VLAN

虛拟區域網路

百科名片

   [虛拟區域網路]

VLAN（Virtual Local Area Network）的中文名為"虛拟區域網路"。VLAN是一種将區域網路裝置從邏輯上劃分成一個個網段，進而實作虛拟工作組的新興資料交換技術。這一新興技術主要應用于交換機和路由器中，但主流應用還是在交換機之中。但又不是所有交換機都具有此功能，隻有VLAN協定的第三層以上交換機才具有此功能，這一點可以檢視相應交換機的說明書即可得知。

目錄

    什麼是VLAN

    VLAN的目的

    VLAN的優點

       1. 1. 廣播風暴防範：

       2. 2. 安全：

       3. 3.成本降低：

       4. 4.性能提高：

       5. 5.提高IT員工效率：

       6. 6.簡化項目管理或應用管理：

       7. 7. 增加了網絡連接配接的靈活性。

    組建VLAN的條件

    VLAN的劃分

       1. 1.根據端口來劃分VLAN

       2. 2.根據MAC位址劃分VLAN

       3. 3.根據網絡層劃分VLAN

       4. 4.根據IP多點傳播劃分VLAN

       5. 5.基于規則的VLAN

       6. 6. 按使用者定義、非使用者授權劃分VLAN

    VLAN的标準

    劃分VLAN的基本政策

       1. 1、基于端口的VLAN劃分

       2. 2、基于MAC位址的VLAN劃分

       3. 3、基于路由的VLAN劃分

    VLAN技術簡單談

    VLAN的定義及特點

    VLAN的分類及優缺點

       1. 1. 基于端口的VLAN

       2. (1) 多交換機端口定義VLAN

       3. (2) 單交換機端口定義VLAN

       4. 2. 基于MAC位址的VLAN

       5. 3. 基于路由的VLAN

       6. 4. 基于政策的VLAN

    常見的應用VLAN

       1. 基于端口的虛拟區域網路的優缺點

       2. 靜态虛拟區域網路的優缺點

       3. 動态的虛拟區域網路的優缺點

    VLAN發展趨勢

    VLAN的基本配置指令

    公司内部進行VLAN的劃分執行個體

        * VLAN的定義及特點

        * VLAN的分類及優缺點

             1. 1. 基于端口的VLAN

             2. (1) 多交換機端口定義VLAN

             3. (2) 單交換機端口定義VLAN

             4. 2. 基于MAC位址的VLAN

             5. 3. 基于路由的VLAN

             6. 4. 基于政策的VLAN

        * 常見的應用VLAN

             1. 基于端口的虛拟區域網路的優缺點

             2. 靜态虛拟區域網路的優缺點

             3. 動态的虛拟區域網路的優缺點

        * VLAN發展趨勢

        * VLAN的基本配置指令

        * 公司内部進行VLAN的劃分執行個體

展開

編輯本段

什麼是VLAN

　　IEEE于1999年頒布了用以标準化VLAN實作方案的802.1Q協定标準草案。VLAN技術的出現，使得管理者根據實際應用需求，把同一實體區域網路内的不同使用者邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有着相同需求的計算機工作站，與實體上形成的LAN有着相同的屬性。由于它是從邏輯上劃分，而不是從實體上劃分，是以同一個 VLAN内的各個工作站沒有限制在同一個實體範圍中，即這些工作站可以在不同實體LAN網段。由VLAN的特點可知，一個VLAN内部的廣播和單點傳播流量都不會轉發到其他VLAN中，進而有助于控制流量、減少裝置投資、簡化網絡管理、提高網絡的安全性。

