VLAN技术介绍及企业网络中应用_局域网教程

　　VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。

　　传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。

　　VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络治理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。随着VLAN技术的日益完善，VLAN技术越来越多的应用在交换以太网中，成为网络灵活分段和提高网络安全的方法。

　　一、VLAN的划分方式

　　VLAN的划分方式很重要，在设计和建设VLAN，实现VLAN应用时，首先要决定如何划分VLAN，即依据什么标准来组织VLAN成员。下面介绍5种常见的划分方式，不同的划分方式代表不同的VLAN实现类型。

　　1、按端口划分VLAN

　　将交换机中的某些端口定义为一个单独的区域，从而形成一个VLAN。同一VLAN中的计算机属于同一个网段，不同VLAN之间进行通信需要通过路由器。基于端口的VLAN的优点是配置起来非常方便，只要在交换机上进行相关的设置就可以了，适用于网络环境比较固定的情况。不足之处是不够灵活，当一台计算机需要从一个端口移动到另一个新的端口，而新端口与旧端口不属于同一个VLAN时，要修改端口的VLAN设置，或在用户计算机上重新配置网络地址，这样才能加入到新的VLAN中。否则，这台计算机将无法进行网络通信。

　　基于端口的划分方式是最简单也是最常用的。采用这种方式，将属于不同交换机端口的物理网段分在一个VLAN中，通过网络治理软件，根据VLAN标识符将不同的端口分到相应的分组（VLAN）中。例如，一个交换机的1、2、6、7端口被定义为VLAN A，同一交换机的3、4、5端口组成VLAN 8，如图1所示。这样划分，答应各端口之间的通信，并答应共享型网络的升级。遗憾的是，这种划分模式将虚拟网限制在了一台交换机上。

　　第二代端口VLAN技术答应跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个VLAN。分配到同一个VLAN的各网段上的所有站点都在同一个广播域中，可以直接通信；不同VLAN地点间的通信则通过路由器或三层交换机。

　　交换机端口来划分VLAN，其配置过程简单明了。迄今为止，这仍然是最常用的一种方式，但是这种方式不答应多个VLAN共享一个物理网段或交换机端口。假如某一个用户从一个端口所在的VLAN移动到另一个端口所在的VLAN，网络治理员需要重新进行配置，这对于拥有众多移动用户的网络来说是不可想象的。

　　2、按MAC地址划分VLAN

　　每块网卡都有一个独一无二的硬件物理地址，这个地址就是MAC地址，俗称为“网卡号”。在Windows中可用“ipconfig/all”命令来查看这一地址。

　　MAC地址是连接在网络中的每个设备网卡的物理地址，由IEEE控制，全球找不到两块具有相同MAC地址的网卡。MAC地址属于数据链路层，以此作为划分VLAN的依据，能很好地独立于网络层上的各种应用。如图2所示，用此种方式构成的VLAN就是一些MAC地址的集合，它解决了网络处理站点的移动问题。对于连接于交换机端口的工作站来说，在它们初始化时，相应的交换机要在VLAN的治理信息库中检查MAC地址，从而动态地匹配该端口到相应的VLAN中。

　　按MAC地址划分的VLAN答应网络用户从一个物理位置移动到另一个物理位置，并且自动保留其所属VLAN网段的成员身份。同时，这种方式独立于网络的高层协议（如TCP/IP、IP和IPX等）。从某种意义上讲，利用MAC地址定义VLAN可以看成是一种基于用户的网络划分手段。

　　这种方法的一个缺点是所有的用户必须被明确地分配给一个VLAN。在这种初始化工作完成之后，对用户的自动跟踪才成为可能。在一个拥有大量节点的大型网络中，假如要求治理员将每个用户都一一划分到某一个VLAN，实在是太困难了。

　　3、基于网络层划分VLAN

　　可以基于网络层来划分VLAN，有两种方案，一种按协议（假如网络中存在多协议）来划分，如上图3所示；另一种是按网络层地址（最常见的是TCP/IP中的子网段地址）来划分，如图4所示。

