導航:首頁 > 網路連接 > 計算機網路vlan配置詳細

計算機網路vlan配置詳細

發布時間：2023-01-09 05:03:30

Ⅰ vlan的劃分方法及配置

VLAN基礎及簡單的VLAN劃分方法

無悔大哥chen
閱55117轉1012018-07-13分享收藏
一.VLAN基礎

同一個VLAN中的用戶間通信就和在一個區域網內一樣，同一個VLAN中的廣播只有VLAN中的成員才能聽到，而不會傳輸到其他的VLAN中去，從而控制不必要的廣播風暴的產生。同時，若沒有路由，不同VLAN之間不能相互通信，從而提高了不同工作組之間的信息安全性。網路管理員可以通過配置VLAN之間的路由來全面管理網路內部不同工作組之間的信息互訪。

1技術特點

(1)埠的分隔。即便在同一個交換機上，處於不同VLAN的埠也是不能通信的。這樣一個物理的交換機可以當作多個邏輯的交換機使用。

(2)網路的安全。不同VLAN不能直接通信，杜絕了廣播信息的不安全性。

(3)靈活的管理。更改用戶所屬的網路不必換埠和連線，只更改軟體配置就可以了。

2.TAG和UNTAG

基於埠的VLAN,這是最常應用的一種VLAN劃分方法，應用也最為廣泛、最有效，目前絕大多數VLAN協議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據乙太網交換機的交換埠來劃分的，它是將VLAN交換機上的物理埠和VLAN交換機內部的PVC（永久虛電路）埠分成若干個組，每個組構成一個虛擬網，相當於一個獨立的VLAN交換機。

IEEE於1999年發布了用以規范VLAN實現的IEEE Std 802.1Q標准。 IEEE 802.1Q協議標准為各種區域網網路結構定義了VLAN的Tag欄位，不同網路結構中，連接設備可以通過共同的數據特徵進行VLAN識別。

對於常見的乙太網網路模型，其主要的報文封裝格式類型有兩種，分別為Ethernet II型和 802.2/802.3型。對於這兩種乙太網報文的封裝格式，IEEE 802.1Q協議標准在數據幀首部的目的MAC地址（DA）和源MAC地址（SA）後定義了VLAN Tag，用以標識VLAN的相關信息。

3. 埠的鏈路類型

對於不同部門需要互訪時，可通過路由器轉發，並配合基於MAC地址的埠過濾。對某站點的訪問路徑上最靠近該站點的交換機、路由交換機或路由器的相應埠上，設定可通過的MAC地址集。這樣就可以防止非法入侵者從內部盜用IP地址從其他可接入點入侵的可能。

乙太網埠有 3種鏈路類型:access、trunk、General

Access類型埠只能屬於1個VLAN 般用於連接計算機埠；

Trunk類型埠可以允許多個VLAN通過,可以接收和發送多個VLAN 報文,一般用於交換機之間的連接；

General類型埠可以允許多個VLAN通過，可以接收和發送多個VLAN 報文，可以用於交換機的間連接也可以用於連接用戶計算機。

General埠和Trunk埠在接收數據時處理思路方法是一樣的，唯一區別的處在於發送數據時:General埠可以允許多個VLAN報文發送時不打標簽，而Trunk埠只允許預設VLAN報文發送時不打標簽。

預設VLAN( PVID）:

Access埠只屬於1個VLAN 所以它預設VLAN就是它所在VLAN不用設置；

General埠和 Trunk埠屬於多個VLAN，所以需要設置預設VLAN ID。預設情況下 Hybrid埠和Trunk埠預設VLAN為VLAN 1；

如果設置了埠預設VLAN ID當埠接收到不帶VLAN Tag報文後則將報文轉發到屬於預設VLAN的埠；當埠發送帶有VLAN Tag報文時，如果該報文 VLAN ID和埠預設VLAN ID相同，則系統將去掉報文VLAN Tag，然後再發送該報文。

交換機介面出入數據處理過程:

Acess埠收報文:收到個報文判斷是否有VLAN信息:如果沒有則打上埠 PVID並進行交換、轉發，如果有則直接丟棄(預設) Acess埠發報文:將報文VLAN信息剝離直接發送出去

trunk埠收報文:收到一個報文，判斷是否有VLAN信息:如果沒有則打上埠 PVID 並進行交換轉發，如果有判斷VLAND ID是否在該trunk的允許范圍內，如果在范圍內則轉發，否則丟棄

trunk埠發報文:比較埠PVID和將要發送報文VLAN信息如果兩者相等則剝離VLAN信息再發送，如果不相等則直接發送

General埠收報文:收到一個報文，判斷是否有VLAN信息:如果沒有則打上埠 PVID 並進行交換轉發。如果有則判斷該General埠是否允許該VLAN數據進入:如果可以則轉發，否則丟棄(此時埠上untag配置是不用考慮，untag配置只對發送報文時起作用)

General埠發報文:

1、判斷該VLAN在本埠屬性

2、如果是untag,則剝離VLAN信息再發送;如果是tag,則直接發送.

