摘要：IP子網(wǎng)與VLAN都屬于網(wǎng)絡(luò)分組技術(shù)，兩項(xiàng)技術(shù)既有相互聯(lián)系，又有本質(zhì)區(qū)別，在實(shí)際應(yīng)用中各有千秋，本文從IP子網(wǎng)和VLAN的技術(shù)入手，歸納了這兩項(xiàng)技術(shù)相同點(diǎn)和不同點(diǎn)，以及兩項(xiàng)技術(shù)在實(shí)際組網(wǎng)中的應(yīng)用。

關(guān)鍵詞：IP子網(wǎng)；VLAN；技術(shù)；比較；應(yīng)用。

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)08-1pppp-0c

1 IP子網(wǎng)技術(shù)及其作用

我們現(xiàn)在使用的IP地址，有A、B、C三類，這三類地址都包含大量的主機(jī)地址，為了充分利用IP地址資源，人們引入子網(wǎng)的概念，即將IP地址中原來應(yīng)該是用來表示主機(jī)號(hào)的那些位拿出一部分用于表示子網(wǎng)號(hào)，從而就是在原來的網(wǎng)絡(luò)中生成了不同的“子網(wǎng)”。劃分子網(wǎng)后一個(gè)子網(wǎng)一般對(duì)應(yīng)于一個(gè)物理網(wǎng)絡(luò)，子網(wǎng)之間只能通過路由器通信。IP子網(wǎng)結(jié)構(gòu)如圖1。

圖1 IP子網(wǎng)結(jié)構(gòu)

劃分子網(wǎng)的最初目的是充分利用IP地址資源，不過現(xiàn)在也用于其他用途。首先，利用子網(wǎng)劃分將用戶分組，隔離不同用戶之間的通信，這樣既可以隔離廣播、隔離沖突、減少了網(wǎng)絡(luò)開銷、也可以使子網(wǎng)內(nèi)部通信更加安全。第二，利用子網(wǎng)劃分有利于網(wǎng)絡(luò)分層結(jié)構(gòu)設(shè)計(jì)也有利于IP地址的分配，第三，劃分子網(wǎng)有利于鏈路聚合，減少路由表中的表項(xiàng)的數(shù)量。

一個(gè)物理網(wǎng)絡(luò)（如一個(gè)或多個(gè)由交換機(jī)連接的網(wǎng)絡(luò)上）通常劃分一個(gè)子網(wǎng)，這是有意義的。但有時(shí)一個(gè)物理網(wǎng)絡(luò)的不同組織成員之間需要安全通信，這時(shí)，雖然可以在一個(gè)物理網(wǎng)絡(luò)上劃分多個(gè)子網(wǎng)，但是這種劃分的意義不大，因?yàn)橛脩糁恍枰淖冏约旱腎P地址就可以改變自己子網(wǎng)成員地位，使得安全通信的目的不能實(shí)現(xiàn)。如果一個(gè)組織的成員分布在不同的物理網(wǎng)絡(luò)上，與其它組織的成員混雜在一起，若不改變網(wǎng)絡(luò)的物理結(jié)構(gòu)，單純用劃分子網(wǎng)的方法就根本無法實(shí)現(xiàn)同一組織成員之間的安全通信。

2 虛擬網(wǎng)及其實(shí)現(xiàn)技術(shù)

虛擬網(wǎng)是基于交換機(jī)而實(shí)現(xiàn)的，在交換式以太網(wǎng)中，利用VLAN技術(shù)，可以將由交換機(jī)連接成的物理網(wǎng)絡(luò)劃分成不同的邏輯工作組，每個(gè)邏輯工作組就是一個(gè)虛擬網(wǎng)。一個(gè)虛擬局域網(wǎng)中的成員所發(fā)送的廣播數(shù)據(jù)包將僅轉(zhuǎn)發(fā)至屬于同一VLAN的其他成員。不同虛擬網(wǎng)成員間的通信必須經(jīng)過路由器。

在交換式以太網(wǎng)中，同一物理網(wǎng)絡(luò)的各成員可以分別屬于不同的虛擬網(wǎng)。構(gòu)成虛擬網(wǎng)的成員不拘泥于所處的物理位置，它們既可以掛接在同一個(gè)交換機(jī)中，也可以掛接在不同的交換機(jī)中。虛擬網(wǎng)技術(shù)使得網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活，例如位于不同樓層的用戶或者不同部門的用戶可以根據(jù)需要加入不同的虛擬局域網(wǎng)?；诮粨Q式以太網(wǎng)的VLAN結(jié)構(gòu)如圖2所示。

圖2 VLAN結(jié)構(gòu)

