VLAN是英文Virtual Local Area Network的縮寫, 即虛拟局域網。一方面, VLAN建立在局域網交換機的基礎之上；另一方面, VLAN是局域交換網的靈魂。這是因為通過VLAN用戶能方便地在網絡中移動和快捷地組建寬帶網絡, 而無需改變任何硬件和通信線路。這樣, 網絡管理員就能從邏輯上對用戶和網絡資源進行分配, 而無需考慮物理連接方式。 VLAN充分體現了現代網絡技術的重要特征：高速、靈活、管理簡便和擴展容易。是否具有VLAN功能是衡量局域網交換機的一項重要指标。網絡的虛拟化是未來網絡發展的潮流。VLAN與普通局域網從原理上講沒有什麼不同, 但從用戶使用和網絡管理的角度來看, VLAN與普通局域網最基本的差異體現在：VLAN并不局限于某一網絡或物理範圍, VLAN中的用戶可以位于一個園區的任意位置, 甚至位于不同的國家。

Vlan 是一種邏輯上的局域網, 他可以将不同交換機, 不同地域的接口劃分到一個虛拟的 LAN 中, 便于管理和維護, 同時劃分 vlan 還可以隔離廣播流量, 防止大型網絡中多台機器廣播影響性能。

對一個極大規模的未分配vlan的網絡, 不明地址的單播幀和組播流量能在同一個廣播域中暢通無阻, 例如下圖, 是一個由 5 台二層交換機(交換機 1～5)連接了大量客戶機構成的網絡。假設這時,計算機 A 需要與計算機 B 通信。在基于以太網的通信中, 必須在數據幀中指定目标 MAC 地址才能正常通信, 因此計算機 A 必須先廣播“ARP 請求(ARP Request)信息”, 來嘗試獲取計算機 B 的 MAC 地址。

交換機 1 收到廣播幀(ARP 請求)後, 會将它轉發給除接收端口外的其他所有端口, 也就是 Flooding了。接着, 交換機 2 收到廣播幀後也會 Flooding。交換機 3、4、5 也還會 Flooding。最終 ARP 請求會被轉發到同一網絡中的所有客戶機上。

1．廣播信息消耗了網絡整體的帶寬。

2．收到廣播信息的計算機還要消耗一部分 CPU 時間來對它進行處理。造成了網絡帶寬和 CPU 運

算能力的大量無謂消耗。

随着網絡的迅速發展, 用戶對于網絡數據通信的安全性提出了更高的要求, 諸如防範黑客攻擊、控制病毒傳播等, 都要求保證網絡用戶通信的相對安全性；傳統的解決方法是給每個客戶分配一個 VLAN和相關的 IP 子網, 通過使用 VLAN, 每個客戶被從第 2 層隔離開, 可以防止任何惡意的行為和 Ethernet的信息探聽。 然而, 這種分配每個客戶單一 VLAN 和 IP 子網的模型造成了巨大的可擴展方面的局限。這些局限主要有下述幾方面。

1. VLAN 的限制：交換機固有的 VLAN 數目的限制

2. 複雜的 STP：對于每個 VLAN, 每個相關的 Spanning Tree 的拓撲都需要管理

3. IP 地址的緊缺：IP 子網的劃分勢必造成一些 IP 地址的浪費

4. 路由的限制：每個子網都需要相應的默認網關的配置

從安全上考慮, 現在有了一種新的 VLAN 機制, 所有服務器在同一個子網中, 但服務器隻能與自己的默認網關通信。這一新的 VLAN 特性就是專用 VLAN(Private VLAN)。PVLAN 的應用對于保證接入網絡的數據通信的安全性是非常有效的, 用戶隻需與自己的默認網關連接, 一個 pVLAN 不需要多個 VLAN 和 IP 子網就提供了具備第 2 層數據通信安全性的連接, 所有的用戶都接入PVLAN, 從而實現了所有用戶與默認網關的連接, 而與pVLAN内的其他用戶沒有任何訪問。PVLAN功能可以保證同一個VLAN中的各個端口相互之間不能通信, 但可以穿過Trunk端口。這樣即使同一VLAN中的用戶, 相互之間也不會受到廣播的影響。

VLAN 在交換機上的實現方法, 可以大緻劃分為六類:

