基于VLAN的企业内部网络的规划和设计

-.z基于VLAN的企业内部网络的规划和设计(论文)题

目基于VLAN的企业内部网络的规划和设计

摘

要

在全球信息电子化、网络化快速生长的大环境下，无论是从大趋势上看，照旧从本身商业利益角度思索，树立企业内部维护信息系统是企业当务之急的职务。企业内部对于灵活、动态地组建LAN网段的要求也越来越多，客观上要求LAN本身的构造可以实现动态组建、调整和管理。

在企业中，一般会有多个部门，像财务部、技术部、工程部等等。像财务部这种重要的部门有些资料是不允许被其他员工知道的。怎样能清楚的区分不同的部门，以便于管理呢.使用VLAN技术！在网络中进展合理VLAN划分，可通过解决端口隔离充分防止冲突的产生，并且可以简化企业网络的管理及提高网络的平安性。

关键词：VLAN技术

播送域

逻辑划分

平安

目录

摘

要I

第一章绪论1

1.1企业内部局域网可行性划分1

1.2公司对信息的需求1

1.3工程给公司带来的效益1

1.4公司对网络需求状况2

1.5组建企业网考前须知2

1.6选定方案准绳2

第二章VLAN的技术简介5

2.1三层交换技术概述5

2.2VLAN的概述6

2.3VLAN的优点7

2.3.1提高网络的性能7

2.3.2组建虚拟组织7

2.3.3简化网络管理7

2.3.4提高网络平安8

2.3.5降低本钱8

2.4PVLAN原理和配置8

2.5QINQ原理和配置8

2.6SUPERVLAN原理和配置9

第三章VLAN的划分方式11

3.1基于端口划分的VLAN11

3.2基于MAC地址划分的VLAN11

3.3基网络层协议划分的VLAN12

3.4基于网络层子网划分的VLAN12

3.5基于网络层组播划分的VLAN12

3.6基于网络以上协议乃至应用程序的类型划分的VLAN13

第四章VLAN之间的通信15

4.1背景15

4.2通过路由器实现VLAN之间的通信15

4.2.1通过路由器的不同物理接口与交换机上每个VLAN分别连接15

4.2.2通过路由器的逻辑子接口与交换机各个VLAN连接16

4.3用交换机代替路由器实现VLAN间的通信16

第五章企业网VLAN的规划与设计17

5.1VLAN的实现过程17

5.2IP地址分配与VLAN地址的规划18

5.3企业网VLAN规划意义18

5.4企业网VLAN规划与设计案例18

第六章VLAN的新用途23

6.1背景23

6.2新用途23

第七章总结与展望25

致

谢27

参考文献29

第一章绪论

1.1企业内部局域网可行性划分

在全球信息电子化、网络化快速生长的大环境下，无论是从大趋势上看，照旧从本身商业利益角度思索，树立企业内部维护信息系统是企业当务之急的职务。

1.2公司对信息的需求

面对着剧烈的市场竞争，公司对信息的搜集、传输、加工、存贮、查询以及预测决策等任务量越来越大，原来的计算机只是停留在单机任务的方式，各科室间的数据无法完成共享，致使任务效率大大降低，地道手工维护方式和手腕已无法顺应需求，这将严重障碍公司的生活和生长。社会提高要求企业必需改动现有的落后维护体制、维护方法和手腕，树立当今企业的新抽象，树立本企业的自动化维护信息系统(即公司局域网)，以提高维护水平，添加经济和社会效益。

综合维护信息系统是为完成企业信息维护和办公自动化而树立的,它能为整个企业提供高效疏通的信息高速公路和公共效劳支持环境,构成一个以牢靠、迅捷、可提供多种功用的计算机网络为根本的信息维护系统,既能为各级部门提供了先进的信息效劳和生产环境,同时又提高了各部门的办公自动化和综合维护水平。

如果整个网络只有一个播送域，则一旦发出播送信息，就会传遍整个网络，并且对网络中的主机带来额外的负担。因此，在设计LAN时，需要注意如何才能有效地分割播送域。改动传统的维护思绪和维护方式,提高维护人员和任务人员的素质;使任务人员从冗杂的手工休息中解放出来;因而,树立一个牢靠、适用、易于维护、具有综合先进水平的企业局域网是必要的，基于VLAN的企业内部网的规划和设计是非常实用的一种。

