vlan原理及简单应用

1 VLAN概述

VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。

VLAN在交换机上的实现方法，可以大致划分为4类:

1、 基于端口划分的VLAN

这种划分VLAN的方法是根据以太网交换机的端口来划分，比如Quidway S3526的1~4端口为VLAN 10，5~17为VLAN 20，18~24为VLAN 30，当然，这些属于同一VLAN的端口可以不连续，如何配置，由管理员决定，如果有多个交换机，例如，可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最广泛的方法，IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。

这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。

2、基于MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停的配置。

3、基于网络层划分VLAN

这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协议，而是根据生成树算法进行桥交换，

这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。

这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。

4、根据IP组播划分VLAN

IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。

鉴于当前业界VLAN发展的趋势，考虑到各种VLAN划分方式的优缺点，为了最大程度上地满足用户在具体使用过程中需求，减轻用户在VLAN的具体使用和维护中的工作量，Quidway S系列交换机采用根据端口来划分VLAN的方法。

 

 

VLAN技术简介

因为VLAN技术与局域网技术息息相关，所以在介绍VLAN之前，我们首先来了解一下局域网的有关知识。

局域网（LAN）通常被定义为一个单独的广播域，主要使用Hub，网桥，或交换机等网络设备连接同一网段内的所有节点。同处一个局域网之内的网络节点之间可以不通过网络路由器直接进行通信；而处于不同局域网段内的设备之间的通信则必须经过网络路由器。

图一所示为使用路由器构建的典型的局域网环境。

图一所示网络中，通过使用路由器划分出不同的局域网段。其中，位于圆形区域之内的部分就是一个个相互独立的局域网段。为了便于在本文中进行说明，我们为不同的网段进行了编号。需要注意的一点就是，每一个局域网所连接的路由器接口都属于该局域网广播域的一部分。

随着网络的不断扩展，接入设备逐渐增多，网络结构日趋复杂，必须使用更多的路由器才能将不同的用户划分到各自的广播域中，在不同的局域网之间提供网络互连。

这样做的一个缺陷就是随着网络中路由器数量的增多，网络时延逐渐加长，从而导致网络数据传输速度的下降。这主要是因为数据在从一处局域网传递到另一处局域网时，必须经过路由器的路由操作，路由器根据数据包中的相应信息确定数据包的目标地址，然后再选择合适的路径转发出去。

VLAN，又称虚拟局域网，是由位于不同物理局域网段的设备组成。虽然VLAN所连接的设备来自不同的网段，但是相互之间可以进行直接通信，好像处于同一网段中一样，由此得名虚拟局域网。相比较传统的局域网布局，VLAN技术更加灵活。为了创建虚拟网络，需要对已有的网络拓扑结构进行相应的调整。

还是连接相同的网络终端，通过如图所示的交换网络提供了同样的网络连接。虽然图二所示的网络比起图一所示网络在速度和网络时延方面都有了很大的改进和提高，但是同样存在一些不足。其中，最突出的一点就是现在所有的网络节点都处于同一个广播域内，大大增加了网络中所有设备之间的数据流量。随着网络的不断扩充，很有可能出现广播风暴，导致整个网络无法使用

 

 

 

 

VLAN技术入门

 

 

VLAN是英文Virtual Local Area Network的缩写，即虚拟局域网。一方面，VLAN建立在局域网交换机的基础之上；另一方面，VLAN是局域交换网的灵魂。这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。 VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。

VLAN与普通局域网从原理上讲没有什么不同，但从用户使用和网络管理的角度来看，VLAN与普通局域网最基本的差异体现在：VLAN并不局限于某一网络或物理范围，VLAN中的用户可以位于一个园区的任意位置，甚至位于不同的国家。

VLAN具有以下优点：

控制网络的广播风暴

采用VLAN技术，可将某个交换端口划到某个VLAN中，而一个VLAN的广播风暴不会影响其它VLAN的性能。

确保网络安全

共享式局域网之所以很难保证网络的安全性，是因为只要用户插入一个活动端口，就能访问网络。而VLAN能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此VLAN能确保网络的安全性。

