交换机．路由器．防火墙-技术提升【1.3】

2.2 虚拟网技术

随着网络内计算机数量的增多，广播包的数量也会急剧增加。当广播包的数量占到通信总量的30%时，网络的传输效率将会明显下降。所以，当局域网内的计算机达到一定数量后（通常限制在 200 台以内），通常采用划分虚拟网（ Virtual Local Area Network， VLAN）的方式将网络分隔开来，将一个大的广播域划分为若干个小的广播域，以减小广播可能造成的损害，子网之间进行通信也必须通过路由设备。

2.2.1 虚拟网的意义和作用

在局域网络中使用 VLAN 技术，具有以下重要意义和作用。

 降低移动和变更的管理成本。 VLAN 中的成员与其物理位置无关，既可连接至同一台交换机，也可连接至不同交换机。当需要把一台计算机从一个子网转移到另一个子网时，迁移工作只是由网络管理员以远程管理的方式，在相应的交换机上将指定端口重新定义一下 VLAN 成员即可。

 控制广播。由于所有的广播都只在本 VLAN 内进行，而不再扩散到其他 VLAN 上，所以将大大减少广播对网络带宽的占用，提高网络传输效率，并可有效地避免广播风暴的产生。

 增强安全性。 VLAN 的一个重要特性就是提高了网络安全性。由于交换机只能在同一 VLAN 内的端口之间交换数据，不同 VLAN 的端口不能直接相互访问，只能通过三层交换或路由才能访问。因此通过划分 VLAN，就可以在逻辑上防止某些非授权用户访问敏感数据。

 网络监督和管理的自动化。由于网络管理员可以通过网管软件，查看 VLAN 间和VLAN 内通信的数据报的细目分类信息，以及应用数据报的细目分类信息，而这些信息对于确定路由系统，和经常被访问的服务器的最佳配置十分有用。通过划分VLAN，可以使网络管理变得更简单、更轻松、更有效。

VTP（ VLAN Trunking Protocol）是一种消息协议，用于在 VTP 域内同步 VLAN 信息（ VLANs 的添加、删除和重命名），而不必在每个交换机上配置相同的 VLAN 信息，从而实现VLAN 配置的一致性。使用 VTP，可以在一个或多个交换机上建立配置修改中心，并自动完成与网络中其他所有交换机的通信，可以有效地减少交换网络中的管理事务。

2.2.2 虚拟网的类型与适用

当在交换机上划分 VLAN 后，不同 VLAN 间的设备就如同被物理地分隔开来。也就是说，连接到同一交换机，然而处于不同 VLAN 的设备，就像是被物理地连接到两个位于不同网段的交换机上一样，彼此之间的通信一定要经过路由设备，否则将无法得知对方的存在，将无法进行任何联系。

1. 基于端口的 VLAN

基于端口的 VLAN 是最常使用的划分 VLAN 的方式，被所有的以太网交换机所支持。所谓基于端口的 VLAN，是指由网络管理员借助网管软件远程或者直接连接到交换机，将某些端口直接地、强制性地分配给某个 VLAN（如图 2-4 所示）。除非网管人员重新设置，否则这些端口将一直保持对该 VLAN 的从属性，即属于该 VLAN，因此这种 VLAN 划分方式也称为静态 VLAN。

这种 VLAN 划分方法，虽然在网络管理员进行初始 VLAN 划分操作时会比较麻烦，但相对安全，并且容易配置和维护。同时，由于不同 VLAN 间的端口不能直接相互通信，因此每个 VLAN 都有自己独立的生成树。此外，交换机之间在不同 VLAN 中可以有多个并行链路，以提高 VLAN 内部的交换速率，增加交换机之间的带宽。

需要注意的是，不仅可以将同一交换机的不同端口划分为同一 VLAN，而且还可以设置跨越交换机的 VLAN（如图 2-5 所示），即将不同交换机的不同端口划分至同一 VLAN，这就完全解决了位于不同物理位置、连接至不同交换机中的用户如何使之处于同一 VLAN 的难题。例如，在一个拥有数十台、甚至数百台计算机的企业办公网中，为了提高网络传输效率，可以将所有用户划分为行政、销售、研发、生产、售后、财务等多个 VLAN。虽然各部门位于不同的建筑物内，连接至不同的交换机，但仍然能够根据其连接的端口将其划分至同一 VLAN，实现彼此之间的正常通信。

不仅不同交换机上具有相同 ID 的 VLAN 之间，可以借助一条链路实现彼此之间的连接。而且，不同交换机之间也可以借助一条链路同时传输多个 VLAN，实现 VLAN 内部的相互通信。用于连接不同 VLAN 的链路，称之为 VLAN 中继（ VLAN Trunk）。

