層報(bào)頭、目標(biāo)IP尋址、目標(biāo)IPX尋址或目標(biāo)Appletalk尋址做出轉(zhuǎn)發(fā)決定。路由器是3層設(shè)備。

在這里，我們就容易理解三層交換技術(shù)了，就是將路由與交換合二為一的技術(shù)。路由器在對第一個(gè)數(shù)據(jù)流進(jìn)行路由后，將會產(chǎn)生一個(gè)MAC地址與IP地址的映射表，當(dāng)同樣的數(shù)據(jù)流再次通過時(shí)，將根據(jù)此映射表直接從二層進(jìn)行交換而不是再次路由，提供線速性能，從而消除了路由器進(jìn)行路由選擇而造成網(wǎng)絡(luò)的延遲，提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率。采用此技術(shù)的交換機(jī)我們常稱為三層交換機(jī)。如圖2-1所示即為三層交換機(jī)原理圖：

圖2-1三層交換機(jī)原理圖

2.2VLAN的概述

VLAN(VirtualLocalAreaNetwork)又稱虛擬局域網(wǎng)，一方面，VLAN建立在局域網(wǎng)交換機(jī)的基礎(chǔ)之上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中，在功能和操作上與傳統(tǒng)LAN基本相同，可以提供一定范圍內(nèi)終端系統(tǒng)的互聯(lián)。

另一方面，VLAN是局域交換網(wǎng)的靈魂。這是因?yàn)橥ㄟ^VLAN用戶能方便地在網(wǎng)絡(luò)中移動和快捷地組建寬帶網(wǎng)絡(luò)，而無需改變?nèi)魏斡布屯ㄐ啪€路。這樣，網(wǎng)絡(luò)管理員就能從邏輯上對用戶和網(wǎng)絡(luò)資源進(jìn)行分配，而無需考慮物理連接方式。VLAN充分體現(xiàn)了現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征：高速、靈活、管理簡便和擴(kuò)展容易。是否具有VLAN功能是衡量局域網(wǎng)交換機(jī)的一項(xiàng)重要指標(biāo)。網(wǎng)絡(luò)的虛擬化是未來網(wǎng)絡(luò)發(fā)展的潮流。如圖2-2為VLAN的結(jié)構(gòu)圖：

圖2-2VLAN的結(jié)構(gòu)圖

2.3VLAN的優(yōu)點(diǎn)

應(yīng)用VLAN技術(shù)可以獲得的益處是巨大的，主要有以下幾個(gè)方面：提高網(wǎng)絡(luò)性能、組建虛擬組織、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)安全、減少設(shè)備投資......

2.3.1提高網(wǎng)絡(luò)的性能

應(yīng)用VLAN技術(shù)可以提高網(wǎng)絡(luò)性能：

其一，VLAN技術(shù)允許網(wǎng)絡(luò)管理員將交換機(jī)上的端口作邏輯分組，使得從某個(gè)VLAN中產(chǎn)生的字節(jié)流只能在從屬于該VLAN的交換機(jī)端口之間流動。在一個(gè)有大量廣播和多播報(bào)文的網(wǎng)絡(luò)中，應(yīng)用VLAN技術(shù)可以把這些報(bào)文限制在各個(gè)VLAN里，從而可以大大減少整個(gè)網(wǎng)絡(luò)中不必要的信息流量，提高網(wǎng)絡(luò)性能。

其二，相比較網(wǎng)橋和交換機(jī)而言，路由器在處理接收到的數(shù)據(jù)時(shí)要慢一些。使用了VLAN技術(shù)后，人們可以用交換機(jī)來代替路由器隔離廣播域。由于減少了路由器的使用量，網(wǎng)絡(luò)性能也相應(yīng)地得到了提高。

2.3.2組建虛擬組織

如前所述，VLAN技術(shù)是隨著人們生產(chǎn)活動中越來越多的跨部門跨職能開發(fā)團(tuán)隊(duì)的出現(xiàn)而提出的。組建虛擬組織、特別是虛擬工作組，是提出VLAN技術(shù)的初衷和目標(biāo)之一。在實(shí)際應(yīng)用時(shí)，對于同一個(gè)工作組內(nèi)的成員，在該工作組存在的短時(shí)期內(nèi)，可以把他們的計(jì)算機(jī)工作站劃分在一個(gè)VLAN里以便于其進(jìn)行通信。這樣，每個(gè)組內(nèi)成員的計(jì)算機(jī)工作站既無需搬移到一起、也無需改變各自的設(shè)置，只需在網(wǎng)絡(luò)管理員那里作一些改變就可以了。

