基于VLAN的企業(yè)內(nèi)部網(wǎng)絡(luò)的規(guī)劃和設(shè)計

-.z基于VLAN的企業(yè)內(nèi)部網(wǎng)絡(luò)的規(guī)劃和設(shè)計(論文)題

目基于VLAN的企業(yè)內(nèi)部網(wǎng)絡(luò)的規(guī)劃和設(shè)計

摘

要

在全球信息電子化、網(wǎng)絡(luò)化快速生長的大環(huán)境下，無論是從大趨勢上看，照舊從本身商業(yè)利益角度思索，樹立企業(yè)內(nèi)部維護信息系統(tǒng)是企業(yè)當(dāng)務(wù)之急的職務(wù)。企業(yè)內(nèi)部對于靈活、動態(tài)地組建LAN網(wǎng)段的要求也越來越多，客觀上要求LAN本身的構(gòu)造可以實現(xiàn)動態(tài)組建、調(diào)整和管理。

在企業(yè)中，一般會有多個部門，像財務(wù)部、技術(shù)部、工程部等等。像財務(wù)部這種重要的部門有些資料是不允許被其他員工知道的。怎樣能清楚的區(qū)分不同的部門，以便于管理呢.使用VLAN技術(shù)！在網(wǎng)絡(luò)中進展合理VLAN劃分，可通過解決端口隔離充分防止沖突的產(chǎn)生，并且可以簡化企業(yè)網(wǎng)絡(luò)的管理及提高網(wǎng)絡(luò)的平安性。

關(guān)鍵詞：VLAN技術(shù)

播送域

邏輯劃分

平安

目錄

摘

要I

第一章緒論1

1.1企業(yè)內(nèi)部局域網(wǎng)可行性劃分1

1.2公司對信息的需求1

1.3工程給公司帶來的效益1

1.4公司對網(wǎng)絡(luò)需求狀況2

1.5組建企業(yè)網(wǎng)考前須知2

1.6選定方案準繩2

第二章VLAN的技術(shù)簡介5

2.1三層交換技術(shù)概述5

2.2VLAN的概述6

2.3VLAN的優(yōu)點7

2.3.1提高網(wǎng)絡(luò)的性能7

2.3.2組建虛擬組織7

2.3.3簡化網(wǎng)絡(luò)管理7

2.3.4提高網(wǎng)絡(luò)平安8

2.3.5降低本錢8

2.4PVLAN原理和配置8

2.5QINQ原理和配置8

2.6SUPERVLAN原理和配置9

第三章VLAN的劃分方式11

3.1基于端口劃分的VLAN11

3.2基于MAC地址劃分的VLAN11

3.3基網(wǎng)絡(luò)層協(xié)議劃分的VLAN12

3.4基于網(wǎng)絡(luò)層子網(wǎng)劃分的VLAN12

3.5基于網(wǎng)絡(luò)層組播劃分的VLAN12

3.6基于網(wǎng)絡(luò)以上協(xié)議乃至應(yīng)用程序的類型劃分的VLAN13

第四章VLAN之間的通信15

4.1背景15

4.2通過路由器實現(xiàn)VLAN之間的通信15

4.2.1通過路由器的不同物理接口與交換機上每個VLAN分別連接15

4.2.2通過路由器的邏輯子接口與交換機各個VLAN連接16

4.3用交換機代替路由器實現(xiàn)VLAN間的通信16

第五章企業(yè)網(wǎng)VLAN的規(guī)劃與設(shè)計17

5.1VLAN的實現(xiàn)過程17

5.2IP地址分配與VLAN地址的規(guī)劃18

5.3企業(yè)網(wǎng)VLAN規(guī)劃意義18

5.4企業(yè)網(wǎng)VLAN規(guī)劃與設(shè)計案例18

第六章VLAN的新用途23

6.1背景23

6.2新用途23

第七章總結(jié)與展望25

致

謝27

參考文獻29

第一章緒論

1.1企業(yè)內(nèi)部局域網(wǎng)可行性劃分

在全球信息電子化、網(wǎng)絡(luò)化快速生長的大環(huán)境下，無論是從大趨勢上看，照舊從本身商業(yè)利益角度思索，樹立企業(yè)內(nèi)部維護信息系統(tǒng)是企業(yè)當(dāng)務(wù)之急的職務(wù)。

1.2公司對信息的需求

面對著劇烈的市場競爭，公司對信息的搜集、傳輸、加工、存貯、查詢以及預(yù)測決策等任務(wù)量越來越大，原來的計算機只是停留在單機任務(wù)的方式，各科室間的數(shù)據(jù)無法完成共享，致使任務(wù)效率大大降低，地道手工維護方式和手腕已無法順應(yīng)需求，這將嚴重障礙公司的生活和生長。社會提高要求企業(yè)必需改動現(xiàn)有的落后維護體制、維護方法和手腕，樹立當(dāng)今企業(yè)的新抽象，樹立本企業(yè)的自動化維護信息系統(tǒng)(即公司局域網(wǎng))，以提高維護水平，添加經(jīng)濟和社會效益。

綜合維護信息系統(tǒng)是為完成企業(yè)信息維護和辦公自動化而樹立的,它能為整個企業(yè)提供高效疏通的信息高速公路和公共效勞支持環(huán)境,構(gòu)成一個以牢靠、迅捷、可提供多種功用的計算機網(wǎng)絡(luò)為根本的信息維護系統(tǒng),既能為各級部門提供了先進的信息效勞和生產(chǎn)環(huán)境,同時又提高了各部門的辦公自動化和綜合維護水平。

如果整個網(wǎng)絡(luò)只有一個播送域，則一旦發(fā)出播送信息，就會傳遍整個網(wǎng)絡(luò)，并且對網(wǎng)絡(luò)中的主機帶來額外的負擔(dān)。因此，在設(shè)計LAN時，需要注意如何才能有效地分割播送域。改動傳統(tǒng)的維護思緒和維護方式,提高維護人員和任務(wù)人員的素質(zhì);使任務(wù)人員從冗雜的手工休息中解放出來;因而,樹立一個牢靠、適用、易于維護、具有綜合先進水平的企業(yè)局域網(wǎng)是必要的，基于VLAN的企業(yè)內(nèi)部網(wǎng)的規(guī)劃和設(shè)計是非常實用的一種。

