VLAN（虛拟局域網）是對連接到的第二層交換機端口的網絡用戶的邏輯分(fēn)段，不受網絡用戶的物(wù)理位置限制而根據用戶需求進行網絡分(fēn)段。一(yī)個VLAN可以在一(yī)個交換機或者跨交換機實現。VLAN可以根據網絡用戶的位置、作用、部門或者根據網絡用戶所使用的應用程序和協議來進行分(fēn)組。基于交換機的虛拟局域網能夠爲局域網解決沖突域、廣播域、帶寬問題。

傳統的共享介質的以太網和交換式的以太網中(zhōng)，所有的用戶在同一(yī)個廣播域中(zhōng)，會引起網絡性能的下(xià)降，浪費(fèi)可貴的帶寬；而且對廣播風暴的控制和網絡安全隻能在第三層的路由器上實現。

VLAN相當于OSI參考模型的第二層的廣播域，能夠将廣播風暴控制在一(yī)個VLAN内部，劃分(fēn)VLAN後，由于廣播域的縮小(xiǎo)，網絡中(zhōng)廣播包消耗帶寬所占的比例大(dà)大(dà)降低，網絡的性能得到顯著的提高。不同的VLAN之間的數據傳輸是通過第三層（網絡層）的路由來實現的，因此使用VLAN技術，結合數據鏈路層和網絡層的交換設備可搭建安全可靠的網絡。網絡管理員(yuán)通過控制交換機的每一(yī)個端口來控制網絡用戶對網絡資(zī)源的訪問，同時VLAN和第三層第四層的交換結合使用能夠爲網絡提供較好的安全措施。 随着VLAN技術的日益完善，VLAN技術越來越多的應用在交換以太網中(zhōng)，成爲網絡靈活分(fēn)段和提高網絡安全的方法。

一(yī)、VLAN的劃分(fēn)方式

VLAN的劃分(fēn)方式很重要，在設計和建設VLAN，實現VLAN應用時，首先要決定如何劃分(fēn)VLAN，即依據什麽标準來組織VLAN成員(yuán)。下(xià)面介紹5種常見的劃分(fēn)方式，不同的劃分(fēn)方式代表不同的VLAN實現類型。

1、按端口劃分(fēn)VLAN

将交換機中(zhōng)的某些端口定義爲一(yī)個單獨的區域，從而形成一(yī)個VLAN。同一(yī)VLAN中(zhōng)的計算機屬于同一(yī)個網段，不同VLAN之間進行通信需要通過路由器。基于端口的VLAN的優點是配置起來非常方便，隻要在交換機上進行相關的設置就可以了，适用于網絡環境比較固定的情況。不足之處是不夠靈活，當一(yī)台計算機需要從一(yī)個端口移動到另一(yī)個新的端口，而新端口與舊(jiù)端口不屬于同一(yī)個VLAN時，要修改端口的VLAN設置，或在用戶計算機上重新配置網絡地址，這樣才能加入到新的VLAN中(zhōng)。否則，這台計算機将無法進行網絡通信。

基于端口的劃分(fēn)方式是最簡單也是最常用的。采用這種方式，将屬于不同交換機端口的物(wù)理網段分(fēn)在一(yī)個VLAN中(zhōng)，通過網絡管理軟件，根據VLAN标識符将不同的端口分(fēn)到相應的分(fēn)組（VLAN）中(zhōng)。例如，一(yī)個交換機的1、2、6、7端口被定義爲VLAN A，同一(yī)交換機的3、4、5端口組成VLAN 8，如圖1所示。這樣劃分(fēn)，允許各端口之間的通信，并允許共享型網絡的升級。遺憾的是，這種劃分(fēn)模式将虛拟網限制在了一(yī)台交換機上。

第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分(fēn)VLAN，不同交換機上的若幹個端口可以組成同一(yī)個VLAN。分(fēn)配到同一(yī)個VLAN的各網段上的所有站點都在同一(yī)個廣播域中(zhōng)，可以直接通信；不同VLAN地點間的通信則通過路由器或三層交換機。

