虚拟局域网VLAN技术及其应用论文文档格式.docx

1、3.2、如何配置三层交换机创建VLAN 14第四章 VLAN的实现与配置 184.1 VLAN实现过程 184.2校园网的IP地址分配与VLAN的规划 194.3 VLAN 的配置实例 204.3.1基于华为S3026的VLAN的配置 214.3.2基于华为Quidway S8016的VLAN配置 24第5章 VLAN 之间的通信 255.1 通过路由器实现VLAN间的通信 265.1.1通过路由器的不同物理接口与交换机上的每个VLAN分别连接 265.1.2通过路由器的逻辑子接口与交换机的各个VLAN连接 265.2 用交换机代替路由器实现VLAN间的通信 26第六章VALN的新用途 26第

2、七章 结束语 29参考文献 30第一章 前言随着我国综合国力的不断加强，我国信息产业的发展力度不断的提高，各类信息技术突飞猛进，计算机网络技术的迅猛发展更是令人叹为观止。计算机网络技术的发展犹如戏剧舞台，你方唱罢我登台。各类数据网络技术是竞相争艳，当然以太网技术也不例外。从传统的以太网（10Mb/s）发展到快速以太网（100Mb/s）和千兆以太网（1000Mb/s）也不过几年的时间，其迅猛的势头实在令人吃惊。而现在中大型规模网络建设中，以千兆三层交换机为核心的所谓“千兆主干跑、百兆到桌面”的主流网络模型已不胜枚举。起初，企业的电脑是各自为政的单机应用，在使用过程中逐步暴露出资源利用效率低、信息

3、冗余大等问题，而要解决这些问题就需要建设一个网络系统来实现资源的共享。在使用网络系统的过程中，随着接入的设备逐渐增多，网络结构日趋复杂，传统网络链接日益暴露出一些缺点，例如在传统的以太网中，所有的用户共享同一个广播域和冲突域，其结果是引起网络性能的下降。交换机的出现解决了冲突域的问题，但交换机无法控制广播风暴，无法保证通信安全。虚拟局域网（Virtual Local AreaNetwork ，VLAN） 技术可以解决这个问题。VLAN是一种通过将局域网内的设备逻辑地而不是物理地划分成的一个个网段，从而实现虚拟工作组的一种新兴交换技术。通过划分不同VLAN，不同的VLAN的成员之间不可直接通信，

4、需要通过路由支持才能通信，而同一VLAN中的成员可以直接通信，不需路由支持。所以一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，这样就可以控制流量，有效地节省带宽，提高网络的性能，同时做到减少设备投资、简化网络管理、提高网络的安全性。因此，进行VLAN的研究，对于一个企业来说具有重要的意义和价值。本文将结合丽水本地的一些实际情况，分别对以太网的原理、VLAN的发展、三层交换的定义、VLAN的定义、VLAN的优点、VLAN的划分、VLAN的配置（结合实例）等内容加以阐述。第二章 VLAN的发展过程2.1、以太网的工作原理及三层交换的产生以太网的工作原理是利用二进制位形成的一个个字节组

5、合成一帧帧的数据（其实是一些电脉冲）在导线中进行传播。首先，以太网网段上需要进行数据传送的节点对导线进行监听，这个过程称为CSMA/CD（Carrier Sense Multiple Access with Collision Detection带有冲突监测的载波侦听多址访问）的载波侦听。这个机制的工作原理就是每台机器在总线上发送数据之前要侦听是否有其他数据在总线上传送，如果有就等待，否则就会发出准备传送数据的信息，其它机器侦听到这个信息就会暂停自己的数据传送。可以说所有在这个总线上的机器在一个冲突域内，因为他们是互相争夺总线带宽的，是共享机制，因此又叫做带宽域。集线器（HUB）所有的端口都在

6、一个冲突域，所有的机器都可以侦听到其它机器是否在发送数据，也可以接受到其它机器发出的数据，所以说HUB是共享带宽的，在满载的情况下是不能保证所有机器都能得到端口的标称带宽的，而且利用其可以接收到其它机器发送的数据的特点，我们可以用sniffer等软件监控网络中的数据。也就是说在CSMA/CD方式下，在一个时间段，只有一个节点能够在导线上传送数据。而转发以太网数据帧的联网设备是集线器,它是一层设备，传输效率比较低。 冲突的产生降低了以太网的带宽，而且这种情况又是不可避免的。交换机的好处在于其可以隔离冲突域，每个端口就是一个冲突域，因此在一个端口单独接计算机的时候，该计算机是不会与其它计算机产生冲

