交換機中VLAN配置詳解

VLAN學(xué)習(xí)筆記大全VLAN學(xué)習(xí)筆記大全(1):為什么需要VLAN什么是VLAN?VLAN(VirtualLAN)，翻譯成中文是“虛擬局域網(wǎng)”。LAN可以是由少數(shù)幾臺家用計算機構(gòu)成的網(wǎng)絡(luò)，也可以是數(shù)以百計的計算機構(gòu)成的企業(yè)網(wǎng)絡(luò)。VLAN所指的LAN特指使用路由器分割的網(wǎng)絡(luò)一一也就是廣播域。在此讓我們先復(fù)習(xí)一下廣播域的概念。廣播域，指的是廣播幀(目標(biāo)MAC地址全部為1)所能傳遞到的范圍，亦即能夠直接通信的范圍。嚴(yán)格地說，并不僅僅是廣播幀，多播幀(MulticastFrame)和目標(biāo)不明的單播幀(UnknownUnicastFrame)也能在同一個廣播域中暢行無阻。本來，二層交換機只能構(gòu)建單一的廣播域，不過使用VLAN功能后，它能夠?qū)⒕W(wǎng)絡(luò)分割成多個廣播域。未分割廣播域時……那么，為什么需要分割廣播域呢？那是因為，如果僅有一個廣播域，有可能會影響到網(wǎng)絡(luò)整體的傳輸性能。具體原因，請參看附圖加深理解。圖中，是一個由5臺二層交換機（交換機1?5）連接了大量客戶機構(gòu)成的網(wǎng)絡(luò)。假設(shè)這時，計算機A需要與計算機B通信。在基于以太網(wǎng)的通信中，必須在數(shù)據(jù)幀中指定目標(biāo)MAC地址才能正常通信，因此計算機A必須先廣播“ARP請求（ARPRequest）信息”，來嘗試獲取計算機B的MAC地址。交換機1收到廣播幀（ARP請求）后，會將它轉(zhuǎn)發(fā)給除接收端口外的其他所有端口，也就是Flooding了。接著，交換機2收到廣播幀后也會Flooding。交換機3、4、5也還會Flooding。最終ARP請求會被轉(zhuǎn)發(fā)到同一網(wǎng)絡(luò)中的所有客戶機上。請大家注意一下，這個ARP請求原本是為了獲得計算機B的MAC地址而發(fā)出的。也就是說：只要計算機B能收到就萬事大吉了。可是事實上，數(shù)據(jù)幀卻傳遍整個網(wǎng)絡(luò)，導(dǎo)致所有的計算機都收到了它。如此一來，一方面廣播信息消耗了網(wǎng)絡(luò)整體的帶寬，另一方面，收到廣播信息的計算機還要消耗一部分CPU時間來對它進行處理。造成了網(wǎng)絡(luò)帶寬和CPU運算能力的大量無謂消耗。廣播信息是那么經(jīng)常發(fā)出的嗎？讀到這里，也許會問：廣播信息真是那么頻繁出現(xiàn)的嗎?答案是：是的！實際上廣播幀會非常頻繁地出現(xiàn)。利用TCP/IP協(xié)議棧通信時，除了前面出現(xiàn)的ARP外，還有可能需要發(fā)出DHCP、RIP等很多其他類型的廣播信息。ARP廣播，是在需要與其他主機通信時發(fā)出的。當(dāng)客戶機請求DHCP服務(wù)器分配IP地址時，就必須發(fā)出DHCP的廣播。而使用RIP作為路由協(xié)議時，每隔30秒路由器都會對鄰近的其他路由器廣播一次路由信息。RIP以外的其他路由協(xié)議使用多播傳輸路由信息，這也會被交換機轉(zhuǎn)發(fā)（Flooding）。除了TCP/IP以外，NetBEUI.IPX和AppleTalk等協(xié)議也經(jīng)常需要用到廣播。例如在Windows下雙擊打開“網(wǎng)絡(luò)計算機”時就會發(fā)出廣播（多播）信息。（WindowsXP除外 ）總之，廣播就在我們身邊。下面是一些常見的廣播通信：lARP請求：建立IP地址和MAC地址的映射關(guān)系。lRIP：一種路由協(xié)議。lDHCP：用于自動設(shè)定IP地址的協(xié)議。lNetBEUI：Windows下使用的網(wǎng)絡(luò)協(xié)議。lIPX：NovellNetware使用的網(wǎng)絡(luò)協(xié)議。lAppleTalk：蘋果公司的Macintosh計算機使用的網(wǎng)絡(luò)協(xié)議。