二.如何劃分VLAN

以TP-LINK SL3226為例，需求：學校宿舍無線網，某樓層有一台二層網管接入交換機，帶了20檯面板AP.需要接入網路，管理地址為192.168.200.110.管理VLAN為4000，埠VLAN為110，和核心交換機級聯VLAN為204.控制器控制VLAN為1000

簡介：TP-LINK SL3226為24口百兆交換機，兩個上聯口25.26為千兆口。

1.登陸交換機管理界面（配置電腦網線暫時插在24口上）

選擇VLAN

2.埠類型配置

選擇埠號1-24埠，選擇埠類型GENERAL,預設VLAN為1，稍後再更改

同樣配置25，26上聯口，埠類型TRUNK

3.開始新建VLAN

新建VLAN110,埠為1-23，25-26，保留埠24做配置交換機用

埠1-23出口規則為UNTAG，埠25-26為TAG

新建VLAN204,埠為25-26，出口規則TAG

新建VLAN1000,埠為1-26，出口規則為TAG

新建VLAN4000,埠為24-26，出口規則24為UNTAG,25-26為TAG

配置VLAN如下圖

4.配置PVID

更改前1-23口預設VLAN為110

更改24口預設VLAN為4000

更改以後，請將網線插在25或者26口進行配置，管理IP不變

改完24口後登陸如圖

4.修改管理VLAN號和管理IP

系統配置>管理IP。修改管理VLAN為4000，修改管理IP為192.168.200.110

需改後電腦失去連接，更改電腦IP地址192.168.200.*，並將網線插入24口

5.保存配置

輸入192.168.200.110重新登陸交換機管理界面，配置保存菜單，選擇保存配置，這樣一台二層接入交換機就配置好了。

如果想恢復出廠配置，可以在系統管理>系統工具>軟體復位中進行操作。

Ⅱ vlan的配置命令還有怎麼劃分ip地址

1、配置計算機PC0，IP地址: 192.168.1.2，子網掩碼: 255.255.255.0，網關: 192.168.1.1。

Ⅲ VLAN劃分急！！

VLAN劃分的步驟如下：
1、以思科廠商設備作為示例，可以在vlandatabase下創建，也可以直接在配置模式下創建。下面兩種方式都有：
/iknow-pic.cdn.bcebos.com/1ad5ad6eddc451da91f0825fbbfd5266d016327b"target="_blank"title="點擊查看大圖"class="illustration_alink">/iknow-pic.cdn.bcebos.com/1ad5ad6eddc451da91f0825fbbfd5266d016327b?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_600%2Ch_800%2Climit_1%2Fquality%2Cq_85%2Fformat%2Cf_auto"esrc="//www.downloadswallpapers.com/kj_1ad5ad6eddc451da91f0825fbbfd5266d016327b"/>
/iknow-pic.cdn.bcebos.com/ac6eddc451da81cb28e00d795f66d0160924317b"target="_blank"title="點擊查看大圖"class="illustration_alink">/iknow-pic.cdn.bcebos.com/ac6eddc451da81cb28e00d795f66d0160924317b?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_600%2Ch_800%2Climit_1%2Fquality%2Cq_85%2Fformat%2Cf_auto"esrc="//www.downloadswallpapers.com/kj_ac6eddc451da81cb28e00d795f66d0160924317b"/>
2、如何給創建的vlan命名?給創建的vlan命名，有兩種方式，第一種是在創建的時候，直接把vlan的名稱給帶上；第二種是創建完vlan之後，再給vlan命名，或者是重命名的。
/iknow-pic.cdn.bcebos.com/5d6034a85edf8db11d2cf2d00423dd54564e7400"target="_blank"title="點擊查看大圖"class="illustration_alink">/iknow-pic.cdn.bcebos.com/5d6034a85edf8db11d2cf2d00423dd54564e7400?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_600%2Ch_800%2Climit_1%2Fquality%2Cq_85%2Fformat%2Cf_auto"esrc="//www.downloadswallpapers.com/kj_5d6034a85edf8db11d2cf2d00423dd54564e7400"/>
3、查看交換機的vlan信息？使用showvlan命令，可以看到vlanID，vlan的名稱等信息。
/iknow-pic.cdn.bcebos.com/32fa828ba61ea8d31720fab09a0a304e251f5800"target="_blank"title="點擊查看大圖"class="illustration_alink">/iknow-pic.cdn.bcebos.com/32fa828ba61ea8d31720fab09a0a304e251f5800?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_600%2Ch_800%2Climit_1%2Fquality%2Cq_85%2Fformat%2Cf_auto"esrc="//www.downloadswallpapers.com/kj_32fa828ba61ea8d31720fab09a0a304e251f5800"/>
4、何如刪除一個vlan呢，在vlandatabase裡面，將需要刪除的vlan執行novlan?。刪除之後，如何確認是否已經刪除成功了。（這里要注意，由於這里是模擬器，在實際環境中，直接在配置模式下就可以進行vlan的建立與刪除，不需要進入vlandatabase模式）
/iknow-pic.cdn.bcebos.com/faedab64034f78f0d975144774310a55b3191c03"target="_blank"title="點擊查看大圖"class="illustration_alink">/iknow-pic.cdn.bcebos.com/faedab64034f78f0d975144774310a55b3191c03?x-bce-process=image%2Fresize%2Cm_lfit%2Cw_600%2Ch_800%2Climit_1%2Fquality%2Cq_85%2Fformat%2Cf_auto"esrc="//www.downloadswallpapers.com/kj_faedab64034f78f0d975144774310a55b3191c03"/>

