局域網實現VLAN實例

計算機網絡技術從傳統的以太網（10Mb/s） 發展到快速以太網（100Mb/s）和千兆以太網
（1000Mb/s）也不過幾年的時間， 迅猛的勢頭令人吃驚。而現在中大型規模網絡建設中， 以
千兆三層交換機爲核心的所謂“千兆主幹跑、 百兆到桌面”的主流網絡模型已不勝枚舉。現在，
網絡業界對“三層交換”和VLAN這兩詞已經不感到陌生了。

一、什麼是三層交換和VLAN
要回答這個問題我們還是先看看以太網的工作原理。以太網的工作原理是利用二進制位形
成的一個個字節組合成一幀幀的數據（其實是一些電脈衝）在導線中進行傳播。首先，以太網
網段上需要進行數據傳送的節點對導線進行監聽，這個過程稱爲CSMA/CD
（Carrier Sense Multiple Access with Collision Detection帶有衝突監測的載波偵聽多址
訪問）的載波偵聽。如果，這時有另外的節點正在傳送數據，監聽節點將不得不等待，直到傳
送節點的傳送任務結束。如果某時恰好有兩個工作站同時準備傳送數據，以太網網段將發出
“衝突”信號。這時，節點上所有的工作站都將檢測到衝突信號，因爲這時導線上的電壓超出了
標準電壓。這時以太網網段上的任何節點都要等衝突結束後才能夠傳送數據。也就是說在CSMA
/CD方式下，在一個時間段，只有一個節點能夠在導線上傳送數據。而轉發以太網數據幀的聯網
設備是集線器,它是一層設備，傳輸效率比較低。
衝突的產生降低了以太網的帶寬，而且這種情況又是不可避免的。所以，當導線上的節點
越來越多後，衝突的數量將會增加。顯而易見的解決方法是限制以太網導線上的節點，需要對
網絡進行物理分段。將網絡進行物理分段的網絡設備用到了網橋與交換機。網橋和交換機的基
本作用是隻發送去往其他物理網段的信息。所以，如果所有的信息都只發往本地的物理網段，
那麼網橋和交換機上就沒有信息通過。這樣可以有效減少網絡上的衝突。網橋和交換機是基於
目標MAC（介質訪問控制）地址做出轉發決定的，它們是二層設備。 我們已經知道了以太網的
缺點及物理網段中衝突的影響，現在，我們來看看另外一種導致網絡降低運行速度的原因：廣
播。廣播存在於所有的網絡上，如果不對它們進行適當的控制，它們便會充斥於整個網絡，產
生大量的網絡通信。廣播不僅消耗了帶寬，而且也降低了用戶工作站的處理效率。由於各種各
樣的原因，網絡操作系統（NOS）使用了廣播，TCP/IP使用廣播從IP地址中解析MAC地址，還使
用廣播通過RIP和IGRP協議進行宣告，所以，廣播也是不可避免的。 網橋和交換機將對所有的
廣播信息進行轉發，而路由器不會。所以，爲了對廣播進行控制，就必須使用路由器。路由器
是基於第3層報頭、目標IP尋址、目標IPX尋址或目標Appletalk尋址做出轉發決定。路由器是
3層設備。
在這裏，我們就容易理解三層交換技術了，通俗地講，就是將路由與交換合二爲一的技術。
路由器在對第一個數據流進行路由後，將會產生一個MAC地址與IP地址的映射表， 當同樣的數
據流再次通過時，將根據此映射表直接從二層進行交換而不是再次路由，提供線速性能，從而
消除了路由器進行路由選擇而造成網絡的延遲，提高了數據包轉發的效率。採用此技術的交換
機我們常稱爲三層交換機。
那麼，什麼是VLAN呢？VLAN（Virtual Local Area Network）就是虛擬局域網的意思。
VLAN可以不考慮用戶的物理位置，而根據功能、應用等因素將用戶從邏輯上劃分爲一個個功能
相對獨立的工作組，每個用戶主機都連接在一個支持VLAN的交換機端口上並屬於一個VLAN。同
一個VLAN中的成員都共享廣播，形成一個廣播域，而不同VLAN之間廣播信息是相互隔離的。這
樣，將整個網絡分割成多個不同的廣播域（VLAN）。
一般來說，如果一個VLAN裏面的工作站發送一個廣播，那麼這個VLAN裏面所有的工作站都
接收到這個廣播，但是交換機不會將廣播發送至其他VLAN上的任何一個端口。如果要將廣播發
送到其它的VLAN端口，就要用到三層交換機。