1.3工程給公司帶來的效益

從企業(yè)維護和業(yè)務(wù)生長的角度動身，議決網(wǎng)絡(luò)對網(wǎng)絡(luò)資源的共用來改進企業(yè)內(nèi)部和企業(yè)與客戶之間的信息交流方式，滿足業(yè)務(wù)部門對信息存儲、檢索、處理和共享需求，使企業(yè)能快速掌握瞬息萬變的市場行情，使企業(yè)信息更有效地發(fā)揚效能；提高辦公自動化水平，提高任務(wù)效率，降低維護本錢，提高企業(yè)在市場上的競爭力；議決對每項業(yè)務(wù)的跟蹤，企業(yè)維護者可以明白業(yè)務(wù)起色狀況，掌握第一手資料，及時掌握市場動態(tài)，為企業(yè)提供投資導(dǎo)向信息，為干部決策提供數(shù)據(jù)支持；議決企業(yè)內(nèi)部網(wǎng)樹立，企業(yè)各業(yè)務(wù)部門可以有更簡約的交流溝通，維護者可隨時明白每一位員工的狀況，并加強對企業(yè)人力資源合理調(diào)度，真實做到系統(tǒng)的集成化設(shè)計，使原有的裝備、投資得到有效使用。

1.4公司對網(wǎng)絡(luò)需求狀況

公司現(xiàn)有技術(shù)曾經(jīng)完全具有了樹立網(wǎng)絡(luò)的條件，從長遠生長看，樹立計算機網(wǎng)絡(luò)也是當(dāng)務(wù)之急，由于信息交流速度已制約了公司的生長，無論是公司獲取客戶的反響信息，照舊公司之間的各種數(shù)據(jù)的傳送，呈現(xiàn)疑問的處理。

1.5組建企業(yè)網(wǎng)考前須知

企業(yè)的網(wǎng)絡(luò)主要注意兩個問題，一是對網(wǎng)絡(luò)能夠有效的管理，防止單個電腦對網(wǎng)絡(luò)資源占用過大或者無法獲得網(wǎng)絡(luò)資源，另一方面是要提升網(wǎng)絡(luò)的利用率，防止出現(xiàn)播送風(fēng)暴等涉及所有用戶的網(wǎng)絡(luò)故障。對于這兩個方面，也各自有與之對應(yīng)的解決方案，分別是基于IP管理和對于網(wǎng)絡(luò)用戶進展分組?；贗P管理需要使用三層交換機，能夠?qū)ｉT設(shè)置*臺電腦的權(quán)限，對于網(wǎng)絡(luò)用戶的分組則可以在二層交換機上劃分出VLAN，將所有用戶依照*種共同點進展分組，然后設(shè)定整個群組的上網(wǎng)權(quán)限。

1.6選定方案準繩

在謀劃網(wǎng)絡(luò)拓撲構(gòu)造時，應(yīng)依據(jù)企業(yè)規(guī)模的大小、散布、對多媒體的需求等實踐狀況加以確定。普通可按以下準繩來確立：

(1)費用低

普通地在挑選網(wǎng)絡(luò)拓撲構(gòu)造的同時便大致確立了所要選取的傳輸介質(zhì)、自用裝備、裝置方式等。比方挑選總線網(wǎng)絡(luò)拓撲構(gòu)造時普通選用同軸電纜作為傳輸介質(zhì)，挑選星形拓撲構(gòu)造時須要選用集線器產(chǎn)品，因而每一種網(wǎng)絡(luò)拓撲構(gòu)造對應(yīng)的所需初期投資、現(xiàn)在的裝置維護費用都是不等的，在滿足其它要求的同時，應(yīng)盡量挑選投資費用較低的網(wǎng)絡(luò)拓撲構(gòu)造。

(2)良好的靈敏性和可擴大性

在挑選網(wǎng)絡(luò)拓撲構(gòu)造時應(yīng)思索企業(yè)未來的生長，并且網(wǎng)絡(luò)中的裝備不是一成不變的，對一些裝備的更新?lián)Q代或裝備位置的變化，所選取的網(wǎng)絡(luò)拓撲構(gòu)造應(yīng)該可以簡約容易地舉行配置以滿足新的要求。

(3)固定性高

固定性關(guān)于一個網(wǎng)絡(luò)拓撲構(gòu)造是至關(guān)主要的。在網(wǎng)絡(luò)中會經(jīng)常發(fā)作節(jié)點毛病或傳輸介質(zhì)毛病，一個固定性高的網(wǎng)絡(luò)拓撲構(gòu)造應(yīng)具有良好的毛病診斷和毛病隔離才干，以使這些毛病對整個網(wǎng)絡(luò)的影響減至最小。

(4)因地制宜

挑選網(wǎng)絡(luò)拓撲構(gòu)造應(yīng)依據(jù)網(wǎng)絡(luò)中各節(jié)點的散布狀況，因地制宜地挑選不一樣的網(wǎng)絡(luò)拓撲構(gòu)造。比方關(guān)于節(jié)點比較集中的場所多項選擇用星形拓撲構(gòu)造，而節(jié)點比較分散時則可以選用總線型拓撲構(gòu)造。另外，假設(shè)單一的網(wǎng)絡(luò)拓撲構(gòu)造無法滿足要求，則可挑選混合的拓撲構(gòu)造。比方，假定一個網(wǎng)絡(luò)中節(jié)點首要散布在兩個不一樣的地點，則可以在該兩個節(jié)點密集的場所選用星型拓撲構(gòu)造，然后運用總線拓撲構(gòu)造將這兩個地點銜接起來。

第二章VLAN的技術(shù)簡介

2.1三層交換技術(shù)概述

要答復(fù)這個問題還是先看看以太網(wǎng)的工作原理。以太網(wǎng)的工作原理是利用二進制位形成的一個個字節(jié)組合成一幀幀的數(shù)據(jù)(其實是一些電脈沖)在導(dǎo)線中進展傳播。首先，以太網(wǎng)網(wǎng)段上需要進展數(shù)據(jù)傳送的節(jié)點對導(dǎo)線進展監(jiān)聽，這個過程稱為CSMA/CD(CarrierSenseMultipleAccesswithCollisionDetection帶有沖突監(jiān)測的載波偵聽多址)的載波偵聽。如果，這時有另外的節(jié)點正在傳送數(shù)據(jù)，監(jiān)聽節(jié)點將不得不等待，直到傳送節(jié)點的傳送任務(wù)完畢。