基于交換式以太網(wǎng)的VLAN主要有三種實(shí)現(xiàn)方法：基于端口的VLAN、基于MAC地址的VLAN和基于網(wǎng)絡(luò)地址的VALN。

基于端口的VLAN就是將交換機(jī)中的若干個(gè)端口定義為一個(gè)VLAN，同一個(gè)VLAN中的站點(diǎn)具有相同的網(wǎng)絡(luò)地址，不同的VLAN之間進(jìn)行通信需要通過路由器。采用這種方式的VLAN其不足之處是靈活性不好，例如當(dāng)一個(gè)網(wǎng)絡(luò)站點(diǎn)從一個(gè)端口移動(dòng)到另外一個(gè)新的端口時(shí)，如果新端口與舊端口不屬于同一個(gè)VLAN，則用戶必須對(duì)該站點(diǎn)重新進(jìn)行網(wǎng)絡(luò)地址配置，否則，該站點(diǎn)將無法進(jìn)行網(wǎng)絡(luò)通信。

在基于MAC地址的VLAN中，交換機(jī)對(duì)站點(diǎn)的MAC地址和交換機(jī)端口進(jìn)行跟蹤，在新站點(diǎn)入網(wǎng)時(shí)根據(jù)需要將其劃歸至某一個(gè)VLAN，而無論該站點(diǎn)在網(wǎng)絡(luò)中怎樣移動(dòng)，由于其MAC地址保持不便，因此用戶不需要進(jìn)行網(wǎng)絡(luò)地址的重新配置。這種VLAN技術(shù)的不足之處是在站點(diǎn)入網(wǎng)時(shí)，需要對(duì)交換機(jī)進(jìn)行比較復(fù)雜的手工配置，以確定該站點(diǎn)屬于哪一個(gè)VLAN。

在基于網(wǎng)絡(luò)地址的VLAN中，新站點(diǎn)在入網(wǎng)時(shí)無需進(jìn)行太多配置，交換機(jī)則根據(jù)各站點(diǎn)網(wǎng)絡(luò)地址自動(dòng)將其劃分成不同的VLAN。在三種VLAN的實(shí)現(xiàn)技術(shù)中，基于網(wǎng)絡(luò)地址的VLAN智能化程度最高，實(shí)現(xiàn)起來也最復(fù)雜。

3 IP子網(wǎng)與虛擬網(wǎng)的比較

IP子網(wǎng)和VLAN在功能上有很多相似的地方。

(1)隔離廣播。一個(gè)IP子網(wǎng)或一個(gè)VLAN都是一個(gè)邏輯廣播域，通過劃分子網(wǎng)或創(chuàng)建VLAN都可以隔離了廣播，縮小了廣播范圍，可以控制廣播風(fēng)暴的產(chǎn)生。

(2)提高網(wǎng)絡(luò)整體安全性。子網(wǎng)間的通信或VLAN間的通信都要通過路由器，子網(wǎng)或VLAN內(nèi)部通信將被路由器隔離，不同子網(wǎng)或VLAN間的通信可以通過在路由器上建立訪問列表，控制用戶訪問權(quán)限。從而提高網(wǎng)絡(luò)的安全性。

(3)減少?zèng)_突，提高網(wǎng)絡(luò)性能。通過劃分IP子網(wǎng)或VLAN可以控制邏輯網(wǎng)段大小，將不同用戶群劃分在不同的子網(wǎng)或VLAN，從而減少?zèng)_突，提高網(wǎng)絡(luò)的整體性能。

IP子網(wǎng)和VLAN在也有很多不同的地方。

(1)IP子網(wǎng)和VLAN都可以分割網(wǎng)段，但分割層次不同。IP子網(wǎng)是在第三層（網(wǎng)絡(luò)層）實(shí)施的分隔手段，這種分割僅對(duì)使用TCP/IP協(xié)議進(jìn)行通信的應(yīng)用有有效，也就是說，即使兩臺(tái)機(jī)器不在同一IP子網(wǎng)，仍可使用其他協(xié)議（如IPX）通信，況且各用戶如果有權(quán)力修改IP地址的話，隨時(shí)可以改變自己的IP，使自己位于不同子網(wǎng)中。

而虛擬局域網(wǎng)（VLAN）是在第二層（數(shù)據(jù)鏈路層）實(shí)施的分隔，與協(xié)議無關(guān)，不同VLAN中的機(jī)器，如果沒有到達(dá)其他VLAN的路由，無論如何更改協(xié)議或地址，都仍然無法與其他VLAN中的機(jī)器通信。

(2)成員所處位置不同。對(duì)于IP子網(wǎng)，成員只能來自同一物理網(wǎng)絡(luò)。而對(duì)于采用VLAN技術(shù)的網(wǎng)絡(luò)來說，一個(gè)VLAN可以根據(jù)部門職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。VLAN提供了網(wǎng)段和組織之間的彈性組合機(jī)制。

