VLAN隔離技術

VLAN是對連線到的第二層交換機連線埠的網路用戶的邏輯分段，不受網路用戶的物理位置限制而根據用戶需求進行網路分段。一個VLAN可以在一個交換機或者跨交換機實現。VLAN可以根據網路用戶的位置、作用、部門或者根據網路用戶所使用的應用程式和協定來進行分組。同一個區域網路不同VLAN的主機間不能通信，802.1q標準規定在原有乙太網幀格式中增加一個特殊的標誌域Tag，用於標識區分普通標準以太幀和VLAN幀。Tag域共占4個位元組，包括TPID和TCI（Tag Control Information）兩個域。TPID是一個固定的16進制值0x8100，表示這是一個加了802.1q標籤的幀。Priority域占用3個bit位，用於標識數據幀的優先權。CFI域僅占1bit位，該位值為0表示該數據幀採用規範幀格式，為1表示該數據幀採用為非規範幀格式。VLAN ID域占用12個bit位，用於指明數據幀所屬的VLAN號

基於交換機的虛擬區域網路能夠為區域網路解決衝突域、廣播域、頻寬問題。一方面，VLAN建立在區域網路交換機的基礎之上；另一方面，VLAN是局域交換網的靈魂。這是因為通過 VLAN用戶能方便地在網路中移動和快捷地組建寬頻網路，而無需改變任何硬體和通信線路。這樣，網路管理員就能從邏輯上對用戶和網路資源進行分配，而無需考慮物理連線方式。 VLAN充分體現了現代網路技術的重要特徵：高速、靈活、管理簡便和擴展容易。是否具有VLAN功能是衡量區域網路交換機的一項重要指標。網路的虛擬化是未來網路發展的潮流。VLAN與普通區域網路從原理上講沒有什麼不同，但從用戶使用和網路管理的角度來看，VLAN與普通區域網路最基本的差異體現為：VLAN並不局限於某一網路或物理範圍，VLAN中的用戶可以位於一個園區的任意位置，甚至位於不同的國家。

傳統的共享介質的乙太網和交換式的乙太網中，所有的用戶在同一個廣播域中，會引起網路性能的下降，浪費可貴的頻寬；而且對廣播風暴的控制和網路安全只能在第三層的路由器上實現。

VLAN相當於OSI參考模型的第二層的廣播域，能夠將廣播風暴控制在一個VLAN內部，劃分VLAN後，由於廣播域的縮小，網路中廣播包消耗頻寬所占的比例大大降低，網路的性能得到顯著的提高。不同的VLAN之間的數據傳輸是通過第三層（網路層）的路由來實現的，因此使用VLAN技術，結合數據鏈路層和網路層的交換設備可搭建安全可靠的網路。網路管理員通過控制交換機的每一個連線埠來控制網路用戶對網路資源的訪問，同時VLAN和第三層第四層的交換結合使用能夠為網路提供較好的安全措施。

intel82573 VLAN網卡

另外，VLAN具有靈活性和可擴張性等特點，方便於網路維護和管理，這兩個特點正是現代區域網路設計必須實現的兩個基本目標, 在區域網路中有效利用虛擬區域網路技術能夠提高網路運行效率。

可以通過VLAN技術的交換機隔離不同組區域網路絡設備間的數據交換來達到網路安全的目的。使用VLAN隔離技術也有一個明顯的缺點，那就是要求網路管理員必須明確交換機的每一個物理連線埠上所連線的設備的MAC地址或者IP位址，根據需求劃分不同的工作組並對交換機進行配置。當某一網路終端的網卡、IP位址或是物理位置發生變化時，需要對整個

VLAN隔離技術

網路系統中多個相關的網路設備進行重新配置，這加重了網路管理員的維護工作量，所以也只適用於小型網路。

藉助VLAN技術，能將不同地點、不同網路、不同用戶組合在一起，形成一個虛擬的網路環境 ，就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管 理費用，特別是一些業務情況有經常性變動的公司使用了VLAN後，這部分管理費用大大降低。

因為一個VLAN就是一個單獨的廣播域，VLAN之間相互隔離，這大大提高了網路的利用率，確保了網路的安全保密性。人們在LAN上經常傳送一些保密的、關鍵性的數據。保密的數據應 提供訪問控制等安全手段。一個有效和容易實現的方法是將網路分段成幾個不同的廣播組，網路管理員限制了VLAN中用戶的數量，禁止未經允許而訪問VLAN中的套用。交換連線埠可以基於套用類型和訪問特權來進行分組，被限制的應用程式和資源一般置於安全性VLAN中。

基於連線埠的VLAN劃分是套用最廣泛的方法之一。該方法是根據乙太網交換機的連線埠來劃分廣播域。也就是說，交換機某些連線埠連線的主機在一個廣播域內，而另一些連線埠連線的主機在另一個廣播域。這種方法中VLAN各連線埠連線的主機無關。工作中我們可以利用這種方法，將同一部門的所有連線埠劃分進同一個VLAN。這樣部門內的主機間就可能相互通信，而且還能防止其他部門訪問本部門的數據。但這種方法也有一個缺點，不利於移動辦公。如果某位員工因工作需要換了一下辦公室，我們就得去為他將相應的連線埠所屬VLAN進行修改，否則他就無法訪問自己部門的主機了。隨著筆記本電腦的流行，人們辦公經常隨帶自己的電腦。比如教師，他們上課的教室不固定，而且同一教室也有不同教研室的老師上課。要滿足老師的這種需求我們就得不斷地為他們改變連線埠的VLAN。顯然這種情況下基於連線埠的VLAN劃分就不太合理。