二、如何配置三層交換機創建VLAN
以下的介紹都是基於Cisco交換機的VLAN。Cisco的VLAN實現通常是以端口爲中心的。與節
點相連的端口將確定它所駐留的VLAN。將端口分配給VLAN的方式有兩種，分別是靜態的和動態
的.形成靜態VLAN的過程是將端口強制性地分配給VLAN的過程。即我們先在VTP
（VLAN Trunking Protocol）Server上建立VLAN，然後將每個端口分配給相應的VLAN的過程。
這是我們創建VLAN最常用的方法。
動態VLAN形成很簡單，由端口決定自己屬於哪個VLAN。即我們先建立一個VMPS
（VLAN Membership Policy Server）VLAN管理策略服務器，裏面包含一個文本文件， 文件中
存有與VLAN映射的MAC地址表。交換機根據這個映射表決定將端口分配給何種VLAN。 這種方法
有很大的優勢，但是創建數據庫是一項非常艱苦而且非常繁瑣的工作。
下面以實例說明如何在一個典型的快速以太局域網中實現VLAN。所謂典型的局域網就是指
由一臺具備三層交換功能的核心交換機接幾臺分支交換機（不一定具備三層交換能力）。我們
假設核心交換機名稱爲：COM；分支交換機分別爲：PAR1、PAR2、PAR3……， 分別通過Port 1的
光線模塊與核心交換機相連；並且假設VLAN名稱分別爲COUNTER、MARKET、MANAGING……。

1、設置VTP DOMAIN VTP DOMAIN 稱爲管理域。交換VTP更新信息的所有交換機必須配置爲相同
的管理域。如果所有的交換機都以中繼線相連，那麼只要在核心交換機上設置一個管理域，
網絡上所有的交換機都加入該域，這樣管理域裏所有的交換機就能夠了解彼此的VLAN列表。
COM#vlan database 進入VLAN配置模式
COM(vlan)#vtp domain COM 設置VTP管理域名稱COM
COM(vlan)#vtp server 設置交換機爲服務器模式
PAR1#vlan database 進入VLAN配置模式
PAR1(vlan)#vtp domain COM 設置VTP管理域名稱COM
PAR1(vlan)#vtp Client 設置交換機爲客戶端模式
PAR2#vlan database 進入VLAN配置模式
PAR2(vlan)#vtp domain COM 設置VTP管理域名稱COM
PAR2(vlan)#vtp Client 設置交換機爲客戶端模式
PAR3#vlan database 進入VLAN配置模式
PAR3(vlan)#vtp domain COM 設置VTP管理域名稱COM
PAR3(vlan)#vtp Client 設置交換機爲客戶端模式

注意：這裏設置交換機爲Server模式是指允許在本交換機上創建、修改、刪除VLAN及其他一些
對整個VTP域的配置參數，同步本VTP域中其他交換機傳遞來的最新的VLAN信息；Client模式是
指本交換機不能創建、刪除、修改VLAN配置，也不能在NVRAM中存儲VLAN配置， 但可以同步由
本VTP域中其他交換機傳遞來的VLAN信息。

2、配置中繼

爲了保證管理域能夠覆蓋所有的分支交換機，必須配置中繼。 Cisco交換機能夠支持任何介質
作爲中繼線，爲了實現中繼可使用其特有的ISL標籤。ISL（Inter－Switch Link）是一個在交
換機之間、交換機與路由器之間及交換機與服務器之間傳遞多個VLAN信息及VLAN數據流的協議，
通過在交換機直接相連的端口配置ISL封裝， 即可跨越交換機進行整個網絡的VLAN分配和進行
配置。

在覈心交換機端配置如下：

COM(config)#interface gigabitEthernet 2/1
COM(config-if)#switchport
COM(config-if)#switchport trunk encapsulation isl
COM(config-if)#switchport mode trunk
COM(config)#interface gigabitEthernet 2/2
COM(config-if)#switchport
COM(config-if)#switchport trunk encapsulation isl
COM(config-if)#switchport mode trunk
COM(config)#interface gigabitEthernet 2/3
COM(config-if)#switchport
COM(config-if)#switchport trunk encapsulation isl
COM(config-if)#switchport mode trunk

