VLAN（虛擬局域網(wǎng)）是對(duì)連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè)VLAN可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來(lái)進(jìn)行分組�；�于交換機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問題。

傳統(tǒng)的共享介質(zhì)的以太網(wǎng)和交換式的以太網(wǎng)中，所有的用戶在同一個(gè)廣播域中，會(huì)引起網(wǎng)絡(luò)性能的下降，浪費(fèi)可貴的帶寬；而且對(duì)廣播風(fēng)暴的控制和網(wǎng)絡(luò)安全只能在第三層的路由器上實(shí)現(xiàn)。

VLAN相當(dāng)于OSI參考模型的第二層的廣播域，能夠?qū)�廣播風(fēng)暴控制在一個(gè)VLAN內(nèi)部，劃分VLAN后，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。不同的VLAN之間的數(shù)據(jù)傳輸是通過第三層（網(wǎng)絡(luò)層）的路由來(lái)實(shí)現(xiàn)的，因此使用VLAN技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員通過控制交換機(jī)的每一個(gè)端口來(lái)控制網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)資源的訪問，同時(shí)VLAN和第三層第四層的交換結(jié)合使用能夠?yàn)榫W(wǎng)絡(luò)提供較好的安全措施。 隨著VLAN技術(shù)的日益完善，VLAN技術(shù)越來(lái)越多的應(yīng)用在交換以太網(wǎng)中，成為網(wǎng)絡(luò)靈活分段和提高網(wǎng)絡(luò)安全的方法。

一、VLAN的劃分方式

VLAN的劃分方式很重要，在設(shè)計(jì)和建設(shè)VLAN，實(shí)現(xiàn)VLAN應(yīng)用時(shí)，首先要決定如何劃分VLAN，即依據(jù)什么標(biāo)準(zhǔn)來(lái)組織VLAN成員。下面介紹5種常見的劃分方式，不同的劃分方式代表不同的VLAN實(shí)現(xiàn)類型。

1、按端口劃分VLAN

將交換機(jī)中的某些端口定義為一個(gè)單獨(dú)的區(qū)域，從而形成一個(gè)VLAN。同一VLAN中的計(jì)算機(jī)屬于同一個(gè)網(wǎng)段，不同VLAN之間進(jìn)行通信需要通過路由器。基于端口的VLAN的優(yōu)點(diǎn)是配置起來(lái)非常方便，只要在交換機(jī)上進(jìn)行相關(guān)的設(shè)置就可以了，適用于網(wǎng)絡(luò)環(huán)境比較固定的情況。不足之處是不夠靈活，當(dāng)一臺(tái)計(jì)算機(jī)需要從一個(gè)端口移動(dòng)到另一個(gè)新的端口，而新端口與舊端口不屬于同一個(gè)VLAN時(shí)，要修改端口的VLAN設(shè)置，或在用戶計(jì)算機(jī)上重新配置網(wǎng)絡(luò)地址，這樣才能加入到新的VLAN中。否則，這臺(tái)計(jì)算機(jī)將無(wú)法進(jìn)行網(wǎng)絡(luò)通信。

基于端口的劃分方式是最簡(jiǎn)單也是最常用的。采用這種方式，將屬于不同交換機(jī)端口的物理網(wǎng)段分在一個(gè)VLAN中，通過網(wǎng)絡(luò)管理軟件，根據(jù)VLAN標(biāo)識(shí)符將不同的端口分到相應(yīng)的分組（VLAN）中。例如，一個(gè)交換機(jī)的1、2、6、7端口被定義為VLAN A，同一交換機(jī)的3、4、5端口組成VLAN 8，如圖1所示。這樣劃分，允許各端口之間的通信，并允許共享型網(wǎng)絡(luò)的升級(jí)。遺憾的是，這種劃分模式將虛擬網(wǎng)限制在了一臺(tái)交換機(jī)上。

第二代端口VLAN技術(shù)允許跨越多個(gè)交換機(jī)的多個(gè)不同端口劃分VLAN，不同交換機(jī)上的若干個(gè)端口可以組成同一個(gè)VLAN。分配到同一個(gè)VLAN的各網(wǎng)段上的所有站點(diǎn)都在同一個(gè)廣播域中，可以直接通信；不同VLAN地點(diǎn)間的通信則通過路由器或三層交換機(jī)。

交換機(jī)端口來(lái)劃分VLAN，其配置過程簡(jiǎn)單明了。迄今為止，這仍然是最常用的一種方式，但是這種方式不允許多個(gè)VLAN共享一個(gè)物理網(wǎng)段或交換機(jī)端口。如果某一個(gè)用戶從一個(gè)端口所在的VLAN移動(dòng)到另一個(gè)端口所在的VLAN，網(wǎng)絡(luò)管理員需要重新進(jìn)行配置，這對(duì)于擁有眾多移動(dòng)用戶的網(wǎng)絡(luò)來(lái)說(shuō)是不可想象的。

