劃分vlan的方法(劃分vlan的常用方法有哪幾種)
1.劃分vlan的常用方法有哪幾種
1. 基于端口劃分的VLAN
這是最常應用的一種VLAN劃分方法,應用也最為廣泛、最有效,目前絕大多數VLAN協(xié)議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據以太網(wǎng)交換機的交換端口來(lái)劃分的,它是將VLAN交換機上的物理端口和VLAN交換機內部的PVC(永久虛電路)端口分成若干個(gè)組,每個(gè)組構成一個(gè)虛擬網(wǎng),相當于一個(gè)獨立的VLAN交換機。
對于不同部門(mén)需要互訪(fǎng)時(shí),可通過(guò)路由器轉發(fā),并配合基于MAC地址的端口過(guò)濾。對某站點(diǎn)的訪(fǎng)問(wèn)路徑上最靠近該站點(diǎn)的交換機、路由交換機或路由器的相應端口上,設定可通過(guò)的MAC地址集。這樣就可以防止非法入侵者從內部盜用IP地址從其他可接入點(diǎn)入侵的可能。
從這種劃分方法本身我們可以看出,這種劃分的方法的優(yōu)點(diǎn)是定義VLAN成員時(shí)非常簡(jiǎn)單,只要將所有的端口都定義為相應的VLAN組即可。適合于任何大小的網(wǎng)絡(luò )。它的缺點(diǎn)是如果某用戶(hù)離開(kāi)了原來(lái)的端口,到了一個(gè)新的交換機的某個(gè)端口,必須重新定義。
2. 基于MAC地址劃分VLAN
這種劃分VLAN的方法是根據每個(gè)主機的MAC地址來(lái)劃分,即對每個(gè)MAC地址的主機都配置他屬于哪個(gè)組,它實(shí)現的機制就是每一塊網(wǎng)卡都對應唯一的MAC地址,VLAN交換機跟蹤屬于VLAN MAC的地址。這種方式的VLAN允許網(wǎng)絡(luò )用戶(hù)從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置時(shí),自動(dòng)保留其所屬VLAN的成員身份。
由這種劃分的機制可以看出,這種VLAN的劃分方法的最大優(yōu)點(diǎn)就是當用戶(hù)物理位置移動(dòng)時(shí),即從一個(gè)交換機換到其他的交換機時(shí),VLAN不用重新配置,因為它是基于用戶(hù),而不是基于交換機的端口。這種方法的缺點(diǎn)是初始化時(shí),所有的用戶(hù)都必須進(jìn)行配置,如果有幾百個(gè)甚至上千個(gè)用戶(hù)的話(huà),配置是非常累的,所以這種劃分方法通常適用于小型局域網(wǎng)。而且這種劃分的方法也導致了交換機執行效率的降低,因為在每一個(gè)交換機的端口都可能存在很多個(gè)VLAN組的成員,保存了許多用戶(hù)的MAC地址,查詢(xún)起來(lái)相當不容易。另外,對于使用筆記本電腦的用戶(hù)來(lái)說(shuō),他們的網(wǎng)卡可能經(jīng)常更換,這樣VLAN就必須經(jīng)常配置。
3. 基于網(wǎng)絡(luò )層協(xié)議劃分VLAN
VLAN按網(wǎng)絡(luò )層協(xié)議來(lái)劃分,可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò )。這種按網(wǎng)絡(luò )層協(xié)議來(lái)組成的VLAN,可使廣播域跨越多個(gè)VLAN交換機。這對于希望針對具體應用和服務(wù)來(lái)組織用戶(hù)的網(wǎng)絡(luò )管理員來(lái)說(shuō)是非常具有吸引力的。而且,用戶(hù)可以在網(wǎng)絡(luò )內部自由移動(dòng),但其VLAN成員身份仍然保留不變。
這種方法的優(yōu)點(diǎn)是用戶(hù)的物理位置改變了,不需要重新配置所屬的VLAN,而且可以根據協(xié)議類(lèi)型來(lái)劃分VLAN,這對網(wǎng)絡(luò )管理者來(lái)說(shuō)很重要,還有,這種方法不需要附加的幀標簽來(lái)識別VLAN,這樣可以減少網(wǎng)絡(luò )的通信量。這種方法的缺點(diǎn)是效率低,因為檢查每一個(gè)數據包的網(wǎng)絡(luò )層地址是需要消耗處理時(shí)間的(相對于前面兩種方法),一般的交換機芯片都可以自動(dòng)檢查網(wǎng)絡(luò )上數據包的以太網(wǎng)禎頭,但要讓芯片能檢查IP幀頭,需要更高的技術(shù),同時(shí)也更費時(shí)。當然,這與各個(gè)廠(chǎng)商的實(shí)現方法有關(guān)。
