交換機(jī)為什么要?jiǎng)澐講lan？它如何配置

交換機(jī)為什么要?jiǎng)澐講lan？它如何配置前天我們發(fā)布了局域網(wǎng)ip地址不夠用怎么解決？有很多朋友就問(wèn)到弱電君vlan如何分配，這個(gè)是交換機(jī)在劃分網(wǎng)絡(luò)的時(shí)候會(huì)常用到，這里面我們就以最直接了解下，單獨(dú)對(duì)vlan基本操作，方便我們?nèi)粘Ｌ幚斫粨Q機(jī)配置，本期我們從vlan的作用來(lái)開(kāi)始了解。 一、為什么要?jiǎng)澐講lan1、減少?gòu)V播風(fēng)暴VLAN最大的好處是可以隔離沖突域和廣播域，試想，如果一個(gè)局域網(wǎng)內(nèi)有上百臺(tái)主機(jī)，如果一旦產(chǎn)生廣播風(fēng)暴，那么，這個(gè)網(wǎng)絡(luò)就會(huì)被徹底的癱瘓?？梢酝ㄟ^(guò)vlan還劃分廣播與，這樣使得廣播被限制在每一個(gè)vlan里面，而不會(huì)跨VLAN傳播。不同vlan之間的成員在沒(méi)有三層路由的前提下是不能互訪(fǎng)的，這也是一種安全的考慮。2、網(wǎng)絡(luò)管理方便另外一個(gè)好處就是管理靈活，當(dāng)一個(gè)用戶(hù)需要切換到另外一個(gè)網(wǎng)絡(luò)時(shí)，只需要更改交換機(jī)的vlan劃分即可，而不用換端口和連線(xiàn)。舉個(gè)簡(jiǎn)單的例子：假如公司有2個(gè)辦公地點(diǎn)，但是每個(gè)地點(diǎn)都只有幾個(gè)人，但是這幾個(gè)人都分別屬于不同的部門(mén)，由于每個(gè)二層交換機(jī)只能提供一個(gè)網(wǎng)段，所以需要?jiǎng)澐植煌W(wǎng)段來(lái)實(shí)現(xiàn)的話(huà)，公司有幾個(gè)部門(mén)就需要提供幾個(gè)交換機(jī)，但是如果通過(guò)vlan來(lái)實(shí)現(xiàn)，你們只需要一臺(tái)交換機(jī)即可實(shí)現(xiàn)。這樣就節(jié)約了成本。另一個(gè)方面，如果現(xiàn)在在辦公點(diǎn)A的某員工需要調(diào)到另外一個(gè)部門(mén)，而這個(gè)部門(mén)只在辦公點(diǎn)B才有，那麼這時(shí)，他無(wú)需搬到B地點(diǎn)去，只需要將A地點(diǎn)的上連交換機(jī)的端口的vlan劃到B地點(diǎn)的那個(gè)部門(mén)的vlan即可，這樣就方便很多。VLAN（虛擬局域網(wǎng)）技術(shù)的出現(xiàn)，使得管理員根據(jù)實(shí)際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶(hù)邏輯地劃分成不同的廣播域，每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。二、Vlan的劃分方式及其優(yōu)缺點(diǎn)由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站沒(méi)有限制在同一個(gè)物理范圍中，即這些工作站可以在不同物理LAN網(wǎng)段。由VLAN的特點(diǎn)可知，一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。Vlan的劃分方式及其優(yōu)缺點(diǎn)：1.基于端口劃分：這種方法明確指定各端口屬于哪個(gè)VLAN。優(yōu)點(diǎn)：操作簡(jiǎn)單。缺點(diǎn)：主機(jī)較多時(shí)，重復(fù)工作量大；主機(jī)端口變動(dòng)的時(shí)候，需要同時(shí)改變?cè)摱丝谒鶎俚腣LAN。2.基于MAC地址的劃分：根據(jù)主機(jī)網(wǎng)卡的MAC地址進(jìn)行劃分（每個(gè)網(wǎng)卡都有世界上唯一的MAC地址）。通過(guò)檢查并記錄端口所連接的網(wǎng)卡的MAC地址來(lái)決定端口所屬的VALN。優(yōu)點(diǎn)：當(dāng)用戶(hù)主機(jī)物理地址改變的時(shí)候，不需要重新配置VLAN。缺點(diǎn)：初始化的時(shí)候需要對(duì)所有用戶(hù)進(jìn)行配置，當(dāng)主機(jī)數(shù)很大時(shí)工作量較大；由于交換機(jī)每個(gè)端口可能需要保存多個(gè)主機(jī)的MAC地址，從而降低了交換機(jī)的執(zhí)行效率。3.基于網(wǎng)絡(luò)協(xié)議的劃分：基于所用的網(wǎng)絡(luò)層協(xié)議劃分VLAN，可以劃分為

