【正文】 員對網(wǎng)絡(luò)上工作站可以按業(yè)務(wù)功能，而不必按地理位置分組。 ? 控制網(wǎng)絡(luò)上的廣播風(fēng)暴 隨著網(wǎng)絡(luò)向交換結(jié)構(gòu)轉(zhuǎn)變，網(wǎng)絡(luò)內(nèi)部路由器（其作用之一是阻隔廣播）的使用越來越少。這樣，廣播風(fēng)暴將發(fā)送到每一個交換端口，這就是常說的整個網(wǎng)絡(luò)是一個廣播域。使用交換網(wǎng)絡(luò)的優(yōu)勢是可以提供低延時和高吞吐量，缺點(diǎn)是增加了整個交換網(wǎng)絡(luò)的廣播風(fēng)暴。使用 VLAN，可以將某個交換端口或用戶賦于某一個特定的 VLAN組，該 VLAN組可以在一個交換網(wǎng)中或跨接多個交換機(jī)，在一個 VLAN中的廣播風(fēng)暴不會送到 VLAN之外。同樣，相鄰的端口不會收到其他 VLAN產(chǎn)生的廣播風(fēng)暴。這樣，可以減少廣播流量，釋放帶寬給用戶應(yīng)用，減少廣播風(fēng)暴的產(chǎn)生。 85 為什么要使用 VLAN ? 增加網(wǎng)絡(luò)的安全性 人們在 LAN上經(jīng)常傳送一些保密的、關(guān)鍵性的數(shù)據(jù)。保密的數(shù)據(jù)應(yīng)提供訪問控制等安全手段。一個有效和容易實(shí)現(xiàn)的方法是將網(wǎng)絡(luò)分段成幾個不同的廣播組，網(wǎng)絡(luò)管理員限制了 VLAN中用戶的數(shù)量，禁止未經(jīng)允許而訪問 VLAN中的資源。交換端口可以基于應(yīng)用類型和訪問特權(quán)來進(jìn)行分組，被限制的應(yīng)用程序和資源一般置于安全性 VLAN中。 ? 實(shí)現(xiàn)網(wǎng)絡(luò)集中化管理控制 通過集中化的 VLAN管理程序，網(wǎng)絡(luò)管理員可以確定 VLAN組，分配特定用戶和交換端口給這些 VLAN組，設(shè)置安全性等級，限制廣播域的大小，通過冗余鏈路負(fù)載分擔(dān)網(wǎng)絡(luò)流量，跨越交換機(jī)配置 VLAN通信，監(jiān)控交通流量和 VLAN使用的網(wǎng)絡(luò)帶寬。這些能力有效地提高了網(wǎng)絡(luò)管理程序的可控性、靈活性和監(jiān)視功能，減少了管理的費(fèi)用。 86 ? VLAN的技術(shù)標(biāo)準(zhǔn)為 1999年 6月由 IEEE頒布的IEEE 。以太網(wǎng)交換機(jī)的 VLAN還須參照IEEE ，有些交換器則遵循 CGMP（ Cisco Group Management Protocol）專用標(biāo)準(zhǔn)。 ? 所有 VLAN的成員通過使用 VLAN標(biāo)記（ VLAN Tag）進(jìn)行指定和區(qū)分，在邏輯上組合到同一個廣播域中，與其物理位置無關(guān)。 VLAN通過交換機(jī)上的軟件實(shí)現(xiàn)。 VLAN成員間無需通過路由技術(shù)進(jìn)行通信。 VLAN的技術(shù)標(biāo)準(zhǔn) 87 ? 虛擬局域網(wǎng)協(xié)議允許在以太網(wǎng)的幀格式中插入一個 4 字節(jié)的標(biāo)識符 ， 稱為 VLAN 標(biāo)記 (tag)， 用來指明發(fā)送該幀的工作站屬于哪一個虛擬局域網(wǎng) 。 虛擬局域網(wǎng)使用的以太網(wǎng)幀格式 MAC 幀 字節(jié) 6 6 2 46 ~ 1500 4 MAC 幀 目地地址 源地址 長度 /類型 數(shù) 據(jù) FCS 長度 /類型 = 標(biāo)記類型 標(biāo)記控制信息 1 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 VID 2 字節(jié) 2 字節(jié) 插入 4 字節(jié)的 VLAN 標(biāo)記 4 用戶優(yōu)先級 CFI 88 VLAN的類型 ? VLAN的劃分方式通常有如下幾種：最早的 VLAN劃分是基于端口（ Port Based）的，即通過端口來劃分 VLAN；現(xiàn)在的交換器還支持通過 MAC地址（ MAC Based）和 IP地址（ Protocol Based）來劃分VLAN；一些較新的交換器，還可以通過策略服務(wù)（ Policy Servie）來管理 VLAN，進(jìn)一步簡化了 VLAN的劃分和管理。 