2.3.3簡化網(wǎng)絡(luò)管理

根據(jù)相關(guān)專家的分析計(jì)算，傳統(tǒng)的LAN中約有70%的網(wǎng)絡(luò)花銷是因?yàn)樘砑?、刪除、移動、更改網(wǎng)絡(luò)用戶而導(dǎo)致的。每當(dāng)有一個(gè)用戶加入局域網(wǎng)，就會引發(fā)一系列的端口分配、地址分配、網(wǎng)絡(luò)設(shè)備重新配置等網(wǎng)絡(luò)管理任務(wù)。在使用VLAN技術(shù)后，這些任務(wù)都可得以簡化。舉例來說，當(dāng)某臺計(jì)算機(jī)工作站從一個(gè)空間位置移動到另一個(gè)空間位置時(shí)，不需要為其重新手工配置網(wǎng)絡(luò)屬性，網(wǎng)絡(luò)自身就能夠動態(tài)地完成這項(xiàng)任務(wù)。這種動態(tài)管理網(wǎng)絡(luò)的方式給網(wǎng)絡(luò)管理者和使用者都帶來了極大的便利。

2.3.4提高網(wǎng)絡(luò)安全

在傳統(tǒng)的局域網(wǎng)中，不時(shí)的會有些敏感數(shù)據(jù)被有意或無意地廣播到網(wǎng)絡(luò)上，從而有可能造成信息泄密。在這種情況下，確定誰可以訪問到這些數(shù)據(jù)就顯得很重要。使用VLAN技術(shù)可以將敏感數(shù)據(jù)的傳播限制在安全范圍內(nèi)，只允許已定義的VLAN成員訪問相關(guān)數(shù)據(jù)。VLAN還可被用來設(shè)立防火墻、限制數(shù)據(jù)訪問以及將網(wǎng)絡(luò)入侵事件通知給網(wǎng)絡(luò)管理員等，這些都可以提高網(wǎng)絡(luò)的安全系數(shù)。

2.3.5降低成本

VLAN技術(shù)可被用來創(chuàng)建邏輯的廣播域，因而可以減少用于購買昂貴的路由器等廣播域隔離設(shè)備的投資。

2.4PVLAN原理和配置

為了提高網(wǎng)絡(luò)的安全性，要將用戶之間的報(bào)文隔離開，傳統(tǒng)的解決辦法是給每個(gè)用戶分配一個(gè)VLAN。這種方法具有明顯的局限性，主要表現(xiàn)在以下幾個(gè)方面：

(1)目前IEEE802.1Q標(biāo)準(zhǔn)中所支持的VLAN數(shù)目最多為4094個(gè)，用戶數(shù)量受到限制，且不利于網(wǎng)絡(luò)的擴(kuò)展。

(2)每個(gè)VLAN對應(yīng)一個(gè)IP子網(wǎng)，劃分大量的子網(wǎng)會造成IP地址的浪費(fèi)。

(3)大量VLAN和IP子網(wǎng)的規(guī)劃和管理使網(wǎng)絡(luò)管理變得非常復(fù)雜。

PVLAN(PrivateVLAN)技術(shù)的出現(xiàn)解決了這些問題。

PVLAN將VLAN中的端口分為兩類：與用戶相連的端口為隔離端口(Isolate

Port)，上行與路由器相連的端口為混合端口(PromiscuousPort)。隔離端口只能與混合端口通信，相互之間不能通信。這樣就將同一個(gè)VLAN下的端口隔離開來，用戶只能與自己的默認(rèn)網(wǎng)關(guān)通信，網(wǎng)絡(luò)的安全性得到保障。

2.5QinQ原理和配置

QinQ是對基于IEEE802.1Q封裝的隧道協(xié)議的形象稱呼，又稱VLAN堆疊。QinQ技術(shù)是在原有VLAN標(biāo)簽(內(nèi)層標(biāo)簽)之外再增加一個(gè)VLAN標(biāo)簽(外層標(biāo)簽)，外層標(biāo)簽可以將內(nèi)層標(biāo)簽屏蔽起來。

QinQ不需要協(xié)議的支持，通過它可以實(shí)現(xiàn)簡單的L2VPN(二層虛擬專用網(wǎng))，特別適合以三層交換機(jī)為骨干的小型局域網(wǎng)。

QinQ技術(shù)的典型組網(wǎng)，連接用戶網(wǎng)絡(luò)的端口稱為Customer端口，連接服務(wù)提供商網(wǎng)絡(luò)的端口稱為Uplink端口，服務(wù)提供商網(wǎng)絡(luò)邊緣接入設(shè)備稱為PE

用戶網(wǎng)絡(luò)一般通過TrunkVLAN方式接入PE，服務(wù)提供商網(wǎng)絡(luò)內(nèi)部的Uplink端口通過TrunkVLAN方式對稱連接。