IP/IPX/DECnet/AppleTalk/Banyan等VLAN網(wǎng)絡(luò)。這種按照網(wǎng)絡(luò)層協(xié)議劃分的方式可以使廣播域跨越多個(gè)交換機(jī)，對(duì)希望針對(duì)應(yīng)用和服務(wù)來(lái)組織用戶(hù)的網(wǎng)絡(luò)管理員具有很大的吸引力。優(yōu)點(diǎn)：用戶(hù)主機(jī)物理位置改變后，不需要重新配置所屬的VLAN網(wǎng)絡(luò)；適用于需要針對(duì)不同應(yīng)用和服務(wù)來(lái)組織用戶(hù)的場(chǎng)景。缺點(diǎn)：檢查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址需要消耗處理時(shí)間，效率較低。4.基于IP地址劃分：將任何屬于同一IP廣播組的主機(jī)認(rèn)為屬于同一VLAN。優(yōu)點(diǎn)：良好的靈活性和可擴(kuò)展性，可以方便的通過(guò)路由器擴(kuò)展網(wǎng)絡(luò)。缺點(diǎn)：不適合局域網(wǎng)，效率不高。5.基于策略的劃分：一種根據(jù)不同的情況，將多種（上面提到的）劃分VLAN的技術(shù)按照一定的安全策略進(jìn)行綜合運(yùn)用的劃分技術(shù)。優(yōu)點(diǎn)：這種方式具有自動(dòng)配置的能力，自動(dòng)化程度高；可以非常方便的擴(kuò)展網(wǎng)絡(luò)規(guī)模。缺點(diǎn)：對(duì)設(shè)備要求較高。三、vlan的配置很多朋友可能對(duì)代碼很模糊，那沒(méi)關(guān)系，可能對(duì)vlan了解不深，那么我們?cè)賮?lái)看看vlan的原理以及配置，我們用視頻來(lái)詳細(xì)了解vlan的劃分方式及拓?fù)鋱D講解。實(shí)例講解上面視頻主要是原理，下面我們主要用華為交換機(jī)VLan常用的設(shè)置實(shí)例。為了讓大家更加清楚，每行代碼都有解釋。1、創(chuàng)建vlan：<Quidway>//用戶(hù)視圖，也就是在Quidway模式下運(yùn)行命令。<Quidway>system-view//進(jìn)入配置視圖[Quidway]vlan10//創(chuàng)建vlan10，并進(jìn)入vlan10配置視圖，如果vlan10存在就直接進(jìn)入vlan10配置視圖[Quidway-vlan10]quit//回到配置視圖[Quidway]vlan100//創(chuàng)建vlan100，并進(jìn)入vlan100配置視圖，如果vlan10存在就直接進(jìn)入vlan100配置視圖[Quidway-vlan100]quit//回到配置視圖2、將端口加入到vlan中：[Quidway]interfaceGigabitEthernet2/0/1(10G光口)[Quidway-GigabitEthernet2/0/1]portlink-typeaccess//定義端口傳輸模式[Quidway-GigabitEthernet2/0/1]portdefaultvlan100//將端口加入vlan100[Quidway-GigabitEthernet2/0/1]quit回到配置視圖[Quidway]interfaceGigabitEthernet1/0/0//進(jìn)入1號(hào)插槽上的第一個(gè)千兆網(wǎng)口配置視圖中。0代表1號(hào)口[Quidway-GigabitEthernet1/0/0]portlink-typeaccess//定義端口傳輸模式[Quidway-GigabitEthernet2/0/1]portdefaultvlan10//將這個(gè)端口加入到vlan10中[Quidway-GigabitEthernet2/0/1]quit3、將多個(gè)端口加入到VLAN中<Quidway>system-view[Quidway]vlan10[Quidway-vlan10]portGigabitEthernet1/0/0to1/0/29//將0到29號(hào)口加入到vlan10中[Quidway-vlan10]quit華為下的這個(gè)命令自己現(xiàn)在不知道，找了下答案也沒(méi)有結(jié)果。