基于第二代端口VLAN技术的交换机管理

摘要：应用第二代VLAN技术，以锐捷S2126交换机为基础，设计并实现了一个解决企业内部管理的交换机网络互连方案。

关键词：VLAN；TRUNK；交换机；端口

中图分类号：TP311文献标识码: A文章编号：1009-3044(2008)35-2433-02

Based on Second Generation of Port VLAN Technology Switch Management

ZHANG Jie

(Computer Application Technology Department,Jiangsu Food Science College ,Huai'an 223003,China)

Abstract: Using the second generation of VLAN technology, take the RUIJIE S2126 switch as the foundation, designed and has realized a solution enterprise internal management switch network interconnection plan.

Key words: VLAN;TRUNK;switch;port

1 VLAN技术

1.1 VLAN技术概述

VLAN是英文Virtual Local Area Network的缩写，即虚拟局域网。VLAN是建立在交换式局域网基础上，通过网络管理软件构建的，可以跨越不同网段、不同网络的逻辑网络。一方面，VLAN建立在局域网交换机的基础之上；另一方面，VLAN是局域交换网的灵魂。这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。

1.2 VLAN的优点

1） 控制网络的广播风暴，采用VLAN技术，可将某个交换端口划到某个LVAN中，由于一个VLAN就是一个逻辑上的广播域，而一个VLAN的广播风暴不会影响其它VLAN的性能，因此通过创建多个VLAN，可以缩小广播的范围，以达到减少、控制和隔离广播风暴的目的。

2） 提高网络的整体安全性，共享式局域网之所以很难保证网络的安全性，是因为只要用户插入一个活动端口，就能访问网络。而VLAN能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此VLAN能确保网络的安全性。

3） 简化网络管理，网络管理员能借助于VLAN技术轻松管理整个网络。借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地网络一样方便、灵活、有效。

1.3 VLAN的划分方法

1） 基于端口来划分VLAN，基于端口的VLAN是划分虚拟局域网最常用也是最有效的办法，它实际上是某些交换端口的集合，网络管理员只需要管理和配置交换端口、而不管交换端口连接什么设备。大多VLAN厂商都利用交换机的端口来划分VLAN，被设定的端口都在同一个广播域中。这种模式将虚拟网限制在了一台交换机上称为第一代端口VLAN技术。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。

2） 基于MAC地址划分VLAN，根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。优点是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，是基于用户的VLAN。缺点是初始化时，所有的用户都必须进行配置，非常繁琐，更换网卡要重新配置，并且也会导致交换机执行效率的降低，无法限制广播包。

3） 基于网络层协议或者地址划分VLAN，根据每个主机的网络层地址或协议类型划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。优点是用户的物理位置改变了，不需重新配置，且可根据协议类型来划分，不需要附加的帧标签来识别VLAN，减少网络通信量，缺点是效率低。

4） 根据IP组播划分VLAN，IP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，本方法将VLAN扩大到了广域网，因此具有更大的灵活性，也很容易通过路由器进行扩展，不适合局域网，主要是效率不高。

2 配置实例

2.1 VLAN配置步骤

企业内部有两个主要部门：销售部和技术部，其中销售部门的个人计算机系统分散连接，他们之间需要互相进行通信，但为了数据安全起见，销售部和技术部需要进行互相隔离，现在要在交换机上做适当的配置来实现这一目标。现采用两台锐捷S2126交换机构建一个如图1所示的拓扑结构。

1） 在交换机Switch A上创建VLAN 10，并将0/5端口划分到VLAN 10中。

SwitchA#configure terminal

SwitchA(config)#vlan 10

SwitchA(config-vlan)#name sales

SwitchA(config-vlan)#exit

SwitchA(config)#interface fastethernet 0/5

SwitchA(config-if)#switchport access vlan 10

2） 在交换机SwitchA上创建VLAN 20，并将0/15端口划分到VLAN 20中。

SwitchA(config)#vlan 20

SwitchA(config-vlan)#name technical

SwitchA(config-vlan)#exit

SwitchA(config)#interface fastethernet 0/15

SwitchA(config-if)#switchport access vlan 20

3） 把交换机SwitchA与交换机SwitchB相连的端口定义为tag vlan模式。

SwitchA(config)#interface fastethernet 0/24

SwitchA(config-if)#switchport mode trunk

4） 在交换机SwitchB上创建VLAN 10，并将0/5端口划分到VLAN 10中。

SwitchB#configure terminal

SwitchB(config)#vlan 10

SwitchB(config-vlan)#name sales

SwitchB(config-vlan)#exit

SwitchB(config)#interface fastethernet 0/5

SwitchB(config-if)#switchport access vlan 10

5） 把交换机SwitchB与交换机SwitchA相连的端口定义为tag vlan模式。

SwitchB(config)#interface fastethernet 0/24

SwitchB(config-if)#switchpot mode trunk

2.2 VLAN配置功能验证

在pc1的命令行方式下，通过ping pc3的IP地址，发现pc1和 pc3能相互通信，而在pc2的命令行方式下，通过ping pc3的IP地址，发现pc2和pc3不能相互通信。结果表明，本设计方案完全可以解决企业内部某些部门物理位置相对比较分散，而彼此之间又需要相互访问以及企业内部不同部门之间相互隔离的问题。

3 结束语

在一般的二层交换机组成的网络中，VLAN实现了网络流量的分割，不同的VLAN间是不能互相通信的。如果要实现VLAN间的通信必须借助路由来实现。一种是利用路由器，另一种是借助具有三层功能的交换机。

参考文献：

[1] 锐捷网络.著.网络互联与实现[M].北京:北京希望电子出版社,2007.

[2] 杨靖,刘亮.实用网络技术配置指南―初级篇[M].北京:北京希望电子出版社,2007.

[3] 尚晓航.计算机网络技术基础[M].北京:高等教育出版社,2004.

[4] 张世星.跨交换机VLAN的配置与应用[J].武警学院学报,2008(6).