資源簡介

VLAN學習筆記大全
VLAN學習筆記大全(1):為什么需要VLAN
什么是VLAN？
　　VLAN（Virtual LAN），翻譯成中文是“虛擬局域網”。LAN可以是由少數幾臺家用計算機構成的網絡，也可以是數以百計的計算機構成的企業網絡。VLAN所指的LAN特指使用路由器分割的網絡——也就是廣播域。
　　在此讓我們先復習一下廣播域的概念。廣播域，指的是廣播幀（目標MAC地址全部為1）所能傳遞到的范圍，亦即能夠直接通信的范圍。嚴格地說，并不僅僅是廣播幀，多播幀（Multicast Frame）和目標不明的單播幀（Unknown Unicast Frame）也能在同一個廣播域中暢行無阻。
　　本來，二層交換機只能構建單一的廣播域，不過使用VLAN功能后，它能夠將網絡分割成多個廣播域。
　　未分割廣播域時……
　　那么，為什么需要分割廣播域呢？那是因為，如果僅有一個廣播域，有可能會影響到網絡整體的傳輸性能。具體原因，請參看附圖加深理解。
圖中，是一個由5臺二層交換機（交換機1～5）連接了大量客戶機構成的網絡。假設這時，計算機A需要與計算機B通信。在基于以太網的通信中，必須在數據幀中指定目標MAC地址才能正常通信，因此計算機A必須先廣播“ARP請求（ARP Request）信息”，來嘗試獲取計算機B的MAC地址。
　　交換機1收到廣播幀（ARP請求）后，會將它轉發給除接收端口外的其他所有端口，也就是Flooding了。接著，交換機2收到廣播幀后也會Flooding。交換機3、4、5也還會Flooding。最終ARP請求會被轉發到同一網絡中的所有客戶機上。
　　請大家注意一下，這個ARP請求原本是為了獲得計算機B的MAC地址而發出的。也就是說：只要計算機B能收到就萬事大吉了。可是事實上，數據幀卻傳遍整個網絡，導致所有的計算機都收到了它。如此一來，一方面廣播信息消耗了網絡整體的帶寬，另一方面，收到廣播信息的計算機還要消耗一部分CPU時間來對它進行處理。造成了網絡帶寬和CPU運算能力的大量無謂消耗。
　　廣播信息是那么經常發出的嗎？
　　讀到這里，也許會問：廣播信息真是那么頻繁出現的嗎？
　　答案是：是的！實際上廣播幀會非常頻繁地出現。利用TCP/IP協議棧通信時，除了前面出現的ARP外，還有可能需要發出DHCP、RIP等很多其他類型的廣播信息。
　　ARP廣播，是在需要與其他主機通信時發出的。當客戶機請求DHCP服務器分配IP地址時，就必須發出DHCP的廣播。而使用RIP作為路由協議時，每隔30秒路由器都會對鄰近的其他路由器廣播一次路由信息。RIP以外的其他路由協議使用多播傳輸路由信息，這也會被交換機轉發（Flooding）。除了TCP/IP以外，NetBEUI、IPX和Apple Talk等協議也經常需要用到廣播。例如在Windows下雙擊打開“網絡計算機”時就會發出廣播（多播）信息。（Windows XP除外……）
　　總之，廣播就在我們身邊。下面是一些常見的廣播通信：
　　l ARP請求：建立IP地址和MAC地址的映射關系。
　　l RIP：一種路由協議。
　　l DHCP：用于自動設定IP地址的協議。
　　l NetBEUI：Windows下使用的網絡協議。
　　l IPX：Novell Netware使用的網絡協議。
　　l Apple Talk：蘋果公司的Macintosh計算機使用的網絡協議。
　　如果整個網絡只有一個廣播域，那么一旦發出廣播信息，就會傳遍整個網絡，并且對網絡中的主機帶來額外的負擔。因此，在設計LAN時，需要注意如何才能有效地分割廣播域。
　　廣播域的分割與VLAN的必要性
　　分割廣播域時，一般都必須使用到路由器。使用路由器后，可以以路由器上的網絡接口（LAN Interface）為單位分割廣播域。
