【9PC 綜合報(bào)道】計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展猶如戲劇舞臺(tái)，你方唱罷我登臺(tái)。從傳統(tǒng)的以太網(wǎng)(10Mb/s)發(fā)展到快速以太網(wǎng)(100Mb/s)和千兆以太網(wǎng)(1000Mb/s)也不過幾年的時(shí)間，其迅猛的勢(shì)頭實(shí)在令人吃驚。而現(xiàn)在中大型規(guī)模網(wǎng)絡(luò)建設(shè)中，以千兆三層交換機(jī)為核心的所謂“千兆主干跑、百兆到桌面”的主流網(wǎng)絡(luò)模型已不勝枚舉。現(xiàn)在，網(wǎng)絡(luò)業(yè)界對(duì)“三層交換”和VLAN這兩詞已經(jīng)不感到陌生了。

一、什么是三層交換和VLAN

要回答這個(gè)問題我們還是先看看以太網(wǎng)的工作原理。以太網(wǎng)的工作原理是利用二進(jìn)制位形成的一個(gè)個(gè)字節(jié)組合成一幀幀的數(shù)據(jù)(其實(shí)是一些電脈沖)在導(dǎo)線中進(jìn)行傳播。首先，以太網(wǎng)網(wǎng)段上需要進(jìn)行數(shù)據(jù)傳送的節(jié)點(diǎn)對(duì)導(dǎo)線進(jìn)行監(jiān)聽，這個(gè)過程稱為CSMA/CD(Carrier Sense Multiple Access with Collision Detection帶有沖突監(jiān)測(cè)的載波偵聽多址訪問)的載波偵聽。如果，這時(shí)有另外的節(jié)點(diǎn)正在傳送數(shù)據(jù)，監(jiān)聽節(jié)點(diǎn)將不得不等待，直到傳送節(jié)點(diǎn)的傳送任務(wù)結(jié)束。如果某時(shí)恰好有兩個(gè)工作站同時(shí)準(zhǔn)備傳送數(shù)據(jù)，以太網(wǎng)網(wǎng)段將發(fā)出“沖突”信號(hào)。這時(shí)，節(jié)點(diǎn)上所有的工作站都將檢測(cè)到?jīng)_突信號(hào)，因?yàn)檫@時(shí)導(dǎo)線上的電壓超出了標(biāo)準(zhǔn)電壓。這時(shí)以太網(wǎng)網(wǎng)段上的任何節(jié)點(diǎn)都要等沖突結(jié)束后才能夠傳送數(shù)據(jù)。也就是說在CSMA/CD方式下，在一個(gè)時(shí)間段，只有一個(gè)節(jié)點(diǎn)能夠在導(dǎo)線上傳送數(shù)據(jù)。而轉(zhuǎn)發(fā)以太網(wǎng)數(shù)據(jù)幀的聯(lián)網(wǎng)設(shè)備是集線器,它是一層設(shè)備，傳輸效率比較低。

沖突的產(chǎn)生降低了以太網(wǎng)的帶寬，而且這種情況又是不可避免的。所以，當(dāng)導(dǎo)線上的節(jié)點(diǎn)越來越多后，沖突的數(shù)量將會(huì)增加。顯而易見的解決方法是限制以太網(wǎng)導(dǎo)線上的節(jié)點(diǎn)，需要對(duì)網(wǎng)絡(luò)進(jìn)行物理分段。將網(wǎng)絡(luò)進(jìn)行物理分段的網(wǎng)絡(luò)設(shè)備用到了網(wǎng)橋與交換機(jī)。網(wǎng)橋和交換機(jī)的基本作用是只發(fā)送去往其他物理網(wǎng)段的信息。所以，如果所有的信息都只發(fā)往本地的物理網(wǎng)段，那么網(wǎng)橋和交換機(jī)上就沒有信息通過。這樣可以有效減少網(wǎng)絡(luò)上的沖突。網(wǎng)橋和交換機(jī)是基于目標(biāo)MAC(介質(zhì)訪問控制)地址做出轉(zhuǎn)發(fā)決定的，它們是二層設(shè)備。我們已經(jīng)知道了以太網(wǎng)的缺點(diǎn)及物理網(wǎng)段中沖突的影響，現(xiàn)在，我們來看看另外一種導(dǎo)致網(wǎng)絡(luò)降低運(yùn)行速度的原因：廣播。廣播存在于所有的網(wǎng)絡(luò)上，如果不對(duì)它們進(jìn)行適當(dāng)?shù)目刂疲�它們便�?huì)充斥于整個(gè)網(wǎng)絡(luò)，產(chǎn)生大量的網(wǎng)絡(luò)通信。廣播不僅消耗了帶寬，而且也降低了用戶工作站的處理效率。由于各種各樣的原因，網(wǎng)絡(luò)操作系統(tǒng)(NOS)使用了廣播，TCP/IP使用廣播從IP地址中解析MAC地址，還使用廣播通過RIP和IGRP協(xié)議進(jìn)行宣告，所以，廣播也是不可避免的。網(wǎng)橋和交換機(jī)將對(duì)所有的廣播信息進(jìn)行轉(zhuǎn)發(fā)，而路由器不會(huì)。所以，為了對(duì)廣播進(jìn)行控制，就必須使用路由器。路由器是基于第3層報(bào)頭、目標(biāo)IP尋址、目標(biāo)IPX尋址或目標(biāo)Appletalk尋址做出轉(zhuǎn)發(fā)決定。路由器是3層設(shè)備。