2、按MAC地址劃分VLAN

每塊網(wǎng)卡都有一個(gè)獨(dú)一無(wú)二的硬件物理地址，這個(gè)地址就是MAC地址，俗稱為“網(wǎng)卡號(hào)”。在Windows中可用“ipconfig/all”命令來(lái)查看這一地址。

MAC地址是連接在網(wǎng)絡(luò)中的每個(gè)設(shè)備網(wǎng)卡的物理地址，由IEEE控制，全球找不到兩塊具有相同MAC地址的網(wǎng)卡。MAC地址屬于數(shù)據(jù)鏈路層，以此作為劃分VLAN的依據(jù)，能很好地獨(dú)立于網(wǎng)絡(luò)層上的各種應(yīng)用。如圖2所示，用此種方式構(gòu)成的VLAN就是一些MAC地址的集合，它解決了網(wǎng)絡(luò)處理站點(diǎn)的移動(dòng)問題。對(duì)于連接于交換機(jī)端口的工作站來(lái)說(shuō)，在它們初始化時(shí)，相應(yīng)的交換機(jī)要在VLAN的管理信息庫(kù)中檢查MAC地址，從而動(dòng)態(tài)地匹配該端口到相應(yīng)的VLAN中。

按MAC地址劃分的VLAN允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置，并且自動(dòng)保留其所屬VLAN網(wǎng)段的成員身份。同時(shí)，這種方式獨(dú)立于網(wǎng)絡(luò)的高層協(xié)議（如TCP/IP、IP和IPX等）。從某種意義上講，利用MAC地址定義VLAN可以看成是一種基于用戶的網(wǎng)絡(luò)劃分手段。

這種方法的一個(gè)缺點(diǎn)是所有的用戶必須被明確地分配給一個(gè)VLAN。在這種初始化工作完成之后，對(duì)用戶的自動(dòng)跟蹤才成為可能。在一個(gè)擁有大量節(jié)點(diǎn)的大型網(wǎng)絡(luò)中，如果要求管理員將每個(gè)用戶都一一劃分到某一個(gè)VLAN，實(shí)在是太困難了。

3、基于網(wǎng)絡(luò)層劃分VLAN

可以基于網(wǎng)絡(luò)層來(lái)劃分VLAN，有兩種方案，一種按協(xié)議（如果網(wǎng)絡(luò)中存在多協(xié)議）來(lái)劃分，如上圖3所示；另一種是按網(wǎng)絡(luò)層地址（最常見的是TCP/IP中的子網(wǎng)段地址）來(lái)劃分，如圖4所示。

建立VLAN也可使用與管理路由相同的策略。根據(jù)IP子網(wǎng)、IPX網(wǎng)絡(luò)號(hào)及其他協(xié)議劃分VLAN。同一協(xié)議的工作站劃分為一個(gè)VLAN，交換機(jī)檢查廣播幀的以太幀標(biāo)題域，查看其協(xié)議類型，若已存在該協(xié)議的VLAN，則加入源端口，否則，創(chuàng)建—個(gè)新的VLAN。這種方式構(gòu)成的VLAN，不但大大減少了人工配置VLAN的工作量，同時(shí)保證了用戶自由地增加、移動(dòng)和修改。不同VLAN網(wǎng)段上的站點(diǎn)可屬于同一VLAN，在不同VLAN上的站點(diǎn)也可在同一物理網(wǎng)段上。

利用網(wǎng)絡(luò)層定義VLAN缺點(diǎn)也是有的。與利用MAC地址的形式相比，基于網(wǎng)絡(luò)層的VLAN需要分析各種協(xié)議的地址格式并進(jìn)行相應(yīng)的轉(zhuǎn)換。因此，使用網(wǎng)絡(luò)層信息來(lái)定義VLAN的交換機(jī)要比使用數(shù)據(jù)鏈路層信息的交換機(jī)在速度上占劣勢(shì)。

4、基于IP廣播組劃分

可將任何屬于同一IP廣播組的計(jì)算機(jī)劃分到同一VLAN。當(dāng)IP包廣播到網(wǎng)絡(luò)上時(shí)，它將被傳送到一組IP地址的受托者那里。該組被明確定義了的廣播組是在網(wǎng)絡(luò)運(yùn)行中動(dòng)態(tài)生成的。任何一個(gè)工作站都有機(jī)會(huì)成為某一個(gè)廣播組的成員，只要它對(duì)該廣播組的廣播確認(rèn)信息給予肯定的回答。所有加入同一個(gè)廣播組的工作站被視為同一個(gè)VLAN的成員，他們的這種成員身份可根據(jù)實(shí)際需求保留一定的時(shí)間。因此，利用IP廣播域來(lái)劃分VLAN的方法給用戶帶來(lái)了巨大的靈活性和可延展性。在這種方式下，整個(gè)網(wǎng)絡(luò)可以非常方便地通過路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。

