虛擬區域網路

IEEE於1999年頒布了用於標準化VLAN實現方案的802.1Q協定標準草案。VLAN技術的出現，使得管理員根據實際套用需求，把同一物理區域網路內的不同用戶邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。由於它是從邏輯上劃分，而不是從物理上劃分，所以同一個VLAN內的各個工作站沒有限制在同一個物理範圍中，即這些工作站可以在不同物理LAN網段。由VLAN的特點可知，一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中，從而有助於控制流量、減少設備投資、簡化網路管理、提高網路的安全性。

Vlan網卡 Intel82573

交換技術的發展，也加快了新的交換技術（VLAN）的套用速度。通過將企業網路劃分為虛擬網絡VLAN網段，可以強化網路管理和網路安全，控制不必要的數據廣播。在共享網路中，一個物理的網段就是一個廣播域。而在交換網路中，廣播域可以是有一組任意選定的第二層網路地址（MAC地址）組成的虛擬網段。這樣，網路中工作組的劃分可以突破共享網路中的地理位置限制，而完全根據管理功能來劃分。這種基於工作流的分組模式，大大提高了網路規劃和重組的管理功能。在同一個VLAN中的工作站，不論它們實際與哪個交換機連線，它們之間的通訊就好象在獨立的交換機上一樣。同一個VLAN中的廣播只有VLAN中的成員才能聽到，而不會傳輸到其他的VLAN中去，這樣可以很好的控制不必要的廣播風暴的產生。同時，若沒有路由的話，不同VLAN之間不能相互通訊，這樣增加了企業網路中不同部門之間的安全性。網路管理員可以通過配置VLAN之間的路由來全面管理企業內部不同管理單元之間的信息互訪。交換機是根據工作站的MAC地址來劃分VLAN的。所以，用戶可以自由的在企業網路中移動辦公，不論他在何處接入交換網路，他都可以與VLAN內其他用戶自由通訊。

VLAN網路可以是有混合的網路類型設備組成，比如：10M乙太網、100M乙太網、令牌網、FDDI、CDDI等等，可以是工作站、伺服器、集線器、網路上行主幹等。

VLAN除了能將網路劃分為多個廣播域，從而有效地控制廣播風暴的發生，以及使網路的拓撲結構變得非常靈活的優點外，還可以用於控制網路中不同部門、不同站點之間的互相訪問。

物理位置不同的多個主機如果劃分屬於同一個VLAN，則這些主機之間可以相互通信。物理位置相同的多個主機如果屬於不同的VLAN，則這些主機之間不能直接通信。VLAN通常在交換機或路由器上實現，在乙太網幀中增加VLAN標籤來給乙太網幀分類，具有相同VLAN標籤的乙太網幀在同一個廣播域中傳送。

VLAN是為解決乙太網的廣播問題和安全性而提出的一種協定，它在乙太網幀的基礎上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶互訪，每個工作組就是一個虛擬區域網路。虛擬區域網路的好處是可以限制廣播範圍，並能夠形成虛擬工作組，動態管理網路。

VLAN（Virtual Local Area Network，虛擬區域網路）的目的非常的多。通過認識VLAN的本質，將可以了解到其用處究竟在哪些地方。

1、要知道192.168.1.2/30和192.168.2.6/30都屬於不同的網段，都必須要通過路由器才能進行訪問，凡是不同網段間要互相訪問，都必須通過路由器。

2、VLAN本質就是指一個網段，之所以叫做虛擬的區域網路，是因為它是在虛擬的路由器的接口下創建的網段。

下面，給予說明。比如一個路由器只有一個用於終端連線的連線埠（當然這種情況基本不可能發生，只不過簡化舉例），這個連線埠被分配了192.168.1.1/24的地址。然而由於公司有兩個部門，一個銷售部，一個企劃部，每個部門要求單獨成為一個子網，有單獨的伺服器。那么當然可以劃分為192.168.1.0--127/25、192.168.1.128--255/25。但是路由器的物理連線埠只應該可以分配一個IP位址，那怎樣來區分不同網段了？這就可以在這個物理連線埠下，創建兩個子接口---邏輯接口實現。

比如邏輯接口F0/0.1就分配IP位址192.168.1.1/25，用於銷售部，而F0/0.2就分配IP位址192.168.1.129/25，用於企劃部。這樣就等於用一個物理連線埠卻實現了兩個邏輯接口的功能，這樣就將原本只能劃分一個網段的情形，擴展到了可以劃分2個或者更多個網段的情形。這些網段因為是在邏輯接口下創建的，所以稱之為虛擬區域網路VLAN。這是在路由器的層次上闡述了VLAN的目的。

