交換機為什麼要劃分vlan？它如何配置

一、為什麼要劃分vlan

1、減少廣播風暴

VLAN最大的好處是可以隔離衝突域和廣播域，試想，如果一個區域網內有上百臺主機，如果一旦產生廣播風暴，那麼，這個網路就會被徹底的癱瘓。

可以透過vlan還劃分廣播與，這樣使得廣播被限制在每一個vlan裡面，而不會跨VLAN傳播。

不同vlan之間的成員在沒有三層路由的前提下是不能互訪的，這也是一種安全的考慮。

2、網路管理方便

另外一個好處就是管理靈活，當一個使用者需要切換到另外一個網路時，只需要更改交換機的vlan劃分即可，而不用換埠和連線。

舉個簡單的例子：

假如公司有2個辦公地點，但是每個地點都只有幾個人，但是這幾個人都分別屬於不同的部門，由於每個二層交換機只能提供一個網段，所以需要劃分不同網段來實現的話，公司有幾個部門就需要提供幾個交換機，但是如果透過vlan來實現，你們只需要一臺交換機即可實現。這樣就節約了成本。

另一個方面，如果現在在辦公點A的某員工需要調到另外一個部門，而這個部門只在辦公點B才有，那麼這時，他無需搬到B地點去，只需要將A地點的上連交換機的埠的vlan劃到B地點的那個部門的vlan即可，這樣就方便很多。

VLAN（虛擬區域網）技術的出現，使得管理員根據實際應用需求，把同一物理區域網內的不同使用者邏輯地劃分成不同的廣播域，每一個 VLAN 都包含一組有著相同需求的計算機工作站，與物理上形成的 LAN有著相同的屬性。

二、Vlan的劃分方式及其優缺點

由於它是從邏輯上劃分，而不是從物理上劃分，所以同一個 VLAN 內的各個工作站沒有限制在同一個物理範圍中，即這些工作站可以在不同物理 LAN網段。

由 VLAN的特點可知，一個 VLAN 內部的廣播和單播流量都不會轉發到其他 VLAN 中，從而有助於控制流量、減少裝置投資、簡化網路管理、提高網路的安全性。

Vlan 的劃分方式及其優缺點：

1。基於埠劃分：

這種方法明確指定各埠屬於哪個VLAN。

優點：操作簡單。

缺點：主機較多時，重複工作量大；主機埠變動的時候，需要同時改變該埠所屬的VLAN。

2。基於 MAC地址的劃分：

根據主機網絡卡的 MAC地址進行劃分（每個網絡卡都有世界上唯一的 MAC地址）。透過檢查並記錄埠所連線的網絡卡的 MAC地址來決定埠所屬的 VALN。

優點：當用戶主機物理地址改變的時候，不需要重新配置VLAN。

缺點：初始化的時候需要對所有使用者進行配置，當主機數很大時工作量較大；由於交換機每個埠可能需要儲存多個主機的 MAC地址，從而降低了交換機的執行效率。

3。基於網路協議的劃分：

基於所用的網路層協議劃分 VLAN，可以劃分為

IP/IPX/DECnet/AppleTalk/Banyan等 VLAN網路。這種按照網路層協議劃分的方式可以使廣播域跨越多個交換機，對希望針對應用和服務來組織使用者的網路管理員具有很大的吸引力。

