VLAN概念

　　VLAN（VirtualLocalAreaNetwork）的中文名為“虛擬局域網(wǎng)”。

　　虛擬局域網(wǎng)（VLAN）是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門及應(yīng)用等因素將它們組織起來，相互之間的通信就好像它們在同一個網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)。VLAN是一種比較新的技術(shù)，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通信是通過第3層的路由器來完成的。與傳統(tǒng)的局域網(wǎng)技術(shù)相比較，VLAN技術(shù)更加靈活，它具有以下優(yōu)點(diǎn)：網(wǎng)絡(luò)設(shè)備的移動、添加和修改的管理開銷減少；可以控制廣播活動；可提高網(wǎng)絡(luò)的安全性。在計算機(jī)網(wǎng)絡(luò)中，一個二層網(wǎng)絡(luò)可以被劃分為多個不同的廣播域，一個廣播域?qū)?yīng)了一個特定的用戶組，默認(rèn)情況下這些不同的廣播域是相互隔離的。不同的廣播域之間想要通信，需要通過.

　　組建VLAN的條件

　　VLAN是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立VLAN需要相應(yīng)的支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同VLAN間進(jìn)行相互通信時，需要路由的支持，這時就需要增加路由設(shè)備——要實(shí)現(xiàn)路由功能，既可采用路由器，也可采用三層交換機(jī)來完成。

　　使用VLAN的優(yōu)點(diǎn)

　　1、控制廣播風(fēng)暴

　　一個VLAN就是一個邏輯廣播域，通過對VLAN的創(chuàng)建，隔離了廣播，縮小了廣播范圍，可以控制廣播風(fēng)暴的產(chǎn)生。

　　2、提高網(wǎng)絡(luò)整體安全性

　　通過路由訪問列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。

　　3、網(wǎng)絡(luò)管理簡單、直觀

　　對于交換式以太網(wǎng)，如果對某些用戶重新進(jìn)行網(wǎng)段分配，需要網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進(jìn)行調(diào)整，甚至需要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。而對于采用VLAN技術(shù)的網(wǎng)絡(luò)來說，一個VLAN可以根據(jù)部門職能、對象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費(fèi)用。在一個交換網(wǎng)絡(luò)中，VLAN提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。

　　VLAN的標(biāo)準(zhǔn)

　　對VLAN的標(biāo)準(zhǔn)，我們只是介紹兩種比較通用的標(biāo)準(zhǔn)，當(dāng)然也有一些公司具有自己的標(biāo)準(zhǔn)，比如Cisco公司的ISL標(biāo)準(zhǔn)，雖然不是一種大眾化的標(biāo)準(zhǔn)，但是由于CiscoCatalyst交換機(jī)的大量使用，ISL也成為一種不是標(biāo)準(zhǔn)的標(biāo)準(zhǔn)了。

　　·802.10VLAN標(biāo)準(zhǔn)

　　在1995年，Cisco公司提倡使用IEEE802.10協(xié)議。在此之前，IEEE802.10曾經(jīng)在全球范圍內(nèi)作為VLAN安全性的同一規(guī)范。Cisco公司試圖采用優(yōu)化后的802.10幀格式在網(wǎng)絡(luò)上傳輸FramTagging模式中所必須的VLAN標(biāo)簽。然而，大多數(shù)802委員會的成員都反對推廣802.10。因?yàn)椋搮f(xié)議是基于FrameTagging方式的。

　　·802.1Q

　　在1996年3月，IEEE802.1Internetworking委員會結(jié)束了對VLAN初期標(biāo)準(zhǔn)的修訂工作。新出臺的標(biāo)準(zhǔn)進(jìn)一步完善了VLAN的體系結(jié)構(gòu)，統(tǒng)一了Fram-eTagging方式中不同廠商的標(biāo)簽格式，并制定了VLAN標(biāo)準(zhǔn)在未來一段時間內(nèi)的發(fā)展方向，形成的802.1Q的標(biāo)準(zhǔn)在業(yè)界獲得了廣泛的推廣。它成為VLAN史上的一塊里程碑。802.1Q的出現(xiàn)打破了虛擬網(wǎng)依賴于單一廠商的僵局，從一個側(cè)面推動了VLAN的迅速發(fā)展。另外，來自市場的壓力使各大網(wǎng)絡(luò)廠商立刻將新標(biāo)準(zhǔn)融合到他們各自的產(chǎn)品中。

