摘要 VLAN具有靈活性和可擴(kuò)張性等特點(diǎn)，方便于網(wǎng)絡(luò)維護(hù)和管理，這兩個(gè)特點(diǎn)正是現(xiàn)代局域網(wǎng)設(shè)計(jì)必須實(shí)現(xiàn)的兩個(gè)基本目標(biāo)，在局域網(wǎng)中有效利用虛擬局域網(wǎng)技術(shù)能夠提高網(wǎng)絡(luò)運(yùn)行效率。

關(guān)鍵詞 VLAN技術(shù) 局域網(wǎng)

VLAN技術(shù)是對(duì)連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段?？梢栽谝粋€(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。

一、VLAN技術(shù)概述

1 VLAN技術(shù)與局域網(wǎng)技術(shù)息息相關(guān)。局域網(wǎng)(LAN)通常被定義為一個(gè)單獨(dú)的廣播域，主要使用Hub，網(wǎng)橋，或交換機(jī)等網(wǎng)絡(luò)設(shè)備連接同一網(wǎng)段內(nèi)的所有節(jié)點(diǎn)。同處一個(gè)局域網(wǎng)之內(nèi)的網(wǎng)絡(luò)節(jié)點(diǎn)之間可以不通過網(wǎng)絡(luò)路由器直接進(jìn)行通信；而處于不同局域網(wǎng)段內(nèi)的設(shè)備之間的通信則必須經(jīng)過網(wǎng)絡(luò)路由器。

二、VLAN的優(yōu)點(diǎn)

1 可以控制網(wǎng)絡(luò)廣播。VLAN是對(duì)連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè)VLAN可以根據(jù)各個(gè)部門的職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將網(wǎng)站工作用丫在工作組或子網(wǎng)之間移動(dòng)。利用VLAN技術(shù)，大大減輕網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費(fèi)用。

2 可以增強(qiáng)網(wǎng)絡(luò)安全。VLAN相當(dāng)于OSI參考模型的第二層的廣播域，能夠?qū)V播風(fēng)暴控制在一個(gè)VLAN內(nèi)部，劃分VLAN后，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。不同的VLAN之間的數(shù)據(jù)傳輸是通過第三層(網(wǎng)絡(luò)層)的路由來實(shí)現(xiàn)的。因此使用VLAN技術(shù)。結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備可搭建安全可靠的網(wǎng)絡(luò)。

三、VLAN劃分方法

1 按照端口來虛擬局域網(wǎng)。VLAN的特點(diǎn)具有靈活性和可擴(kuò)張性等，方便于網(wǎng)絡(luò)維護(hù)和管理，這兩個(gè)特點(diǎn)正是現(xiàn)代局域網(wǎng)設(shè)計(jì)必須實(shí)現(xiàn)的兩個(gè)基本目標(biāo)，在局域網(wǎng)中有效利用虛擬局域網(wǎng)技術(shù)能夠提高網(wǎng)絡(luò)運(yùn)行效率。這是最常用的一種VLAN劃分方法，應(yīng)用非常廣泛也很有效，當(dāng)前大多數(shù)VLAN協(xié)議的交換機(jī)都提供這種VLAN配置方法。這是根據(jù)以太網(wǎng)交換機(jī)的交換端口來劃分的，它是將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的永久虛電路，端口分成若干個(gè)等級(jí)。每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的VLAN交換機(jī)。對(duì)于不同部門需要互相訪問時(shí)，可通過路由器轉(zhuǎn)發(fā)，并配合根據(jù)MAC地址的端口過濾。對(duì)某站點(diǎn)的訪問路徑上最近站點(diǎn)的交換機(jī)、路由交換機(jī)或路由器的相應(yīng)端口上，設(shè)定可通過的MAC地址集。這樣就可以防止非法入侵者從內(nèi)部盜用IP地址從其他可接入點(diǎn)入侵的可能。廠商都利用交換機(jī)的端口來劃分VLAN成員。第二代端口VLAN可以跨越許多交換機(jī)的多個(gè)端口劃分VLAN，不同交換機(jī)上的若干個(gè)端口可以組成同一個(gè)虛擬網(wǎng)。憑借交換機(jī)端口來劃分網(wǎng)絡(luò)成員，其過程非常的簡單。因此，從當(dāng)前來看，這種根據(jù)端口來劃分VLAN的方式仍然是最常用的一種方式。當(dāng)然它也有不足之處，如果某用戶修改端口，必須重新定義網(wǎng)絡(luò)地址。