(3)管理工作的復(fù)雜性不同。對(duì)IP子網(wǎng)來說，如果對(duì)某些用戶重新進(jìn)行網(wǎng)段分配，需要網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進(jìn)行調(diào)整，甚至需要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。同樣的問題對(duì)采用VLAN技術(shù)的網(wǎng)絡(luò)來說，在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費(fèi)用。

4 IP子網(wǎng)與VLAN的應(yīng)用

在實(shí)際應(yīng)用中，兩項(xiàng)技術(shù)并不是相互排斥的，子網(wǎng)中可以包含VLAN，VLAN中也可以包含子網(wǎng)。合理使用IP子網(wǎng)和VLAN技術(shù)，會(huì)使網(wǎng)絡(luò)設(shè)計(jì)更加合理、管理更加方便，性能更加完善。

子網(wǎng)與VLAN的組合以及路由配置可能有以下情形。

情形1：計(jì)算機(jī)網(wǎng)絡(luò)采用全子網(wǎng)結(jié)構(gòu)，不需要?jiǎng)澐痔摂M網(wǎng)。在同一類用戶處于同一物理網(wǎng)段情況下可以采用此方案。每個(gè)子網(wǎng)具有相同的網(wǎng)絡(luò)號(hào)，但具有不同的子網(wǎng)號(hào)，子網(wǎng)之間通信需要路由。

情形2：計(jì)算機(jī)網(wǎng)絡(luò)采用全交換結(jié)構(gòu)，通過橋接方式互聯(lián)，盡管可以使用IP協(xié)議，但不劃分IP子網(wǎng)，整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)屬于一個(gè)IP網(wǎng)絡(luò)，其中主機(jī)的IP地址網(wǎng)絡(luò)號(hào)是相同的。此時(shí)，網(wǎng)絡(luò)中可以不使用路由器，IP子網(wǎng)的作用可以由VLAN來承擔(dān)，VLAN之間通信不需要路由。

情形3：同時(shí)劃分IP子網(wǎng)和VLAN，但是讓VLAN和IP子網(wǎng)一一對(duì)應(yīng)，即一個(gè)IP子網(wǎng)的成員都屬于一個(gè)VLAN。此時(shí)，VLAN之間的路由與子網(wǎng)之間的路由重合。這種劃分方法沒有實(shí)際意義。

情形4：同一子網(wǎng)的成員屬于不同的VLAN。這是在劃分子網(wǎng)后對(duì)成員進(jìn)一步分組導(dǎo)致的結(jié)果。應(yīng)用于一個(gè)子網(wǎng)內(nèi)部不同成員間安全通信的場(chǎng)合，可以采用劃分VLAN的方法將其中部分成員分到更小的組里面。每個(gè)成員具有相同的子網(wǎng)號(hào)和子網(wǎng)掩碼。此時(shí)，不需要為這些VLAN成員指定路由，因?yàn)樗鼈円呀?jīng)在一個(gè)子網(wǎng)里了。但子網(wǎng)之間需要路由。

情形5：同一VLAN的成員屬于不同子網(wǎng)。在具有相同需求的用戶分布在不同的物理位置時(shí)需要采用此方案，這時(shí)，即需要?jiǎng)澐肿泳W(wǎng)也需要?jiǎng)澐諺LAN，劃分子網(wǎng)是為了便于網(wǎng)絡(luò)設(shè)計(jì)、IP地址分配和鏈路聚合，劃分VLAN是為了滿足實(shí)現(xiàn)相同需求的用戶分布在不同的物理位置時(shí)相互安全通信的需要。此時(shí)，VALN之間的路由與子網(wǎng)間的路由一致。

情形6：在一個(gè)VLAN中劃分多個(gè)子網(wǎng)，這種方案沒有實(shí)際意義。

5 結(jié)論

通過上面的分析我們可以看到，IP子網(wǎng)和VLAN的關(guān)系比較密切，它們既有相同之處又有區(qū)別。在IP子網(wǎng)與VLAN共存的情況下，應(yīng)該合理地處理好它們之間的關(guān)系。一般來說，在IP子網(wǎng)內(nèi)再劃分VLAN的作法和把屬于不同子網(wǎng)的成員劃分一個(gè)VLAN的作法是合理的，這樣做體現(xiàn)了VLAN的作用。

參考文獻(xiàn)：

[1]林瑞初，王寶智.計(jì)算機(jī)網(wǎng)絡(luò)工程，清華大學(xué)出版社，2005.12.

[2]吳功宜.計(jì)算機(jī)網(wǎng)絡(luò)（第2版）.清華大學(xué)出版社，2007.3.