在較大規模下屬單位的孤立網絡進行互連時，出于對不同職能部門的治理、安全和整體網絡的穩定運行，我們就要進行VLAN劃分。

在企業網絡剛剛興起之時，由于企業網絡規模小、應用范圍的局限性、對Internet接入的熟悉程度、網絡安全及治理的貧乏等原因，使得企業網僅僅限于交換模式的狀態。交換技術主要有兩種方式：基于以太網的幀交換和基于ATM的信元交換，LAN交換機的每一個端口均為自己獨立的碰撞域，但同時對于所有處于一個ip網段或IPX網段的網絡設備來說，卻同在一個廣播域中，當工作站的數量較多、信息流很大的時候，就輕易形成廣播風暴，甚者造成網絡的癱瘓。

在采用交換技術的網絡模式中，對于網絡結構的劃分采用的僅僅是物理網段的劃分的手段。這樣的網絡結構從效率和安全性的角度來考慮都是有所欠缺的，而且在很大程度上限制了網絡的靈活性，假如需要將一個廣播域分開，那么就需要另外購買交換機并且要人工重新布線。由此，需要進行虛擬網絡（VLAN）設置。

在一個規模較大的企業中，其下屬有多個二級單位，在各單位的孤立網絡進行互連時，出于對不同職能部門的治理、安全和整體網絡的穩定運行，我們進行了VLAN的劃分。

第一步 子網分析

該網絡系統由三部分組成：公司、二級單位1、二級單位2，初始為三部分各自獨立，未形成統一的網絡環境，故各網絡系統的運行采用的是以交換技術為主的方式。

三網主干均采用的是千兆以太網技術，起點的高定位為企業的信息應用帶來了高速、穩定、符合國際標準的網絡平臺。公司中心交換機采用的是Cisco的Catalyst 6506，帶有三層路由的引擎使得企業網具有將來升級的能力；同時各二級單位的中心交換機采用的亦是Cisco的Catalyst 4006；各二級、三級交換機則采用的是Cisco的Catalyst 3500系列，主要因為Catalyst 3500系列交換機的高性能和可堆疊能力。

現三部分應公司的要求聯網，網絡的互連仍采用千兆帶寬，但因三網均采用了千兆以太網技術，為了不在主干形成瓶頸，因此各子網的互連采用Trunk技術，即雙千兆技術，使網絡帶寬達到4G，如此既增加了帶寬，又提供了鏈路的冗余，提高了整體網絡的高速、穩定、安全運行性能。

但亦由于網絡規模的擴大化，信息流量的加大，人員的復雜化等原因，為企業網絡的安全性、穩定性、高效率運行帶來了新的隱患。由此引發了VLAN的劃分。

對于VLAN的劃分，應公司的需求，我們對各VLAN的IP地址分配為：

經理辦子網：192.168.1.0——192.168.2.0/22 網關：192.168.1.1；

財務子網： 192.168.3.0——192.168.5.0/22 網關：192.168.3.1；

供銷子網： 192.168.6.0——192.168.8.0/22 網關：192.168.6.1；

信息中心子網：192.168.7.0/24 網關：192.168.7.1；

服務器子網：192.168.100.0/24 網關：192.168.100.1

其余子網： 192.168.8.0——192.168.9.0/22 網關：192.168.8.1；

第二步 系統分析

對于Cisco的產品劃分，VLAN主要是基于兩種標準協議：ISL和802.1Q。在我們這里，因為所采用的均是Cisco的網絡設備，故在進行VLAN間的互連時采用ISL的協議封裝，該協議針對Cisco網絡設備的硬件平臺在信息流的處理、多媒體應用的優化進行了合理有效的優化。對于不同產品的VLAN互連，我們在后面會提到。

網絡拓撲圖

由于本案例中關于VLAN的劃分擴展了各個交換機，所以交換機之間的連接都必須采用Trunk的方式。經理辦和供銷子網代表了VLAN劃分中的兩種問題——擴展交換機VLAN的劃分和端口VLAN的劃分：

在經理辦虛網中，對于一個交換機擴展多個VLAN的時候，前面提到了該交換機與其上層交換機間必須采用Trunk方式連接，但在供銷的虛網劃分中，在二級單位1中的供銷獨立于一個LAN交換機Catalyst3548，所以在這里，Catalyst3548與二級中心交換機Catalyst4006只需采用正常的交換式連接即可，對于此部分供銷VLAN的劃分，只要在Catalyst4006上針對與Catalyst3548連接的端口進行劃分即可。也就是前面提到的基于端口的VLAN的劃分。