　　建立VLAN也可使用与治理路由相同的策略。根据IP子网、IPX网络号及其他协议划分VLAN。同一协议的工作站划分为一个VLAN，交换机检查广播帧的以太帧标题域，查看其协议类型，若已存在该协议的VLAN，则加入源端口，否则，创建—个新的VLAN。这种方式构成的VLAN，不但大大减少了人工配置VLAN的工作量，同时保证了用户自由地增加、移动和修改。不同VLAN网段上的站点可属于同一VLAN，在不同VLAN上的站点也可在同一物理网段上。

　　利用网络层定义VLAN缺点也是有的。与利用MAC地址的形式相比，基于网络层的VLAN需要分析各种协议的地址格式并进行相应的转换。因此，使用网络层信息来定义VLAN的交换机要比使用数据链路层信息的交换机在速度上占劣势。

　　4、基于IP广播组划分

　　可将任何属于同一IP广播组的计算机划分到同一VLAN。当IP包广播到网络上时，它将被传送到一组IP地址的受托者那里。该组被明确定义了的广播组是在网络运行中动态生成的。任何一个工作站都有机会成为某一个广播组的成员，只要它对该广播组的广播确认信息给予肯定的回答。所有加入同一个广播组的工作站被视为同一个VLAN的成员，他们的这种成员身份可根据实际需求保留一定的时间。因此，利用IP广播域来划分VLAN的方法给用户带来了巨大的灵活性和可延展性。在这种方式下，整个网络可以非常方便地通过路由器扩展网络规模。

　　5、基于规则的VLAN

　　也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，能够把相关的用户连成一体，在逻辑划分上称为“关系网络”。网络治理员只需在网管软件中确定划分VLAN的规则（或属性），那么当一个站点加入网络中时，将会被“感知”，并被自动地包含进正确的VLAN中。同时，对站点的移动和改变也可自动识别和跟踪。

　　采用这种方式，整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN，这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时，交换机中软件自动检查进入交换机端口的广播信息的IP源地址，然后软件自动将这个端口分配给一个由IP子网映射成的VLAN。

　　二、VLAN的优点

　　VLAN的优点主要体现在以下3个方面：

　　1、控制广播风暴

　　网络治理必须解决因大量广播信息带来带宽消耗的问题。VLAN作为一种网络分段技术，可将广播风暴限制在一个VLAN内部，避免影响其他网段。与传统局域网相比，VLAN能够更加有效地利用带宽。在VLAN中，网络被逻辑地分割成广播域，由VLAN成员所发送的信息帧或数据包仅在VLAN内的成员之间传送，而不是向网上的所有工作站发送。这样可减少主干网的流量，提高网络速度。

　　2、增强网络的安全性

　　共享式LAN上的广播必然会产生安全性问题，因为网络上的所有用户都能监测到流经的业务，用户只要插入任一活动端口就可访问网段上的广播包。采用VLAN提供的安全机制，可以限制特定用户的访问，控制广播组的大小和位置，甚至锁定网络成员的MAC地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用。

　　3、增强网络治理

　　采用VLAN技术，使用VLAN治理程序可对整个网络进行集中治理，能够更轻易地实现网络的治理性。用户可以根据业务需要快速组建和调整VLAN。当链路拥挤时，利用治理程序能够重新分配业务。治理程序还能够提供有关工作组的业务量、广播行为以及统计特性等的详尽报告。对于网络治理员来说，所有这些网络配置和治理工作都是透明的。VLAN变动时，用户无需了解网络的接线情况和协议是如何重新设置的。

　　VLAN还能减少因网络成员变化所带来的开销。在添加、删除和移动网络成员时，不用重新布线，也不用直接对成员进行配置。若采用传统局域网技术，那么当网络达到一定规模时，此类开销往往会成为治理员的沉重负担。