网络设备的安装与管理
就可解决对交换机端口的额 外占用，这条用于实现各VLAN 在交换机间通讯的链路，称为交 换机的汇聚链路或主干链路 （Trunk Link），如下图所示。
网络设备的安装与管理
用于提供汇聚链路的端口， 称为汇聚端口。由于汇聚链路承 载了所有VLAN的通讯流量，因 此要求只有通讯速度在 100Mbps或以上的端口，才能 作为汇聚端口使用。
网络设备的安装与管理
3.3 VLAN的汇聚链接与封装协议 在实际应用中，通常需要跨越多台交 换机的多个端口划分VLAN，比如，同一 个部门的员工，可能会分布在不同的建筑 物或不同的楼层中，此时的VLAN，就将 跨越多台交换机 。
跨越多台交换机的VLAN
网络设备的安装与管理
VLAN内的主机彼此间应可以 自由通讯，当VLAN成员分布在多 台交换机的端口上时，如何才能实 现彼此间的通讯呢？
网络设备的安装与管理
3.1 虚拟局域网简介
处理广播信息所产生的负荷。
目前，蠕虫病毒相当泛滥，如果不对局 域网进行有效的广播域隔离，一旦病毒发 起泛洪广播攻击，将会很快占用完网络的 带宽，导致网络的阻塞和瘫痪。
网络设备的安装与管理
路由器具有路由转发、防火墙和 隔离广播的作用，路由器不会转发广 播帧，因此，要实现对网络的分段和 广播域的隔离，应使用路由器来实现。
网络设备的安装与管理
行直接通信的，从而就实现了对广播域的 分割和隔离。
若要实现VLAN间的通讯，就必须为 VLAN设置路由，这可使用路由器或三层 交换机来实现。二层交换机可以划分 VLAN，若没有路由器，则无法实现VLAN 间的通讯，由于三层交换机具备路由功能， 在实际应用中，通常在三层交换机中来划 分VLAN，以支持VLAN间的相互通讯。
网络设备的安装与管理
3.2 静态VLAN与动态VLAN VLAN创建后，接下来就可指定端口 所属的VLAN，默认情况下，交换机的所 有端口均属于VLAN1，VLAN1是交换 机默认创建和管理的VLAN。 1．静态VLAN 静态VLAN就是明确指定各端口所 属VLAN的设定方法，通常也称为基于 端口的VLAN，其特点是将交换机按端 口进行
网络设备的安装与管理
增加网络的安全性。由于默认情况下， VLAN间是相互隔离的，不能直接通讯， 对于保密性要求较高的部门，比如财务 处，可将其划分在一个VLAN中，这样， 其 他 VLAN 中 的 用 户 ， 将 不 能 访 问 该 VLAN中的主机，从而起到了隔离作用， 并 提 高 了 VLAN 中 用 户 的 安 全 性 。 VLAN间的通讯，可通过应用VLAN的 访问控制列表，来实现VLAN间的安全 通讯。
网络设备的安装与管理
3.5 VLAN的配置方法
网络设备的安装与管理
IEEE802.1Q协议对数据帧的打标封装
网络设备的安装与管理
ISL是Inter Switch Link的缩写， 是Cisco系列交换机支持的一种与 IEEE802.1Q类似的，用于在汇聚链 路上附加VLAN信息的协议，可用于 以太网和令牌环网。
网络设备的安装与管理
ISL对数据帧进行打标封装时，采取 在数据帧的头部附加26字节的ISL包头 （ISL Header），并且在数据帧的尾 部带上对包括ISL包头在内的整个数据 帧进行计算后得到的4字节的CRC值， 即ISL协议保留数据帧原来的CRC，然 后再附加上一个新的CRC，即封装时总 共增加了30个字节的信息。当数据帧 离开汇
网络设备的安装与管理
这种方法虽然解决了VLAN内主机间 的跨交换机通讯，但每增加一个VLAN， 就需要在交换机间添加一条互联链路， 并且还要额外占用交换机端口，这对保 贵的交换机端口而言，是一种严重的浪 费，而且扩展性和管理效率都很差。
网络设备的安装与管理
为了避免这种低效率的连接方式 和对交换机端口的大量占用，人们 想办法让交换机间的互联链路汇集 到一条链路上，让该链路允许各个 VLAN的通讯流经过，这样就可
网络设备的安装与管理
3.2 静态VLAN与动态VLAN 分组，每一组定义为一个VLAN，属于 同一个VLAN的端口，可来自一台交换机， 也可来自多台交换机，即可以跨越多台交 换机设置VLAN。基于端口的VLAN划分 如下图所示。
网络设备的安装与管理
静态指定各端口所属的VLAN，需 要一个端口一个端口地进行设置，当 要设定的端口数目较多时，工作量会 比较大，通常适合于网络拓扑结构不 是经常变化的情况。静态VLAN是目 前最常用的一种VLAN端口划分方式。
3.4 VLAN间主机的通讯
同一个VLAN属于同一个广播域，主 机彼此间可相互自由通讯。不同VLAN 的主机若要相互通讯，则必须为VLAN 指定路由，这可通过三层交换机的路由 交换模块或借助外部的路由器来实现。
网络设备的安装与管理
3.4 VLAN间主机的通讯