1.3工程给公司带来的效益

从企业维护和业务生长的角度动身，议决网络对网络资源的共用来改进企业内部和企业与客户之间的信息交流方式，满足业务部门对信息存储、检索、处理和共享需求，使企业能快速掌握瞬息万变的市场行情，使企业信息更有效地发扬效能；提高办公自动化水平，提高任务效率，降低维护本钱，提高企业在市场上的竞争力；议决对每项业务的跟踪，企业维护者可以明白业务起色状况，掌握第一手资料，及时掌握市场动态，为企业提供投资导向信息，为干部决策提供数据支持；议决企业内部网树立，企业各业务部门可以有更简约的交流沟通，维护者可随时明白每一位员工的状况，并加强对企业人力资源合理调度，真实做到系统的集成化设计，使原有的装备、投资得到有效使用。

1.4公司对网络需求状况

公司现有技术曾经完全具有了树立网络的条件，从长远生长看，树立计算机网络也是当务之急，由于信息交流速度已制约了公司的生长，无论是公司获取客户的反响信息，照旧公司之间的各种数据的传送，呈现疑问的处理。

1.5组建企业网考前须知

企业的网络主要注意两个问题，一是对网络能够有效的管理，防止单个电脑对网络资源占用过大或者无法获得网络资源，另一方面是要提升网络的利用率，防止出现播送风暴等涉及所有用户的网络故障。对于这两个方面，也各自有与之对应的解决方案，分别是基于IP管理和对于网络用户进展分组。基于IP管理需要使用三层交换机，能够专门设置*台电脑的权限，对于网络用户的分组则可以在二层交换机上划分出VLAN，将所有用户依照*种共同点进展分组，然后设定整个群组的上网权限。

1.6选定方案准绳

在谋划网络拓扑构造时，应依据企业规模的大小、散布、对多媒体的需求等实践状况加以确定。普通可按以下准绳来确立：

(1)费用低

普通地在挑选网络拓扑构造的同时便大致确立了所要选取的传输介质、自用装备、装置方式等。比方挑选总线网络拓扑构造时普通选用同轴电缆作为传输介质，挑选星形拓扑构造时须要选用集线器产品，因而每一种网络拓扑构造对应的所需初期投资、现在的装置维护费用都是不等的，在满足其它要求的同时，应尽量挑选投资费用较低的网络拓扑构造。

(2)良好的灵敏性和可扩大性

在挑选网络拓扑构造时应思索企业未来的生长，并且网络中的装备不是一成不变的，对一些装备的更新换代或装备位置的变化，所选取的网络拓扑构造应该可以简约容易地举行配置以满足新的要求。

(3)固定性高

固定性关于一个网络拓扑构造是至关主要的。在网络中会经常发作节点毛病或传输介质毛病，一个固定性高的网络拓扑构造应具有良好的毛病诊断和毛病隔离才干，以使这些毛病对整个网络的影响减至最小。

(4)因地制宜

挑选网络拓扑构造应依据网络中各节点的散布状况，因地制宜地挑选不一样的网络拓扑构造。比方关于节点比较集中的场所多项选择用星形拓扑构造，而节点比较分散时则可以选用总线型拓扑构造。另外，假设单一的网络拓扑构造无法满足要求，则可挑选混合的拓扑构造。比方，假定一个网络中节点首要散布在两个不一样的地点，则可以在该两个节点密集的场所选用星型拓扑构造，然后运用总线拓扑构造将这两个地点衔接起来。

第二章VLAN的技术简介

2.1三层交换技术概述

要答复这个问题还是先看看以太网的工作原理。以太网的工作原理是利用二进制位形成的一个个字节组合成一帧帧的数据(其实是一些电脉冲)在导线中进展传播。首先，以太网网段上需要进展数据传送的节点对导线进展监听，这个过程称为CSMA/CD(CarrierSenseMultipleAccesswithCollisionDetection带有冲突监测的载波侦听多址)的载波侦听。如果，这时有另外的节点正在传送数据，监听节点将不得不等待，直到传送节点的传送任务完毕。