當(dāng)報(bào)文從用戶網(wǎng)絡(luò)1到達(dá)交換機(jī)A的customer端口時(shí)，無論報(bào)文是tagged還是untagged的，交換機(jī)A都強(qiáng)行插入外層標(biāo)簽(VLANID為10)。在服務(wù)提供商網(wǎng)絡(luò)內(nèi)部，報(bào)文沿著VLAN10的端口傳播，直至到達(dá)交換機(jī)B。交換機(jī)B發(fā)現(xiàn)與用戶網(wǎng)絡(luò)2相連的端口為customer端口，于是按照傳統(tǒng)的802.1Q協(xié)議剝離外層標(biāo)簽，恢復(fù)成用戶的原始報(bào)文，發(fā)送到用戶網(wǎng)絡(luò)2。

這樣，用戶網(wǎng)絡(luò)1和2之間的數(shù)據(jù)可以通過服務(wù)提供商網(wǎng)絡(luò)進(jìn)行透明傳輸，用戶網(wǎng)絡(luò)可以自由規(guī)劃自己的私網(wǎng)VLANID，而不會導(dǎo)致和服務(wù)提供商網(wǎng)絡(luò)中的VLANID沖突。

如圖2-3即為802.1Q與QinQ封裝結(jié)構(gòu)的比較:

圖2-3802.1Q與QinQ封裝結(jié)構(gòu)的比較

2.6SuperVLAN原理和配置

傳統(tǒng)的ISP網(wǎng)絡(luò)給每個(gè)用戶被分配一個(gè)IP子網(wǎng)，每分配一個(gè)子網(wǎng)，就有三個(gè)IP地址被占用，分別作為子網(wǎng)的網(wǎng)絡(luò)號、廣播地址和缺省網(wǎng)關(guān)。如果一些用戶的子網(wǎng)中有大量未分配的IP地址，也無法給其他用戶使用。因此這種方法會造成IP地址的浪費(fèi)。

SuperVLAN有效的解決了這個(gè)問題，它把多個(gè)VLAN(稱為子VLAN)聚合成一個(gè)SuperVLAN，這些子VLAN使用同一個(gè)IP子網(wǎng)和缺省網(wǎng)關(guān)。

利用SuperVLAN技術(shù)，ISP只需為SuperVLAN分配一個(gè)IP子網(wǎng)，并為每個(gè)用戶建立一個(gè)子VLAN，所有子VLAN可以靈活分配SuperVLAN子網(wǎng)中的IP地址，使用SuperVLAN的缺省網(wǎng)關(guān)。每個(gè)子VLAN都是一個(gè)獨(dú)立的廣播域，保證不同用戶之間的隔離，子VLAN之間的通信通過SuperVLAN進(jìn)行路由。

第三章VLAN的劃分方式

3.1基于端口劃分的VLAN

以網(wǎng)絡(luò)設(shè)備的哪個(gè)端口屬于哪個(gè)VLAN的標(biāo)準(zhǔn)來劃分VLAN。例如，在一個(gè)有8個(gè)端口的網(wǎng)橋中，端口1、2、4、7屬于VLAN1，而端口3、5、6、8屬于VLAN2。則與這些端口相連的設(shè)備、這些設(shè)備收發(fā)的數(shù)據(jù)幀相應(yīng)地也分別屬于VLAN1、VLAN2。究竟如何配置，由管理員決定。

如果有多個(gè)網(wǎng)絡(luò)設(shè)備，例如有多個(gè)交換機(jī)，可以指定交換機(jī)1的1~6端口和交換機(jī)2的1~4端口為同一VLAN，即同一VLAN可以跨越數(shù)個(gè)交換機(jī)，根據(jù)端口劃分是目前定義VLAN的最常用的方法，IEEE802.1Q協(xié)議標(biāo)準(zhǔn)草案中對如何根據(jù)交換機(jī)的端口來劃分VLAN給出了明確的規(guī)定。

這種劃分方法的優(yōu)點(diǎn)和缺點(diǎn)都很明顯：優(yōu)點(diǎn)是定義VLAN成員時(shí)非常簡單，只要將所有的端口都指定一下就可以了；缺點(diǎn)是不允許用戶隨便移動。如果屬于某個(gè)VLAN的用戶離開了原來的端口，到了一個(gè)新的網(wǎng)絡(luò)設(shè)備的某個(gè)端口，那么網(wǎng)絡(luò)管理者就必須重新定義VLAN。如圖3-1基于端口劃分VLAN：

圖3-1基于端口劃分VLAN

3.2基于MAC地址劃分的VLAN

以計(jì)算機(jī)工作站網(wǎng)卡的MAC地址來劃分VLAN。這種劃分方法的最大優(yōu)點(diǎn)就是由于一個(gè)MAC地址唯一對應(yīng)一塊計(jì)算機(jī)網(wǎng)卡，故此當(dāng)某個(gè)計(jì)算機(jī)工作站物理位置改變時(shí)、即從一臺交換機(jī)轉(zhuǎn)移到另一臺交換機(jī)時(shí)，不需要重新配置VLAN；而缺點(diǎn)是所有的VLAN成員必須事先定義，這在有數(shù)以百計(jì)乃至千計(jì)用戶的網(wǎng)絡(luò)中，這并不是一件輕松的事。而且這種劃分方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)榻粨Q機(jī)的每一個(gè)端口都可能連接許多不同VLAN組的成員，這樣就無法限制廣播報(bào)文了。另外，對于使用筆記本電腦的用戶來說，他們的網(wǎng)卡可能經(jīng)常更換，VLAN就必須不停的配置。如圖3-2基于MAC地址劃分VLAN：

