什么是VLAN？

VLAN（Virtual LAN），翻譯成中文是“虛擬局域網”。LAN可以是由少數幾臺家用計算機構成的網絡，也可以是數以百計的計算機構成的企業網絡。VLAN所指的LAN特指使用路由器分割的網絡——也就是廣播域。在此讓我們先復習一下廣播域的概念。廣播域，指的是廣播幀（目標MAC地址全部為1）所能傳遞到的范圍，亦即能夠直接通信的范圍。嚴格地說，并不僅僅是廣播幀，多播幀（Multicast Frame）和目標不明的單播幀（Unknown Unicast Frame）也能在同一個廣播域中暢行無阻。

[[248217]]

為什么要用到VLAN？

IEEE于1999年頒布了用以標準化VLAN實現方案的802.1Q協議標準草案。VLAN技術的出現，使得管理員根據實際應用需求，把同一物理局域網內的不同用戶邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。

由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個VLAN內的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網段（建議一個Vlan對應一個IP子網。不同VLAN用同一個IP子網或一個VLAN對應多個IP子網都是錯的）。由VLAN的特點可知，一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中，從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。

VLAN優點？

1、增加靈活性和可擴展性

通過將交換機端口或用戶分配到交換機上的VLAN組中，或則分配到相連的交換機組中，就可以只添加你想要其進入此廣播域的用戶，而不用去理會他們的物理位置如何。

2、控制網絡上的廣播

VLAN可以提供建立防火墻的機制，防止交換網絡的過量廣播使用VLAN，可以將某個交換端口或用戶賦于某一個特定的VLAN組，該VLAN組可以在一個交換網中或跨接多個交換機， 在一個VLAN中的廣播不會送到VLAN之外同樣，相鄰的端口不會收到其他VLAN產生的廣播這樣可以減少廣播流量，釋放帶寬給用戶應用，減少廣播的產生。

3、增加安全性

處于同一交換機上不同VLAN用戶間默認情況下無法進行通信。它可以配置為一旦有任何對網絡資源的非授權訪問，可以立即通知網絡管理站。

VLAN的劃分方法

1、基于端口劃分的VLAN

這是最常應用的一種VLAN劃分方法，應用也最為廣泛、最有效，目前絕大多數VLAN協議的交換機都提供這種VLAN配置方法這種劃分VLAN的方法是根據以太網交換機的交換端口來劃分的，它是將VLAN交換機上的物理端口和VLAN交換機內部的PVC（***虛電路）端口分成若干個組，每個組構成一個虛擬網，相當于一個獨立的VLAN交換機。

2、基于MAC地址劃分VLAN

這種劃分VLAN的方法是根據每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置他屬于哪個組，它實現的機制就是每一塊網卡都對應***的 MAC地址，VLAN交換機跟蹤屬于VLAN MAC的地址這種方式的VLAN允許網絡用戶從一個物理位置移動到另一個物理位置時，自動保留其所屬VLAN的成員身份。

3、基于網絡層協議劃分VLAN

VLAN按網絡層協議來劃分，可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網絡這種按網絡層協議來組成的 VLAN，可使廣播域跨越多個VLAN交換機這對于希望針對具體應用和服務來組織用戶的網絡管理員來說是非常具有吸引力的而且，用戶可以在網絡內部自由移動，但其VLAN成員身份仍然保留不變。

4、根據IP組播劃分VLAN

IP 組播實際上也是一種VLAN的定義，即認為一個IP組播組就是一個VLAN這種劃分的方法將VLAN擴大到了廣域網，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，主要適合于不在同一地理范圍的局域網用戶組成一個VLAN，不適合局域網，主要是效率不高。

5、按策略劃分VLAN

基于策略組成的VLAN能實現多種分配方法，包括VLAN交換機端口、MAC地址、IP地址、網絡層協議等網絡管理人員可根據自己的管理模式和本單位的需求來決定選擇哪種類型的VLAN 。

6、按用戶定義、非用戶授權劃分VLAN

基于用戶定義、非用戶授權來劃分VLAN，是指為了適應特別的VLAN網絡，根據具體的網絡用戶的特別要求來定義和設計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認證后才可以加入一個VLAN。