如果*时恰好有两个工作站同时准备传送数据，以太网网段将发出“冲突〞信号。这时，节点上所有的工作站都将检测到冲突信号，因为这时导线上的电压超出了标准电压。这时以太网网段上的任何节点都要等冲突完毕后才能够传送数据。也就是说在CSMA/CD方式下，在一个时间段，只有一个节点能够在导线上传送数据。而转发以太网数据帧的联网设备是集线器,它是一层设备，传输效率比较低。

冲突的产生降低了以太网的带宽，而且这种情况又是不可防止的。所以，当导线上的节点越来越多后，冲突的数量将会增加。显而易见的解决方法是限制以太网导线上的节点，需要对网络进展物理分段。将网络进展物理分段的网络设备用到了网桥与交换机。网桥和交换机的根本作用是只发送去往其他物理网段的信息。所以，如果所有的信息都只发往本地的物理网段，则网桥和交换机上就没有信息通过。这样可以有效减少网络上的冲突。网桥和交换机是基于目标MAC(介质控制)地址做出转发决定的，它们是二层设备。

现在已经知道了以太网的缺点及物理网段中冲突的影响，现在，大家来看看另外一种导致网络降低运行速度的原因：播送。播送存在于所有的网络上，如果不对它们进展适当的控制，它们便会充满于整个网络，产生大量的网络通信。播送不仅消耗了带宽，而且也降低了用户工作站的处理效率。由于各种各样的原因，网络操作系统(NOS)使用了播送，TCP/IP使用播送从IP地址中解析MAC地址，还使用播送通过RIP和IGRP协议进展宣告，所以，播送也是不可防止的。

网桥和交换机将对所有的播送信息进展转发，而路由器不会。所以，为了对播送进展控制，就必须使用路由器。路由器是基于第3层报头、目标IP寻址、目标IP*寻址或目标Appletalk寻址做出转发决定。路由器是3层设备。

在这里，我们就容易理解三层交换技术了，就是将路由与交换合二为一的技术。路由器在对第一个数据流进展路由后，将会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此映射表直接从二层进展交换而不是再次路由，提供线速性能，从而消除了路由器进展路由选择而造成网络的延迟，提高了数据包转发的效率。采用此技术的交换机我们常称为三层交换机。如图2-1所示即为三层交换机原理图：

图2-1三层交换机原理图

2.2VLAN的概述

VLAN(VirtualLocalAreaNetwork)又称虚拟局域网，一方面，VLAN建立在局域网交换机的根底之上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑播送域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户参加到一个逻辑子网中，在功能和操作上与传统LAN根本一样，可以提供一定*围内终端系统的互联。

另一方面，VLAN是局域交换网的灵魂。这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进展分配，而无需考虑物理连接方式。VLAN充分表达了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络开展的潮流。如图2-2为VLAN的构造图：

图2-2VLAN的构造图

2.3VLAN的优点

应用VLAN技术可以获得的益处是巨大的，主要有以下几个方面：提高网络性能、组建虚拟组织、简化网络管理、提高网络平安、减少设备投资......

2.3.1提高网络的性能

应用VLAN技术可以提高网络性能：

其一，VLAN技术允许网络管理员将交换机上的端口作逻辑分组，使得从*个VLAN中产生的字节流只能在附属于该VLAN的交换机端口之间流动。在一个有大量播送和多播报文的网络中，应用VLAN技术可以把这些报文限制在各个VLAN里，从而可以大大减少整个网络中不必要的信息流量，提高网络性能。

其二，相比较网桥和交换机而言，路由器在处理接收到的数据时要慢一些。使用了VLAN技术后，人们可以用交换机来代替路由器隔离播送域。由于减少了路由器的使用量，网络性能也相应地得到了提高。

2.3.2组建虚拟组织

如前所述，VLAN技术是随着人们生产活动中越来越多的跨部门跨职能开发团队的出现而提出的。组建虚拟组织、特别是虚拟工作组，是提出VLAN技术的初衷和目标之一。在实际应用时，对于同一个工作组内的成员，在该工作组存在的短时期内，可以把他们的计算机工作站划分在一个VLAN里以便于其进展通信。这样，每个组内成员的计算机工作站既无需搬移到一起、也无需改变各自的设置，只需在网络管理员那里作一些改变就可以了。