如果整個網(wǎng)絡(luò)只有一個廣播域，那么一旦發(fā)出廣播信息，就會傳遍整個網(wǎng)絡(luò)，并且對網(wǎng)絡(luò)中的主機帶來額外的負擔(dān)。因此，在設(shè)計LAN時，需要注意如何才能有效地分割廣播域。廣播域的分割與VLAN的必要性分割廣播域時，一般都必須使用到路由器。使用路由器后，可以以路由器上的網(wǎng)絡(luò)接口（LANInterface）為單位分割廣播域。但是，通常情況下路由器上不會有太多的網(wǎng)絡(luò)接口，其數(shù)目多在1?4個左右。隨著寬帶連接的普及，寬帶路由器（或者叫IP共享器）變得較為常見，但是需要注意的是，它們上面雖然帶著多個（一般為4個左右）連接LAN一側(cè)的網(wǎng)絡(luò)接口，但那實際上是路由器內(nèi)置的交換機，并不能分割廣播域。況且使用路由器分割廣播域的話，所能分割的個數(shù)完全取決于路由器的網(wǎng)絡(luò)接口個數(shù)，使得用戶無法自由地根據(jù)實際需要分割廣播域。與路由器相比，二層交換機一般帶有多個網(wǎng)絡(luò)接口。因此如果能使用它分割廣播域，那么無疑運用上的靈活性會大大提高。用于在二層交換機上分割廣播域的技術(shù)，就是VLAN。通過利用VLAN，我們可以自由設(shè)計廣播域的構(gòu)成，提高網(wǎng)絡(luò)設(shè)計的自由度。VLAN學(xué)習(xí)筆記大全(2):VLAN的訪問鏈接交換機的端口交換機的端口，可以分為以下兩種：l訪問鏈接(AccessLink)l匯聚鏈接(TrunkLink)接下來就讓我們來依次學(xué)習(xí)這兩種不同端口的特征。這一講，首先學(xué)習(xí)“訪問鏈接”。訪問鏈接訪問鏈接，指的是“只屬于一個VLAN，且僅向該VLAN轉(zhuǎn)發(fā)數(shù)據(jù)幀”的端口。在大多數(shù)情況下，訪問鏈接所連的是客戶機。通常設(shè)置VLAN的順序是：l生成VLANl設(shè)定訪問鏈接(決定各端口屬于哪一個VLAN)設(shè)定訪問鏈接的手法，可以是事先固定的、也可以是根據(jù)所連的計算機而動態(tài)改變設(shè)定。前者被稱為“靜態(tài)VLAN”、后者自然就是“動態(tài)VLAN”了。靜態(tài)VLAN靜態(tài)VLAN又被稱為基于端口的VLAN(PortBasedVLAN)0顧名思義，就是明確指定各端口屬于哪個VLAN的設(shè)定方法。由于需要一個個端口地指定，因此當(dāng)網(wǎng)絡(luò)中的計算機數(shù)目超過一定數(shù)字(比如數(shù)百臺)后，設(shè)定操作就會變得煩雜無比。并且，客戶機每次變更所連端口，都必須同時更改該端口所屬VLAN的設(shè)定——這顯然不適合那些需要頻繁改變拓補結(jié)構(gòu)的網(wǎng)絡(luò)。動態(tài)VLAN另一方面，動態(tài)VLAN則是根據(jù)每個端口所連的計算機，隨時改變端口所屬的VLAN。這就可以避免上述的更改設(shè)定之類的操作。動態(tài)VLAN可以大致分為3類：l基于MAC地址的VLAN(MACBasedVLAN)l基于子網(wǎng)的VLAN(SubnetBasedVLAN)l基于用戶的VLAN(UserBasedVLAN)其間的差異，主要在于根據(jù)OSI參照模型哪一層的信息決定端口所屬的VLAN。基于MAC地址的VLAN，就是通過查詢并記錄端口所連計算機上網(wǎng)卡的MAC地址來決定端口的所屬。假定有一個MAC地址“A”被交換機設(shè)定為屬于VLAN“10”，那么不論MAC地址為“A”的這臺計算機連在交換機哪個端口，該端口都會被劃分到VLAN10中去。計算機連在端口1時，端口1屬于VLAN10；而計算機連在端口2時，則是端口2屬于VLAN10。