简化网络管理

网络管理员能借助于VLAN技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络，其成员可能遍及全国或全世界，此时，网络管理员只需设置几条命令，就能在几分钟内建立该项目的VLAN网络，其成员使用VLAN网络，就像在本地使用局域网一样。 VLAN的分类主要有以下几种：

基于端口的VLAN

基于端口的VLAN是划分虚拟局域网最简单也是最有效的方法，这实际上是某些交换端口的集合，网络管理员只需要管理和配置交换端口，而不管交换端口连接什么设备。

基于MAC地址的VLAN

由于只有网卡才分配有MAC地址，因此按MAC地址来划分VLAN实际上是将某些工作站和服务器划属于某个VLAN。事实上，该VLAN是一些MAC地址的集合。当设备移动时，VLAN能够自动识别。网络管理需要管理和配置设备的MAC地址，显然当网络规模很大，设备很多时，会给管理带来难度。

基于第3层的VLAN

基于第3层的VLAN是采用在路由器中常用的方法：IP子网和IPX网络号等。其中，局域网交换机允许一个子网扩展到多个局域网交换端口，甚至允许一个端口对应于多个子网。

基于策略的VLAN

基于策略的VLAN是一种比较灵活有效的VLAN划分方法。该方法的核心是采用什么样的策略？目前，常用的策略有（与厂商设备的支持有关）：

按MAC地址

按IP地址

按以太网协议类型

按网络的应用等

 

 

 

 

 

 

如何在交换机上配置VLAN

 

 

我们知道，传统的局域网Ethernet 使用具有冲突检测的载波监听多路访问( CSMA / CD )方法。在CSMA / CD 网络中，节点可以在它们有数据需要发送的任何时候使用网络。在节点传输数据之前，它进行"监听"以了解网络是否很繁忙。如果不是，则节点开始传送数据。如果网络正在使用，则节点等待。如果两个节点进行监听，没有听到任何东西，而开始同时使用线路，则会出现冲突。在发送数据时，它如果使用广播地址，那么在此网段上的所有PC都将收到数据包，这样一来如果该网段PC众多，很容易引起广播风暴。而冲突和广播风暴是影响网络性能的重要因素。为解 决这一问题，引入了虚拟局域网（VLAN的概念。

　　虚拟网络是在整个网络中通过网络交换设备建立的虚拟工作组。虚拟网在逻辑上等于OSI模型的第二层的广播域，与具体的物理网及地理位置无关。虚拟工作组可以包含不同位置的部门和工作组，不必在物理上重新配置任何端口，真正实现了网络用户与它们的物理位置无关。虚拟网技术把传统的广播域按需要分割成各个独立的子广播域，将广播限制在虚拟工作组中，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。我们结合下面的图来看看讲下。图1所表示的是两层楼中的相同性质的部门划分到一个VLAN中，这样，会计的数据不会向市场的机器上广播，也不会和市场的机器发生数据冲突。所以VLAN有效的分割了冲突域和广播域。

　　我们可以在交换机的某个端口上定义VLAN ，所有连接到这个特定端口的终端都是虚拟网络的一部分，并且整个网络可以支持多个VLAN。VLAN通过建立网络防火墙使不必要的数据流量减至最少，隔离各个VLAN间的传输和可能出现的问题，使网络吞吐量大大增加，减少了网络延迟。在虚拟网络环境中，可以通过划分不同的虚拟网络来控制处于同一物理网段中的用户之间的通信。这样一来有效的实现了数据的保密工作，而且配置起来并不麻烦，网络管理员可以逻辑上重新配置网络，迅速、简单、有效地平衡负载流量，轻松自如地增加、删除和修改用户，而不必从物理上调整网络配置。既然VLAN有那么多的优点，我们为什么不了解它从而把VLAN技术应用到我们的现实网络管理中去呢。好的让我们通过实际的在Catalyst 1900交换机上来配置静态VLAN的例子来看看如何在交换机上配置VLAN。

图1 在Catalyst 1900 上的两个VLAN

　　设置好超级终端，连接上1900交换机后（可以参考《1900系列以太网交换机快速入门指南》或其他的CISCO参考资料），会出现如下的主配置界面：

-------------------------------------------------

1 user(s) now active on Management Console.