在分支交換機端配置如下：

PAR1(config)#interface gigabitEthernet 0/1
PAR1(config-if)#switchport mode trunk
PAR2(config)#interface gigabitEthernet 0/1
PAR2(config-if)#switchport mode trunk
PAR3(config)#interface gigabitEthernet 0/1
PAR3(config-if)#switchport mode trunk
……

此時，管理域算是設置完畢了。

3、創建VLAN

一旦建立了管理域，就可以創建VLAN了。
COM(vlan)#Vlan 10 name COUNTER 創建了一個編號爲10名字爲COUNTER的 VLAN
COM(vlan)#Vlan 11 name MARKET 創建了一個編號爲11名字爲MARKET的 VLAN
COM(vlan)#Vlan 12 name MANAGING 創建了一個編號爲12名字爲MANAGING的 VLAN
……

注意，這裏的VLAN是在覈心交換機上建立的，其實，只要是在管理域中的任何一臺VTP 屬性爲
Server的交換機上建立VLAN，它就會通過VTP通告整個管理域中的所有的交換機。 但是如果要
將交換機的端口劃入某個VLAN，就必須在該端口所屬的交換機上進行設置。

4、將交換機端口劃入VLAN

例如，要將PAR1、PAR2、PAR3……分支交換機的端口1劃入COUNTER VLAN，端口2劃入MARKET VLAN，
端口3劃入MANAGING VLAN……

PAR1(config)#interface fastEthernet 0/1 配置端口1
PAR1(config-if)#switchport access vlan 10 歸屬COUNTER VLAN
PAR1(config)#interface fastEthernet 0/2 配置端口2
PAR1(config-if)#switchport access vlan 11 歸屬MARKET VLAN
PAR1(config)#interface fastEthernet 0/3 配置端口3
PAR1(config-if)#switchport access vlan 12 歸屬MANAGING VLAN
PAR2(config)#interface fastEthernet 0/1 配置端口1
PAR2(config-if)#switchport access vlan 10 歸屬COUNTER VLAN
PAR2(config)#interface fastEthernet 0/2 配置端口2
PAR2(config-if)#switchport access vlan 11 歸屬MARKET VLAN
PAR2(config)#interface fastEthernet 0/3 配置端口3
PAR2(config-if)#switchport access vlan 12 歸屬MANAGING VLAN
PAR3(config)#interface fastEthernet 0/1 配置端口1
PAR3(config-if)#switchport access vlan 10 歸屬COUNTER VLAN
PAR3(config)#interface fastEthernet 0/2 配置端口2
PAR3(config-if)#switchport access vlan 11 歸屬MARKET VLAN
PAR3(config)#interface fastEthernet 0/3 配置端口3
PAR3(config-if)#switchport access vlan 12 歸屬MANAGING VLAN
……

5、配置三層交換

到這裏，VLAN已經基本劃分完畢。但是，VLAN間如何實現三層（網絡層）交換呢？這時就要給
各VLAN分配網絡（IP）地址了。給VLAN分配IP地址分兩種情況，其一，給VLAN所有的節點分配
靜態IP地址；其二，給VLAN所有的節點分配動態IP地址。下面就這兩種情況分別介紹。

我們假設給VLAN COUNTER分配的接口Ip地址爲172.16.58.1/24，網絡地址爲：172.16.58.0，
VLAN MARKET分配的接口Ip地址爲172.16.59.1/24，網絡地址爲172.16.59.0，VLAN MANAGING
分配的接口Ip地址爲172.16.60.1/24，網絡地址爲172.16.60.0……。如果動態分配IP地址，
則設網絡上的DHCP服務器IP地址爲172.16.1.11。

(1)給VLAN所有的節點分配靜態IP地址

首先在覈心交換機上分別設置各VLAN的接口IP地址，如下所示：

COM(config)#interface vlan 10
COM(config-if)#ip address 172.16.58.1 255.255.255.0 VLAN10接口IP
COM(config)#interface vlan 11
COM(config-if)#ip address 172.16.59.1 255.255.255.0 VLAN11接口IP
COM(config)#interface vlan 12
COM(config-if)#ip address 172.16.60.1 255.255.255.0 VLAN12接口IP
……

