【文章內(nèi)容簡(jiǎn)介】 關(guān) IP 地理位置 網(wǎng)段 IP 網(wǎng)關(guān) IP 行政樓 (12樓 ) 綜合樓 (34樓 ) 物理系樓 (12樓 ) 外語(yǔ)系樓 (34樓 ) 電子系樓 圖書館 培訓(xùn)中心 教學(xué)樓 1 教學(xué)樓 2 教學(xué)樓 3 學(xué)生公寓 1 (12樓 ) 學(xué)生公寓 1 (34樓 ) VLAN設(shè)計(jì) VLAN概述 20 VLAN（ Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè) VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。 默認(rèn)時(shí)，交換機(jī)分隔沖突域；路由器分隔廣播域。第 2層交換式網(wǎng)絡(luò)的最大好處是，它為插入到交換機(jī)每個(gè)端口的每臺(tái)設(shè)備創(chuàng)建了各自的沖突域。但每一個(gè)新的改進(jìn)通常都會(huì)引起新的問 題 —— 用戶和設(shè)備的數(shù)量越大，每臺(tái)交換機(jī)必須處理的廣播和數(shù)據(jù)包就越多。 安全性也是一個(gè)問題，因?yàn)樵诘湫偷牡?2層交換式互聯(lián)網(wǎng)絡(luò)的內(nèi)部，默認(rèn)時(shí)所有用戶都可以看見所有的設(shè)備。你不能讓設(shè)備停止廣播，也不能讓用戶不響應(yīng)廣播。連接到物理網(wǎng)絡(luò)的任何人都可以訪問位于物理 LAN上的網(wǎng)絡(luò)資源，用戶只需將其工作站插入到現(xiàn)有的集線器中，就可以加入某個(gè)工作組。安全性選項(xiàng)只能限于在服務(wù)器和其他設(shè)備上設(shè)置口令。 通過(guò)創(chuàng)建虛擬局域網(wǎng)（ VLAN）， 就可以在一個(gè)純交換式的互聯(lián)網(wǎng)絡(luò)中，分隔廣播域。 VLAN是兩個(gè)部分的邏輯組合：一是網(wǎng)絡(luò)用戶；二 是在管理上連接到交換機(jī)所定義端口的資源。在虛擬創(chuàng)建局域網(wǎng)時(shí)，可以將交換機(jī)上的不同端口分派到不同的子網(wǎng)中，這樣就可以在第二層交換式互聯(lián)網(wǎng)絡(luò)中創(chuàng)建一些小的廣播域?？梢韵髮?duì)待單獨(dú)的子網(wǎng)和廣播域一樣來(lái)對(duì)待 VLAN，這意味著網(wǎng)絡(luò)上的廣播域只在同一個(gè) VLAN內(nèi)部的邏輯組的端口之間進(jìn)行轉(zhuǎn)發(fā)。 對(duì)于交換式以太網(wǎng)，如果對(duì)某些用戶重新進(jìn)行網(wǎng)段分配，需要網(wǎng)絡(luò) 21 管理員對(duì)網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進(jìn)行調(diào)整，甚至需要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。而對(duì)于采用 VLAN技術(shù)的網(wǎng)絡(luò)來(lái)說(shuō)，一個(gè) VLAN可以根據(jù)部門職能、對(duì)象組或者應(yīng)用將 不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費(fèi)用。 VLAN 類型 根據(jù) VLAN 在交換機(jī)上的實(shí)現(xiàn)方式， VLAN 分為靜態(tài) VLAN 和動(dòng)態(tài) VLAN兩類，動(dòng)態(tài) VLAN 又可以分為三種類型，如表 33 所示。 