编者按：某保险公司分部的网络客户端从19台发展到210台，网络改造的呼声越来越高，在老网络上，该如何优化网络，解决网络拥堵问题呢？
　　
　　VLAN技术的实质就是指网络中的各个客户端可以不必拘泥于各自所处的物理位置，而根据需要灵活地加入不同的逻辑子网中的一种网络技术。这其中重点的含义是将局域网内的设备逻辑地而不是物理地划分成网段，从而实现虚拟工作组的一种技术，它可以帮助你对处于相同LAN网段（部门）的工作站进行分组管理，如图1所示。

图1 VLAN技术的应用

【网络需求】某保险公司网络需求

   某保险公司某分理部的网络建立与2000年，网络连接设备都是HUB或者不可管理的交换机（傻交换机）。公司分理部自2000年成立到2007年，网络客户端的数量从当初的19台发展到210台左右。很多老员工都纳闷，客户端计算机的配置越来越高，反而各个客户端之间通过网络传输文件的速度却越来越慢，网络改造的呼声越来越高。

   2006年1月公司规定了新的理赔、定损、业务拓展等管理制度，所有业务报表直接上报到上一级管理中心。与此同时，总公司要求分公司根据现有网络情况上报网络改造（优化）申请，为部署部门之间的控制访问做好技术铺垫，为部署VoIP、无线网络等做好技术准备。但一直到2007年9月，总公司的资金依然没有到位。9月底，分理部的领导也从侧面了解到公司地址可能搬到5公里外的新办公地，但网络拥堵问题已经到了不可不办的地步。分理部只好自筹资金购买了一台可管理的交换机，实现最简单的网络改造。

【需求分析】网络优化势在必行

   在早期局域网建设中，很多公司都使用了HUB组网，这种组网方式部署灵活，成本低廉，但这种网络结构早已不能满足如今网络快速、安全、可管理的基本要求了。这家分理部的网络是一个星型结构的网络，不同节点相连的工作站无法进行集中管理，一些出问题的工作站很容易影响整个网络的正常运行，并且用户的加入和退出也很自由。这种传统的局域网连接方案，其广播域和冲突域都是全网范围的，加之用户从19个点扩展到200多个，上网集中，信息流量大，严重影响了上网速率和质量。因此，用交换机替代HUB网络势在必行。

* 级联带宽和站点数限制

   首先是上连设备的带宽和站点数限制。例如：理赔科的十几个客户端分享了一个十兆的上行链路接口，根本无法满足需求。由于连在集线器上的所有工作站均争用同一个上行总线，处于同一冲突域内，所以站点数目太多，会形成广播风暴。依据经验，HUB组网中冲突域内的站点不宜超过25个，如果有超出的趋势或已经超出，这种情况下应使用交换机来代替集线器。

* 管理失控

   由于HUB最初是较低端的产品，且不可管理。随着技术的发展，部分集线器可通过增加网管模块实现对集线器提供对SNMP的支持。需要指出的是，尽管对SNMP提供了支持，但不同厂商的模块是不能混用的，甚至同一厂商的不同产品的模块也不同。从本质上讲，以集线器为核心的以太网同总线型以太网无根本区别。用可管理的交换机划分VLAN分割网络，替代HUB势在必行。

　　根据上述分析，我们发现部署VLAN技术首先就是要解决分理部的分割广播域的问题。分割广播域指的是划分广播帧（目标MAC地址为FF.FF.FF.FF.FF.F）所能传递到的范围，亦即能够直接通信的范围。在传统网络中分割广播域时，一般都必须使用到路由器。使用路由器后，可以以路由器上的网络接口（LAN Interface）为单位分割广播域。但是，通常情况下路由器上不会有太多的网络接口，其数目多在1～4个左右。与路由器相比，二层交换机一般带有多个网络接口。因此如果能使用它分割广播域，那么无疑运用上的灵活性会大大提高。

【技术准备】VLAN划分方法的选择

   划分VLAN是非常灵活的一件事，可以根据交换机端口划分、基于MAC地址划分、基于策略划分、基于网络协议划分、按用户授权基本划分等。归纳起来，可以将VLAN划分概括成两种类型。

动态VLAN

　　动态的VLAN形成是由端口自己决定它属于哪个VLAN时，实现客户端动态的VLAN归属问题。它是一个简单的映射，这个映射取决于工程师创建的客户端MAC地址数据库。但是由于创建动态VLAN的步骤相对复杂，分理部的网络工程师放弃了这种方式，不免有些遗憾。在后续的案例中我们将有动态VLAN具体实施的案例。

