工業(yè)交換機(jī)常見的VLAN劃分方法
瀏覽次數(shù):發(fā)布時間:2022-09-13
VLAN(Virtual LAN),翻譯成中文是"虛擬局域網(wǎng)"。LAN可以是由少數(shù)幾臺家用計算機(jī)構(gòu)成的網(wǎng)絡(luò),也可以是數(shù)以百計的計算機(jī)構(gòu)成的企業(yè)網(wǎng)絡(luò)。VLAN所指的LAN特指使用路由器分割的網(wǎng)絡(luò)——也就是廣播域。在此讓我們先復(fù)習(xí)一下廣播域的概念。廣播域,指的是廣播幀(目標(biāo)MAC地址全部為1)所能傳遞到的范圍,亦即能夠直接通信的范圍。嚴(yán)格地說,并不僅僅是廣播幀,多播幀(Multicast Frame)和目標(biāo)不明的單播幀(Unknown Unicast Frame)也能在同一個廣播域中暢行無阻。
為什么要用到VLAN?
IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。VLAN技術(shù)的出現(xiàn),使得管理員根據(jù)實際應(yīng)用需求,把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域,每一個VLAN都包含一組有著相同需求的計算機(jī)工作站,與物理上形成的LAN有著相同的屬性。
由于它是從邏輯上劃分,而不是從物理上劃分,所以同一個VLAN內(nèi)的各個工作站沒有限制在同一個物理范圍中,即這些工作站可以在不同物理LAN網(wǎng)段(建議一個Vlan對應(yīng)一個IP子網(wǎng)。不同VLAN用同一個IP子網(wǎng)或一個VLAN對應(yīng)多個IP子網(wǎng)都是錯的)。由VLAN的特點(diǎn)可知,一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中,從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。
VLAN優(yōu)點(diǎn)?
1、增加靈活性和可擴(kuò)展性
通過將
交換機(jī)端口或用戶分配到交換機(jī)上的VLAN組中,或則分配到相連的交換機(jī)組中,就可以只添加你想要其進(jìn)入此廣播域的用戶,而不用去理會他們的物理位置如何。
2、控制網(wǎng)絡(luò)上的廣播
VLAN可以提供建立防火墻的機(jī)制,防止交換網(wǎng)絡(luò)的過量廣播使用VLAN,可以將某個交換端口或用戶賦于某一個特定的VLAN組,該VLAN組可以在一個交換網(wǎng)中或跨接多個交換機(jī), 在一個VLAN中的廣播不會送到VLAN之外同樣,相鄰的端口不會收到其他VLAN產(chǎn)生的廣播這樣可以減少廣播流量,釋放帶寬給用戶應(yīng)用,減少廣播的產(chǎn)生。
3、增加安全性
處于同一交換機(jī)上不同VLAN用戶間默認(rèn)情況下無法進(jìn)行通信。它可以配置為一旦有任何對網(wǎng)絡(luò)資源的非授權(quán)訪問,可以立即通知網(wǎng)絡(luò)管理站。
VLAN的劃分方法
1、基于端口劃分的VLAN
這是最常應(yīng)用的一種VLAN劃分方法,應(yīng)用也最為廣泛、最有效,目前絕大多數(shù)VLAN協(xié)議的交換機(jī)都提供這種VLAN配置方法這種劃分VLAN的方法是根據(jù)
以太網(wǎng)交換機(jī)的交換端口來劃分的,它是將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的PVC(永久虛電路)端口分成若干個組,每個組構(gòu)成一個虛擬網(wǎng),相當(dāng)于一個獨(dú)立的VLAN交換機(jī)。
2、基于MAC地址劃分VLAN
這種劃分VLAN的方法是根據(jù)每個主機(jī)的MAC地址來劃分,即對每個MAC地址的主機(jī)都配置他屬于哪個組,它實現(xiàn)的機(jī)制就是每一塊網(wǎng)卡都對應(yīng)唯一的 MAC地址,VLAN交換機(jī)跟蹤屬于VLAN MAC的地址這種方式的VLAN允許網(wǎng)絡(luò)用戶從一個物理位置移動到另一個物理位置時,自動保留其所屬VLAN的成員身份。
3、基于網(wǎng)絡(luò)層協(xié)議劃分VLAN
VLAN按網(wǎng)絡(luò)層協(xié)議來劃分,可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)這種按網(wǎng)絡(luò)層協(xié)議來組成的 VLAN,可使廣播域跨越多個VLAN交換機(jī)這對于希望針對具體應(yīng)用和服務(wù)來組織用戶的網(wǎng)絡(luò)管理員來說是非常具有吸引力的而且,用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動,但其VLAN成員身份仍然保留不變。
4、根據(jù)IP組播劃分VLAN