再在各接入VLAN的計算機上設置與所屬VLAN的網絡地址一致的IP地址，並且把默認網關設置爲
該VLAN的接口地址。這樣，所有的VLAN也可以互訪了。

(2)給VLAN所有的節點分配動態IP地址

首先在覈心交換機上分別設置各VLAN的接口IP地址和DHCP服務器的IP地址，如下所示：
COM(config)#interface vlan 10
COM(config-if)#ip address 172.16.58.1 255.255.255.0 VLAN10接口IP
COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP
COM(config)#interface vlan 11
COM(config-if)#ip address 172.16.59.1 255.255.255.0 VLAN11接口IP
COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP
COM(config)#interface vlan 12
COM(config-if)#ip address 172.16.60.1 255.255.255.0 VLAN12接口IP
COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP

……

再在DHCP服務器上設置網絡地址分別爲172.16.58.0，172.16.59.0，172.16.60.0的作用域，
並將這些作用域的“路由器”選項設置爲對應VLAN的接口IP地址。這樣，可以保證所有的VLAN
也可以互訪了。

最後在各接入VLAN的計算機進行網絡設置，將IP地址選項設置爲自動獲得IP地址即可。

三、總結

本文是筆者在實際工作中的一些總結。筆者力圖用通俗易懂的文字來闡述創建VLAN的全過程。
並且給出了詳細的設置步驟，只要你對Cisco交換機的IOS有所瞭解，看懂本文並不難。按照
本文所示的步驟一步一步地做，你完全可以給一個典型的快速以太網絡建立多個VLAN





---- 在企業網絡剛剛興起之時， 由於規模小、應用面窄、對Internet接入認識程度低以及關
於網絡安全和管理知識貧乏等原因，使得企業網僅僅侷限於交換模式狀態。交換技術主要有2種
方式: 基於以太網的幀交換和基於ATM的信元交換，它相對於共享式網絡性能有很大提高，但對
於所有處於一個IP網段或IPX網段的網絡設備來說，卻同在一個廣播域中。當工作站數量較多和
信息流較大時，容易形成廣播風暴，嚴重影響了網絡運行速度，甚至容易造成網絡癱瘓。 怎樣
避免這個問題出現呢？採用劃分網絡的辦法是個不錯的選擇。

---- 在採用交換技術的網絡模式中，一般採用劃分物理網段的手段進行網絡結構的劃分。 從
效率和安全性等方面來看，這種結構劃分有一定缺陷，而且在很大程度上限制了網絡的靈活性。
因爲如果要將一個廣播域分開，必須另外購買交換機，並且需要重新進行人工佈線。好在，虛
擬局域網（Virtual Local Area Network，VLAN）技術的出現解決了上述問題。實際上，VLAN
就是一個廣播域，它不受地理位置的限制，可以跨多個局域網交換機。一個VLAN可以根據部門
職能、對象組或者應用來將不同地理位置的網絡用戶劃分爲一個邏輯網段。對於局域網交換機，
其每一個端口只能標記一個VLAN，一個VLAN中的所有端口擁有一個廣播域，而處於不同VLAN的
端口則共享不同的廣播域，這樣就避免了廣播風暴的產生。可以說，在一個交換網絡中，VLAN
提供了網段和機構的彈性組合機制。

---- 通常，一個規模較大的企業，其下屬一般擁有多個二級單位， 爲保證對不同職能部門管
理的方便性和安全性以及整體網絡運行的穩定性，可以採用VLAN劃分技術，進行虛擬網絡劃分。
下面，我們通過對一個實際案例的分析，讓大家瞭解和掌握應用VLAN技術的真諦。

網絡狀況

---- 某大型起重設備總公司下屬有2個二級單位，主要進行研發、服務與銷售等工作。由於地
理位置相對較遠，業務規模尚未發展壯大，在企業成立之初，公司總部、 二級單位1和二級單
位2分別建立了獨立的網絡環境，各網絡系統均採用以交換技術爲主的方式，3網主幹均採用千
兆以太網技術。公司總部中心交換機採用了Cisco Catalyst 6506產品， 它是帶有三層路由的
引擎，可使企業網具有很強的升級能力。各二級單位的中心交換機採用了Cisco Catalyst 4006。
其他二級和三級交換機採用了Cisco Catalyst 3500系列交換機，主要因爲Catalyst 3500系列
交換機具有很高的性能和可堆疊能力。