如果*時恰好有兩個工作站同時準備傳送數(shù)據(jù)，以太網(wǎng)網(wǎng)段將發(fā)出“沖突〞信號。這時，節(jié)點上所有的工作站都將檢測到?jīng)_突信號，因為這時導(dǎo)線上的電壓超出了標(biāo)準電壓。這時以太網(wǎng)網(wǎng)段上的任何節(jié)點都要等沖突完畢后才能夠傳送數(shù)據(jù)。也就是說在CSMA/CD方式下，在一個時間段，只有一個節(jié)點能夠在導(dǎo)線上傳送數(shù)據(jù)。而轉(zhuǎn)發(fā)以太網(wǎng)數(shù)據(jù)幀的聯(lián)網(wǎng)設(shè)備是集線器,它是一層設(shè)備，傳輸效率比較低。

沖突的產(chǎn)生降低了以太網(wǎng)的帶寬，而且這種情況又是不可防止的。所以，當(dāng)導(dǎo)線上的節(jié)點越來越多后，沖突的數(shù)量將會增加。顯而易見的解決方法是限制以太網(wǎng)導(dǎo)線上的節(jié)點，需要對網(wǎng)絡(luò)進展物理分段。將網(wǎng)絡(luò)進展物理分段的網(wǎng)絡(luò)設(shè)備用到了網(wǎng)橋與交換機。網(wǎng)橋和交換機的根本作用是只發(fā)送去往其他物理網(wǎng)段的信息。所以，如果所有的信息都只發(fā)往本地的物理網(wǎng)段，則網(wǎng)橋和交換機上就沒有信息通過。這樣可以有效減少網(wǎng)絡(luò)上的沖突。網(wǎng)橋和交換機是基于目標(biāo)MAC(介質(zhì)控制)地址做出轉(zhuǎn)發(fā)決定的，它們是二層設(shè)備。

現(xiàn)在已經(jīng)知道了以太網(wǎng)的缺點及物理網(wǎng)段中沖突的影響，現(xiàn)在，大家來看看另外一種導(dǎo)致網(wǎng)絡(luò)降低運行速度的原因：播送。播送存在于所有的網(wǎng)絡(luò)上，如果不對它們進展適當(dāng)?shù)目刂?，它們便會充滿于整個網(wǎng)絡(luò)，產(chǎn)生大量的網(wǎng)絡(luò)通信。播送不僅消耗了帶寬，而且也降低了用戶工作站的處理效率。由于各種各樣的原因，網(wǎng)絡(luò)操作系統(tǒng)(NOS)使用了播送，TCP/IP使用播送從IP地址中解析MAC地址，還使用播送通過RIP和IGRP協(xié)議進展宣告，所以，播送也是不可防止的。

網(wǎng)橋和交換機將對所有的播送信息進展轉(zhuǎn)發(fā)，而路由器不會。所以，為了對播送進展控制，就必須使用路由器。路由器是基于第3層報頭、目標(biāo)IP尋址、目標(biāo)IP*尋址或目標(biāo)Appletalk尋址做出轉(zhuǎn)發(fā)決定。路由器是3層設(shè)備。

在這里，我們就容易理解三層交換技術(shù)了，就是將路由與交換合二為一的技術(shù)。路由器在對第一個數(shù)據(jù)流進展路由后，將會產(chǎn)生一個MAC地址與IP地址的映射表，當(dāng)同樣的數(shù)據(jù)流再次通過時，將根據(jù)此映射表直接從二層進展交換而不是再次路由，提供線速性能，從而消除了路由器進展路由選擇而造成網(wǎng)絡(luò)的延遲，提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率。采用此技術(shù)的交換機我們常稱為三層交換機。如圖2-1所示即為三層交換機原理圖：

圖2-1三層交換機原理圖

2.2VLAN的概述

VLAN(VirtualLocalAreaNetwork)又稱虛擬局域網(wǎng)，一方面，VLAN建立在局域網(wǎng)交換機的根底之上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個VLAN組成一個邏輯子網(wǎng)，即一個邏輯播送域，它可以覆蓋多個網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶參加到一個邏輯子網(wǎng)中，在功能和操作上與傳統(tǒng)LAN根本一樣，可以提供一定*圍內(nèi)終端系統(tǒng)的互聯(lián)。

另一方面，VLAN是局域交換網(wǎng)的靈魂。這是因為通過VLAN用戶能方便地在網(wǎng)絡(luò)中移動和快捷地組建寬帶網(wǎng)絡(luò)，而無需改變?nèi)魏斡布屯ㄐ啪€路。這樣，網(wǎng)絡(luò)管理員就能從邏輯上對用戶和網(wǎng)絡(luò)資源進展分配，而無需考慮物理連接方式。VLAN充分表達了現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征：高速、靈活、管理簡便和擴展容易。是否具有VLAN功能是衡量局域網(wǎng)交換機的一項重要指標(biāo)。網(wǎng)絡(luò)的虛擬化是未來網(wǎng)絡(luò)開展的潮流。如圖2-2為VLAN的構(gòu)造圖：

圖2-2VLAN的構(gòu)造圖

2.3VLAN的優(yōu)點

應(yīng)用VLAN技術(shù)可以獲得的益處是巨大的，主要有以下幾個方面：提高網(wǎng)絡(luò)性能、組建虛擬組織、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)平安、減少設(shè)備投資......