表 33 VLAN類型 類 型 說(shuō) 明 靜態(tài) VLAN 基于端口的 VLAN 將交換機(jī)各端口固定指派給各 VLAN 動(dòng)態(tài) VLAN 基于 MAC地址的 VLAN 根據(jù)各端口 所連計(jì)算機(jī)的 MAC地址設(shè)定各 VLAN 基于網(wǎng)絡(luò)地址的 VLAN 根據(jù)各端口所連計(jì)算機(jī)的 IP地址設(shè)定各 VLAN 基于用戶的 VLAN 根據(jù)各端口所連計(jì)算機(jī)登錄的用戶設(shè)定各 VLAN 1. 基于端口的靜態(tài) VLAN 這是最早的 VLAN 類型，也是最簡(jiǎn)單的 VLAN，大多數(shù) VLAN 協(xié)議的交換機(jī)都提供這種 VLAN 配置方法。這種劃分的方法是將局域網(wǎng)交換機(jī)中的幾個(gè)端口指定成一個(gè) VLAN。這種劃分方法的優(yōu)點(diǎn)是定義 VLAN 成員非常簡(jiǎn)單，只要將所有的端口都定義為相應(yīng)的 VLAN 組即可，適合于任何大小的網(wǎng)絡(luò)。它的缺點(diǎn)是 VLAN 的定義依賴 于交換機(jī)的物理端口，所以無(wú)法保證網(wǎng)絡(luò)站點(diǎn)在整個(gè)網(wǎng)絡(luò)中方便地移動(dòng)，另外，在多個(gè)跨交換機(jī)上設(shè)置 VLAN， 22 難以保證 VLAN 配置的一致性。 2. 基于 MAC地址的 VLAN劃分 MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的 MAC地址都是惟一且固化在網(wǎng)卡上的。 MAC地址由 12位 16進(jìn)制數(shù)表示，前 8位為廠商標(biāo)識(shí)，后 4位為網(wǎng)卡標(biāo)識(shí)。 它實(shí)現(xiàn)的機(jī)制就是一臺(tái)計(jì)算機(jī)上的網(wǎng)卡都對(duì)應(yīng)惟一的MAC地址， VLAN交換機(jī)跟蹤屬于某個(gè) VLAN的 MAC地址。這種方式的 VLAN允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置時(shí)，自動(dòng)保留其所屬VLAN的成員身份。 3. 基于 網(wǎng)絡(luò)地址 的 VLAN 基于網(wǎng)絡(luò)地址的 VLAN是按照交換機(jī)連接的網(wǎng)絡(luò)站點(diǎn)的網(wǎng)絡(luò)層地址劃分 VLAN,從而確定交換機(jī)端口所屬的廣播域。其主要缺點(diǎn)在于效率要比基于第二層的 VLAN差，因?yàn)椴榭慈龑?IP地址比查看 MAC地址所消耗的時(shí)間多。 基于 IP子網(wǎng)的每個(gè) VLAN都是和一段獨(dú)立的 IP網(wǎng)段相對(duì)應(yīng)的， IP的廣播組和 VLAN的廣播域也是一一對(duì)應(yīng)的。這種劃分方法有利于在 VLAN交換機(jī)內(nèi)部實(shí)現(xiàn)路由，也有利于將動(dòng)態(tài)主機(jī)配置（ DHCP）技術(shù)結(jié)合起來(lái)。用戶可以移動(dòng)工作站而不需要重新配置網(wǎng)絡(luò)地址，便于網(wǎng)絡(luò)管理。 4. 基于 用戶的 VLAN 按用戶定義，非用戶授權(quán)劃分 VLAN是為了適應(yīng)特別的 VLAN網(wǎng)絡(luò)，這種劃分方法是根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來(lái)定義和設(shè)計(jì) VLAN，而且可以讓非 VLAN群體用戶訪問 VLAN，但是需要提供用戶密碼，在得到 VLAN管理的認(rèn)證后才可以加入一個(gè) VLAN。 