圖3-2基于MAC地址劃分VLAN

3.3基網(wǎng)絡(luò)層協(xié)議劃分的VLAN

如果網(wǎng)絡(luò)支持多網(wǎng)絡(luò)層協(xié)議，那么根據(jù)數(shù)據(jù)幀頭中的網(wǎng)絡(luò)層協(xié)議類型字段也可以劃分VLAN。這對網(wǎng)絡(luò)管理員來說很重要，同時(shí)，這種方法不需要附加的幀標(biāo)簽來識別VLAN，可以減少網(wǎng)絡(luò)的通信量。

3.4基于網(wǎng)絡(luò)層子網(wǎng)劃分的VLAN

根據(jù)數(shù)據(jù)報(bào)文頭中的網(wǎng)絡(luò)層子網(wǎng)地址也可以劃分VLAN。雖然這種劃分方法根據(jù)的是第3層信息即網(wǎng)絡(luò)地址(比如IP地址)，但它與網(wǎng)絡(luò)層的路由功能一點(diǎn)關(guān)系也沒有。它只是查看每個(gè)數(shù)據(jù)報(bào)文的網(wǎng)絡(luò)層地址，并根據(jù)過濾數(shù)據(jù)庫中事先定義好的信息決定其歸屬于哪個(gè)VLAN，然后再根據(jù)生成樹算法進(jìn)行橋交換，并不牽涉任何路由操作。這種方法的優(yōu)點(diǎn)是當(dāng)某個(gè)計(jì)算機(jī)工作站物理位置改變時(shí)，即從一臺交換機(jī)轉(zhuǎn)移到其它的交換機(jī)，不需要重新配置VLAN。其缺點(diǎn)是效率低，因?yàn)橄鄬τ诘?、2層VLAN的實(shí)現(xiàn)技術(shù)，檢查每一個(gè)數(shù)據(jù)報(bào)文的網(wǎng)絡(luò)層地址是很費(fèi)時(shí)間的。一般的交換機(jī)芯片都優(yōu)點(diǎn)是具有更大的靈活性，而且也很容易通過路由器進(jìn)行擴(kuò)展。缺點(diǎn)是不適合LAN，主要是效率不高。

3.5基于網(wǎng)絡(luò)層組播劃分的VLAN

網(wǎng)絡(luò)層組播實(shí)際上是一種VLAN。即認(rèn)為一個(gè)組播組就是一個(gè)VLAN，這種劃分方法實(shí)際將VLAN擴(kuò)大到了WAN。該方法的應(yīng)用程序的類型乃至兩者的綜合來劃分VLAN也是有可能的。例如，規(guī)定所有的FTP應(yīng)用在一個(gè)VLAN里運(yùn)行而所有的Telnet應(yīng)用在另一個(gè)VLAN里運(yùn)行。這些方法的缺點(diǎn)在于它們都很費(fèi)時(shí)，都要求更高的處理技術(shù)和更快的處理速度，目前的實(shí)現(xiàn)尚無法令人們滿意。

802.1Q草案標(biāo)準(zhǔn)僅僅定義了基于端口和MAC地址來劃分VLAN的標(biāo)準(zhǔn)方案，雖然它也允許基于協(xié)議類型的VLAN以及3層以上VLAN，但并沒有給出相應(yīng)的標(biāo)準(zhǔn)。

3.6基于網(wǎng)絡(luò)以上協(xié)議乃至應(yīng)用程序的類型劃分的VLAN

根據(jù)網(wǎng)絡(luò)層以上協(xié)議的類型、可以自動檢查數(shù)據(jù)幀的幀頭，但檢查數(shù)據(jù)報(bào)文的報(bào)文頭，則需要更高的技術(shù)(設(shè)備設(shè)計(jì)制造成本也會相應(yīng)增加)，同時(shí)也更費(fèi)時(shí)。當(dāng)然，這跟各個(gè)廠商的實(shí)現(xiàn)方法有關(guān)。

第四章VLAN之間的通信

4.1背景

隨著交換機(jī)應(yīng)用的普及，VLAN技術(shù)的應(yīng)用也越來越廣泛。眾所周知，VLAN技術(shù)的主要作用是可將分布于不同地理位置的計(jì)算機(jī)按工作需要組合成一個(gè)邏輯網(wǎng)絡(luò)，同時(shí)VLAN的劃分可縮小廣播域，以提高網(wǎng)絡(luò)傳輸速度，由于處于不同VLAN的計(jì)算機(jī)之間不能直接通信，從而使網(wǎng)絡(luò)的安全性能得到了很大提高。

