第3章VLAN技术和其配置.docx

本章提要：除了应用生成树协议来消除因环路引起的广播风暴外，虚拟局域网(VirtualLocalAreaNetwork，VLAN )技术也能够有效解决网络中的广播风暴问题。VLAN的划分有静态和动态两种方式。VLAN技术还使得网络的灵活性和安全性都得以大大增强。一个VLAN就是一个独立的广播域，不同VLAN之间的通信需要通过第三层的设备来实现。VLAN的配置是交换机配置中最重要的项目之一，其四个步骤为：配置VTP协议；定义主干连接；指定VLAN标识；配置VLAN端口。3.1第二层交换式网络的缺点与划分VLAN的好处使用网桥或未划分VLAN的交换机做集中设备的网络，称为第二层交换式网络。第二层交换式网络存在许多缺点，用户与带宽管理功能不强。3.1.1第二层交换式网络的缺点与VLAN技术第二层交换式网络存在如下缺点：a. 全网属于一个广播域，每一次广播的数据帧无论是否需要，都会到达网络中的所有设备，这就必然会造成带宽资源的极大浪费。b. 全网属于一个广播域，极易引起广播碰撞和广播风暴等问题。c. 网络的安全性不够高。在这种网络结构中，所有用户都可以监听到服务器以及其他设备端口发出的数据包，因此是极不安全的。一个简单的第二层交换式网络如图3.1所示。图3.1 第二层交换式网络?事实上，集线器和通常意义下的网桥在现在的网络组建中已基本不用，而代之以交换机。为了解决上述问题，提高网络的效率与可操作性，在交换机中引入了VLAN技术。VLAN允许一组不限物理位置的用户群共享一个独立的广播域，可在一个物理网络中划分多个VLAN，即可使得不同的用户群属于不同的广播域。这样，通过划分用户群，控制广播范围等方式，VLAN技术能够从根本上解决网络效率与安全性等问题。VLAN对广播域的划分是通过交换机软件完成的。它通过对用户分类来规划自己的用户群。如按项目组、部门或管理权限等来进行VLAN划分。划分VLAN时能够超越地域的界限，做到真正意义上的逻辑分组。在划分VLAN的交换机上，每个端口都能被赋予一个VLAN号，只有那些相同VLAN号的用户才同属于一个独立的广播域。广播被限制在各自的VLAN之内。因此，VLAN能够最大限度地控制广播的影响范围以及减少由于共享介质所造成的安全隐患。划分VLAN后的网络如图3.2所示。图中Client1和Client3属于VLAN1，图3.2划分VLAN后的网络Client2 和Client4属于VLAN2。VLAN1和VLAN2的数据帧和广播帧都不能直接到达对方的区域，彼此的访问需通过路由器来实现。图中还可看到计算机虽然所处的物理位置不同，但却可以划归在同一个VLAN中。3.1.2划分VLAN的好处划分VLAN的好处如下：a. 广播控制（Broadcast Control）通过将一个网络划分成多个VLAN（即多个广播域），可以实现广播范围的控制，并能够有效减少广播风暴、广播碰撞问题和网络带宽资源的浪费等问题。b. 灵活性（Flexibility）VLAN技术能够在逻辑上将不同地理位置的计算机划分在同一个广播域内。而无VLAN技术时，在更改一台主机的所属组时，必须将此主机直接接到该组所在的交换机上。这样，VLAN可以非常灵活地添加或删除域内主机而不受主机物理位置的限制。这给网络管理带来了极大的方便，如对网络流量的均衡性（Scalability）控制就很容易实现了。c. 安全性（Security）不同VLAN之间是不能够直接相互访问的。因此，按职责权限把用户(主机)划归在不同的VLAN里，就可使得各自的内部信息得到保护，从而增强了安全性。3.2两种VLAN技术VLAN有两种划分方法，即静态VLAN（Static VLAN）和动态VLAN（Dynamic VLAN）划分。3.2.1静态VLAN静态VLAN也就是基于端口的VLAN。划分静态VLAN是一种最简单的VLAN创建方式，这种VLAN易于建立与监控。在划分时，既可把同一交换机的不同端口划分为同一虚拟局域网，也可把不同交换机的端口划分为同一虚拟局域网。这样，就可把位于不同物理位置、连接在不同交换机上的用户按照一定的逻辑功能和安全策略进行分组，根据需要将其划分为同一或不同的VLAN。静态VLAN通常使用网络管理软件来配置和维护端口，如果需要改变端口的属性，则必须人工重新配置，因而具有较好的安全性。这种VLAN的划分方式应用最多，几乎所有支持VLAN的交换机都支持该方式。另外，许多交换机还支持将同一端口划分为多个VLAN。如多个VLAN需要共享的打印机，需要访问的服务器等，就可连接在该端口上。3.2.2动态VLAN动态VLAN相对静态VLAN是一种较为复杂的划分方法。它可以通过智能网络管理软件基于硬件的MAC地址、IP地址或者基于组播等条件来动态地划分VLAN。1.基于MAC的V