VLAN概述及交换机上的实现方法

VLAN(Virtual Local Area Network)即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN，即VLAN)，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。

VLAN在交换机上的实现方法，可以大致划分为4类:

1、 基于端口划分的VLAN

这种划分VLAN的方法是根据以太网交换机的端口来划分，比如Quidway S3526的1~4端口为VLAN 10，5~17为VLAN 20，18~24为VLAN 30，当然，这些属于同一VLAN的端口可以不连续，如何配置，由管理员决定，如果有多个交换机，例如，可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最广泛的方法，IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。

这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。

2、基于MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停的配置。

3、基于网络层划分VLAN

这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协议，而是根据生成树算法进行桥交换，

这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。

这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。

4、根据IP组播划分VLAN

IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。

鉴于当前业界VLAN发展的趋势，考虑到各种VLAN划分方式的优缺点，为了最大程度上地满足用户在具体使用过程中需求，减轻用户在VLAN的具体使用和维护中的工作量，Quidway S系列交换机采用根据端口来划分VLAN的方法。

虚拟局域网（VLAN）不仅有利于网络安全和防止网络风暴，而且可以提高网络运行的效率，解决许多其他问题。第三层交换机的普及为VLAN的应用创造了条件。笔者在实现网络升级改造的过程中，也采用VLAN技术解决了网络扩容的问题。

一、网络环境

笔者单位在组建局域网时路由器使用的是Cisco系统公司Cisco 3662，中心交换机使用的是3Com公司的CoreBuilder 3500第三层高功能交换机。单位原来联入局域网计算机较少，最近由于机构和业务的扩展，由原来只把一栋楼内的计算机联网，扩大到两栋楼。原来网段的IP地址已经分配完毕，新增加的计算机必须另行分配到新的网段，但是仍然要求新网段内的计算机能与原来网段的计算机能够实现互相访问。

为了解决这个问题，笔者想到了采用VLAN技术。VLAN是由位于不同物理局域网段的设备组成。虽然VLAN所连接的设备来自不同的网段，但是相互之间可以进行直接通信，好像处于同一网段中一样，由此得名虚拟局域网。正好单位所使用的3Com CoreBuilder 3500第三层高功能交换机支持第三层的转发功能，也就是说支持VALN（所使用的Cisco 3662

路由器也支持VLAN技术，但使用路由器实现VLAN会带来时延问题）。因此笔者利用现有的条件实现网络扩容，实现过程如下。

二、划分子网

子网的划分有多种实现方法，笔者使用的是基于端口划分VLAN，这是构成VLAN的最简单的方式。在这种方式中，将属于不同交换机端口的物理网段分在一个VLAN中。一个VLAN对应的是交换机端口的一个真子集合。通过网络管理软件，根据交换机端口的标识符（Port ID）将不同的端口分到相应的分组中。分配到同一个VLAN的各网段上的所有站点都在同一个广播域中，可以直接通信；不同VLAN的站点间的通信则需要路由的支持。

原来计算机使用的IP地址为C类地址，即11.28.177.*/24，将此网段命名为VLAN-1；新网段也为C类地址：即11.28.179.*/24，网段命名为VLAN-2。

3Com CoreBuilder 3500交换机加载了2个6口模块，将第1个模块的6个端口和第2个模块的1、2、3端口分划给VLAN-1，第2个模块的第4、5、6端口划分给VLAN-2，详见表1。

VLAN的划分 VLAN命名 C类地址 交换机上的端口 VLAN接口IP地址 VLAN-1 11.28.177.＊ VLAN-2 11.28.179.＊

第1模块1~6端口，第2模块7~911.28.177.247 端口 第2模块10~12端口 11.28.179.247

扩容后的网络结构拓扑图见附图。

三、配置交换机

1． 配置方式的建立

3Com CoreBuilder 3500交换机提供了多种配置方式，笔者使用该交换机前面板上提供的Terminal控制口进行配置交换机，将Console线一端连到交换机Terminal控制口，另一端连到一台计算机的串口，启动计算机进入Windows 9X或Windows 2000/XP，启动超级终端程序。注意串口的属性设置为：每秒位数9600，数据位为8，奇偶检验为无，停止位为1，数据流控制为无。

2．登录并进入主菜单

打开交换机电源，会显示初始化信息，显示完成后会显示如下：

Select access level (read，write，administer):