2. 基于 MAC 的 VLAN

所谓基于 MAC 的 VLAN，是指借助智能管理软件根据 MAC 地址来划分 VLAN。该划分方式一般用在每一交换机端口只连接一个终端的情况。也就是说，当端口级联傻瓜交换机时，该种划分方式并不适用。端口借助网络包的 MAC 地址、逻辑地址或协议类型来确定其 VLAN的从属，将端口划分至不同 VLAN。

基于 MAC 地址决定所属 VLAN 的，因此可以理解为这是一种在 OSI 的第二层设定访问链接的办法。当一网络节点刚连接到交换机时，此时交换机端口尚未分配，于是交换机通过读取网络节点的 MAC 地址，动态地将该端口划入某个虚拟网。一旦动态 VLAN 配置完成，用户的计算机就可以随意改变其连接的交换机端口，而不会由此而改变自己的 VLAN。当然，基于 MAC 地址的 VLAN，在设定时必须调查所连接的所有计算机的 MAC 地址并加以登录。而且如果计算机交换了网卡，就需要更改设定。当网络中出现未定义的 MAC 地址时，交换机可以按照预先设定的方式向网管人员报警，再由网管人员作相应的处理。

例如，网络管理员有一台笔记本电脑，由于工作性质的关系，需要经常到各部门联机工作。当该笔记本电脑从端口 A 移动到端口 B 时，交换机能够自动识别经过端口 B 的源 MAC地址，自动把端口 A 从当前 VLAN 中删除，而把端口 B 定义到当前 VLAN 中（如图 2-6 所示）。这种定义方法的优点是当终端在交换式网络中移动时，不必重新定义虚拟网，交换机能够自动进行识别和定义。因此，基于 MAC 的 VLAN 也称为动态 VLAN。由于 MAC 地址具有唯一性，因此该 VLAN 划分方式的安全性也较高。

3. 基于 IP 的 VLAN

所谓基于 IP 的 VALN，是指根据 IP 地址来划分的 VLAN。交换机属于 OSI 的第二层，因此普通交换机不能识别帧中的网络层报文，但随着第三层交换机的出现，将第二层的交换功能和第三层的路由功能结合在一起，从而使交换机也能够识别网络层报文，可以使用报文中的IP 地址来定义 VLAN。不像基于 MAC 地址的 VLAN，即使计算机因为交换了网卡或是其他原因导致 MAC 地址改变，只要它的 IP 地址不变，就仍可以加入原先设定的 VLAN。

当某一用户设置有多个 IP 地址时，通过基于 IP 的 VLAN，该用户或该端口就可以同时访问多个虚拟网。在该模式下，位于不同 VLAN 的多个业务部门（每种业务设置成一个虚拟网）既可同时访问同一台网络服务器，也可以同时访问多个虚拟网的资源，还可让多个虚拟网间的连接只需一个路由设备完成。这种定义方法的优点是当某一终端使用的网络层协议或 IP 地址改变时，交换机能够自动识别，重新定义 VLAN，不需要网络管理员干预。但是，由于 IP 地址可以人为地、不受约束地自由设置，因此使用该方式划分 VLAN 也会带来安全上的隐患。

与基于 MAC 地址的 VLAN 相比，基于 IP 地址的 VLAN 能够更为简便地改变网络结构。IP 地址是 OSI 参照模型中第三层的信息，所以，可以理解为基于子网的 VLAN 是一种在 OSI的第三层设定访问链接的方法。一般路由器与三层交换机都使用基于子网的方法划分 VLAN。

4. 基于用户的 VLAN

基于用户的 VLAN，则是根据交换机各端口所连的计算机上当前登录的用户，来决定该端口属于哪个 VLAN。这里的用户识别信息，一般是计算机操作系统登录的用户，比如可以是 Windows 域中使用的用户名。显然用户名信息，属于 OSI 第四层以上的信息。总的来说，决定端口所属 VLAN 时利用的信息在 OSI 中的层面越高，就越适于构建灵活多变的网络。

5. 基于组播的 VLAN

基于组播的 VLAN，就是动态地把那些需要同时通信的端口定义到一个 VLAN 中，并在VLAN 中用广播的方法解决点对多点通信的问题。这种划分方法将 VLAN 扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展。该 VLAN 划分方式主要适合于不在同一地理区域的局域网用户组成一个 VLAN，而不太适用于局域网，主要是效率不高。

2.2.3 VTP 技术

VTP 域（也称 VLAN 管理域）由一个或多个相互连接的、使用相同 VTP 域名的交换机组成。一台交换机能够被配置而且也只能被配置一个 VTP 域。使用命令行界面或 SNMP，可以修改全局 VLAN 的域配置。

