【8】虚拟局域网的配置和应用

1. VLAN是什么？
2. VLAN有什么作用？
3. VLAN的优点
4. VLAN的划分
5. VLAN的配置操作
6. 一些例子
7. 思考与讨论

VLAN是什么？

        VLAN虚拟局域网是一种将局域网内的设备通过逻辑地划分成为一个个网段来进行管理的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准。

VLAN有什么作用？

        VLAN扩大了交换机的应用和管理功能。VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时候就需要增加路由设备——要实现路由功能，既可采用路由器，也可以采用三层交换机来完成。

        VLAN的最大特点是不受物理位置的限制，可以根据用户的需要进行灵活的划分。基于端口的VLAN划分方法是较为常用的。

VLAN的优点

分割广播域 

　　一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。

提高网络整体安全性

　　通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。

网络管理简单、直观

        对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。

        而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。

        利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。

VLAN的划分

基于端口的VLAN划分

　　这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。

基于MAC地址的VLAN划分 

        MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。

基于路由的VLAN划分 

　　路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。

        就目前来说，对于VLAN的划分主要采取上述第1、3种方式，第2种方式为辅助性的方案。

        端口VLAN根据交换机的端口来定义VLAN用户，即：先从逻辑上把局域网交换机的端口划分成VLAN，然后根据用户的IP地址在VLAN中划分子网。

        端口VLAN的划分方法分为单交换机端口VLAN划分和多交换机端口VLAN划分；前者支持在一台交换机上划分多个VLAN、再将不同的端口指定到不同的VLAN中进行管理；后者可以使一个VLAN跨越多个交换机并且同一台交换机上的不同端口可以属于不同的VLAN。

VLAN的配置操作

配置端口VLAN 时要考虑两个问题：

        一是VLAN ID，每一个VLAN都需要一个唯一的VLAN号：VLAN ID。不同类型的交换机提供的VLAN号范围可能不同，但一般都支持1～98这一范围。

        二是VLAN所包含的成员端口，设置时需要指定该端口的设备号和端口号；设备号是指成员端口所在的交换机号、即该交换机在堆叠单元中的编号、一般从0开始；端口号是指该端口在所属设备中的编号，一般在交换机的面板上都有明显标识。例如：一台快速以太网交换机，设备号为0、端口号为5，一般写成Fastethernet 0/5,也可以简写成f 0/5。

        （1）查看交换机的VLAN配置

        查看交换机的VLAN配置可以使用show vlan命令。交换机返回的信息显示了当前交换机配置的VLAN个数、VLAN编号、VLAN名字、VLAN状态以及每个VLAN所包含的端口号。

Switch_A #         (进入特权模式)

Switch_A # show vlan

        （2）添加VLAN

        如果要添加一个编号为10、名字为test 10虚拟网络，则添加步骤如下，

Switch_A # configure terminal   

Switch_A(config) #                  （进入全局配置模式）

Switch_A(config) # VLAN 10          （添加VLAN 10）

Switch_A(config-vlan) #              （自动进入VLAN 10的配置模式）

Switch_A(config-vlan) # name test 10  （给VLAN 10命名为test 10）

Switch_A(config-vlan) # exit           （退出VLAN 10的配置模式）

        添加VLAN之后，可以使用“show vlan”再次查看交换机的VLAN配置，确认新的VLAN已经添加成功。

        （3）为VLAN分配端口

        交换机将某一端口（例如端口1）分配给某一个VLAN的过程如下：

         ① 执行configure terminal命令进入全局配置模式；

         ② 利用interface Fa0/1通知交换机配置的端口号为1；

       ③ 使用switchport mode access和switchport access vlan10命令把交换机的端口1分配给VLAN 10；

          ④ 执行exit命令退出配置终端模式。

        按照同样的方式，可以将交换机的端口2分配给VLAN 10。之后，利用show vlan命令显示交换机的VLAN配置信息，端口1和端口2将出现在VLAN10中。

        （4）删除VLAN

        当一个VLAN的存在没有任何意义时，可以将它删除。删除VLAN的步骤如下：

        ① 利用configure terminal命令进入VLAN的全局配置模式；

        ② 执行no vlan 10命令将VLAN 10删除；

        ③ 使用exit命令退出。

        注意，在一个VLAN删除后，原来分配个这个VLAN的端口将处于非激活状态，它们不会自动分配给其他的VLAN。只有把它们再次分配给另一个VLAN，才能激活它们。

一些例子

（1）在交换机中添加两个VLAN

Switch（config）#

Switch（config）# VLAN 10

Switch（config-vlan）# name test10

Switch（config-vlan）# exit

Switch（config）# VLAN 20

Switch（config-vlan）# name test20

Switch（config-vlan）# exit

（2）将交换机端口分配给VLAN

VLAN 10被分配的端口0/1：

Switch（config）# interface fastethernet 0/1

Switch（config-if）#switchport mode access

Switch（config-if）# switchport  access vlan 10

（3）删除VLAN

在交换机的VLAN数据库中删除两个VLAN，并将端口重新分配给默认VLAN 1（激活端口）。使用的命令分别是：

删除VLAN的命令	Sw1 (config)#no vlan 10 Sw1 (config)#no vlan 20
将端口重新分配给默认VLAN的命令	在全局配置模式下，用命令： #Switch(config)# interface [FastEthernet0/1] Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 1 Switch(config-if)# end 在端口配置模式下，用命令： Sw1 (config)#int rang f0/1-15 Sw1(config-if-range)#switch access vlan 1

思考与讨论

思考与讨论题

（1）请调查校园网的VLAN划分情况，并请访问网络中心的技术人员如此划分VLAN的原因。

        校园网的VLAN划分通常根据网络架构和设备使用情况来设计，而网络中心技术人员如此划分VLAN主要是为了简化管理、提高网络安全性、提升网络性能及灵活性。在校园网中，VLAN的划分是依据不同区域的网络需求来进行的。例如，学生宿舍、教学楼、实验室等区域通常会被分别划分到不同的VLAN中。这种划分可以基于端口，即按照物理端口分组，也可以基于网络设备的MAC地址或其他网络特性进行。通过这样的配置，可以实现对校园网内不同流量的分隔和管理，同时IEEE 802.1Q标准为VLAN的实现提供了共通的Tag字段，使得不同网络设备可以通过数据特征进行VLAN识别。

（2）划分VLAN以后，属于不同VLAN的PC之间不能通信，请问可以采用什么方法使之能通信？

        通过路由器实现跨VLAN通信：可以通过在VLAN指定一个或多个路由器来实现不同VLAN之间的互联，然后利用路由器提供的转发服务进行信息转发。

（3）划分VLAN既可以按静态方式划分，也可以按动态方式划分。请查阅交换机的使用说明书，配置一个动态VLAN，并验证配置的结果是否正确。

1.通过路由器接口连接不同VLAN：每个VLAN连接到路由器的一个接口上，路由器负责在不同VLAN间进行数据包的路由和转发。

2.利用三层交换机的路由功能：若网络中使用了三层交换机，可以在交换机上配置相应的路由策略来实现不同VLAN间的互通。

3.设置特定VLAN接口为Trunk模式：在两台交换机之间设置互连的接口为Trunk模式，允许不同VLAN的数据流经此接口进行传输，同时配合交换机的VLAN配置，确保数据能到达正确的目的地。