VLAN簡介：

VLAN(VirtualLAN)可以隔離廣播域。VLAN工作在OSI的第2層，VLAN是交換機端口的邏輯組合，可以把在同一交換上的端口組合成一個VLAN，也可以把在不同交換機上的端口組合成一個VLAN，一個VLAN就是一個廣播域，VLAN間的通信如果不通過第三層的路由功能是無法通信的。

說明：VLAN間的通信在特殊情況下不借助第三層的路由功能也可以實現(xiàn)。例如：

1：sw1的F0/1和F0/2都是Access模式，都處于Vlan2；sw2的F0/1和F0/2都是Access模式，都處于Vlan3；PC1和

PC2也都均處于同一網(wǎng)段，那么這時PC1就可以ping通PC2。

原因：當接口都為Access時，兩臺交換機都不涉及打、拆標簽工作；只有在Trunk的時候交換機才打、拆標簽。

2：sw1的F0/1口接入Vlan2，sw2的F0/1口接入Vlan3；sw1和sw2間配置Trunk模式，指定sw1的NativeVLAN為

Vlan2，sw2的Native VLAN為Vlan3；關(guān)閉sw1Vlan2和sw2上Vlan3的spanning-tree。PC1和PC2也都均處于同

一網(wǎng)段，那么這時PC1就可以ping通PC2。

原因：Trunk鏈路發(fā)送NativeVLAN的數(shù)據(jù)時不打標簽，Trunk鏈路收到NativeVLAN數(shù)據(jù)時交付到本地的Native

VLAN；另外啟用spanning-tree時會阻塞某個端口，需要關(guān)閉掉阻塞方的spanning-tree。

二層交換網(wǎng)絡(luò)的缺點：

極易引起廣播碰撞/廣播風暴/通信效率低/管理效率低/安全性不高
VLAN的特點：

VLAN能夠最大限度地控制廣播的影響以及減少由于共享介質(zhì)所造成的安全隱患
VLAN允許一組不限物理位置的用戶群共享一個獨立的廣播域
一個VLAN中的所有設(shè)備都是同一廣播域的成員
一個VLAN是一個邏輯的子網(wǎng)，共享一個網(wǎng)絡(luò)地址，且VLAN間的通信必須經(jīng)過路由器，就像真正的兩個網(wǎng)段一樣
VLAN可以基于端口或MAC地址來劃分
交換機允許在同一臺交換機上可存在多個VLAN，也允許這些VLAN跨越其它交換機
劃分VLAN的目的：
1.提高安全性：縮小ARP攻擊范圍，ARP報文是一個2.5層的報文，劃分VLAN后只能在同一個VLAN中傳播

2.提高性能：隔離廣播域，縮小廣播域的大小縮小了廣播報文能達到的范圍

VLAN的創(chuàng)建

VLAN的基本配置：

命令：

sw1(config-if)#switchport modeaccess//把端口模式設(shè)置為Access，默認時即為Access模式

sw1(config-if)#switchport access vlan10//把該端口F0/1劃分到Vlan10中

基于端口的VLAN(靜態(tài)VLAN)：
優(yōu)點是劃分簡單；缺點是當用戶一個端口移動到另一個端口時，網(wǎng)絡(luò)管理員必對VLAN進行配置。
Switch(config)#hostname sw1
sw1(config)#vlan 10
sw1(config-vlan)#name one

sw1(config)#vl 20
sw1(config-vlan)#name two
sw1(config)#vl 30
sw1(config-vlan)#name three
sw1(config)#int f0/1

sw1(config-if)#switchport modeaccess

sw1(config-if)#switchport access vlan10

sw1(config)#int f0/2

sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 20
sw1(config)#int f0/3

sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 30

sw1#show int f0/1switchport//查看查看F0/1端口作為交換端口的信息

sw1#showvlan//查看VLAN信息(active或act：激活，unsup：非掛起)

sw1#show vlanbrief//顯示VLAN的簡要信息

sw1#show vlan id10//顯示指定idvlan10配置
sw1#show vlan nameone//顯示指定name vlan one配置

sw1#show vlansummary//查看VLAN匯總信息(全部VLAN數(shù)量，普通VLAN數(shù)量，擴展VLAN數(shù)量)

說明：在實際應用中，不同VLAN分配不同IP地址子網(wǎng)。
基于MAC地址的VLAN(動態(tài)VLAN)：
1.pc機連接到交換機的某個端口，該端口被激活，交換機緩存該pc的MAC地址與端口的對應表；

2.交換機向VMPS(VLAN管理策略服務(wù)器，對于Cisco設(shè)備，要使用CiscoWork2000作為VLAN管理策略服務(wù)器)請求

下載VLAN和MAC地址映射對應表的文件；
3.對pc的MAC地址進行查詢比較，把該端口分配到對應的VLAN中間；如果沒有該MAC地址的映射，該端口不激活。

愛華網(wǎng)本文地址 » http://www.klfzs.com/a/25101016/314913.html