User Interface Menu

[M] Menus

[K] Command Line

[I] IP Configuration

Enter Selection:

　　我们简单介绍下，这儿显示了三个选项，[M] Menus 是主菜单，主要是交换机的初始配置和监控交换机的运行状况。[K] Command Line 是命令行，很象路由器里面用命令来配置和监控路由器一样，主要是通过命令来操作。[I] IP Configuration 是配置IP地址、子网掩码和默认网管的一个选项。这是第一次连上交换机显示的界面，如果你已经配置好了IP Configuration，那么下次登陆的时候将没有这个选项。因为用命令配置简洁明了，清晰易懂，所以我们通过 [K] Command Line 来实现VLAN的配置的。

设置好超级终端，连接上1900交换机后（可以参考《1900系列以太网交换机快速入门指南》或其他的CISCO参考资料），会出现如下的主配置界面：

-------------------------------------------------

1 user(s) now active on Management Console.

User Interface Menu

[M] Menus

[K] Command Line

[I] IP Configuration

Enter Selection:

　　我们简单介绍下，这儿显示了三个选项，[M] Menus 是主菜单，主要是交换机的初始配置和监控交换机的运行状况。[K] Command Line 是命令行，很象路由器里面用命令来配置和监控路由器一样，主要是通过命令来操作。[I] IP Configuration 是配置IP地址、子网掩码和默认网管的一个选项。这是第一次连上交换机显示的界面，如果你已经配置好了IP Configuration，那么下次登陆的时候将没有这个选项。因为用命令配置简洁明了，清晰易懂，所以我们通过 [K] Command Line 来实现VLAN的配置的。

我们选择 [K] Command Line ，进入命令行配置

Enter Selection:K 回车

CLI session with the switch is open.

To end the CLI session,enter [Exit ].

>

　　现在我们进入到了交换机的普通用户模式，就象路由器一样，这种模式只能查看现在的配置，不能更改配置，并且能够使用的命令很有限。我们输入enable，进入特权模式：

>enable

#config t

Enter configuration commands,one per line.End with CNTL/Z

(config)#

为了安全和方便起见，我们给这个交换机起个名字，并且设置登陆密码。

(config)#hostname 1900Switch

1900Switch(config)# enable password level 15 goodwork

1900Switch(config)#

注意：密码必须是4-8位的字符。交换机密码的设置和路由器稍微不同，交换机用 level 级别的大小来决定密码的权限。Level 1 是进入命令行界面的密码，也就是说，设置了 level 1 的密码后，你下次连上交换机，并输入 K 后，就会让你输入密码，这个密码就是 level 1 设置的密码。而 level 15 是你输入了enable命令后让你输入的特权模式密码。路由器里面是使用 enable password 和 enable screet做此区分的。

好拉，我们已经设置好了名字和密码这样就足够安全了，让我们设置VLAN。VLAN的设置分以下2步：

1． 设置VLAN名称

2． 应用到端口

　　 我们先设置VLAN的名称。使用 vlan vlan号 name vlan名称。 在特权配置模式下进行配置：

1900Switch (config)#vlan 2 name accounting

1900Switch (config)#vlan 3 name marketing

　　 我们新配置了2个VLAN，为什么VLAN号从2开始呢？这是因为默认情况下，所有的端口否放在VLAN 1上，所以要从2开始配置。1900系列的交换机最多可以配置1024个VLAN，但是，只能有64个同时工作，当然了，这是理论上的，我们应该根据自己网络的实际需要来规划VLAN的号码。配置好了VLAN名称后我们要进入每一个端口来设置VLAN。在交换机中，要进入某个端口比如说第4个端口，要用 interface Ethernet 0/4，好的，结合上面给出的图我们让端口2、3、4和5属于VLAN2 ，端口17---22属于VLAN3 。命令是 vlan-membership static/ dynamic VLAN号 。 静态的或者动态的两者必须选择一个，后面是刚才配置的VLAN号。好的，我们看结果：

