Vlan

VLAN定义

• VLAN（虚拟 LAN）是第2层网络的逻辑划分 。
• 可创建多个分区，允许多个VLAN共存。 
• 每个VLAN 都是一个广播域，且通常使用其自己的IP网络。
• VLAN 相互隔离，而且数据包只可以通过路由器在VLAN之间传递。
• 第 2 层网络的分区处于第2层设备内部，该设备通常是交换机。
• VLAN 中的主机组不知道VLAN 的存在。

 

VLAN设计原则

• 从 VLAN1移动所有端口，并将它们分配给不在使用中的 VLAN。
• 关闭所有未使用的交换机端口。
• 将管理数据流量与用户数据流量分开。
• 将管理VLAN更改为除VLAN1之外的VLAN，对本征VLAN执行相同操作。
• 确保只有管理VLAN中的设备可以连接到交换机。
• 交换机应该只接受SSH连接。
• 禁用TRUNK端口上的自动协商。 
• 请勿使用自动交换机端口模式或期望交换机端口模式。

VLAN优点

• 安全 
• 成本降低 
• 性能更好 
• 广播域缩小 
• 提高IT员工效率 
• 提高管理效率

 

VLAN类型

• 数据VLAN（用户VLAN，不包括语音或管理流量） 
• 默认VLAN（VLAN 1，不能重命名或删除） 
• 本征VLAN（分配给802.1Q TRUNK端口） 
• 语音VLAN
• 管理VLAN

 

VLAN范围

　　Catalyst 2960和3560系列交换机支持多个 VLAN，而此部分VLAN主要可划分为2类：

　　普通范围VLAN

• VLAN 编号从1到1005。
• 存储在vlan.dat（闪存中）中的配置。
• VTP只能识别和存储普通范围的VLAN。
• ID 1和ID 1002到1005是自动创建的，不能删除。

　　扩展范围VLAN

• VLAN编号从1006到4096。
• 存储在运行配置（NVRAM 中）中的配置。
• VTP无法识别扩展范围的VLAN。