3、將在交換機的層次上闡述VLAN的目的。

在現實中，由於很多原因必須劃分出不同網段。比如就簡單的只有銷售部和企劃部兩個網段。那么可以簡單的將銷售部全部接入一個交換機，然後接入路由器的一個連線埠，把企劃部全部接入一個交換機，然後接入一個路由器連線埠。這種情況是LAN。然而正如上面所說，如果路由器就一個用於終端的接口，那么這兩個交換機就必須接入這同一個路由器的接口，這個時候，如果還想保持原來的網段的劃分，那么就必須使用路由器的子接口，創建VLAN。

同樣，比如兩個交換機，如果你想要每個交換機上的連線埠都分別屬於不同的網段，那么你有幾個網段，就提供幾個路由器的接口，這個時候，雖然在路由器的物理接口上可以定義這個接口可以連線哪個網段，但是在交換機的層次上，它並不能區分哪個連線埠屬於哪個網段，那么唯一實現能區分的方法，就是劃分VLAN，使用了VLAN就能區分出某個交換機連線埠的終端是屬於哪個網段的。

綜上，當一個交換機上的所有連線埠中有至少一個連線埠屬於不同網段的時候，當路由器的一個物理連線埠要連線2個或者以上的網段的時候，就是VLAN發揮作用的時候，這就是VLAN的目的。

限制網路上的廣播，將網路劃分為多個VLAN可減少參與廣播風暴的設備數量。VLAN分段可以防止廣播風暴波及整個網路。VLAN可以提供建立防火牆的機制，防止交換網路的過量廣播。使用VLAN，可以將某個交換連線埠或用戶賦予某一個特定的VLAN組，該VLAN組可以在一個交換網中或跨接多個交換機，在一個VLAN中的廣播不會送到VLAN之外。同樣，相鄰的連線埠不會收到其他VLAN產生的廣播。這樣可以減少廣播流量，釋放頻寬給用戶套用，減少廣播的產生。

增強區域網路的安全性’含有敏感數據的用戶組可與網路的其餘部分隔離，從而降低泄露機密信息的可能性。不同VLAN內的報文在傳輸時是相互隔離的，即一個VLAN內的用戶不能和其他VLAN內的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備。

成本高昂的網路升級需求減少，現有頻寬和上行鏈路的利用率更高，因而可節約成本。

將第二層平面網路劃分為多個邏輯工作組(廣播域)可以減少網路上不必要的流量並提高性能。

VLAN為網路管理帶來了方便，因為有相似網路需求的用戶將共享同一個VLAN。

VLAN將用戶和網路設備聚合到一起，以支持商業需求或地域上的需求。通過職能劃分，項目管理或特殊套用的處理都變得十分方便，例如可以輕鬆管理教師的電子教學開發平台。此外，也很容易確定升級網路服務的影響範圍。

藉助VLAN技術，能將不同地點、不同網路、不同用戶組合在一起，形成一個虛擬的網路環境，就像使用本地VLAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管理費用，特別是一些業務情況有經常性變動的公司使用了VLAN後，這部分管理費用大大降低。

VLAN是建立在物理網路基礎上的一種邏輯子網，因此建立VLAN需要相應的支持VLAN技術的網路設備。當網路中的不同VLAN間進行相互通信時，需要路由的支持，這時就需要增加路由設備——要實現路由功能，既可採用路由器，也可採用三層交換機來完成，同時還嚴格限制了用戶數量。

許多VLAN廠商都利用交換機的連線埠來劃分VLAN成員。被設定的連線埠都在同一個廣播域中。例如，一個交換機的1，2，3，4，5連線埠被定義為虛擬網AAA，同一交換機的6，7，8連線埠組成虛擬網BBB。這樣做允許各連線埠之間的通訊，並允許共享型網路的升級。但是，這種劃分模式將虛擬網限制在了一台交換機上。