Ⅳ 如何在華為路由器中配置vlan

Vlan 10(創建Vlan 10)，Vlan批10到12(創建Vlan 10 11 12，介面vlan 10(輸入vlan 10)IP地址172.16.10.24將VLAN 10 IP設置為172.16.10.1，掩碼為24位。

撤銷vlan 10(刪除vlan 10)，中文版本的虛擬區域網被稱為「虛擬區域網」。

虛擬區域網(VLAN)是一組邏輯設備用戶和用戶不受物理位置的影響,等等,可以基於函數及其應用組織,相互之間的通信就像在同一網段,因此得名「虛擬區域網(LAN)。

VLAN是一種相對較新的技術，在OSI參考模型的第二層和第三層工作，VLAN是一個廣播域，VLAN之間的通信是通過第三層路由器完成的。與傳統的區域網技術相比，VLAN技術更加靈活，具有以下優點:減少移動設備的管理開銷，減少網路設備的添加和修改;可以控制廣播活動;它可以改善網路安全。

Ⅳ 交換機vlan配置

華為交換機vlan基本配置：

創建vlan：

<Quidway>system-view

[Quidway] vlan 10

[Quidway-vlan10] quit

[Quidway] vlan 100

[Quidway-vlan100] quit

網路交換機

是一個擴大網路的器材，能為子網路中提供更多的連接埠，以便連接更多的計算機。隨著通信業的發展以及國民經濟信息化的推進，網路交換機市場呈穩步上升態勢。它具有性價比高、高度靈活、相對簡單和易於實現等特點。乙太網技術已成為當今最重要的一種區域網組網技術，網路交換機也就成為了最普及的交換機。

Ⅵ vlan路由器怎麼設置

關於vlan路由器應該要怎麼設置呢？大家對vlan路由器了解嗎？下面和我一起了解vlan路由器怎麼設置吧。

什麼是三層交換和VLAN？

要回答這個問題我們還是先看看乙太網的工作原理。乙太網的工作原理是利用二進制位形成的一個個位元組組合成一幀幀的數據（其實是一些電脈沖）在導線中進行傳播。首先，乙太網網段上需要進行數據傳送的節點對導線進行監聽，這個過程稱為CSMA/CD（Carrier Sense Multiple Access with Collision Detection帶有沖突監測的載波偵聽多址訪問）的載波偵聽。

如果，這時有另外的節點正在傳送數據，監聽節點將不得不等待，直到傳送節點的傳送任務結束。如果某時恰好有兩個工作站同時准備傳送數據，乙太網網段將發出「沖突」信號。這時，節點上所有的工作站都將檢測到沖突信號，因為這時導線上的電壓超出了標准電壓。

這時乙太網網段上的任何節點都要等沖突結束後才能夠傳送數據。也就是說在CSMA/CD方式下，在一個時間段，只有一個節點能夠在導線上傳送數據。而轉發乙太網數據幀的聯網設備是集線器，它是一層設備，傳輸效率比較低。

沖突的產生降低了乙太網的帶寬，而且這種情況又是不可避免的。所以，當導線上的節點越來越多後，沖突的數量將會增加。顯而易見的解決方法是限制乙太網導線上的節點，需要對網路進行物理分段。將網路進行物理分段的網路設備用到了網橋與交換機。

網橋和交換機的基本作用是只發送去往其他物理網段的信息。所以，如果所有的信息都只發往本地的物理網段，那麼網橋和交換機上就沒有信息通過。這樣可以有效減少網路系某逋弧M?藕徒換換?腔?諛勘闙AC（介質訪問控制）地址做出轉發決定的，它們是二層設備。

我們已經知道了乙太網的缺點及物理網段中沖突的影響，現在，我們來看看另外一種導致網路降低運行速度的原因：廣播。廣播存在於所有的網路上，如果不對它們進行適當的控制，它們便會充斥於整個網路，產生大量的網路通信。廣播不僅消耗了帶寬，而且也降低了用戶工作站的處理效率。