在這里，我們就容易理解三層交換技術(shù)了，通俗地講，就是將路由與交換合二為一的技術(shù)。路由器在對(duì)第一個(gè)數(shù)據(jù)流進(jìn)行路由后，將會(huì)產(chǎn)生一個(gè)MAC地址與IP地址的映射表，當(dāng)同樣的數(shù)據(jù)流再次通過時(shí)，將根據(jù)此映射表直接從二層進(jìn)行交換而不是再次路由，提供線速性能，從而消除了路由器進(jìn)行路由選擇而造成網(wǎng)絡(luò)的延遲，提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率。采用此技術(shù)的交換機(jī)我們常稱為三層交換機(jī)。

那么，什么是VLAN呢？VLAN(Virtual Local Area Network)就是虛擬局域網(wǎng)的意思。VLAN可以不考慮用戶的物理位置，而根據(jù)功能、應(yīng)用等因素將用戶從邏輯上劃分為一個(gè)個(gè)功能相對(duì)獨(dú)立的工作組，每個(gè)用戶主機(jī)都連接在一個(gè)支持VLAN的交換機(jī)端口上并屬于一個(gè)VLAN。同一個(gè)VLAN中的成員都共享廣播，形成一個(gè)廣播域，而不同VLAN之間廣播信息是相互隔離的。這樣，將整個(gè)網(wǎng)絡(luò)分割成多個(gè)不同的廣播域(VLAN)。

一般來說，如果一個(gè)VLAN里面的工作站發(fā)送一個(gè)廣播，那么這個(gè)VLAN里面所有的工作站都接收到這個(gè)廣播，但是交換機(jī)不會(huì)將廣播發(fā)送至其他VLAN上的任何一個(gè)端口。如果要將廣播發(fā)送到其它的VLAN端口，就要用到三層交換機(jī)。

二、如何配置三層交換機(jī)創(chuàng)建VLAN

以下的介紹都是基于Cisco交換機(jī)的VLAN。Cisco的VLAN實(shí)現(xiàn)通常是以端口為中心的。與節(jié)點(diǎn)相連的端口將確定它所駐留的VLAN。將端口分配給VLAN的方式有兩種，分別是靜態(tài)的和動(dòng)態(tài)的.形成靜態(tài)VLAN的過程是將端口強(qiáng)制性地分配給VLAN的過程。即我們先在VTP (VLAN Trunking Protocol)Server上建立VLAN，然后將每個(gè)端口分配給相應(yīng)的VLAN的過程。這是我們創(chuàng)建VLAN最常用的方法。

動(dòng)態(tài)VLAN形成很簡(jiǎn)單，由端口決定自己屬于哪個(gè)VLAN。即我們先建立一個(gè)VMPS(VLAN Membership Policy Server)VLAN管理策略服務(wù)器，里面包含一個(gè)文本文件，文件中存有與VLAN映射的MAC地址表。交換機(jī)根據(jù)這個(gè)映射表決定將端口分配給何種VLAN。這種方法有很大的優(yōu)勢(shì)，但是創(chuàng)建數(shù)據(jù)庫是一項(xiàng)非常艱苦而且非常繁瑣的工作。
下面以實(shí)例說明如何在一個(gè)典型的快速以太局域網(wǎng)中實(shí)現(xiàn)VLAN。所謂典型的局域網(wǎng)就是指由一臺(tái)具備三層交換功能的核心交換機(jī)接幾臺(tái)分支交換機(jī)(不一定具備三層交換能力)。我們假設(shè)核心交換機(jī)名稱為：COM；分支交換機(jī)分別為：PAR1、PAR2、PAR3……，分別通過Port1的光線模塊與核心交換機(jī)相連；并且假設(shè)VLAN名稱分別為COUNTER、MARKET、MANAGING……。

1、設(shè)置VTP DOMAIN

VTP DOMAIN稱為管理域。交換VTP更新信息的所有交換機(jī)必須配置為相同的管理域。如果所有的交換機(jī)都以中繼線相連，那么只要在核心交換機(jī)上設(shè)置一個(gè)管理域，網(wǎng)絡(luò)上所有的交換機(jī)都加入該域，這樣管理域里所有的交換機(jī)就能夠了解彼此的VLAN列表。