2.3.3简化网络管理

根据相关专家的分析计算，传统的LAN中约有70%的网络花销是因为添加、删除、移动、更改网络用户而导致的。每当有一个用户参加局域网，就会引发一系列的端口分配、地址分配、网络设备重新配置等网络管理任务。在使用VLAN技术后，这些任务都可得以简化。举例来说，当*台计算机工作站从一个空间位置移动到另一个空间位置时，不需要为其重新手工配置网络属性，网络自身就能够动态地完成这项任务。这种动态管理网络的方式给网络管理者和使用者都带来了极大的便利。

2.3.4提高网络平安

在传统的局域网中，不时的会有些敏感数据被有意或无意地播送到网络上，从而有可能造成信息泄密。在这种情况下，确定谁可以到这些数据就显得很重要。使用VLAN技术可以将敏感数据的传播限制在平安*围内，只允许已定义的VLAN成员相关数据。VLAN还可被用来设立防火墙、限制数据以及将网络入侵事件通知给网络管理员等，这些都可以提高网络的平安系数。

2.3.5降低本钱

VLAN技术可被用来创立逻辑的播送域，因而可以减少用于购置昂贵的路由器等播送域隔离设备的投资。

2.4PVLAN原理和配置

为了提高网络的平安性，要将用户之间的报文隔离开，传统的解决方法是给每个用户分配一个VLAN。这种方法具有明显的局限性，主要表现在以下几个方面：

(1)目前IEEE802.1Q标准中所支持的VLAN数目最多为4094个，用户数量受到限制，且不利于网络的扩展。

(2)每个VLAN对应一个IP子网，划分大量的子网会造成IP地址的浪费。

(3)大量VLAN和IP子网的规划和管理使网络管理变得非常复杂。

PVLAN(PrivateVLAN)技术的出现解决了这些问题。

PVLAN将VLAN中的端口分为两类：与用户相连的端口为隔离端口(Isolate

Port)，上行与路由器相连的端口为混合端口(PromiscuousPort)。隔离端口只能与混合端口通信，相互之间不能通信。这样就将同一个VLAN下的端口隔离开来，用户只能与自己的默认网关通信，网络的平安性得到保障。

2.5QinQ原理和配置

QinQ是对基于IEEE802.1Q封装的隧道协议的形象称呼，又称VLAN堆叠。QinQ技术是在原有VLAN标签(内层标签)之外再增加一个VLAN标签(外层标签)，外层标签可以将内层标签屏蔽起来。

QinQ不需要协议的支持，通过它可以实现简单的L2VPN(二层虚拟专用网)，特别适合以三层交换机为骨干的小型局域网。

QinQ技术的典型组网，连接用户网络的端口称为Customer端口，连接效劳提供商网络的端口称为Uplink端口，效劳提供商网络边缘接入设备称为PE

用户网络一般通过TrunkVLAN方式接入PE，效劳提供商网络内部的Uplink端口通过TrunkVLAN方式对称连接。

当报文从用户网络1到达交换机A的customer端口时，无论报文是tagged还是untagged的，交换机A都强行插入外层标签(VLANID为10)。在效劳提供商网络内部，报文沿着VLAN10的端口传播，直至到达交换机B。交换机B发现与用户网络2相连的端口为customer端口，于是按照传统的802.1Q协议剥离外层标签，恢复成用户的原始报文，发送到用户网络2。

这样，用户网络1和2之间的数据可以通过效劳提供商网络进展透明传输，用户网络可以自由规划自己的私网VLANID，而不会导致和效劳提供商网络中的VLANID冲突。

如图2-3即为802.1Q与QinQ封装构造的比较:

图2-3802.1Q与QinQ封装构造的比较

2.6SuperVLAN原理和配置

传统的ISP网络给每个用户被分配一个IP子网，每分配一个子网，就有三个IP地址被占用，分别作为子网的网络号、播送地址和缺省网关。如果一些用户的子网中有大量未分配的IP地址，也无法给其他用户使用。因此这种方法会造成IP地址的浪费。

SuperVLAN有效的解决了这个问题，它把多个VLAN(称为子VLAN)聚合成一个SuperVLAN，这些子VLAN使用同一个IP子网和缺省网关。

利用SuperVLAN技术，ISP只需为SuperVLAN分配一个IP子网，并为每个用户建立一个子VLAN，所有子VLAN可以灵活分配SuperVLAN子网中的IP地址，使用SuperVLAN的缺省网关。每个子VLAN都是一个独立的播送域，保证不同用户之间的隔离，子VLAN之间的通信通过SuperVLAN进展路由。

