摘要：虛擬局域網(wǎng)是一種將物理局域網(wǎng)邏輯劃分成多個(gè)不同的網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的技術(shù)。文章對(duì)VLAN劃分、VLAN幀格式、三層交換和VLAN路由技術(shù)及應(yīng)用進(jìn)行了全面詳盡的描述，并介紹了思科交換機(jī)的VLAN配置方法。相比較傳統(tǒng)的局域網(wǎng)布局，VLAN技術(shù)更加靈活，因此有著廣泛的市場(chǎng)前景，在大中型企業(yè)網(wǎng)、校園網(wǎng)、智能小區(qū)、城域網(wǎng)建設(shè)中將獲得廣泛的應(yīng)用。

關(guān)鍵詞：交換技術(shù)；路由；VLAN；局域網(wǎng)

0 引言

虛擬局域網(wǎng)即VLAN(Virtual Local Area Network)，是一種將物理局域網(wǎng)邏輯劃分成多個(gè)不同的網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的技術(shù)。VLAN技術(shù)將一個(gè)物理的局域網(wǎng)邏輯劃分成多個(gè)不同的廣播域，每個(gè)廣播域?qū)儆谝粋€(gè)VLAN，同一個(gè)VLAN內(nèi)的各個(gè)工作站可以屬于同一個(gè)物理網(wǎng)段，也可以屬于不同的物理網(wǎng)段。VLAN內(nèi)部的廣播和單播流量在數(shù)據(jù)鏈路層是無法轉(zhuǎn)發(fā)到其他VLAN中的，這樣能有效地解決以太網(wǎng)的廣播風(fēng)暴和安全性問題。

VLAN技術(shù)在數(shù)據(jù)鏈路層隔離了各個(gè)不同VLAN之間的通信，要實(shí)現(xiàn)不同VLAN之間的相互通信，必須借助網(wǎng)絡(luò)層的路由功能。網(wǎng)絡(luò)管理員通過對(duì)VLAN之間的路由參數(shù)或訪問控制列表的配置，就可以控制不同VLAN之間站點(diǎn)的相互通信，全面管理企業(yè)內(nèi)部不同部門之間的信息互訪和通信安全。

1 VLAN的劃分

VLAN劃分在設(shè)計(jì)與實(shí)現(xiàn)VLAN應(yīng)用時(shí)是十分重要的。不同的劃分方式代表不同的VLAN實(shí)現(xiàn)類型。

1.1基于交換機(jī)端口來劃分VLAN

將一臺(tái)交換機(jī)上的幾個(gè)端口或多臺(tái)交換機(jī)上的若干個(gè)不同端口從邏輯上劃分到一個(gè)組，每個(gè)組構(gòu)成一個(gè)VLAN，并為該VLAN配置一個(gè)IP地址，該VLAN中所有計(jì)算機(jī)都以這個(gè)IP地址作為網(wǎng)關(guān)，一個(gè)VLAN對(duì)應(yīng)一個(gè)子網(wǎng)，不同的VLAN處于不同的子網(wǎng)。被設(shè)定同一VLAN中的所有端口都在同一個(gè)廣播域內(nèi)。端口VLAN劃分又可以分為單交換機(jī)端口VLAN劃分和多交換機(jī)端口VLAN劃分兩種方式。前者支持在一臺(tái)交換機(jī)上指定若干個(gè)端口組成一個(gè)VLAN；而后者則可以使一個(gè)VLAN跨越多臺(tái)交換機(jī)，并且同一臺(tái)交換機(jī)上的端口可以屬于不同的VLAN。

這種劃分方法的優(yōu)點(diǎn)是定義VLAN成員簡(jiǎn)單，只要將需要的端口加入到相應(yīng)的VLAN組即可。它的缺點(diǎn)是如果某臺(tái)工作站從交換機(jī)原來的端口移動(dòng)到了一個(gè)新的端口，而這兩個(gè)端口若屬于不同VLAN時(shí)，就需要重新配置該工作站的網(wǎng)絡(luò)地址或重新配置交換機(jī)的VLAN。

1.2基于MAC地址劃分VLAN

根據(jù)每臺(tái)主機(jī)的MAC地址來劃分VLAN。它是將一組MAC地址劃分到一個(gè)VLAN。其優(yōu)點(diǎn)是當(dāng)用戶主機(jī)物理位置移動(dòng)時(shí)，即從一臺(tái)交換機(jī)端口移動(dòng)到其他的交換機(jī)端口時(shí)，VLAN不用重新配置。其缺點(diǎn)是初始化時(shí)，要將所有主機(jī)的MAC地址輸入到交換機(jī)的配置文件中，如果有幾百個(gè)甚至上千個(gè)用戶主機(jī)的話，網(wǎng)管員的配置工作量很大。此外，也會(huì)使每一個(gè)交換機(jī)的端口可能存在多個(gè)VLAN組的成員，這樣就無法限制廣播包了。

1.3基于網(wǎng)絡(luò)層劃分VLAN

根據(jù)每臺(tái)主機(jī)的網(wǎng)絡(luò)地址或協(xié)議類型(如果支持多協(xié)議)劃分VLAN。其優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬的VLAN。VLAN按網(wǎng)絡(luò)層協(xié)議類型來劃分，可分為IP、IPX、DECnet、AppleTalk和Bandyan等VLAN網(wǎng)絡(luò)，這種按網(wǎng)絡(luò)層協(xié)議組成的VLAN，可使廣播域跨越多個(gè)VLAN交換機(jī)。這種方法在數(shù)據(jù)幀不需要附加的幀標(biāo)簽識(shí)別VLAN，可以減少網(wǎng)絡(luò)通信負(fù)載。缺點(diǎn)是效率較低。

1.4基于策略劃分VLAN

每個(gè)組播分別劃分到一個(gè)VLAN，靈活性好，容易通過路由器進(jìn)行擴(kuò)展，可以將VLAN擴(kuò)大到廣域網(wǎng)，但不適合于局域網(wǎng)，運(yùn)行效率相對(duì)比較低。

1.5基于策略劃分VLAN

基于策略組成的VLAN能實(shí)現(xiàn)多種劃分方法，包括基于VLAN交換機(jī)端口、MAC地址、IP地址和網(wǎng)絡(luò)層協(xié)議的劃分等。網(wǎng)絡(luò)管理人員可根據(jù)自己的管理模式和實(shí)際需求決定選擇哪種類型的VLAN。

1.6基于用戶定義、非用戶授權(quán)劃分VLAN

注：“本文中所涉及到的圖表、注解、公式等內(nèi)容請(qǐng)以PDF格式閱讀原文”