但事實(shí)上在很多網(wǎng)絡(luò)中要求處于不同VLAN中的計(jì)算機(jī)間能夠相互通信，如何解決VLAN間的通信問題是我們在規(guī)劃VLAN時(shí)必須認(rèn)真考慮的問題。在企業(yè)網(wǎng)絡(luò)發(fā)展的初期，網(wǎng)絡(luò)中只有10%~20%的信息在VLAN之間傳播，但隨著多媒體技術(shù)在企業(yè)網(wǎng)絡(luò)中應(yīng)用的迅速普及，VLAN之間信息的傳輸量增加了許多倍，如果VLAN之間的通信問題解決得不好，將嚴(yán)重影響網(wǎng)絡(luò)的使用和安全。

在LAN內(nèi)的通信，是通過數(shù)據(jù)幀頭中指定通信目標(biāo)的MAC地址來完成的。而為了獲取MAC地址，TCP/IP協(xié)議下使用ARP地址協(xié)議解析MAC地址的方法是通過廣播報(bào)文來實(shí)現(xiàn)的，如果廣播報(bào)文無法到達(dá)目的地，那么就無從解析MAC地址，亦即無法直接通信。

當(dāng)計(jì)算機(jī)分屬不同的VLAN時(shí)，就意味著分屬不同的廣播域，自然收不到彼此的廣播報(bào)文。因此，屬于不同VLAN的計(jì)算機(jī)之間無法直接互相通信。為了能夠在VLAN間通信，需要利用OSI參照模型中更高一層——網(wǎng)絡(luò)層的信息(IP地址)來進(jìn)行路由。在目前的網(wǎng)絡(luò)互連設(shè)備中能完成路由功能的設(shè)備主要有路由器和三層以上的交換機(jī)。

4.2通過路由器實(shí)現(xiàn)VLAN之間的通信

使用路由器實(shí)現(xiàn)VLAN間通信時(shí)，路由器與交換機(jī)的連接方式有兩種。第一種通過路由器的不同物理接口與交換機(jī)上的每個(gè)VLAN分別連接。第二種通過路由器的邏輯子接口與交換機(jī)的各個(gè)VLAN連接。

4.2.1通過路由器的不同物理接口與交換機(jī)上每個(gè)VLAN分別連接

這種方式的優(yōu)點(diǎn)是管理簡單，缺點(diǎn)是網(wǎng)絡(luò)擴(kuò)展難度大。每增加一個(gè)新的VLAN，都需要消耗路由器的端口和交換機(jī)上的訪問鏈接，而且還需要重新布設(shè)一條網(wǎng)線。而路由器，通常不會帶有太多LAN接口的。新建VLAN時(shí)，為了對應(yīng)增加的VLAN所需的端口，就必須將路由器升級成帶有多個(gè)LAN接口的高端產(chǎn)品，這部分成本、還有重新布線所帶來的開銷，都使得這種接線法成為一種不受歡迎的辦法。

4.2.2通過路由器的邏輯子接口與交換機(jī)各個(gè)VLAN連接

這種連接方式要求路由器和交換機(jī)的端口都支持匯聚鏈接，且雙方用于匯聚鏈路的協(xié)議自然也必須相同。接著在路由器上定義對應(yīng)各個(gè)VLAN的邏輯子接口E1.1和E1.2。由于這種方式是靠在一個(gè)物理端口上設(shè)置多個(gè)邏輯子接口的方式實(shí)現(xiàn)網(wǎng)絡(luò)擴(kuò)展，因此網(wǎng)絡(luò)擴(kuò)展比較容易且成本較低，只是對路由器的配置要復(fù)雜一些。

4.3用交換機(jī)代替路由器實(shí)現(xiàn)VLAN間的通信

目前市場上有許多三層以上的交換機(jī)，在這些交換機(jī)中，廠家通過硬件或軟件的方式將路由功能集成到交換機(jī)中，交換機(jī)主要用于園區(qū)網(wǎng)中，園區(qū)網(wǎng)中的路由比較簡單，但要求數(shù)據(jù)交換的速度較快，因此在大型園區(qū)網(wǎng)中用交換機(jī)代替路由器已是不爭的事實(shí)。用交換機(jī)代替路由器實(shí)現(xiàn)VLAN間通信的方式也有兩種，其一，就是啟用交換機(jī)的路由功能，這種方式的實(shí)現(xiàn)方法可采用以上介紹的路由器方式的任一種。其二，是利用某些高端交換機(jī)所支持的專用VLAN功能來實(shí)現(xiàn)VLAN間的通信。

第五章企業(yè)網(wǎng)VLAN的規(guī)劃與設(shè)計(jì)

