虚拟局域网–VLAN.pptVIP

虚拟局域网——VLAN 一 问题的引入 有很多企业在发展的初期，人员较少 ，因此对网络的要求也不高，而且为了节约成本，很多企业网都采用了通过路由器实现分段的简单结构。在这样的网络下，每一个局域网上的广播数据包都可以被该段上的所有设备收到，而无论这些设备是否需要。随着企业规模的不断扩大，特别是多媒体在企业局域网中的应用，使每个部门内部的数据传输量非常大。此外，由于公司发展中的需要，使得一个部门的员工不能相对集中办公。更重要的是，公司的财务部门需要越来越高的安全性，不能和其他的部门混用一个以太网段，以防止数据窃听。 1 存在的问题 广播问题 大量的数据广播给了没必要接受这些数据的终端。网络中存在过多的数据。 安全性问题 把数据传送给了本不应该接受这些数据的终端，存在安全隐患。 管理问题 终端的移动会造成管理的负担 2 问题的解决途径 利用交换机通过VLAN （Virtual Local Area Network）技术分割广播域，划分不同的逻辑局域网以解决上述存在的问题。 二 什么是VLAN VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。 三 划分VLAN的基本策略 基于端口的VLAN划分 基于MAC地址的VLAN划分 基于子网的VLAN划分 基于用户的VLAN划分 1 基于端口的VLAN划分 基于端口的VLAN的划分是最简单、有效的VLAN划分方法（目前定义VLAN的最广泛的方法），它按照局域网交换机端口来定义VLAN成员。VLAN从逻辑上把局域网交换机的端口划分开来，从而把终端系统划分为不同的部分，各部分相对独立，在功能上模拟了传统的局域网。基于端口的VLAN又分为在单交换机端口和多交换机端口定义VLAN两种情况： ⑴单交换机端口定义VLAN 　如图所示，交换机的1、2、6、7、8端口组成VLAN1，3、4、5端口组成了VLAN2。这种VLAN只支持一个交换机。 ⑵多交换机端口定义VLAN 如图所示，交换机1的1、2、3端口和交换机2的4、5、6端口组成VLAN1，交换机1的4、5、6、7、8端口和交换机2的1、2、3、7、8端口组成VLAN2。 2基于MAC地址的VLAN划分 基于MAC地址的VLAN，就是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。假定有一个MAC地址“A”被交换机设定为属于VLAN10，那么不论MAC地址为“A”的这台计算机连在交换机哪个端口，该端口都会被划分到VLAN10中去。计算机连在端口1时，端口1属于VLAN10；而计算机连在端口2时，则是端口2属于VLAN10。（如下图） 3基于子网的VLAN划分 基于子网的VLAN，则是通过所连计算机的IP地址，来决定端口所属VLAN的。不像基于MAC地址的VLAN，即使计算机因为交换了网卡或是其他原因导致MAC地址改变，只要它的IP地址不变，就仍可以加入原先设定的VLAN（如下图） 4基于用户的VLAN划分 基于用户的VLAN，则是根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个VLAN。这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是Windows域中使用的用户名。这些用户名信息，属于OSI第四层以上的信息。 策略小结 VLAN的划分策略基本可分为静态VLAN和动态VLAN。其中基于子网的VLAN和基于用户的VLAN有可能是网络设备厂商使用独有的协议实现的，不同厂商的设备之间互联有可能出现兼容性问题。 各种策略的比较 基于端口的VLAN划分 优点：简单，容易实现，从一个端口发出的广播，直接发送到虚拟局域网内的其他端口，也便于直接监控。 缺点：使用不够灵活，当用户从一个端口移动到另一个端口的时候网络管理员必须重新配置虚拟局域网成员（这一点可以通过灵活的网络管理软件来弥补 ）。 2.基于MAC地址的VLAN划分 优点：交换机对终端的MAC地址和交换机端口进行跟踪，在新终端入网时根据已经定义的虚拟局域网—MAC对应表将其划归至某一个虚拟局域网，而无论该终端在网络中怎样移动，由于其MAC地址保持不变，故不需进行虚拟局域网的重新配置。这种方式减少了日常维护工作量。 缺点：所有的终端必须被明确的分配在一个具体的虚拟局域网，任何时候增加终端或者更换网卡，都要对虚拟局域网数据库调整，以实现对该终端的动态跟踪。 3.基于子网的VLAN划分 优点：用户的物理位置改变，不需要重新配置所属的VLAN，而且可以根