交換機端口來劃分(fēn)VLAN，其配置過程簡單明了。迄今爲止，這仍然是最常用的一(yī)種方式，但是這種方式不允許多個VLAN共享一(yī)個物(wù)理網段或交換機端口。如果某一(yī)個用戶從一(yī)個端口所在的VLAN移動到另一(yī)個端口所在的VLAN，網絡管理員(yuán)需要重新進行配置，這對于擁有衆多移動用戶的網絡來說是不可想象的。

2、按MAC地址劃分(fēn)VLAN

每塊網卡都有一(yī)個獨一(yī)無二的硬件物(wù)理地址，這個地址就是MAC地址，俗稱爲“網卡号”。在Windows中(zhōng)可用“ipconfig/all”命令來查看這一(yī)地址。

MAC地址是連接在網絡中(zhōng)的每個設備網卡的物(wù)理地址，由IEEE控制，全球找不到兩塊具有相同MAC地址的網卡。MAC地址屬于數據鏈路層，以此作爲劃分(fēn)VLAN的依據，能很好地獨立于網絡層上的各種應用。如圖2所示，用此種方式構成的VLAN就是一(yī)些MAC地址的集合，它解決了網絡處理站點的移動問題。對于連接于交換機端口的工(gōng)作站來說，在它們初始化時，相應的交換機要在VLAN的管理信息庫中(zhōng)檢查MAC地址，從而動态地匹配該端口到相應的VLAN中(zhōng)。

按MAC地址劃分(fēn)的VLAN允許網絡用戶從一(yī)個物(wù)理位置移動到另一(yī)個物(wù)理位置，并且自動保留其所屬VLAN網段的成員(yuán)身份。同時，這種方式獨立于網絡的高層協議（如TCP/IP、IP和IPX等）。從某種意義上講，利用MAC地址定義VLAN可以看成是一(yī)種基于用戶的網絡劃分(fēn)手段。

這種方法的一(yī)個缺點是所有的用戶必須被明确地分(fēn)配給一(yī)個VLAN。在這種初始化工(gōng)作完成之後，對用戶的自動跟蹤才成爲可能。在一(yī)個擁有大(dà)量節點的大(dà)型網絡中(zhōng)，如果要求管理員(yuán)将每個用戶都一(yī)一(yī)劃分(fēn)到某一(yī)個VLAN，實在是太困難了。

3、基于網絡層劃分(fēn)VLAN

可以基于網絡層來劃分(fēn)VLAN，有兩種方案，一(yī)種按協議（如果網絡中(zhōng)存在多協議）來劃分(fēn)，如上圖3所示；另一(yī)種是按網絡層地址（最常見的是TCP/IP中(zhōng)的子網段地址）來劃分(fēn)，如圖4所示。

建立VLAN也可使用與管理路由相同的策略。根據IP子網、IPX網絡号及其他協議劃分(fēn)VLAN。同一(yī)協議的工(gōng)作站劃分(fēn)爲一(yī)個VLAN，交換機檢查廣播幀的以太幀标題域，查看其協議類型，若已存在該協議的VLAN，則加入源端口，否則，創建—個新的VLAN。這種方式構成的VLAN，不但大(dà)大(dà)減少了人工(gōng)配置VLAN的工(gōng)作量，同時保證了用戶自由地增加、移動和修改。不同VLAN網段上的站點可屬于同一(yī)VLAN，在不同VLAN上的站點也可在同一(yī)物(wù)理網段上。

利用網絡層定義VLAN缺點也是有的。與利用MAC地址的形式相比，基于網絡層的VLAN需要分(fēn)析各種協議的地址格式并進行相應的轉換。因此，使用網絡層信息來定義VLAN的交換機要比使用數據鏈路層信息的交換機在速度上占劣勢。

4、基于IP廣播組劃分(fēn)