由於各種各樣的原因，網路操作系統（NOS）使用了廣播，TCP/IP使用廣播從IP地址中解析MAC地址，還使用廣播通過RIP和IGRP協議進行宣告，所以，廣播也是不可避免的。網橋和交換機將對所有的廣播信息進行轉發，而路由器不會。所以，為了對廣播進行控制，就必須使用路由器。路由器是基於第3層報頭、目標IP定址、目標IPX定址或目標Appletalk定址做出轉發決定。路由器是3層設備。

用舊電腦輕松架設無線網路列印伺服器

在工作中，單位需要列印的文件還是不少的，可是筆記本電腦連接一個列印機確實不方便，這樣使用筆記本的同事們只有使用快閃記憶體將文件拷貝到列印室或辦公室的台式電腦上去列印了，時間久了文件拷來拷去的確實有些麻煩，於是很多同事想將列印機設置一個共享列印，後來通過單位的無線網路在自己的電腦上實現共享列印了。

為了方便同事們遠程列印，我在單位中架設了無線網路列印伺服器，這樣同事在任何一台電腦上都能將需要列印的文件通過列印伺服器進行列印，並且我們還可以通過網頁的方式對列印伺服器進行遠程管理。

網路列印與共享列印的區別

早期的共享列印方式是由網路上的某一台電腦連接上列印機，並且設置為共享模式，其他電腦要共享這台列印機，並且通過共享的方式進行連接，這樣才能實現列印共享。如果使用共享列印機的用戶多了，連接列印機的那台計算機就會難堪重負，管理起來有些麻煩。

網路列印機是基於Internet的網路列印，列印機已不再是一個外設，而是作為網路上的一個節點存在，網路列印機通過網線插槽直接連接網路，通過Web的方式進行遠程管理，能夠以網路的速度實現高速列印輸出。

列印伺服器的架設

網路列印需要一台帶有網路列印伺服器的列印機，但是這么一台列印機的價格不便宜。為了節約成本，充分利用現有的資源，我將單位的.一台舊電腦虛擬成一台列印伺服器，這樣同事們在單位區域網內也可以輕松實現網路列印了。

首先確保該電腦安裝好Windows Server 2003系統，並能保證正常連接到單位區域網內，隨後將列印機連接到該電腦上，打開「管理您的伺服器組件，在「列印機伺服器中單擊「添加列印機(圖1)，隨後按照提示來添加我們需要安裝的列印機並安裝好列印機的驅動程序。

隨後在「控制面板→「列印機和傳真對話框中用右鍵單擊該列印機圖標，選擇「屬性命令。在打開的列印機屬性對話框中將該列印機設置為共享模式，並輸入一個共享名稱(圖2)。

隨後我們還需要在同事操作的電腦上安裝好該列印機的驅動程序，安裝時在該電腦上打開網上鄰居，找到安裝好列印機的電腦，此時看到我們安裝好的共享列印機名稱，單擊右鍵，選擇連接，這時系統提示將會在本機上安裝一個列印驅動程序，選「是就可以安裝網路列印機的驅動了。

設置Web管理

列印機設置完成後，為了實現網路列印我們還需要通過IIS進行發布。啟動系統自帶IIS程序，首先我們為網路列印機創建一個虛擬目錄。

提示：在Windows XP系統中IIS組件默認情況下沒有安裝，如果我們的系統中沒有該組件我們首先在「添加/刪除程序中將其安裝。

創建時，在IIS列表中，用右鍵單擊默認的Web站點，依次單擊「新建→「虛擬目錄，隨後打開創建向導對話框。在該向導中我們可以按照提示設置一個虛擬目錄的別名，如「Print，將目錄指向列印機驅動的安裝目錄，並將「訪問許可權設置為「讀取、「運行腳本。虛擬目錄創建後，打開該站點目錄的「屬性對話框，在「文檔對話框中勾選「啟用默認文檔復選框。隨後單擊右側的「添加按鈕，添加一個默認文檔名，如惠普列印機默認文檔為「Ipp_0001.asp。隨後單擊「確定按鈕。

你需要對目標列印機進行遠程管理時，在區域網任意一台電腦上運行其中的IE瀏覽器程序，輸入網路列印機的URL地址「http://列印伺服器IP地址/print即可打開網路列印機的管理頁面了。單擊「暫停或「恢復超級鏈接時，你就可以隨心所欲地控制好列印機的輸出操作，要是想取消列印機正在執行的所有任務時，就可以單擊「取消所有文檔超級鏈接。這樣就像操作自己電腦上的列印機一樣方便。

