任何新技術要得到廣泛支持和應用,肯定存在一些關鍵優勢,VLAN技術也一樣,它的優勢主要體現在以下幾個方面:
1. 增加了網絡連接的靈活性
?
2. 控制網絡上的廣播
?
VLAN可以提供建立防火墻的機制,防止交換網絡的過量廣播。使用VLAN,可以將某個交換端口或用戶賦于某一個特定的VLAN組,該VLAN組可以在一個交換網中或跨接多個交換機, 在一個VLAN中的廣播不會送到VLAN之外。同樣,相鄰的端口不會收到其他VLAN產生的廣 播。這樣可以減少廣播流量,釋放帶寬給用戶應用,減少廣播的產生。
?
3. 增加網絡的安全性
?
因為一個VLAN就是一個單獨的廣播域,VLAN之間相互隔離,這大大提高了網絡的利用率,確保了網絡的安全保密性。人們在LAN上經常傳送一些保密的、關鍵性的數據。保密的數據應 提供訪問控制等安全手段。一個有效和容易實現的方法是將網絡分段成幾個不同的廣播組, 網絡管理員限制了VLAN中用戶的數量,禁止未經允許而訪問VLAN中的應用。交換端口可以基 于應用類型和訪問特權來進行分組,被限制的應用程序和資源一般置于安全性VLAN中。
?
四、VLAN網絡的配置實例
為了給大家一個真實的配置實例學習機會,下面就以典型的中型局域網VLAN配置為例向各位介紹目前最常用的按端口劃分VLAN的配置方法。
某公司有100臺計算機左右,主要使用網絡的部門有:生產部(20)、財務部(15)、人事部(8)和信息中心(12)四大部分,如圖1所示。
網絡基本結構為:整個網絡中干部分采用3臺Catalyst 1900網管型交換機(分別命名為:Switch1、Switch2和Switch3,各交換機根據需要下接若干個集線器,主要用于非VLAN用戶,如行政文書、臨時用戶等)、一臺Cisco 2514路由器,整個網絡都通過路由器Cisco 2514與外部互聯網進行連接。
![交換機VLAN的配置(2)]("http://www.vlan9.com/ArtImage/20051103/261_1.gif")
圖1
所連的用戶主要分布于四個部分,即:生產部、財務部、信息中心和人事部。主要對這四個部分用戶單獨劃分VLAN,以確保相應部門網絡資源不被盜用或破壞。
現為了公司相應部分網絡資源的安全性需要,特別是對于像財務部、人事部這樣的敏感部門,其網絡上的信息不想讓太多人可以隨便進出,于是公司采用了VLAN的方法來解決以上問題。通過VLAN的劃分,可以把公司主要網絡劃分為:生產部、財務部、人事部和信息中心四個主要部分,對應的VLAN組名為:Prod、Fina、Huma、Info,各VLAN組所對應的網段如下表所示。
|
VLAN 號 |
VLAN 名 |
端口號 |
|---|---|---|
|
2 |
P rod |
Switch 1 2¬21 |
|
3 |
Fina |
Switch2 2¬16 |
|
4 |
Huma |
Switch3 2¬9 |
|
5 |
Info |
Switch3 10¬21 |
【注】之所以把交換機的VLAN號從"2"號開始,那是因為交換機有一個默認的VLAN,那就是"1"號VLAN,它包括所有連在該交換機上的用戶。
VLAN的配置過程其實非常簡單,只需兩步:(1)為各VLAN組命名;(2)把相應的VLAN對應到相應的交換機端口。
下面是具體的配置過程:
第1步:設置好超級終端,連接上1900交換機,通過超級終端配置交換機的VLAN,連接成功后出現如下所示的主配置界面(交換機在此之前已完成了基本信息的配置):
1 user(s) now active on Management Console.
User Interface Menu
[M] Menus
[K] Command Line
[I] IP Configuration
Enter Selection:
【注】超級終端是利用Windows系統自帶的"超級終端"(Hypertrm)程序進行的,具體參見有關資料。
第2步:單擊"K"按鍵,選擇主界面菜單中"[K] Command Line"選項 ,進入如下命令行配置界面:
CLI session with the switch is open.
To end the CLI session,enter [Exit ].
>
此時我們進入了交換機的普通用戶模式,就象路由器一樣,這種模式只能查看現在的配置,不能更改配置,并且能夠使用的命令很有限。所以我們必須進入"特權模式"。