　　但是，通常情況下路由器上不會有太多的網絡接口，其數目多在1～4個左右。隨著寬帶連接的普及，寬帶路由器（或者叫IP共享器）變得較為常見，但是需要注意的是，它們上面雖然帶著多個（一般為4個左右）連接LAN一側的網絡接口，但那實際上是路由器內置的交換機，并不能分割廣播域。
　　況且使用路由器分割廣播域的話，所能分割的個數完全取決于路由器的網絡接口個數，使得用戶無法自由地根據實際需要分割廣播域。
　　與路由器相比，二層交換機一般帶有多個網絡接口。因此如果能使用它分割廣播域，那么無疑運用上的靈活性會大大提高。
　　用于在二層交換機上分割廣播域的技術，就是VLAN。通過利用VLAN，我們可以自由設計廣播域的構成，提高網絡設計的自由度。
VLAN學習筆記大全(1):為什么需要VLAN
什么是VLAN？
　　VLAN（Virtual LAN），翻譯成中文是“虛擬局域網”。LAN可以是由少數幾臺家用計算機構成的網絡，也可以是數以百計的計算機構成的企業網絡。VLAN所指的LAN特指使用路由器分割的網絡——也就是廣播域。
　　在此讓我們先復習一下廣播域的概念。廣播域，指的是廣播幀（目標MAC地址全部為1）所能傳遞到的范圍，亦即能夠直接通信的范圍。嚴格地說，并不僅僅是廣播幀，多播幀（Multicast Frame）和目標不明的單播幀（Unknown Unicast Frame）也能在同一個廣播域中暢行無阻。
　　本來，二層交換機只能構建單一的廣播域，不過使用VLAN功能后，它能夠將網絡分割成多個廣播域。
　　未分割廣播域時……
　　那么，為什么需要分割廣播域呢？那是因為，如果僅有一個廣播域，有可能會影響到網絡整體的傳輸性能。具體原因，請參看附圖加深理解。
圖中，是一個由5臺二層交換機（交換機1～5）連接了大量客戶機構成的網絡。假設這時，計算機A需要與計算機B通信。在基于以太網的通信中，必須在數據幀中指定目標MAC地址才能正常通信，因此計算機A必須先廣播“ARP請求（ARP Request）信息”，來嘗試獲取計算機B的MAC地址。
　　交換機1收到廣播幀（ARP請求）后，會將它轉發給除接收端口外的其他所有端口，也就是Flooding了。接著，交換機2收到廣播幀后也會Flooding。交換機3、4、5也還會Flooding。最終ARP請求會被轉發到同一網絡中的所有客戶機上。
　　請大家注意一下，這個ARP請求原本是為了獲得計算機B的MAC地址而發出的。也就是說：只要計算機B能收到就萬事大吉了。可是事實上，數據幀卻傳遍整個網絡，導致所有的計算機都收到了它。如此一來，一方面廣播信息消耗了網絡整體的帶寬，另一方面，收到廣播信息的計算機還要消耗一部分CPU時間來對它進行處理。造成了網絡帶寬和CPU運算能力的大量無謂消耗。
　　廣播信息是那么經常發出的嗎？
　　讀到這里，也許會問：廣播信息真是那么頻繁出現的嗎？
　　答案是：是的！實際上廣播幀會非常頻繁地出現。利用TCP/IP協議棧通信時，除了前面出現的ARP外，還有可能需要發出DHCP、RIP等很多其他類型的廣播信息。
　　ARP廣播，是在需要與其他主機通信時發出的。當客戶機請求DHCP服務器分配IP地址時，就必須發出DHCP的廣播。而使用RIP作為路由協議時，每隔30秒路由器都會對鄰近的其他路由器廣播一次路由信息。RIP以外的其他路由協議使用多播傳輸路由信息，這也會被交換機轉發（Flooding）。除了TCP/IP以外，NetBEUI、IPX和Apple Talk等協議也經常需要用到廣播。例如在Windows下雙擊打開“網絡計算機”時就會發出廣播（多播）信息。（Windows XP除外……）
　　總之，廣播就在我們身邊。下面是一些常見的廣播通信：
　　l ARP請求：建立IP地址和MAC地址的映射關系。
　　l RIP：一種路由協議。
　　l DHCP：用于自動設定IP地址的協議。
　　l NetBEUI：Windows下使用的網絡協議。
　　l IPX：Novell Netware使用的網絡協議。
　　l Apple Talk：蘋果公司的Macintosh計算機使用的網絡協議。