如何實現公網IP地址讓多台電腦共享上網

問：我們單位用的是政務網，網通公司接過一個路由器來，每台電腦設置一下IP地址就能上網了，可是現在IP地址不夠用了，請問有什麼方法可以實現用一個IP地址、一個交換機，使多台電腦都能同時上網？

答：光有這些還不夠，還需要在接入公網IP的電腦上插一塊網卡，使之成為雙網卡電腦。其中一塊網卡接入網通提供的政務網，另一塊網卡接入你找的交換機。

再在這個電腦安裝代理軟體，或者網關防火牆，都可以，比如代理軟體有CCProxy，網關防火牆如WinRouter等，具體設置方法請參考所使用的代理軟體或網關防火牆軟體的說明文件。

如何進行無線網路中繼設置

有一點大家需要注意，中繼功能並不是所有產品都具有的。那麼，如何進行有效的軟硬結合，實現中繼功能呢？下面就為大家介紹一下無線網路中繼設置的內容。

當然並不是所有的無線設備都能夠實現目的無線網路中繼設置與放大功能，這需要強大的固件程序配合，筆者使用的路由設備已經刷新了DD-WRT V24固件，這個版本的固件為我們提供了基於client模式的無線連接，通過這種模式我們可以實現無線網路信號的中繼。

無線網路中繼設置第一步：通過連接無線網卡的筆記本上的無線信號掃描工具在家中掃描信號最強的地方，確定了某個地點信號最強後將中繼設備放到這里效果最好。

無線網路中繼設置第二步：在DD-WRT管理界面中我們找到WIRELESS標簽，然後選擇basic settings基本設置，默認這里是設置為AP的，他提供了普通AP接入與信號發射接收等服務。由於我們要將此設備作為目的無線網路中繼器，所以在這里將WIRELESS MODE無線模式修改為client(客戶端)，wireless network mode無線網路類型設置為混合mixed，wireless network name(ssid)信息添加掃描到的無線網路的SSID即tp-link，其他信息保持默認即可，之後我們點SAVE按鈕保存配置。

無線網路中繼設置第三步：無線模式修改完畢後我們還需要針對無線WAN介面的連接類型進行配置，返回到setup->basic setup界面，這里通過下拉菜單將WAN連接類型修改為automatic configuration-DHCP自動獲得方式，然後保存。

無線網路中繼設置第四步：如果沒有問題的話我們刷新後可以看到WAN介面獲得的地址信息，當然這個地址實際上是由別人家的TP-LINK上DHCP服務所分配的，我們看到獲得的地址是192.168.1.112，網關地址以及DNS地址都是192.168.1.1，這個地址是TP-LINK的管理地址，這樣我們就實現了無線信號的拓展與放大。

無線網路中繼設置第五步：當然這里還有一個問題不能夠忽視，那就是我們這台無線路由器的管理地址一定不能夠和目的設備的管理地址產生沖突，例如實際中我這個設備的管理地址也是192.168.1.1，這個就不行了需要我們修改，更換成另外一個網段，例如192.168.0.1，同時DHCP服務也要進行相應修改。

小提示：

在修改地址池以及路由器自身管理地址時我們不能夠點SAVE按鈕，因為SAVE按鈕修改後只有在重新啟動設備才能夠生效，所以對於這兩個參數的更改我們需要點APPLY SETTINGS按鈕讓其馬上啟用。

無線網路中繼設置第六步：保存完畢後我們就實現了無線網路的中繼與放大功能，別人的無線網路被我們成功引入到自己家中，我們的無線路由器具備了外網接入功能，所有網路數據包都通過無線網路從他發送到目的網路那台TP-LINK無線路由器上，再進一步連接INTERNET。

小提示：

由於我們本地的無線路由器只提供了中繼服務，所以在其下連的設備上ping 192.168.0.1(本地無線路由器的管理地址)是可以暢通的，但是要ping 192.168.1.1(目的網路那台無線路由器的管理地址)則不能連通。所以不能夠通過ping法來檢測網路連通性。

通過這種中繼配置我們就可以讓沒有無線網卡的計算機通過網線連接到本地那台中繼無線路由器的普通LAN以太介面上，從而讓沒有無線網卡的計算機也可以通過無線網路接入到internet進行沖浪了。

Ⅶ 華為交換機VLAN怎麼配置

華為交換機VLAN配置：
system veiw （進入系統視圖）

vlan 10（創建vlan 10）

vlan batch 10 to 12 （創建vlan 10 11 12）
interface vlan 10 （進入VLAN 10）

ip address 172.16.10.1 24（設置VLAN 10的IP為172.16.10.1，掩碼為24位）
undo vlan 10 （刪除vlan 10）

