虚拟局域网VLAN最佳实践.doc

虚拟局域网(VLAN)最佳实践 —— 手把手教你实战VLAN 什么是（虚拟局域网）VLAN？ VLAN 是一种用逻辑的定义方法，把两个或更多的连在交换网络上的终端规划在一起。这种逻辑定义方法可以延伸到多个交换机。被规划在一起的终端，可以通过几种网络设置来规划。好像任何一种网络技术一样，了解在您的网络上存在的VLAN 的特性，是有效地管理网络一个非常重要的一节。这可令您更精确的设定VLAN 并在事故发生时减少故障诊断的时间。 为什么要用VLAN 呢? 采用VLAN 的主要原因有几个：如控制广播域的范围，网络安全，第三层地址的管理，和网络资源的集中管理。 控制广播域的范围 当一个广播域内的设备增加时，在广播域内设备的广播频率便会相对增加。广播率的提高，对设备的效率会有很大的影响，因为每一个设备都必须中断其CPU 正在处理的业务，来处理收到的广播包，以决定是否需要对包内的数据作进一步处理。这种中断降低了CPU 处理正常业务的效率，增长了完成这些业务的时间。 VLAN 一个非常重要的好处是在一个VLAN 内的广播包不会跑到别的VLAN 上去。通过限制一个VLAN 上的设备数目，在一个VLAN 上的广播率便可受到控制。一个正常的广播率应该平均每秒不超过30 个广播包。虽然还没有正式的文档宣称，但通过现场性能监测，建议广播不应该超出30 个/秒。 网络安全 有很多时候，网管人员需要限制对本地网络中一个或多个特别设备的接入。如果所有的设备都在同一个广播域内，便很难执行这种限制。通过建立多个广播域，可以通过地址过滤和建立连接认可地址表来实现该限制。 数据包要跨越一个VLAN 必须通过一个3 层路由设备。这种路由设备让网管人员可以定义设备间的接入。这种接入控制功能的使用，可以控制和监视对敏感资源设备的接入。 第3层地址管理 一个很常见的设计，是把同类型的设备，规划在同一个IP 子网。例如把打印机安排在同一个IP 子网上，属于会计部的工作站和服务器却在另一个子网。在逻辑上这样好像很合理，但在一个大型企业网络上，这种构想没有VLAN 是无法实现的。 网络资源的集中管理 假定我们把所有的打印机都规划在一个子网上，而每一个打印机都必须在同一个广播域里。这样等于需要在每一个楼层上，分别安装交换机。这些交换机都需要光缆和铜缆的连接，而这些打印机子网都需要连接到自己的专用路由器端口上。. 利用VLAN， 可以让打印机和网络中的其他设备连接到同一个交换机，分享同一条互联的电缆或光纤链路、同一个路由器端口。 VLAN 的挑战 采用VLAN 的一个最大挑战就是文档备案。当您把一个设备连接到交换机时，没有一个好办法知道设备所连的交换机端口究竟是被设定到哪一个VLAN， 或是否被设定成VLAN 骨干（Trunk） 端口。在大多数的情况下，确定端口的VLAN 设置只可以通过Telnet 登录到交换机的控机台，这种过程需要用户口令并对交换机的设置管理指令有比较深刻的了解。 当您对网络作扩容、移动或改变时，以上的挑战便更加明显。例如在一个企业里，安装交换机时一般的策略是把头12 个端口设成VLAN23 ，但是实际上，网管人员可能是因为后来端口不足或是因为企业的政策推行不完善而把设定更改。无论如何，当一个设备连接到交换器的头12个端口时，无法保证他会在VLAN23 这个VLAN 上。 通过VLAN 透视来解决 VLAN 透视选件是一个附加在OptiView 集成式网络分析仪上的选件。这个选件可以帮助网管人员应对对交换机的VLAN 设定作文档备案的挑战。 VLAN 透视选件通过 SNMP 来询问交换机的每一个端口的VLAN 设置。这些讯息可以直接显示在OptiView 集成式网络分析仪的显示屏上或通过遥控界面来观看。交换机支持的每一个VLAN 号都会列在显示屏的左边，在右边显示出对应的每一个VLAN 号的交换机端口。 除了显示VLAN 和端口的相关性，VLAN 透视选件还会显示每个端口的VLAN 配置。这对确定哪些端口被配置成骨干端口、哪些端口被配置成接入端口是非常有用的。对骨干端口，VLAN 协议标记那些显示的帧。这对解决两台交换机通过VLAN 骨干连接产生的连通问题是非常有帮助的。 显示VLAN 配置信息的能力，不仅仅对分析仪所在广播域的VLAN 有效，只要是综合分析仪通过IP 可达的任何交换机都有效。这表明VLAN 透视可以显示综合分析仪经过很多路由器跳数以后达到的交换机VLAN 配置信息。除了可以显示VLAN 配置，VLAN 透视可以生成基于每一个交换机的HTML （浏览器格式）报告。该报告描叙交换机的现有VALN 和每个VLAN 的包含的交换机端口。除了显示信息，还可以生成远端IP 子网的交换机报告。 最初的配置