1900Switch(config)#interface ethernet 0/2

1900Switch(config-if)#vlan-membership static 2

1900Switch(config-if)#int e0/3

1900Switch(config-if)#vlan-membership static 2

1900Switch(config-if)#int e0/4

1900Switch(config-if)#vlan-membership static 2

1900Switch(config-if)#int e0/5

1900Switch(config-if)#vlan-membership static 2

1900Switch(config-if)#int e0/17

1900Switch(config-if)#vlan-membership static 3

。。。。。。

1900Switch(config-if)#int e0/22

1900Switch(config-if)#vlan-membership static 3

1900Switch(config-if)#

　　 好的，我们已经把VLAN都定义到了交换机的端口上了。这儿，我们只是配置的静态的，关于动态的，我们在后面会有提及的。到现在为止，我们已经把交换机的VLAN配置好了，怎么样，没有你想象的那么复杂吧：）。为了验证我们的配置，我们在特权模式使用 show vlan命令。输出如下：

1900Switch(config)#show vlan

VLAN Name Status Ports

--------------------------------------

1 default Enabled 1,6-16,22-24,AUI,A,B

2 acconting Enabled 2-5

3 marketing Enabled 17-22

1002 fddi-default Suspended

1003 token-ring-defau Suspended

1004 fddinet-default Suspended

1005 trnet-default Suspended

　　这是一个24口的交换机，并且带有AUI和两个100兆端口（A、B），可以看出来，我们的设置已经正常工作了，什么，还要不要保存running configure？当然不用了，交换机是即时自动保存的，所以不用我们使用命令来保存设置了。当然了，你也可以使用 show vlan vlan号 的命令来查看某个VLAN，比如show vlan 2 , show vlan 3. 还可以使用show vlan-membership ，改命令主要是显示交换机上的每一个端口静态或动态的属于哪个VLAN。

　　以上是给交换机配置静态VLAN的过程，下面我们看看动态的VLAN。动态的V L A N 形成很简单，由端口自己决定它属于哪个V L A N 时，就形成了动态的V L A N 。不过，这并不意味着就一层不变了，它只是一个简单的映射，这个映射取决于网络管理员创建的数据库。分配给动态V L A N 的端口被激活后，交换机就缓存初始帧的源M A C 地址，随后，交换机便向一个称为VMPS （V L A N 管理策略服务器）的外部服务器发出请求，V M P S 中包含一个文本文件，文件中存有进行V L A N 映射的M A C 地址。交换机对这个文件进行下载，然后对文件中的M A C 地址进行校验。如果在文件列表中找到M A C 地址，交换机就将端口分配给列表中的V L A N 。如果列表中没有M A C 地址，交换机就将端口分配给默认的V L A N （假设已经定义默认了V L A N ）。如果在列表中没有M A C 地址，而且也没有定义默认的V L A N ，端口不会被激活。这是维护网络安全一种非常好的的方法。从表面上看，动态V L A N 的优势很大，但它也有致命的缺点，即创建数据库是一项非常艰苦而且非常繁琐的工作。如果网络上有数千个工作站，则有大量的输入工作要做。即使有人能胜任这项工作，也还会出现与动态的V L A N 有关的很多问题。另外，保持数据库为最新也是要随时进行的非常费时的工作。所以不经常用到它，这里我们就不做详细的讲解，可以参考相关的CISCO的文档资料。

