我們知道，傳統(tǒng)的局域網(wǎng)Ethernet使用具有沖突檢測的載波監(jiān)聽多路訪問(CSMA/CD)方法。在CSMA/CD網(wǎng)絡(luò)中，節(jié)點(diǎn)可以在它們有數(shù)據(jù)需要發(fā)送的任何時(shí)候使用網(wǎng)絡(luò)。在節(jié)點(diǎn)傳輸數(shù)據(jù)之前，它進(jìn)行"監(jiān)聽"以了解網(wǎng)絡(luò)是否很繁忙。如果不是，則節(jié)點(diǎn)開始傳送數(shù)據(jù)。如果網(wǎng)絡(luò)正在使用，則節(jié)點(diǎn)等待。

虛擬網(wǎng)絡(luò)是在整個(gè)網(wǎng)絡(luò)中通過網(wǎng)絡(luò)交換設(shè)備建立的虛擬工作組。虛擬網(wǎng)在邏輯上等于OSI模型的第二層的廣播域，與具體的物理網(wǎng)及地理位置無關(guān)。虛擬工作組可以包含不同位置的部門和工作組，不必在物理上重新配置任何端口，真正實(shí)現(xiàn)了網(wǎng)絡(luò)用戶與它們的物理位置無關(guān)。虛擬網(wǎng)技術(shù)把傳統(tǒng)的廣播域按需要分割成各個(gè)獨(dú)立的子廣播域，將廣播限制在虛擬工作組中，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。我們結(jié)合下面的圖來看看講下。圖1所表示的是兩層樓中的相同性質(zhì)的部門劃分到一個(gè)VLAN中，這樣，會(huì)計(jì)的數(shù)據(jù)不會(huì)向市場的機(jī)器上廣播，也不會(huì)和市場的機(jī)器發(fā)生數(shù)據(jù)沖突。所以VLAN有效的分割了沖突域和廣播域。

我們可以在交換機(jī)的某個(gè)端口上定義VLAN，所有連接到這個(gè)特定端口的終端都是虛擬網(wǎng)絡(luò)的一部分，并且整個(gè)網(wǎng)絡(luò)可以支持多個(gè)VLAN。VLAN通過建立網(wǎng)絡(luò)防火墻使不必要的數(shù)據(jù)流量減至最少，隔離各個(gè)VLAN間的傳輸和可能出現(xiàn)的問題，使網(wǎng)絡(luò)吞吐量大大增加，減少了網(wǎng)絡(luò)延遲。在虛擬網(wǎng)絡(luò)環(huán)境中，可以通過劃分不同的虛擬網(wǎng)絡(luò)來控制處于同一物理網(wǎng)段中的用戶之間的通信。這樣一來有效的實(shí)現(xiàn)了數(shù)據(jù)的保密工作，而且配置起來并不麻煩，網(wǎng)絡(luò)管理員可以邏輯上重新配置網(wǎng)絡(luò)，迅速、簡單、有效地平衡負(fù)載流量，輕松自如地增加、刪除和修改用戶，而不必從物理上調(diào)整網(wǎng)絡(luò)配置。既然VLAN有那么多的優(yōu)點(diǎn)，我們?yōu)槭裁床涣私馑鼜亩?A href="http://www.vlan9.com/vlan/a/index.html" target=_blank>VLAN技術(shù)應(yīng)用到我們的現(xiàn)實(shí)網(wǎng)絡(luò)管理中去呢。好的讓我們通過實(shí)際的在Catalyst1900交換機(jī)上來配置靜態(tài)VLAN的例子來看看如何在交換機(jī)上配置VLAN。

設(shè)置好超級(jí)終端，連接上1900交換機(jī)后，會(huì)出現(xiàn)如下的主配置界面

 1user(s)nowactiveonManagementConsole.