2.3.1提高網(wǎng)絡(luò)的性能

應(yīng)用VLAN技術(shù)可以提高網(wǎng)絡(luò)性能：

其一，VLAN技術(shù)允許網(wǎng)絡(luò)管理員將交換機上的端口作邏輯分組，使得從*個VLAN中產(chǎn)生的字節(jié)流只能在附屬于該VLAN的交換機端口之間流動。在一個有大量播送和多播報文的網(wǎng)絡(luò)中，應(yīng)用VLAN技術(shù)可以把這些報文限制在各個VLAN里，從而可以大大減少整個網(wǎng)絡(luò)中不必要的信息流量，提高網(wǎng)絡(luò)性能。

其二，相比較網(wǎng)橋和交換機而言，路由器在處理接收到的數(shù)據(jù)時要慢一些。使用了VLAN技術(shù)后，人們可以用交換機來代替路由器隔離播送域。由于減少了路由器的使用量，網(wǎng)絡(luò)性能也相應(yīng)地得到了提高。

2.3.2組建虛擬組織

如前所述，VLAN技術(shù)是隨著人們生產(chǎn)活動中越來越多的跨部門跨職能開發(fā)團隊的出現(xiàn)而提出的。組建虛擬組織、特別是虛擬工作組，是提出VLAN技術(shù)的初衷和目標(biāo)之一。在實際應(yīng)用時，對于同一個工作組內(nèi)的成員，在該工作組存在的短時期內(nèi)，可以把他們的計算機工作站劃分在一個VLAN里以便于其進展通信。這樣，每個組內(nèi)成員的計算機工作站既無需搬移到一起、也無需改變各自的設(shè)置，只需在網(wǎng)絡(luò)管理員那里作一些改變就可以了。

2.3.3簡化網(wǎng)絡(luò)管理

根據(jù)相關(guān)專家的分析計算，傳統(tǒng)的LAN中約有70%的網(wǎng)絡(luò)花銷是因為添加、刪除、移動、更改網(wǎng)絡(luò)用戶而導(dǎo)致的。每當(dāng)有一個用戶參加局域網(wǎng)，就會引發(fā)一系列的端口分配、地址分配、網(wǎng)絡(luò)設(shè)備重新配置等網(wǎng)絡(luò)管理任務(wù)。在使用VLAN技術(shù)后，這些任務(wù)都可得以簡化。舉例來說，當(dāng)*臺計算機工作站從一個空間位置移動到另一個空間位置時，不需要為其重新手工配置網(wǎng)絡(luò)屬性，網(wǎng)絡(luò)自身就能夠動態(tài)地完成這項任務(wù)。這種動態(tài)管理網(wǎng)絡(luò)的方式給網(wǎng)絡(luò)管理者和使用者都帶來了極大的便利。

2.3.4提高網(wǎng)絡(luò)平安

在傳統(tǒng)的局域網(wǎng)中，不時的會有些敏感數(shù)據(jù)被有意或無意地播送到網(wǎng)絡(luò)上，從而有可能造成信息泄密。在這種情況下，確定誰可以到這些數(shù)據(jù)就顯得很重要。使用VLAN技術(shù)可以將敏感數(shù)據(jù)的傳播限制在平安*圍內(nèi)，只允許已定義的VLAN成員相關(guān)數(shù)據(jù)。VLAN還可被用來設(shè)立防火墻、限制數(shù)據(jù)以及將網(wǎng)絡(luò)入侵事件通知給網(wǎng)絡(luò)管理員等，這些都可以提高網(wǎng)絡(luò)的平安系數(shù)。

2.3.5降低本錢

VLAN技術(shù)可被用來創(chuàng)立邏輯的播送域，因而可以減少用于購置昂貴的路由器等播送域隔離設(shè)備的投資。

2.4PVLAN原理和配置

為了提高網(wǎng)絡(luò)的平安性，要將用戶之間的報文隔離開，傳統(tǒng)的解決方法是給每個用戶分配一個VLAN。這種方法具有明顯的局限性，主要表現(xiàn)在以下幾個方面：

(1)目前IEEE802.1Q標(biāo)準中所支持的VLAN數(shù)目最多為4094個，用戶數(shù)量受到限制，且不利于網(wǎng)絡(luò)的擴展。

(2)每個VLAN對應(yīng)一個IP子網(wǎng)，劃分大量的子網(wǎng)會造成IP地址的浪費。

(3)大量VLAN和IP子網(wǎng)的規(guī)劃和管理使網(wǎng)絡(luò)管理變得非常復(fù)雜。

PVLAN(PrivateVLAN)技術(shù)的出現(xiàn)解決了這些問題。

PVLAN將VLAN中的端口分為兩類：與用戶相連的端口為隔離端口(Isolate

Port)，上行與路由器相連的端口為混合端口(PromiscuousPort)。隔離端口只能與混合端口通信，相互之間不能通信。這樣就將同一個VLAN下的端口隔離開來，用戶只能與自己的默認網(wǎng)關(guān)通信，網(wǎng)絡(luò)的平安性得到保障。

2.5QinQ原理和配置

QinQ是對基于IEEE802.1Q封裝的隧道協(xié)議的形象稱呼，又稱VLAN堆疊。QinQ技術(shù)是在原有VLAN標(biāo)簽(內(nèi)層標(biāo)簽)之外再增加一個VLAN標(biāo)簽(外層標(biāo)簽)，外層標(biāo)簽可以將內(nèi)層標(biāo)簽屏蔽起來。

QinQ不需要協(xié)議的支持，通過它可以實現(xiàn)簡單的L2VPN(二層虛擬專用網(wǎng))，特別適合以三層交換機為骨干的小型局域網(wǎng)。

QinQ技術(shù)的典型組網(wǎng)，連接用戶網(wǎng)絡(luò)的端口稱為Customer端口，連接效勞提供商網(wǎng)絡(luò)的端口稱為Uplink端口，效勞提供商網(wǎng)絡(luò)邊緣接入設(shè)備稱為PE

用戶網(wǎng)絡(luò)一般通過TrunkVLAN方式接入PE，效勞提供商網(wǎng)絡(luò)內(nèi)部的Uplink端口通過TrunkVLAN方式對稱連接。

當(dāng)報文從用戶網(wǎng)絡(luò)1到達交換機A的customer端口時，無論報文是tagged還是untagged的，交換機A都強行插入外層標(biāo)簽(VLANID為10)。在效勞提供商網(wǎng)絡(luò)內(nèi)部，報文沿著VLAN10的端口傳播，直至到達交換機B。交換機B發(fā)現(xiàn)與用戶網(wǎng)絡(luò)2相連的端口為customer端口，于是按照傳統(tǒng)的802.1Q協(xié)議剝離外層標(biāo)簽，恢復(fù)成用戶的原始報文，發(fā)送到用戶網(wǎng)絡(luò)2。

這樣，用戶網(wǎng)絡(luò)1和2之間的數(shù)據(jù)可以通過效勞提供商網(wǎng)絡(luò)進展透明傳輸，用戶網(wǎng)絡(luò)可以自由規(guī)劃自己的私網(wǎng)VLANID，而不會導(dǎo)致和效勞提供商網(wǎng)絡(luò)中的VLANID沖突。

