虚拟局域网概述

    VLAN（Virtual Local Area Network，虚拟局域网）是指逻辑上将不同位置的计算机或设备划分在同一个网络当中，网络中的设备、计算机之间的通信连接如同在同一个物理分区中一样的技术。VLAN技术的协议标准是802.1Q。

    1. VLAN类型

    （1）基于端口划分VLAN。

    基于端口划分的VLAN属于静态VLAN，是将交换机上的物理端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机，如图4−23所示。

    图4−23 基于端口的VLAN

    （2）基于MAC地址划分VLAN。

    基于MAC地址的VLAN是动态VLAN，就是将MAC地址分成若干个组，使用同一组MAC地址的用户构成一个虚拟局域网，如图4−24所示。

    图4−24 基于MAC地址的VLAN

    （3）基于网络层协议划分VLAN。

    基于网络层协议的VLAN也是动态VLAN，可划分为IP、IPX、DECnet、Apple Talk、Banyan等VLAN网络，如图4−25所示。

    图4−25 基于协议的VLAN

    （4）基于子网的VLAN。

    基于子网的VLAN也是动态VLAN。例如：192.168.3.0/24内的主机可以属于一个VLAN， 192.168.4.0/24内的主机可以属于另一个VLAN，如图4−26所示。

    图4−26 基于子网的VLAN

    2. VLAN基本配置

    网络技术中最常用基于端口的VLAN划分，本文重点介绍此类型。端口类型在以前主要分为两种，基本上用的也是Access和Trunk这两种端口。

    （1）Access端口：它是交换机上用来连接用户电脑的一种端口，只用于接入链路。例如：当一个端口属于VLAN10时，那么带着VLAN10的数据帧会被发送到交换机这个端口上，当这个数据帧通过这个端口时，VLAN10tag将会被剥掉，到达用户电脑时，就是一个以太网的帧。而当用户电脑发送一个以太网的帧时，通过这个端口向上走，那么这个端口就会给这个帧加上一个VLAN10tag。而其他VLANtag的帧则不能从这个端口上下发到电脑上。

    access端口配置：

    步骤1：在全局模式下创建和删除VLAN

    创建VLAN的命令：vlan ID。

    例：Switch（config）#vlan 10 //创建VLAN，编号为10

    给VLAN的命名的命令：name vlan-name。

    例：Switch（config-vlan）#name sxpi //给VLAN的命名为sxpi

    删除VLAN的命令：no vlan ID。

    例：Switch（config）#no vlan 10 //删除VLAN 10

    步骤2：将接口加入到VLAN中

    配置access接口命令：switchport mode access

    把指定接口加入到VLAN中的命令：switchport access vlan ID

    例：把接口fast Ethernet 0/1加入到VLAN 10。

    Switch（config）#interface fast Ethernet 0/1

    Switch（config-if）#switchport mode access

    Switch（config-if）#switchport access vlan 10

    案例：单交换机VLAN划分

    某企业有技术部和工程部位于同一楼层，网络管理员现已为所有设备分配好IP地址，为了提高部门数据的安全性和网络性能，现将现有网络划分为两个VLAN。

    需求分析：将交换机fast Ethernet 0/1～10划分到VLAN 10中，将fast Ethernet 0/11～20划分到VLAN 20中。VLAN 10（技术部）内部用户可以通信，VLAN 20（工程部）内部用户可以通信，两个VLAN之间不能通信。

    VLAN配置：

    Switch（config）#vlan 10

    Switch（config-vlan）#name jishu

    Switch（config）#vlan 20

    Switch（config-vlan）#name gongcheng

    Switch（config）# interface range fast Ethernet 0/1 − 10 //指定一组端口

    Switch（config-if-range）#switchport mode access

    Switch（config-if-range）#switchport access vlan 10

    Switch（config）# interface range fast Ethernet 0/11 − 20 //指定一组端口

    Switch（config-if-range）#switchport mode access

    Switch（config-if-range）#switchport access vlan 20

    （2）Trunk 端口：这个端口是交换机之间或者交换机和上层设备之间的通信端口，用于干道链路。一个Trunk端口可以拥有一个主VLAN和多个副VLAN，例如：当一个Trunk端口有主VLAN10和多个副VLAN11、12、30时，带有VLAN30的数据帧可以通过这个端口，通过时VLAN30不被剥掉；当带有VLAN10的数据帧通过这个端口时也可以通过。如果一个不带VLAN的数据帧通过，那么将会被这个端口打上VLAN10tag。这种端口的存在就是为了多个VLAN的跨越交换机进行传递。

    Trunk端口配置：

    配置Trunk接口命令：switchport mode trunk；

    在Trunk端口上封装VLAN协议的命令：switchport trunk encapsulation dot1q |ISL；

    在Trunk接口模式下只允许某个VLAN通过的命令：Switchport trunk allowed VLAN VLAN-list；

    VLAN-list是指允许通过的那些VLAN号，多个VLAN号之间用“，”分割；

    如果设置允许所有的VLAN通过，VLAN -list就是all。