MACAMAt:BMAC:CMAt:D即使計算機改變了所連接的端口，交換機仍會查出它的MAC地址，并正確指定端口所屬的VLANOMACAMAt:BMAC:CMAt:DMAC:CMACBMAt:AMAt:D由于是基于MAC地址決定所屬VLAN的，因此可以理解為這是一種在OSI的第二層設(shè)定訪問鏈接的辦法。MAC:CMACBMAt:AMAt:D但是，基于MAC地址的VLAN，在設(shè)定時必須調(diào)查所連接的所有計算機的MAC地址并加以登錄。而且如果計算機交換了網(wǎng)卡，還是需要更改設(shè)定。基于子網(wǎng)的VLAN，則是通過所連計算機的IP地址，來決定端口所屬VLAN的。不像基于MAC地址的VLAN，即使計算機因為交換了網(wǎng)卡或是其他原因?qū)е翸AC地址改變，只要它的IP地址不變，就仍可以加入原先設(shè)定的VLAN。

iPtttt ipfttt152.168.1.1192.168.1.2192.168.2.1152.168.2.2152.168.2.1192.168.1.2192.168.1.1152.168.2.2即使計算機改變了所連接的端口，交換機仍會通過IP地址正確指定端口所屬的VLANoiPtttt ipfttt152.168.1.1192.168.1.2192.168.2.1152.168.2.2152.168.2.1192.168.1.2192.168.1.1152.168.2.2因此，與基于MAC地址的VLAN相比，能夠更為簡便地改變網(wǎng)絡(luò)結(jié)構(gòu)°IP地址是OSI參照模型中第三層的信息，所以我們可以理解為基于子網(wǎng)的VLAN是一種在OSI的第三層設(shè)定訪問鏈接的方法?；谟脩舻腣LAN，則是根據(jù)交換機各端口所連的計算機上當(dāng)前登錄的用戶，來決定該端口屬于哪個VLAN。這里的用戶識別信息，一般是計算機操作系統(tǒng)登錄的用戶，比如可以是Windows域中使用的用戶名。這些用戶名信息，屬于OSI第四層以上的信息。總的來說，決定端口所屬VLAN時利用的信息在OSI中的層面越高，就越適于構(gòu)建靈活多變的網(wǎng)絡(luò)。訪問鏈接的總結(jié)綜上所述，設(shè)定訪問鏈接的手法有靜態(tài)VLAN和動態(tài)VLAN兩種，其中動態(tài)VLAN又可以繼續(xù)細分成幾個小類。其中基于子網(wǎng)的VLAN和基于用戶的VLAN有可能是網(wǎng)絡(luò)設(shè)備廠商使用獨有的協(xié)議實現(xiàn)的，不同廠商的設(shè)備之間互聯(lián)有可能出現(xiàn)兼容性問題；因此在選擇交換機時，一定要注意事先確認(rèn)。VLAN學(xué)習(xí)筆記大全(3):實現(xiàn)VLAN的機制在理解了“為什么需要VLAN”之后，接下來讓我們來了解一下交換機是如何使用VLAN分割廣播域的。首先，在一臺未設(shè)置任何VLAN的二層交換機上，任何廣播幀都會被轉(zhuǎn)發(fā)給除接收端口外的所有其他端口(Flooding)。例如，計算機A發(fā)送廣播信息后，會被轉(zhuǎn)發(fā)給端口2、3、4。交換機廣播幀交換機收到廣播幀后，轉(zhuǎn)發(fā)到除接收端口外的其他所有端口。這時，如果在交換機上生成紅、藍兩個VLAN；同時設(shè)置端口1、2屬于紅色VLAN、端口3、4屬于藍色VLAN。再從A發(fā)出廣播幀的話，交換機就只會把它轉(zhuǎn)發(fā)給同屬于一個VLAN的其他端口——也就是同屬于紅色VLAN的端口2，不會再轉(zhuǎn)發(fā)給屬于藍色VLAN的端口。同樣，C發(fā)送廣播信息時，只會被轉(zhuǎn)發(fā)給其他屬于藍色VLAN的端口，不會被轉(zhuǎn)發(fā)給屬于紅色VLAN的端口。就這樣，VLAN通過限制廣播幀轉(zhuǎn)發(fā)的范圍分割了廣播域。上圖中為了便于說明，以紅、藍兩色識別不同的VLAN，在實際使用中則是用“VLANID”來區(qū)分的。直觀地描述VLAN如果要更為直觀地描述VLAN的話，我們可以把它理解為將一臺交換機在邏輯上分割成了數(shù)臺交換機。在一臺交換機上生成紅、藍兩個VLAN，也可以看作是將一臺交換機換做一紅一藍兩臺虛擬的交換機。

在紅、藍兩個VLAN之外生成新的VLAN時，可以想象成又添加了新的交換機。但是，VLAN生成的邏輯上的交換機是互不相通的。因此，在交換機上設(shè)置VLAN后，如果未做其他處理，VLAN間是無法通信的。明明接在同一臺交換機上，但卻偏偏無法通信一一這個事實也許讓人難以接受。但它既是VLAN方便易用的特征，