配置VLAN前的准备:
  在公司内部网如何进行VLAN的划分呢?有很多朋友问,书看了不少,操作命令也了解,就是不知如何开始进行实施,几乎没有头绪。其实,在实施公司内部网的划分之前,准备工作是非常必要的,要保证VLAN一次性的划分成功,就要对网络中所有设备(支持VLAN的设备)及设备的端口进行统一的部署,特别是支持不同VLAN间通讯的中心交换机,更应该详细部署。有了前期充分的准备,对交换机的操作就显得十分轻松了。首先还是先来了解一些相关的VLAN技术概念。
VLAN中相关技术概念
VLAN的定义
  VLANVirtual Local Area Network)即虚拟局域网,是一种将局域网内的设备逻辑地划分为不同网段的技术,VLAN可以将网络划分为不同功能相对独立的工作组,VLAN封装的国际标准为IEEE 802.1Q。同一个VLAN中的成员都共享广播,而不同VLAN之间广播信息是相互隔离的。这样,将整个网络逻辑地而不是物理地划分成多个广播域。隔离了广播风暴有助于控制网络流量、简化网络管理、可以隔离各个不同VLAN之间的通讯来提高网络的安全性,如果要实现不同VLAN间的通讯则需要有支持三层的交换机或路由器来完成。
VLAN的工作模式
  VLAN的工作模式有静态和动态。静态模式是指管理员针对交换机端口指定VLAN,通常在局域网VLAN划分中采用这种模式。 动态模式是指通过设置VMPS,包含了一个MAC地址与VLAN号的映射表,当数据帧到达交换机后,交换机会查询VMPS获得相应MAC地址的VLAN ID
VLAN的划分方式
  按照交换机的交换能力,可以将VLAN划分为两大类:二层交换和三层交换。二层交换是建立在OSI七层模型之第二层桥的体系结构上,基于端口的VLAN和基于MAC地址的VLAN就属于此类;三层交换是基于OSI七层模型之第三层的协议(IPIPX等)来划分的。
  1)基于端口的VLAN
  最有效的VLAN划分方法,只需针对网络设备的交换端口进行重新分配组合到不同的逻辑网段中即可,而不用考虑该端口所连接的设备是什么。分配到同一VLAN的各网段上的所有接点都在同一个广播域中,可以直接通信,不同VLAN接点间的通信则需要通过路由器或三层交换机(就是支持三层路由协议的交换机)进行。

  2)基于MAC地址的VLAN
  基于MAC地址的VLAN划分其实就是基于工作站服务器MAC地址的集合,它解决了网络接点的变更问题,对于连接于交换机的工作站来说,在它们初始化时,相应的交换机要在VLAN的管理信息库MIB中检查MAC地址,从而动态地匹配该端口到相应的VLAN中。在网络规模较小时不失为一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大网络管理的难度。

  3)基于第三层路由协议的VLAN
  路由协议工作在OSI七层协议的第三层——网络层,即基于IPIPX协议的转发。根据IP子网、IPX网络号及其他一些协议来划分VLAN,同一协议的工作站划分为一个VLAN,该方式容许一个VLAN跨越多个交换机,不但大大减少人工配置VLAN的工作量,而且可以保证用户自由地增加、移动和修改。

  4)基于策略的VLAN
  基于策略的VLAN划分是最灵活有效的VLAN划分方式,具有自动配置的能力,在逻辑划分上称为“关系网络”,自动配置VLAN时,交换机自动检查进入它端口的广播信息的IP源地址,然后自动将此端口分配给一个由IP子网映射成的VLAN,这主要取决于在VLAN的划分中所采用的策略。
VTPVLAN Trunking Protocol)协议
  它是一个在交换机之间同步及传递VLAN配置信息的协议。在一个局域网中必须在中心交换机建立惟一的VTP Server,其他分支交换机设置为Client模式。VTP Server上的配置将会传递给网络中的所有交换机,VTP减少了手工配置而支持较大规模的网络。VTP有三种模式:
  Server模式:允许创建、修改、删除VLAN及其他一些对整个VTP域的配置参数,同步本VTP域中其他交换机传递来的最新的VLAN信息。