7、突的，也就是带宽是独享的，交换机能做到这一点关键在于其内部的总线带宽是足够大的，可以满足所有端口的全双工状态下的带宽需求，并且通过类似电话交换机的机制保护不同的数据包能够到达目的地，可以把HUB和交换机比喻成单排街道与高速公路。HUB和交换机都工作于OSI的第二层。二层交换机是基于目标MAC（介质访问控制）地址做出转发决定的，它们是二层设备。我们已经知道了以太网的缺点及物理网段中冲突的影响，现在，我们来看看另外一种导致网络降低运行速度的原因：广播。广播存在于所有的网络上，如果不对它们进行适当的控制，它们便会充斥于整个网络，产生大量的网络通信。广播不仅消耗了带宽，而且也降低了用户工作站的处理效率

8、。IP广播是属于OSI的第三层，是基于TCP/IP协议的。TCP/IP使用广播从IP地址中解析MAC地址，还使用广播通过RIP和IGRP协议进行宣告。交换机是无法隔离广播的，就像HUB无法隔离冲突域一样，因为其是工作在OSI第二层的，无法分析IP包，但我们可以使用路由器来隔离广播域，路由器的每个端口可以看成是一个广播域，一个端口的广播无法传到另外一个端口（特殊设置除外），因此在规模较大，机器较多的情况下我们可以使用路由器来隔离广播。在这里，我们就容易理解三层交换技术了，通俗地讲，就是将路由与交换合二为一的技术。路由器在对第一个数据流进行路由后，将会产生一个MAC地址与IP地址的映射表，当同样的

9、数据流再次通过时，将根据此映射表直接从二层进行交换而不是再次路由，提供线速性能，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率，消除了路由器可能产生的网络瓶颈问题。采用此技术的交换机我们常称为三层交换机。2.2、VLAN的产生通常，只有通过划分子网才可以隔离广播，但是VLAN的出现打破了这个定律，用二层的东西解决三层的问题很是奇怪，但是的确做到了。它的作用就是将物理上互连的网络在逻辑上划分为多个互不相干的网络，这些网络之间是无法通讯的，就好像互相之间没有连接一样，因此广播也就隔离开了。2.2.1、VLAN的定义VLAN是英文Virtual Local Area Netwo

10、rk的缩写，即虚拟局域网。是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN可以不考虑用户的物理位置，而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组，每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播，形成一个广播域，而不同VLAN之间广播信息是相互隔离的。这样，将整个网络分割成多个不同的广播域（VLAN）。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。一方面，VLAN建立在局域网交换机的基础之上；另一方面，VLAN是局域交换网的灵魂。这是

11、因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。如图2-1所示，是基本的VLAN结构图2-简单VLAN的基本结构VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑

12、上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。2.2.2、VLAN的发展过程在没有VLAN之前，一个公司、企业、政府等团体都是同一个局域网，只是用二层交换机只能构建单一的广播域，如果这个团体很大的话，就会造

13、成很多的网络垃圾广播的。就如：交换机1收到广播帧（ARP请求）后，会将它转发给除接收端口外的其他所有端口，也就是Flooding了。接着，交换机2收到广播帧后也会Flooding。交换机3、4、5也还会Flooding。最终ARP请求会被转发到同一网络中的所有客户机上。这个ARP请求原本是为了获得计算机B的MAC地址而发出的。也就是说：只要计算机B能收到就万事大吉。可是事实上，数据帧却传遍整个网络，导致所有的计算机都收到了它。如此一来，一方面广播消耗了网络整体的带宽，另一方面，收到广播的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能力的大量无谓消耗。然而，网络中AR

14、P请求也是非常多的，另外，发出DHCP、RIP等很多其他类型的广播。那么一旦发出广播信息，就会传遍整个网络，并且对网络中的主机带来额外的负担，这样是对整个网络都是非常不利的另外，一个很大的团体就是一个局域网的话，是比较难管理的。有些资料只是某些人可以用的，其他人是不可以得到的，如果去共享的话，整个网络中的用户都可能下载到共享的资料，它的作用是控制网络中不同部门、不同站点之间的互相访问，从而降低泄露机密信息的可能性。为了解决网络中的种种问题，交换技术也有不停发展。交换技术的发展，也加快了新的交换技术（VLAN）的应用速度。通过将企业网络划分为虚拟网络VLAN网段，可以强化网络管理和网络安全，控制

15、不必要的数据广播。在共享网络中，一个物理的网段就是一个广播域。而在交换网络中，广播域可以是有一组任意选定的第二层网络地址（MAC地址）组成的虚拟网段。这样，网络中工作组的划分可以突破共享网络中的地理位置限制，而完全根据管理功能来划分。这种基于工作流的分组模式，大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的 VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同

16、部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。2.2.3、VLAN的优点VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN

17、号，它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN具有以下优点：（1）、控制网络的广播风暴 限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机， 在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。（2）、确

18、保网络安全 共享式局域网之所以很难保证网络的安全性，是因为只要用户插入一个活动端口，就能访问网络。而VLAN能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备，增强局域网的安全性。因此VLAN能确保网络的安全性。（3）、简化项目管理或应用管理VLAN 将用户和网络设备聚合到一起，以支持商业需求或地域上的需求。通过职能划分，项目管理