5、基于規(guī)則的VLAN

也稱為基于策略的VLAN。這是最靈活的VLAN劃分方法，具有自動(dòng)配置的能力，能夠把相關(guān)的用戶連成一體，在邏輯劃分上稱為“關(guān)系網(wǎng)絡(luò)”。網(wǎng)絡(luò)管理員只需在網(wǎng)管軟件中確定劃分VLAN的規(guī)則（或?qū)傩裕�，那么�?dāng)一個(gè)站點(diǎn)加入網(wǎng)絡(luò)中時(shí)，將會(huì)被“感知”，并被自動(dòng)地包含進(jìn)正確的VLAN中。同時(shí)，對(duì)站點(diǎn)的移動(dòng)和改變也可自動(dòng)識(shí)別和跟蹤。

采用這種方式，整個(gè)網(wǎng)絡(luò)可以非常方便地通過路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。有的產(chǎn)品還支持一個(gè)端口上的主機(jī)分別屬于不同的VLAN，這在交換機(jī)與共享式Hub共存的環(huán)境中顯得尤為重要。自動(dòng)配置VLAN時(shí)，交換機(jī)中軟件自動(dòng)檢查進(jìn)入交換機(jī)端口的廣播信息的IP源地址，然后軟件自動(dòng)將這個(gè)端口分配給一個(gè)由IP子網(wǎng)映射成的VLAN。

二、VLAN的優(yōu)點(diǎn)

VLAN的優(yōu)點(diǎn)主要體現(xiàn)在以下3個(gè)方面：

1、控制廣播風(fēng)暴

網(wǎng)絡(luò)管理必須解決因大量廣播信息帶來(lái)帶寬消耗的問題。VLAN作為一種網(wǎng)絡(luò)分段技術(shù)，可將廣播風(fēng)暴限制在一個(gè)VLAN內(nèi)部，避免影響其他網(wǎng)段。與傳統(tǒng)局域網(wǎng)相比，VLAN能夠更加有效地利用帶寬。在VLAN中，網(wǎng)絡(luò)被邏輯地分割成廣播域，由VLAN成員所發(fā)送的信息幀或數(shù)據(jù)包僅在VLAN內(nèi)的成員之間傳送，而不是向網(wǎng)上的所有工作站發(fā)送。這樣可減少主干網(wǎng)的流量，提高網(wǎng)絡(luò)速度。

2、增強(qiáng)網(wǎng)絡(luò)的安全性

共享式LAN上的廣播必然會(huì)產(chǎn)生安全性問題，因?yàn)榫W(wǎng)絡(luò)上的所有用戶都能監(jiān)測(cè)到流經(jīng)的業(yè)務(wù)，用戶只要插入任一活動(dòng)端口就可訪問網(wǎng)段上的廣播包。采用VLAN提供的安全機(jī)制，可以限制特定用戶的訪問，控制廣播組的大小和位置，甚至鎖定網(wǎng)絡(luò)成員的MAC地址，這樣，就限制了未經(jīng)安全許可的用戶和網(wǎng)絡(luò)成員對(duì)網(wǎng)絡(luò)的使用。

3、增強(qiáng)網(wǎng)絡(luò)管理

采用VLAN技術(shù)，使用VLAN管理程序可對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行集中管理，能夠更容易地實(shí)現(xiàn)網(wǎng)絡(luò)的管理性。用戶可以根據(jù)業(yè)務(wù)需要快速組建和調(diào)整VLAN。當(dāng)鏈路擁擠時(shí)，利用管理程序能夠重新分配業(yè)務(wù)。管理程序還能夠提供有關(guān)工作組的業(yè)務(wù)量、廣播行為以及統(tǒng)計(jì)特性等的詳盡報(bào)告。對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)，所有這些網(wǎng)絡(luò)配置和管理工作都是透明的。VLAN變動(dòng)時(shí)，用戶無(wú)需了解網(wǎng)絡(luò)的接線情況和協(xié)議是如何重新設(shè)置的。

VLAN還能減少因網(wǎng)絡(luò)成員變化所帶來(lái)的開銷。在添加、刪除和移動(dòng)網(wǎng)絡(luò)成員時(shí)，不用重新布線，也不用直接對(duì)成員進(jìn)行配置。若采用傳統(tǒng)局域網(wǎng)技術(shù)，那么當(dāng)網(wǎng)絡(luò)達(dá)到一定規(guī)模時(shí)，此類開銷往往會(huì)成為管理員的沉重負(fù)擔(dān)。

【相關(guān)文章】

• 用三層交換機(jī)實(shí)現(xiàn)大中型企業(yè)VLAN方案

• 如何使用三層交換機(jī)構(gòu)建企業(yè)VLAN