【网友提问】我公司现有计算机100多台，分别是通过集线器或交换机互联，最后是通过cisco 1900交换机和vigor 2104路由器与internet互联，目的是为了每一台电脑都能上网。但现我们想把办公区域和共用区域的电脑分开，使其相互不能访问，但又需要同时都可以上网，是否可以用VLAN进行配置？在现有设备的基础上能否实现?如果不能，还需要增加那些设备？

    【IT168 网友解答】根据上面网络状况的描述，大家首先要搞清楚VLAN概念，VLAN在交换机分类含义。VLAN（Virtual Local Area Network）的中文名为“虚拟局域网”，注意不是“VPN”（虚拟专用网）。VLAN是一种将局域网设备从逻辑上划分（注意，不是从物理上划分）成一个个网段，从而实现虚拟工作组的数据交换技术。这种技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。

    一、VLAN在交换机上的实现方法，可以大致划分为六类:

    1）基于端口划分的VLAN

    这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。

    2）基于MAC地址划分VLAN

    这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。

    3）基于网络层协议划分VLAN

    VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。

    4）根据IP组播划分VLAN

    IP组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主要是效率不高。

    5）按策略划分VLAN

    基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 。

    6）按用户定义、非用户授权划分VLAN

    基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。

    二、支持VLAN的交换机产品（以Cisco厂家产品为例）

    大家知道，集线器是不支持VLAN，Cisco 1900交换机适用于网络末端的桌面计算机接入，是一款典型的低端产品。它提供12或24个10M 端口及2个100M 端口，其中100M 端口支持全双工通讯，可提供高达200Mbps的端口带宽。机器的背板带宽是320Mbps。带企业版软件的1900还支持VLAN和ISL Trunking，最多4个VLAN，但一般情况下，低端的产品对这项功能的要求不多。Catalyst 1900系列交换机是以太网络较好的工业标准。它为每个以太网口提供了低廉的价格，在工作组中为每个到桌面的连接提供了10M甚至更高的性能。

    某些型号的1900带100BaseFX光纤接口。如C1912C、C1924C带一个百兆Tx口和一个百兆Fx口，C1924F带两个100BaseFX接口。1900系列的主要型号如下：

    C1912：12口10BaseTx，2口100BaseTx，1个AUI口；
    C1912C：12口10BaseTx，1口100BaseTx，1个AUI口，1个100BaseFx口；
    C1924：24口10BaseTx，2口100BaseTx，1个AUI口；
    C1924C：24口10BaseTx，1口100BaseTx，1个AUI口，1个100BaseFx口；
    C1924F：24口10BaseTx，1个AUI口，1个100BaseFx口。 
#$[*122886.jpg*#点击看大图*#0*#0*#center*]$#
    如果在我们使用的网络中，有些桌面计算机是100M的，那么2900系列可能更加适合。与1900相比，2900最大的特点是速度增加，它的背板速度最高达3.2G，最多24个10/100M自适应端口，所有端口均支持全双工通讯，使桌面接入的速度大大提高。除了端口的速率之外，2900的其他许多性能也比1900系列有了显著的提高。比如，2900的MAC地址表容量是16K，可以划分1024个VLAN，支持ISL Trunking协议等等。2900系列的产品线很长。其中，有些是普通10/100BaseTx交换机，如C2912、C2924等；有些是带光纤接口的，如C2924C带两个100BaseFx口；有些是模块化的，如C2924M 带两个扩展槽。扩展槽的插卡可以放置100BaseTx模块、100baseFx模块，甚至可以插ATM模块和千兆以太接口卡(GBIC)。详细情况如下：

    C2912-XL：12口10/100BaseTx自适应；
    C2912MF-XL：2个扩展槽，12口100BaseFX；
    C2924-XL：24口10/100BaseTX自适应；
    C2924C-XL：22口10/100BaseTX自适应，2口100BaseFX；
    C2924M-XL：2个扩展槽，24口10/100BaseTx自适应。

    在2900系列中，有两款产品比较独特，一是C2948G，二是C2948G-L3。2948G的性能价格比还不错，它使用的软件和Catalyst 5000/5500一样，有48个10/100Mbps自适应以太网端口和2个千兆以太网端口，24G背板带宽，带可热插拔的冗余电源，有一系列容错特征和网管特性。C2948G-L3在C2948G的基础上增加了三层交换的能力，最大三层数据包吞吐量可达10Mpps。不过，总的来说，2900系列交换机一般用在网络的低端，千兆和路由的能力并不是很重要，所以两款2948在实际项目中使用得不多。
#$[*122888.jpg*#点击看大图*#0*#0*#center*]$#

    三、网络拓朴图

    公司现有计算机100多台，分别是通过集线器或交换机互联，最后是通过cisco 1900交换机和vigor 2104路由器与internet互联，通过在cisco 1900交换机上配置VLAN，将办公区域和共用区域的电脑分开，使其相互不能访问，但又需要同时都可以上网，网络拓扑图如下所示：
#$[*122890.jpg*#点击看大图*#0*#0*#center*]$#