如圖2-3即為802.1Q與QinQ封裝構(gòu)造的比較:

圖2-3802.1Q與QinQ封裝構(gòu)造的比較

2.6SuperVLAN原理和配置

傳統(tǒng)的ISP網(wǎng)絡(luò)給每個用戶被分配一個IP子網(wǎng)，每分配一個子網(wǎng)，就有三個IP地址被占用，分別作為子網(wǎng)的網(wǎng)絡(luò)號、播送地址和缺省網(wǎng)關(guān)。如果一些用戶的子網(wǎng)中有大量未分配的IP地址，也無法給其他用戶使用。因此這種方法會造成IP地址的浪費。

SuperVLAN有效的解決了這個問題，它把多個VLAN(稱為子VLAN)聚合成一個SuperVLAN，這些子VLAN使用同一個IP子網(wǎng)和缺省網(wǎng)關(guān)。

利用SuperVLAN技術(shù)，ISP只需為SuperVLAN分配一個IP子網(wǎng)，并為每個用戶建立一個子VLAN，所有子VLAN可以靈活分配SuperVLAN子網(wǎng)中的IP地址，使用SuperVLAN的缺省網(wǎng)關(guān)。每個子VLAN都是一個獨立的播送域，保證不同用戶之間的隔離，子VLAN之間的通信通過SuperVLAN進展路由。

第三章VLAN的劃分方式

3.1基于端口劃分的VLAN

以網(wǎng)絡(luò)設(shè)備的哪個端口屬于哪個VLAN的標(biāo)準來劃分VLAN。例如，在一個有8個端口的網(wǎng)橋中，端口1、2、4、7屬于VLAN1，而端口3、5、6、8屬于VLAN2。則與這些端口相連的設(shè)備、這些設(shè)備收發(fā)的數(shù)據(jù)幀相應(yīng)地也分別屬于VLAN1、VLAN2。終究如何配置，由管理員決定。

如果有多個網(wǎng)絡(luò)設(shè)備，例如有多個交換機，可以指定交換機1的1~6端口和交換機2的1~4端口為同一VLAN，即同一VLAN可以跨越數(shù)個交換機，根據(jù)端口劃分是目前定義VLAN的最常用的方法，IEEE802.1Q協(xié)議標(biāo)準草案中對如何根據(jù)交換機的端口來劃分VLAN給出了明確的規(guī)定。

這種劃分方法的優(yōu)點和缺點都很明顯：優(yōu)點是定義VLAN成員時非常簡單，只要將所有的端口都指定一下就可以了；缺點是不允許用戶隨便移動。如果屬于*個VLAN的用戶離開了原來的端口，到了一個新的網(wǎng)絡(luò)設(shè)備的*個端口，則網(wǎng)絡(luò)管理者就必須重新定義VLAN。如圖3-1基于端口劃分VLAN：

圖3-1基于端口劃分VLAN

3.2基于MAC地址劃分的VLAN

以計算機工作站網(wǎng)卡的MAC地址來劃分VLAN。這種劃分方法的最大優(yōu)點就是由于一個MAC地址唯一對應(yīng)一塊計算機網(wǎng)卡，故此當(dāng)*個計算機工作站物理位置改變時、即從一臺交換機轉(zhuǎn)移到另一臺交換機時，不需要重新配置VLAN；而缺點是所有的VLAN成員必須事先定義，這在有數(shù)以百計乃至千計用戶的網(wǎng)絡(luò)中，這并不是一件輕松的事。而且這種劃分方法也導(dǎo)致了交換機執(zhí)行效率的降低，因為交換機的每一個端口都可能連接許多不同VLAN組的成員，這樣就無法限制播送報文了。另外，對于使用筆記本電腦的用戶來說，他們的網(wǎng)卡可能經(jīng)常更換，VLAN就必須不停的配置。如圖3-2基于MAC地址劃分VLAN：

圖3-2基于MAC地址劃分VLAN

3.3基網(wǎng)絡(luò)層協(xié)議劃分的VLAN

如果網(wǎng)絡(luò)支持多網(wǎng)絡(luò)層協(xié)議，則根據(jù)數(shù)據(jù)幀頭中的網(wǎng)絡(luò)層協(xié)議類型字段也可以劃分VLAN。這對網(wǎng)絡(luò)管理員來說很重要，同時，這種方法不需要附加的幀標(biāo)簽來識別VLAN，可以減少網(wǎng)絡(luò)的通信量。

3.4基于網(wǎng)絡(luò)層子網(wǎng)劃分的VLAN

根據(jù)數(shù)據(jù)報文頭中的網(wǎng)絡(luò)層子網(wǎng)地址也可以劃分VLAN。雖然這種劃分方法根據(jù)的是第3層信息即網(wǎng)絡(luò)地址(比方IP地址)，但它與網(wǎng)絡(luò)層的路由功能一點關(guān)系也沒有。它只是查看每個數(shù)據(jù)報文的網(wǎng)絡(luò)層地址，并根據(jù)過濾數(shù)據(jù)庫中事先定義好的信息決定其歸屬于哪個VLAN，然后再根據(jù)生成樹算法進展橋交換，并不牽涉任何路由操作。這種方法的優(yōu)點是當(dāng)*個計算機工作站物理位置改變時，即從一臺交換機轉(zhuǎn)移到其它的交換機，不需要重新配置VLAN。其缺點是效率低，因為相對于第1、2層VLAN的實現(xiàn)技術(shù)，檢查每一個數(shù)據(jù)報文的網(wǎng)絡(luò)層地址是很費時間的。一般的交換機芯片都優(yōu)點是具有更大的靈活性，而且也很容易通過路由器進展擴展。缺點是不適合LAN，主要是效率不高。

3.5基于網(wǎng)絡(luò)層組播劃分的VLAN

網(wǎng)絡(luò)層組播實際上是一種VLAN。即認為一個組播組就是一個VLAN，這種劃分方法實際將VLAN擴大到了WAN。該方法的應(yīng)用程序的類型乃至兩者的綜合來劃分VLAN也是有可能的。例如，規(guī)定所有的FTP應(yīng)用在一個VLAN里運行而所有的Telnet應(yīng)用在另一個VLAN里運行。這些方法的缺點在于它們都很費時，都要求更高的處理技術(shù)和更快的處理速度，目前的實現(xiàn)尚無法令人們滿意。