　　如果整個網絡只有一個廣播域，那么一旦發出廣播信息，就會傳遍整個網絡，并且對網絡中的主機帶來額外的負擔。因此，在設計LAN時，需要注意如何才能有效地分割廣播域。
　　廣播域的分割與VLAN的必要性
　　分割廣播域時，一般都必須使用到路由器。使用路由器后，可以以路由器上的網絡接口（LAN Interface）為單位分割廣播域。
　　但是，通常情況下路由器上不會有太多的網絡接口，其數目多在1～4個左右。隨著寬帶連接的普及，寬帶路由器（或者叫IP共享器）變得較為常見，但是需要注意的是，它們上面雖然帶著多個（一般為4個左右）連接LAN一側的網絡接口，但那實際上是路由器內置的交換機，并不能分割廣播域。
　　況且使用路由器分割廣播域的話，所能分割的個數完全取決于路由器的網絡接口個數，使得用戶無法自由地根據實際需要分割廣播域。
　　與路由器相比，二層交換機一般帶有多個網絡接口。因此如果能使用它分割廣播域，那么無疑運用上的靈活性會大大提高。
　　用于在二層交換機上分割廣播域的技術，就是VLAN。通過利用VLAN，我們可以自由設計廣播域的構成，提高網絡設計的自由度。
VLAN學習筆記大全(2):VLAN的訪問鏈接
交換機的端口
　　交換機的端口，可以分為以下兩種：
　　l 訪問鏈接（Access Link）
　　l 匯聚鏈接（Trunk Link）
　　接下來就讓我們來依次學習這兩種不同端口的特征。這一講，首先學習“訪問鏈接”。
　　訪問鏈接
　　訪問鏈接，指的是“只屬于一個VLAN，且僅向該VLAN轉發數據幀”的端口。在大多數情況下，訪問鏈接所連的是客戶機。
　　通常設置VLAN的順序是：
　　l 生成VLAN
　　l 設定訪問鏈接（決定各端口屬于哪一個VLAN）
　　設定訪問鏈接的手法，可以是事先固定的、也可以是根據所連的計算機而動態改變設定。前者被稱為“靜態VLAN”、后者自然就是“動態VLAN”了。
　　靜態VLAN
　　靜態VLAN又被稱為基于端口的VLAN（Port Based VLAN）。顧名思義，就是明確指定各端口屬于哪個VLAN的設定方法。
　　由于需要一個個端口地指定，因此當網絡中的計算機數目超過一定數字（比如數百臺）后，設定操作就會變得煩雜無比。并且，客戶機每次變更所連端口，都必須同時更改該端口所屬VLAN的設定——這顯然不適合那些需要頻繁改變拓補結構的網絡。
　　動態VLAN
　　另一方面，動態VLAN則是根據每個端口所連的計算機，隨時改變端口所屬的VLAN。這就可以避免上述的更改設定之類的操作。動態VLAN可以大致分為3類：
　　l 基于MAC地址的VLAN（MAC Based VLAN）
　　l 基于子網的VLAN（Subnet Based VLAN）
　　l 基于用戶的VLAN（User Based VLAN）
　　其間的差異，主要在于根據OSI參照模型哪一層的信息決定端口所屬的VLAN。
　　基于MAC地址的VLAN，就是通過查詢并記錄端口所連計算機上網卡的MAC地址來決定端口的所屬。假定有一個MAC地址“A”被交換機設定為屬于VLAN“10”，那么不論MAC地址為“A”的這臺計算機連在交換機哪個端口，該端口都會被劃分到VLAN10中去。計算機連在端口1時，端口1屬于VLAN10；而計算機連在端口2時，則是端口2屬于VLAN10。
　　由于是基于MAC地址決定所屬VLAN的，因此可以理解為這是一種在OSI的第二層設定訪問鏈接的辦法。
　　但是，基于MAC地址的VLAN，在設定時必須調查所連接的所有計算機的MAC地址并加以登錄。而且如果計算機交換了網卡，還是需要更改設定。
　　基于子網的VLAN，則是通過所連計算機的IP地址，來決定端口所屬VLAN的。不像基于MAC地址的VLAN，即使計算機因為交換了網卡或是其他原因導致MAC地址改變，只要它的IP地址不變，就仍可以加入原先設定的VLAN。
