隨著網(wǎng)絡(luò)越來越深入人心，一些企業(yè)對(duì)網(wǎng)絡(luò)的需求程度大幅增長，企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)模越來越大。隨之而來的安全問題、網(wǎng)絡(luò)性能問題都讓網(wǎng)絡(luò)管理員頭疼。VLAN技術(shù)的出現(xiàn)，解決了這一系列的問題。

一、早期，人們使用HUB來讓很多客戶機(jī)聯(lián)成網(wǎng)絡(luò)，而HUB給客戶機(jī)提供的是一條公共的共享總線，隨著接入用戶的數(shù)量增多，每個(gè)用戶所分得的帶寬就按比例減小。例如：10M以太網(wǎng)，使用HUB來連接10個(gè)用戶，那么每個(gè)用戶所分得帶寬為10M/10---1M。很顯然，HUB的共享方式早已經(jīng)不能滿足網(wǎng)絡(luò)規(guī)模激增的需求了。人們開始使用交換機(jī)來代替HUB，交換機(jī)可以為接入的每個(gè)用戶提供一條專用數(shù)據(jù)通道，而不再是類似于HUB那樣共享整個(gè)帶寬。雖然解決了帶寬的分配問題，但是隨著越來越多的用戶接入交換網(wǎng)絡(luò)，人們發(fā)現(xiàn)了一個(gè)新的問題，網(wǎng)絡(luò)中的任意廣播都會(huì)被所有用戶機(jī)接收，網(wǎng)絡(luò)的規(guī)模越大，廣播的范圍就越大，整個(gè)網(wǎng)絡(luò)的性能因?yàn)閺V播而變得讓客戶難以忍受。這時(shí)，網(wǎng)絡(luò)管理員使用了路由器（可以隔離廣播域）來將這個(gè)臃腫不堪的大網(wǎng)絡(luò)分成了若干個(gè)小的網(wǎng)絡(luò)段，問題似乎已經(jīng)解決了，但是路由器因?yàn)榻涌跀?shù)量稀少而價(jià)格昂貴，使這個(gè)網(wǎng)絡(luò)分段的任務(wù)花費(fèi)了高額的成本。

交換機(jī)接口數(shù)量很多，且轉(zhuǎn)發(fā)數(shù)據(jù)速度快，但是卻不能阻止廣播流量的蔓延；

路由器可以阻隔廣播域，但是接口數(shù)量太少，對(duì)于大網(wǎng)絡(luò)的分段，成本過高，而且因?yàn)樘幚硭俣葞淼难訒r(shí)，會(huì)在一定程度上減弱網(wǎng)絡(luò)性能。

如果有種技術(shù)或者有種設(shè)備可以解決這個(gè)矛盾的問題就可以讓我們網(wǎng)絡(luò)的性能得到很大的提高。

二、一家公司，有財(cái)務(wù)部、技術(shù)部和銷售部，早期，三個(gè)部門的辦公用計(jì)算機(jī)都通過樓層交換機(jī)聯(lián)入公司的網(wǎng)絡(luò)中?？梢栽O(shè)想這樣一種情況，在這樣的一個(gè)互連互通、毫無安全性的交換網(wǎng)絡(luò)環(huán)境中，三個(gè)部門的辦公PC可以相互之間隨意訪問。結(jié)果每月的財(cái)務(wù)報(bào)表被全公司的人傳閱、銷售部的客戶名單流入到了心懷叵測(cè)的員工手中、技術(shù)部關(guān)于公司產(chǎn)品的核心技術(shù)資料被所有員工看到……這是一件非?？膳碌氖虑?。如何解決這個(gè)問題呢？

1、這三個(gè)部門的計(jì)算機(jī)獨(dú)立組網(wǎng)，不與公司網(wǎng)絡(luò)相連？

2、使用路由器隔開三個(gè)部門的網(wǎng)段，然后使用訪問列表來控制訪問？

VLAN技術(shù)可以解決上述的安全性和網(wǎng)絡(luò)性能的問題。VLAN技術(shù)可以使二層設(shè)備具有

三層設(shè)備隔離廣播的功能，而且可以阻隔不同VLAN成員之間的互訪。

以CISCO catalyst交換機(jī)為例。當(dāng)交換機(jī)定義好一個(gè)VLAN，然后為其添加了接口，那么那些指定接口就成為該VLAN的成員，如下圖：在一臺(tái)CISCO catalyst 1900交換機(jī)上，被劃分了兩個(gè)VLAN（左邊是會(huì)計(jì)VLAN，右邊是管理VLAN）

交換機(jī)的端口1到端口1 3分配給會(huì)計(jì)V L A N，端口1 3至端口2 4分配給管理V L A N。由于交換機(jī)不允許廣播在V L A N之間傳送，所以交換機(jī)相當(dāng)于對(duì)圖中的網(wǎng)絡(luò)進(jìn)行了邏輯分段。

