一、虛擬局域網簡介

　　虛擬局域網（VLAN）是一組邏輯上的設備和用戶，這些設備和用戶并不受物理位置的限制，可以根據功能、部門及應用等因素將它們組織起來，相互之間的通信就好像它們在同一個網段中一樣，由此得名虛擬局域網。VLAN是一種比較新的技術，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通信是通過第3層的路由器來完成的。與傳統的局域網技術相比較，VLAN技術更加靈活，它具有以下優點：網絡設備的移動、添加和修改的管理開銷減少；可以控制廣播活動；可提高網絡的安全性。

　　二、虛擬局域網配置

　　無論如何，對于企業來說，路由器和交換機都是必須設置，對于中、大型企業來說，路由器作為接入設備，從交換機上劃分VLAN是比較常用的做法，也比較便于管理。

　　本例的目的就是使用交換機配置VLAN，路由器作為內網的網絡出口，并起到路由的作用，簡易網絡拓撲圖如圖1所示。

　　第一步：配置路由器。為了能讓整個網絡正常通訊，第一步必須簡單的配置一下路由器，這里主要講解IP地址的配置方法。如果第一次配置路由器需要使用串口連接，如果以前對路由器進行過配置，那么這里可以直接使用Telnet的方法連接，這里使用Telnet的方式連接到路由器，將路由器的以太網接口IP地址設置為10.150.224.1，子網掩碼為255.255.255.0，在實際的配置過程中，大家可以根據自己的實際情況對IP地址、子網掩碼進行修改。

　　進入路由器之后，依次輸入以下命令，“//”之后為命令簡單解釋，實際配置時無需輸入。

　　Enable//進入特權模式

　　Configureterminal//進入配置模式

　　Hostnameroutervlan//為路由器命名

　　Interfacefastethernet0/0//進入接口模式

　　Ipaddress10.150.224.1255.255.255.0//配置當前接口的IP地址和子網掩碼

　　Noshut//開啟接口

　　上面的命令行中，所有提示符均忽略未輸入，實際執行結果可以參看圖2。

　　第二步：配置交換機。全部使用思科的設備的好處非常明顯，兼容性、穩定性就不說了，連命令同路由器的都基本上相同，配置也方便。

　　配置交換也比較簡單，只要先根據需要建立VLAN，然后再將交換機的各端口指派給具體的VLAN即可。

　　執行以下命令，即可完成一個VLAN的創建，并將1號端口指派給創建的VLAN。

　　Enable//進入特權模式

　　Configureterminal//進入配置模式

　　Vlan11namepcs//建立VLAN

　　Interfacee0/1//進入接口模式

　　Vlan-membershipstatic11//將當前端口指派給剛剛創建的VLAN

　　以上就是劃分VLAN以及指派端口所涉及到的命令了，根據自己的需要稍做變通即可創建適合自己的VLAN，具體命令執行如況如圖3所示。

　　不同型號的設備配置稍有不同，具體使用時可以通過“？”來查看命令以命令的具體語法格式。

　　三、虛擬局域網路由配置

　　上面只是進行了簡單的VLAN劃分，通過在客戶端進行相應的IP設置，可以通過交換機的，最后再經過路由器訪問Internet，但沒有進行很好的路由配置，在大型企業網絡中，就需要對虛擬局域網進行路由配置了。

　　簡單拓撲圖同圖一類似，只是進行虛擬局域網的路由設置，一般設備相對來說要高端一點，這里以5500的交換機同3640的路由器為例進行簡單講解，這里假設在交換機中已經劃分了三個虛擬局域網，名字分別為11、22、33，現在通過3640來實現虛擬局域網之間的路由，將交換機上支持ISL的端口與路由器的端口進行連接。

　　enable

　　configureterminal

　　interfaceethernet0/0

　　encapsulationisl11

　　ipaddress10.150.1.1255.255.255.0

　　interfaceethernet0/1

　　encapsulationisl22

　　ipaddress10.150.2.1255.255.255.0

　　interfaceethernet0/2

　　encapsulationisl33

　　ipaddress10.150.3.1255.255.255.0

　　命令具體執行效果如圖4所示。

　　經過一番配置之后，基本上就實現了虛擬局域網之間的路由了，這時可以通過Show命令來查看當前的配置情況，如果對配置情況確認的話，就執行Copy命令將結果保存。

　　四、設置虛擬局域網的好處

　　1、防止廣播風暴

　　在一個共享網絡中，一個網段就是一個獨立的廣播域。但是在交換網絡，廣播域就可以任意選定第二次網絡地址組成的虛擬網段。在這樣的情況中，網站工作組就可以不受共享網絡地理位置的控制，只根據管理功能劃分。