　　交換技術的發展，也加快了新的交換技術（VLAN）的應用速度。通過将企業網絡劃分為虛拟網絡VLAN網段，可以強化網絡管理和網絡安全，控制不必要的資料廣播。在共享網絡中，一個實體的網段就是一個廣播域。而在交換網絡中，廣播域可以是有一組任意標明的第二層網絡位址（MAC位址）組成的虛拟網段。這樣，網絡中工作組的劃分可以突破共享網絡中的地理位置限制，而完全根據管理功能來劃分。這種基于工作流的分組模式，大大提高了網絡規劃和重組的管理功能。在同一個VLAN中的工作站，不論它們實際與哪個交換機連接配接，它們之間的通訊就好象在獨立的交換機上一樣。同一個VLAN中的廣播隻有 VLAN中的成員才能聽到，而不會傳輸到其他的 VLAN中去，這樣可以很好的控制不必要的廣播風暴的産生。同時，若沒有路由的話，不同VLAN之間不能互相通訊，這樣增加了企業網絡中不同部門之間的安全性。網絡管理者可以通過配置VLAN之間的路由來全面管理企業内部不同管理單元之間的資訊互訪。交換機是根據使用者工作站的MAC位址來劃分VLAN的。是以，使用者可以自由的在企業網絡中移動辦公，不論他在何處接入交換網絡，他都可以與VLAN内其他使用者自如通訊。

　　VLAN網絡可以是有混合的網絡類型裝置組成，比如：10M以太網、100M以太網、令牌網、FDDI、CDDI等等，可以是工作站、伺服器、集線器、網絡上行主幹等等。

　　VLAN除了能将網絡劃分為多個廣播域，進而有效地控制廣播風暴的發生，以及使網絡的拓撲結構變得非常靈活的優點外，還可以用于控制網絡中不同部門、不同站點之間的互相通路。

　　VLAN是為解決以太網的廣播問題和安全性而提出的一種協定，它在以太網幀的基礎上增加了 VLAN頭，用VLAN ID把使用者劃分為更小的工作組，限制不同工作組間的使用者互訪，每個工作組就是一個虛拟區域網路。虛拟區域網路的好處是可以限制廣播範圍，并能夠形成虛拟工作組，動态管理網絡。

VLAN的目的

　　VLAN（Virtual Local Area Network，虛拟區域網路）技術的出現，主要為了解決交換機在進行區域網路互連時無法限制廣播的問題。這種技術可以把一個LAN劃分成多個邏輯的LAN ——VLAN，每個VLAN是一個廣播域，VLAN内的主機間通信就和在一個LAN内一樣，而VLAN間則不能直接互通，這樣，廣播封包被限制在一個 VLAN内。

VLAN的優點

1. 廣播風暴防範：

　　限制網絡上的廣播，将網絡劃分為多個VLAN可減少參與廣播風暴的裝置數量。LAN分段可以防止廣播風暴波及整個網絡。VLAN可以提供建立防火牆的機制，防止交換網絡的過量廣播。使用VLAN，可以将某個交換端口或使用者賦于某一個特定的VLAN組，該VLAN組可以在一個交換網中或跨接多個交換機， 在一個VLAN中的廣播不會送到VLAN之外。同樣，相鄰的端口不會收到其他VLAN産生的廣 播。這樣可以減少廣播流量，釋放帶寬給使用者應用，減少廣播的産生。

2. 安全：

　　增強區域網路的安全性，含有敏感資料的使用者組可與網絡的其餘部分隔離，進而降低洩露機密資訊的可能性。不同VLAN内的封包在傳輸時是互相隔離的，即一個VLAN内的使用者不能和其它VLAN内的使用者直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層裝置。

3.成本降低：

　　成本高昂的網絡更新需求減少，現有帶寬和上行鍊路的使用率更高，是以可節約成本。

4.性能提高：

　　将第二層平面網絡劃分為多個邏輯工作組（廣播域）可以減少網絡上不必要的流量并提高性能。

5.提高IT員工效率：

　　VLAN為網絡管理帶來了友善，因為有相似網絡需求的使用者将共享同一個VLAN。

6.簡化項目管理或應用管理：

　　VLAN 将使用者和網絡裝置聚合到一起，以支援商業需求或地域上的需求。通過職能劃分，項目管理或特殊應用的處理都變得十分友善，例如可以輕松管理教師的電子教學開發平台。此外，也很容易确定更新網絡服務的影響範圍。[1]

