VLAN在交换机上的实现方法与配置

 

VLAN在

　    基于端口的ＶＬＡＮ划分方式是较常用的一种划分方法，目前许多厂商的交换产品均支持这一功能。其原理是按照用户交换机端口来定义ＶＬＡＮ用户，即ＶＬＡＮ从逻辑上把局域网交换机的端口划分开来，然后根据用户需要的ＩＰ地址在ＶＬＡＮ中划分子网（子网是将Ｉｎｔｅｒｎｅｔ地址中的主机地址空间进行细分，可有效提高网络可靠性、灵活性、适应性和地址资源利用率）。端口ＶＬＡＮ划分分为单交换机端口ＶＬＡＮ划分和多交换机端口ＶＬＡＮ划分两种方式，前者只支持在一台交换机上指定若干的端口组成ＶＬＡＮ，而多交换机端口ＶＬＡＮ划分则可以使一个ＶＬＡＮ跨越多个交换机，并且同一个交换机上的端口可以属于不同的ＶＬＡＮ。端口ＶＬＡＮ划分能够较好地进行用户管理，减少广播风暴，并且安全性也较高。但ＩＰ地址利用率不高，原因是一个完整的子网由网段地址、网关地址、用户地址和广播地址组成。这样，只包含一个用户的ＶＬＡＮ就由４个ＩＰ地址组成，而真正被用户使用的ＩＰ地址只有一个（用户地址）。我们知道，ＩＰ地址是一种有限的资源，这样的划分方法将带来ＩＰ地址的浪费，因此端口ＶＬＡＮ方式的地址使用率较低。

 

　　这是最常应用的一种 VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。

　　

　　对于不同部门需要互访时，可通过 路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法***者从内部盗用IP地址从其他可接入点***的可能。

　　

　　从这种划分方法本身我们可以看出，这种划分的方法的优点是定义 VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。

　　

　　 2. 基于MAC地址划分VLAN

　　

　　这种划分 VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。

　　

　　由这种划分的机制可以看出，这种 VLAN的划分方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户，而不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，保存了许多用户的MAC地址，查询起来相当不容易。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。

　　

　　 3. 基于网络层协议划分VLAN

　　

　　 VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。

　　 这种方法的优点是用户的物理位置改变了，不需要重新配置所属的 VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。
 
　　4. 根据IP组播划分VLAN

　　

　　 IP 组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主要是效率不高。

　　

　　 5. 按策略划分VLAN

　　

　　基于策略组成的 VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 。
?
　　6. 按用户定义、非用户授权划分VLAN

　　基于用户定义、非用户授权来划分 VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。

 　

 7．动态ＶＬＡＮ划分

 

　　动态ＶＬＡＮ划分的原理是在用户交换机的内存中制定一张用户信息表，用来记录用户的ＩＰ地址、ＶＬＡＮ号（ＶＬＡＮ ＩＤ）以及端口信息等。当用户数据信息进行交换时，交换机根据信息表进行检查，通过认证的数据分组进一步进行寻址和路由选择，反之则将其丢弃。动态ＶＬＡＮ划分的保密性较之端口ＶＬＡＮ划分更高，因为交换机不仅要检查用户的ＩＰ地址还要复核其ＶＬＡＮＩＤ。

 

    8． sｕｐｅｒ ＶＬＡＮ划分法

 

 　　Ｓｕｐｅｒ ＶＬＡＮ划分法是目前最先进的一种ＶＬＡＮ划分方法，ＳｕｐｅｒＶＬＡＮ又称为ＶＬＡＮ聚合（ＶＬＡＮ Ａｇｇｒｅｇａｔｉｏｎ），是一种专门设计的优化ＩＰ地址的管理技术。其原理是每个子网（ｓｕｂ－ＶＬＡＮ）都是独立的多播通道，多播信息不能在不同的子网中进行交换。当数据需要送到多个目的节点时，就动态建立ＶＬＡＮ代理，通过代理设备对ＶＬＡＮ中的用户进行管理。这样每个子网不需要设定ＩＰ地址，而是一个ＳｕｐｅｒＶＬＡＮ中的所有子网共享一个ＩＰ地址，这个ＩＰ地址就是Ｓｕｐｅｒ ＶＬＡＮ的ＩＰ地址。

 

 　　前两种划分ＶＬＡＮ的方法，对于每个用户ＶＬＡＮ都需要分配一个ＩＰ子网地址，因此需要大量的ＩＰ地址资源，而采用ＳｕｐｅｒＶＬＡＮ技术后，可以极大程度地节约ＩＰ地址。只要对包含多个ＶＬＡＮ的Ｓｕｐｅｒ ＶＬＡＮ分配一个ＩＰ地址，既节约地址又便于网络管理。

