4.2　虚拟局域网的划分

在实际应用中，通常需要跨越多台交换机的多个端口划分VLAN，比如，同一个部门的员工，可能会分布在不同的建筑物或不同的楼层中，此时的VLAN将跨越多台交换机，如图4-5所示。VLAN的划分不受网络端口的实际物理位置的限制。

虚拟局域网的实现有两种：静态和动态。

（1）静态实现方式中，网络管理员将交换机端口分配给某一个VLAN。这种配置简单、安全、易于实现和监视。

（2）动态实现方式中，管理员必须先建立一个较复杂的数据库，例如，输入要连接网络设备的MAC地址及相应的VLAN号，这样，当网络设备接到交换机端口时，交换机自动把这个网络设备所连接的端口分配给相应的VLAN。动态VLAN的配置可以基于网络设备的MAC地址、IP地址、应用或者所使用的协议。实现动态VLAN时，必须利用软件来进行管理。在CISCO交换机上，可以使用VLAN管理策略服务器（VMPS）实现基于MAC地址的动态VLAN配置，它会建立MAC地址与VLAN的映射表。在基于IP地址的动态配置中，交换机通过查阅网络层的地址，自动将用户分配到不同的虚拟局域网。

按照定义VLAN成员关系的不同，虚拟局域网有以下几种：

●　基于端口的VLAN。

●　基于协议的VLAN。

●　基于MAC地址的VLAN。

●　基于IP子网的VLAN。

●　基于IP组播的VLAN。

●　基于策略的VLAN。

其中只有按端口号划分的VLAN属于静态方式，其余的都属于动态方式。

1.基于端口的VLAN

针对交换机的端口进行VLAN的划分，它不受接在交换机端口上的主机的变化而变化，是目前最常用的一种VLAN划分方法。

实际上它是一些交换端口的集合，管理员只需管理和配置这些交换端口，而不管交换端口连接的是什么设备（PC、交换机、路由器等）。例如，将S2126G的3～8端口划分给VLAN 10，而将1、2、9～12端口划分给VLAN 20。

此种方法比较简单并且非常有效，VLAN从逻辑上把交换机端口划分为不同的逻辑子网，各虚拟子网相对独立。当一个客户端从一个端口移到另一个端口时，网管人员将不得不对VLAN成员进行重新配置。

2.基于协议的VLAN

在一个多类型的协议环境中，可通过区分传输数据所用的三层协议来划分VLAN的成员。但在一个主要以IP协议为主的网络环境中，这种方法不太实用。

3.基于MAC地址的VLAN

基于主机的MAC地址进行VLAN划分，是由管理人员指定属于同一个VLAN中的各服务器和客户机的MAC地址，该VLAN是一些MAC地址的集合。

新站点入网时可根据需要将其划归至某一个VLAN。

优点是无论该站点在网络中怎样移动，由于其MAC地址保持不变，因此用户不需要进行网络地址的重新配置，不需要重新划分VLAN。因此，用MAC地址定义的VLAN可以看成基于用户的VLAN。

缺点是在站点入网时，所有的用户都必须被配置（手工方式）到至少一个VLAN中，只有在此种手工配置之后方可实现对VLAN成员的自动跟踪。因此在大型网络中采用此方法，初始配置工作会很大。

常用此方法将服务器的MAC地址、端口、VLAN一起绑定，以提高安全性。

4.基于IP子网的VLAN

IP子网指OSI模型的网络层，是第三层协议。基于第三层协议的VLAN实现，在决定VLAN成员身份时，主要是考虑协议类型或网络层地址。根据每个主机的网络层地址或协议类型来划分VLAN，需要将子网地址映射到VLAN，交换设备则根据子网地址而将各机器的MAC地址同一个VLAN联系起来。

优点是新站点在入网时无须进行太多配置，交换机则根据各站点网络地址自动将其划分成不同的VLAN，并且在第三层上定义的VLAN将不再需要报文标识，从而可以消除在交换设备之间传递VLAN成员信息而花费的开销。

5.基于IP组播的VLAN

基于组播应用进行用户的划分，即将同一个组播组划分在同一VLAN中，这种划分方法可以将VLAN扩大到广域网，灵活性更大，能通过路由器进行扩展，但不太适合于局域网，其效率不高。

6.基于策略的VLAN

基于策略的VLAN是一种比较灵活有效的VLAN划分方法。该方法的核心是采用某一策略来进行VLAN的划分。目前，常用的策略有：按MAC地址、按IP地址、按以太网协议类型、按网络应用。