注意：這里設(shè)置交換機(jī)為Server模式是指允許在本交換機(jī)上創(chuàng)建、修改、刪除VLAN及其他一些對(duì)整個(gè)VTP域的配置參數(shù)，同步本VTP域中其他交換機(jī)傳遞來的最新的VLAN信息；Client模式是指本交換機(jī)不能創(chuàng)建、刪除、修改VLAN配置，也不能在NVRAM中存儲(chǔ)VLAN配置，但可以同步由本VTP域中其他交換機(jī)傳遞來的VLAN信息。

2、配置中繼

為了保證管理域能夠覆蓋所有的分支交換機(jī)，必須配置中繼。Cisco交換機(jī)能夠支持任何介質(zhì)作為中繼線，為了實(shí)現(xiàn)中繼可使用其特有的ISL標(biāo)簽。ISL(Inter-Switch Link)是一個(gè)在交換機(jī)之間、交換機(jī)與路由器之間及交換機(jī)與服務(wù)器之間傳遞多個(gè)VLAN信息及VLAN數(shù)據(jù)流的協(xié)議，通過在交換機(jī)直接相連的端口配置ISL封裝，即可跨越交換機(jī)進(jìn)行整個(gè)網(wǎng)絡(luò)的VLAN分配和進(jìn)行配置。

在核心交換機(jī)端配置如下：

在分支交換機(jī)端配置如下：

此時(shí)，管理域算是設(shè)置完畢了。

3、創(chuàng)建VLAN

一旦建立了管理域，就可以創(chuàng)建VLAN了。

注意，這里的VLAN是在核心交換機(jī)上建立的，其實(shí)，只要是在管理域中的任何一臺(tái)VTP屬性為Server的交換機(jī)上建立VLAN，它就會(huì)通過VTP通告整個(gè)管理域中的所有的交換機(jī)。但是如果要將交換機(jī)的端口劃入某個(gè)VLAN，就必須在該端口所屬的交換機(jī)上進(jìn)行設(shè)置。

4、將交換機(jī)端口劃入VLAN

例如，要將PAR1、PAR2、PAR3……分支交換機(jī)的端口1劃入COUNTER VLAN，端口2劃入MARKET
VLAN，端口3劃入MANAGING VLAN……

5、配置三層交換

到這里，VLAN已經(jīng)基本劃分完畢。但是，VLAN間如何實(shí)現(xiàn)三層(網(wǎng)絡(luò)層)交換呢？這時(shí)就要給各VLAN分配網(wǎng)絡(luò)(IP)地址了。給VLAN分配IP地址分兩種情況，其一，給VLAN所有的節(jié)點(diǎn)分配靜態(tài)IP地址；其二，給VLAN所有的節(jié)點(diǎn)分配動(dòng)態(tài)IP地址。下面就這兩種情況分別介紹。

我們假設(shè)給VLAN COUNTER分配的接口Ip地址為172.16.58.1/24，網(wǎng)絡(luò)地址為：172.16.58.0，VLAN MARKET分配的接口Ip地址為172.16.59.1/24，網(wǎng)絡(luò)地址為172.16.59.0，VLAN MANAGING分配的接口Ip地址為172.16.60.1/24，網(wǎng)絡(luò)地址為172.16.60.0……。如果動(dòng)態(tài)分配IP地址，則設(shè)網(wǎng)絡(luò)上的服務(wù)器IP地址為172.16.1.11。
給VLAN所有的節(jié)點(diǎn)分配靜態(tài)IP地址

首先在核心交換機(jī)上分別設(shè)置各VLAN的接口IP地址，如下所示：

再在各接入VLAN的計(jì)算機(jī)上設(shè)置與所屬VLAN的網(wǎng)絡(luò)地址一致的IP地址，并且把默認(rèn)網(wǎng)關(guān)設(shè)置為該VLAN的接口地址。這樣，所有的VLAN也可以互訪了。

(2)給VLAN所有的節(jié)點(diǎn)分配動(dòng)態(tài)IP地址

首先在核心交換機(jī)上分別設(shè)置各VLAN的接口IP地址和DHCP服務(wù)器的IP地址，如下所示：

再在DHCP服務(wù)器上設(shè)置網(wǎng)絡(luò)地址分別為172.16.58.0，172.16.59.0，172.16.60.0的作用域，并將這些作用域的“路由器”選項(xiàng)設(shè)置為對(duì)應(yīng)VLAN的接口IP地址。這樣，可以保證所有的VLAN也可以互訪了。

最后在各接入VLAN的計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)設(shè)置，將IP地址選項(xiàng)設(shè)置為自動(dòng)獲得IP地址即可。

三、總結(jié)

本文是筆者在實(shí)際工作中的一些總結(jié)。筆者力圖用通俗易懂的文字來闡述創(chuàng)建VLAN的全過程。并且給出了詳細(xì)的設(shè)置步驟，只要你對(duì)Cisco交換機(jī)的IOS有所了解，看懂本文并不難。按照本文所示的步驟一步一步地做，你完全可以給一個(gè)典型的快速以太網(wǎng)絡(luò)建立多個(gè)VLAN。