第二代連線埠VLAN技術允許跨越多個交換機的多個不同連線埠劃分VLAN，不同交換機上的若干個連線埠可以組成同一個虛擬網。

以交換機連線埠來劃分網路成員，其配置過程簡單明了。因此，從目前來看，這種根據連線埠來劃分VLAN的方式仍然是最常用的一種方式。

這種劃分VLAN的方法是根據每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置它屬於哪個組。這種劃分VLAN方法的最大優點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，所以，可以認為這種根據MAC地址的劃分方法是基於用戶的VLAN，這種方法的缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的。而且這種劃分的方法也導致了交換機執行效率的降低，因為在每一個交換機的連線埠都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。另外，對於使用筆記本電腦的用戶來說，他們的網卡可能經常更換，這樣，VLAN就必須不停地配置。

這種劃分VLAN的方法是根據每個主機的網路層地址或協定類型(如果支持多協定)劃分的，雖然這種劃分方法是根據網路地址，比如IP位址，但它不是路由，與網路層的路由毫無關係。

這種方法的優點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據協定類型來劃分VLAN，這對網路管理者來說很重要，還有，這種方法不需要附加的幀標籤來識別VLAN，這樣可以減少網路的通信量。

這種方法的缺點是效率低，因為檢查每一個數據包的網路層地址是需要消耗處理時間的(相對於前面兩種方法)，一般的交換機晶片都可以自動檢查網路上數據包的乙太網幀頭，但要讓晶片能檢查IP幀頭，需要更高的技術，同時也更費時。當然，這與各個廠商的實現方法有關。

IP組播實際上也是一種VLAN的定義，即認為一個組播組就是一個VLAN，這種劃分的方法將VLAN擴大到了廣域網，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，當然這種方法不適合區域網路，主要是效率不高。

也稱為基於策略的VLAN。這是最靈活的VLAN劃分方法，具有自動配置的能力，能夠把相關的用戶連成一體，在邏輯劃分上稱為“關係網路”。網路管理員只需在網管軟體中確定劃分VLAN的規則（或屬性），那么當一個站點加入網路中時，將會被“感知”，並被自動地包含進正確的VLAN中。同時，對站點的移動和改變也可自動識別和跟蹤。

採用這種方法，整個網路可以非常方便地通過路由器擴展網路規模。有的產品還支持一個連線埠上的主機分別屬於不同的VLAN，這在交換機與共享式Hub共存的環境中顯得尤為重要。自動配置VLAN時，交換機中軟體自動檢查進入交換機連線埠的廣播信息的IP源地址，然後軟體自動將這個連線埠分配給一個由IP子網映射成的VLAN。

基於用戶定義、非用戶授權來劃分VLAN，是指為了適應特別的VLAN網路，根據具體的網路用戶的特別要求來定義和設計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認證後才可以加入一個VLAN。

以上劃分VLAN的方式中，基於連線埠的VLAN連線埠方式建立在物理層上；MAC方式建立在數據鏈路層上；網路層和IP廣播方式建立在第三層上。

(1) IEEE 802.1Q

IEEE 802. 1Q是IEEE 802委員會制定的VLAN標準。是否支持1EEE 802. 1Q標準，是衡量LAN交換機的重要指標之一。目前，新一代的LAN交換機都支持IEEE 802. 1Q，而較早的設備則不支持。

(2) Cisco公司的ISL協定

ISL(Inter Switch Link)協定是由Cisco開發的，它支持實現跨多個交換機的VLAN。該協定使用10bit定址技術，數據包只傳送到那些具有相同10bit地址的交換機和鏈路上，由此來進行邏輯分組，控制交換機和路由器之間廣播和傳輸的流量。

儘管大約有80%的通信流量發生在VLAN內，但仍然有大約20%的通信流量要跨越不同的VLAN。目前，解決VLAN之間的通信主要採用路由器技術。

VLAN之間通信一般採用兩種路由策略，即集中式路由和分散式路由。

(1)集中式路由

集中式路由策略是指所有VLAN都通過一個中心路由器實現互聯。對於同一交換機（一般指二層交換機）上的兩個連線埠，如果它們屬於兩個不同的VLAN，儘管它們在同一交換機上，在數據交換時也要通過中心路由器來選擇路由。

這種方式的優點是簡單明了，邏輯清晰。缺點是由於路由器的轉發速度受限，會加大網路時延，容易發生擁塞現象。因此，這就要求中心路由器提供很高的處理能力和容錯特性。

(2)分散式路由

分散式路由策略是將路由選擇功能適當地分布在帶有路由功能的交換機上（指三層交換機），同一交換機上的不同VLAN可以直接實現互通，這種路由方式的優點是具有極高的路由速度和良好的可伸縮性。