第三章VLAN的划分方式

3.1基于端口划分的VLAN

以网络设备的哪个端口属于哪个VLAN的标准来划分VLAN。例如，在一个有8个端口的网桥中，端口1、2、4、7属于VLAN1，而端口3、5、6、8属于VLAN2。则与这些端口相连的设备、这些设备收发的数据帧相应地也分别属于VLAN1、VLAN2。终究如何配置，由管理员决定。

如果有多个网络设备，例如有多个交换机，可以指定交换机1的1~6端口和交换机2的1~4端口为同一VLAN，即同一VLAN可以跨越数个交换机，根据端口划分是目前定义VLAN的最常用的方法，IEEE802.1Q协议标准草案中对如何根据交换机的端口来划分VLAN给出了明确的规定。

这种划分方法的优点和缺点都很明显：优点是定义VLAN成员时非常简单，只要将所有的端口都指定一下就可以了；缺点是不允许用户随便移动。如果属于*个VLAN的用户离开了原来的端口，到了一个新的网络设备的*个端口，则网络管理者就必须重新定义VLAN。如图3-1基于端口划分VLAN：

图3-1基于端口划分VLAN

3.2基于MAC地址划分的VLAN

以计算机工作站网卡的MAC地址来划分VLAN。这种划分方法的最大优点就是由于一个MAC地址唯一对应一块计算机网卡，故此当*个计算机工作站物理位置改变时、即从一台交换机转移到另一台交换机时，不需要重新配置VLAN；而缺点是所有的VLAN成员必须事先定义，这在有数以百计乃至千计用户的网络中，这并不是一件轻松的事。而且这种划分方法也导致了交换机执行效率的降低，因为交换机的每一个端口都可能连接许多不同VLAN组的成员，这样就无法限制播送报文了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，VLAN就必须不停的配置。如图3-2基于MAC地址划分VLAN：

图3-2基于MAC地址划分VLAN

3.3基网络层协议划分的VLAN

如果网络支持多网络层协议，则根据数据帧头中的网络层协议类型字段也可以划分VLAN。这对网络管理员来说很重要，同时，这种方法不需要附加的帧标签来识别VLAN，可以减少网络的通信量。

3.4基于网络层子网划分的VLAN

根据数据报文头中的网络层子网地址也可以划分VLAN。虽然这种划分方法根据的是第3层信息即网络地址(比方IP地址)，但它与网络层的路由功能一点关系也没有。它只是查看每个数据报文的网络层地址，并根据过滤数据库中事先定义好的信息决定其归属于哪个VLAN，然后再根据生成树算法进展桥交换，并不牵涉任何路由操作。这种方法的优点是当*个计算机工作站物理位置改变时，即从一台交换机转移到其它的交换机，不需要重新配置VLAN。其缺点是效率低，因为相对于第1、2层VLAN的实现技术，检查每一个数据报文的网络层地址是很费时间的。一般的交换机芯片都优点是具有更大的灵活性，而且也很容易通过路由器进展扩展。缺点是不适合LAN，主要是效率不高。

3.5基于网络层组播划分的VLAN

网络层组播实际上是一种VLAN。即认为一个组播组就是一个VLAN，这种划分方法实际将VLAN扩大到了WAN。该方法的应用程序的类型乃至两者的综合来划分VLAN也是有可能的。例如，规定所有的FTP应用在一个VLAN里运行而所有的Telnet应用在另一个VLAN里运行。这些方法的缺点在于它们都很费时，都要求更高的处理技术和更快的处理速度，目前的实现尚无法令人们满意。

802.1Q草案标准仅仅定义了基于端口和MAC地址来划分VLAN的标准方案，虽然它也允许基于协议类型的VLAN以及3层以上VLAN，但并没有给出相应的标准。

3.6基于网络以上协议乃至应用程序的类型划分的VLAN

根据网络层以上协议的类型、可以自动检查数据帧的帧头，但检查数据报文的报文头，则需要更高的技术(设备设计制造本钱也会相应增加)，同时也更费时。当然，这跟各个厂商的实现方法有关。