  Client模式:在Client模式下,一台交换机不能创建、删除、修改VLAN配置,也不能在NVRAM存储VLAN配置,但可以同步由本VTP域中其他交换机传递来的VLAN信息。
  Transparent模式:可以进行创建、修改、删除,也可以传递本VTP域中其他交换机送来的VTP广播信息,但并不参与本VTP域的同步和分配,也不将自己的VLAN配置传递给本VTP域中的其他交换机,它的VLAN配置只影响到它自己。通常交换机在默认情况下为Server模式。
ISL标签
  ISLInter Switch Link)是一个在交换机之间、交换机和路由器之间以及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,用于实现交换机间的VLAN中继。它是一个信息包标记协议,在支持ISL接口上发送的帧由一个标准以太网帧和相关的VLAN信息组成,通过在交换机直连的端口配置ISL封装,就可以跨越交换机进行整个网络的VLAN分配和配置。VLAN封装的国际标准为IEEE802.1Q,在支持ISL的接口上可以传送来自不同VLAN的数据。
配置中继协议(802.1QISL
  它是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接相连的端口配置ISL 802.1Q的封装,即可跨越交换机对整个网络的VLAN进行分配和配置。
配置VLAN前的准备工作
  1.根据公司内部网络应用的需要,从财务部、技术部、服务部、管理部等功能应用出发来确定内部网络应划分VLAN的数量。
  2.对网络中所有要划分VLAN的设备,统一部署编号,形成图表档案资料。假设以一个作为中心交换机12端口的设备为例,其图表如下。
设备图表
1
2
3
4
5
6
 
 
D01
D02
D03
D04
D05
D06
 
 
V10
V10
V13
V13
V15
V15
 
 
终端
终端
终端
终端
服务器1
服务器2
 
 
7
8
9
1
11
12
 
 
D07
D08
D09
D10
D11
GB
GB
V12
V12
V12
trunk
trunk
trunk
终端
终端
终端
下联设备
光纤模块
光纤模块
  数字行为设备的端口号。
  第二行为网络布线配线架跳线网络节点编号。
  第三行为此端口应划分的VLAN号。在这里应仔细部署每个端口应划分到的哪个VLAN中,如果没有就设为空,即此端口不划为任何VLAN内。对于交换机之间连接的端口,如将12号和两个光纤端口设为Trunk端口,是作为主干线路为了保证交换机之间传递多个VLAN信息及VLAN数据流,对此端口要作配置中继协议的封装。
  第四行为对应于每个端口的应连接终端设备,这样便于清晰的管理。
  以上每一列都是一对一应的,每个设备都应有对应的图表,要保证图表中的内容是准确无误。这样在对设备的VLAN划分中可依据图表进行操作,可防止操作中出现不必要错误。
  3.对交换机内文件备份
  对于交换机系统文件进行备份是十分必要的,这项工作可防止系统出现问题时能及时的恢复。将连接线缆连接到交换机的Console端口。
  Switch#configure 进入到配置模式
  Switch (config)# interface Vlan 1 进入交换机缺省VLAN
  Switch (config)# ip address 10.120.80.1 255.255.255.0 为交换机设定
IP
  Switch (config)# tftp flashc2950.bin alias yyy 将要拷出的文件形成别名yyy
  然后在“运行”输入“cmd”命令,进入到DOS的命令窗口。
  D:>tftp -i 10.120. 80.1 get yyy c:c2950.bin
  Transfer successful: 2958970 bytes in 26 seconds, 113806 bytes/s