可将任何屬于同一(yī)IP廣播組的計算機劃分(fēn)到同一(yī)VLAN。當IP包廣播到網絡上時，它将被傳送到一(yī)組IP地址的受托者那裏。該組被明确定義了的廣播組是在網絡運行中(zhōng)動态生(shēng)成的。任何一(yī)個工(gōng)作站都有機會成爲某一(yī)個廣播組的成員(yuán)，隻要它對該廣播組的廣播确認信息給予肯定的回答。所有加入同一(yī)個廣播組的工(gōng)作站被視爲同一(yī)個VLAN的成員(yuán)，他們的這種成員(yuán)身份可根據實際需求保留一(yī)定的時間。因此，利用IP廣播域來劃分(fēn)VLAN的方法給用戶帶來了巨大(dà)的靈活性和可延展性。在這種方式下(xià)，整個網絡可以非常方便地通過路由器擴展網絡規模。

5、基于規則的VLAN

也稱爲基于策略的VLAN。這是最靈活的VLAN劃分(fēn)方法，具有自動配置的能力，能夠把相關的用戶連成一(yī)體(tǐ)，在邏輯劃分(fēn)上稱爲“關系網絡”。網絡管理員(yuán)隻需在網管軟件中(zhōng)确定劃分(fēn)VLAN的規則（或屬性），那麽當一(yī)個站點加入網絡中(zhōng)時，将會被“感知(zhī)”，并被自動地包含進正确的VLAN中(zhōng)。同時，對站點的移動和改變也可自動識别和跟蹤。

采用這種方式，整個網絡可以非常方便地通過路由器擴展網絡規模。有的産品還支持一(yī)個端口上的主機分(fēn)别屬于不同的VLAN，這在交換機與共享式Hub共存的環境中(zhōng)顯得尤爲重要。自動配置VLAN時，交換機中(zhōng)軟件自動檢查進入交換機端口的廣播信息的IP源地址，然後軟件自動将這個端口分(fēn)配給一(yī)個由IP子網映射成的VLAN。

二、VLAN的優點

VLAN的優點主要體(tǐ)現在以下(xià)3個方面：

1、控制廣播風暴

網絡管理必須解決因大(dà)量廣播信息帶來帶寬消耗的問題。VLAN作爲一(yī)種網絡分(fēn)段技術，可将廣播風暴限制在一(yī)個VLAN内部，避免影響其他網段。與傳統局域網相比，VLAN能夠更加有效地利用帶寬。在VLAN中(zhōng)，網絡被邏輯地分(fēn)割成廣播域，由VLAN成員(yuán)所發送的信息幀或數據包僅在VLAN内的成員(yuán)之間傳送，而不是向網上的所有工(gōng)作站發送。這樣可減少主幹網的流量，提高網絡速度。

2、增強網絡的安全性

共享式LAN上的廣播必然會産生(shēng)安全性問題，因爲網絡上的所有用戶都能監測到流經的業務，用戶隻要插入任一(yī)活動端口就可訪問網段上的廣播包。采用VLAN提供的安全機制，可以限制特定用戶的訪問，控制廣播組的大(dà)小(xiǎo)和位置，甚至鎖定網絡成員(yuán)的MAC地址，這樣，就限制了未經安全許可的用戶和網絡成員(yuán)對網絡的使用。

3、增強網絡管理

采用VLAN技術，使用VLAN管理程序可對整個網絡進行集中(zhōng)管理，能夠更容易地實現網絡的管理性。用戶可以根據業務需要快速組建和調整VLAN。當鏈路擁擠時，利用管理程序能夠重新分(fēn)配業務。管理程序還能夠提供有關工(gōng)作組的業務量、廣播行爲以及統計特性等的詳盡報告。對于網絡管理員(yuán)來說，所有這些網絡配置和管理工(gōng)作都是透明的。VLAN變動時，用戶無需了解網絡的接線情況和協議是如何重新設置的。

VLAN還能減少因網絡成員(yuán)變化所帶來的開(kāi)銷。在添加、删除和移動網絡成員(yuán)時，不用重新布線，也不用直接對成員(yuán)進行配置。若采用傳統局域網技術，那麽當網絡達到一(yī)定規模時，此類開(kāi)銷往往會成爲管理員(yuán)的沉重負擔。