23 VLAN劃分 在校園網(wǎng)中，基于端口的 VLAN比較適合于臺(tái)式機(jī)等固定用戶，而對(duì)于筆記本電腦的移動(dòng)用戶，基于 IP子網(wǎng)的 VLAN則具備更好的應(yīng)用靈活性和簡(jiǎn)便性，無(wú)論用戶在校園網(wǎng)的哪個(gè)區(qū)域，核心路由交換機(jī)均可根據(jù)其IP地址確定其所屬的 VLAN和訪問 網(wǎng)絡(luò)資源的權(quán)限。 河南大學(xué) VLAN劃分如表 34所示。 表 34 河南大學(xué) VLAN劃分 VLAN ID VLAN名稱 網(wǎng)段 IP 描述 101 Xingjiaowu 行政樓教務(wù)處 102 Xingcaiwu 行政樓財(cái)務(wù)處 103 Xingbangong 行政樓辦公室 104 Xingrenshi 行政樓人事處 105 Zongbangong 綜合樓辦公室 106 Zonghouqin 綜合樓后勤處 107 Zongbaowei 綜合樓保衛(wèi)處 108 Zoingduomeiti 綜合樓多媒體教室 109 Wubangong 物理系樓辦公室 110 Wushiyan 物理系樓實(shí)驗(yàn)室 111 Wujiaoshi 物理系樓教室 112 Waibangong 外語(yǔ)系樓辦公室 113 Waiyuyin 外語(yǔ)系樓語(yǔ)音室 114 Waijiaoshi 外語(yǔ)系樓教室 115 Dianzibangong 電子系樓辦公室 116 Dianzishiyan 電子系樓實(shí)驗(yàn)室 117 Dianzijiaoshi 電子系樓教室 118 Tushujieyue 圖書館借閱室 119 Tushuyuelan 圖書館電子閱覽室 120 Tushuwangluo 圖書館網(wǎng)絡(luò)中心 24 121 Peixunbangong 培訓(xùn)中心辦公室 122 Peixunjifang1 培訓(xùn)中心機(jī)房 1 123 Peixunjifang2 培訓(xùn)中心機(jī)房 2 124 Peixunjifang3 培訓(xùn)中心機(jī)房 3 125 Jiao1shiyan1 教學(xué)樓 1實(shí)驗(yàn)室 1 126 Jiao1shiyan2 教學(xué)樓 1實(shí)驗(yàn)室 2 127 Jiao1shiyan3 教學(xué)樓 1實(shí)驗(yàn)室 3 128 Jiao1jiaoshi 教學(xué)樓 1教室 129 Jiao2shiyan1 教學(xué)樓 2實(shí)驗(yàn)室 1 130 Jiao2shiyan2 教學(xué)樓 2實(shí)驗(yàn)室 2 131 Jiao2shiyan3 教學(xué)樓 2實(shí)驗(yàn)室 3 132 Jiao2jiaoshi 教學(xué)樓 2教室 133 Jiao3shiyan1 教學(xué)樓 3實(shí)驗(yàn)室 1 134 Jiao3shiyan2 教學(xué)樓 3實(shí)驗(yàn)室 2 135 Jiao3jiaoshi 教學(xué)樓 3教室 136 Xue11ceng 學(xué)生公寓 1一層 137 Xue12ceng 學(xué)生公寓 1二層 138 Xue13ceng 學(xué)生公寓 1三層 139 Xue14ceng 學(xué)生公寓 1四層 140 Xue21ceng 學(xué)生公寓 2一層 141 Xue22ceng 學(xué)生公寓 2二層 142 Xue23ceng 學(xué)生公寓 2三層 143 Xue24ceng 學(xué)生公寓 2四層 144 Xue31ceng 學(xué)生公寓 3一層 145 Xue32ceng 學(xué)生公寓 3二層 146 Xue33ceng 學(xué)生公寓 3三層 147 Xue34ceng 學(xué)生公寓 3四層 148 Xiaoyiyuan1 校醫(yī)院 1 149 Xiaoyiyuan2 校醫(yī)院 2 150 tiyuguan 體育館 25 Vlan拓樸如圖 33所示： 校 醫(yī) 院體 育 館學(xué) 生 公 寓 2學(xué) 生 公 寓 3學(xué) 生 公 寓 1培 