UserInterfaceMenu

[M]Menus

[K]CommandLine

IPConfiguration

EnterSelection:

我們簡單介紹下，這兒顯示了三個(gè)選項(xiàng)，[M]Menus是主菜單，主要是交換機(jī)的初始配置和監(jiān)控交換機(jī)的運(yùn)行狀況。[K]CommandLine是命令行，很象路由器里面用命令來配置和監(jiān)控路由器一樣，主要是通過命令來操作。IPConfiguration是配置IP地址、子網(wǎng)掩碼和默認(rèn)網(wǎng)管的一個(gè)選項(xiàng)。這是第一次連上交換機(jī)顯示的界面，如果你已經(jīng)配置好了IPConfiguration，那么下次登陸的時(shí)候?qū)]有這個(gè)選項(xiàng)。因?yàn)橛妹钆渲煤啙嵜髁耍逦锥晕覀兺ㄟ^[K]CommandLine來實(shí)現(xiàn)VLAN的配置的。

我們選擇[K]CommandLine，進(jìn)入命令行配置：

EnterSelection:K回車

CLIsessionwiththeswitchisopen.

ToendtheCLIsession,enter[Exit].

>

現(xiàn)在我們進(jìn)入到了交換機(jī)的普通用戶模式，就象路由器一樣，這種模式只能查看現(xiàn)在的配置，不能更改配置，并且能夠使用的命令很有限。我們輸入enable，進(jìn)入特權(quán)模式：

>enable

#configt

Enterconfigurationcommands,oneperline.EndwithCNTL/Z

(config)#

為了安全和方便起見，我們給這個(gè)交換機(jī)起個(gè)名字，并且設(shè)置登陸密碼。

(config)#hostname1900Switch

1900Switch(config)#enablepasswordlevel15goodwork

1900Switch(config)#

注意：密碼必須是4-8位的字符。交換機(jī)密碼的設(shè)置和路由器稍微不同，交換機(jī)用level級(jí)別的大小來決定密碼的權(quán)限。Level1是進(jìn)入命令行界面的密碼，也就是說，設(shè)置了level1的密碼后，你下次連上交換機(jī)，并輸入K后，就會(huì)讓你輸入密碼，這個(gè)密碼就是level1設(shè)置的密碼。而level15是你輸入了enable命令后讓你輸入的特權(quán)模式密碼。路由器里面是使用enablepassword和enablescreet做此區(qū)分的。

好啦，我們已經(jīng)設(shè)置好了名字和密碼這樣就足夠安全了，讓我們設(shè)置VLAN。VLAN的設(shè)置分以下2步：

設(shè)置VLAN名稱

應(yīng)用到端口

我們先設(shè)置VLAN的名稱。使用vlanvlan號(hào)namevlan名稱。在特權(quán)配置模式下進(jìn)行配置：

1900Switch(config)#vlan2nameaccounting

1900Switch(config)#vlan3namemarketing

我們新配置了2個(gè)VLAN，為什么VLAN號(hào)從2開始呢？這是因?yàn)槟J(rèn)情況下，所有的端口否放在VLAN1上，所以要從2開始配置。1900系列的交換機(jī)最多可以配置1024個(gè)VLAN，但是，只能有64個(gè)同時(shí)工作，當(dāng)然了，這是理論上的，我們應(yīng)該根據(jù)自己網(wǎng)絡(luò)的實(shí)際需要來規(guī)劃VLAN的號(hào)碼。配置好了VLAN名稱后我們要進(jìn)入每一個(gè)端口來設(shè)置VLAN。在交換機(jī)中，要進(jìn)入某個(gè)端口比如說第4個(gè)端口，要用interfaceEthernet0/4，好的，結(jié)合上面給出的圖我們讓端口2、3、4和5屬于VLAN2，端口17---22屬于VLAN3。命令是vlan-membershipstatic/dynamicVLAN號(hào)。靜態(tài)的或者動(dòng)態(tài)的兩者必須選擇一個(gè)，后面是剛才配置的VLAN號(hào)。好的，我們看結(jié)果：