第四章VLAN之间的通信

4.1背景

随着交换机应用的普及，VLAN技术的应用也越来越广泛。众所周知，VLAN技术的主要作用是可将分布于不同地理位置的计算机按工作需要组合成一个逻辑网络，同时VLAN的划分可缩小播送域，以提高网络传输速度，由于处于不同VLAN的计算机之间不能直接通信，从而使网络的平安性能得到了很大提高。

但事实上在很多网络中要求处于不同VLAN中的计算机间能够相互通信，如何解决VLAN间的通信问题是我们在规划VLAN时必须认真考虑的问题。在企业网络开展的初期，网络中只有10%~20%的信息在VLAN之间传播，但随着多媒体技术在企业网络中应用的迅速普及，VLAN之间信息的传输量增加了许多倍，如果VLAN之间的通信问题解决得不好，将严重影响网络的使用和平安。

在LAN内的通信，是通过数据帧头中指定通信目标的MAC地址来完成的。而为了获取MAC地址，TCP/IP协议下使用ARP地址协议解析MAC地址的方法是通过播送报文来实现的，如果播送报文无法到达目的地，则就无从解析MAC地址，亦即无法直接通信。

当计算机分属不同的VLAN时，就意味着分属不同的播送域，自然收不到彼此的播送报文。因此，属于不同VLAN的计算机之间无法直接互相通信。为了能够在VLAN间通信，需要利用OSI参照模型中更高一层——网络层的信息(IP地址)来进展路由。在目前的网络互连设备中能完成路由功能的设备主要有路由器和三层以上的交换机。

4.2通过路由器实现VLAN之间的通信

使用路由器实现VLAN间通信时，路由器与交换机的连接方式有两种。第一种通过路由器的不同物理接口与交换机上的每个VLAN分别连接。第二种通过路由器的逻辑子接口与交换机的各个VLAN连接。

4.2.1通过路由器的不同物理接口与交换机上每个VLAN分别连接

这种方式的优点是管理简单，缺点是网络扩展难度大。每增加一个新的VLAN，都需要消耗路由器的端口和交换机上的，而且还需要重新布设一条网线。而路由器，通常不会带有太多LAN接口的。新建VLAN时，为了对应增加的VLAN所需的端口，就必须将路由器升级成带有多个LAN接口的高端产品，这局部本钱、还有重新布线所带来的开销，都使得这种接线法成为一种不受欢送的方法。

4.2.2通过路由器的逻辑子接口与交换机各个VLAN连接

这种连接方式要求路由器和交换机的端口都支持会聚，且双方用于会聚链路的协议自然也必须一样。接着在路由器上定义对应各个VLAN的逻辑子接口E1.1和E1.2。由于这种方式是靠在一个物理端口上设置多个逻辑子接口的方式实现网络扩展，因此网络扩展比较容易且本钱较低，只是对路由器的配置要复杂一些。

4.3用交换机代替路由器实现VLAN间的通信

目前市场上有许多三层以上的交换机，在这些交换机中，厂家通过硬件或软件的方式将路由功能集成到交换机中，交换机主要用于园区网中，园区网中的路由比较简单，但要求数据交换的速度较快，因此在大型园区网中用交换机代替路由器已是不争的事实。用交换机代替路由器实现VLAN间通信的方式也有两种，其一，就是启用交换机的路由功能，这种方式的实现方法可采用以上介绍的路由器方式的任一种。其二，是利用*些高端交换机所支持的专用VLAN功能来实现VLAN间的通信。

第五章企业网VLAN的规划与设计

5.1VLAN的实现过程

当一个网桥或交换机接收到来自于*个计算机工作站的数据帧，它将给这个数据帧加上一个标签以标识这个数据帧来自于哪个VLAN。加标签的原则有多种：可以基于数据帧来自于网桥的哪个端口、可以基于数据帧的数据链路层协议源地址、可以基于数据帧的网络层协议源地址、也可以基于数据帧的其它字段或多个字段的综合。为了能够使用任意一种方法给数据帧加标签，网桥必须有一个不断升级更新的数据库。这个数据库叫做过滤数据库，包含了本网络中全部VLAN之间的映射以及它们使用哪个字段作为标签。

例如，如果通过基于端口的方式来加标签，该数据库应该指示哪个端口属于哪个VLAN。网桥必须能够维护这样的一个数据库并且应保证所有在这个LAN中的网桥在它们的过滤数据库中有同样的信息。