訓(xùn) 中 心綜 合 樓行 政 樓電 子 系 樓外 語(yǔ) 系 樓物 理 系 樓教 學(xué) 樓 3教 學(xué) 樓 2教 學(xué) 樓 1 C e r n e tC h i n a N E TW e b D N S F T PE m a i lS N M P 百 兆 鏈 路廣 域 網(wǎng) 鏈 路 數(shù) 據(jù) 庫(kù)核 心 交 換 機(jī)千 兆 鏈 路 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. .. .. . . . . . . . . . . .. .. .. .. . . . . . . . . . . . . . . . . .. .. .. . . . . . . . . . . . . . . . . . .V l a n 1 0 1V l a n 1 0 2V l a n 1 0 3V l a n 1 0 4V l a n 1 0 8V l a n 1 0 7V l a n 1 0 6V l a n 1 0 5V l a n 1 1 1V l a n 1 1 0V l a n 1 0 9V l a n 1 1 4V l a n 1 1 3V l a n 1 1 2V l a n 1 1 7V l a n 1 1 6V l a n 1 1 5V l a n 1 2 1 V l a n 1 2 2 V l a n 1 2 3V l a n 1 2 4V l a n 1 3 1V l a n 1 3 0V l a n 1 2 9V l a n 1 2 8V l a n 1 2 6V l a n 1 2 5V l a n 1 2 7V l a n 1 3 2V l a n 1 3 3 V l a n 1 3 5V l a n 1 3 4V l a n 1 3 9V l a n 1 3 8V l a n 1 3 7V l a n 1 3 6V l a n 1 4 3V l a n 1 4 2V l a n 1 4 1V l a n 1 4 0V l a n 1 4 7V l a n 1 4 6V l a n 1 4 5V l a n 1 4 4V l a n 1 5 0V l a n 1 4 9V l a n 1 4 8 圖 33 Vlan拓樸圖 VLAN之間通信 當(dāng) VLAN交換機(jī)從工作站接收到數(shù)據(jù)后，會(huì)對(duì)數(shù)據(jù)的部分內(nèi)容進(jìn)行檢查，并與一個(gè) VLAN數(shù)據(jù)庫(kù)中的內(nèi)容進(jìn)行比較后，確定數(shù)據(jù)去向，如果數(shù)據(jù) 26 要發(fā)往一個(gè) VLAN設(shè)備，一個(gè) VLAN標(biāo)識(shí)（ VLAN ID）就被加到這個(gè)數(shù)據(jù)上，根據(jù) VLAN標(biāo)識(shí)和目的地址， VLAN交換機(jī)就可以將該數(shù)據(jù)發(fā)到 VLAN上的適當(dāng)目的地，如果數(shù)據(jù)發(fā)往非 VLAN設(shè)備，則 VLAN交換機(jī)發(fā)送不帶 VLAN標(biāo)識(shí)的數(shù)據(jù)。 一個(gè) VLAN就是一個(gè)單獨(dú)的廣播域，而通常由路由器來(lái)連接兩個(gè)廣播域，廣播域之間來(lái)往的數(shù)據(jù)包都是由路由器中繼的。因此，不同的 VLAN之間的通信也需要路由器 提供中繼服務(wù)，這稱作“ VLAN間路由”。 VLAN間路由可以使用普通的路由器，也可以使用三層交換機(jī)。 三層交換機(jī)將交換功能和路由功能整合在 VLAN交換機(jī)中，在交換機(jī)內(nèi)部實(shí)現(xiàn)了路由，提高了網(wǎng)絡(luò)的整體性能。三層交換機(jī)在對(duì)第一個(gè)數(shù)據(jù)流進(jìn)行路由后，會(huì)產(chǎn)生一個(gè) MAC地址與 IP地址的映射表，當(dāng)