VLAN的基础知识

小乔

思科知识点汇总贴
http://bbs.hh010.com/thread-529979-1-1.html
(出处: 鸿鹄论坛)


VLAN的优点
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段（建议一个Vlan对应一个IP子网。不同VLAN用同一个IP子网或一个VLAN对应多个IP子网都是错的）。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
对网络进行分段：一个VLAN=一个广播域=一个逻辑网络（子网）
1.增加灵活性和可扩展性
通过将交换机端口或用户分配到交换机上的VLAN组中，或则分配到相连的交换机组中，就可以只添加你想要其进入此广播域的用户，而不用去理会他们的物理位置如何。
2.提高网络性能
  在链路层隔离了广播域
3.增加安全性
处于同一交换机上不同VLAN用户间默认情况下无法进行通信。它可以配置为一旦有任何对网络资源的非授权访问，可以立即通知网络管理站。

三、VLAN的使用方式
1.Local VLAN：一个VLAN集中在一个机架中，便于故障分析定位，便于管理流量。推荐使用。
①数据流可预测
②冗余路径
③高可用性
④有限的故障域
⑤可扩展性
2.End-to-End VLAN：设备在物理上分布灵活、流量不合理、故障难定位。不推荐使用。

四、VLAN成员关系
1.静态VLAN
VLAN通常是由管理员创建的，并由管理员将交换机端口分配到每个VLAN中，这种类型的VLAN称为静态VLAN。
Switch(config)#vlan ?
#在全局模式下创建、删除、修改VALN。

<1-1005>
ISL VLAN IDs 1-1005
#说明这台交换机只能支持基础的VLAN创建。扩展的VLAN范围包括0～4096。其中0，4095，1006～1024为系统保留，无法查看使用它们；1为管理VLAN（本机VLAN），可以查看使用但不能删除；1002～1005用于FDDI 和令牌环的Cisco 默认VLAN，用户不能删除。另外需要注意的是在VTP版本2中只能支持基础VLAN的同步。
Switch(config)#vlan 2
Switch(config-vlan)#name Sales
#为这个VLAN命名，便于记忆。（可选配置）
Switch(config-vlan)#interface fa0/1
#进入接口模式。
Switch(config-if)#switchport mode access
#将端口定义为接入端口（接入层端口）。
Switch(config-if)#switchport access vlan 2
#将此端口静态的划分到某个VLAN中。
2.动态VLAN
动态VLAN可以自动决定一个结点的VLAN分配。通过使用智能化的管理软件，就可以基于硬件地址、协议甚至应用程序来创建动态的VLAN。这里可以使用VLAN管理策略服务器（VLAN Management Policy Server，VMPS）的服务来建立MAC地址的数据库，这个数据库可以用于VLAN的动态寻址。VMPS数据库能够自动将MAC地址映射到VLAN。
3.检查
switch#show vlan
#查看VLAN 信息
switch#show interface vlan [vlan_id]
#查看具体某个VLAN 的详细信息
switch#show vlan brief
#查看交换机上已经创建的VLAN和交换机端口的从属关系。

switch#show spanning-tree vlan ID
#查看某个VLAN的生成树。
注：默认情况下，交换机的vlan 文件不是保存在config.text 中，因此在清除启动配置后，还可以看见vlan 信息，Cisco 交换机是将VLAN 信息保存在Flash:vlan.dat 中，只有将该文件删除，vlan 信息才能彻底删掉。命令如下：
switch#show flash
#使用show 命令查看是否有vlan.dat 文件
switch#delete flash:vlan.dat
#使用delete 命令删除vlan.dat 文件
五、VLAN成员的分类
1.根据端口划分VLAN
这种划分VLAN的方法是根据以太网交换机的端口来划分，它是目前定义VLAN的最常用的方法。IEEE 802.1Q协议规定的就是如何根据交换机的端口来划分VLAN。
它的优点是定义VLAN成员时非常简单，只要将所有的端口都指定义一下就可以了。
它的缺点是如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。
2.根据MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。
它的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN。
它的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。
3.根据网络层划分VLAN
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法可能是根据网络地址，比如IP地址，但它不是路由，不要与网络层的路由混淆。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协议，而是根据生成树算法进行桥交换，
它的优点是用户的物理位置改变了，不需要重新配置他所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的桢标签来识别VLAN，这样可以减少网络的通信量。
它的缺点是效率，因为检查每一个数据包的网络层地址是很费时的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网桢头，但要让芯片能检查IP包头，需要更高的技术，同时也更费时。当然，这也跟各个厂商的实现方法有关。
4.根据IP组播划分VLAN
IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高，对于局域网的组播，有二层组播协议GMRP。
注：①通过上面可以看出，各种不同的VLAN定义方法有各自的优缺点，所以，很多厂商的交换机都实现了不只一种方法，这样，网络管理者可以根据自己的实际需要进行选择，另外，许多厂商在实现VLAN的时候，考虑到VLAN配置的复杂性，还提供了一定程度的自动配置和方便的网络管理工具。
②以上划分VLAN的方式中，基于端口的VLAN端口方式建立在物理层上；MAC方式建立在数据链路层上；网络层和IP广播方式建立在第三层上。

q466265670

学习

IT小白888

谢谢

13481343813

谢谢  分享 大神  长知识了

matt6116

感謝分享~

淼渺淼渺

感谢小乔分享

love7777

Thank you for sharing