7. 增加了網絡連接配接的靈活性。

　　借助VLAN技術，能将不同地點、不同網絡、不同使用者組合在一起，形成一個虛拟的網絡環境 ，就像使用本地LAN一樣友善、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管 理費用，特别是一些業務情況有經常性變動的公司使用了VLAN後，這部分管理費用大大降低。

組建VLAN的條件

　　VLAN是建立在實體網絡基礎上的一種邏輯子網，是以建立VLAN需要相應的支援VLAN技術的網絡裝置。當網絡中的不同VLAN間進行互相通信時，需要路由的支援，這時就需要增加路由裝置——要實作路由功能，既可采用路由器，也可采用三層交換機來完成。同時還嚴格限制了使用者數量.

VLAN的劃分

1.根據端口來劃分VLAN

　　許多VLAN廠商都利用交換機的端口來劃分VLAN成員。被設定的端口都在同一個廣播域中。例如，一個交換機的1，2，3，4，5端口被定義為虛拟網 AAA，同一交換機的6，7，8端口組成虛拟網BBB。這樣做允許各端口之間的通訊，并允許共享型網絡的更新。但是，這種劃分模式将虛拟網限制在了一台交換機上。

　　第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分VLAN，不同交換機上的若幹個端口可以組成同一個虛拟網。

　　以交換機端口來劃分網絡成員，其配置過程簡單明了。是以，從目前來看，這種根據端口來劃分VLAN的方式仍然是最常用的一種方式。

2.根據MAC位址劃分VLAN

　　這種劃分VLAN的方法是根據每個主機的MAC位址來劃分，即對每個MAC位址的主機都配置它屬于哪個組。這種劃分VLAN方法的最大優點就是當使用者實體位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，是以，可以認為這種根據MAC位址的劃分方法是基于使用者的VLAN，這種方法的缺點是初始化時，所有的使用者都必須進行配置，如果有幾百個甚至上千個使用者的話，配置是非常累的。而且這種劃分的方法也導緻了交換機執行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。另外，對于使用筆記本電腦的使用者來說，他們的網卡可能經常更換，這樣，VLAN就必須不停地配置。

3.根據網絡層劃分VLAN

　　這種劃分VLAN的方法是根據每個主機的網絡層位址或協定類型(如果支援多協定)劃分的，雖然這種劃分方法是根據網絡位址，比如IP位址，但它不是路由，與網絡層的路由毫無關系。

　　這種方法的優點是使用者的實體位置改變了，不需要重新配置所屬的VLAN，而且可以根據協定類型來劃分VLAN，這對網絡管理者來說很重要，還有，這種方法不需要附加的幀标簽來識别VLAN，這樣可以減少網絡的通信量。

　　這種方法的缺點是效率低，因為檢查每一個資料包的網絡層位址是需要消耗處理時間的(相對于前面兩種方法)，一般的交換機晶片都可以自動檢查網絡上資料包的以太網幀頭，但要讓晶片能檢查IP幀頭，需要更高的技術，同時也更費時。當然，這與各個廠商的實作方法有關。

4.根據IP多點傳播劃分VLAN

　　IP 多點傳播實際上也是一種VLAN的定義，即認為一個多點傳播組就是一個VLAN，這種劃分的方法将VLAN擴大到了廣域網，是以這種方法具有更大的靈活性，而且也很容易通過路由器進行擴充，當然這種方法不适合區域網路，主要是效率不高。

5.基于規則的VLAN

　　也稱為基于政策的VLAN。這是最靈活的VLAN劃分方法，具有自動配置的能力，能夠把相關的使用者連成一體，在邏輯劃分上稱為“關系網絡”。網絡管理者隻需在網管軟體中确定劃分VLAN的規則（或屬性），那麼當一個站點加入網絡中時，将會被“感覺”，并被自動地包含進正确的VLAN中。同時，對站點的移動和改變也可自動識别和跟蹤。