 

 　　另外，还有ＭＡＣ ＶＬＡＮ以及三层ＶＬＡＮ等划分方式，ＭＡＣＶＬＡＮ通过设备的ＭＡＣ地址（硬件地址），由人工进行初始配置来完成ＶＬＡＮ分类，实际使用中比较复杂。三层ＶＬＡＮ是由协议类型或网络层地址来定义ＶＬＡＮ，例如通过ＴＣＰ／ＩＰ的子网地址来划分ＶＬＡＮ用户，由于技术实现比较复杂，目前还未大规模使用。

 

 

网络地址转换（ NAT）配置实例

 

NAT包括有静态NAT、动态地址NAT和端口多路复用

baidu

静态 NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，选择相应的NAT技术类型。

　　由 1994年NAT技术问世以来，NAT技术很快在企业LAN领域得到广泛应用。目前，NAT技术主要用于连接和安全方面。目前企业内部网络用户数量大，而能申请的合法的全球唯一IP地址有限。NAT能够有效的解决企业IP地址短缺问题，利用NAT技术能够实现多个用户共同使用一个合法的IP地址连接互联网。而另一种需要出于安全方面来考虑，在一定程度上防范网络***的发生。企业期望隐藏LAN内部网络结构，NAT可以将内部LAN与外部 Internet隔离，使外部网络用户无法了解通过NAT设置的内部IP地址。

　　 NAT技术在企业中都采取两种技术类型结合应用，比较好的还是和端口复用地址转换。结合起来的技术如：端口复用地址转换、TCP/UDP端口NAT映射、静态地址转换+端口复用地址转换、动态地址转换+端口复用地址转换。

　　如果 ISP提供的合法IP地址数量较多，当然可以采用静态地址转换+端口复用动态地址转换技术得以完美实现。然而，如果只获得1个合法IP地址，虽然可以采用端口复用地址转换技术，实现整个网络的Internet接入。但是，由于服务器也采用动态端口，Internet中的计算机将无法访问到网络内部的服务器。有没有好的解决问题的方案呢？当然，这就是TCP/UDP端口NAT映射。既然只有一个可用的合法IP地址，当然采用端口复用方式来实现NAT.不过，由于同时有要求网络内部的服务器要被Internet访问到，因此必须采用PAT创建TCP/UDP端口的NAT映射。

　　我们知道，不同应用程序使用 TCP/UDP端口是不同的，例如，WEB服务器使用80、    FTP服务使用21、SMTP服务使用25、POP3服务使用110等。由于每种应用服务器都有自己默认的端口，所以这种NAT方式下，网络内部每种应用服务器成为Internet中的主机，例如，只能有一台WEB服务器、一台E-mail服务、一台FTP服务器。尽管可以采用改变默认端口的方式创建多台应用服务器，但这种服务器在访问时比较困难，要求用户必须先了解某种服务采用的新TCP端口。因此，可以将不同的TCP端口绑定至不同的内部IP地址，从而只使用一个IP地址，即可在允许内部所有服务器被Internet访问的同时，实现内部所有主机对Internet的访问。

　　根据企业的网络环境利用 TCP/UDP端口映射的应用，如企业网络采用1000Mbps光纤接入Internet.路由器选用拥有2个 10/100/1000Mbps自适应端口的Cisco2821.内部网络使用的IP地址段为192.168.1.1～192.168.1.254（根据内部网络规模而定），局域网端口Ethernet 0 的IP地址为192.168.1.1，子网掩码为255.255.255.0.网络分配的合法IP地址范围为 202.99.16.128～202.99.160.135，子网掩码为255.255.255.248，连接ISP的端口Ethernet 1的IP地址为211.82.220.129，子网掩码为255.255.255.252，可用于转换IP地址为211.82.220.130.可以配置相同类型的多个服务器，如多个WEB服务器，多个E-mail服务器等。

