VLAN 是一个逻辑上独立的 IP 子网。多个 IP 网络和子网可以通过 VLAN 存在于同一个交换网络上。图中所示为包含三台计算机的网络。为了让同一个 VLAN 上的计算机能相互通信,每台计算机必须具有与该 VLAN 一致的 IP 地址和子网掩码。其中的交换机必须配置 VLAN,并且必须将位于 VLAN 中的每个端口分配给 VLAN。配置了单个 VLAN 的交换机端口称为接入端口。注意,如果两台计算机只是在物理上连接到同一台交换机,并不表示它们能够通信。无论是否使用 VLAN,两个不同网络和子网上的设备必须通过路由器(第 3 层)才能通信。要将多个网络和子网组织到一个交换网络中,不一定要使用 VLAN,但是使用 VLAN 的确会带来很多好处。
VLAN 的优点
用户效率和网络适应性是企业发展与成功的关键要素。采用 VLAN 技术能让网络以更加灵活的方式对业务目标予以支持。使用 VLAN 主要有以下优点:
安全 - 含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。教师计算机位于 VLAN 10 上,完全与学生数据传输和访客数据传输相隔离。
成本降低 - 成本高昂的网络升级需求减少,现有带宽和上行链路的利用率更高,因此可节约成本。
性能提高 - 将第 2 层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并提高性能。
广播风暴防范 - 将网络划分为多个 VLAN 可减少参与广播风暴的设备数量。在“配置交换机”一章我们讨论过,LAN 划分可以防止广播风暴波及整个网络。如图所示,我们可以看到,虽然该网络中有六台计算机,但是只有三个广播域:Faculty、Student 和 Guest。
提高 IT 员工效率 - VLAN 为管理网络带来了方便,因为有相似网络需求的用户将共享同一个 VLAN。当您为特定 VLAN 设置新的交换机时,之前为该 VLAN 配置的所有策略和规程均会在指定新交换机端口后应用到端口上。另外,通过为 VLAN 设置一个适当的名称,IT 员工很容易就知道该 VLAN 的功能。在右图中,为了便于识别,我们将 VLAN 20 命名为 Student,将 VLAN 10 命名为 Faculty,将 VLAN 30 命名为 Guest。
简化项目管理或应用管理 — VLAN 将用户和网络设备聚合到一起,以支持商业需求或地域上的需求。通过职能划分,项目管理或特殊应用的处理都变得十分方便,例如可以轻松管理教师的电子教学开发平台。此外,也很容易确定升级网络服务的影响范围。
VLAN ID 范围
接入 VLAN 分为普通范围和扩展范围。
普通范围的 VLAN
用于中小型商业网络和企业网络。
VLAN ID 范围为 1 到 1005。
从 1002 到 1005 的 ID 保留供令牌环 VLAN 和 FDDI VLAN 使用。
ID 1 和 ID 1002 到 1005 是自动创建的,不能删除。随着本章内容的展开,我们将更深入地了解 VLAN 1。
配置存储在名为 vlan.dat 的 VLAN 数据库文件中,vlan.dat 文件则位于交换机的闪存中。
用于管理交换机之间 VLAN 配置的 VLAN 中继协议 (VTP) 只能识别普通范围的 VLAN,并将它们存储到 VLAN 数据库文件中。
扩展范围的 VLAN
可让服务提供商扩展自己的基础架构以适应更多的客户。某些跨国企业的规模很大,从而需要使用扩展范围的 VLAN ID。
VLAN ID 范围从 1006 到 4094。
支持的 VLAN 功能比普通范围的 VLAN 更少。
保存在运行配置文件中。
VTP 无法识别扩展范围的 VLAN。
可配置 255 个 VLAN
一台 Cisco Catalyst 2960 交换机可支持最多 255 个普通范围与扩展范围的 VLAN,但是配置的 VLAN 数量的多少会影响交换机硬件的性能。由于企业网络可能需要含有大量端口的交换机,因此 Cisco 开发了企业级的交换机,这种交换机可以级联或堆叠在一起,建立起由九台独立交换机组成的交换单元。每台独立的交换机可以有 48 个端口,因此这样的交换单元总共有 432 个端口。在这种情况下,每台交换机限制为 255 个 VLAN 可能使某些企业客户受到约束。