如果工作站A向網(wǎng)絡(luò)中發(fā)送了一個(gè)廣播，那么在會(huì)計(jì)V L A N上的所有工作站都接收到這個(gè)廣播。但交換機(jī)不會(huì)將廣播發(fā)送至管理V L A N上的任何一個(gè)端口。事實(shí)上，二層交換機(jī)不會(huì)從一個(gè)V L A N向另外一個(gè)的V L A N發(fā)送幀，如果確實(shí)有這個(gè)必要，則可以考慮使用路由器或者多層交換機(jī)來使不同VLAN間可以互相通信。

不同的VLAN，我們可以把它們看成兩個(gè)無論是邏輯上還是物理上都是相互獨(dú)立的兩個(gè)網(wǎng)段，對(duì)于這樣兩個(gè)網(wǎng)段之間，如果需要有流量通過，那么最好的解決辦法就是通過第三層尋址方式來使他們互通。

在劃分VLAN時(shí)注意的問題：

1、不同廠商設(shè)備劃分的VLAN可能不兼容；

2、在定義好VLAN后，記得把相應(yīng)的接口成員添加到VLAN中，否則VLAN無效

在做同一VLAN跨越多個(gè)交換機(jī)的時(shí)候注意的問題：

1、trunk要打開

2、VLAN號(hào)必須對(duì)應(yīng)

3、做trunk的接口必須是百兆全雙工。

在做不同VLAN間使用單臂路由通信的時(shí)候注意的問題：

1、路由器的trunk口必須百兆全雙工；

2、路由器的trunk口不配IP，并且要no shutdown

3、路由器對(duì)應(yīng)于各VLAN的子接口，VLAN號(hào)要對(duì)應(yīng)

下面看兩道CCNA例題

Refer to the exhibit. How many broadcast domains exist in the exhibited topology?

A: one

B: two

C: three

D: four

Correct Answers: C

這道CCNA例題考查CISCO考生對(duì)廣播域劃分及VLAN基本功能的理解。在下圖中，存在多少個(gè)廣播域。粗心的考生很容易選擇A，因?yàn)榻粨Q機(jī)默認(rèn)是不能隔離廣播的，所有的交換機(jī)所連接的客戶機(jī)都處于同一個(gè)廣播域中；該題中，網(wǎng)絡(luò)管理員在兩臺(tái)交換機(jī)上都劃分了相同的VLAN---三個(gè)VLAN跨越兩臺(tái)交換機(jī)。每一個(gè)VLAN就是一個(gè)廣播域，所以該題答案是C。

Refer to the exhibit. The network administrator has created a new VLAN on Switch1 and added host C and host D. The administrator has properly configured switch interfaces FastEthernet0/13 through FastEthernet0/24 to be members of the new VLAN. However, after the network administrator completed the configuration, host A could communicate with host B, but host A could not communicate with host C or host D. Which commands are required to resolve this problem?

A: Router(config)# interface fastethernet 0/1.3

Router(config-if)# encapsulation dot1q 3

Router(config-if)# ip address 192.168.3.1 255.255.255.0

B: Router(config)# router rip

Router(config-router)# network 192.168.1.0

Router(config-router)# network 192.168.2.0

Router(config-router)# network 192.168.3.0

C: Switch1# vlan database

Switch1(vlan)# vtp v2-mode

Switch1(vlan)# vtp domain cisco

Switch1(vlan)# vtp server

D: Switch1(config)# interface fastethernet 0/1

Switch1(config-if)# switchport mode trunk

Switch1(config-if)# switchport trunk encapsulation isl

Correct Answers: A

如圖，網(wǎng)絡(luò)管理員在S1上新增了一個(gè)VLAN3，并把S1的F0/13和F0/14作為VLAN3的成員添加進(jìn)去。但是當(dāng)一切配置完成后，管理員發(fā)現(xiàn)VLAN2的成員可以互訪，但是VLAN2和VLAN3的成員卻不能互相訪問。為了解決這個(gè)問題，必須添加哪些命令到路由器上來？

分析一下：同一VLAN內(nèi)部成員互訪是不需要任何額外配置的，而不同VLAN間的訪問則需要路由來支持。圖中已經(jīng)看到路由器Router1上的路由表顯示，該路由器連接兩個(gè)網(wǎng)段：192.168.1.0和網(wǎng)段192.168.2.0，但是缺少子網(wǎng)192.168.3.0的路由。問題就出在這里了。只要在路由器上添加一個(gè)新的子接口，將其配置到192.168.3.0的網(wǎng)段中就可以解決這個(gè)不同VLAN間互訪的問題了。答案是A。

好了，關(guān)于VLAN的CCNA例題就解析到這里。

【編輯推薦】

1. 共享思科認(rèn)證CCNP學(xué)習(xí)方法
2. 學(xué)習(xí)CCNA和CCNP與提高英語水平
3. 比較MCSE與CCNA
4. 與大家一起分享CCNA認(rèn)證考試題庫
5. 如何注冊(cè)CCNA認(rèn)證考試