基於MAC地址的VLAN劃分方法也是套用最廣泛的方法之一。該方法是根據連線在交換機上主機的MAC地址來劃分廣播域的。這種方法的VLAN劃分最大的優點就是與連線埠無關。同一主機無論連線到區域網路中的哪個連線埠，他所屬的VLAN不會改變。如果用戶辦公地點靈活套用這種方法劃分VLAN是很合適的。這種方法劃分VLAN的缺點是，管理員必須收集所有主機的MAC地址，工作量將會較大。

基於子網的VLAN劃分方法是根據網路主機使用的IP地址所在的網路子網來劃分廣播域的。IP位址屬於同一個子網的主機屬於同一個廣播域，而與主機的其它因素沒有任何關係。這種VLAN劃分方法管理配置靈活，網路用戶自由移動位置而不需重新配置主機或交換機，並且可以按照傳輸協定進行子網劃分，人而實現針對具體套用服務來組織網路用戶。但是，這種方法也有它不足的一面，因為為了判斷用戶屬性，必須檢查每一個數據包的網路層地址，這將耗費交換機不少的資源；並且同一個連線埠可能存在多個VLAN用戶，這對廣播幀的抵制效率有所下降。

基於策略的VLAN是一種比較靈活有效的VLAN劃分方法。該方法的核心是採用什麼樣的策略？常用的策略有（與廠商設備的支持有關）：按MAC地址，按IP位址，按乙太網協定類型，按網路的套用等

在同一個VLAN中的工作站，不論它們實際與哪個交換機連線，它們之間的通訊就好像在獨立的集線器上一樣。同一個VLAN中的廣播只有VLAN中的成員才能聽到，而不會傳輸到其他的 VLAN中去，這樣可以很好的控制不必要的廣播風暴的產生。同時，若沒有路由的話，不同VLAN之間不能相互通訊，這樣增加了企業網路中不同部門之間的安全性。網路管理員可以通過配置VLAN之間的路由來全面管理企業內部不同管理單元之間的信息互訪。交換機是根據用戶工作站的MAC地址來劃分VLAN的。所以，用戶可以自由的在企業網路中移動辦公，不論他在何處接入交換網路，他都可以與VLAN內其他用戶自如通訊。

VLAN隔離技術

VLAN技術允許網路管理者將一個物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。但由於它是邏輯地而不是物理地劃分，所以同一個VLAN內的各個工作站無須被放置在同一個物理空間裡，即這些工作站不一定屬於同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN 中，從而有助於控制流量、減少設備投資、簡化網路管理、提高網路的安全性。

通過VLAN隔離技術，可以把一個網路系統中眾多的網路設備分成若干個虛擬的工作組，組和組之間的網路設備在二層上相互隔離，形成不同的廣播域，將廣播流量限制在不同的廣播域。由於VLAN技術是基於二層和三層之間的隔離，可以將不同的網路用戶與網路資源進行分組並通過支持VLAN技術的交換機隔離不同組區域網路絡設備間的數據交換來達到網路安全的目的。該方式允許同一VLAN上的用戶互相通信，而處於不同VLAN的用戶之間在數據鏈路層上是斷開的，只能通過三層路由器才能訪問。

在安全性方面，VLAN隔離技術可以保證物理設備之間的隔離，但是對於同一台伺服器，只能做到同時向多個VLAN組全面開放或者是只向某個VLAN組開放，而不能針對個別用戶進行限制。在實際套用中，一台伺服器擔當多種伺服器角色，同時為多個VLAN組用戶提供不同的服務，這也帶來一定的安全隱患。比如：一台市場部電子商務伺服器，存儲有客戶數據，同時它也是一台財務部資料庫伺服器，存儲有財務數據，這樣該伺服器就同時需要向市場人員和財務人員開放，單純的採用VLAN技術就無法避免市場人員查看財務數據（當然，這種隱患可以通過其它輔助手段解決）。

現今VLAN技術經過多年的發展有了廣泛的使用，VLAN的劃分方法也不再是只能根據交換機的物理連線埠來劃分。VLAN一般的劃分方法有三種：1.基於連線埠劃分。由管理員指定靜態連線埠屬於哪個VLAN。2.基於MAC地址劃分。是按照每一個連線到交換機設備的物理地址定義MAC成員。3.基於第三成協定類型或者地址劃分。包括根據網路地址劃分，根據不同網路協定(TCP/IP、IPX、DECNET)劃分等等。

因為VLAN技術與區域網路技術息息相關，所以在介紹VLAN之前，了解區域網路的知識是有必要的。區域網路（LAN）通常被定義為一個單獨的廣播域，主要使用Hub，網橋，或交換機等網路設備連線同一網段內的所有節點。同處一個區域網路之內的網路節點之間可以不通過網路路由器直接進行通信；而處於不同區域網路段內的設備之間的通信則必須經過網路路由器。