一、虛擬局域網(wǎng)簡介

　　虛擬局域網(wǎng)（VLAN）是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門及應(yīng)用等因素將它們組織起來，相互之間的通信就好像它們在同一個網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)。VLAN是一種比較新的技術(shù)，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通信是通過第3層的路由器來完成的。與傳統(tǒng)的局域網(wǎng)技術(shù)相比較，VLAN技術(shù)更加靈活，它具有以下優(yōu)點(diǎn)：網(wǎng)絡(luò)設(shè)備的移動、添加和修改的管理開銷減少；可以控制廣播活動；可提高網(wǎng)絡(luò)的安全性。

　　二、虛擬局域網(wǎng)配置

　　無論如何，對于企業(yè)來說，路由器和交換機(jī)都是必須設(shè)置，對于中、大型企業(yè)來說，路由器作為接入設(shè)備，從交換機(jī)上劃分VLAN是比較常用的做法，也比較便于管理。

　　本例的目的就是使用交換機(jī)配置VLAN，路由器作為內(nèi)網(wǎng)的網(wǎng)絡(luò)出口，并起到路由的作用，簡易網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

　　第一步：配置路由器。為了能讓整個網(wǎng)絡(luò)正常通訊，第一步必須簡單的配置一下路由器，這里主要講解IP地址的配置方法。如果第一次配置路由器需要使用串口連接，如果以前對路由器進(jìn)行過配置，那么這里可以直接使用Telnet的方法連接，這里使用Telnet的方式連接到路由器，將路由器的以太網(wǎng)接口IP地址設(shè)置為10.150.224.1，子網(wǎng)掩碼為255.255.255.0，在實(shí)際的配置過程中，大家可以根據(jù)自己的實(shí)際情況對IP地址、子網(wǎng)掩碼進(jìn)行修改。

　　進(jìn)入路由器之后，依次輸入以下命令，“//”之后為命令簡單解釋，實(shí)際配置時無需輸入。

　　Enable//進(jìn)入特權(quán)模式

　　Configureterminal//進(jìn)入配置模式

　　Hostnameroutervlan//為路由器命名

　　Interfacefastethernet0/0//進(jìn)入接口模式

　　Ipaddress10.150.224.1255.255.255.0//配置當(dāng)前接口的IP地址和子網(wǎng)掩碼

　　Noshut//開啟接口

　　上面的命令行中，所有提示符均忽略未輸入，實(shí)際執(zhí)行結(jié)果可以參看圖2。

　　第二步：配置交換機(jī)。全部使用思科的設(shè)備的好處非常明顯，兼容性、穩(wěn)定性就不說了，連命令同路由器的都基本上相同，配置也方便。

　　配置交換也比較簡單，只要先根據(jù)需要建立VLAN，然后再將交換機(jī)的各端口指派給具體的VLAN即可。

　　執(zhí)行以下命令，即可完成一個VLAN的創(chuàng)建，并將1號端口指派給創(chuàng)建的VLAN。

　　Enable//進(jìn)入特權(quán)模式

　　Configureterminal//進(jìn)入配置模式

　　Vlan11namepcs//建立VLAN

　　Interfacee0/1//進(jìn)入接口模式

　　Vlan-membershipstatic11//將當(dāng)前端口指派給剛剛創(chuàng)建的VLAN

　　以上就是劃分VLAN以及指派端口所涉及到的命令了，根據(jù)自己的需要稍做變通即可創(chuàng)建適合自己的VLAN，具體命令執(zhí)行如況如圖3所示。

　　不同型號的設(shè)備配置稍有不同，具體使用時可以通過“？”來查看命令以命令的具體語法格式。

　　三、虛擬局域網(wǎng)路由配置

　　上面只是進(jìn)行了簡單的VLAN劃分，通過在客戶端進(jìn)行相應(yīng)的IP設(shè)置，可以通過交換機(jī)的，最后再經(jīng)過路由器訪問Internet，但沒有進(jìn)行很好的路由配置，在大型企業(yè)網(wǎng)絡(luò)中，就需要對虛擬局域網(wǎng)進(jìn)行路由配置了。

