什么是虛擬局域網(wǎng)

　　虛擬局域網(wǎng)（VLAN）是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門(mén)及應(yīng)用等因素將它們組織起來(lái)，相互之間的通信就好像它們?cè)谕粋€(gè)網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)。VLAN是一種比較新的技術(shù)，工作在OSI參考模型的第2層和第3層，一個(gè)VLAN就是一個(gè)廣播域，VLAN之間的通信是通過(guò)第3層的路由器來(lái)完成的。與傳統(tǒng)的局域網(wǎng)技術(shù)相比較，VLAN技術(shù)更加靈活，它具有以下優(yōu)點(diǎn)：網(wǎng)絡(luò)設(shè)備的移動(dòng)、添加和修改的管理開(kāi)銷減少；可以控制廣播活動(dòng)；可提高網(wǎng)絡(luò)的安全性。

　　在計(jì)算機(jī)網(wǎng)絡(luò)中，一個(gè)二層網(wǎng)絡(luò)可以被劃分為多個(gè)不同的廣播域，一個(gè)廣播域?qū)?yīng)了一個(gè)特定的用戶組，默認(rèn)情況下這些不同的廣播域是相互隔離的。不同的廣播域之間想要通信，需要通過(guò)一個(gè)或多個(gè)路由器。這樣的一個(gè)廣播域就稱為VLAN。

　　虛擬局域網(wǎng)的工作原理

　　虛擬局域網(wǎng)的主要思想是：所有計(jì)算機(jī)組成一個(gè)大的物理局域網(wǎng)，即傳統(tǒng)局域網(wǎng)；將所有計(jì)算機(jī)設(shè)備按照功能和需求劃分為若干組，每組劃分為一個(gè)邏輯網(wǎng)段，每個(gè)邏輯網(wǎng)段是1個(gè)虛擬局域網(wǎng)；一個(gè)傳統(tǒng)局域網(wǎng)可劃分為多個(gè)邏輯網(wǎng)段，即多個(gè)VLAN；VLAN中的站點(diǎn)是通過(guò)軟件定義而不是硬件定義；站點(diǎn)可在多個(gè)VLAN之間移動(dòng)；一個(gè)VLAN中的廣播信息可以被該VLAN中的站點(diǎn)接收，該VLAN之外的站點(diǎn)接收不到該廣播信息，因此VLAN和傳統(tǒng)局域網(wǎng)一樣可以隔離廣播信息；連接在不同交換機(jī)上的站點(diǎn)可以使用VLAN技術(shù)組成一個(gè)或多個(gè)VLAN；VLAN中的站點(diǎn)之間通信時(shí)就像傳統(tǒng)局域網(wǎng)一樣；VLAN之間的相互通信必通過(guò)網(wǎng)絡(luò)層協(xié)議實(shí)現(xiàn)，不能直接相互通信。

　　采用VLAN技術(shù)可以很容易地解決前面提出的問(wèn)題。例如，某個(gè)單位擁有財(cái)物、開(kāi)發(fā)和辦公三個(gè)部門(mén)，出于安全和管理方面的考慮，希望每個(gè)部門(mén)的計(jì)算機(jī)可以無(wú)障礙通信，部門(mén)之間的通信則需要進(jìn)行控制。由于地理位置和設(shè)備限制，辦公、開(kāi)發(fā)和財(cái)物部門(mén)的共用相同交換機(jī)，建成為一個(gè)傳統(tǒng)局域網(wǎng)，如圖所示

　　采用VLAN技術(shù)可以容易地實(shí)現(xiàn)。根據(jù)需求，財(cái)物、開(kāi)發(fā)和辦公三個(gè)部門(mén)個(gè)分配1個(gè)VLAN，把各個(gè)部門(mén)所屬的計(jì)算機(jī)站點(diǎn)劃分到對(duì)應(yīng)的邏輯網(wǎng)段中形成VLAN；VLAN之間不能互相訪問(wèn)，隔離廣播信息；因此可以滿足該部門(mén)的用戶需求。

　　VLAN的劃分方法

　　（1）基于交換機(jī)端口劃分基于端口劃分虛擬網(wǎng)，就是按交換機(jī)端口定義虛擬網(wǎng)成員，每個(gè)端口只能屬于一個(gè)虛擬網(wǎng)，這是一種最通用也是簡(jiǎn)單的方法。在配置完成后，再為交換機(jī)端口分配一個(gè)虛擬網(wǎng)，使交換機(jī)的端口成為某個(gè)虛擬網(wǎng)的成員。

　　（2）基于MAC地址劃分

　　這種方法是按每個(gè)連接到交換機(jī)設(shè)備的物理地址（即MAC地址）定義虛擬網(wǎng)成員。當(dāng)一個(gè)交換機(jī)端口上連接一臺(tái)集線器，在集線器上又連接了多臺(tái)設(shè)備，而這些設(shè)備需要?jiǎng)澣氩煌奶摂M網(wǎng)時(shí)，就可以使用這種方法定義虛擬網(wǎng)成員。因?yàn)樗梢园从脩魟澐郑砸舶堰@種方法稱為基于用戶的虛擬網(wǎng)劃分。在使用基于MAC地址劃分時(shí)，一個(gè)交換機(jī)端El有可能屬于多個(gè)虛擬網(wǎng)，這樣端口就能接收多個(gè)虛擬網(wǎng)的廣播信息。

　　（3）基于第三層協(xié)議類型或地址劃分

　　這種方法允許按照網(wǎng)絡(luò)層協(xié)議類型組成VLAN，也可以按網(wǎng)絡(luò)地址（如TCP／IP的IP地址）定義虛擬網(wǎng)成員。這種方法的優(yōu)點(diǎn)是有利于組成基于應(yīng)用的虛擬網(wǎng)。

　　（2）基于MAC地址劃分

　　這種方法是按每個(gè)連接到交換機(jī)設(shè)備的物理地址（即MAC地址）定義虛擬網(wǎng)成員。當(dāng)一個(gè)交換機(jī)端口上連接一臺(tái)集線器，在集線器上又連接了多臺(tái)設(shè)備，而這些設(shè)備需要?jiǎng)澣氩煌奶摂M網(wǎng)時(shí)，就可以使用這種方法定義虛擬網(wǎng)成員。因?yàn)樗梢园从脩魟澐郑砸舶堰@種方法稱為基于用戶的虛擬網(wǎng)劃分。在使用基于MAC地址劃分時(shí)，一個(gè)交換機(jī)端El有可能屬于多個(gè)虛擬網(wǎng)，這樣端口就能接收多個(gè)虛擬網(wǎng)的廣播信息。

　　（3）基于第三層協(xié)議類型或地址劃分

　　這種方法允許按照網(wǎng)絡(luò)層協(xié)議類型組成VLAN，也可以按網(wǎng)絡(luò)地址（如TCP／IP的IP地址）定義虛擬網(wǎng)成員。這種方法的優(yōu)點(diǎn)是有利于組成基于應(yīng)用的虛擬網(wǎng)。