802.1Q草案標(biāo)準僅僅定義了基于端口和MAC地址來劃分VLAN的標(biāo)準方案，雖然它也允許基于協(xié)議類型的VLAN以及3層以上VLAN，但并沒有給出相應(yīng)的標(biāo)準。

3.6基于網(wǎng)絡(luò)以上協(xié)議乃至應(yīng)用程序的類型劃分的VLAN

根據(jù)網(wǎng)絡(luò)層以上協(xié)議的類型、可以自動檢查數(shù)據(jù)幀的幀頭，但檢查數(shù)據(jù)報文的報文頭，則需要更高的技術(shù)(設(shè)備設(shè)計制造本錢也會相應(yīng)增加)，同時也更費時。當(dāng)然，這跟各個廠商的實現(xiàn)方法有關(guān)。

第四章VLAN之間的通信

4.1背景

隨著交換機應(yīng)用的普及，VLAN技術(shù)的應(yīng)用也越來越廣泛。眾所周知，VLAN技術(shù)的主要作用是可將分布于不同地理位置的計算機按工作需要組合成一個邏輯網(wǎng)絡(luò)，同時VLAN的劃分可縮小播送域，以提高網(wǎng)絡(luò)傳輸速度，由于處于不同VLAN的計算機之間不能直接通信，從而使網(wǎng)絡(luò)的平安性能得到了很大提高。

但事實上在很多網(wǎng)絡(luò)中要求處于不同VLAN中的計算機間能夠相互通信，如何解決VLAN間的通信問題是我們在規(guī)劃VLAN時必須認真考慮的問題。在企業(yè)網(wǎng)絡(luò)開展的初期，網(wǎng)絡(luò)中只有10%~20%的信息在VLAN之間傳播，但隨著多媒體技術(shù)在企業(yè)網(wǎng)絡(luò)中應(yīng)用的迅速普及，VLAN之間信息的傳輸量增加了許多倍，如果VLAN之間的通信問題解決得不好，將嚴重影響網(wǎng)絡(luò)的使用和平安。

在LAN內(nèi)的通信，是通過數(shù)據(jù)幀頭中指定通信目標(biāo)的MAC地址來完成的。而為了獲取MAC地址，TCP/IP協(xié)議下使用ARP地址協(xié)議解析MAC地址的方法是通過播送報文來實現(xiàn)的，如果播送報文無法到達目的地，則就無從解析MAC地址，亦即無法直接通信。

當(dāng)計算機分屬不同的VLAN時，就意味著分屬不同的播送域，自然收不到彼此的播送報文。因此，屬于不同VLAN的計算機之間無法直接互相通信。為了能夠在VLAN間通信，需要利用OSI參照模型中更高一層——網(wǎng)絡(luò)層的信息(IP地址)來進展路由。在目前的網(wǎng)絡(luò)互連設(shè)備中能完成路由功能的設(shè)備主要有路由器和三層以上的交換機。

4.2通過路由器實現(xiàn)VLAN之間的通信

使用路由器實現(xiàn)VLAN間通信時，路由器與交換機的連接方式有兩種。第一種通過路由器的不同物理接口與交換機上的每個VLAN分別連接。第二種通過路由器的邏輯子接口與交換機的各個VLAN連接。

4.2.1通過路由器的不同物理接口與交換機上每個VLAN分別連接

這種方式的優(yōu)點是管理簡單，缺點是網(wǎng)絡(luò)擴展難度大。每增加一個新的VLAN，都需要消耗路由器的端口和交換機上的，而且還需要重新布設(shè)一條網(wǎng)線。而路由器，通常不會帶有太多LAN接口的。新建VLAN時，為了對應(yīng)增加的VLAN所需的端口，就必須將路由器升級成帶有多個LAN接口的高端產(chǎn)品，這局部本錢、還有重新布線所帶來的開銷，都使得這種接線法成為一種不受歡送的方法。

4.2.2通過路由器的邏輯子接口與交換機各個VLAN連接

這種連接方式要求路由器和交換機的端口都支持會聚，且雙方用于會聚鏈路的協(xié)議自然也必須一樣。接著在路由器上定義對應(yīng)各個VLAN的邏輯子接口E1.1和E1.2。由于這種方式是靠在一個物理端口上設(shè)置多個邏輯子接口的方式實現(xiàn)網(wǎng)絡(luò)擴展，因此網(wǎng)絡(luò)擴展比較容易且本錢較低，只是對路由器的配置要復(fù)雜一些。

4.3用交換機代替路由器實現(xiàn)VLAN間的通信

目前市場上有許多三層以上的交換機，在這些交換機中，廠家通過硬件或軟件的方式將路由功能集成到交換機中，交換機主要用于園區(qū)網(wǎng)中，園區(qū)網(wǎng)中的路由比較簡單，但要求數(shù)據(jù)交換的速度較快，因此在大型園區(qū)網(wǎng)中用交換機代替路由器已是不爭的事實。用交換機代替路由器實現(xiàn)VLAN間通信的方式也有兩種，其一，就是啟用交換機的路由功能，這種方式的實現(xiàn)方法可采用以上介紹的路由器方式的任一種。其二，是利用*些高端交換機所支持的專用VLAN功能來實現(xiàn)VLAN間的通信。

第五章企業(yè)網(wǎng)VLAN的規(guī)劃與設(shè)計

5.1VLAN的實現(xiàn)過程

當(dāng)一個網(wǎng)橋或交換機接收到來自于*個計算機工作站的數(shù)據(jù)幀，它將給這個數(shù)據(jù)幀加上一個標(biāo)簽以標(biāo)識這個數(shù)據(jù)幀來自于哪個VLAN。加標(biāo)簽的原則有多種：可以基于數(shù)據(jù)幀來自于網(wǎng)橋的哪個端口、可以基于數(shù)據(jù)幀的數(shù)據(jù)鏈路層協(xié)議源地址、可以基于數(shù)據(jù)幀的網(wǎng)絡(luò)層協(xié)議源地址、也可以基于數(shù)據(jù)幀的其它字段或多個字段的綜合。為了能夠使用任意一種方法給數(shù)據(jù)幀加標(biāo)簽，網(wǎng)橋必須有一個不斷升級更新的數(shù)據(jù)庫。這個數(shù)據(jù)庫叫做過濾數(shù)據(jù)庫，包含了本網(wǎng)絡(luò)中全部VLAN之間的映射以及它們使用哪個字段作為標(biāo)簽。