　　簡單拓?fù)鋱D同圖一類似，只是進(jìn)行虛擬局域網(wǎng)的路由設(shè)置，一般設(shè)備相對來說要高端一點(diǎn)，這里以5500的交換機(jī)同3640的路由器為例進(jìn)行簡單講解，這里假設(shè)在交換機(jī)中已經(jīng)劃分了三個虛擬局域網(wǎng)，名字分別為11、22、33，現(xiàn)在通過3640來實(shí)現(xiàn)虛擬局域網(wǎng)之間的路由，將交換機(jī)上支持ISL的端口與路由器的端口進(jìn)行連接。

　　enable

　　configureterminal

　　interfaceethernet0/0

　　encapsulationisl11

　　ipaddress10.150.1.1255.255.255.0

　　interfaceethernet0/1

　　encapsulationisl22

　　ipaddress10.150.2.1255.255.255.0

　　interfaceethernet0/2

　　encapsulationisl33

　　ipaddress10.150.3.1255.255.255.0

　　命令具體執(zhí)行效果如圖4所示。

　　經(jīng)過一番配置之后，基本上就實(shí)現(xiàn)了虛擬局域網(wǎng)之間的路由了，這時可以通過Show命令來查看當(dāng)前的配置情況，如果對配置情況確認(rèn)的話，就執(zhí)行Copy命令將結(jié)果保存。

　　四、設(shè)置虛擬局域網(wǎng)的好處

　　1、防止廣播風(fēng)暴

　　在一個共享網(wǎng)絡(luò)中，一個網(wǎng)段就是一個獨(dú)立的廣播域。但是在交換網(wǎng)絡(luò)，廣播域就可以任意選定第二次網(wǎng)絡(luò)地址組成的虛擬網(wǎng)段。在這樣的情況中，網(wǎng)站工作組就可以不受共享網(wǎng)絡(luò)地理位置的控制，只根據(jù)管理功能劃分。

　　2、高安全性

　　虛擬局域網(wǎng)的分組模式，可以提高網(wǎng)絡(luò)規(guī)劃和重組的管理功能。在同一個虛擬局域網(wǎng)中的工作組，不論它們與哪個交換機(jī)進(jìn)行連接，它們之間的通訊還就和在獨(dú)立交換機(jī)上一樣。這樣就可以很好的控制廣播風(fēng)暴的發(fā)生；同時，沒有路由的話，不同的虛擬網(wǎng)之間也不能通訊，就可以增加企業(yè)網(wǎng)絡(luò)中不同部門之間的安全性。

　　3、無限制溝通訪問

　　網(wǎng)絡(luò)管理員可以通過配置虛擬局域網(wǎng)之前的路由來管理企業(yè)不同單元之間的信息互訪。交換機(jī)是根據(jù)用戶工作站的MAC地址來劃分虛擬局域網(wǎng)的。所以，用戶在整個企業(yè)網(wǎng)絡(luò)中移動辦公的話是沒有限制的，不管在哪里進(jìn)去到交換網(wǎng)絡(luò)中，都可以與虛擬互聯(lián)網(wǎng)內(nèi)其他用戶互相溝通。

　　4.、安全

　　增強(qiáng)局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。不同VLAN內(nèi)的報(bào)文在傳輸時是相互隔離的，即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備。

　　5、增加了網(wǎng)絡(luò)連接的靈活性

　　借助VLAN技術(shù)，能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡(luò)環(huán)境，就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管理費(fèi)用，特別是一些業(yè)務(wù)情況有經(jīng)常性變動的公司使用了VLAN后，這部分管理費(fèi)用大大降低。