19、或特殊应用的处理都变得十分方便，例如可以轻松管理教师的电子教学开发平台。此外，也很容易确定升级网络服务的影响范围。（4）、成本降低：成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。（5）、性能提高：将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。（6）、提高IT员工效率VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。网络管理员能借助于VLAN技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络，其成员可能遍及全国或全世界，此时，网络管理员只需设置几条命令，就能在几分钟内建立该项目的VLAN网络

20、，其成员使用VLAN网络，就像在本地使用局域网一样。（7）、增加了网络连接的灵活性。借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境 ，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管 理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。2.2.4、VLAN的划分使用VLAN的目的不仅仅是隔离广播，还有安全和管理等方面的应用，例如将重要部门与其它部门通过VLAN隔离，即使同在一个网络也可以保证他们不能互相通讯，确保重要部门的数据安全；也可以按照不同的部门、人员，位置划分VLAN，分别赋给不

21、同的权限来进行管理。VLAN的划分有很多种，我们可以按照IP地址来划分，按照端口来划分、按照MAC地址划分或者按照协议来划分，常用的划分方法是将端口和IP地址结合来划分VLAN，某几个端口为一个VLAN，并为该VLAN配置IP地址，那么该VLAN中的计算机就以这个地址为网关，其它VLAN则不能与该VLAN处于同一子网。我们本地常常采用几种方法相结合进行VLAN的划分。VLAN的划分 （1）、根据端口来划分VLAN 许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟

22、网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。（2）、根据MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，

23、可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。（3）、根据网络层划分VLAN 这种划分VLAN的方法是根据每个主机的网络层地址或协议类型（如果支持多协议）划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。这种方法的优点是用户

24、的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的（相对于前面两种方法），一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。（4）、根据IP组播划分VLAN IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的

25、灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。（5）、基于规则的VLAN也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，能够把相关的用户连成一体，在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则（或属性），那么当一个站点加入网络中时，将会被“感知”，并被自动地包含进正确的VLAN中。同时，对站点的移动和改变也可自动识别和跟踪。采用这种方法，整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN，这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLA

26、N时，交换机中软件自动检查进入交换机端口的广播信息的IP源地址，然后软件自动将这个端口分配给一个由IP子网映射成的VLAN。（6）、按用户定义、非用户授权划分VLAN于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。 2.2.5、VLAN的标准对VLAN的标准，我们只是介绍两种比较通用的标准，当然也有一些公司具有自己的标准，比如Cisco公司的ISL标准，虽然不是一种大众化的标准，但是由于Cisco Cataly

27、st交换机的大量使用，ISL也成为一种不是标准的标准了。（1）、802.10VLAN标准 在1995年，Cisco公司提倡使用IEEE802.10协议。在此之前，IEEE802.10曾经在全球范围内作为VLAN安全性的同一规范。Cisco公司试图采用优化后的802.10帧格式在网络上传输FrameTagging模式中所必须的VLAN标签。然而，大多数802委员会的成员都反对推广802.10。因为，该协议是基于FrameTagging方式的。（2）、802.1Q 标准在1996年3月，IEEE802.1Internetworking委员会结束了对VLAN初期标准的修订工作。新出台的标准进一步完善

28、了VLAN的体系结构，统一了Fram-eTagging方式中不同厂商的标签格式，并制定了VLAN标准在未来一段时间内的发展方向，形成的802.1Q的标准在业界获得了广泛的推广。它成为VLAN史上的一块里程碑。802.1Q的出现打破了虚拟网依赖于单一厂商的僵局，从一个侧面推动了VLAN的迅速发展。另外，来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。（3）、Cisco ISL 标签 ISL（Inter-Switch Link）是Cisco公司的专有封装方式，因此只能在Cisco的设备上支持。ISL是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VL

29、AN数据流的协议，通过在交换机直接的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和配置。2.2.6、VLAN的配置（1）、VLAN的工作模式：静态VLAN：管理员针对交换机端口指定VLAN。动态VLAN：通过设置VMPS（VLAN Membership Policy Server），包含了一个MAC地址与VLAN号的映射表，当数据帧到达交换机后，交换机会查询VMPS获得相应MAC地址的VLAN ID。（2）、ISL标签：ISL（InterSwitch Link）是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接

30、相连的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和进行配置。VLAN封装的国际标准为IEEE 802.1Q。（3）、VTP（VLAN Trunking Protocol）：它是一个在交换机之间同步及传递VLAN配置信息的协议。一个VTP Server上的配置将会传递给网络中的所有交换机，VTP通过减少手工配置而支持较大规模的网络。VTP有三种模式：Server模式：允许创建、修改、删除VLAN及其他一些对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新的VLAN信息。Client模式：在Client模式下，一台交换机不能创建、删除、修改VLAN配置，也不能在NVRAM中存储VLAN配置，但可以同步由本VTP域中其他交换机传递来的VLAN信息。Transparent模式：可以进行创建、修改、删除，也可以传递