1. VTP 简介

VTP 利用第 2 层中继帧，在一组交换机之间进行 VLAN 通信。 VTP 从一个中心控制点开始，维护整个局域网络中 VLAN 的添加、添加和重命名工作，确保 VLAN 配置的一致性。有了 VTP，就可以在一台交换机集中进行 VLAN 配置变更，所作的变更会被自动传播到网络中所有其他的交换机上，当然，前提是这些交换机位于同一个 VTP 域。

 VTP 工作原理

同一 VTP 域中的交换机共享它们的 VLAN 信息，并且一个交换机只能参加到一个 VTP管理域，不同域中的交换机不能共享 VTP 信息。

交换机间交换下列信息：

 管理域域名。

 配置的修订号。交换机使用配置修正号，来决定当前交换机的内部数据是否应该接受从其他交换机发来的 VTP 更新信息。如果接收到的 VTP 更新配置修订号与内部数据库的修订号相同域者比它小，交换机忽略更新。否则，就更新内部数据库，接受更新信息。

 已知虚拟局域网的配置信息。

VTP 的运行有如下特点：

 VTP 通过发送到特定 MAC 地址 01-00-0C-CC-CC-CC 的组播 VTP 消息进行工作。

 VTP 通告只通过中继端口传递。 VTP 通告可以封装在 ISL 或者 IEEE802.1Q 帧内。

 VTP 消息通过 VLAN1 传送（这也是不能从中继链路中删除 VLAN1 的原因）。

 经过 DTP 自动协商，启动中继之后， VTP 信息就可以沿着中继链路传送。

 VTP 域内的每台交换机都定期在每个中继端口上发送通告到保留的 VTP 组播地址。

 VTP 域

VTP 域，也称为 VLAN 管理域，由一个以上共享 VTP 域名的相互连接的交换机组成。使用 VTP，必须为每台交换机指定 VTP 域名。 VTP 信息只能在 VTP 域内保持。一台交换机可属于并且只属于一个 VTP 域。

默认状态下，交换机处于 VTP Server 模式，并且在收到由中继转发的 VTP 通告（ VTP Advertisement）或配置至一个管理域之前，一直处于非管理域状态。在指定或学习管理域名前，不能在 VTP 服务器上建立或修改 VLAN。

如果交换机收到一个从中继连接传来的 VTP 通告，它将继承管理域名和 VTP 配置版本号，并且不再理睬不同的管理域名或更早的配置版本号。

如果将交换机配置为 VTP 透明模式，虽然可以建立可修改 VLAN，但是，修改将只影响被直接配置的交换机。

当修改位于 VTP Server 上的 VLAN 配置时，该修改将传播至 VTP 域中所有的交换机。VTP 通告被发送至所有的中继连接，包括 Inter-Switch Link（ ISL）、 IEEE 802.1Q、 IEEE 802.10和 ATM LAN Emulation（ LANE）。

 VTP 模式

可以将交换机配置在以下任何一种 VTP 模式下操作。

 Server

在 VTP Server（服务器）模式，可以为整个 VTP 域建立、修改和删除 VLAN，并指定其他配置参数（如 VTP 版本和 VTP 修剪）。 VTP 服务器向其他在相同 VTP 域的交换机通告它们的 VLAN 配置，并同步它们的 VLAN 配置。 VTP Server 是默认模式。

 Client

VTP Client （客户端）在许多行为上与 VTP Server 相同，不同之处在于只能被动接受 VLAN配置信息，而不能在 VTP Client 上建立、修改或删除 VLAN。

 Transparent

VTP Transparent（透明）交换机不加入到 VTP。 VTP Transparent 交换机不通告它的 VLAN配置，并且不同步它的 VLAN 配置。然而，在 VTP 版本 2（ VTP Version 2）中， Transparent交换机向其中继端口转发它接收到的 VTP 通告。

 VTP 通告

VTP 域中的每一台交换机都利用保留的多播地址，定期向其每一个中继端口发送通告。VTP 通告被相邻的交换机接收，并必然地更新它们的 VTP 和 VLAN 配置。

在 VTP 通告中，以下全局配置信息被分布， VLAN ID（ ISL 和 802.1Q）、 Emulated LAN名（应用于 ATM LANE）、 802.10 SAID 值（ FDDI 网络）、 VTP 域名、 VTP 配置版本号、 VLAN配置（包括每个 VLAN 的 MTU 大小），以及帧格式。

 VTP 修剪

VTP 修剪（ VTP Pruning）通过减少不必要的泛洪（ Flooded Traffic），如广播（ Broadcast Packet）、多播（ Multicast Packet）、未知（ Unknown Packet）和泛洪（ Flooded Unicast），从而提高网络带宽。

图 2-7 所示为未启用 VTP 修剪时的泛洪情况。