　　五、虛擬局域網(wǎng)的劃分方式

　　1.基于端口的劃分

　　基于端口來劃分VLAN是目前最為常用的方法，具有簡單、安全和實(shí)用的特點(diǎn)。以這種方式劃分VLAN時，VLAN可以被理解為交換機(jī)端口的集合，這些被劃分到同一個VLAN中的端口可以是在一個交換機(jī)中的，也可以是來自不同的交換機(jī)的。例如，可以把某一交換機(jī)的１、３、６端口劃分到VLAN10，而把２、４、５端口劃分到VLAN20。但是劃分到VLAN10中的這些端口必須使用VLAN10中的網(wǎng)絡(luò)地址，劃分到VLAN20中的端口必須使用VLAN20中的網(wǎng)絡(luò)地址，否則將不能進(jìn)行通信。按端口進(jìn)行VLAN劃分的設(shè)置操作較為簡單，也容易被理解和接受。但是它不允許在一個端口上設(shè)置多個VLAN，同時在設(shè)備移動或添加時，需要網(wǎng)絡(luò)管理人員對交換機(jī)的端口重新進(jìn)行設(shè)置。該劃分方式屬于靜態(tài)劃分方式。

　　2.基于MAC地址的劃分

　　這種方式是根據(jù)網(wǎng)絡(luò)設(shè)備的物理地址（MAC地址）來劃分VLAN，屬于動態(tài)劃分方式。由于網(wǎng)絡(luò)設(shè)備的MAC地址是惟一的，所以，基于MAC地址劃分VLAN時，當(dāng)網(wǎng)絡(luò)設(shè)備從一個物理位置移到另一個物理位置而沒有改變其VLAN時，可以避免對VLAN重新進(jìn)行設(shè)置和修改。在這種方式下，每一個VLAN就是一張MAC清單。當(dāng)網(wǎng)絡(luò)規(guī)模較大、設(shè)備較多時，要對每個網(wǎng)絡(luò)設(shè)備逐一進(jìn)行VLAN設(shè)置，維護(hù)這些MAC清單也是相當(dāng)繁重的一項(xiàng)工作，這是這種劃分方式的缺點(diǎn)，也就是說，基于MAC的劃分方式不適合于大型網(wǎng)絡(luò)。

　　實(shí)現(xiàn)這種基于MAC地址劃VLAN的方式，通常需要一臺VLAN成員策略服務(wù)器（VLANMembershipPolicyServer，VMPS），VMPS服務(wù)器中有一個VMPS數(shù)據(jù)庫，該數(shù)據(jù)庫中包含了MAC地址到VLAC成員關(guān)系的關(guān)聯(lián)。每當(dāng)一臺計(jì)算機(jī)接入交換機(jī)端口時，交換機(jī)將該交換機(jī)的MAC地址發(fā)送到VMPS服務(wù)器中，VMPS服務(wù)器將在VMPS數(shù)據(jù)庫中查找該MAC地址對應(yīng)的VLAN配置信息并返回給交換機(jī)進(jìn)行配置。

　　3.基于網(wǎng)絡(luò)層的VLAN

　　這是一種基于網(wǎng)絡(luò)層協(xié)議或網(wǎng)絡(luò)地址來劃分VLAN的方式?；诰W(wǎng)絡(luò)層協(xié)議的劃分是在使用多種協(xié)議的情況下，可以根據(jù)所使用的協(xié)議來劃分不同的VLAN，它對每個協(xié)議有可能有不同的虛擬的拓?fù)湫问?。而基于網(wǎng)絡(luò)地址的VLAN劃分是根據(jù)所連接的計(jì)算機(jī)的網(wǎng)絡(luò)層地址進(jìn)行VLAN的劃分，VLAN之間的路由是自動的，不需要外部路由器?；诰W(wǎng)絡(luò)地址的VLAN可以在一個端口上設(shè)置多個VLAN。

　　在實(shí)際應(yīng)用時，應(yīng)根據(jù)具體的需要和所選用的交換機(jī)設(shè)備來決定采用哪種VLAN的劃分，以獲得最佳的效果。