4、交換機(jī)配置IP地址[Quidway]interfaceVlanif100//進(jìn)入vlan100接口視圖與vlan100命令進(jìn)入的地方不同[Quidway-Vlanif100]ipaddress052//定義vlan100管理IP三層交換網(wǎng)關(guān)路由[Quidway-Vlanif100]quit返回視圖[Quidway]interfaceVlanif10//進(jìn)入vlan10接口視圖與vlan10命令進(jìn)入的地方不同[Quidway-Vlanif10]ipaddress2928//定義vlan10管理IP三層交換網(wǎng)關(guān)路由[Quidway-Vlanif10]quit配置默認(rèn)網(wǎng)關(guān)：[Quidway]iproute-static9//配置默認(rèn)網(wǎng)關(guān)。5、交換機(jī)保存設(shè)置和重置命令<Quidway>save//保存配置信息<Quidway>resetsaved-configuration/重置交換機(jī)的配置<Quidway>reboot//重新啟動(dòng)交換機(jī)。補(bǔ)充：以太網(wǎng)端口有三種工作模式：Access、Multi和Trunk，端口工作在Access模式下只能屬于1個(gè)VLAN，一般用于接用戶(hù)計(jì)算機(jī)的端口；端口工作在Trunk模式下可以屬于多個(gè)VLAN，可以接收和發(fā)送多個(gè)VLAN的報(bào)文，一般用于交換機(jī)之間連接的端口；端口工作在Multi模式下可以屬于多個(gè)VLAN，可以接收和發(fā)送多個(gè)VLAN的報(bào)文，可以用于交換機(jī)之間連接，也可以用于接用戶(hù)的計(jì)算機(jī)。Multi端口和Trunk端口的不同之處在于Multi端口可以允許多個(gè)VLAN的報(bào)文不打標(biāo)簽，而Trunk端口只允許缺省VLAN的報(bào)文不打標(biāo)簽。四、基于接口的VLAN劃分1、按端口劃分VLAN許多VLAN廠(chǎng)商都利用交換機(jī)的端口來(lái)劃分VLAN成員。被設(shè)定的端口都在同一個(gè)廣播域中。例如，一個(gè)交換機(jī)的1，2，3，4，5端口被定義為虛擬網(wǎng)AAA，同一交換機(jī)的6，7，8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通訊，并允許共享型網(wǎng)絡(luò)的升級(jí)。但是，這種劃分模式將虛擬網(wǎng)限制在了一臺(tái)交換機(jī)上。第二代端口VLAN技術(shù)允許跨越多個(gè)交換機(jī)的多個(gè)不同端口劃分VLAN，不同交換機(jī)上的若干個(gè)端口可以組成同一個(gè)虛擬網(wǎng)。以交換機(jī)端口來(lái)劃分網(wǎng)絡(luò)成員，其配置過(guò)程簡(jiǎn)單明了。因此，從目前來(lái)看，這種根據(jù)端口來(lái)劃分VLAN的方式仍然是最常用的一種方式。2、按MAC地址劃分VLAN這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來(lái)劃分，即對(duì)每個(gè)MAC地址的主機(jī)都配置它屬于哪個(gè)組。這種劃分VLAN方法的最大優(yōu)點(diǎn)就是當(dāng)用戶(hù)物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN不用重新配置，所以，可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶(hù)的VLAN，這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶(hù)都必須進(jìn)行配置，如果有幾百個(gè)甚至上千個(gè)用戶(hù)的話(huà)，配置是非常累的。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員，這樣就無(wú)法限制廣播包了。另外，對(duì)于使用筆記本電腦的用戶(hù)來(lái)說(shuō)，他們的網(wǎng)卡可能經(jīng)常更換，這樣，VLAN就必須不停地配置。3、按網(wǎng)絡(luò)層劃分這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類(lèi)型(如果支持多協(xié)議)劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無(wú)關(guān)系。