需求分析
由於業務發展迅猛，總公司與2個二級單位迫切需要暢通無阻的信息交流，從而讓公司總
部能對2個下屬單位進行更直接和更有效的管理，進而達到三方信息共享的目的， 所以將彼此
相互獨立的3個子網聯成一個統一網絡勢在必行。
圖1所示的是起重設備總公司3個子網互聯形成統一網絡的示意圖，3個子網是採用千兆以
太網技術進行互聯的。爲了避免在主幹引發瓶頸問題，各子網在互聯時採用了Trunk技術(即雙
千兆技術)，使網絡帶寬達到4GB，這樣，既增加了帶寬，又提供了鏈路的冗餘，還提高了整體
網絡高速、穩定和安全的運行性能。
然而，由於網絡規模不斷擴大，信息流量逐漸加大，人員管理變得日益複雜， 給企業網
的安全、穩定和高效運行帶來新的隱患，如何消除這些隱患呢？VLAN劃分技術能爲此排憂解難。
根據起重設備總公司業務發展需要，我們將聯網後的統一網絡劃分爲5個虛擬子網，分別
是: 經理辦子網、財務子網、供銷子網和信息中心子網，其餘部分劃爲一個子網。
由於統一網絡的IP地址處於192.168.0.0網段，所以我們可以將各VLAN的IP地址分配如下。
經理辦子網：192.168.1.0～192.168.2.0/22 網關：192.168.1.1
財務子網： 192.168.3.0～192.168.5.0/22 網關：192.168.3.1
供銷子網： 192.168.6.0～192.168.8.0/22 網關：192.168.6.1
信息中心子網：192.168.7.0/24 網關：192.168.7.1
服務器子網：192.168.100.0/24 網關：192.168.100.1
其餘子網： 192.168.8.0～192.168.9.0/22 網關：192.168.8.1


詳細設計

---- 在劃分VLAN時，Cisco的產品主要基於2種標準協議：ISL和802.1q。ISL是Cisco自己研發
設計的通用於所有Cisco網絡產品的VLAN間互聯封裝協議，該協議針對Cisco網絡設備的硬件平
臺在信息流處理和多媒體應用方面進行了合理有效的優化。802.1q協議是IEEE802委員會於
1996年發佈的國際規範標準。

---- 在此案例中，因爲所採用的均是Cisco網絡設備，故在進行VLAN間互聯時採用了ISL協議
(對於不同網絡設備的互聯，本文在結尾處有相應介紹)。

---- 從圖1我們可以看到，總公司中心交換機採用了Cisco Catalyst 6506，其2級節點爲
Catalyst 3508和Catalyst 3548，Catalyst 3508交換機具有8個千兆以太網端口，並且利用
Catalyst 3500系列交換機的堆疊能力，可以隨時擴充工作站數量。 邊緣交換機則採用具有千
兆模塊的Catalyst 3548。二級單位的中心交換機則採用了Cisco Catalyst 4006， 其2級節點
和邊緣交換機採用的也是Catalyst 3548。公司總部與各二級附屬單位的連接採用了ISL封裝的
Trunk方式，用2組光纖連接（在Catalyst 6506與Catalyst 4006之間），這樣既解決了VLAN間
的互聯問題，同時又提高了網絡帶寬和系統的冗餘，爲3個子網互聯提供了可靠保障。對於到
Internet的連接，接口爲2MB DDN專線接入，各二級單位通過公司總部的Proxy接入Internet。
Internet的管理由公司總部信息中心統一規劃。

---- 需要說明的是，由於本案例中關於VLAN的劃分覆蓋了各個交換機， 所以交換機之間的連
接都必須採用Trunk方式。鑑於經理辦和供銷子網代表了VLAN劃分中的2個問題: 擴展交換機VLAN
的劃分和端口VLAN的劃分，所以我們再將經理辦子網和供銷子網對VLAN做一詳細介紹。

經理辦VLAN

---- 由於經理辦工作站所在局域網交換機劃分了多個VLAN，連接了多個VLAN工作站， 所以該
交換機與其上層交換機之間的連接必須採用Trunk方式(如圖2所示)。

---- 公司總部採用了Catalyst 3508和Catalyst 6506，二級單位1採用了Catalyst 3548和
Catalyst 4006，二級單位2採用了Catalyst 3548和Catalyst 4006。