2 按照網(wǎng)絡(luò)層來虛擬局域網(wǎng)。根據(jù)網(wǎng)絡(luò)層來劃分VLAN有按協(xié)議(如果網(wǎng)絡(luò)中存在多協(xié)議)來劃分：還有一種是按網(wǎng)絡(luò)層地址(最常見的是TCP／IP中的子網(wǎng)段地址)來劃分，建立VLAN技術(shù)也可使用與管理路由相同的策略。按照網(wǎng)絡(luò)層的VLAN技術(shù)需要分析各種協(xié)議的地址格式并進(jìn)行相應(yīng)的轉(zhuǎn)換。因此。這種方法不需要附加的幀標(biāo)簽來識(shí)別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。由于這種方法要檢查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址時(shí)需要消耗處理的時(shí)間。因此效率低。

3 按照MAC地址來虛擬局域網(wǎng)。按照MAC地址來虛擬局域網(wǎng)是用終端系統(tǒng)的MAC地址定義的VLAN。MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的MAC地址都是惟一的。這種方法允許工作站移動(dòng)到網(wǎng)絡(luò)的其他物理網(wǎng)段，而用戶不需要進(jìn)行網(wǎng)絡(luò)地址的重新配置資格。在網(wǎng)絡(luò)規(guī)模較小時(shí)，該方案可以說是一個(gè)好的方法，但隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)設(shè)備、用戶的增加，由于需要交換機(jī)進(jìn)行復(fù)雜的手工配置，則會(huì)在很大程度上加大管理的難度。

4 按照規(guī)則來虛擬局域網(wǎng)。這是比較靈活的VLAN劃分方法，具有自動(dòng)配置的能力，能夠把相關(guān)的用戶連成一體，在邏輯劃分上稱為“關(guān)系網(wǎng)絡(luò)”。網(wǎng)絡(luò)管理員只需在網(wǎng)絡(luò)軟件中確定劃分VLAN或?qū)傩?，那么?dāng)一個(gè)站點(diǎn)加入網(wǎng)絡(luò)中時(shí)，對(duì)站點(diǎn)的移動(dòng)和改變也可自動(dòng)識(shí)別和跟蹤。同時(shí)，將會(huì)被“感知”，并被自動(dòng)地包含進(jìn)正確的VLAN中。采用這種方法，可以使整個(gè)網(wǎng)絡(luò)方便地通過路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。

5 按照IP組播來虛擬局域網(wǎng)。在根據(jù)IP地址虛擬局域網(wǎng)中，新站點(diǎn)在入網(wǎng)時(shí)無需進(jìn)行太多配置，交換機(jī)則根據(jù)各站點(diǎn)網(wǎng)絡(luò)地址自動(dòng)將其劃分成不同的虛擬局域網(wǎng)。在三種虛擬局域網(wǎng)的實(shí)現(xiàn)技術(shù)中，根據(jù)IP地址的虛擬局域網(wǎng)智能化程度最高，實(shí)現(xiàn)起來也IP組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個(gè)組播組就是一個(gè)VLAN，這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高。

小結(jié)：VLAN技術(shù)的使用為解決網(wǎng)絡(luò)配置和管理提供了良好的方法，隨著局域網(wǎng)和用戶數(shù)量的不斷增加，VLAN技術(shù)將得到更加廣泛的使用，目前superVLAN技術(shù)還處于初級(jí)階段，但有理由相信其有著巨大的發(fā)展空間，VLAN技術(shù)必將發(fā)揮更大的作用。