4. 根據IP組播劃分VLAN
IP 組播實(shí)際上也是一種VLAN的定義,即認為一個(gè)IP組播組就是一個(gè)VLAN。這種劃分的方法將VLAN擴大到了廣域網(wǎng),因此這種方法具有更大的靈活性,而且也很容易通過(guò)路由器進(jìn)行擴展,主要適合于不在同一地理范圍的局域網(wǎng)用戶(hù)組成一個(gè)VLAN,不適合局域網(wǎng),主要是效率不高。
5. 按策略劃分VLAN
基于策略組成的VLAN能實(shí)現多種分配方法,包括VLAN交換機端口、MAC地址、IP地址、網(wǎng)絡(luò )層協(xié)議等。網(wǎng)絡(luò )管理人員可根據自己的管理模式和本單位的需求來(lái)決定選擇哪種類(lèi)型的VLAN 。
6. 按用戶(hù)定義、非用戶(hù)授權劃分VLAN
基于用戶(hù)定義、非用戶(hù)授權來(lái)劃分VLAN,是指為了適應特別的VLAN網(wǎng)絡(luò ),根據具體的網(wǎng)絡(luò )用戶(hù)的特別要求來(lái)定義和設計VLAN,而且可以讓非VLAN群體用戶(hù)訪(fǎng)問(wèn)VLAN,但是需要提供用戶(hù)密碼,在得到VLAN管理的認證后才可以加入一個(gè)VLAN。
2.劃分vlan的方法有哪些
其實(shí)VLAN即虛擬局域網(wǎng)(Virtual Local Area Network的縮寫(xiě)),是一種通過(guò)將局域網(wǎng)內的設備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現虛擬工作組的新興技術(shù)。VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的,它在以太網(wǎng)幀的基礎上增加了VLAN頭,用VLAN ID把用戶(hù)劃分為更小的工作組,限制不同工作組間的用戶(hù)二層互訪(fǎng),每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍,并能夠形成虛擬工作組,動(dòng)態(tài)管理網(wǎng)絡(luò )。
VLAN技術(shù)允許網(wǎng)絡(luò )管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域即VLAN,每一個(gè)VLAN都包含一組有著(zhù)相同需求的計算機工作站,與物理上形成的LAN有著(zhù)相同的屬性。但由于它是邏輯地而不是物理地劃分,所以同一個(gè)VLAN內的各個(gè)工作站無(wú)須被放置在同一個(gè)物理空間里,即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內部的廣播和單播流量都不會(huì )轉發(fā)到其他VLAN中,即使是兩臺計算機有著(zhù)同樣的網(wǎng)段,但是它們卻沒(méi)有相同的VLAN號,它們各自的廣播流也不會(huì )相互轉發(fā),從而有助于控制流量、減少設備投資、簡(jiǎn)化網(wǎng)絡(luò )管理、提高網(wǎng)絡(luò )的安全性。
1.根據端口來(lái)劃分VLAN
許多VLAN廠(chǎng)商都利用交換機的端口來(lái)劃分VLAN成員。被設定的端口都在同一個(gè)廣播域中。例如,一個(gè)交換機的1,2,3,4,5端口被定義為虛擬網(wǎng)AAA,同一交換機的6,7,8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通訊,并允許共享型網(wǎng)絡(luò )的升級。但是,這種劃分模式將虛擬網(wǎng)限制在了一臺交換機上。
第二代端口VLAN技術(shù)允許跨越多個(gè)交換機的多個(gè)不同端口劃分VLAN,不同交換機上的若干個(gè)端口可以組成同一個(gè)虛擬網(wǎng)。
以交換機端口來(lái)劃分網(wǎng)絡(luò )成員,其配置過(guò)程簡(jiǎn)單明了。因此,從目前來(lái)看,這種根據端口來(lái)劃分VLAN的方式仍然是最常用的一種方式。
2.根據MAC地址劃分VLAN