供銷VLAN
雖然當一個交換機覆蓋了多個VLAN時，必須採用Trunk方式連接，但在供銷VLAN劃分中，
其二級單位1中的供銷獨立於交換機Catalyst 3548，所以在這裏， Catalyst 3548與二級中心
交換機Catalyst 4006只需採用正常的交換式連接即可(如圖3所示)。對於此部分供銷VLAN的劃
分，只要在Catalyst 4006上針對與Catalyst 3548連接的端口進行劃分即可。這是一種基於端
口的VLAN劃分。
由於2個Catalyst 4006與主中心交換機Catalyst 6506間採用的是雙光纖通道式連接， 屏
蔽了Catalyst 4006與Catalyst 6506間線路故障的產生，所以對整體網絡的路由進行基於
Catalyst 6506的集中式管理。下面我們對VLAN之間的路由做一個介紹。
在中心交換機Catalyst 6506上設置VLAN路由如下。
經理辦VLAN：192.168.1.1/22
財務VLAN： 192.168.3.1/22
供銷VLAN： 192.168.6.1/22
信息中心VLAN：192.168.7.1/24
其餘VLAN： 192.168.8.1/22
在中心交換機上設置路由協議RIP或OSPF，並指定網段192.168.0.0。在全局配置模式下執
行如下命令。
router rip network 192.168.0.0
由於IP地址處於192.168.0.0網段，所以對各VLAN的IP地址分配如下所示。
經理辦子網: 192.168.1.0，子網掩碼: 255.255.255.0，網關: 192.168.1.1。
財務子網: 192.168.2.0，子網掩碼: 255.255.255.0，網關: 192.168.2.1。
供銷子網: 192.168.3.0，子網掩碼爲255.255.255.0，網關: 192.168.3.1。
信息中心子網: 192.168.4.0，子網掩碼: 255.255.255.0，網關: 192.168.4.1。
服務器子網: 192.168.100.0，子網掩碼: 255.255.255.0，網關: 192.168.100.1。
其餘子網: 192.168.8.0，子網掩碼爲255.255.255.0，網關: 192.168.8.1。
根據上述IP地址分配情況，不難看出各子網的網絡終端數均可達到254臺， 完全滿足目前
或將來的應用需要，同時還降低了管理工作量，增強了管理力度。

注意事項
需要注意的是: 因爲起重設備總公司統一網絡系統的VLAN劃分是作爲一個整體結構來設計
的，所以爲了保持與VLAN列表的一致性，需要Catalyst 4006對整體網絡的其他部分進行廣播。
所以在設置VTP（VLAN Trunk Protocol）時注意，要將VTP的域作爲一個整體，其中VTP類型爲
Server和Client。
有些企業建網較早，若所選用的網絡設備爲其他廠商的產品，而後期的產品又不能與前期
統一，這樣在VLAN的劃分中就會遇到一些問題。例如， 在Cisco產品與3COM產品的混合網絡結
構中劃分VLAN，對於Cisco網絡設備Trunk的封裝協議必須採用802.1q，以達到能與3COM產品進
行通信的目的。雖然兩者之間可以建立VLAN的正常劃分，並進行正常的應用，但兩者配合使用
的協調性略差一些。當兩者的連接發生變化時，必須在Cisco交換機上使用命令Clear Counter
進行清除，方可使兩者工作協調起來。

VLAN
所謂VLAN是指處於不同物理位置的節點根據需要組成不同的邏輯子網，即一個VLAN就是一
個邏輯廣播域，它可以覆蓋多個網絡設備。VLAN允許處於不同地理位置的網絡用戶加入到一個
邏輯子網中，共享一個廣播域。通過對VLAN的創建可以控制廣播風暴的產生，從而提高交換式
網絡的整體性能和安全性。
VLAN對於網絡用戶來說是完全透明的，用戶感覺不到使用中與交換式網絡有任何的差別，
但對於網絡管理人員則有很大的不同，因爲這主要取決於VLAN的幾點優勢。
1. 控制廣播風暴
主要有2種方式: 物理網絡分段和VLAN邏輯分段。
2. 提高網絡整體安全性
通過路由訪問列表和MAC地址分配等VLAN劃分原則， 可以控制用戶訪問權限和邏輯網
段大小。
3. 網絡管理簡單、直觀
對於交換式以太網，如果對某些用戶重新進行網段分配，需要網管員對網絡系統的物
理結構重新進行調整，甚至需要追加網絡設備，增大網絡管理的工作量。而對於採用
VLAN技術的網絡來說，只需網管人員在網管中心對該用戶進行VLAN網段的重新分配即
可。