　　这么样，没有你想象的那么复杂吧。我们已经把VLAN配置好了，那么VLAN的另一部分不容忽视的工作，就是前期的对网络的规划。就是说，哪些机器在一个VLAN中，各自的IP地址、子网掩码如何分配，以及VLAN之间互相通讯的问题。只有规划计划好了，才能够在配置和以后的使用维护过程中轻松省事。

 

 

 

公司内部网如何进行VLAN的划分

 

很多朋友问，公司内部网如何进行VLAN的划分呢？如何才能保证公司的网络正常高效地运转呢？在真正实施公司内部网的划分之前，我们还是先来了解一些相关的VLAN技术。

VLAN的定义

究竟什么是VLAN呢? VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。

既然VLAN隔离了广播风暴，同时也隔离了各个不同的VLAN之间的通讯，所以不同的VLAN之间的通讯是需要有路由来完成的。

VLAN的划分

1.根据端口来划分VLAN

许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。

第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。

以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。

2.根据MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。

3.根据网络层划分VLAN

这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。

这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。

这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。

4.根据IP组播划分VLAN

IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。

VLAN的标准

对VLAN的标准，我们只是介绍两种比较通用的标准，当然也有一些公司具有自己的标准，比如Cisco公司的ISL标准，虽然不是一种大众化的标准，但是由于Cisco Catalyst交换机的大量使用，ISL也成为一种不是标准的标准了。

· 802.10VLAN标准

在1995年，Cisco公司提倡使用IEEE802.10协议。在此之前，IEEE802.10曾经在全球范围内作为VLAN安全性的同一规范。Cisco公司试图采用优化后的802.10帧格式在网络上传输FramTagging模式中所必须的VLAN标签。然而，大多数802委员会的成员都反对推广802.10。因为，该协议是基于FrameTagging方式的。

· 802.1Q

在1996年3月，IEEE802.1Internetworking委员会结束了对VLAN初期标准的修订工作。新出台的标准进一步完善了VLAN的体系结构，统一了Fram-eTagging方式中不同厂商的标签格式，并制定了VLAN标准在未来一段时间内的发展方向，形成的802.1Q的标准在业界获得了广泛的推广。它成为VLAN史上的一块里程碑。802.1Q的出现打破了虚拟网依赖于单一厂商的僵局，从一个侧面推动了VLAN的迅速发展。另外，来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。

公司内部进行VLAN的划分实例

对于每个公司而言都有自己不同的需求，下面我们给出一个典型的公司的VLAN的实例，这样也可以成为我们以后为公司划分VLAN的依据。

某公司现在有工程部、销售部、财务部。VLAN的划分：工程部VLAN10，销售部VLAN20，财务部VLAN30，并且各部门还可以相互通讯。现有设备如下:Cisco 3640路由器，Cisco Catalyst 2924交换机一台，二级交换机若干台。

交换机配置文件中的部分代码如下：

......

!

interface vlan10

ip address 192.168.0.1

!

interface vlan20

ip address 192.168.1.1

!

interface vlan30

ip address 192.168.2.1

!

......

路由器配置文件中的部分代码如下：

......

interface FastEthernet 1/0.1

encapsulation isl 10

ip address 192.168.0.2

!

interface FastEthernet 1/0.2

encapsulation isl 20

ip address 192.168.1.2

!

interface FastEthernet 1/0.3

encapsulation isl 30

ip address 192.168.2.2

!

......

!

router rip

network 192.168.0.0

!

......