這種劃分VLAN的方法是根據每個(gè)主機的MAC地址來(lái)劃分,即對每個(gè)MAC地址的主機都配置它屬于哪個(gè)組。這種劃分VLAN方法的最大優(yōu)點(diǎn)就是當用戶(hù)物理位置移動(dòng)時(shí),即從一個(gè)交換機換到其他的交換機時(shí),VLAN不用重新配置,所以,可以認為這種根據MAC地址的劃分方法是基于用戶(hù)的VLAN,這種方法的缺點(diǎn)是初始化時(shí),所有的用戶(hù)都必須進(jìn)行配置,如果有幾百個(gè)甚至上千個(gè)用戶(hù)的話(huà),配置是非常累的。而且這種劃分的方法也導致了交換機執行效率的降低,因為在每一個(gè)交換機的端口都可能存在很多個(gè)VLAN組的成員,這樣就無(wú)法限制廣播包了。另外,對于使用筆記本電腦的用戶(hù)來(lái)說(shuō),他們的網(wǎng)卡可能經(jīng)常更換,這樣,VLAN就必須不停地配置。
3.根據網(wǎng)絡(luò )層劃分VLAN
這種劃分VLAN的方法是根據每個(gè)主機的網(wǎng)絡(luò )層地址或協(xié)議類(lèi)型(如果支持多協(xié)議)劃分的,雖然這種劃分方法是根據網(wǎng)絡(luò )地址,比如IP地址,但它不是路由,與網(wǎng)絡(luò )層的路由毫無(wú)關(guān)系。
這種方法的優(yōu)點(diǎn)是用戶(hù)的物理位置改變了,不需要重新配置所屬的VLAN,而且可以根據協(xié)議類(lèi)型來(lái)劃分VLAN,這對網(wǎng)絡(luò )管理者來(lái)說(shuō)很重要,還有,這種方法不需要附加的幀標簽來(lái)識別VLAN,這樣可以減少網(wǎng)絡(luò )的通信量。
這種方法的缺點(diǎn)是效率低,因為檢查每一個(gè)數據包的網(wǎng)絡(luò )層地址是需要消耗處理時(shí)間的(相對于前面兩種方法),一般的交換機芯片都可以自動(dòng)檢查網(wǎng)絡(luò )上數據包的以太網(wǎng)幀頭,但要讓芯片能檢查IP幀頭,需要更高的技術(shù),同時(shí)也更費時(shí)。當然,這與各個(gè)廠(chǎng)商的實(shí)現方法有關(guān)。
4.根據IP組播劃分VLAN
3.VLAN劃分有幾種方法
首先我要明確:1、你的兩個(gè)switch是不是僅二層的,需要roter來(lái)實(shí)現路由功能2、pc1和pc2在不同的vlan中 如果你沒(méi)有三層交換機,就要利用路由器的單臂路由功能,也就是路由器承擔不同vlan之間的轉發(fā)功能,并且和路由相連的端口打tag,具體操作你可以查找單臂路由的網(wǎng)頁(yè)。
建議你最好用三層交換機來(lái)實(shí)現,這樣轉發(fā)速度快。 說(shuō)白了,單臂路由就是包從哪個(gè)口進(jìn)去,又從哪個(gè)口出來(lái),而不象傳統網(wǎng)絡(luò )拓撲中數據包從某個(gè)接口進(jìn)入路由器又從另一個(gè)接口離開(kāi)路由器。
那么什么時(shí)候要用到單臂路由呢?在企業(yè)內部網(wǎng)絡(luò )中劃分了vlan,當vlan之間有部分主機需要通信,但交換機不支持三層交換,這時(shí)候可以采用一臺支持802.1q的路由器實(shí)現vlan的互通。我們只需要在以太口上建立子接口,并分配ip地址作為該vlan的網(wǎng)關(guān),同時(shí)啟動(dòng)802.1q協(xié)議即可。
注意: (1)不要對ethernet0進(jìn)行任何配置,(除了打trunk,思科的需要,其他不清楚)我們只需要對其子接口進(jìn)行劃分和設置即可。 (2)不要忘記將ethernet0開(kāi)啟,使用命令undo shut,這樣所有子接口會(huì )同時(shí)開(kāi)啟。
(3)int ethernet 0/0.1子端口 (4)vlan dot1q vid 302使用802.1q協(xié)議,和從屬于vlan 302 (5)設置子端口ip地址:ip address。
4.劃分vlan的方法有哪些
關(guān)于VLAN的幾種劃分
其實(shí)VLAN即虛擬局域網(wǎng)(Virtual Local Area Network的縮寫(xiě)),是一種通過(guò)將局域網(wǎng)內的設備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現虛擬工作組的新興技術(shù)。VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的,它在以太網(wǎng)幀的基礎上增加了VLAN頭,用VLAN ID把用戶(hù)劃分為更小的工作組,限制不同工作組間的用戶(hù)二層互訪(fǎng),每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍,并能夠形成虛擬工作組,動(dòng)態(tài)管理網(wǎng)絡(luò )。