5.1VLAN的實(shí)現(xiàn)過程

當(dāng)一個(gè)網(wǎng)橋或交換機(jī)接收到來自于某個(gè)計(jì)算機(jī)工作站的數(shù)據(jù)幀，它將給這個(gè)數(shù)據(jù)幀加上一個(gè)標(biāo)簽以標(biāo)識這個(gè)數(shù)據(jù)幀來自于哪個(gè)VLAN。加標(biāo)簽的原則有多種：可以基于數(shù)據(jù)幀來自于網(wǎng)橋的哪個(gè)端口、可以基于數(shù)據(jù)幀的數(shù)據(jù)鏈路層協(xié)議源地址、可以基于數(shù)據(jù)幀的網(wǎng)絡(luò)層協(xié)議源地址、也可以基于數(shù)據(jù)幀的其它字段或多個(gè)字段的綜合。為了能夠使用任意一種方法給數(shù)據(jù)幀加標(biāo)簽，網(wǎng)橋必須有一個(gè)不斷升級更新的數(shù)據(jù)庫。這個(gè)數(shù)據(jù)庫叫做過濾數(shù)據(jù)庫，包含了本網(wǎng)絡(luò)中全部VLAN之間的映射以及它們使用哪個(gè)字段作為標(biāo)簽。

例如，如果通過基于端口的方式來加標(biāo)簽，該數(shù)據(jù)庫應(yīng)該指示哪個(gè)端口屬于哪個(gè)VLAN。網(wǎng)橋必須能夠維護(hù)這樣的一個(gè)數(shù)據(jù)庫并且應(yīng)保證所有在這個(gè)LAN中的網(wǎng)橋在它們的過濾數(shù)據(jù)庫中有同樣的信息。

基于IEEE802.1Q協(xié)議時(shí)，4個(gè)字節(jié)的VLAN標(biāo)簽加到傳統(tǒng)的以太網(wǎng)幀的目的MAC地址字段和協(xié)議類型字段(在符合IEEE802.3協(xié)議的幀中是長度字段)之間。其中包含有一個(gè)12比特大小的VLANID號以區(qū)別各個(gè)VLAN，如圖4-1所示：

圖5-1基于802.1Q協(xié)議的VLAN幀格式封裝類型

由于802.1Q協(xié)議的標(biāo)簽頭的4個(gè)字節(jié)是新增加的，故目前使用的計(jì)算機(jī)并不支持802.1Q，即計(jì)算機(jī)發(fā)送出去的數(shù)據(jù)包的以太網(wǎng)幀頭還不包含這4個(gè)字節(jié)，同時(shí)也無法識別這4個(gè)字節(jié)。對于交換機(jī)來說，如果它所連接的以太網(wǎng)段的所有主機(jī)都能識別和發(fā)送這種帶802.1Q標(biāo)簽頭的數(shù)據(jù)包，該端口稱為TagAware端口，需要給數(shù)據(jù)幀加標(biāo)簽。

反之，如果該交換機(jī)端口所連接的以太網(wǎng)段里只要有一臺主機(jī)不支持這種帶802.1Q標(biāo)簽頭的數(shù)據(jù)包，該端口稱為Access端口，則不能給數(shù)據(jù)幀加標(biāo)簽。對于每一個(gè)到來的VLAN幀，網(wǎng)橋或交換機(jī)將根據(jù)查找過濾數(shù)據(jù)庫的結(jié)果決定該幀歸屬于哪一個(gè)VLAN將從哪個(gè)接口被轉(zhuǎn)發(fā)出去。一旦網(wǎng)橋或交換機(jī)決定了某個(gè)數(shù)據(jù)幀的下一步去向，它就得決定是否需要給這個(gè)數(shù)據(jù)幀加標(biāo)簽。具體實(shí)現(xiàn)包括以下三個(gè)過程：

(1)接收過程：負(fù)責(zé)接收數(shù)據(jù)包，數(shù)據(jù)包可以是帶標(biāo)簽頭的，也可以不帶標(biāo)簽頭。如果不帶，交換機(jī)會根據(jù)該端口所屬的VLAN添加上相應(yīng)的標(biāo)簽頭。

(2)查找/路由過程：根據(jù)數(shù)據(jù)包的目的MAC地址、VLAN標(biāo)識，查找過濾數(shù)據(jù)庫中注冊的信息，以決定把數(shù)據(jù)包發(fā)送到哪個(gè)端口。

(3)發(fā)送過程：將數(shù)據(jù)包發(fā)送到以太網(wǎng)段上，如果該網(wǎng)段的主機(jī)不能識別802.1Q標(biāo)簽頭，則在出端口前將該標(biāo)簽頭去掉；如果是發(fā)送到互連的其它交換機(jī)的端口，則標(biāo)簽頭一般不去掉。

5.2IP地址分配與VLAN地址的規(guī)劃

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，用戶不斷增加，網(wǎng)絡(luò)應(yīng)用也不斷增長，網(wǎng)絡(luò)變得越來越擁擠，沖突不斷產(chǎn)生，管理難度日益加大。為了有效地提高網(wǎng)絡(luò)管理的靈活性，提高網(wǎng)絡(luò)效率和網(wǎng)絡(luò)安全性，一個(gè)合理的VLAN規(guī)劃給網(wǎng)絡(luò)的管理更加有效。