例如，如果通過基于端口的方式來加標(biāo)簽，該數(shù)據(jù)庫應(yīng)該指示哪個端口屬于哪個VLAN。網(wǎng)橋必須能夠維護這樣的一個數(shù)據(jù)庫并且應(yīng)保證所有在這個LAN中的網(wǎng)橋在它們的過濾數(shù)據(jù)庫中有同樣的信息。

基于IEEE802.1Q協(xié)議時，4個字節(jié)的VLAN標(biāo)簽加到傳統(tǒng)的以太網(wǎng)幀的目的MAC地址字段和協(xié)議類型字段(在符合IEEE802.3協(xié)議的幀中是長度字段)之間。其中包含有一個12比特大小的VLANID號以區(qū)別各個VLAN，如圖4-1所示：

圖5-1基于802.1Q協(xié)議的VLAN幀格式封裝類型

由于802.1Q協(xié)議的標(biāo)簽頭的4個字節(jié)是新增加的，故目前使用的計算機并不支持802.1Q，即計算機發(fā)送出去的數(shù)據(jù)包的以太網(wǎng)幀頭還不包含這4個字節(jié)，同時也無法識別這4個字節(jié)。對于交換機來說，如果它所連接的以太網(wǎng)段的所有主機都能識別和發(fā)送這種帶802.1Q標(biāo)簽頭的數(shù)據(jù)包，該端口稱為TagAware端口，需要給數(shù)據(jù)幀加標(biāo)簽。

反之，如果該交換機端口所連接的以太網(wǎng)段里只要有一臺主機不支持這種帶802.1Q標(biāo)簽頭的數(shù)據(jù)包，該端口稱為Access端口，則不能給數(shù)據(jù)幀加標(biāo)簽。對于每一個到來的VLAN幀，網(wǎng)橋或交換機將根據(jù)查找過濾數(shù)據(jù)庫的結(jié)果斷定該幀歸屬于哪一個VLAN將從哪個接口被轉(zhuǎn)發(fā)出去。一旦網(wǎng)橋或交換機決定了*個數(shù)據(jù)幀的下一步去向，它就得決定是否需要給這個數(shù)據(jù)幀加標(biāo)簽。具體實現(xiàn)包括以下三個過程：

(1)接收過程：負責(zé)接收數(shù)據(jù)包，數(shù)據(jù)包可以是帶標(biāo)簽頭的，也可以不帶標(biāo)簽頭。如果不帶，交換時機根據(jù)該端口所屬的VLAN添加上相應(yīng)的標(biāo)簽頭。

(2)查找/路由過程：根據(jù)數(shù)據(jù)包的目的MAC地址、VLAN標(biāo)識，查找過濾數(shù)據(jù)庫中注冊的信息，以決定把數(shù)據(jù)包發(fā)送到哪個端口。

(3)發(fā)送過程：將數(shù)據(jù)包發(fā)送到以太網(wǎng)段上，如果該網(wǎng)段的主機不能識別802.1Q標(biāo)簽頭，則在出端口前將該標(biāo)簽頭去掉；如果是發(fā)送到互連的其它交換機的端口，則標(biāo)簽頭一般不去掉。

5.2IP地址分配與VLAN地址的規(guī)劃

隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，用戶不斷增加，網(wǎng)絡(luò)應(yīng)用也不斷增長，網(wǎng)絡(luò)變得越來越擁擠，沖突不斷產(chǎn)生，管理難度日益加大。為了有效地提高網(wǎng)絡(luò)管理的靈活性，提高網(wǎng)絡(luò)效率和網(wǎng)絡(luò)平安性，一個合理的VLAN規(guī)劃給網(wǎng)絡(luò)的管理更加有效。

網(wǎng)絡(luò)中目前的電腦數(shù)目已經(jīng)上千臺了。如果把這個龐大的網(wǎng)絡(luò)作為一個VLAN，則網(wǎng)絡(luò)性能和平安性就會大大的降低，而且能產(chǎn)生網(wǎng)絡(luò)風(fēng)暴使網(wǎng)絡(luò)癱瘓。因此，應(yīng)對這個龐大的網(wǎng)絡(luò)進展VLAN的規(guī)劃，把它劃分為假設(shè)干個虛擬子網(wǎng)，這樣可以提高網(wǎng)絡(luò)的網(wǎng)絡(luò)性能和平安性，防止網(wǎng)絡(luò)風(fēng)暴。

網(wǎng)絡(luò)主要是由中興3228交換機組成。

如為了使*兩個企業(yè)部門之間在網(wǎng)絡(luò)中不能進展，確保部門與部門之間發(fā)生播送風(fēng)暴，而把各個企業(yè)部門之間劃分為單獨的VLAN，從而提高各個企業(yè)部門之間的網(wǎng)絡(luò)平安性。

5.3企業(yè)網(wǎng)VLAN規(guī)劃意義

隨著企業(yè)網(wǎng)的建成，對于企業(yè)網(wǎng)的管理的要求也越來越高了。目前，由于數(shù)據(jù)播送在網(wǎng)絡(luò)中起著非常重要的作用，隨著企業(yè)網(wǎng)內(nèi)的計算機數(shù)量的增加，VOD視頻的大量應(yīng)用，播送的數(shù)量在積聚增加，當(dāng)播送的數(shù)量占到總量的30%時，網(wǎng)絡(luò)的傳輸效率將會明顯下降。特別是當(dāng)*網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，會不停地向網(wǎng)絡(luò)發(fā)送播送，從而導(dǎo)致通信陷于癱瘓。

當(dāng)企業(yè)網(wǎng)絡(luò)內(nèi)的計算機數(shù)超過200臺后，就需要采取措施將網(wǎng)絡(luò)分隔開來，將一個大的播送域劃分成假設(shè)干個小的播送域。目前，企業(yè)網(wǎng)的計算機已經(jīng)有上千臺，因此更應(yīng)將這個大的播送域劃分成假設(shè)干個小的播送域，劃分播送域的方式主要是將企業(yè)網(wǎng)劃分為假設(shè)干個虛擬子網(wǎng)，也就是VLAN。對企業(yè)網(wǎng)進展VLAN劃分，可以強化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)的平安，控制不必要的播送的數(shù)量。