關於Trunk方式
Trunk是獨立於VLAN的、 將多條物理鏈路模擬爲一條邏輯鏈路的VLAN與VLAN之間的連接方
式。採用Trunk方式不僅能夠連接不同的VLAN或跨越多個交換機的相同VLAN， 而且還能增加交
換機間的物理連接帶寬，增強網絡設備間的冗餘。由於在基於交換機的VLAN劃分當中，交換機
的各端口分別屬於各VLAN段，如果將某一VLAN端口用於網絡設備間的級聯，則該網絡設備的其
他VLAN中的網絡終端就無法與隸屬於其他網絡設備的VLAN網絡終端進行通信。有鑑於此，網絡
設備間的級聯必須採用Trunk方式，使得該端口不隸屬於任何VLAN， 也就是說該端口所建成的
網絡設備間的級聯鏈路是所有VLAN進行通信的公用通道。

VLAN劃分的4種策略
1. 基於端口的VLAN劃分
基於端口的VLAN劃分是最簡單、最有效的劃分方法。該方法只需網絡管理員對網絡設備的
交換端口進行重新分配即可，不用考慮該端口所連接的設備。
2. 基於MAC地址的VLAN劃分
MAC地址其實就是指網卡的標識符，每一塊網卡的MAC地址都是惟一且固化在網卡上的。MAC
地址由12位16進制數表示，前8位爲廠商標識，後4位爲網卡標識。
基於MAC地址的VLAN劃分其實就是基於工作站與服務器的VLAN組合。在網絡規模較小時，
該方案亦不失爲一個好方法，但隨着網絡規模的擴大，網絡設備和用戶的增加，則會很大程度
上加大管理難度。
3. 基於路由的VLAN劃分
路由協議工作在網絡層，相應的工作設備有路由器和路由交換機。該方式允許一個VLAN跨
越多個交換機，或一個端口位於多個VLAN中。
4. 基於策略的VLAN劃分
基於策略的VLAN劃分是一種比較有效而且直接的方式。這主要取決於在VLAN劃分中所採用
的策略。就目前來說，對於VLAN的劃分主要採用上述第1和3方式，第2種方式爲輔助性的方案。

VLAN在網絡管理中的應用
一、前言
廣州分院計算機網是中科院"百所聯網"二期工程的一部分，網絡中心設備於1998年初安裝
運行，隨着用戶接入和網絡應用的開展，在運行、管理中碰到不少問題。雖然已逐漸完善網絡
中心設備及服務器的配置和建立了相應的管理制度，一些問題也得以解決和控制，但對防止一
些不守法用戶經常採用未授權IP上網問題，仍不能得到解決，網管人員爲此花費不少精力。當
時曾想在邊界路由器上做IP-MAC綁定，但由於CSTNET從網絡整體安全考慮，邊界路由器管理權
由院網絡中心控制，對二級節點的廣州分院網來說,如把IP-MAC綁定在邊界路由器上， 將不利
於網絡監控及管理,對可能發生的一些事件無法做出快速反應，因此實際是不可行的。 解決問
題只能在廣州分院網絡中心設備上入手。
二、網絡結構配置及解決方案
由於4500只配高速口f0，其餘爲異步口，使得邊界路由Cisco 2514只能接入Catalyst3200，
和所有局域網形成"平構式"結構，對防止IP盜用問題造成先天不足。
從分析Catalyst 3200虛網功能上可見，除了虛網功能本身的優點外，Catalyst 3200交換
機與Cisco 4500路由器的高速口支持ISL(InterSwitch Link)及VTP（VLAN TRUNK PROTOCOL），
這對強化網絡管理提供有力的技術保證。通過對Catalyst 3200的端口進行虛網設置， 再跟據
網絡用戶所在的物理位置、工作性質、網絡通信負載儘量均衡原則，把所有網絡用戶納入不同
虛擬子網,各子網經 Catalyst 3200與Cisco 4500的高速口連接--路由，再把IP-MAC綁定在
Cisco 4500上就可能達到預期目的。
三、虛擬子網VLAN的配置
1).Catalyst 3200交換機上VLAN及VTP的配置 經超級終端進入Catalyst 3200控臺
a). 設置VLAN管理域 進入"SET VTP AND···· ",選"VTP ADMINISTRATION
CONFIGURATION" 設置VALN管理域名"GIETNET"；VTP方式爲"SERVER"。
b). 設置VLAN及TRUNK： 將所有子網的交換機、HUB上連至Catalyst 3200的10MB或
100MB口，並按上述原則分配VLAN，將這些端口進行虛網劃分如下：
本項設置是從控制檯的CONFIGURATION選定"LOCAL VLAN PROT CONFIGURATION"，
進行VLAN及TRUNK口的指定，並把所有的3個VLAN填入TRUNK口的配置單中， 最後
顯示如下
2). Cisco 4500路由器的設置
把Cisco 4500的f0口按子網數"分割"成相應的"子口"， 根據其設置的ISL
（InterSwitch Link）號,與相應子網進行邏輯連接。在本例中，f0被分割爲f0.1、
f0.2、f0.3與VLAN1、VLAN2、VLAN3連接，其配置命令如下：
router#config t
router(config)#int f0.1
router(config-subif)#Description VLAN1_GIET
router(config-subif)#ip address 192.168.111.1 255.255.255.192
router(config-subif)#encapsulation isl 2
. .
router(config)#int f0.2
router(config-subif)#Description VLAN2_gzbnic
router(config-subif)#ip addess 192.168.111.65 255.255.255.192
router(config-subif)#encapsulation isl 3
. .
Ctl Z
wr
設置完畢,再請北京網絡中心把邊界路由器中有關子網路由項全部指向Cisco 4500,用戶的
網關按其子網路由器地址設定。