静态VLAN
　　形成静态VLAN过程是将端口强制性地分配给VLAN的过程。网络管理员一般按照不同的网络应用和访问权限来确定哪些端口属于哪些特定的VLAN，然后将VLAN静态映射到端口。输入一些合适的命令，这些命令有可能来自称为SNMP管理工作站的交换机的CLI（命令行接口），也有可能来自将VLAN的软件管理工具CWSI（Cisco Work Switched Internetworks）。

　　这种方法非常耗时，因为网络管理员只能对将端口映射到合适的VLAN所必须的命令进行手工输入。不过，这是将端口映射到VLAN的一种最通用的方法，同时总公司的网络改造费用要年底才能拨到各分理部，考虑到分理部自行投入资金的预算，公司决定先采购一台思科的交换机，其它设备不变，利用用这台交换机针对业务部门先行进行网络改造。网管员决定采用基于端口的静态VLAN的实施方案，如图2所示。

图2 基于端口的VLAN

　　分保险公司理部按照不同的业务部门可以分为：财务科、人事科、定损科、业务拓展科、理赔科和办公营业大厅6个部门。由于部门之间相互访问的网络流量是最大的，因此按照前期VLAN划分的初步设想，将同一部门的计算机都尽量接入同一个不可管理的交换及，然后将这些交换机级联到新购置的交换机上，可以将网络划分为：

① Vlan 10 name cwk（财务科）
② Vlan 20 name rsk（人事科）
③ Vlan 30 name dsk （定损科）
④ Vlan 40 name ywtzk （业务拓展科）
⑤ Vlan 50 name lpk （理赔科）
⑥ Vlan 60 name bgdt （公营业大厅）

【实施步骤】静态VLAN配置的方法

建立VLAN
　　以太网VLAN ID的取值范围为1~1001。其中，VLAN 1为系统默认VLAN，不能被创建，也不能被删除。在基于IOS的交换机上配置VLAN，可以在两种管理模式下操作：在特权配置模式下和VLAN Database模式下创建，其中第2种模式在新型交换机上会有警告提示，并说明此模式已不被厂商推荐使用。

* 第1种配置方法：在特权配置模式下配置VLAN

l        

* 第2种配置方法：在VLAN Database模式下创建VLAN

　　可以使用接口配置模式来定义端口模式（接入（access）还是干道（trunk）），并向VLAN中添加或从中删除端口。将端口指定到特定的VLAN后，就是在处理接入链路而非trunk链路。可以使用switchport mode access定义端口成为VLAN成员模式，使用此命令的no形式，可以将一个端口从VLAN中去除。

　　接下来，你需要通过接口命令switchport access vlan vlan-id将端口指定到特定的VLAN中。使用此命令的no形式，也可以将一个端口从VLAN中去除。

　　在接入模式下，接口仅属于一个VLAN。

　　默认情况下交换机上的所有端口都属于VLAN1中。你不能对VLAN1进行更改、删除或重命名，因为它是默认的VLAN。默认时VLAN1是所有交换机的本地VLAN，一般厂商都推荐你使用VLAN1作为负责管理的VLAN。

　　本地VLAN的功能是指：“没有特别地分配到不同的数据包都将被发送到本地VLAN中。”这就是交换机在没有划分VLAN时，客户端能够通信的原理。

　　若欲将某个端口从VLAN中删除，可以将该接口恢复为默认值，即可清除该接口的所有配置，使之不再属于任何VLAN。

删除VLAN

 

　　管理员在配置VLAN过程中，很有可能输入错误的VLAN名称，如果要删除这些VLAN可用vlan database 进入VLAN配置状态，用no vlan vlan-id 来删除，也可以在特权配置模式下进行操作。

    保险公司某分理部只有一台交换机支持VLAN，所以配置步骤相对简单。但这种由一台可管理的二层或三层交换机兼任汇聚层和核心层，而其他负责接入客户端的网络设备不支持VLAN划分的网络在一些信息化资金不足的企事业单位还是比较常见的。

　　另外，我们之前对VLAN的添加、变更和删除都会写入交换机ISO系统中的vlan.dat文件。你在特权模式下利用show vlan的输出结果就是显示该文件的内容。vlan.dat文件存储在非易失的RAM中。你可以删除这个文件，但要清楚后果：删除vlan.dat文件很可能破坏不同交换机VLAN数据库中的一致性。如果你想改变VLAN的配置，最好的做法是使用VLAN配置模式下的命令。