vlan资料.docVIP

9.2? 理解VLAN VLAN的英文全称是Virtual Bridged Local Area Network，而不是通常认为的Virtual Local Area Network。对应的中文全称其实就是虚拟桥接局域网，虚拟局域网只不过是其简称。 理解VLAN这个名词的关键就是要理解虚拟桥接这四个字。虚拟表示不是物理的，桥接是指通过网桥（包括现在的交换机）进行的连接。而现在基本上不用专门的网桥设备了，以太网交换机就是集成中网桥功能的替代设备。 VLAN是交换网络按照功能、项目组或者应用策略划分的逻辑分段，而不考虑用户的物理位置。VLAN具有与物理网络相同的属性，但是你可以聚合即使不在同一个物理网段中终端站点。任一交换机端口可以配置为VLAN接口，负责整个VLAN的单播、广播和多播包转发。 9.2.1? VLAN概述 VLAN技术标准IEEE 802.1Q早在1999年6月份就由IEEE委员正式颁布实施了，但最早的VLAN技术却是在1996年由Cisco（思科）公司就提出的。随着十多年来的发展，VLAN技术得到广泛的支持，在大大小小的企业网络中广泛应用，成为当前最为热门的一种以太局域网技术。IEEE 802.1Q定义了VLAN网桥操作，从而允许在桥接单一局域网结构中实现定义、运行以及管理VLAN拓扑结构等操作。IEEE 802.1Q主要用来解决如何将大型网络划分为多个小网络，这样广播和组播流量就不会占据更多带宽的问题。另外IEEE 802.1Q还提供更高的网络段间安全性，因为广播域缩小了。 1．VLAN的由来 传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费宝贵的带宽资源，而且广播对网络性能的影响随着广播域的增大而迅速增强。此时唯一的途经就是重新划分网络，把单一结构的大网划分成相互逻辑独立的小网。 VLAN网段划分方式的技术基础还是来源于普通的交换网络，在交换网络产生以前，企业网络往往都是基于集线器-路由器结构的。在共享式集线器网络中，各网络用户共享同一带宽，所以通常被称之为共享网络。而自交换机技术出现以后，集线器技术就受到极大的挑战，因为无论是网络性能，还是在网络组建灵活性等方面，交换机技术都较集线器技术有了极大地提高。更为可贵的是，在采用交换机的网络中，各设备都有自己的LAN，带宽并不是共享的，通常称之为交换网络。 交换技术的发展也加快了VLAN技术的应用速度。通过将企业网络划分为虚拟的VLAN网段，可以强化网络管理和网络安全，控制不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通信就好像在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能收到，而不会传输到其他的 VLAN中去，这样可以很好地控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通信，这样加强了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址、IP地址或者综合策略来划分VLAN的（具体划分方法将在本章后面介绍）。所以，用户可以自由地在企业网络中移动办公，不论他在何处接入交换网络，都可以与VLAN内其他用户自如通信。 VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围（如一个部门、一个办公室、一层/栋办公楼等）中。如图9-3就是一个对分布在各楼层的交换机划分不同VLAN的示例。示例中每个VLAN中成员都是分布在不同楼层，而不像物理划分那样，仅在一个楼层或一个部门。 2．VLAN的主要特性 VLAN相当于OSI参考模型的第二层的广播域（在没有VLAN前，广播域的控制只能通过第三层的网络地址来实现了），能够将广播风暴控制在一个VLAN网段内部。划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。同时，由于不同VLAN网段间不可直接通信，必须借助于位于OSI参考模型的第三层（网络层）的路由器或第三层交换机来实现的，所以在一定程度上提高了各子网间的网络安全。网络管理员通过控制交换机的每一个端