可以有3种权限登录，Read是只读权限，Write是可改写权限，Administer是管理员权限，在此输入Administer，即使用管理员权限登录，并输入口令，进入主菜单。

3． 换机分配IP地址

由主菜单进入management/ip/interface/define，输入分配给交换机的IP地址为11.28.177.249，掩码为255.255.255.0，类型为System。给交换机分配IP地址的目的是管理交换机更加容易，可以使用“telnet”命令登录交换机并进行配置。

4． 定义2个VLAN

由主菜单进入bridge/VLAN/，可以使用“summary”命令查看所定义的VLAN，在CoreBuilder 3500系统中已经建立了一个名称为default的VLAN，它包括所有的端口，但不包括第三层交换，所以不需要去考虑它。可以使用“define”命令定义新的VLAN。

先定义名字为VLAN-1的一个VLAN，再使用同样的方法增加VLAN-2，不过其所包括的端口分别为10、11、12，IP地址改为11.28.179.0，掩码不变，完成后，使用“summary”命令查看结果如下：

Index VID Type Origin Name Ports

1 1 system static default 1-12

2 2 open static VLAN-1 1-9

3 3 open static VLAN-2 10-12

5．定义VLAN的接口IP地址

如果要实现2个VLAN之间的通信，必须为VLAN分配接口IP地址，从主菜单进入ip/interface/define，定义VLAN的接口IP地址，并且要注意分配的接口IP地址必须属于相对应的VLAN的网段上，否则定义失败。例如，下面是为VLAN-1定义接口IP地址。

Select menu option (ip/interface): define

Enter IP address: 11.28.177.247

Enter subnet mask [255.0.0.0]: 255.255.255.0

Enter VLAN interface index : 2

采用同样方法，定义VLAN-2的接口IP地址。

使用summary命令查看结果：

Index Type IP address Subnet mask State VLAN index

1 VLAN 11.28.177.247 255.255.255.0 Up 2

2 VLAN 11.28.179.247 255.255.255.0 Up 3

只要有计算机联到VLAN中的端口上，其VLAN的状态即为UP。

6．在2个VLAN之间增加路由

为了实现在2个不同的VLAN之间通信，还必须在这2个VLAN之间增加路由，可从主菜单进入ip/routing，使用“enable”命令激活路由功能。

7．为交换机增加默认网关

连入交换机的计算机如果想访问除以上2个网段以外的其他网段的计算机和网络设备时，需要给交换机分配一个默认路由。在主菜单进入ip/route/，输入“default”命令定义缺省路由，此地址是局域网内路由器的IP地址。

Select menu option (ip/route): default

Enter gateway IP address: 11.28.177.254

这样11.28.177.0/24网段（即VLAN-1内）的计算机可以访问其他网段的计算机和网络设备了，但是11.28.179.0/24网段（即VLAN-2内）的计算机还不能访问其他网段的计算机和网络设备，还需要在路由器即11.28.177.254内加上一个路由，即到11.28.179.0/24网段的路由。例如，在Cisco 3662路由器使用下面的命令：

ip route 11.28.179.0 255.255.255.0 11.28.177.247

四、设置VLAN中的计算机

位于VLAN中的计算机，除了设置本网段的IP地址外，如果想访问其他VLAN或其他网段的计算机和网络设备，需要在计算机中设置默认网关，其网关为本VLAN的接口地址。例如VLAN-1中的计算机，其网关应设置为11.28.177.247，掩码为255.255.255.0，VLAN-2

中的网关应设置为11.28.179.247，掩码为255.255.255.0。

五、几点说明

1．注意交换机和路由器的IP地址与2个VLAN的接口地址的区别，见表2，其掩码均为255.255.255.0。本文

如何进行客户VLAN组建配置划分

客户的网络架构为一台cisco4006,7台cisco 2950，一台pix525做防火墙,欲配置VLAN，192.168.0.0/24网段为客户办公区电脑，192.168.1.0/24网段为客房部电脑，192.168.2.0/24网段为服务器。

1,到各楼层的2950上，用concole连接设置管理ip,分别为192.168.0.254--

192.168.0.248,其中所有端口默认的均设为VLAN1。

2,在核心交换机上面设置vtp domain

命令如下：

4006#config t

4006(config)#set vtp domain kslianhotel 4006(config)#set vtp mode server 4006(config)#show vtp domain