89 ① 基于端口（ portbased）的 VLAN ? 特點(diǎn)： VLAN成員是通過交換機(jī)的端口組進(jìn)行劃分。 ? 這種基于端口的方案仍是當(dāng)前最常用的定義 VLAN成員的方法。 ? 優(yōu)點(diǎn)： ? 所有的廠商都支持，而且設(shè)置相當(dāng)方便 ? 基于管理員（由管理員人工設(shè)置） ? 安全性很好（只有網(wǎng)絡(luò)管理員能修改設(shè)置） ? 缺點(diǎn)： 每個端口只能支持一個 VLAN，不能支持多個VLAN使用同一個物理網(wǎng)段（即交換機(jī)端口）的要求。不支持按業(yè)務(wù)分組。 ? 應(yīng)用：主要用于為了提高網(wǎng)絡(luò)的運(yùn)行效率的網(wǎng)絡(luò) ——用于防止擁塞（ flood） ——而非為了滿足工作需要。它是VLAN中最簡單的一種，卻也能提供最大程度的控制和安全性。 VLAN 2 VLAN 1 基于交換機(jī)的端口 (一個端口只屬于一個 VLAN) 基于交換機(jī)的端口 Port VLAN設(shè)置在連接主機(jī)的端口 91 ② 基于 MAC地址（ MACbased）的 VLAN ? 特點(diǎn)：根據(jù) MAC地址劃分 VLAN。 ? 優(yōu)點(diǎn)： ? 工作站移動到網(wǎng)絡(luò)的其他物理位置時其 VLAN成員的身份不變（特別適用于各種便攜式電腦）。 —— ―基于用戶” ? 可實(shí)現(xiàn)按業(yè)務(wù)分組 ? 可以形成“交迭的” VLAN——即一個站點(diǎn)可以同時屬于多個 VLAN。便于實(shí)現(xiàn)若干個業(yè)務(wù)群間的跨接通信（如銷售主管和經(jīng)理們需要同時在銷售和市場兩個 VLAN中）。 ? 缺點(diǎn)： 不適用于工作于第三層網(wǎng)絡(luò)的那些真正的遠(yuǎn)程用戶（許多便攜式電腦用戶屬于這種情況），因為 MAC地址不能跨越網(wǎng)絡(luò)層。 VLAN設(shè)置時必須由人工完成，相當(dāng)麻煩。 ? 應(yīng)用：需要按業(yè)務(wù)分組的企業(yè)和主機(jī)位置需要經(jīng)常移動網(wǎng)絡(luò)。 92 ③ 基于協(xié)議（ protocolbased）的 VLAN ? 特點(diǎn)：根據(jù)協(xié)議來劃分 VLAN，如將所有基于 MAC地址的用戶劃分到一個 VLAN中，其他的可以通過 IP地址或 IPX等協(xié)議進(jìn)行劃分。 ? 優(yōu)點(diǎn)： ? 用戶可以同時處于多個 VLAN中。 ? “基于管理員” ——如果他所管理一個大型網(wǎng)絡(luò)運(yùn)行有不同的協(xié)議，而不同的用戶組則已經(jīng)是不同通信類型的成員了。這種情況下，它可以用來分隔不同的通信類型。 ? 缺點(diǎn)：其他站點(diǎn)可以隨意加入某個 VLAN，只要配備相應(yīng)的協(xié)議。 ? 應(yīng)用：只是用來提高網(wǎng)絡(luò)的效率。最大的優(yōu)點(diǎn)則是允許IPX網(wǎng)絡(luò)加入 ——以簡單的方式將 IPX產(chǎn)生的 SAP（服務(wù)廣告協(xié)議）廣播置于有效的控制中。 93 ④ 基于 IP（ IPbased）的 VLAN ? 特點(diǎn)：使用網(wǎng)絡(luò)（如 IP子網(wǎng)）地址確定 VLAN成員資格。 ? 優(yōu)點(diǎn)： ? 可實(shí)現(xiàn)通過協(xié)議劃分 VLAN ? 用戶可以物理移動其工作站而不必重新設(shè)置每個工作站的網(wǎng)絡(luò)地址（適用于純 TCP/IP網(wǎng)絡(luò)） ? 可以不需要使用幀標(biāo)識（ tagging）在交換機(jī)間的 VLAN進(jìn)行通信，降低了傳輸開銷。 ? 網(wǎng)絡(luò)管理員可以在 VLAN管理軟件中通過簡單的拖放式操作規(guī)定哪個子網(wǎng)在哪個 VLAN中，并將所有的用戶與其子網(wǎng)一起分配。 ? 新用戶加入可以由 VLAN自動調(diào)整（因為交換機(jī)會發(fā)現(xiàn)它們位于哪個子網(wǎng)） ? 缺點(diǎn)：需要解決 IP地址盜用問題 ? 應(yīng)用：用于 TCP/IP協(xié)議特別有效，但對那些無需在桌面人工設(shè)置的協(xié)議（如 IPX、 DEC、或 AppleTalk協(xié)議）效果就差些。 94 ⑤ 基于策略（ policybased）的 VLAN ? 所謂“策略實(shí)際上就是各種可能行為的控制準(zhǔn)則。它們按 ifthen 結(jié)構(gòu)工作，可以對網(wǎng)絡(luò)中的不同對象（用戶、管理員、應(yīng)用軟件及硬件的下部構(gòu)造）的行為進(jìn)行禁止、許可或強(qiáng)制。策略管理迄今為止一直被用于某些類型的管理軟件上：故障、性能、安全、配置及帳戶。但也開始應(yīng)用于其他類型的軟件。 ? 基于策略是最強(qiáng)大的 VLAN方案。它使網(wǎng)絡(luò)管理員可以使用任何 VLAN策略的組合來建立適合自己需要的 VLAN。一旦一個策略被下載到一臺交換機(jī)中，它在整個網(wǎng)絡(luò)中就得到全面應(yīng)用，有關(guān)設(shè)備就將被加入到各 VLAN中。 ? 基于策略的 VLAN可以使用各種劃分方法，包括上述所列的各種 VLAN類型： MAC源地址， IP地址，及協(xié)議字段。也可以將不同的策略結(jié)合起來，形成一個策略，以滿足網(wǎng)絡(luò)管理員的特殊要求。 ? 但使用這種 VLAN技術(shù)的設(shè)備和控制軟件相當(dāng)復(fù)雜，目前只有極少網(wǎng)絡(luò)使用。 95 VLAN間通信的方法 VLAN10 VLAN20 VLAN30 96 使用路由器進(jìn)行 VLAN間路由 VLAN10 VLAN30 VLAN20 多條鏈路連接多個 VLAN 97 使用路由器進(jìn)行 VLAN間路由 VLAN10 VLAN30 VLAN20 Interface FA 0/1 Subinterface 0/ Subinterface 0/ Subinterface 0/ 一條鏈路連接多個 VLAN 98 使用路由器進(jìn)行 VLAN間路由 Switch C Switch A Switch B VLAN41 Network VLAN41 Network VLAN42 Network 通過傳統(tǒng)路由器來實(shí)現(xiàn)各交換機(jī)的 VLAN 間路由 99 使用三層交換機(jī)進(jìn)行 VLAN間路由 三層交換機(jī)在功能上實(shí)現(xiàn)了 VLAN的劃分、VLAN內(nèi)部的二層交換和 VLAN間路由的功能。 VLAN41 Network VLAN42 Network VLAN41 Network 100 VLAN的建立 ? 步驟 1: configure terminal 進(jìn)入全局配置模式 ? 步驟 2: vlan vlanid 輸入一個 VLAN ID。如果輸入的是一個新的 VLAN ID，則交換機(jī)會創(chuàng)建一個 VLAN，如果輸入的是已經(jīng)存在的 VLAN ID，則修改相應(yīng)的 VLAN。 ? 步驟 3: name vlanname （可選）為 VLAN 取