　　因此，與基于MAC地址的VLAN相比，能夠更為簡便地改變網絡結構。IP地址是OSI參照模型中第三層的信息，所以我們可以理解為基于子網的VLAN是一種在OSI的第三層設定訪問鏈接的方法。
　　基于用戶的VLAN，則是根據交換機各端口所連的計算機上當前登錄的用戶，來決定該端口屬于哪個VLAN。這里的用戶識別信息，一般是計算機操作系統登錄的用戶，比如可以是Windows域中使用的用戶名。這些用戶名信息，屬于OSI第四層以上的信息。
　　總的來說，決定端口所屬VLAN時利用的信息在OSI中的層面越高，就越適于構建靈活多變的網絡。
　　訪問鏈接的總結
　　綜上所述，設定訪問鏈接的手法有靜態VLAN和動態VLAN兩種，其中動態VLAN又可以繼續細分成幾個小類。
　　其中基于子網的VLAN和基于用戶的VLAN有可能是網絡設備廠商使用獨有的協議實現的，不同廠商的設備之間互聯有可能出現兼容性問題；因此在選擇交換機時，一定要注意事先確認。
VLAN學習筆記大全(3):實現VLAN的機制
在理解了“為什么需要VLAN”之后，接下來讓我們來了解一下交換機是如何使用VLAN分割廣播域的。
　　首先，在一臺未設置任何VLAN的二層交換機上，任何廣播幀都會被轉發給除接收端口外的所有其他端口（Flooding）。例如，計算機A發送廣播信息后，會被轉發給端口2、3、4。
　　交換機
　　廣播幀
　　交換機收到廣播幀后，轉發到除接收端口外的其他所有端口。
　　這時，如果在交換機上生成紅、藍兩個VLAN；同時設置端口1、2屬于紅色VLAN、端口3、4屬于藍色VLAN。再從A發出廣播幀的話，交換機就只會把它轉發給同屬于一個VLAN的其他端口——也就是同屬于紅色VLAN的端口2，不會再轉發給屬于藍色VLAN的端口。
　　同樣，C發送廣播信息時，只會被轉發給其他屬于藍色VLAN的端口，不會被轉發給屬于紅色VLAN的端口。
　　就這樣，VLAN通過限制廣播幀轉發的范圍分割了廣播域。上圖中為了便于說明，以紅、藍兩色識別不同的VLAN，在實際使用中則是用“VLAN ID”來區分的。
　　直觀地描述VLAN
　　如果要更為直觀地描述VLAN的話，我們可以把它理解為將一臺交換機在邏輯上分割成了數臺交換機。在一臺交換機上生成紅、藍兩個VLAN，也可以看作是將一臺交換機換做一紅一藍兩臺虛擬的交換機。
　　在紅、藍兩個VLAN之外生成新的VLAN時，可以想象成又添加了新的交換機。
　　但是，VLAN生成的邏輯上的交換機是互不相通的。因此，在交換機上設置VLAN后，如果未做其他處理，VLAN間是無法通信的。
　　明明接在同一臺交換機上，但卻偏偏無法通信——這個事實也許讓人難以接受。但它既是VLAN方便易用的特征，又是使VLAN令人難以理解的原因。
　　需要VLAN間通信時怎么辦
　　那么，當我們需要在不同的VLAN間通信時又該如何是好呢？
　　請大家再次回憶一下：VLAN是廣播域。而通常兩個廣播域之間由路由器連接，廣播域之間來往的數據包都是由路由器中繼的。因此，VLAN間的通信也需要路由器提供中繼服務，這被稱作“VLAN間路由”。
　　VLAN間路由，可以使用普通的路由器，也可以使用三層交換機。其中的具體內容，等有機會再細說吧。在這里希望大家先記住不同VLAN間互相通信時需要用到路由功能。
在LAN內的通信，是通過數據幀頭中指定通信目標的MAC地址來完成的。而為了獲取MAC地址，TCP/IP協議下使用ARP地址協議解析MAC地址的方法是通過廣播報文來實現的，如果廣播報文無法到達目的地，那么就無從解析MAC地址，亦即無法直接通信。當計算機分屬不同的VLAN時，就意味著分屬不同的廣播域，自然收不到彼此的廣播報文。因此，屬于不同VLAN的計算機之間無法直接互相通信。為了能夠在VLAN間通信，需要利用OSI參照模型中更高一層——網絡層的信息（IP地址）來進行路由。在目前的網絡互連設備中能完成路由功能的設備主要有路由器和三層以上的交換機。
1 通過路由器實現VLAN間的通信