3,在核心交换机上创建VLAN2,VLAN3。

命令如下：

4006（config)#set VLAN 2

4006(config)#set VLAN 3

4006(config)#show VLAN 2 可以显示VLAN2的信息

4,配置核心交换机trunk isl标签，连接各2950交换机用的

4006(config)#interface range gigabitethernet 2/1 - 4 4006(config-if)#switchport

4006(config-if)#switchport trunk encasulation isl 4006(config-if)#switchport mode trunk

这就配置完这步了。

5，设置4006上面VLAN的ip地址

4006（config)#interface VLAN 1

4006(config)#ip address 192.168.0.1 255.255.255.0

4006(config)#ip helper-address 192.168.0.2 #192.168.0.2是DHCP SERVER的IP地址。 4006（config)#interface VLAN 2

4006(config)#ip address 192.168.1.1 255.255.255.0

4006(config)#ip helper-address 192.168.0.2 #192.168.0.2是DHCP SERVER的IP地址。 4006（config)#interface VLAN 3

4006(config)#ip address 192.168.2.1 255.255.255.0

4006(config)#ip helper-address 192.168.0.2 #192.168.0.2是DHCP SERVER的IP地址。

6,配置各台2950，

1F-2950#config t

1F-2950(config)#set vtp domain kslianhotel 1F-2950(config)#set vtp mode client 1F-2950(config)#show vtp domain

1F-2950(config)#interface gigabitethernet 0/1

1F-2950(config)#switchport mode trunk 配置各光线trunk模式。

1F-2950(config)#interface range fastethernet 0/1 -5 1F-2950(config)#switch access VLAN 2 1F-2950#show VLAN

7,在pix 上面增加路由

pix#ip add route 192.168.1.0 255.255.255.0 192.168.0.254 pix#ip add route 192.168.2.0 255.255.255.0 192.168.0.254

就到此吧，可能会少一些什么，总不比一点不记得强。

从技术上解读实现VLAN的机制

实现VLAN的机制

在理解了“为什么需要VLAN”之后，接下来让我们来了解一下交换机是如何使用VLAN分割广播域的。

首先，在一台未设置任何VLAN的二层交换机上，任何广播帧都会被转发给除接收端口外的所有其他端口（Flooding）。例如，计算机A发送广播信息后，会被转发给端口2、3、4。

这时，如果在交换机上生成红、蓝两个VLAN；同时设置端口1、2属于红色VLAN、端口3、4属于蓝色VLAN。再从A发出广播帧的话，交换机就只会把它转发给同属于一个VLAN的其他端口——也就是同属于红色VLAN的端口2，不会再转发给属于蓝色VLAN的端口。

同样，C发送广播信息时，只会被转发给其他属于蓝色VLAN的端口，不会被转发给属于红色VLAN的端口。

就这样，VLAN通过限制广播帧转发的范围分割了广播域。上图中为了便于说明，以红、蓝两色识别不同的VLAN，在实际使用中则是用“VLAN ID”来区分的。

直观地描述VLAN

如果要更为直观地描述VLAN的话，我们可以把它理解为将一台交换机在逻辑上分割成了数台交换机。在一台交换机上生成红、蓝两个VLAN，也可以看作是将一台交换机换做一红一蓝两台虚拟的交换机。

在红、蓝两个VLAN之外生成新的VLAN时，可以想象成又添加了新的交换机。

但是，VLAN生成的逻辑上的交换机是互不相通的。因此，在交换机上设置VLAN后，如果未做其他处理，VLAN间是无法通信的。

明明接在同一台交换机上，但却偏偏无法通信——这个事实也许让人难以接受。但它既是VLAN方便易用的特征，又是使VLAN令人难以理解的原因。

需要VLAN间通信时怎么办

那么，当我们需要在不同的VLAN间通信时又该如何是好呢？

请大家再次回忆一下：VLAN是广播域。而通常两个广播域之间由路由器连接，广播域之间来往的数据包都是由路由器中继的。因此，VLAN间的通信也需要路由器提供中继服务，这被称作“VLAN间路由”。

VLAN间路由，可以使用普通的路由器，也可以使用三层交换机。其中的具体内容，等有机会再细说吧。在这里希望大家先记住不同VLAN间互相通信时需要用到路由功能。