虚拟局域网(VLAN)最佳实践(图文详解).pdfVIP

虚拟局域网(VLAN)最佳实践

什么是（虚拟局域网）VLAN？

VLAN是一种用逻辑的定义方法，把两个或更多的连在交换网络上的终端规

划在一起。

这种逻辑定义方法可以延伸到多个交换机。被规划在一起的终端，可以通过

几种网络设置来规划。好像任何一种网络技术一样，了解在您的网络上存在的

VLAN的特性，是有效地管理网络一个非常重要的一节。这可令您更精确的设定

VLAN并在事故发生时减少故障诊断的时间。

为什么要用VLAN呢?

采用VLAN的主要原因有几个：如控制广播域的范围，网络安全，第三层地

址的管理，和网络资源的集中管理。

控制广播域的范围

当一个广播域内的设备增加时，在广播域内设备的广播频率便会相对增加。

广播率的提高，对设备的效率会有很大的影响，因为每一个设备都必须中断其

CPU正在处理的业务，来处理收到的广播包，以决定是否需要对包内的数据作进

一步处理。这种中断降低了CPU处理正常业务的效率，增长了完成这些业务的时

间。

VLAN一个非常重要的好处是在一个VLAN内的广播包不会跑到别的VLAN上

去。通过限制一个VLAN上的设备数目，在一个VLAN上的广播率便可受到控制。

一个正常的广播率应该平均每秒不超过30个广播包。虽然还没有正式的文档宣

称，但通过现场性能监测，建议广播不应该超出30个/秒。

网络安全

有很多时候，网管人员需要限制对本地网络中一个或多个特别设备的接入。

如果所有的设备都在同一个广播域内，便很难执行这种限制。通过建立多个广播

域，可以通过地址过滤和建立连接认可地址表来实现该限制。

数据包要跨越一个VLAN必须通过一个3层路由设备。这种路由设备让网管

人员可以定义设备间的接入。这种接入控制功能的使用，可以控制和监视对敏感

资源设备的接入。

第3层地址管理

一个很常见的设计，是把同类型的设备，规划在同一个IP子网。例如把打

印机安排在同一个IP子网上，属于会计部的工作站和服务器却在另一个子网。

在逻辑上这样好像很合理，但在一个大型企业网络上，这种构想没有VLAN是无

法实现的。

网络资源的集中管理

假定我们把所有的打印机都规划在一个子网上，而每一个打印机都必须在同

一个广播域里。这样等于需要在每一个楼层上，分别安装交换机。这些交换机都

需要光缆和铜缆的连接，而这些打印机子网都需要连接到自己的专用路由器端口

上。

利用VLAN，可以让打印机和网络中的其他设备连接到同一个交换机，分享

同一条互联的电缆或光纤链路、同一个路由器端口。

VLAN的挑战

采用VLAN的一个最大挑战就是文档备案。当您把一个设备连接到交换机时，

没有一个好办法知道设备所连的交换机端口究竟是被设定到哪一个VLAN，或是

否被设定成VLAN骨干（Trunk）端口。在大多数的情况下，确定端口的VLAN设

置只可以通过Telnet登录到交换机的控机台，这种过程需要用户口令并对交换

机的设置管理指令有比较深刻的了解。

当您对网络作扩容、移动或改变时，以上的挑战便更加明显。例如在一个企

业里，安装交换机时一般的策略是把头12个端口设成VLAN23，但是实际上，网

管人员可能是因为后来端口不足或是因为企业的政策推行不完善而把设定更改。

无论如何，当一个设备连接到交换器的头12个端口时，无法保证他会在VLAN23

这个VLAN上。

通过VLAN透视来解决

VLAN透视选件是一个附加在OptiView集成式网络分析仪上的选件。这个选

件可以帮助网管人员应对对交换机的VLAN设定作文档备案的挑战。

VLAN透视选件通过SNMP来询问交换机的每一个端口的VLAN设置。这些讯

息可以直接显示在OptiView集成式网络分析仪的显示屏上或通过遥控界面来

观看。交换机支持的每一个VLAN号都会列在显示屏的左边，在右边显示出对应

的每一个VLAN号的交换机端口。

除了显示VLAN和端口的相关性，VLAN透视选件还会显示每个端口的VLAN

配置。这对确定哪些端口被配置成骨干端口、哪些端口被配置成接入端口是非常

有用的。对骨干端口，VLAN协议标记那些显示的帧。这对解决两台交换机通过

VLAN骨干连接产生的连通问题是非常有帮助的。

显示VLAN配置信息的能力，不仅仅对