  将文件成功的下载到了C盘目录下。下载完成后切换到交换机配置界面
  Switch (config)#no tftp flashc2950.bin alias yyy 将别名yyy取消
  这样备份文件的工作就完成了,交换机其他文件可采用相同的步骤来完成。
  至于系统若出现崩溃后恢复,恢复交换机系统可采用Window系统的超级终端。同样将连接线缆连接到交换机的Console端口上。将超级终端打开,将传送中的传送文件协议调整为xmodem,执行如下操作。
  Switchcopy xmodem c2950.bin flash c2950.bin
准备工作完成以后,就可对交换机进行具体的VLAN划分了。
 
配置VLAN
有很多朋友问,公司内部网如何进行VLAN的划分呢?如何才能保证公司的网络正常高效地运转呢?在真正实施公司内部网的划分之前,我们还是先来了解一些相关的VLAN技术。
  VLAN的定义
  究竟什么是VLAN? VLANVirtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
  VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
  VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
  既然VLAN隔离了广播风暴,同时也隔离了各个不同的VLAN之间的通讯,所以不同的VLAN之间的通讯是需要有路由来完成的。
  VLAN的划分
  1.根据端口来划分VLAN
  许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如,一个交换机的12345端口被定义为虚拟网AAA,同一交换机的678端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。
  第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。
  以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。
  2.根据MAC地址划分VLAN
  这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停地配置。
  3.根据网络层划分VLAN
  这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。
  这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
  这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
  4.根据IP组播划分VLAN
  IP 组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
  VLAN的标准
  对VLAN的标准,我们只是介绍两种比较通用的标准,当然也有一些公司具有自己的标准,比如Cisco公司的ISL标准,虽然不是一种大众化的标准,但由于Cisco Catalyst交换机的大量使用,ISL也成为一种不是标准的标准了。
  · 802.10VLAN标准
  在1995年,Cisco公司提倡使用IEEE802.10协议。在此之前,IEEE802.10曾经在全球范围内作为VLAN安全性的同一规范。Cisco公司试图采用优化后的802.10帧格式在网络上传输FramTagging模式中所必须的VLAN标签。然而,大多数802委员会的成员都反对推广802.10。因为,该协议是基于FrameTagging方式的。
  · 802.1Q
  在19963月,IEEE802.1Internetworking委员会结束了对VLAN初期标准的修订工作。新出台的标准进一步完善了VLAN的体系结构,统一了Fram-eTagging方式中不同厂商的标签格式,并制定了VLAN标准在未来一段时间内的发展方向,形成的802.1Q的标准在业界获得了广泛的推广。它成为VLAN史上的一块里程碑。802.1Q的出现打破了虚拟网依赖于单一厂商的僵局,从一个侧面推动了VLAN的迅速发展。另外,来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。
  公司内部进行VLAN的划分实例
  对于每个公司而言都有自己不同的需求,下面我们给出一个典型的公司的VLAN的实例,这样也可以成为我们以后为公司划分VLAN的依据。
  某公司现在有工程部、销售部、财务部。VLAN的划分:工程部VLAN10,销售部VLAN20,财务部VLAN30,并且各部门还可以相互通讯。现有设备如下:Cisco 3640路由器,Cisco Catalyst 2924交换机一台,二级交换机若干台。
  交换机配置文件中的部分代码如下:
  ......
  !
  interface vlan10
  ip address 192.168.0.1
  !
  interface vlan20
  ip address 192.168.1.1
  !
  interface vlan30
  ip address 192.168.2.1
  !
  ......
  路由器配置文件中的部分代码如下:
  ......
  interface FastEthernet 1/0.1
  encapsulation isl 10
  ip address 192.168.0.2
  !
  interface FastEthernet 1/0.2
  encapsulation isl 20
  ip address 192.168.1.2
  !
  interface FastEthernet 1/0.3
  encapsulation isl 30
  ip address 192.168.2.2
  !
  ......
  !
  router rip
  network 192.168.0.0
  !
......