VLAN技術(shù)允許網(wǎng)絡(luò )管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域即VLAN,每一個(gè)VLAN都包含一組有著(zhù)相同需求的計算機工作站,與物理上形成的LAN有著(zhù)相同的屬性。但由于它是邏輯地而不是物理地劃分,所以同一個(gè)VLAN內的各個(gè)工作站無(wú)須被放置在同一個(gè)物理空間里,即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內部的廣播和單播流量都不會(huì )轉發(fā)到其他VLAN中,即使是兩臺計算機有著(zhù)同樣的網(wǎng)段,但是它們卻沒(méi)有相同的VLAN號,它們各自的廣播流也不會(huì )相互轉發(fā),從而有助于控制流量、減少設備投資、簡(jiǎn)化網(wǎng)絡(luò )管理、提高網(wǎng)絡(luò )的安全性。
1.根據端口來(lái)劃分VLAN
許多VLAN廠(chǎng)商都利用交換機的端口來(lái)劃分VLAN成員。被設定的端口都在同一個(gè)廣播域中。例如,一個(gè)交換機的1,2,3,4,5端口被定義為虛擬網(wǎng)AAA,同一交換機的6,7,8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通訊,并允許共享型網(wǎng)絡(luò )的升級。但是,這種劃分模式將虛擬網(wǎng)限制在了一臺交換機上。
第二代端口VLAN技術(shù)允許跨越多個(gè)交換機的多個(gè)不同端口劃分VLAN,不同交換機上的若干個(gè)端口可以組成同一個(gè)虛擬網(wǎng)。
以交換機端口來(lái)劃分網(wǎng)絡(luò )成員,其配置過(guò)程簡(jiǎn)單明了。因此,從目前來(lái)看,這種根據端口來(lái)劃分VLAN的方式仍然是最常用的一種方式。
2.根據MAC地址劃分VLAN
這種劃分VLAN的方法是根據每個(gè)主機的MAC地址來(lái)劃分,即對每個(gè)MAC地址的主機都配置它屬于哪個(gè)組。這種劃分VLAN方法的最大優(yōu)點(diǎn)就是當用戶(hù)物理位置移動(dòng)時(shí),即從一個(gè)交換機換到其他的交換機時(shí),VLAN不用重新配置,所以,可以認為這種根據MAC地址的劃分方法是基于用戶(hù)的VLAN,這種方法的缺點(diǎn)是初始化時(shí),所有的用戶(hù)都必須進(jìn)行配置,如果有幾百個(gè)甚至上千個(gè)用戶(hù)的話(huà),配置是非常累的。而且這種劃分的方法也導致了交換機執行效率的降低,因為在每一個(gè)交換機的端口都可能存在很多個(gè)VLAN組的成員,這樣就無(wú)法限制廣播包了。另外,對于使用筆記本電腦的用戶(hù)來(lái)說(shuō),他們的網(wǎng)卡可能經(jīng)常更換,這樣,VLAN就必須不停地配置。
3.根據網(wǎng)絡(luò )層劃分VLAN
這種劃分VLAN的方法是根據每個(gè)主機的網(wǎng)絡(luò )層地址或協(xié)議類(lèi)型(如果支持多協(xié)議)劃分的,雖然這種劃分方法是根據網(wǎng)絡(luò )地址,比如IP地址,但它不是路由,與網(wǎng)絡(luò )層的路由毫無(wú)關(guān)系。
這種方法的優(yōu)點(diǎn)是用戶(hù)的物理位置改變了,不需要重新配置所屬的VLAN,而且可以根據協(xié)議類(lèi)型來(lái)劃分VLAN,這對網(wǎng)絡(luò )管理者來(lái)說(shuō)很重要,還有,這種方法不需要附加的幀標簽來(lái)識別VLAN,這樣可以減少網(wǎng)絡(luò )的通信量。
這種方法的缺點(diǎn)是效率低,因為檢查每一個(gè)數據包的網(wǎng)絡(luò )層地址是需要消耗處理時(shí)間的(相對于前面兩種方法),一般的交換機芯片都可以自動(dòng)檢查網(wǎng)絡(luò )上數據包的以太網(wǎng)幀頭,但要讓芯片能檢查IP幀頭,需要更高的技術(shù),同時(shí)也更費時(shí)。當然,這與各個(gè)廠(chǎng)商的實(shí)現方法有關(guān)。