1. 基于端口劃分的 VLAN

這是最常應用的一種 VLAN 劃分方法, 應用也最為廣泛、最有效, 目前絕大多數 VLAN 協議的

交換機都提供這種 VLAN 配置方法。這種劃分 VLAN 的方法是根據以太網交換機的交換端口來劃分

的, 它是将 VLAN 交換機上的物理端口和 VLAN 交換機内部的 PVC(永久虛電路)端口分成若幹個組,

每個組構成一個虛拟網, 相當于一個獨立的 VLAN 交換機。

對于不同部門需要互訪時, 可通過路由器轉發, 并配合基于 MAC 地址的端口過濾。對某站點

的訪問路徑上最靠近該站點的交換機、路由交換機或路由器的相應端口上, 設定可通過的 MAC 地

址集。這樣就可以防止非法入侵者從内部盜用 IP 地址從其他可接入點入侵的可能。

從這種劃分方法本身我們可以看出, 這種劃分的方法的優點是定義VLAN成員時非常簡單, 隻

要将所有的端口都定義為相應的 VLAN 組即可。适合于任何大小的網絡。它的缺點是如果某用戶離

開了原來的端口, 到了一個新的交換機的某個端口, 必須重新定義。

2. 基于 MAC 地址劃分 VLAN

這種劃分VLAN的方法是根據每個主機的MAC地址來劃分, 即對每個MAC地址的主機都配置

他屬于哪個組, 它實現的機制就是每一塊網卡都對應唯一的MAC地址, VLAN交換機跟蹤屬于VLAN

MAC 的地址。這種方式的 VLAN 允許網絡用戶從一個物理位置移動到另一個物理位置時, 自動保留

其所屬 VLAN 的成員身份。

由這種劃分的機制可以看出, 這種 VLAN 的劃分方法的最大優點就是當用戶物理位置移動時,

即從一個交換機換到其他的交換機時, VLAN不用重新配置, 因為它是基于用戶, 而不是基于交換機

的端口。這種方法的缺點是初始化時, 所有的用戶都必須進行配置, 如果有幾百個甚至上千個用戶

的話, 配置是非常累的, 所以這種劃分方法通常适用于小型局域網。而且這種劃分的方法也導緻了

交換機執行效率的降低, 因為在每一個交換機的端口都可能存在很多個 VLAN 組的成員, 保存了許

多用戶的 MAC 地址, 查詢起來相當不容易。另外, 對于使用筆記本電腦的用戶來說, 他們的網卡可

能經常更換, 這樣 VLAN 就必須經常配置。

3. 基于網絡層協議劃分 VLAN

VLAN 按網絡層協議來劃分, 可分為 IP、IPX、DECnet、AppleTalk、Banyan 等 VLAN 網絡。這種

按網絡層協議來組成的 VLAN, 可使廣播域跨越多個 VLAN 交換機。這對于希望針對具體應用和服

務來組織用戶的網絡管理員來說是非常具有吸引力的。而且, 用戶可以在網絡内部自由移動, 但其

VLAN 成員身份仍然保留不變。

這種方法的優點是用戶的物理位置改變了, 不需要重新配置所屬的 VLAN, 而且可以根據協議

類型來劃分 VLAN, 這對網絡管理者來說很重要, 還有, 這種方法不需要附加的幀标簽來識别 VLAN,

這樣可以減少網絡的通信量。這種方法的缺點是效率低, 因為檢查每一個數據包的網絡層地址是需

要消耗處理時間的(相對于前面兩種方法), 一般的交換機芯片都可以自動檢查網絡上數據包的以

太網祯頭, 但要讓芯片能檢查 IP 幀頭, 需要更高的技術, 同時也更費時。當然, 這與各個廠商的實

現方法有關。

4. 根據 IP 組播劃分 VLAN

IP 組播實際上也是一種 VLAN 的定義, 即認為一個 IP 組播組就是一個 VLAN。這種劃分的方法

将 VLAN 擴大到了廣域網, 因此這種方法具有更大的靈活性, 而且也很容易通過路由器進行擴展,

主要适合于不在同一地理範圍的局域網用戶組成一個 VLAN, 不适合局域網, 主要是效率不高。

5. 按策略劃分 VLAN

基于策略組成的 VLAN 能實現多種分配方法, 包括 VLAN 交換機端口、MAC 地址、IP 地址、網

絡層協議等。網絡管理人員可根據自己的管理模式和本單位的需求來決定選擇哪種類型的 VLAN 。

6. 按用戶定義、非用戶授權劃分 VLAN

基于用戶定義、非用戶授權來劃分 VLAN, 是指為了适應特别的 VLAN 網絡, 根據具體的網絡用

戶的特别要求來定義和設計 VLAN, 而且可以讓非 VLAN 群體用戶訪問 VLAN, 但是需要提供用戶密

碼, 在得到 VLAN 管理的認證後才可以加入一個 VLAN。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!