VLAN（Virtual Local Area Network）的中文名為"虛擬區域網"。
虛擬區域網（VLAN）是一組邏輯上的設備和用戶，這些設備和用戶並不受物理位置的限制，可以根據功能、部門及應用等因素將它們組織起來，相互之間的通信就好像它們在同一個網段中一樣，由此得名虛擬區域網。VLAN是一種比較新的技術，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通信是通過第3層的路由器來完成的。與傳統的區域網技術相比較，VLAN技術更加靈活，它具有以下優點：網路設備的移動、添加和修改的管理開銷減少；可以控制廣播活動；可提高網路的安全性。
在計算機網路中，一個二層網路可以被劃分為多個不同的廣播域，一個廣播域對應了一個特定的用戶組，默認情況下這些不同的廣播域是相互隔離的。不同的廣播域之間想要通信，需要通過一個或多個路由器。這樣的一個廣播域就稱為VLAN。

Ⅷ 計算機網路VLAN配置如圖

LSW1---PC1，hybrid，pvid vlan10，untag vlan10 vlan30，192.168.1.1/24
LSW1---PC2，hybrid，pvid vlan20，untag vlan20 vlan30，192.168.1.2/24
LSW1---LSW2，trunk，vlan10、20、30
LSW2---LSW3，trunk，vlan10、20、30
LSW3---PC3，hybrid，pvid vlan30，untag vlan10 vlan20 vlan30，192.168.1.3/24

hybrid接受報文時（PC1-->LSW1），會打上埠的pvid
hybrid發送報文時（LSW3-->PC3），tag如果在untag列表中，會脫掉tag

Ⅸ 認識VLAN，並學會VLAN的劃分和網路配置實例

VLAN的劃分和網路的配置實例

1、VLAN基礎知識

VLAN（Virtual Local Area Network）的中文名為：「 虛擬區域網 」，注意和'VPN'（虛擬專用網）進行區分。

VLAN是一種將區域網設備從邏輯上劃分（不是從物理上劃分）成一個個網段，從而實現虛擬工作組的新興數據交換技術。這一新興技術主要應用於交換機和路由器中，但主流應用還是在交換機之中。但又不是所有交換機都具有此功能，只有VLAN協議的第三層以上交換機才具有此功能，這一點可以查看相應交換機的說明書即可得知。

由於它是從邏輯上劃分，而不是從物理上劃分，所以同一個VLAN內的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網段。由VLAN的特點可知，一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中，從而有助於 控制流量、減少設備投資、簡化網路管理、提高網路的安全性。

交換技術的發展，也加快了新的交換技術（VLAN）的應用速度。通過將企業網路劃分為虛擬網路VLAN網段，可以強化網路管理和網路安全，控制不必要的數據廣播。

在共享網路中，一個物理的網段就是一個廣播域。而在交換網路中，廣播域可以是有一組任意選定的第二層網路地址（MAC地址）組成的虛擬網段。這樣，網路中工作組的劃分可以突破共享網路中的地理位置限制，而完全根據管理功能來劃分。這種基於工作流的分組模式，大大提高了網路規劃和重組的管理功能。

在同一個VLAN中的工作站，不論它們實際與哪個交換機連接，它們之間的通訊就好象在獨立的交換機上一樣。同一個VLAN中的廣播只有VLAN中的成員才能聽到，而不會傳輸到其他的 VLAN中去，這樣可以很好的控制不必要的廣播風暴的產生。同時，若沒有路由的話，不同VLAN之間不能相互通訊，這樣增加了企業網路中不同部門之間的安全性。

網路管理員可以通過配置VLAN之間的路由來全面管理企業內部不同管理單元之間的信息互訪。交換機是根據用戶工作站的MAC地址來劃分VLAN的。所以，用戶可以自由的在企業網路中移動辦公，不論他在何處接入交換網路，他都可以與VLAN內其他用戶自如通訊。

VLAN網路可以是有混合的網路類型設備組成，比如：10M乙太網、100M乙太網、令牌網、FDDI、CDDI等等，可以是工作站、伺服器、集線器、網路上行主幹等。

VLAN除了能將網路劃分為多個廣播域，從而 有效地控制廣播風暴的發生，以及使網路的拓撲結構變得非常靈活 的優點外，還可以用於控制網路中不同部門、不同站點之間的 互相訪問 。

2、VLAN的劃分方法

VLAN在交換機上的實現方法，可以大致劃分為六類:

1. 基於埠劃分的VLAN

這是最常應用的一種VLAN劃分方法，應用也最為廣泛、最有效，目前絕大多數VLAN協議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據乙太網交換機的交換埠來劃分的，它是將VLAN交換機上的物理埠和VLAN交換機內部的PVC（永久虛電路）埠分成若干個組，每個組構成一個虛擬網，相當於一個獨立的VLAN交換機。

對於不同部門需要互訪時，可通過路由器轉發，並配合基於MAC地址的埠過濾。對某站點的訪問路徑上最靠近該站點的交換機、路由交換機或路由器的相應埠上，設定可通過的MAC地址集。這樣就可以防止非法入侵者從內部盜用IP地址從其他可接入點入侵的可能。