　　·CiscoISL標(biāo)簽

　　ISL（Inter-SwitchLink）是Cisco公司的專有封裝方式，因此只能在Cisco的設(shè)備上支持。ISL是一個在交換機(jī)之間、交換機(jī)與路由器之間及交換機(jī)與服務(wù)器之間傳遞多個VLAN信息及VLAN數(shù)據(jù)流的協(xié)議，通過在交換機(jī)直接的端口配置ISL封裝，即可跨越交換機(jī)進(jìn)行整個網(wǎng)絡(luò)的VLAN分配和配置。

　　VLAN的實(shí)現(xiàn)機(jī)制

　　首先，在一臺未設(shè)置任何VLAN的二層交換機(jī)上，任何廣播幀都會被轉(zhuǎn)發(fā)給除接收端口外的所有其他端口（Flooding）。例如，計算機(jī)A發(fā)送廣播信息后，會被轉(zhuǎn)發(fā)給端口2、3、4。

　　這時，如果在交換機(jī)上生成紅、藍(lán)兩個VLAN；同時設(shè)置端口1、2屬于紅色VLAN、端口3、4屬于藍(lán)色VLAN。再從A發(fā)出廣播幀的話，交換機(jī)就只會把它轉(zhuǎn)發(fā)給同屬于一個VLAN的其他端口——也就是同屬于紅色VLAN的端口2，不會再轉(zhuǎn)發(fā)給屬于藍(lán)色VLAN的端口。

　　同樣，C發(fā)送廣播信息時，只會被轉(zhuǎn)發(fā)給其他屬于藍(lán)色VLAN的端口，不會被轉(zhuǎn)發(fā)給屬于紅色VLAN的端口。

　　就這樣，VLAN通過限制廣播幀轉(zhuǎn)發(fā)的范圍分割了廣播域。上圖中為了便于說明，以紅、藍(lán)兩色識別不同的VLAN，在實(shí)際使用中則是用“VLANID”來區(qū)分的。

　　如果要更為直觀地描述VLAN的話，我們可以把它理解為將一臺交換機(jī)在邏輯上分割成了數(shù)臺交換機(jī)。在一臺交換機(jī)上生成紅、藍(lán)兩個VLAN，也可以看作是將一臺交換機(jī)換做一紅一藍(lán)兩臺虛擬的交換機(jī)。

　　在紅、藍(lán)兩個VLAN之外生成新的VLAN時，可以想象成又添加了新的交換機(jī)。但是，VLAN生成的邏輯上的交換機(jī)是互不相通的。因此，在交換機(jī)上設(shè)置VLAN后，如果未做其他處理，VLAN間是無法通信的。明明接在同一臺交換機(jī)上，但卻偏偏無法通信——這個事實(shí)也許讓人難以接受。但它既是VLAN方便易用的特征，又是使VLAN令人難以理解的原因。

　　VLAN的劃分方法

　　1.基于端口劃分VLAN

　　這是一種最常用的劃分方法，應(yīng)用最為廣泛。最有效。

　　2.基于MAC地址劃分VLAN

　　這種劃分的方法是根據(jù)每個主機(jī)的MAC地址來劃分，即每個MAC地址的主機(jī)都配置屬于哪個組。他實(shí)現(xiàn)的機(jī)制就是每一塊網(wǎng)卡都對應(yīng)唯一的MAC地址，VLAN交換機(jī)跟蹤屬于VLANMAC的地址。這種方式的VLAN允許網(wǎng)絡(luò)用戶從一個物理位置移動到另一個物理位置時，自動保留其所屬VLAN的成員身份。

　　3.基于網(wǎng)絡(luò)層協(xié)議劃分VLAN

　　VLAN按網(wǎng)絡(luò)層協(xié)議來劃分，可分為IP，IPX，DECnet，AppleTalk，Banyan等VLAN網(wǎng)絡(luò)。這種方法的優(yōu)點(diǎn)是

　　用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡(luò)管理者來說很重要。另外，這種方法不需要附加的楨標(biāo)簽來識別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。

　　這種方法的缺點(diǎn)是效率低。

　　4.根據(jù)IP組播劃分VLAN

　　IP組實(shí)際上是一種VLAN的定義，即認(rèn)為一個IP組播就是一個VLAN.這種方法有很強(qiáng)的靈活性，容易通過路由擴(kuò)展。

　　但不是合于局域網(wǎng)，主要是效率不高，而且配置復(fù)雜。

　　5.按策略劃分VLAN

　　基于策略的VLAN的劃分是一種比較有效而直接的方式，主要取決于在VLAN的劃分中所采用的策略。

　　6.按用戶定義劃分

　　基于用戶定義、非用戶授權(quán)來劃分VLAN，是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò)，根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認(rèn)證后才可以加入一個VLAN。