    四、交换机VLAN配置

    我们在cisco 1900交换机上配置好vlan后，vigor 2104路由器上也要做相应的配置。下面我们来简单介绍一下在cisco 1900交换机配置vlan操作步骤；有关vigor 2104路由器配置，大家可以参考IT168 网友解答--<宽带路由器实现VLAN路由攻略>一文以及vigor 2104路由器操作命令文档，在此就不多说了。下面让我们在cisco 1900交换机上设置VLAN，VLAN的设置分以下2步：

    1）设置VLAN名称
    2）应用到端口

    我们先设置VLAN的名称。使用 vlan vlan号 name vlan名称。 在特权配置模式下进行配置：

1900Switch (config)#vlan 2 name officeing
1900Switch (config)#vlan 3 name publicing

    我们新配置了2个VLAN，为什么VLAN号从2开始呢？这是因为默认情况下，所有的端口否放在VLAN 1上，所以要从2开始配置。1900系列的交换机最多可以配置1024个VLAN，但是，只能有64个同时工作，当然了，这是理论上的，我们应该根据自己网络的实际需要来规划VLAN的号码。配置好了VLAN名称后我们要进入每一个端口来设置VLAN。在交换机中，要进入某个端口比如说第4个端口，要用 interface Ethernet 0/4，假定我们让端口2、3、4和5属于VLAN2 ，端口17至22属于VLAN3。命令是 vlan-membership static/ dynamic VLAN号 。 静态的或者动态的两者必须选择一个，后面是刚才配置的VLAN号。好的，我们看结果：

1900Switch(config)#interface ethernet 0/2
1900Switch(config-if)#vlan-membership static 2
1900Switch(config-if)#int e0/3
1900Switch(config-if)#vlan-membership static 2
1900Switch(config-if)#int e0/4
1900Switch(config-if)#vlan-membership static 2
1900Switch(config-if)#int e0/5
1900Switch(config-if)#vlan-membership static 2
1900Switch(config-if)#int e0/17
1900Switch(config-if)#vlan-membership static 3
。。。。。。
。。。。。。
1900Switch(config-if)#int e0/22
1900Switch(config-if)#vlan-membership static 3
1900Switch(config-if)#

    好的，我们已经把VLAN都定义到了交换机的端口上了。这儿，我们只是配置的静态的。到现在为止，我们已经把交换机的VLAN配置好了。为了验证我们的配置，我们在特权模式使用 show vlan命令。输出如下：

1900Switch(config)#show vlan
VLAN Name Status Ports
--------------------------------------
1 default Enabled 1,6-16,22-24,AUI,A,B
2 officeing Enabled 2-5
3 publicing Enabled 17-22
1002 fddi-default Suspended
1003 token-ring-defau Suspended
1004 fddinet-default Suspended
1005 trnet-default Suspended

    这是一个24口的交换机，可以看出来，officeing(办公区域)、publicing（共用区域）我们的设置已经正常工作了。我们也可以使用 show vlan vlan号 的命令来查看某个VLAN，比如show vlan 2 , show vlan 3， 还可以使用show vlan-membership ，改命令主要是显示交换机上的每一个端口静态或动态的属于哪个VLAN。以上是给交换机配置静态VLAN的过程。

    五、总结

    在局域网上VLAN可以在路由器上实现，也可以在支持VLAN的交换机上实现，不同的VLAN之间的通讯要通过路由器来实现，所以在VLAN环境中的路由器可以看成为VLAN或者广播域的网关。在局域网中用交换机来实现VLAN有两种方式：静态和动态。（本文中主要介绍了VLAN静态实现方式）

    静态实现是网络管理员将交换机端口分配给某一个VLAN，这是一种最经常使用的配置方式，容易实现和监视，而且比较安全。

    动态实现方式中，管理员必须先建立一个较复杂的数据库，例如输入要连接的网络设备的MAC地址及相应的VLAN号，这样当网络设备接到交换机端口时交换机自动把这个网络设备所连接的端口分配给相应的VLAN。动态VLAN的配置可以基于网络设备的MAC地址、IP地址、应用或者所使用的协议。实现动态VLAN时候一般情况下使用管理软件来进行管理。在CISCO交换机上可以使用VLAN管理策略服务器（VMPS）实现基于MAC地址的动态VLAN 配置。VMPS是MAC地址与VLAN的映射表。这种配置的优点是网络管理员维护管理相应的数据库，而不用关心用户使用哪一个端口，但是每次新用户加入时需要做较复杂的手工配置。基于IP地址的动态配置中，交换机通过查阅网络层的地址自动将用户分配到不同的虚拟局域网。

    一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。随着VLAN技术的日益完善，VLAN技术越来越多的应用在交换以太网中，成为网络灵活分段和提高网络安全的方法。