基于IEEE802.1Q协议时，4个字节的VLAN标签加到传统的以太网帧的目的MAC地址字段和协议类型字段(在符合IEEE802.3协议的帧中是长度字段)之间。其中包含有一个12比特大小的VLANID号以区别各个VLAN，如图4-1所示：

图5-1基于802.1Q协议的VLAN帧格式封装类型

由于802.1Q协议的标签头的4个字节是新增加的，故目前使用的计算机并不支持802.1Q，即计算机发送出去的数据包的以太网帧头还不包含这4个字节，同时也无法识别这4个字节。对于交换机来说，如果它所连接的以太网段的所有主机都能识别和发送这种带802.1Q标签头的数据包，该端口称为TagAware端口，需要给数据帧加标签。

反之，如果该交换机端口所连接的以太网段里只要有一台主机不支持这种带802.1Q标签头的数据包，该端口称为Access端口，则不能给数据帧加标签。对于每一个到来的VLAN帧，网桥或交换机将根据查找过滤数据库的结果断定该帧归属于哪一个VLAN将从哪个接口被转发出去。一旦网桥或交换机决定了*个数据帧的下一步去向，它就得决定是否需要给这个数据帧加标签。具体实现包括以下三个过程：

(1)接收过程：负责接收数据包，数据包可以是带标签头的，也可以不带标签头。如果不带，交换时机根据该端口所属的VLAN添加上相应的标签头。

(2)查找/路由过程：根据数据包的目的MAC地址、VLAN标识，查找过滤数据库中注册的信息，以决定把数据包发送到哪个端口。

(3)发送过程：将数据包发送到以太网段上，如果该网段的主机不能识别802.1Q标签头，则在出端口前将该标签头去掉；如果是发送到互连的其它交换机的端口，则标签头一般不去掉。

5.2IP地址分配与VLAN地址的规划

随着网络规模的不断扩大，用户不断增加，网络应用也不断增长，网络变得越来越拥挤，冲突不断产生，管理难度日益加大。为了有效地提高网络管理的灵活性，提高网络效率和网络平安性，一个合理的VLAN规划给网络的管理更加有效。

网络中目前的电脑数目已经上千台了。如果把这个庞大的网络作为一个VLAN，则网络性能和平安性就会大大的降低，而且能产生网络风暴使网络瘫痪。因此，应对这个庞大的网络进展VLAN的规划，把它划分为假设干个虚拟子网，这样可以提高网络的网络性能和平安性，防止网络风暴。

网络主要是由中兴3228交换机组成。

如为了使*两个企业部门之间在网络中不能进展，确保部门与部门之间发生播送风暴，而把各个企业部门之间划分为单独的VLAN，从而提高各个企业部门之间的网络平安性。

5.3企业网VLAN规划意义

随着企业网的建成，对于企业网的管理的要求也越来越高了。目前，由于数据播送在网络中起着非常重要的作用，随着企业网内的计算机数量的增加，VOD视频的大量应用，播送的数量在积聚增加，当播送的数量占到总量的30%时，网络的传输效率将会明显下降。特别是当*网络设备出现故障后，会不停地向网络发送播送，从而导致通信陷于瘫痪。

当企业网络内的计算机数超过200台后，就需要采取措施将网络分隔开来，将一个大的播送域划分成假设干个小的播送域。目前，企业网的计算机已经有上千台，因此更应将这个大的播送域划分成假设干个小的播送域，划分播送域的方式主要是将企业网划分为假设干个虚拟子网，也就是VLAN。对企业网进展VLAN划分，可以强化网络管理和网络的平安，控制不必要的播送的数量。

5.4企业网VLAN规划与设计案例

企业网络是由多台Z*R103228交换机组成的堆叠组。以财务部、市场部为例，企业财务部、市场部网络组成。

下面是企业财务部、市场部的组网图:

图5-2企业财务部、市场部的组网图

如果有很多台电脑同时相互之间传送文件或下载东西，那样就会影响上网的速度，从而有可能产生播送风暴。因此，可以基于Z*R103228交换机每个端口划一个的VLAN来控制播送，有效地防止播送风暴的产生，并且网络管理更加有效。