優點：使用者主機物理位置改變後，不需要重新配置所屬的 VLAN 網路；適用於需要針對不同應用和服務來組織使用者的場景。

缺點：檢查每一個數據包的網路層地址需要消耗處理時間，效率較低。

4。基於 IP地址劃分：

將任何屬於同一IP廣播組的主機認為屬於同一 VLAN。

優點：良好的靈活性和可擴充套件性，可以方便的透過路由器擴充套件網路。

缺點：不適合區域網，效率不高。

5。基於策略的劃分：

一種根據不同的情況，將多種（上面提到的）劃分 VLAN 的技術按照一定的安全策略進行綜合運用的劃分技術。

優點：這種方式具有自動配置的能力，自動化程度高；可以非常方便的擴充套件網路規模。

缺點：對裝置要求較高。

三、vlan的配置

很多朋友可能對程式碼很模糊，那沒關係，可能對vlan瞭解不深，那麼我們再來看看vlan的原理以及配置，我們用影片來詳細瞭解vlan的劃分方式及拓撲圖講解。

例項講解

上面影片主要是原理，下面我們主要用華為交換機VLan常用的設定例項。

為了讓大家更加清楚，每行程式碼都有解釋。

1、建立vlan：

//使用者檢視，也就是在Quidway模式下執行命令。

system-view //進入配置檢視

［Quidway］ vlan 10 //建立vlan 10，並進入vlan10配置檢視，如果vlan10存在就直接進入vlan10配置檢視

［Quidway-vlan10］ quit //回到配置檢視

［Quidway］ vlan 100 //建立vlan 100，並進入vlan100配置檢視，如果vlan10存在就直接進入vlan100配置檢視

［Quidway-vlan100］ quit //回到配置檢視

2、將埠加入到vlan中：

［Quidway］ interface GigabitEthernet2/0/1 （10G光口）

［Quidway- GigabitEthernet2/0/1］ port link-type access //定義埠傳輸模式

［Quidway- GigabitEthernet2/0/1］ port default vlan 100 //將埠加入vlan100

［Quidway- GigabitEthernet2/0/1］ quit 回到配置檢視

［Quidway］ interface GigabitEthernet1/0/0 //進入1號插槽上的第一個千兆網口配置檢視中。0代表1號口

［Quidway- GigabitEthernet1/0/0］ port link-type access //定義埠傳輸模式

［Quidway- GigabitEthernet2/0/1］ port default vlan 10 //將這個埠加入到vlan10中

［Quidway- GigabitEthernet2/0/1］ quit

3、將多個埠加入到VLAN中

system-view

［Quidway］vlan 10

［Quidway-vlan10］port GigabitEthernet 1/0/0 to 1/0/29 //將0到29號口加入到vlan10中

［Quidway-vlan10］quit

華為下的這個命令自己現在不知道，找了下答案也沒有結果。

4、交換機配置IP地址

［Quidway］ interface Vlanif100 // 進入vlan100介面檢視與vlan 100命令進入的地方不同

［Quidway-Vlanif100］ ip address 119。167。200。90 255。255。255。252 // 定義vlan100管理IP三層交換閘道器路由

［Quidway-Vlanif100］ quit 返回檢視

［Quidway］ interface Vlanif10 // 進入vlan10介面檢視與vlan 10命令進入的地方不同

［Quidway-Vlanif10］ ip address 119。167。206。129 255。255。255。128 // 定義vlan10管理IP三層交換閘道器路由

［Quidway-Vlanif10］ quit

配置預設閘道器：

［Quidway］ip route-static 0。0。0。0 0。0。0。0 119。167。200。89 //配置預設閘道器。

5、交換機儲存設定和重置命令

save //儲存配置資訊

reset saved-configuration /重置交換機的配置

reboot //重新啟動交換機。

補充：

乙太網埠有三種工作模式：

Access、Multi和Trunk，埠工作在Access模式下只能屬於1個VLAN，一般用於接使用者計算機的埠；

埠工作在Trunk模式下可以屬於多個VLAN，可以接收和傳送多個VLAN的報文，一般用於交換機之間連線的埠；

埠工作在Multi模式下可以屬於多個VLAN，可以接收和傳送多個VLAN的報文，可以用於交換機之間連線，也可以用於接使用者的計算機。

Multi埠和Trunk埠的不同之處在於Multi埠可以允許多個VLAN的報文不打標籤，而Trunk埠只允許預設VLAN的報文不打標籤。

四、基於介面的VLAN劃分

1、按埠劃分VLAN

許多VLAN廠商都利用交換機的埠來劃分VLAN成員。被設定的埠都在同一個廣播域中。例如，一個交換機的1，2，3，4，5埠被定義為虛擬網AAA，同一交換機的6，7，8埠組成虛擬網BBB。這樣做允許各埠之間的通訊，並允許共享型網路的升級。但是，這種劃分模式將虛擬網限制在了一臺交換機上。第二代埠VLAN技術允許跨越多個交換機的多個不同埠劃分VLAN，不同交換機上的若干個埠可以組成同一個虛擬網。以交換機埠來劃分網路成員，其配置過程簡單明瞭。因此，從目前來看，這種根據埠來劃分VLAN的方式仍然是最常用的一種方式。