4.根據IP組播劃分VLAN
IP 組播實(shí)際上也是一種VLAN的定義,即認為一個(gè)組播組就是一個(gè)VLAN,這種劃分的方法將VLAN擴大到了廣域網(wǎng),因此這種方法具有更大的靈活性,而且也很容易通過(guò)路由器進(jìn)行擴展,當然這種方法不適合局域網(wǎng),主要是效率不高。
5.劃分VLAN的方法
原發(fā)布者:剪綠無(wú)
LOGOVLAN的劃分方法Contents123靜態(tài):基于端口劃分vlan動(dòng)態(tài):基于MAC地址劃分vlan基于IP組播劃分vlan1、基于端口劃分vlan最常用最為廣泛最有效根據以太網(wǎng)交換機的交換端口來(lái)劃分的,它是將交換機上的物理端口和交換機內部的PVC(永久虛電路)端口分成若干個(gè)組,每個(gè)組構成一個(gè)虛擬網(wǎng),相當于一個(gè)獨立的VLAN交換機。對于不同部門(mén)需要互訪(fǎng)時(shí),可通過(guò)路由器轉發(fā),并配合基于MAC地址的端口過(guò)濾。對某站點(diǎn)的訪(fǎng)問(wèn)路徑上最靠近該站點(diǎn)的交換機或路由器的相應端口上,設定可通過(guò)的MAC地址集,這樣就可以防止非法入侵者從內部盜用IP地址從其他可接入點(diǎn)入侵的可能。vlan10192.168.1.1/24192.168.1.2/24vlan20192.168.1.3/24192.168.1.4/24優(yōu)點(diǎn):定義VLAN成員時(shí)非常簡(jiǎn)單,只要將所有的端口都定義為相應的VLAN組即可缺點(diǎn):是如果某用戶(hù)離開(kāi)了原來(lái)的端口,到了一個(gè)新的交換機的某個(gè)端口,必須重新定義。2、基于MAC地址劃分vlan這種劃分VLAN的方法是根據每個(gè)主機的MAC地址來(lái)劃分,即對每個(gè)MAC地址的主機都配置他屬于哪個(gè)組,它實(shí)現的機制就是每一塊網(wǎng)卡都對應唯一的MAC地址,VLAN交換機跟蹤屬于VLANMAC的地址。這種方式的VLAN允許網(wǎng)絡(luò )用戶(hù)從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置時(shí),自動(dòng)保留其所屬VLAN的成員身份。優(yōu)點(diǎn):就是當用戶(hù)物理位置移動(dòng)時(shí),即從一個(gè)交換機換到其他的交換機時(shí),VLAN不用重新配置,因為它是基于用戶(hù),而不是基于交換機的
6.vlan主要有幾種劃分方式
VLAN劃分方式及主要特點(diǎn)如下:
1、基于接口劃分:給交換機的每個(gè)接口配置不同的PVID,當一個(gè)數據幀進(jìn)入交換機接口時(shí),如果沒(méi)有帶VLAN標簽,且該接口上配置了PVID,那么,該數據幀就會(huì )被打上接口的PVID。如果進(jìn)入的幀已經(jīng)帶有VLAN標簽,那么交換機不會(huì )再增加VLAN標簽,即使接口已經(jīng)配置了PVID。
2、基于MAC地址劃分:先配置好MAC地址和VLAN ID映射關(guān)系表,當終端用戶(hù)的物理位置發(fā)生改變,不需要重新配置VLAN。提高了終端用戶(hù)的安全性和接入的靈活性。
3、基于子網(wǎng)劃分:先配置好子網(wǎng)與VLAN映射表,如果交換設備收到的是untagged(不帶VLAN標簽)幀,交換設備根據報文中的源IP地址信息,確定添加的VLAN ID。將指定網(wǎng)段或IP地址發(fā)出的報文在指定的VLAN中傳輸,減輕了網(wǎng)絡(luò )管理者的任務(wù)量,且有利于管理。
4、基于協(xié)議劃分:將網(wǎng)絡(luò )中提供的服務(wù)類(lèi)型與VLAN相綁定,方便管理和維護。需要對網(wǎng)絡(luò )中所有的協(xié)議類(lèi)型和VLAN ID的映射關(guān)系表進(jìn)行初始配置。需要分析各種協(xié)議的地址格式并進(jìn)行相應的轉換,消耗交換機較多的資源,速度上稍具劣勢。
5、基于匹配策略(MAC地址、IP地址、接口)劃分:先在交換機上配置好終端的MAC地址和IP地址,并與VLAN關(guān)聯(lián)。只有符合條件的終端才能加入指定VLAN。符合策略的終端加入指定VLAN后,嚴禁修改IP地址或MAC地址,否則會(huì )導致終端從指定VLAN中退出。