整个网络在同一个网段IP地址/16内：

交换机一的端口1的IP地址为；

交换机一的端口2的IP地址为；

交换机一的端口3的IP地址为；

交换机一的端口4的IP地址为；

交换机一的端口5作为Trunk口不配置IP地址；

交换机二的端口1的IP地址为；

交换机二的端口2的IP地址为；

交换机二的端口3的IP地址为；

交换机二的端口4的IP地址为；

交换机二的端口5作为Trunk口不配置IP地址。

市场部划入vlan10内；

财务部划入vlan20内。

在上作如下配置：

交换机一的配置：

Z*R10>enable

Z*R10*configureterminal

Z*R10(config)*enablesecretZTE

Z*R10(config)interfacefei_1/1

Z*R10(config-if)*ipaddress

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/2

Z*R10(config-if)*ipaddress

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/3

Z*R10(config-if)*ipaddress

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/4

Z*R10(config-if)*ipaddress

Z*R10(config-if)*e*it

Z*R10(config)*vlan10

Z*R10(config-vlan)*e*it

Z*R10(config)*vlan20

Z*R10(config-vlan)*e*it

Z*R10(config)interfacefei_1/1

Z*R10(config-if)*switchportaccessvlan10

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/2

Z*R10(config-if)*switchportaccessvlan10

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/3

Z*R10(config-if)*switchportaccessvlan20

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/4

Z*R10(config-if)*switchportaccessvlan20

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/5

Z*R10(config-if)*switchportmodevlantrunk

Z*R10(config-if)*switchporttrunkvlan10

Z*R10(config-if)*switchporttrunkvlan20

交换机二的配置：

Z*R10>enable

Z*R10*configureterminal

Z*R10(config)*enablesecretZTE

Z*R10(config)interfacefei_1/1

Z*R10(config-if)*ipaddress

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/2

Z*R10(config-if)*ipaddress

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/3

Z*R10(config-if)*ipaddress

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/4

Z*R10(config-if)*ipaddress

Z*R10(config-if)*e*it

Z*R10(config)*vlan10

Z*R10(config-vlan)*e*it

Z*R10(config)*vlan20

Z*R10(config-vlan)*e*it

Z*R10(config)interfacefei_1/1

Z*R10(config-if)*switchportaccessvlan10

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/2

Z*R10(config-if)*switchportaccessvlan10

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/3

Z*R10(config-if)*switchportaccessvlan20

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/4

Z*R10(config-if)*switchportaccessvlan20

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/5

Z*R10(config-if)*switchportmodevlantrunk

Z*R10(config-if)*switchporttrunkvlan10

Z*R10(config-if)*switchporttrunkvlan20

第六章VLAN的新用途

6.1背景

虽然VLAN并非最好的网络技术，但这种用于网络结点逻辑分段的方法正为许多企业所使用。VLAN采用多种方式配置于企业网络中，包括网络平安认证、使无线用户在802.11b接入点漫游等。

多年前引进VLAN的时候，多数VLAN都是基于IEEE802.1Q和802.1p标准的。802.1Q规*用于将VLAN用户信息载入以太网帧，而802.1p使二层交换机具有流量优先和实施动态多址滤波的能力。

当初引进VLAN时，它被看作是一个简化地址管理的方法，可以使IT人员在网络的任意点对效劳器和PC机进展物理配置，并将PC机参加到组中。

多数网络设备的软件可用于将媒体控制(MAC)地址与VLAN相关联，当客户从一个端口移动到另一个端口时，可以使其自动连接到网络上。

6.2新用途

(1)VLAN的无线接入

随着越来越多的公司推出其无线网络，人们最关心的问题恐怕就是如何将无线用户接入适当的有线VLAN。有线网络中的VLAN用户身份通常都是由用户的物理层二层交换机或三层路由器连接端口来定义的。但在无线网络中，用户根本没有与任何物理端口连接。

为解决这一问题，人们开场采用先进的无线验证技术，并利用基于角色的VLAN关联来进展用户识别。这种方法可以利用一系列标准的验证方法，如基于HTTP捕获端口和802.1*等可选验证机制来判断出正确的VLAN用户身份。

(2)VLAN的应用

最近，休斯顿在4栋22层的建筑物中建立了网络及其子网，包括122个法庭、法律事务所和审判厅，这种建筑物非常适合建立VLAN，因为将122个私人子网合并到一个VLAN中要