VLAN的使用方式

1、Local VLAN

一個VLAN集中在一個機架中，便于故障分析定位，便于管理流量。推薦使用。

①數據流可預測

②冗余路徑

③高可用性

④有限的故障域

⑤可擴展性

2、End-to-End VLAN

設備在物理上分布靈活、流量不合理、故障難定位。不推薦使用。

VLAN成員關系

1、靜態VLAN

VLAN通常是由管理員創建的，并由管理員將交換機端口分配到每個VLAN中，這種類型的VLAN稱為靜態VLAN。

Switch(config)#vlan ? 
 
#在全局模式下創建、刪除、修改VALN。 
 
<1-1005> 
 
ISL VLAN IDs 1-1005 

#說明這臺交換機只能支持基礎的VLAN創建。擴展的VLAN范圍包括0～4096。其中0，4095，1006～1024為系統保留，無法查看使用它們；1為管理VLAN（本機VLAN），可以查看使用但不能刪除；1002～1005用于FDDI 和令牌環的Cisco 默認VLAN，用戶不能刪除。另外需要注意的是在VTP版本2中只能支持基礎VLAN的同步。

Switch(config)#vlan 2 
 
Switch(config-vlan)#name Sales 
 
#為這個VLAN命名，便于記憶。（可選配置） 
 
Switch(config-vlan)#interface fa0/1 
 
#進入接口模式。 
 
Switch(config-if)#switchport mode access 
 
#將端口定義為接入端口（接入層端口）。 
 
Switch(config-if)#switchport access vlan 2 
 
#將此端口靜態的劃分到某個VLAN中。 

2、動態VLAN

動態VLAN可以自動決定一個結點的VLAN分配。通過使用智能化的管理軟件，就可以基于硬件地址、協議甚至應用程序來創建動態的VLAN。這里可以使用VLAN管理策略服務器（VLAN Management Policy Server，VMPS）的服務來建立MAC地址的數據庫，這個數據庫可以用于VLAN的動態尋址。VMPS數據庫能夠自動將MAC地址映射到VLAN。

3、檢查

switch#show vlan 
 
#查看VLAN 信息 
 
switch#show interface vlan [vlan_id] 
 
#查看具體某個VLAN 的詳細信息 
 
switch#show vlan brief 
 
#查看交換機上已經創建的VLAN和交換機端口的從屬關系。 
 
switch#show spanning-tree vlan ID 
 
#查看某個VLAN的生成樹。 

注：默認情況下，交換機的vlan 文件不是保存在config.text 中，因此在清除啟動配置后，還可以看見vlan 信息，Cisco 交換機是將VLAN 信息保存在Flash:vlan.dat 中，只有將該文件刪除，vlan 信息才能徹底刪掉。命令如下：

switch#show flash 
 
#使用show 命令查看是否有vlan.dat 文件 
 
switch#delete flash:vlan.dat 
 
#使用delete 命令刪除vlan.dat 文件 

廣播域的分割與VLAN的必要性

分割廣播域時，一般都必須使用到路由器。使用路由器后，可以以路由器上的網絡接口（LAN Interface）為單位分割廣播域。

但是，通常情況下路由器上不會有太多的網絡接口，其數目多在1～4個左右。隨著寬帶連接的普及，寬帶路由器（或者叫IP共享器）變得較為常見，但是需要注意的是，它們上面雖然帶著多個（一般為4個左右）連接LAN一側的網絡接口，但那實際上是路由器內置的交換機，并不能分割廣播域。

況且使用路由器分割廣播域的話，所能分割的個數完全取決于路由器的網絡接口個數，使得用戶無法自由地根據實際需要分割廣播域。

與路由器相比，二層交換機一般帶有多個網絡接口。因此如果能使用它分割廣播域，那么無疑運用上的靈活性會大大提高。

用于在二層交換機上分割廣播域的技術，就是VLAN。通過利用VLAN，我們可以自由設計廣播域的構成，提高網絡設計的自由度。