IP 組播實際上也是一種VLAN的定義,即認(rèn)為一個IP組播組就是一個VLAN這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng),因此這種方法具有更大的靈活性,而且也很容易通過路由器進(jìn)行擴(kuò)展,主要適合于不在同一地理范圍的局域網(wǎng)用戶組成一個VLAN,不適合局域網(wǎng),主要是效率不高。
5、按策略劃分VLAN
基于策略組成的VLAN能實現(xiàn)多種分配方法,包括VLAN交換機(jī)端口、MAC地址、IP地址、網(wǎng)絡(luò)層協(xié)議等網(wǎng)絡(luò)管理人員可根據(jù)自己的管理模式和本單位的需求來決定選擇哪種類型的VLAN 。
6、按用戶定義、非用戶授權(quán)劃分VLAN
基于用戶定義、非用戶授權(quán)來劃分VLAN,是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò),根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計VLAN,而且可以讓非VLAN群體用戶訪問VLAN,但是需要提供用戶密碼,在得到VLAN管理的認(rèn)證后才可以加入一個VLAN。
VLAN的使用方式
1、Local VLAN
一個VLAN集中在一個機(jī)架中,便于故障分析定位,便于管理流量。推薦使用。
①數(shù)據(jù)流可預(yù)測
②冗余路徑
③高可用性
④有限的故障域
⑤可擴(kuò)展性
2、End-to-End VLAN
設(shè)備在物理上分布靈活、流量不合理、故障難定位。不推薦使用。
VLAN成員關(guān)系
1、靜態(tài)VLAN
VLAN通常是由管理員創(chuàng)建的,并由管理員將交換機(jī)端口分配到每個VLAN中,這種類型的VLAN稱為靜態(tài)VLAN。
Switch(config)#vlan ?
#在全局模式下創(chuàng)建、刪除、修改VALN。
<1-1005>
ISL VLAN IDs 1-1005
#說明這臺交換機(jī)只能支持基礎(chǔ)的VLAN創(chuàng)建。擴(kuò)展的VLAN范圍包括0~4096。其中0,4095,1006~1024為系統(tǒng)保留,無法查看使用它們;1為管理VLAN(本機(jī)VLAN),可以查看使用但不能刪除;1002~1005用于FDDI 和令牌環(huán)的Cisco 默認(rèn)VLAN,用戶不能刪除。另外需要注意的是在VTP版本2中只能支持基礎(chǔ)VLAN的同步。
Switch(config)#vlan 2
Switch(config-vlan)#name Sales
#為這個VLAN命名,便于記憶。(可選配置)
Switch(config-vlan)#interface fa0/1
#進(jìn)入接口模式。
Switch(config-if)#switchport mode access
#將端口定義為接入端口(接入層端口)。
Switch(config-if)#switchport access vlan 2
#將此端口靜態(tài)的劃分到某個VLAN中。
2、動態(tài)VLAN
動態(tài)VLAN可以自動決定一個結(jié)點(diǎn)的VLAN分配。通過使用智能化的管理軟件,就可以基于硬件地址、協(xié)議甚至應(yīng)用程序來創(chuàng)建動態(tài)的VLAN。這里可以使用VLAN管理策略服務(wù)器(VLAN Management Policy Server,VMPS)的服務(wù)來建立MAC地址的數(shù)據(jù)庫,這個數(shù)據(jù)庫可以用于VLAN的動態(tài)尋址。VMPS數(shù)據(jù)庫能夠自動將MAC地址映射到VLAN。
3、檢查
switch#show vlan
#查看VLAN 信息
switch#show interface vlan [vlan_id]
#查看具體某個VLAN 的詳細(xì)信息
switch#show vlan brief
#查看交換機(jī)上已經(jīng)創(chuàng)建的VLAN和交換機(jī)端口的從屬關(guān)系。
switch#show spanning-tree vlan ID
#查看某個VLAN的生成樹。
廣播域的分割與VLAN的必要性
分割廣播域時,一般都必須使用到路由器。使用路由器后,可以以路由器上的網(wǎng)絡(luò)接口(LAN Interface)為單位分割廣播域。
但是,通常情況下路由器上不會有太多的網(wǎng)絡(luò)接口,其數(shù)目多在1~4個左右。隨著寬帶連接的普及,寬帶路由器(或者叫IP共享器)變得較為常見,但是需要注意的是,它們上面雖然帶著多個(一般為4個左右)連接LAN一側(cè)的網(wǎng)絡(luò)接口,但那實際上是路由器內(nèi)置的交換機(jī),并不能分割廣播域。
況且使用路由器分割廣播域的話,所能分割的個數(shù)完全取決于路由器的網(wǎng)絡(luò)接口個數(shù),使得用戶無法自由地根據(jù)實際需要分割廣播域。
與路由器相比,二層交換機(jī)一般帶有多個網(wǎng)絡(luò)接口。因此如果能使用它分割廣播域,那么無疑運(yùn)用上的靈活性會大大提高。