---- 在企業網絡剛剛興起之時，由于規模小、應用面窄、對Internet接入認識程度低以及關于網絡安全和管理知識貧乏等原因，使得企業網僅僅局限于交換模式狀態。交換技術主要有2種方式: 基于以太網的幀交換和基于ATM的信元交換，它相對于共享式網絡性能有很大提高，但對于所有處于一個IP網段或IPX網段的網絡設備來說，卻同在一個廣播域中。當工作站數量較多和信息流較大時，容易形成廣播風暴，嚴重影響了網絡運行速度，甚至容易造成網絡癱瘓。怎樣避免這個問題出現呢？采用劃分網絡的辦法是個不錯的選擇。
　　
　　---- 在采用交換技術的網絡模式中，一般采用劃分物理網段的手段進行網絡結構的劃分。從效率和安全性等方面來看，這種結構劃分有一定缺陷，而且在很大程度上限制了網絡的靈活性。因為如果要將一個廣播域分開，必須另外購買交換機，并且需要重新進行人工布線。好在，虛擬局域網（Virtual Local Area Network，VLAN）技術的出現解決了上述問題。實際上，VLAN就是一個廣播域，它不受地理位置的限制，可以跨多個局域網交換機。一個VLAN可以根據部門職能、對象組或者應用來將不同地理位置的網絡用戶劃分為一個邏輯網段。對于局域網交換機，其每一個端口只能標記一個VLAN，一個VLAN中的所有端口擁有一個廣播域，而處于不同VLAN的端口則共享不同的廣播域，這樣就避免了廣播風暴的產生。可以說，在一個交換網絡中，VLAN提供了網段和機構的彈性組合機制。
　　
　　---- 通常，一個規模較大的企業，其下屬一般擁有多個二級單位，為保證對不同職能部門管理的方便性和安全性以及整體網絡運行的穩定性，可以采用VLAN劃分技術，進行虛擬網絡劃分。下面，我們通過對一個實際案例的分析，讓大家了解和掌握應用VLAN技術的真諦。
　　
　　網絡狀況
　　
　　---- 某大型起重設備總公司下屬有2個二級單位，主要進行研發、服務與銷售等工作。由于地理位置相對較遠，業務規模尚未發展壯大，在企業成立之初，公司總部、二級單位1和二級單位2分別建立了獨立的網絡環境，各網絡系統均采用以交換技術為主的方式，3網主干均采用千兆以太網技術。公司總部中心交換機采用了Cisco Catalyst 6506產品，它是帶有三層路由的引擎，可使企業網具有很強的升級能力。各二級單位的中心交換機采用了Cisco Catalyst 4006。其他二級和三級交換機采用了Cisco Catalyst 3500系列交換機，主要因為Catalyst 3500系列交換機具有很高的性能和可堆疊能力。
　　
　　需求分析
　　
　　---- 由于業務發展迅猛，總公司與2個二級單位迫切需要暢通無阻的信息交流，從而讓公司總部能對2個下屬單位進行更直接和更有效的管理，進而達到三方信息共享的目的，所以將彼此相互獨立的3個子網聯成一個統一網絡勢在必行。
　　
　　---- 圖1所示的是起重設備總公司3個子網互聯形成統一網絡的示意圖，3個子網是采用千兆以太網技術進行互聯的。為了避免在主干引發瓶頸問題，各子網在互聯時采用了Trunk技術(即雙千兆技術)，使網絡帶寬達到4GB，這樣，既增加了帶寬，又提供了鏈路的冗余，還提高了整體網絡高速、穩定和安全的運行性能。
　　　
　　---- 然而，由于網絡規模不斷擴大，信息流量逐漸加大，人員管理變得日益復雜，給企業網的安全、穩定和高效運行帶來新的隱患，如何消除這些隱患呢？VLAN劃分技術能為此排憂解難。
　　
　　---- 根據起重設備總公司業務發展需要，我們將聯網后的統一網絡劃分為5個虛擬子網，分別是: 經理辦子網、財務子網、供銷子網和信息中心子網，其余部分劃為一個子網。
　　
　　---- 由于統一網絡的IP地址處于192.168.0.0網段，所以我們可以將各VLAN的IP地址分配如下。
　　
　　---- 經理辦子網：192.168.1.0～192.168.2.0/22 網關：192.168.1.1
　　
　　---- 財務子網： 192.168.3.0～192.168.5.0/22 網關：192.168.3.1
　　
　　---- 供銷子網： 192.168.6.0～192.168.8.0/22 網關：192.168.6.1
　　
　　---- 信息中心子網：192.168.7.0/24 網關：192.168.7.1
　　
　　---- 服務器子網：192.168.100.0/24 網關：192.168.100.1
　　
　　---- 其余子網： 192.168.8.0～192.168.9.0/22 網關：192.168.8.1
　　
　　詳細設計
　　
　　---- 在劃分VLAN時，Cisco的產品主要基于2種標準協議：ISL和802.1q。ISL是Cisco自己研發設計的通用于所有Cisco網絡產品的VLAN間互聯封裝協議，該協議針對Cisco網絡設備的硬件平臺在信息流處理和多媒體應用方面進行了合理有效的優化。802.1q協議是IEEE802委員會于1996年發布的國際規范標準。
　　
　　---- 在此案例中，因為所采用的均是Cisco網絡設備，故在進行VLAN間互聯時采用了ISL協議(對于不同網絡設備的互聯，本文在結尾處有相應介紹)。
　　