從這種劃分方法本身我們可以看出，這種劃分的方法的優點是定義VLAN成員時非常簡單，只要將所有的埠都定義為相應的VLAN組即可。適合於任何大小的網路。它的缺點是如果某用戶離開了原來的埠，到了一個新的交換機的某個埠，必須重新定義。

2. 基於MAC地址劃分VLAN

這種劃分VLAN的方法是根據每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置他屬於哪個組，它實現的機制就是每一塊網卡都對應唯一的 MAC地址，VLAN交換機跟蹤屬於VLAN MAC的地址。這種方式的VLAN允許網路用戶從一個物理位置移動到另一個物理位置時，自動保留其所屬VLAN的成員身份。

由這種劃分的機制可以看出，這種VLAN的劃分方法的最大優點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，因為它是基於用戶，而不是基於交換機的埠。

這種方法的缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的，所以這種劃分方法通常適用於小型區域網。而且這種劃分的方法也導致了交換機執行效率的降低，因為在每一個交換機的埠都可能存在很多個VLAN組的成員，保存了許多用戶的MAC地址，查詢起來相當不容易。另外，對於使用筆記本電腦的用戶來說，他們的網卡可能經常更換，這樣VLAN就必須經常配置。

3. 基於網路層協議劃分VLAN

VLAN按網路層協議來劃分，可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網路。這種按網路層協議來組成的 VLAN，可使廣播域跨越多個VLAN交換機。這對於希望針對具體應用和服務來組織用戶的網路管理員來說是非常具有吸引力的。而且，用戶可以在網路內部自由移動，但其VLAN成員身份仍然保留不變。

這種方法的優點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據協議類型來劃分VLAN，這對網路管理者來說很重要，還有，這種方法不需要附加的幀標簽來識別VLAN，這樣可以減少網路的通信量。這種方法的缺點是效率低，因為檢查每一個數據包的網路層地址是需要消耗處理時間的(相對於前面兩種方法)，一般的交換機晶元都可以自動檢查網路上數據包的乙太網禎頭，但要讓晶元能檢查IP幀頭，需要更高的技術，同時也更費時。當然，這與各個廠商的實現方法有關。

4. 根據IP組播劃分VLAN

IP 組播實際上也是一種VLAN的定義，即認為一個IP組播組就是一個VLAN。這種劃分的方法將VLAN擴大到了廣域網，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，主要適合於不在同一地理范圍的區域網用戶組成一個VLAN，不適合區域網，主要是效率不高。

5. 按策略劃分VLAN

基於策略組成的VLAN能實現多種分配方法，包括VLAN交換機埠、MAC地址、IP地址、網路層協議等。網路管理人員可根據自己的管理模式和本單位的需求來決定選擇哪種類型的VLAN 。

6. 按用戶定義、非用戶授權劃分VLAN

基於用戶定義、非用戶授權來劃分VLAN，是指為了適應特別的VLAN網路，根據具體的網路用戶的特別要求來定義和設計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認證後才可以加入一個VLAN。

3、VLAN的優越性

任何新技術要得到廣泛支持和應用，肯定存在一些關鍵優勢，VLAN技術也一樣，它的優勢主要體現在以下幾個方面：

1. 增加了網路連接的靈活性

藉助VLAN技術，能將不同地點、不同網路、不同用戶組合在一起，形成一個虛擬的網路環境，就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管理費用，特別是一些業務情況有經常性變動的公司使用了VLAN後，這部分管理費用大大降低。

2. 控制網路上的廣播

VLAN可以提供建立防火牆的機制，防止交換網路的過量廣播。使用VLAN，可以將某個交換埠或用戶賦於某一個特定的VLAN組，該VLAN組可以在一個交換網中或跨接多個交換機，在一個VLAN中的廣播不會送到VLAN之外。同樣，相鄰的埠不會收到其他VLAN產生的廣播。這樣可以減少廣播流量，釋放帶寬給用戶應用，減少廣播的產生。

3. 增加網路的安全性

因為一個VLAN就是一個單獨的廣播域，VLAN之間相互隔離，這大大提高了網路的利用率，確保了網路的安全保密性。人們在LAN上經常傳送一些保密的、關鍵性的數據。保密的數據應提供訪問控制等安全手段。一個有效和容易實現的方法是將網路分段成幾個不同的廣播組，網路管理員限制了VLAN中用戶的數量，禁止未經允許而訪問VLAN中的應用。交換埠可以基於應用類型和訪問特權來進行分組，被限制的應用程序和資源一般置於安全性VLAN中。