這種方法的優(yōu)點(diǎn)是用戶(hù)的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類(lèi)型來(lái)劃分VLAN，這對(duì)網(wǎng)絡(luò)管理者來(lái)說(shuō)很重要，還有，這種方法不需要附加的幀標(biāo)簽來(lái)識(shí)別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的(相對(duì)于前面兩種方法)，一般的交換機(jī)芯片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時(shí)也更費(fèi)時(shí)。當(dāng)然，這與各個(gè)廠(chǎng)商的實(shí)現(xiàn)方法有關(guān)。4、按IP組播劃分IP組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個(gè)組播組就是一個(gè)VLAN，這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過(guò)路由器進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高。5、基于規(guī)則的VLAN也稱(chēng)為基于策略的VLAN。這是最靈活的VLAN劃分方法，具有自動(dòng)配置的能力，能夠把相關(guān)的用戶(hù)連成一體，在邏輯劃分上稱(chēng)為“關(guān)系網(wǎng)絡(luò)”。網(wǎng)絡(luò)管理員只需在網(wǎng)管軟件中確定劃分VLAN的規(guī)則（或?qū)傩裕?，那么?dāng)一個(gè)站點(diǎn)加入網(wǎng)絡(luò)中時(shí)，將會(huì)被“感知”，并被自動(dòng)地包含進(jìn)正確的VLAN中。同時(shí)，對(duì)站點(diǎn)的移動(dòng)和改變也可自動(dòng)識(shí)別和跟蹤。采用這種方法，整個(gè)網(wǎng)絡(luò)可以非常方便地通過(guò)路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。有的產(chǎn)品還支持一個(gè)端口上的主機(jī)分別屬于不同的VLAN，這在交換機(jī)與共享式Hub共存的環(huán)境中顯得尤為重要。自動(dòng)配置VLAN時(shí)，交換機(jī)中軟件自動(dòng)檢查進(jìn)入交換機(jī)端口的廣播信息的IP源地址，然后軟件自動(dòng)將這個(gè)端口分配給一個(gè)由IP子網(wǎng)映射成的VLAN。6、按用戶(hù)定義、非用戶(hù)授權(quán)劃分基于用戶(hù)定義、非用戶(hù)授權(quán)來(lái)劃分VLAN，是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò)，根據(jù)具體的網(wǎng)絡(luò)用戶(hù)的特別要求來(lái)定義和設(shè)計(jì)VLAN，而且可以讓非VLAN群體用戶(hù)訪(fǎng)問(wèn)VLAN，但是需要提供用戶(hù)密碼，在得到VLAN管理的認(rèn)證后才可以加入一個(gè)VLAN。[4]以上劃分VLAN的方式中，基于端口的VLAN端口方式建立在物理層上；MAC方式建立在數(shù)據(jù)鏈路層上；網(wǎng)絡(luò)層和IP廣播方式建立在第三層上。圖5-17

基于接口的VLAN劃分組網(wǎng)圖某數(shù)據(jù)中心的交換機(jī)Switch，根據(jù)不同用戶(hù)對(duì)接口的需求，將每個(gè)用戶(hù)所擁有的接口劃分到不同的VLAN，實(shí)現(xiàn)數(shù)據(jù)中心中不同用戶(hù)業(yè)務(wù)的完全隔離。可以認(rèn)為每個(gè)用戶(hù)擁有獨(dú)立的"虛擬交換機(jī)"，每個(gè)VLAN就是一個(gè)"虛擬工作組"?；贛AC的VLAN劃分圖5-18

基于MAC的VLAN劃分組網(wǎng)圖如所示，某數(shù)據(jù)中心中，UserA初始與SwitchA相連。由于用戶(hù)地點(diǎn)調(diào)整，需要將UserA調(diào)整接入交換機(jī)的另一個(gè)接口。為了保證UserA在改變地點(diǎn)后，仍然能夠與UserC繼續(xù)通信?？稍诮粨Q機(jī)SwitchA上配置基于MAC地址劃分VLAN。只要UserA的MAC地址不變，UserA改變接入接口時(shí)，并不影響VLAN的劃分，不需要更改配置。二、VLAN間通信VLAN間互通有兩種方式，以下分別介紹。多個(gè)VLAN屬于同一個(gè)設(shè)