　　---- 從圖1我們可以看到，總公司中心交換機采用了Cisco Catalyst 6506，其2級節點為Catalyst 3508和Catalyst 3548，Catalyst 3508交換機具有8個千兆以太網端口，并且利用Catalyst 3500系列交換機的堆疊能力，可以隨時擴充工作站數量。邊緣交換機則采用具有千兆模塊的Catalyst 3548。二級單位的中心交換機則采用了Cisco Catalyst 4006，其2級節點和邊緣交換機采用的也是Catalyst 3548。公司總部與各二級附屬單位的連接采用了ISL封裝的Trunk方式，用2組光纖連接（在Catalyst 6506與Catalyst 4006之間），這樣既解決了VLAN間的互聯問題，同時又提高了網絡帶寬和系統的冗余，為3個子網互聯提供了可靠保障。對于到Internet的連接，接口為2MB DDN專線接入，各二級單位通過公司總部的Proxy接入Internet。Internet的管理由公司總部信息中心統一規劃。
　　
　　---- 需要說明的是，由于本案例中關于VLAN的劃分覆蓋了各個交換機，所以交換機之間的連接都必須采用Trunk方式。鑒于經理辦和供銷子網代表了VLAN劃分中的2個問題: 擴展交換機VLAN的劃分和端口VLAN的劃分，所以我們再將經理辦子網和供銷子網對VLAN做一詳細介紹。
　　
　　經理辦VLAN
　　
　　---- 由于經理辦工作站所在局域網交換機劃分了多個VLAN，連接了多個VLAN工作站，所以該交換機與其上層交換機之間的連接必須采用Trunk方式(如圖2所示)。
　　　
　　---- 公司總部采用了Catalyst 3508和Catalyst 6506，二級單位1采用了Catalyst 3548和Catalyst 4006，二級單位2采用了Catalyst 3548和Catalyst 4006。
　　
　　供銷VLAN
　　
　　---- 雖然當一個交換機覆蓋了多個VLAN時，必須采用Trunk方式連接，但在供銷VLAN劃分中，其二級單位1中的供銷獨立于交換機Catalyst 3548，所以在這里，Catalyst 3548與二級中心交換機Catalyst 4006只需采用正常的交換式連接即可(如圖3所示)。對于此部分供銷VLAN的劃分，只要在Catalyst 4006上針對與Catalyst 3548連接的端口進行劃分即可。這是一種基于端口的VLAN劃分。
　　
　　---- 由于2個Catalyst 4006與主中心交換機Catalyst 6506間采用的是雙光纖通道式連接，屏蔽了Catalyst 4006與Catalyst 6506間線路故障的產生，所以對整體網絡的路由進行基于Catalyst 6506的集中式管理。下面我們對VLAN之間的路由做一個介紹。
　　
　　---- 在中心交換機Catalyst 6506上設置VLAN路由如下。
　　---- 經理辦VLAN：192.168.1.1/22
　　---- 財務VLAN： 192.168.3.1/22
　　---- 供銷VLAN： 192.168.6.1/22
　　---- 信息中心VLAN：192.168.7.1/24
　　---- 其余VLAN： 192.168.8.1/22
　　
　　---- 在中心交換機上設置路由協議RIP或OSPF，并指定網段192.168.0.0。在全局配置模式下執行如下命令。
　　
　　---- router rip network 192.168.0.0
　　
　　---- 由于IP地址處于192.168.0.0網段，所以對各VLAN的IP地址分配如下所示。
　　
　　---- 經理辦子網: 192.168.1.0，子網掩碼: 255.255.255.0，網關: 192.168.1.1。
　　
　　---- 財務子網: 192.168.2.0，子網掩碼: 255.255.255.0，網關: 192.168.2.1。
　　
　　---- 供銷子網: 192.168.3.0，子網掩碼為255.255.255.0，網關: 192.168.3.1。
　　
　　---- 信息中心子網: 192.168.4.0，子網掩碼: 255.255.255.0，網關: 192.168.4.1。
　　
　　---- 服務器子網: 192.168.100.0，子網掩碼: 255.255.255.0，網關: 192.168.100.1。
　　
　　---- 其余子網: 192.168.8.0，子網掩碼為255.255.255.0，網關: 192.168.8.1。
　　
　　---- 根據上述IP地址分配情況，不難看出各子網的網絡終端數均可達到254臺，完全滿足目前或將來的應用需要，同時還降低了管理工作量，增強了管理力度。
　　
　　注意事項
　　
　　---- 需要注意的是: 因為起重設備總公司統一網絡系統的VLAN劃分是作為一個整體結構來設計的，所以為了保持與VLAN列表的一致性，需要Catalyst 4006對整體網絡的其他部分進行廣播。所以在設置VTP（VLAN Trunk Protocol）時注意，要將VTP的域作為一個整體，其中VTP類型為Server和Client。
　　
　　---- 有些企業建網較早，若所選用的網絡設備為其他廠商的產品，而后期的產品又不能與前期統一，這樣在VLAN的劃分中就會遇到一些問題。例如，在Cisco產品與3COM產品的混合網絡結構中劃分VLAN，對于Cisco網絡設備Trunk的封裝協議必須采用802.1q，以達到能與3COM產品進行通信的目的。雖然兩者之間可以建立VLAN的正常劃分，并進行正常的應用，但兩者配合使用的協調性略差一些。當兩者的連接發生變化時，必須在Cisco交換機上使用命令Clear Counter進行清除，方可使兩者工作協調起來。