VLAN技术简介-组网工程与技术

1.VLAN基本概念

VLAN（Virtual LAN，虚拟局域网）是交换机最常见的一个技术名词，也是交换机必备的功能之一。一般接入交换机支持的VLAN数量都在1000个以上。在学习VLAN之前，首先回顾一下在计算机网络原理课程中学习到的关于广播域的概念。广播域（Broadcast Domain）是一个逻辑上连接成网络的计算机组，该组内的所有计算机都会收到同样的广播信息。广播域是基于OSI模型第2层（链路层）的概念，就是说如果连接网络的某个站点发出一个广播信号后能接收到这个信号的范围。通常来说一个局域网就是一个广播域。广播域内所有的设备都必须监听所有的广播包，如果广播域太大了，用户的带宽就小了，并且需要处理更多的广播，网络响应时间将会扩大，以至于产生严重的广播风暴，导致交换机无法正常工作。

为了解决这个问题，引发了VLAN的概念，VLAN就是指网络中的站点不受物理位置的约束，根据不同的需要灵活地加入不同广播域的一种网络技术。VLAN是由一个或多个交换机组成的广播域。交换机是第二层设备，不能隔离广播域，也就是交换机所有的端口都在同一个广播域中，广播域是指其中的站点具有相同的网络地址。只有第3层设备，也就是路由器才能隔离广播域，并且，不同广播域之间的通信必须经过路由器进行。

一个VLAN中的所有设备都是同一广播域的成员，一个VLAN内的主机发送一个广播，该VLAN的所有其他成员都会收到该广播，该广播将被不是同一VLAN成员的所有端口设备过滤掉。

通过使用VLAN技术，可以按交换机端口以及所连接的用户进行逻辑分组。可以把一个交换机或多个相连的交换机的端口和用户划分为不同的组，通过这种方式，VLAN可以跨越一栋建筑的多层、多个互连的建筑，甚至城域网，如图3-12所示。

图3-12 VLAN技术应用

每个交换机的一个端口在一个广播域中，分别是VLAN 1、VLAN 2和VLAN 3。这样就保证了主机A、主机B和主机C虽然物理位置不同（连接着不同的交换机），但是它们属于一个广播域，如果没有路由器相连，VLAN 1、VLAN 2和VLAN 3不能直接通信。交换机在这里虽然是第二层设备，但是却“划分”了广播域。

VLAN成员大多是基于交换机上的端口号来划分的，即可以设置交换机的哪些端口属于哪些VLAN，但是也可以基于设备的MAC地址而动态设置。另外，一个端口只能属于一个VLAN。交换机允许在同一台交换机上存在多个VLAN，也允许这些VLAN跨越其他交换机。可以把一个或多个互连的交换机的端口或用户划分为特定的VLAN分组，一个VLAN中的广播数据不会转发至其他VLAN。另一方面，端口也不会接收任何其他VLAN中的广播数据。这种结构大量地减少广播数据，提供给用户更多的带宽，减少受广播风暴影响的可能性。在实际的应用中，一般是同一组或部门中的所有用户都属于同一个VLAN，同一个VLAN中的所有用户位于同一个IP子网中。

2.VLAN的分类

基本上，VLAN可以分为以下两类。

（1）静态VLAN

静态VLAN是由管理员静态分配端口VLAN关系的VLAN。这种VLAN的成员关系只有管理员能改动。虽然静态VLAN需要管理员手工管理，但它安全性高、易于控制、易于监视。在设备变动较少的网络中使用静态VLAN是不错的。(www.xing528.com)

静态VLAN又可以称为基于端口的VLAN或者说以端口为中心的VLAN，VLAN的划分是按照端口来进行的，通过将端口指派到一个VLAN中来建立VLAN的成员关系。当一台设备接入到网络中时，它会自动使用该端口所属的VLAN，如果该设备换了端口，但仍要访问原来的VLAN，管理员必须手工地把这个新端口加入到原来的VLAN中。

Cisco的交换机都有一个默认的VLAN，即VLAN1。这个VLAN也是Cisco交换机的管理VLAN。一台交换机，如果还没有配置，那么交换机上的所有端口都默认属于VLAN1。VLAN1是不能被删除的。在实际配置交换机时，可以把端口从默认的VLAN1中加入到其他VLAN中。

（2）动态VLAN

动态VLAN可以动态地决定端口所属的VLAN关系。动态VLAN的功能基于MAC地址，逻辑地址和数据包的类型。当一个终端设备连接至一个未划分的端口时，交换机根据接入设备的MAC查询用户的配置数据库来配置新接入的设备。这种技术的好处是当用户移动时可以减少到设备间的跳线的工作，还有当一个未知的设备接入网络时可以提供中心的报警功能。特别是，这种方式需要更多的工作来管理配置软件的数据库以及配置一个精确的用户数据库。如Cisco公司推出有Cisco Works for Switched Internetworks管理软件支持分配主机的MAC地址的方式建立VLAN。

3.VLAN的划分方法

通常交换机的VLAN划分方法可以分为以下几种。

1）根据端口来划分VLAN。基于端口的VLAN划分方式是较常用的一种划分方法，目前许多厂商的交换产品均支持这一功能。其原理是按照用户交换机端口来定义VLAN用户，即VLAN从逻辑上把局域网交换机的端口划分开来，然后根据用户需要的IP地址在VLAN中划分子网。

2）根据MAC地址划分VLAN。MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是唯一且固化在网卡上的。MAC地址由12位十六进制数表示，前8位为厂商标识，后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。

3）基于路由的VLAN划分。路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。

4）根据IP组播划分VLAN。IP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。

以上划分VLAN的方式中，基于端口的VLAN端口方式建立在物理层上；MAC方式建立在数据链路层上；IP广播方式建立在网络层上。