第三步 路由列表



做完了VLAN之間的連接后，因為兩個Catalyst4006與主中心交換機Catalyst6506間采用的是雙光纖通道式連接，屏蔽了Catalyst406與Catalyst6506間的線路故障的產生，所以要對整體網絡的路由進行基于Catalyst6506的集中式治理。我們在主中心交換機Catalyst6506上設置了VLAN路由：

經理辦虛網：192.168.1.1/22；

財務虛網： 192.168.3.1/22；

供銷虛網： 192.168.6.1/22；

信息中心虛網：192.168.7.1/24；

其余虛網： 192.168.8.1/22；

接下來，在中心交換機上設置路由協議RIP或OSPF，并指定網段192.168.0.0。在全局配置模式下執行如下命令：

router rip

network 192.168.0.0

注重事項




1. 在這里需要注重的是：因為整個公司的網絡系統的VLAN的劃分是作為一個整體結構來設計的，所以為了保持VLAN列表的一致性，例如當二級單位1的VLAN有所變化時，VLAN列表也會有所變化，這時就需要該Catalyst 4006對整體網絡的其他部分進行廣播，以達到VLAN的列表的一致性。所以在設置VTP（VLAN Trunk PRotocol）時要注重，要將VTP的域作為一個整體，即：VTP類型分別為Server和Client。

2. 有些企業建網較早，所選用的網絡設備為其他的廠商的產品，而后期的產品又不能與前期統一，這樣在VLAN的劃分中就會碰到些問題。

例如：在Cisco產品與3Com產品的混合網絡結構中劃分VLAN，對于Cisco網絡設備的Trunk的封裝協議則必須采用802.1Q，以達到與3Com的通訊。雖然兩者之間可以建立VLAN的正常劃分，和正常的應用，但由于交換機都具有自學習的能力，以致兩者之間的協調配合較差。當兩者之間的連接發生變化時，必須在Cisco交換機上使用命令（clear counter）進行清除，方可達到兩者的重新協調工作。

技術資料

VLAN的實現

VLAN是英文Virtual Local Area Network的縮寫，即虛擬局域網。VLAN答應處于不同地理位置的網絡用戶加入一個邏輯子網中，共享一個廣播域。通過對VLAN的創建可以控制廣播風暴的產生，從而提高交換式網絡的整體性能和安全性。

VLAN對于網絡用戶來說是完全透明的，用戶感覺不到使用中與交換式網絡有任何的差別，但對于網絡治理人員則有很大的不同，因為這主要取決于VLAN的幾點優勢：

對網絡中的廣播風暴的控制；

提高網絡的整體安全性，通過路由訪問列表、MAC地址分配等VLAN劃分原則，可以控制用戶的訪問權限和邏輯網段的大??；

網絡治理的簡單、直觀。

而對于VLAN的劃分則有以下四種策略：

1. 基于端口的VLAN

基于端口的VLAN的劃分是最簡單、最有效的VLAN劃分方法。該方法只需網絡治理員針對于網絡設備的交換端口進行重新分配組合在不同的邏輯網段中即可。而不用考慮該端口所連接的設備是什么。

2. 基于MAC地址的VLAN

MAC地址其實就是指網卡的標識符，每一塊網卡的MAC地址都是唯一的。基于MAC地址的VLAN劃分其實就是基于工作站、服務器的VLAN的組合。在網絡規模較小時，該方案亦不失為一個好的方法，但隨著網絡規模的擴大，網絡設備、用戶的增加，則會在很大程度上加大治理的難度。

3. 基于路由的VLAN

路由協議工作在七層協議的第三層：網絡層，即基于IP和IPX協議的轉發。這類設備包括路由器和路由交換機。該方式答應一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。

4. 基于策略的VLAN

基于策略的VLAN的劃分是一種比較有效而直接的方式。這主要取決于在VLAN的劃分中所采用的策略。

就目前來說，對于VLAN的劃分主要采用1、3兩種模式，對于方案2則為輔助性的方案。VLAN的劃分設計之后，再所涉及的就是VLAN劃分的最后一步：VLAN間的互連。

在以前對VLAN的劃分主要是通過路由器來實現的，但隨著網絡規模的擴大、信息量的增加，路由器無論是從端口數還是系統性能上來說都已經不堪負荷，因此逐漸形成了產生網絡瓶頸的主要原因。而在現在，因為有了基于交換機上的三層路由的能力，在上述兩點已經得到合理地解決。