对于没有路由功能的二层交换机， 若要实现VLAN间的相互通信，就要 借助外部的路由器来为VLAN指定默 认路由，此时路由器的快速以太网接 口与交换机的快速以太网端口，应以 汇聚链路的方式相连，并在路由器的 快速以太网接口上，为每一个VLAN 创建一个对应的虚拟子接口，并设置 虚
网络设备的安装与管理
利用汇聚链路实现各VLAN内主机跨交换机的通讯
在引入VLAN后，交换机的端口按 用途就分为了访问连接端口（Access Link）和汇聚连接（Trunk Link）端
网络设备的安装与管理
口两种。访问连接端口通常用于连接 客户PC机，以提供网络接入服务。该 种端口只属于某一个VLAN，并且仅 向该VLAN发送或接收数据帧。端口 所属的VLAN通常也称作native vlan。 汇聚连接端口属于所有VLAN共有， 承载所有VLAN在交换机间的通讯流 量。
网络设备的安装与管理
三层交换机是带有路由功能的 交换机，其路由模块与交换模块共 同使用ASIC硬件芯片，可实现高 速度的路由，并且在对第一个数据 帧进行路由后，将会产生一个 MAC地址与IP地址的映射表，当 同样的数据帧再次通过时，交换机 会直接从
网络设备的安装与管理
二层转发，而不用再路由，从而消除了 路由器进行路由选择而造成网络的延迟， 提高了数据包转发的效率。另一方面， 交换机的路由模块与交换模块是在交换 机内部直接汇聚连接的，可以提供相当 高的带宽，因此，使用三层交换机来配 置VLAN和提供VLAN间的通讯，比使用 二层交换机和路由器更好，配置和使用 也更方便。
网络设备的安装与管理
解决的办法就是在交换机上各拿 出一个端口，用于将两台交换机级联 起来，专门用于提供该VLAN内的主 机跨交换机相互通讯。有多少个 VLAN，就对应地需要占用多少个端 口，用来提供VLAN内主机的跨交换 机相互通讯，如下图所示。
网络设备的安装与管理
VLAN内的主机在交换 机间的通讯
网络设备的安装与管理
网络接入服务。该种端口只属于某 一个VLAN，并且仅向该VLAN发送 或接收数据帧。端口所属的VLAN通 常也称作native vlan。汇聚连接端 口属于所有VLAN共有，承载所有 VLAN在交换机间的通讯流量。
网络设备的安装与管理
由于汇聚链路承载了所有VLAN的通 讯流量，为了标识各数据帧属于哪一个 VLAN，为此，需要对流经汇聚链接的 数据帧进行打标（tag）封装，以附加 上VLAN信息，这样交换机就可通过 VLAN标识，将数据帧转发到对应的 VLAN中。
网络设备的安装与管理
聚链路时，ISL只需简单地去除ISL包头和 新CRC就可以了，由于数据帧原来的CRC 被完整保留，因此无需重新计算。大多数 Cisco设备都支持ISL。
ISL与IEEE802.1Q协议互不兼容，ISL 是Cisco独有的协议，只能用于Cisco网 络设备之间的互联。
网络设备的安装与管理
网络设备的安装与管理
VLAN间的主机通讯，遵循以下通讯过程： 源主机→交换机→路由器→交换机→目
的主机
交换机使用ASIC（Application Specified Integrated Circuit）专用硬 件芯片来处理数据帧的交换，从而可以 实现以线缆速度（Wired Speed）来交 换数据。
网络设备的安装与管理
3.4 VLAN间主机的通讯
拟子接口的IP地址，该IP地址以后 就成为该VLAN的默认网关（路由）。 由于这些虚拟子接口是直接连接在路 由器上的，设置IP地址后，路由器会 自动在路由表中，为各VLAN添加路 由，从而实现VLAN间的路由转发， 如下图所示。
网络设备的安装与管理 二层交换机借助外部路由器实现VLAN间通讯
网络设备的安装与管理
从中可见，通过在局域网中划分 VLAN，可起到以下方面的作用：
控制网络的广播，增加广播域的数 量，减小广播域的大小。
便于对网络进行管理和控制。 VLAN 是 对 端 口 的 逻 辑 分 组 ， 不 受 任 何物理连接的限制，同一VLAN中的 用户，可以连接在不同的交换机，并 且可以位于不同的物理位置，增加了 网络连接、组网和管理的灵活性。
网络设备的安装与管理
2．动态VLAN 动态VLAN是根据每个端口所
连的计算机，动态设置端口所属 VLAN的设定方法。动态VLAN通 常可分为基于MAC地址的VLAN、 基于子网的VLAN和基于用户的 VLAN。
网络设备的安装与管理
基于MAC地址的VLAN，就是 根据端口所连计算机的网卡MAC 地址，来决定该端口所属的VLAN。 在这种方式下，端口所属的VLAN， 不是事先固定的，而是由所连计算 机的MAC地址来决定的。
网络设备的安装与管理
比如，若MAC地址为“00-0C6E-E1-1B-36”的计算机被设置为属 于VLAN2，则该台计算机无论接到交 换机的哪个端口，其所连端口就会被 自动划归为VLAN2。
网络设备的安装与管理
基于子网的VLAN，是根据端口所连 计算机的IP地址，来决定端口所属的 VLAN。