　　2、高安全性

　　虛擬局域網的分組模式，可以提高網絡規劃和重組的管理功能。在同一個虛擬局域網中的工作組，不論它們與哪個交換機進行連接，它們之間的通訊還就和在獨立交換機上一樣。這樣就可以很好的控制廣播風暴的發生；同時，沒有路由的話，不同的虛擬網之間也不能通訊，就可以增加企業網絡中不同部門之間的安全性。

　　3、無限制溝通訪問

　　網絡管理員可以通過配置虛擬局域網之前的路由來管理企業不同單元之間的信息互訪。交換機是根據用戶工作站的MAC地址來劃分虛擬局域網的。所以，用戶在整個企業網絡中移動辦公的話是沒有限制的，不管在哪里進去到交換網絡中，都可以與虛擬互聯網內其他用戶互相溝通。

　　4.、安全

　　增強局域網的安全性，含有敏感數據的用戶組可與網絡的其余部分隔離，從而降低泄露機密信息的可能性。不同VLAN內的報文在傳輸時是相互隔離的，即一個VLAN內的用戶不能和其它VLAN內的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備。

　　5、增加了網絡連接的靈活性

　　借助VLAN技術，能將不同地點、不同網絡、不同用戶組合在一起，形成一個虛擬的網絡環境，就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管理費用，特別是一些業務情況有經常性變動的公司使用了VLAN后，這部分管理費用大大降低。

　　五、虛擬局域網的劃分方式

　　1.基于端口的劃分

　　基于端口來劃分VLAN是目前最為常用的方法，具有簡單、安全和實用的特點。以這種方式劃分VLAN時，VLAN可以被理解為交換機端口的集合，這些被劃分到同一個VLAN中的端口可以是在一個交換機中的，也可以是來自不同的交換機的。例如，可以把某一交換機的１、３、６端口劃分到VLAN10，而把２、４、５端口劃分到VLAN20。但是劃分到VLAN10中的這些端口必須使用VLAN10中的網絡地址，劃分到VLAN20中的端口必須使用VLAN20中的網絡地址，否則將不能進行通信。按端口進行VLAN劃分的設置操作較為簡單，也容易被理解和接受。但是它不允許在一個端口上設置多個VLAN，同時在設備移動或添加時，需要網絡管理人員對交換機的端口重新進行設置。該劃分方式屬于靜態劃分方式。

　　2.基于MAC地址的劃分

　　這種方式是根據網絡設備的物理地址（MAC地址）來劃分VLAN，屬于動態劃分方式。由于網絡設備的MAC地址是惟一的，所以，基于MAC地址劃分VLAN時，當網絡設備從一個物理位置移到另一個物理位置而沒有改變其VLAN時，可以避免對VLAN重新進行設置和修改。在這種方式下，每一個VLAN就是一張MAC清單。當網絡規模較大、設備較多時，要對每個網絡設備逐一進行VLAN設置，維護這些MAC清單也是相當繁重的一項工作，這是這種劃分方式的缺點，也就是說，基于MAC的劃分方式不適合于大型網絡。

　　實現這種基于MAC地址劃VLAN的方式，通常需要一臺VLAN成員策略服務器（VLANMembershipPolicyServer，VMPS），VMPS服務器中有一個VMPS數據庫，該數據庫中包含了MAC地址到VLAC成員關系的關聯。每當一臺計算機接入交換機端口時，交換機將該交換機的MAC地址發送到VMPS服務器中，VMPS服務器將在VMPS數據庫中查找該MAC地址對應的VLAN配置信息并返回給交換機進行配置。

　　3.基于網絡層的VLAN

　　這是一種基于網絡層協議或網絡地址來劃分VLAN的方式。基于網絡層協議的劃分是在使用多種協議的情況下，可以根據所使用的協議來劃分不同的VLAN，它對每個協議有可能有不同的虛擬的拓撲形式。而基于網絡地址的VLAN劃分是根據所連接的計算機的網絡層地址進行VLAN的劃分，VLAN之間的路由是自動的，不需要外部路由器。基于網絡地址的VLAN可以在一個端口上設置多個VLAN。

　　在實際應用時，應根據具體的需要和所選用的交換機設備來決定采用哪種VLAN的劃分，以獲得最佳的效果。