部署 VLAN：概述

虚拟局域网 (virtual local area network, VLAN) 是在协议栈的数据链路层上对局域网的细分。可以为采用交换机技术的局域网创建 VLAN。通过将用户组指定给 VLAN，可以加强整个本地网络的网络管理和安全性。还可以将同一系统上的接口指定给不同的 VLAN。

以下各节简要概述了 VLAN。

何时使用 VLAN

如果您需要执行以下任务，请考虑将本地网络划分为 VLAN：

创建工作组的逻辑分区。

例如，假定某楼层的所有主机都连接到一个基于交换的本地网络。可以为该楼层的每个工作组创建单独的 VLAN。
对各个工作组强制实施不同的安全策略。

例如，财务部和信息技术部的安全需求大不相同。如果这两个部门的系统共享同一本地网络，则可以为每个部门创建单独的 VLAN。然后，基于每个 VLAN 强制实施适当的安全策略。
将工作组拆分为易管理的广播域。

使用 VLAN 可减小广播域的大小并提高网络效率。

VLAN 与定制名称

VLAN 演示了使用通用名称或定制名称的优势。在先前的发行版中，VLAN 通过物理连接点 (physical point of attachment, PPA)（需要将数据链路基于硬件的名称与 VLAN ID 组合在一起）进行标识。在 Oracle Solaris 11 中，可以选择更有意义的名称来标识 VLAN。名称必须符合《Oracle Solaris 11 联网介绍》中的"有效链路名称的规则"中提供的数据链路命名规则。例如，指定给 VLAN 的名称可以是 sales0 或 marketing1。

VLAN 名称与 VLAN ID 结合使用。局域网中的每个 VLAN 通过 VLAN ID（也称为 VLAN 标记）标识。VLAN ID 在 VLAN 配置过程中指定。配置交换机以支持 VLAN 时，需要为每个端口指定一个 VLAN ID。端口的 VLAN ID 必须与为连接到该端口的接口所指定的 VLAN ID 相同。

定制名称和 VLAN ID 的使用将在下一节进行说明。

VLAN 拓扑

使用交换 LAN 技术，可以将本地网络中的系统组织到 VLAN 中。将本地网络划分为 VLAN 之前，必须先获取支持 VLAN 技术的交换机。可以对交换机上的所有端口进行配置，使其为单个 VLAN 或多个 VLAN 提供服务，具体取决于 VLAN 拓扑设计。配置交换机端口的过程因交换机制造商而异。

下图显示了被划分为三个 VLAN 的局域网。

图 3-1 具有三个 VLAN 的局域网

在图 3-1 中，LAN 的子网地址为 192.168.84.0。此 LAN 被细分为三个 VLAN，对应于三个工作组：

VLAN ID 为 789 的 acctg0－会计组。此组拥有主机 D 和主机 E。
VLAN ID 为 456 的 humres0－人力资源组。此组拥有主机 B 和主机 F。
VLAN ID 为 123 的 infotech0－信息技术组。此组拥有主机 A 和主机 C。

图 3-2 显示了图 3-1 的一种变体，其中仅使用一个交换机，属于不同 VLAN 的多个主机均连接到此单个交换机。

图 3-2 包含 VLAN 的网络的交换机配置

在图 3-2 中，主机 A 和主机 C 属于信息技术 VLAN，其 VLAN ID 为 123。因此，主机 A 的其中一个接口使用 VLAN ID 123 进行配置。此接口连接到交换机 1 上的端口 1，此端口也使用 VLAN ID 123 进行配置。主机 B 是人力资源 VLAN 的成员，其 VLAN ID 为 456。主机 B 的接口连接到交换机 1 上的端口 5，此端口使用 VLAN ID 456 进行配置。最后，主机 C 的接口使用 VLAN ID 123 进行配置。此接口连接到交换机 1 上的端口 9。端口 9 也使用 VLAN ID 123 进行配置。

图 3-2 还显示单个主机可以属于多个 VLAN。例如，主机 A 通过其接口配置了两个 VLAN。第二个 VLAN 使用 VLAN ID 456 进行配置并连接到端口 3（也使用 VLAN ID 456 进行配置）。因此，主机 A 同时是 infotech0 和 humres0 两个 VLAN 的成员。

使用 VLAN 和区域

通过将 VLAN 与 Oracle Solaris Zones 结合使用，可以在单个网络单元（如交换机）内配置多个虚拟网络。以具有三个物理网卡（ net0、net1 和 net2）的系统为例，如下图所示。

图 3-3 具有多个 VLAN 的系统

在没有 VLAN 情况下，您需要配置不同的系统来执行特定功能并将这些系统连接到单独的网络。例如，将 Web 服务器连接到一个 LAN，将验证服务器连接到另一个 LAN，并将应用服务器连接到第三个 LAN。使用 VLAN 和区域，您可以“折叠”所有八个系统并将它们作为区域配置在单个系统中。然后，使用 VLAN ID 将 VLAN 指定给执行相同功能的每组区域。图中提供的信息可列表如下。

功能	区域名称	VLAN 名称	VLAN ID	IP 地址	NIC
Web 服务器	`webzone1`	`web1`	`111`	`10.1.111.0`	`net0`
验证服务器	`authzone1`	`auth1`	`112`	`10.1.112.0`	`net0`
应用服务器	`appzone1`	`app1`	`113`	`10.1.113.0`	`net0`
Web 服务器	`webzone2`	`web2`	`111`	`10.1.111.0`	`net1`
验证服务器	`authzone2`	`auth2`	`112`	`10.1.112.0`	`net1`
应用服务器	`appzone2`	`app2`	`113`	`10.1.113.0`	`net1`
Web 服务器	`webzone3`	`web3`	`111`	`10.1.111.0`	`net2`
验证服务器	`authzone3`	`auth3`	`112`	`10.1.112.0`	`net2`

要创建图中所示的配置，请参阅示例 3-1。

跳过导航链接
退出打印视图
	管理 Oracle Solaris 11.1 网络性能 Oracle Solaris 11.1 Information Library (简体中文)