Catalyst5500交换机 VLAN设置

 

 

例一

设备选用Catalyst5500交换机1台，安装WS-X5530-E3管理引擎，多块WS-X5225R及WS-X5302路由交换模块,WS-X5302被直接插入交换机，通过二个通道与系统背板上的VLAN 相连，从用户角度看认为它是1个1接口的模块，此接口支持ISL。在交换机内划有3个虚拟网，分别名为default、qbw、rgw，通过WS-X5302实现虚拟网间路由。

以下加重下横线部分，如set system name 5500C为需设置的命令。

设置如下：

Catalyst 5500配置：

begin

set password $1$FMFQ$HfZR5DUszVHIRhrz4h6V70

set enablepass $1$FMFQ$HfZR5DUszVHIRhrz4h6V70

set prompt Console>

set length 24 default

set logout 20

set banner motd ^C^C

!

#system

set system baud 9600

set system modem disable

set system name 5500C

set system location

set system contact

!

#ip

set interface sc0 1 10.230.4.240 255.255.255.0 10.230.4.255

set interface sc0 up

set interface sl0 0.0.0.0 0.0.0.0

set interface sl0 up

set arp agingtime 1200

set ip redirect enable

set ip unreachable enable

set ip fragmentation enable

set ip route 0.0.0.0 10.230.4.15 1

set ip alias default 0.0.0.0

!

#Command alias

!

#vtp

set vtp domain hne

set vtp mode server

set vtp v2 disable

set vtp pruning disable

set vtp pruneeligible 2-1000

clear vtp pruneeligible 1001-1005

set vlan 1 name default type ethernet mtu 1500 said 100001 state active

set vlan 777 name rgw type ethernet mtu 1500 said 100777 state active

set vlan 888 name qbw type ethernet mtu 1500 said 100888 state active

set vlan 1002 name fddi-default type fddi mtu 1500 said 101002 state active

set vlan 1004 name fddinet-default type fddinet mtu 1500 said 101004 state active bridge 0x0 stp ieee

set vlan 1005 name trnet-default type trbrf mtu 1500 said 101005 state active bridge 0x0 stp ibm

set vlan 1003 name token-ring-default type trcrf mtu 1500 said 101003 state active parent 0 ring 0x0 mode srb aremaxhop 7 stemaxhop 7

!

#set boot command

set boot config-register 0x102

set boot system flash bootflash:cat5000-sup3.4-3-1a.bin

!

#module 1 : 2-port 1000BaseLX Supervisor

set module name 1

set vlan 1 1/1-2

set port enable 1/1-2

!

#module 2 : empty

!

#module 3 : 24-port 10/100BaseTX Ethernet

set module name 3

set module enable 3

set vlan 1 3/1-22

set vlan 777 3/23

set vlan 888 3/24

set trunk 3/1 on isl 1-1005

#module 4 empty

!

#module 5 empty

!

#module 6 : 1-port Route Switch

set module name 6

set port level 6/1 normal

set port trap 6/1 disable

set port name 6/1

set cdp enable 6/1

set cdp interval 6/1 60

set trunk 6/1 on isl 1-1005

!

#module 7 : 24-port 10/100BaseTX Ethernet

set module name 7

set module enable 7

set vlan 1 7/1-22

set vlan 888 7/23-24

set trunk 7/1 on isl 1-1005

set trunk 7/2 on isl 1-1005

!

#module 8 empty

!

#module 9 empty

!

#module 10 : 12-port 100BaseFX MM Ethernet

set module name 10

set module enable 10

set vlan 1 10/1-12

set port channel 10/1-4 off

set port channel 10/5-8 off

set port channel 10/9-12 off

set port channel 10/1-2 on

set port channel 10/3-4 on

set port channel 10/5-6 on

set port channel 10/7-8 on

set port channel 10/9-10 on

set port channel 10/11-12 on

#module 11 empty

!

#module 12 empty

!

#module 13 empty

!

#switch port analyzer

!set span 1 1/1 both inpkts disable

set span disable

!

#cam

set cam agingtime 1-2,777,888,1003,1005 300

end

5500C> (enable)

WS-X5302路由模块设置：

Router#wri t

Building configuration...

Current configuration:

!

version 11.2

no service password-encryption

no service udp-small-servers

no service tcp-small-servers