4、VLAN配置案例分析

某公司有100台計算機左右，主要使用網路的部門有：生產部(20)、財務部(15)、人事部(8)和信息中心(12)四大部分。

網路基本結構為：

整個網路中幹部分採用3台Catalyst 1900網管型交換機（分別命名為：Switch1、Switch2和Switch3，各交換機根據需要下接若干個集線器，主要用於非VLAN用戶，如行政文書、臨時用戶等）、一台Cisco 2514路由器，整個網路都通過路由器Cisco 2514與外部互聯網進行連接。

所連的用戶主要分布於四個部分，即：生產部、財務部、信息中心和人事部。主要對這四個部分用戶單獨劃分VLAN，以確保相應部門網路資源不被盜用或破壞。

現為了公司相應部分網路資源的安全性需要，特別是對於像財務部、人事部這樣的敏感部門，其網路上的信息不想讓太多人可以隨便進出，於是公司採用了VLAN的方法來解決以上問題。

通過VLAN的劃分，可以把公司主要網路劃分為：生產部、財務部、人事部和信息中心四個主要部分，對應的VLAN組為為：Prod、Fina、Huma、Info。

5、VLAN的配置過程

VLAN的配置過程其實非常簡單，只需兩步：

（1）為各VLAN組命名；

（2）把相應的VLAN對應到相應的交換機埠。

下面是具體的配置過程：

第1步：

設置好超級終端，連接上1900交換機，通過超級終端配置交換機的VLAN，連接成功後出現如下所示的主配置界面（交換機在此之前已完成了基本信息的配置）：

1 user(s) now active on Management Console.

User Interface Menu

[M] Menus

[K] Command Line

[I] IP Configuration

Enter Selection:

【注】超級終端是利用Windows系統自帶的'超級終端'（Hypertrm）程序進行的，具體參見有關資料。

第2步：

單擊'K'按鍵，選擇主界面菜單中'[K] Command Line'選項，進入如下命令行配置界面：

CLI session with the switch is open.

To end the CLI session,enter [Exit ].

此時我們進入了交換機的普通用戶模式，就象路由器一樣，這種模式只能查看現在的配置，不能更改配置，並且能夠使用的命令很有限。所以我們必須進入'特權模式'。

第3步：

在上一步'>'提示符下輸入進入特權模式命令'enable'，進入特權模式，命令格式為'>enable'，此時就進入了交換機配置的特權模式提示符：

#config t

Enter configuration commands,one perline.End with CNTL/Z

(config)#

第4步：

為了安全和方便起見，我們分別給這3個Catalyst 1900交換機起個名字，並且設置特權模式的登陸密碼。下面僅以Switch1為例進行介紹。配置代碼如下：

(config)#hostname Switch1

Switch1(config)# enable password level 15XXXXXX

Switch1(config)#

【注】特權模式密碼必須是4~8位字元這，要注意，這里所輸入的密碼是以明文形式直接顯示的，要注意保密。交換機用 level 級別的大小來決定密碼的許可權。Level 1 是進入命令行界面的密碼，也就是說，設置了 level 1 的密碼後，你下次連上交換機，並輸入 K 後，就會讓你輸入密碼，這個密碼就是 level 1 設置的密碼。而 level 15 是你輸入了'enable'命令後讓你輸入的特權模式密碼。

第5步：

設置VLAN名稱。因四個VLAN分屬於不同的交換機，VLAN命名的命令為'vlanvlan號 name vlan名稱，在Switch1、Switch2、Switch3、交換機上配置2、3、4、5號VLAN的代碼為：

Switch1 (config)#vlan 2 name Prod

Switch2 (config)#vlan 3 name Fina

Switch3 (config)#vlan 4 name Huma

Switch3 (config)#vlan 5 name Info

【注】以上配置是按表1規則進行的。

第6步：

上一步我們對各交換機配置了VLAN組，現在要把這些VLAN對應於表1所規定的交換機埠號。對應埠號的命令是'vlan-membership static/ dynamic VLAN號 '。在這個命令中'static'(靜態)和'dynamic'(動態)分配方式兩者必須選擇一個，不過通常都是選擇'static'(靜態)方式。

VLAN埠號應用配置如下：

（1）. 名為'Switch1'的交換機的VLAN埠號配置如下：

Switch1(config)#int e0/2

Switch1(config-if)#vlan-membership static 2

Switch1(config-if)#int e0/3

Switch1(config-if)#vlan-membership static 2

Switch1(config-if)#int e0/4

Switch1(config-if)#vlan-membership static 2

……

Switch1(config-if)#int e0/20

Switch(config-if)#vlan-membership static 2

Switch1(config-if)#int e0/21

Switch1(config-if)#vlan-membership static 2

Switch1(config-if)#

【注】'int'是'nterface'命令縮寫，是介面的意思。'e0/3'是'ethernet 0/2'的縮寫，代表交換機的0號模塊2號埠。

（2）. 名為'Switch2'的交換機的VLAN埠號配置如下：

Switch2(config)#int e0/2