VLan技术

一、VLAN技术的优点

1、降低移动和变更的管理成本

在学校里，由于教学人员的变更比较频繁，当把一台计算机从一个子网转移到另一个子网，如果使用了VLAN，迁移的工作只是在交换机上重新定义VLAN即可，尤其是采用网卡的MAC地址来划分VLAN时，交换机能够自动跟踪该终端的MAC地址，并自动将其纳如定义的VLAN中，对于网络管理而言，可以轻松完成变更。假若使用物理手段划分子网，这种迁移所耗费的精力和时间相当可观的。

2、控制广播

由于不同的VLAN都是一个独立的广播域，而广播只能在本地VLAN内进行，从而大大减少了广播对网络带宽的占用，提高了带宽传输效率，并可以有效地避免广播风暴的产生。

3、增强网络的安全性

由于交换机只能在同一VLAN内的端口之间交换数据，不同VLAN的端口不能直接访问，因此，通过划分VLAN可以提高网络的安全性。

4、网络监督和管理的自动化

网络管理员可以通过网管软件可以查询VLAN间和VLAN内通信的数据包的分类信息，以及应用数据包的分类信息，这些信息可以确定路由系统和经常访问的服务器的最佳配置十分有用。通过划分VLAN可以使网络管理变的更加简单、有效。
二、VLAN实现的途径

1、基于端口的VLAN，就是将交换机中的若干个端口定义为一个VLAN，同一个VLAN中的计算机具有相同的网络地址，不同VLAN之间进行通讯需要通过三层路由协议。采用这种方式的VLAN在工作过程中，把一个网络节点迁移时，如果新旧端口不在一个VLAN内，则用户必须对该端口重新设置。对于不同年级、科室互相访问时，可以通过路由器转发，并配合MAC地址的端口过滤，就可以防止非法入侵和IP地址的盗用问题。

2、基于MAC地址的VLAN，这种VLAN一旦划分完成，无论节点在网络上怎样移动，由于MAC地址保持不变，因此不需要重新配置。但是如果新增加节点的话，需要对交换机进行复杂的配置，以确定该节点属于哪一个VLAN。

3、基于IP地址的VLAN，新增加节点时，无须进行太多配置，交换机根据IP地址会自动将其划分到不同的VLAN。这中VLAN智能化最高，实现最复杂。一旦离开该VLAN，原IP地址将不可用，从而防止了非法用户通过修改IP地址来越权使用资源。

三、VLAN的配置

因为对于不同的交换机，VLAN配置都有差异，并不是所有的交换机都支持VLAN和VLAN的三个实现途径，有的交换机只支持基于端口的VLAN，而不支持基于MAC地址的VLAN等。现结合我校的校园网络设备，介绍一下VLAN的配置。

我校的校园网共有节点650个，中心交换机采用Avaya Cajun P580，楼层交换机全部采用Avaya Cajun P334T 48口交换机，电信宽带经CISCO 2621路由器接入校园网。学校按年级、科室共划分7个VLAN，从而有效地控制了网络风暴的产生，提高了网络传输的有效率和网络的安全性。

对于Avaya Cajun P580 三层中心交换机和P334T交换机的采用基于端口的VLAN划分是一个很轻松的事情，该交换机支持WEB和命令行（CLI）界面的管理，特别是WEB界面管理，直观方便，但是不如命令行（CLI）功能强大。由于P580为中心交换机，各楼层间的P334T交换机经千兆光纤与P580相连，因此VLAN的划分一是在P580上直接端口划分，对与P334T交换机连接的光纤端口设置成主干线路，这样在Cajun P334T交换机上可以同时定义多个VLAN，最后通过在P580上设置三层路由协议实现各VLAN之间的通讯。

登陆到P580，进入配置模式设置VLAN：

1、新建VLAN：set vlan vlan_id name vlan_name

2、选择欲配置的接口：interface vlan vlan_id

3、配置该VLAN的IP地址和子网掩码：ip address ip_address subsnet_mask

4、设置三层路由关联，实现VLAN间的通讯：ip vlan vlan_id

5、保存设置：copy run config

P580与P334T相连接的千兆光纤接口设置trunk，以实现交换机之间的互连，P580设置：

1、绑定ieee-802.1q VLAN间通讯协议：set port trunking-format 模块号/端口号 ieee-802.1q

2、设置主干：set port vlan-binding-mothod 模块号/端口号 bingd-to-all

同样对P334T相应的与P580互连端口作Trunk，进入配置模式设置：

1、set port trunking-fromat 模块号/端口号 ieee-802.1q

2、set port vlan-binding-method模块号/端口号 bind-to-all

这样，交换机互连通讯后，就可以在P334T上划分VLAN了。进入P334T的配置模式，用命令行：set port vlan vlan_id 模块号/端口号，就可以把端口分到相应的VLAN内。


VLAN技术的应用，使网络工作组的划分突破了地理位置的限制，而完全根据管理功能来划分，这种基于工作流的分组模式很适合校园网的教学部门的划分。随着校园网络的规模不断扩大和发展，使VLAN技术在校园网上得到更广泛的应用。