　　具体 配置文件如下：

Interface fastethernet 0/0 　 Ip address 192.168.100.1 255.255.255.0 !—－定义本地端口 IP地址  Ip nat inside !—－定义为本地端口 　 Interface fastethernet 0/1  Ip address 202.99.160.129 255.255.255.252 !—－定义 广域网端口IP地址  Ip nat outside !—－定义为广域网端口 　 Access-list 1 permit 192.168.100.0 0.0.0.255 !—－定义本地访问列表 　 Ip nat pool multiip 202.99.160.130 202.99.160.134 netmask 255.255.255.248 !—－定义 multiip地址池的IP范围 　 Ip nat inside source list 1 mullitip overload 　 Ip nat inside source static tcp 192.168.1.11 80 202.99.16.130 80 　 Ip nat inside source static tcp 192.168.1.12 80 202.99.16.131 80 　 Ip nat inside source static tcp 192.168.1.13 80 202.99.16.132 80 !—－将 80端口映射为192.168.1.11～13的80端口（WEB1-3） 　 Ip nat inside source static tcp 192.168.1.14 21 202.99.16.130 21 　 Ip nat inside source static tcp 192.168.1.15 21 202.99.16.131 21 !—－将 21端口映射为192.168.1.14～15的21端口（FTP1-2） 　 Ip nat inside source static tcp 192.168.1.16 25 202.99.16.133 25 　 Ip nat inside source static tcp 192.168.1.16 110 202.99.16.133 110 　 Ip nat inside source static tcp 192.168.1.17 25 202.99.16.134 25 　 Ip nat inside source static tcp 192.168.1.17 110 202.99.16.134 110 !—－将 25和110端口映射为192.168.1.16～17的25和110端口（mail1-2）

　　在企业中因根据具体的网络环境与条件选择相应的组合方式。在许多 FTP网站考虑到服务器性能和Internet连接带宽的占用问题，都限制同一IP地址的多个进程访问。该选择动态地址转换+端口复用地址转换。在很多时候，服务器即为企业内部客户提供网络服务，同时又要为Internet中的用户提供访问服务，选择静态地址转换+端口复用地址转换是一种比较好的方案。当ISP只提供一个合法 IP地址，网络又没有特殊需要，使用端口复用地址转换技术，既能节省了IP地址的同时，又可有效的保护网络内部计算机。

　　除了在连接和隐藏方面的应用， NAT设备能实现负载平衡。DNS系列服务器群中多个IP地址公用一个域名，由于IP客户端会缓冲DNS/IP地址解析，从而使其后续申请延迟达到同一个IP地址，在一定程度上减弱了DNS系列服务器的作用。而基于NAT的负载平衡方案，可以有效的避免这类问题。NAT设备是把需要负载的平衡的多个IP地址翻译成一个公用的IP地址，每个TCP连接被NAT送到一个IP地址，使后续的TCP连接被NAT送到下一个IP地址来实现真正的负载平衡。除此之外，NAT技术能够在用户更改ISP时避免了对内部网络进行重新编址，同时减少用户网络接入的费用等问题。

 

 

NAT基础： ip nat in/outside示范

baidu

baidu

　　 网络技术的飞速发展，使企事业单位局域网接入INTERNET共享资源的方式越来越多，就大多数而言，DDN专线以其性能稳定、扩充性好的优势成为普遍采用的方式，DDN方式的连接在硬件的需求上是简单的，仅需要一台路由器（router）、代理服务器（proxy server）即可，但在系统的配置上对许多的网络管理人员来讲是一个比较棘手的问题。下面以CISCO路由器为例，笔者就几种比较成功的配置方法作以介绍，以供同行借鉴：

　　一、直接通过路由器访问 INTERNET资源的配置

　　 1. 总体思路和设备连接方法

　　一般情况下，单位内部的局域网都使用 INTERNET上的保留地址：

10.0.0.0/8： 10.0.0.0～10.255.255.255 172.16.0.0/12： 172.16.0.0～172.31.255.255 192.168.0.0/16： 192.168.0.0～192.168.255.255

　　在常规情况下，单位内部的工作站在直接利用路由对外访问时，会因工作站使用的是 互联网上的保留地址，而被路由器过滤掉，从而导致无法访问互联网资源。解决这一问题的办法是利用路由操作系统提供的NAT（Network Address Translation）地址转换功能，将内部网的私有地址转换成互联网上的合法地址，使得不具有合法IP地址的用户可以通过NAT访问到外部 Internet.这样做的好处是无需配备代理服务器，减少投资，还可以节约合法IP地址，并提高了内部网络的安全性。

　　 NAT有两种类型：Single模式和global模式。

　　使用 NAT的single模式，就像它的名字一样，可以将众多的本地局域网主机映射为一个Internet地址。局域网内的所有主机对外部Internet网络而言，都被看做一个Internet用户。本地局域网内的主机继续使用本地地址。

　　使用 NAT的global模式，路由器的接口将众多的本地局域网主机映射为一定的Internet地址范围（IP地址池）。当本地主机端口与 Internet上的主机连接时，IP地址池中的某个IP地址被自动分配给该本地主机，连接中断后动态分配的IP地址将被释放，释放的IP地址可被其他本地主机使用。