使用路由器實現VLAN間通信時，路由器與交換機的連接方式有兩種。第一種通過路由器的不同物理接口與交換機上的每個VLAN分別連接。第二種通過路由器的邏輯子接口與交換機的各個VLAN連接。
1.1通過路由器的不同物理接口與交換機上的每個VLAN分別連接。
這種方式的優點是管理簡單，缺點是網絡擴展難度大。每增加一個新的VLAN，都需要消耗路由器的端口和交換機上的訪問鏈接，而且還需要重新布設一條網線。而路由器，通常不會帶有太多LAN接口的。新建VLAN時，為了對應增加的VLAN所需的端口，就必須將路由器升級成帶有多個LAN接口的高端產品，這部分成本、還有重新布線所帶來的開銷，都使得這種接線法成為一種不受歡迎的辦法。
1.2通過路由器的邏輯子接口與交換機的各個VLAN連接。
這種連接方式要求路由器和交換機的端口都支持匯聚鏈接，且雙方用于匯聚鏈路的協議自然也必須相同。接著在路由器上定義對應各個VLAN的邏輯子接口E1.1和E1.2。由于這種方式是靠在一個物理端口上設置多個邏輯子接口的方式實現網絡擴展，因此網絡擴展比較容易且成本較低，只是對路由器的配置要復雜一些。
2. 用交換機代替路由器實現VLAN間的通信
目前市場上有許多三層以上的交換機，在這些交換機中，廠家通過硬件或軟件的方式將路由功能集成到交換機中，交換機主要用于園區網中，園區網中的路由比較簡單，但要求數據交換的速度較快，因此在大型園區網中用交換機代替路由器已是不爭的事實。用交換機代替路由器實現VLAN間通信的方式也有兩種，其一，就是啟用交換機的路由功能，這種方式的實現方法可采用以上介紹的路由器方式的任一種。其二，是利用某些高端交換機所支持的專用VLAN功能來實現VLAN間的通信。下面就對這種方式作重點介紹。
專用VALN將端口分為混雜端口、隔離端口和群體端口三類，只有混雜端口能夠和路由器或三層交換機連接。對應混雜端口的VLAN稱為Primary VLAN，它可以和映射到混雜端口的所有隔離VLAN(Isolated VLAN)的端口及群體VLAN(Community VLAN)的
端口通信。Community VLAN的端口除了可以和Primary VLAN通信外，內部端口間也可以相互通信。Isolated VLAN內的端口只能和Primary VLAN的端口通信外，內部端口間是互相隔離的。
在神州數碼公司的DCRS7504上的配置如下：
DCRS7504(config)#vlan 7
DCRS7504(config-vlan-7)#tagged Ethernet 1/5
DCRS7504(config-vlan-7)#pvlan type Community
DCRS7504(config-vlan-7)#exit
DCRS7504(config)#vlan 5
DCRS7504(config-vlan-5)#tagged Ethernet 1/7
DCRS7504(config-vlan-5)#pvlan type Isolated
DCRS7504(config-vlan-5)#exit
DCRS7504(config)#vlan 9
DCRS7504(config-vlan-9)#untagged Ethernet 1/3
DCRS7504(config-vlan-9)#pvlan type primary
DCRS7504(config-vlan-9)#pvlan mapping 7 ethernet 1/5
DCRS7504(config-vlan-9)#pvlan mapping 5 ethernet 1/7
專用VLAN在城域網建設中得到了廣泛的應用，一個專用VLAN 不需要多個VLAN和IP子網就提供了具備第二層數據通信安全性的連接，所有的用戶都接入專用VLAN，從而實現了所有用戶與缺省網關的連接，而與專用VLAN內的其它用戶沒有任何訪問，專用VLAN同樣具有控制廣播域的作用。

展開更多......

收起↑