2、按MAC地址劃分VLAN

這種劃分VLAN的方法是根據每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置它屬於哪個組。這種劃分VLAN方法的最大優點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，所以，可以認為這種根據MAC地址的劃分方法是基於使用者的VLAN，這種方法的缺點是初始化時，所有的使用者都必須進行配置，如果有幾百個甚至上千個使用者的話，配置是非常累的。而且這種劃分的方法也導致了交換機執行效率的降低，因為在每一個交換機的埠都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。另外，對於使用膝上型電腦的使用者來說，他們的網絡卡可能經常更換，這樣，VLAN就必須不停地配置。

3、按網路層劃分

這種劃分VLAN的方法是根據每個主機的網路層地址或協議型別（如果支援多協議）劃分的，雖然這種劃分方法是根據網路地址，比如IP地址，但它不是路由，與網路層的路由毫無關係。這種方法的優點是使用者的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據協議型別來劃分VLAN，這對網路管理者來說很重要，還有，這種方法不需要附加的幀標籤來識別VLAN，這樣可以減少網路的通訊量。這種方法的缺點是效率低，因為檢查每一個數據包的網路層地址是需要消耗處理時間的（相對於前面兩種方法），一般的交換機晶片都可以自動檢查網路上資料包的乙太網幀頭，但要讓晶片能檢查IP幀頭，需要更高的技術，同時也更費時。當然，這與各個廠商的實現方法有關。

4、按IP組播劃分

IP組播實際上也是一種VLAN的定義，即認為一個組播組就是一個VLAN，這種劃分的方法將VLAN擴大到了廣域網，因此這種方法具有更大的靈活性，而且也很容易透過路由器進行擴充套件，當然這種方法不適合區域網，主要是效率不高。

5、基於規則的VLAN

也稱為基於策略的VLAN。這是最靈活的VLAN劃分方法，具有自動配置的能力，能夠把相關的使用者連成一體，在邏輯劃分上稱為“關係網路”。網路管理員只需在網管軟體中確定劃分VLAN的規則（或屬性），那麼當一個站點加入網路中時，將會被“感知”，並被自動地包含進正確的VLAN中。同時，對站點的移動和改變也可自動識別和跟蹤。採用這種方法，整個網路可以非常方便地透過路由器擴充套件網路規模。有的產品還支援一個埠上的主機分別屬於不同的VLAN，這在交換機與共享式Hub共存的環境中顯得尤為重要。自動配置VLAN時，交換機中軟體自動檢查進入交換機埠的廣播資訊的IP源地址，然後軟體自動將這個埠分配給一個由IP子網對映成的VLAN。

6、按使用者定義、非使用者授權劃分

基於使用者定義、非使用者授權來劃分VLAN，是指為了適應特別的VLAN網路，根據具體的網路使用者的特別要求來定義和設計VLAN，而且可以讓非VLAN群體使用者訪問VLAN，但是需要提供使用者密碼，在得到VLAN管理的認證後才可以加入一個VLAN。［4］

以上劃分VLAN的方式中，基於埠的VLAN埠方式建立在物理層上；MAC方式建立在資料鏈路層上；網路層和IP廣播方式建立在第三層上。

圖5-17 基於介面的VLAN劃分組網圖

某資料中心的交換機Switch，根據不同使用者對介面的需求，將每個使用者所擁有的介面劃分到不同的VLAN，實現資料中心中不同使用者業務的完全隔離。可以認為每個使用者擁有獨立的“虛擬交換機”，每個VLAN就是一個“虛擬工作組”。

基於MAC的VLAN劃分

圖5-18 基於MAC的VLAN劃分組網圖

如所示，某資料中心中，UserA初始與SwitchA相連。由於使用者地點調整，需要將UserA調整接入交換機的另一個介面。為了保證UserA在改變地點後，仍然能夠與UserC繼續通訊。可在交換機SwitchA上配置基於MAC地址劃分VLAN。只要UserA的MAC地址不變，UserA改變接入介面時，並不影響VLAN的劃分，不需要更改配置。

二、 VLAN間通訊

VLAN間互通有兩種方式，以下分別介紹。

多個VLAN屬於同一個裝置

圖5-19 多個VLAN屬於同一個裝置互通組網圖