3). 在Cisco 4500路由器上建立ARP表
爲強化網絡管理防止IP盜用，在Cisco 4500路由器上建立ARP表， 將所有子網的IP與相應
的網卡MAC地址進行綁定，對於未用的IP也進行綁定，如：
ARP 192.168.111.130 0800.3c5d.419f ARPA (已分配的IP有網卡地址)
.
ARP 192.168.111.169 0000.0000.0000 ARPA (未分配的IP無網卡地址)
當註冊網絡用戶需更換網卡時，需得到網管人員的確認、同意，對企圖非法盜用者將無法
進行（參見下述）；另外可按具體情況設置訪問控制列表等安全管理措施。

四、系統特點

經過虛網設置和IP-MAC綁定結合, 網絡系統的特點：
1).發揮VLAN優勢
合理分配網絡資源，均衡網絡負載，有效降低網上廣播信息,方便對用戶的分組管理。
2).增強網絡安全
由於網絡各子網相互隔離，網絡通訊限制在子網內；子網間的交通或出境的通訊全部通過
其相應的路由端口,加?娏薈isco 4500對全網的控制能力, 並由4500上的ARP表進行用戶IP的合
法性覈查。
3). 強化網絡管理、合理記費
如2)所述，由於虛網的配置加上Cisco 4500的IP-MAC的匹配檢查，使得IP盜用比一般的地
址綁定更爲困難，理由是這種配置結構下，即使想盜用， 其通訊也只限於本子網內(活動範圍
大大減少,被當場抓獲可能性加大) ；Cisco 4500上的IP-MAC的匹配覈查， 使得有計費的IP盜
用無法進行(盜用變得無意義)，從而達到合理記費和有效提高網絡管理、控制能力。
本工作於去年完成，運行穩定，滿足要求。


名詞解釋：
1). VLAN TRUNK PROTOCOL（VTP）：
用VTP設置和管理整個域內的VLAN，在管理域內VTP自動發佈配置信息，其範圍包括所有
TRUNK連接，如交換互連（ISL）、802.10和ATMLAN（LANE） 當交換機加電時， 它會週期性地
送出VTP配置請求，直至接到近鄰的配置（summary）廣播信息，從而進行結構配置必要的更新。
交換機的VTP配置有三種模式：服務器、客戶和透明模式。

2). ISLTRUNK ISL中繼不同的VLAN多路包，包頭帶有"ISL VLAN數"標誌（VTP VLAN ID）。
CISCO交換機支持VLAN列表
1900系列標準版：不支持VLAN
1900系列企業版：支持1024個ISL VLAN
2926：支持1000個ISL VLAN
2948G：支持1024個802.1Q VLAN
2912XL/2912MF XL/2924XL/2924C XL/2924M XL支持64個ISL 802.1Q VLAN
6006600965066509支持1000個VLAN
4003 4006支持個1024ISL(L3)/802.1Q
5002 5000 5500 5505 5509支持1000個VLAN