交换机为什么要划分vlan？它如何配置

交换机为什么要划分vlan？它如何配置前天我们发布了局域网ip地址不够用怎么解决？有很多朋友就问到弱电君vlan如何分配，这个是交换机在划分网络的时候会常用到，这里面我们就以最直接了解下，单独对vlan基本操作，方便我们日常处理交换机配置，本期我们从vlan的作用来开始了解。 一、为什么要划分vlan1、减少广播风暴VLAN最大的好处是可以隔离冲突域和广播域，试想，如果一个局域网内有上百台主机，如果一旦产生广播风暴，那么，这个网络就会被彻底的瘫痪。可以通过vlan还划分广播与，这样使得广播被限制在每一个vlan里面，而不会跨VLAN传播。不同vlan之间的成员在没有三层路由的前提下是不能互访的，这也是一种安全的考虑。2、网络管理方便另外一个好处就是管理灵活，当一个用户需要切换到另外一个网络时，只需要更改交换机的vlan划分即可，而不用换端口和连线。举个简单的例子：假如公司有2个办公地点，但是每个地点都只有几个人，但是这几个人都分别属于不同的部门，由于每个二层交换机只能提供一个网段，所以需要划分不同网段来实现的话，公司有几个部门就需要提供几个交换机，但是如果通过vlan来实现，你们只需要一台交换机即可实现。这样就节约了成本。另一个方面，如果现在在办公点A的某员工需要调到另外一个部门，而这个部门只在办公点B才有，那麼这时，他无需搬到B地点去，只需要将A地点的上连交换机的端口的vlan划到B地点的那个部门的vlan即可，这样就方便很多。VLAN（虚拟局域网）技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。二、Vlan的划分方式及其优缺点由于它是从逻辑上划分，而不是从物理上划分，所以同一个VLAN内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理LAN网段。由VLAN的特点可知，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。Vlan的划分方式及其优缺点：1.基于端口划分：这种方法明确指定各端口属于哪个VLAN。优点：操作简单。缺点：主机较多时，重复工作量大；主机端口变动的时候，需要同时改变该端口所属的VLAN。2.基于MAC地址的划分：根据主机网卡的MAC地址进行划分（每个网卡都有世界上唯一的MAC地址）。通过检查并记录端口所连接的网卡的MAC地址来决定端口所属的VALN。优点：当用户主机物理地址改变的时候，不需要重新配置VLAN。缺点：初始化的时候需要对所有用户进行配置，当主机数很大时工作量较大；由于交换机每个端口可能需要保存多个主机的MAC地址，从而降低了交换机的执行效率。3.基于网络协议的划分：基于所用的网络层协议划分VLAN，可以划分为