網(wǎng)絡(luò)中目前的電腦數(shù)目已經(jīng)上千臺了。如果把這個(gè)龐大的網(wǎng)絡(luò)作為一個(gè)VLAN，那么網(wǎng)絡(luò)性能和安全性就會大大的降低，而且能產(chǎn)生網(wǎng)絡(luò)風(fēng)暴使網(wǎng)絡(luò)癱瘓。因此，應(yīng)對這個(gè)龐大的網(wǎng)絡(luò)進(jìn)行VLAN的規(guī)劃，把它劃分為若干個(gè)虛擬子網(wǎng)，這樣可以提高網(wǎng)絡(luò)的網(wǎng)絡(luò)性能和安全性，防止網(wǎng)絡(luò)風(fēng)暴。

網(wǎng)絡(luò)主要是由中興3228交換機(jī)組成。

如為了使某兩個(gè)企業(yè)部門之間在網(wǎng)絡(luò)中不能進(jìn)行訪問，確保部門與部門之間發(fā)生廣播風(fēng)暴，而把各個(gè)企業(yè)部門之間劃分為單獨(dú)的VLAN，從而提高各個(gè)企業(yè)部門之間的網(wǎng)絡(luò)安全性。

5.3企業(yè)網(wǎng)VLAN規(guī)劃意義

隨著企業(yè)網(wǎng)的建成，對于企業(yè)網(wǎng)的管理的要求也越來越高了。目前，由于數(shù)據(jù)廣播在網(wǎng)絡(luò)中起著非常重要的作用，隨著企業(yè)網(wǎng)內(nèi)的計(jì)算機(jī)數(shù)量的增加，VOD視頻的大量應(yīng)用，廣播的數(shù)量在積聚增加，當(dāng)廣播的數(shù)量占到總量的30%時(shí)，網(wǎng)絡(luò)的傳輸效率將會明顯下降。特別是當(dāng)某網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，會不停地向網(wǎng)絡(luò)發(fā)送廣播，從而導(dǎo)致通信陷于癱瘓。

當(dāng)企業(yè)網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)數(shù)超過200臺后，就需要采取措施將網(wǎng)絡(luò)分隔開來，將一個(gè)大的廣播域劃分成若干個(gè)小的廣播域。目前，企業(yè)網(wǎng)的計(jì)算機(jī)已經(jīng)有上千臺，因此更應(yīng)將這個(gè)大的廣播域劃分成若干個(gè)小的廣播域，劃分廣播域的方式主要是將企業(yè)網(wǎng)劃分為若干個(gè)虛擬子網(wǎng)，也就是VLAN。對企業(yè)網(wǎng)進(jìn)行VLAN劃分，可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)的安全，控制不必要的廣播的數(shù)量。

5.4企業(yè)網(wǎng)VLAN規(guī)劃與設(shè)計(jì)案例

企業(yè)網(wǎng)絡(luò)是由多臺ZXR103228交換機(jī)組成的堆疊組。以財(cái)務(wù)部、市場部為例，企業(yè)財(cái)務(wù)部、市場部網(wǎng)絡(luò)組成。

下面是企業(yè)財(cái)務(wù)部、市場部的組網(wǎng)圖:

圖5-2企業(yè)財(cái)務(wù)部、市場部的組網(wǎng)圖

如果有很多臺電腦同時(shí)相互之間傳送文件或下載東西，那樣就會影響上網(wǎng)的速度，從而有可能產(chǎn)生廣播風(fēng)暴。因此，可以基于ZXR103228交換機(jī)每個(gè)端口劃一個(gè)的VLAN來控制廣播，有效地避免廣播風(fēng)暴的產(chǎn)生，并且網(wǎng)絡(luò)管理更加有效。