1900Switch(config)#interfaceethernet0/2

1900Switch(config-if)#vlan-membershipstatic2

1900Switch(config-if)#inte0/3

1900Switch(config-if)#vlan-membershipstatic2

1900Switch(config-if)#inte0/4

1900Switch(config-if)#vlan-membershipstatic2

1900Switch(config-if)#inte0/5

1900Switch(config-if)#vlan-membershipstatic2

1900Switch(config-if)#inte0/17

1900Switch(config-if)#vlan-membershipstatic3

…………

1900Switch(config-if)#inte0/22

1900Switch(config-if)#vlan-membershipstatic3

1900Switch(config-if)#

    1900Switch(config)#showvlan

VLANNameStatusPorts

--------------------------------------

1defaultEnabled1,6-16,22-24,AUI,A,B

2accontingEnabled2-5

3marketingEnabled17-22

1002fddi-defaultSuspended

1003token-ring-defauSuspended

1004fddinet-defaultSuspended

1005trnet-defaultSuspended

這是一個(gè)24口的交換機(jī)，并且?guī)в蠥UI和兩個(gè)100兆端口（A、B），可以看出來，我們的設(shè)置已經(jīng)正常工作了，什么，還要不要保存runningconfigure？當(dāng)然不用了，交換機(jī)是即時(shí)自動(dòng)保存的，所以不用我們使用命令來保存設(shè)置了。當(dāng)然了，你也可以使用showvlanvlan號(hào)的命令來查看某個(gè)VLAN，比如showvlan2,showvlan3.還可以使用showvlan-membership，改命令主要是顯示交換機(jī)上的每一個(gè)端口靜態(tài)或動(dòng)態(tài)的屬于哪個(gè)VLAN。

以上是給交換機(jī)配置靜態(tài)VLAN的過程，下面我們看看動(dòng)態(tài)的VLAN。動(dòng)態(tài)的VLAN形成很簡單，由端口自己決定它屬于哪個(gè)VLAN時(shí)，就形成了動(dòng)態(tài)的VLAN。不過，這并不意味著就一層不變了，它只是一個(gè)簡單的映射，這個(gè)映射取決于網(wǎng)絡(luò)管理員創(chuàng)建的數(shù)據(jù)庫。分配給動(dòng)態(tài)VLAN的端口被激活后，交換機(jī)就緩存初始幀的源MAC地址，隨后，交換機(jī)便向一個(gè)稱為VMPS（VLAN管理策略服務(wù)器）的外部服務(wù)器發(fā)出請求，VMPS中包含一個(gè)文本文件，文件中存有進(jìn)行VLAN映射的MAC地址。交換機(jī)對這個(gè)文件進(jìn)行下載，然后對文件中的MAC地址進(jìn)行校驗(yàn)。如果在文件列表中找到MAC地址，交換機(jī)就將端口分配給列表中的VLAN。如果列表中沒有MAC地址，交換機(jī)就將端口分配給默認(rèn)的VLAN（假設(shè)已經(jīng)定義默認(rèn)了VLAN）。如果在列表中沒有MAC地址，而且也沒有定義默認(rèn)的VLAN，端口不會(huì)被激活。這是維護(hù)網(wǎng)絡(luò)安全一種非常好的的方法。從表面上看，動(dòng)態(tài)VLAN的優(yōu)勢很大，但它也有致命的缺點(diǎn)，即創(chuàng)建數(shù)據(jù)庫是一項(xiàng)非常艱苦而且非常繁瑣的工作。如果網(wǎng)絡(luò)上有數(shù)千個(gè)工作站，則有大量的輸入工作要做。即使有人能勝任這項(xiàng)工作，也還會(huì)出現(xiàn)與動(dòng)態(tài)的VLAN有關(guān)的很多問題。另外，保持?jǐn)?shù)據(jù)庫為最新也是要隨時(shí)進(jìn)行的非常費(fèi)時(shí)的工作。所以不經(jīng)常用到它，這里我們就不做詳細(xì)的講解，可以參考相關(guān)的CISCO的文檔資料。

這么樣，沒有你想象的那么復(fù)雜吧。我們已經(jīng)把VLAN配置好了，那么VLAN的另一部分不容忽視的工作，就是前期的對網(wǎng)絡(luò)的規(guī)劃。就是說，哪些機(jī)器在一個(gè)VLAN中，各自的IP地址、子網(wǎng)掩碼如何分配，以及VLAN之間互相通訊的問題。只有規(guī)劃計(jì)劃好了，才能夠在配置和以后的使用維護(hù)過程中輕松省事。