IP/IPX/DECnet/AppleTalk/Banyan等VLAN网络。这种按照网络层协议划分的方式可以使广播域跨越多个交换机，对希望针对应用和服务来组织用户的网络管理员具有很大的吸引力。优点：用户主机物理位置改变后，不需要重新配置所属的VLAN网络；适用于需要针对不同应用和服务来组织用户的场景。缺点：检查每一个数据包的网络层地址需要消耗处理时间，效率较低。4.基于IP地址划分：将任何属于同一IP广播组的主机认为属于同一VLAN。优点：良好的灵活性和可扩展性，可以方便的通过路由器扩展网络。缺点：不适合局域网，效率不高。5.基于策略的划分：一种根据不同的情况，将多种（上面提到的）划分VLAN的技术按照一定的安全策略进行综合运用的划分技术。优点：这种方式具有自动配置的能力，自动化程度高；可以非常方便的扩展网络规模。缺点：对设备要求较高。三、vlan的配置很多朋友可能对代码很模糊，那没关系，可能对vlan了解不深，那么我们再来看看vlan的原理以及配置，我们用视频来详细了解vlan的划分方式及拓扑图讲解。实例讲解上面视频主要是原理，下面我们主要用华为交换机VLan常用的设置实例。为了让大家更加清楚，每行代码都有解释。1、创建vlan：<Quidway>//用户视图，也就是在Quidway模式下运行命令。<Quidway>system-view//进入配置视图[Quidway]vlan10//创建vlan10，并进入vlan10配置视图，如果vlan10存在就直接进入vlan10配置视图[Quidway-vlan10]quit//回到配置视图[Quidway]vlan100//创建vlan100，并进入vlan100配置视图，如果vlan10存在就直接进入vlan100配置视图[Quidway-vlan100]quit//回到配置视图2、将端口加入到vlan中：[Quidway]interfaceGigabitEthernet2/0/1(10G光口)[Quidway-GigabitEthernet2/0/1]portlink-typeaccess//定义端口传输模式[Quidway-GigabitEthernet2/0/1]portdefaultvlan100//将端口加入vlan100[Quidway-GigabitEthernet2/0/1]quit回到配置视图[Quidway]interfaceGigabitEthernet1/0/0//进入1号插槽上的第一个千兆网口配置视图中。0代表1号口[Quidway-GigabitEthernet1/0/0]portlink-typeaccess//定义端口传输模式[Quidway-GigabitEthernet2/0/1]portdefaultvlan10//将这个端口加入到vlan10中[Quidway-GigabitEthernet2/0/1]quit3、将多个端口加入到VLAN中<Quidway>system-view[Quidway]vlan10[Quidway-vlan10]portGigabitEthernet1/0/0to1/0/29//将0到29号口加入到vlan10中[Quidway-vlan10]quit华为下的这个命令自己现在不知道，找了下答案也没有结果。4、交换机配置IP地址[Quidway]interfaceVlanif100//进入vlan100接口视图与vlan100命令进入的地方不同[Quidway-Vlanif100]ipaddress052//定义vlan100管理IP三层交换网关路由[Quidway-Vlanif100]quit返回视图[Quidway]interfaceVlanif10//进入vlan10接口视图与vlan10命令进入的地方不同[Quidway-Vlanif10]ipaddress2928//定义vlan10管理IP三层交换网关路由[Quidway-Vlanif10]quit配置默认网关：[Quidway]iproute-static9//配置默认网关。5、交换机保存设置和重置命令<Quidway>save//保存配置信息<Quidway>resetsaved-configuration/重置交换机的配置<Quidway>reboot//重新启动交换机。补充：以太网端口有三种工作模式：Access、Multi和Trunk，端口工作在Access模式下只能属于1个VLAN，一般用于接用户计算机的端口；端口工作在Trunk模式下可以属于多个VLAN，可以接收和发送多个VLAN的报文，一般用于交换机之间连接的端口；端口工作在Multi模式下可以属于多个VLAN，可以接收和发送多个VLAN的报文，可以用于交换机之间连接，也可以用于接用户的计算机。Multi端口和Trunk端口的不同之处在于Multi端口可以允许多个VLAN的报文不打标签，而Trunk端口只允许缺省VLAN的报文不打标签。四、基于接口的VLAN划分1、按端口划分VLAN许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。2、按MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。3、按网络层划分这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。4、按IP组播划分IP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。5、基于规则的VLAN也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，能够把相关的用户连成一体，在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则（或属性），那么当一个站点加入网络中时，将会被“感知”，并被自动地包含进正确的VLAN中。同时，对站点的移动和改变也可自动识别和跟踪。采用这种方法，整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN，这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时，交换机中软件自动检查进入交换机端口的广播信息的IP源地址，然后软件自动将这个端口分配给一个由IP子网映射成的VLAN。6、按用户定义、非用户授权划分基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。[4]以上划分VLAN的方式中，基于端口的VLAN端口方式建立在物理层上；MAC方式建立在数据链路层上；网络层和IP广播方式建立在第三层上。图5-17

基于接口的VLAN划分组网图某数据中心的交换机Switch，根据不同用户对接口的需求，将每个用户所拥有的接口划分到不同的VLAN，实现数据中心中不同用户业务的完全隔离。可以认为每个用户拥有独立的"虚拟交换机"，每个VLAN就是一个"虚拟工作组"。基于MAC的VLAN划分图5-18

基于MAC的VLAN划分组网图如所示，某数据中心中，UserA初始与SwitchA相连。由于用户地点调整，需要将UserA调整接入交换机的另一个接口。为了保证UserA在改变地点后，仍然能够与UserC继续通信。可在交换机SwitchA上配置基于MAC地址划分VLAN。只要UserA的MAC地址不变，UserA改变接入接口时，并不影响VLAN的划分，不需要更改配置。二、VLAN间通信VLAN间互通有两种方式，以下分别介绍。多个VLAN属于同一个设