　　采用這種方法，整個網絡可以非常友善地通過路由器擴充網絡規模。有的産品還支援一個端口上的主機分别屬于不同的VLAN，這在交換機與共享式Hub共存的環境中顯得尤為重要。自動配置VLAN時，交換機中軟體自動檢查進入交換機端口的廣播資訊的 IP源位址，然後軟體自動将這個端口配置設定給一個由IP子網映射成的VLAN。

6. 按使用者定義、非使用者授權劃分VLAN

　　基于使用者定義、非使用者授權來劃分VLAN，是指為了适應特别的VLAN網絡，根據具體的網絡使用者的特别要求來定義和設計VLAN，而且可以讓非VLAN群體使用者通路VLAN，但是需要提供使用者密碼，在得到VLAN管理的認證後才可以加入一個VLAN。

　　* 以上劃分VLAN的方式中，基于端口的VLAN端口方式建立在實體層上；MAC方式建立在資料鍊路層上；網絡層和IP廣播方式建立在第三層上。

VLAN的标準

　　對VLAN的标準，我們隻是介紹兩種比較通用的标準，當然也有一些公司具有自己的标準，比如Cisco公司的ISL标準，雖然不是一種大衆化的标準，但是由于Cisco Catalyst交換機的大量使用，ISL也成為一種不是标準的标準了。

　　· 802.10VLAN标準

　　在1995年，Cisco公司提倡使用IEEE802.10協定。在此之前，IEEE802.10曾經在全球範圍内作為VLAN安全性的同一規範。Cisco公司試圖采用優化後的 802.10幀格式在網絡上傳輸FramTagging模式中所必須的VLAN标簽。然而，大多數802委員會的成員都反對推廣802.10。因為，該協定是基于FrameTagging方式的。

　　· 802.1Q

　　在1996年3月，IEEE802.1Internetworking委員會結束了對VLAN 初期标準的修訂工作。新出台的标準進一步完善了VLAN的體系結構，統一了Fram-eTagging方式中不同廠商的标簽格式，并制定了VLAN标準在未來一段時間内的發展方向，形成的802.1Q的标準在業界獲得了廣泛的推廣。它成為VLAN史上的一塊裡程碑。802.1Q的出現打破了虛拟網依賴于單一廠商的僵局，從一個側面推動了VLAN的迅速發展。另外，來自市場的壓力使各大網絡廠商立刻将新标準融合到他們各自的産品中。

　　· Cisco ISL 标簽

　　ISL（Inter-Switch Link)是Cisco公司的專有封裝方式，是以隻能在Cisco的裝置上支援。ISL是一個在交換機之間、交換機與路由器之間及交換機與伺服器之間傳遞多個VLAN資訊及VLAN資料流的協定，通過在交換機直接的端口配置ISL封裝，即可跨越交換機進行整個網絡的VLAN配置設定和配置。

劃分VLAN的基本政策

　　從技術角度講，VLAN的劃分可依據不同原則，一般有以下三種劃分方法：

1、基于端口的VLAN劃分

　　這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法隻需網絡管理者對網絡裝置的交換端口進行重新配置設定即可，不用考慮該端口所連接配接的裝置。

2、基于MAC位址的VLAN劃分

　　MAC位址其實就是指網卡的辨別符，每一塊網卡的MAC位址都是唯一且固化在網卡上的。MAC位址由12位16進制數表示，前6位為網卡的廠商辨別（OUI），後6位為網卡辨別（NIC）。網絡管理者可按MAC位址把一些站點劃分為一個邏輯子網。

3、基于路由的VLAN劃分

　　路由協定工作在網絡層，相應的工作裝置有路由器和路由交換機（即三層交換機）。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。

　　就目前來說，對于VLAN的劃分主要采取上述第1、3種方式，第2種方式為輔助性的方案。

VLAN技術簡單談

　　區域網路的發展是VLAN産生的基礎，是以在介紹VLAN之前，我們先來了解一下區域網路的有關知識。

　　區域網路（LAN）通常是一個單獨的廣播域，主要由Hub、網橋或交換機等網絡裝置連接配接同一網段内的所有節點形成。處于