　　下面以我单位的网络环境为例，将配置方法及过程列示出来，供大家参考。

　　我单位利用 联通光缆（V.35）接入INTERNET的，路由器是CISCO2610，局域网采用的是INTEL550百兆交换机，联通向我们提供了下列四个IP地址：

211.90.137.25（ 255.255.255.252）用于本地路由器的广域网端口 211.90.137.26（ 255.255.255.252）用于对方（联通）的端口 211.90.139.41（ 255.255.255.252）供自己支配 211.90.139.42（ 255.255.255.252）供自己支配

 

 

虚拟局域网（ＶＬＡＮ）是从传统的局域网（ＬＡＮ）概念上引申出来的，两者在功能和操作上基本相同。不同的是ＶＬＡＮ依据协议、ＭＡＣ地址或端口在逻辑上将网络划分为若干部分。换言之，ＶＬＡＮ模拟了一组终端设备，即使它们处于不同的物理网段上，也不受物理位置的限制。ＶＬＡＮ的作用是使得同一ＶＬＡＮ中的成员之间能够通信，而不同ＶＬＡＮ用户之间是相互隔离的，如果需要通信必须通过路由设备。ＶＬＡＮ使网络管理简单化，可以减少工作站移动和变化所需的费用，方便地进行逻辑分组，添加、删除和修改用户信息以及通过网络流量测试工具进行计费等工作。此外ＶＬＡＮ可以将广播风暴遏制在本ＶＬＡＮ的范围之内，其他ＶＬＡＮ用户不受影响，大大节约了网络带宽，提高了带宽利用率。

 

 　　虚拟局域网产生的基础是交换局域网的发展。目前，ＶＬＡＮ标准有Ｉｎｔｅｒ－ＳｗｉｔｃｈＬｉｎｋ、ＡＴＭ ＬＡＮ Ｎｅｍｕｌａｔｉｏｎ和ＩＥＥＥ８０２．１０等几种协议可以采用。其中较常用的是１９９５年制定的ＩＥＥＥ８０２．１０。目前许多基于二层交换的交换机都支持ＶＬＡＮ技术，并可以识别不同的ＶＬＡＮ用户。

 

 　　ＶＬＡＮ划分可以分为端口ＶＬＡＮ、动态ＶＬＡＮ、Ｓｕｐｅｒ ＶＬＡＮ等几种划分方式，这几种划分方式各有特点。可根据实际情况选择不同的ＶＬＡＮ划分方式。

 

     总结

 

ＶＬＡＮ技术的使用为解决网络配置和管理提供了良好的方法，随着局域网和用户数量的不断增加，ＶＬＡＮ技术将得到更加广泛的使用，目前ＳｕｐｅｒＶＬＡＮ技术还处于初级阶段，但有理由相信其有着巨大的发展空间，ＶＬＡＮ技术必将发挥更大的作用。

 

交换机的VLAN配置

一、【实验目的】

初步熟悉和掌握配置VLAN的方法。

二、【实验环境】

    Cisco Packet Tracer5.1或5.2。

三、【实验内容】

1. 组建交换式以太网

2. 用模拟器 Tracer模拟VLAN的构建，以及通信。

3. 建立和删除 VLAN

四、【实验步骤】

1. 建立网络拓扑，如图1所示。

图1 网络拓扑图

2. VLAN的配置

（1）为各主机配置IP地址

为主机PC0-PC7依次分配IP地址：

PC0：192.168.1.10                    PC1：192.168.1.20                 PC2：192.168.1.30

PC3：192.168.1.40                    PC4：192.168.1.50                 PC5：192.168.1.60

PC6：192.168.1.70                    PC7：192.168.1.80

（2）测试PC0与PC4的连通性：ping命令

（3）VLAN配置

把PC0-3分配给VLAN 1，把PC4-5分配给VLAN 2，把PC6-7分配给VLAN 3。

具体步骤和命令如下所示。

①显示默认vlan数据库

交换机默认有一个vlan 各端口都属于vlan 1

显示VLAN数据库

进入特权模式

②创建新的vlan

已创建vlan 2和vlan 3

创建vlan 2

创建vlan 3

进入全局配置模式

③把端口Fathernet0/5分配给指定vlan 2

端口Fathernet0/5已经分配给vlan 2

定义端口的Vlan成员类型

将该端口分配给指定vlan

进入端口配置模式 端口Fathernet0/5

（4）测试PC0与PC2的连通性，测试PC0与PC4的连通性。

方法1：ping命令       

方法2：发送包

（5）依照（3）（4）中的步骤，把PC5分配给VLAN 2，把PC6-7分配给VLAN 3。进一步熟悉和掌握vlan的配置和vlan内主机与vlan间主机的连通性测试。

3. VLAN的删除

VLAN的删除：no vlan 2

 

转载于:https://blog.51cto.com/zhanjianxing/460949