整個(gè)網(wǎng)絡(luò)在同一個(gè)網(wǎng)段IP地址/16內(nèi)：

交換機(jī)一的端口1的IP地址為；

交換機(jī)一的端口2的IP地址為；

交換機(jī)一的端口3的IP地址為；

交換機(jī)一的端口4的IP地址為；

交換機(jī)一的端口5作為Trunk口不配置IP地址；

交換機(jī)二的端口1的IP地址為；

交換機(jī)二的端口2的IP地址為；

交換機(jī)二的端口3的IP地址為；

交換機(jī)二的端口4的IP地址為；

交換機(jī)二的端口5作為Trunk口不配置IP地址。

市場部劃入vlan10內(nèi)；

財(cái)務(wù)部劃入vlan20內(nèi)。

在上作如下配置：

交換機(jī)一的配置：

ZXR10>enable

ZXR10#configureterminal

ZXR10(config)#enablesecretZTE

ZXR10(config)interfacefei_1/1

ZXR10(config-if)#ipaddress

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/2

ZXR10(config-if)#ipaddress

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/3

ZXR10(config-if)#ipaddress

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/4

ZXR10(config-if)#ipaddress

ZXR10(config-if)#exit

ZXR10(config)#vlan10

ZXR10(config-vlan)#exit

ZXR10(config)#vlan20

ZXR10(config-vlan)#exit

ZXR10(config)interfacefei_1/1

ZXR10(config-if)#switchportaccessvlan10

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/2

ZXR10(config-if)#switchportaccessvlan10

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/3

ZXR10(config-if)#switchportaccessvlan20

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/4

ZXR10(config-if)#switchportaccessvlan20

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/5

ZXR10(config-if)#switchportmodevlantrunk

ZXR10(config-if)#switchporttrunkvlan10

ZXR10(config-if)#switchporttrunkvlan20

交換機(jī)二的配置：

ZXR10>enable

ZXR10#configureterminal

ZXR10(config)#enablesecretZTE

ZXR10(config)interfacefei_1/1

ZXR10(config-if)#ipaddress

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/2

ZXR10(config-if)#ipaddress

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/3

ZXR10(config-if)#ipaddress

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/4

ZXR10(config-if)#ipaddress

ZXR10(config-if)#exit

ZXR10(config)#vlan10

ZXR10(config-vlan)#exit

ZXR10(config)#vlan20

ZXR10(config-vlan)#exit

ZXR10(config)interfacefei_1/1

ZXR10(config-if)#switchportaccessvlan10

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/2

ZXR10(config-if)#switchportaccessvlan10

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/3

ZXR10(config-if)#switchportaccessvlan20

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/4

ZXR10(config-if)#switchportaccessvlan20

ZXR10(config-if)#exit

ZXR10(config)interfacefei_1/5

ZXR10(config-if)#switchportmodevlantrunk

ZXR10(config-if)#switchporttrunkvlan10

ZXR10(config-if)#switchporttrunkvlan20

第六章VLAN的新用途

6.1背景

雖然VLAN并非最好的網(wǎng)絡(luò)技術(shù)，但這種用于網(wǎng)絡(luò)結(jié)點(diǎn)邏輯分段的方法正為許多企業(yè)所使用。VLAN采用多種方式配置于企業(yè)網(wǎng)絡(luò)中，包括網(wǎng)絡(luò)安全認(rèn)證、使無線用戶在802.11b接入點(diǎn)漫游等。

多年前引進(jìn)VLAN的時(shí)候，多數(shù)VLAN都是基于IEEE802.1Q和802.1p標(biāo)準(zhǔn)的。802.1Q規(guī)范用于將VLAN用戶信息載入以太網(wǎng)幀，而802.1p使二層交換機(jī)具有流量優(yōu)先和實(shí)施動態(tài)多址濾波的能力。

當(dāng)初引進(jìn)VLAN時(shí)，它被看作是一個(gè)簡化地址管理的方法，可以使IT人員在網(wǎng)絡(luò)的任意點(diǎn)對服務(wù)器和PC機(jī)進(jìn)行物理配置，并將PC機(jī)加入到組中。

多數(shù)網(wǎng)絡(luò)設(shè)備的軟件可用于將媒體訪問控制(MAC)地址與VLAN相關(guān)聯(lián)，當(dāng)客戶從一個(gè)端口移動到另一個(gè)端口時(shí)，可以使其自動連接到網(wǎng)絡(luò)上。

6.2新用途

(1)VLAN的無線接入

隨著越來越多的公司推出其無線網(wǎng)絡(luò)，人們最關(guān)心的問題恐怕就是如何將無線用戶接入適當(dāng)?shù)挠芯€VLAN。有線網(wǎng)絡(luò)中的VLAN用戶身份通常都是由用戶的物理層二層交換機(jī)或三層路由器連接端口來定義的。但在無線網(wǎng)絡(luò)中，用戶根本沒有與任何物理端口連接。

為解決這一問題，人們開始采用先進(jìn)的無線驗(yàn)證技術(shù)，并利用基于角色的VLAN關(guān)聯(lián)來進(jìn)行用戶識別。這種方法可以利用一系列標(biāo)準(zhǔn)的驗(yàn)證方法，如基于HTTP捕獲端口和802.1x等可選驗(yàn)證機(jī)制來判斷出正確的VLAN用戶身份。

(2)VLAN的應(yīng)用

最近，休斯頓在4棟22層的建筑物中建立了網(wǎng)絡(luò)及其子網(wǎng)，包括122個(gè)法庭、法律事務(wù)所和審判廳，這種建筑物非常適合建立VLAN，因?yàn)閷?22個(gè)私人子網(wǎng)合并到一個(gè)VLAN中要比將用戶插入端口組容易得多。

VLAN和靜態(tài)IP地址也可用于安全機(jī)制。所有工作于這里的客戶都分配