5.4企業(yè)網(wǎng)VLAN規(guī)劃與設(shè)計案例

企業(yè)網(wǎng)絡(luò)是由多臺Z*R103228交換機組成的堆疊組。以財務(wù)部、市場部為例，企業(yè)財務(wù)部、市場部網(wǎng)絡(luò)組成。

下面是企業(yè)財務(wù)部、市場部的組網(wǎng)圖:

圖5-2企業(yè)財務(wù)部、市場部的組網(wǎng)圖

如果有很多臺電腦同時相互之間傳送文件或下載東西，那樣就會影響上網(wǎng)的速度，從而有可能產(chǎn)生播送風(fēng)暴。因此，可以基于Z*R103228交換機每個端口劃一個的VLAN來控制播送，有效地防止播送風(fēng)暴的產(chǎn)生，并且網(wǎng)絡(luò)管理更加有效。

整個網(wǎng)絡(luò)在同一個網(wǎng)段IP地址/16內(nèi)：

交換機一的端口1的IP地址為；

交換機一的端口2的IP地址為；

交換機一的端口3的IP地址為；

交換機一的端口4的IP地址為；

交換機一的端口5作為Trunk口不配置IP地址；

交換機二的端口1的IP地址為；

交換機二的端口2的IP地址為；

交換機二的端口3的IP地址為；

交換機二的端口4的IP地址為；

交換機二的端口5作為Trunk口不配置IP地址。

市場部劃入vlan10內(nèi)；

財務(wù)部劃入vlan20內(nèi)。

在上作如下配置：

交換機一的配置：

Z*R10>enable

Z*R10*configureterminal

Z*R10(config)*enablesecretZTE

Z*R10(config)interfacefei_1/1

Z*R10(config-if)*ipaddress

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/2

Z*R10(config-if)*ipaddress

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/3

Z*R10(config-if)*ipaddress

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/4

Z*R10(config-if)*ipaddress

Z*R10(config-if)*e*it

Z*R10(config)*vlan10

Z*R10(config-vlan)*e*it

Z*R10(config)*vlan20

Z*R10(config-vlan)*e*it

Z*R10(config)interfacefei_1/1

Z*R10(config-if)*switchportaccessvlan10

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/2

Z*R10(config-if)*switchportaccessvlan10

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/3

Z*R10(config-if)*switchportaccessvlan20

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/4

Z*R10(config-if)*switchportaccessvlan20

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/5

Z*R10(config-if)*switchportmodevlantrunk

Z*R10(config-if)*switchporttrunkvlan10

Z*R10(config-if)*switchporttrunkvlan20

交換機二的配置：

Z*R10>enable

Z*R10*configureterminal

Z*R10(config)*enablesecretZTE

Z*R10(config)interfacefei_1/1

Z*R10(config-if)*ipaddress

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/2

Z*R10(config-if)*ipaddress

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/3

Z*R10(config-if)*ipaddress

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/4

Z*R10(config-if)*ipaddress

Z*R10(config-if)*e*it

Z*R10(config)*vlan10

Z*R10(config-vlan)*e*it

Z*R10(config)*vlan20

Z*R10(config-vlan)*e*it

Z*R10(config)interfacefei_1/1

Z*R10(config-if)*switchportaccessvlan10

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/2

Z*R10(config-if)*switchportaccessvlan10

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/3

Z*R10(config-if)*switchportaccessvlan20

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/4

Z*R10(config-if)*switchportaccessvlan20

Z*R10(config-if)*e*it

Z*R10(config)interfacefei_1/5

Z*R10(config-if)*switchportmodevlantrunk

Z*R10(config-if)*switchporttrunkvlan10

Z*R10(config-if)*switchporttrunkvlan20

第六章VLAN的新用途

6.1背景

雖然VLAN并非最好的網(wǎng)絡(luò)技術(shù)，但這種用于網(wǎng)絡(luò)結(jié)點邏輯分段的方法正為許多企業(yè)所使用。VLAN采用多種方式配置于企業(yè)網(wǎng)絡(luò)中，包括網(wǎng)絡(luò)平安認證、使無線用戶在802.11b接入點漫游等。

多年前引進VLAN的時候，多數(shù)VLAN都是基于IEEE802.1Q和802.1p標(biāo)準的。802.1Q規(guī)*用于將VLAN用戶信息載入以太網(wǎng)幀，而802.1p使二層交換機具有流量優(yōu)先和實施動態(tài)多址濾波的能力。

當(dāng)初引進VLAN時，它被看作是一個簡化地址管理的方法，可以使IT人員在網(wǎng)絡(luò)的任意點對效勞器和PC機進展物理配置，并將PC機參加到組中。

多數(shù)網(wǎng)絡(luò)設(shè)備的軟件可用于將媒體控制(MAC)地址與VLAN相關(guān)聯(lián)，當(dāng)客戶從一個端口移動到另一個端口時，可以使其自動連接到網(wǎng)絡(luò)上。

6.2新用途

(1)VLAN的無線接入

隨著越來越多的公司推出其無線網(wǎng)絡(luò)，人們最關(guān)心的問題恐怕就是如何將無線用戶接入適當(dāng)?shù)挠芯€VLAN。有線網(wǎng)絡(luò)中的VLAN用戶身份通常都是由用戶的物理層二層交換機或三層路由器連接端口來定義的。但在無線網(wǎng)絡(luò)中，用戶根本沒有與任何物理端口連接。

為解決這一問題，人們開場采用先進的無線驗證技術(shù)，并利用基于角色的VLAN關(guān)聯(lián)來進展用戶識別。這種方法可以利用一系列標(biāo)準的驗證方法，如基于HTTP捕獲端口和802.1*等可選驗證機制來判斷出正確的VLAN用戶身份。

(2)VLAN的應(yīng)用

最近，休斯頓在4棟22層的建筑物中建立了網(wǎng)絡(luò)及其子網(wǎng)，包括122個法庭、法律事務(wù)所和審判廳，這種建筑物非常適合建立VLAN，因為將122個私人子網(wǎng)合并到一個VLAN中要