虛擬局域網技術研究

摘要：虛擬局域網是一種將物理局域網邏輯劃分成多個不同的網段從而實現虛擬工作組的技術。文章對VLAN劃分、VLAN幀格式、三層交換和VLAN路由技術及應用進行了全面詳盡的描述，并介紹了思科交換機的VLAN配置方法。相比較傳統的局域網布局，VLAN技術更加靈活，因此有著廣泛的市場前景，在大中型企業網、校園網、智能小區、城域網建設中將獲得廣泛的應用。

關鍵詞：交換技術；路由；VLAN；局域網

0 引言

虛擬局域網即VLAN(Virtual Local Area Network)，是一種將物理局域網邏輯劃分成多個不同的網段從而實現虛擬工作組的技術。VLAN技術將一個物理的局域網邏輯劃分成多個不同的廣播域，每個廣播域屬于一個VLAN，同一個VLAN內的各個工作站可以屬于同一個物理網段，也可以屬于不同的物理網段。VLAN內部的廣播和單播流量在數據鏈路層是無法轉發到其他VLAN中的，這樣能有效地解決以太網的廣播風暴和安全性問題。

VLAN技術在數據鏈路層隔離了各個不同VLAN之間的通信，要實現不同VLAN之間的相互通信，必須借助網絡層的路由功能。網絡管理員通過對VLAN之間的路由參數或訪問控制列表的配置，就可以控制不同VLAN之間站點的相互通信，全面管理企業內部不同部門之間的信息互訪和通信安全。

1 VLAN的劃分

VLAN劃分在設計與實現VLAN應用時是十分重要的。不同的劃分方式代表不同的VLAN實現類型。

1.1基于交換機端口來劃分VLAN

將一臺交換機上的幾個端口或多臺交換機上的若干個不同端口從邏輯上劃分到一個組，每個組構成一個VLAN，并為該VLAN配置一個IP地址，該VLAN中所有計算機都以這個IP地址作為網關，一個VLAN對應一個子網，不同的VLAN處于不同的子網。被設定同一VLAN中的所有端口都在同一個廣播域內。端口VLAN劃分又可以分為單交換機端口VLAN劃分和多交換機端口VLAN劃分兩種方式。前者支持在一臺交換機上指定若干個端口組成一個VLAN；而后者則可以使一個VLAN跨越多臺交換機，并且同一臺交換機上的端口可以屬于不同的VLAN。

這種劃分方法的優點是定義VLAN成員簡單，只要將需要的端口加入到相應的VLAN組即可。它的缺點是如果某臺工作站從交換機原來的端口移動到了一個新的端口，而這兩個端口若屬于不同VLAN時，就需要重新配置該工作站的網絡地址或重新配置交換機的VLAN。

1.2基于MAC地址劃分VLAN

根據每臺主機的MAC地址來劃分VLAN。它是將一組MAC地址劃分到一個VLAN。其優點是當用戶主機物理位置移動時，即從一臺交換機端口移動到其他的交換機端口時，VLAN不用重新配置。其缺點是初始化時，要將所有主機的MAC地址輸入到交換機的配置文件中，如果有幾百個甚至上千個用戶主機的話，網管員的配置工作量很大。此外，也會使每一個交換機的端口可能存在多個VLAN組的成員，這樣就無法限制廣播包了。

1.3基于網絡層劃分VLAN

根據每臺主機的網絡地址或協議類型(如果支持多協議)劃分VLAN。其優點是用戶的物理位置改變了，不需要重新配置所屬的VLAN。VLAN按網絡層協議類型來劃分，可分為IP、IPX、DECnet、AppleTalk和Bandyan等VLAN網絡，這種按網絡層協議組成的VLAN，可使廣播域跨越多個VLAN交換機。這種方法在數據幀不需要附加的幀標簽識別VLAN，可以減少網絡通信負載。缺點是效率較低。

1.4基于策略劃分VLAN

每個組播分別劃分到一個VLAN，靈活性好，容易通過路由器進行擴展，可以將VLAN擴大到廣域網，但不適合于局域網，運行效率相對比較低。

1.5基于策略劃分VLAN

基于策略組成的VLAN能實現多種劃分方法，包括基于VLAN交換機端口、MAC地址、IP地址和網絡層協議的劃分等。網絡管理人員可根據自己的管理模式和實際需求決定選擇哪種類型的VLAN。

1.6基于用戶定義、非用戶授權劃分VLAN

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文”