虛擬區域網路

IEEE於1999年頒布了用於標準化VLAN實現方案的802.1Q協定標準草案。VLAN技術的出現，使得管理員根據實際套用需求，把同一物理區域網路內的不同用戶邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。由於它是從邏輯上劃分，而不是從物理上劃分，所以同一個VLAN內的各個工作站沒有限制在同一個物理範圍中，即這些工作站可以在不同物理LAN網段。由VLAN的特點可知，一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中，從而有助於控制流量、減少設備投資、簡化網路管理、提高網路的安全性。

Vlan網卡 Intel82573

交換技術的發展，也加快了新的交換技術（VLAN）的套用速度。通過將企業網路劃分為虛擬網絡VLAN網段，可以強化網路管理和網路安全，控制不必要的數據廣播。在共享網路中，一個物理的網段就是一個廣播域。而在交換網路中，廣播域可以是有一組任意選定的第二層網路地址（MAC地址）組成的虛擬網段。這樣，網路中工作組的劃分可以突破共享網路中的地理位置限制，而完全根據管理功能來劃分。這種基於工作流的分組模式，大大提高了網路規劃和重組的管理功能。在同一個VLAN中的工作站，不論它們實際與哪個交換機連線，它們之間的通訊就好象在獨立的交換機上一樣。同一個VLAN中的廣播只有VLAN中的成員才能聽到，而不會傳輸到其他的VLAN中去，這樣可以很好的控制不必要的廣播風暴的產生。同時，若沒有路由的話，不同VLAN之間不能相互通訊，這樣增加了企業網路中不同部門之間的安全性。網路管理員可以通過配置VLAN之間的路由來全面管理企業內部不同管理單元之間的信息互訪。交換機是根據工作站的MAC地址來劃分VLAN的。所以，用戶可以自由的在企業網路中移動辦公，不論他在何處接入交換網路，他都可以與VLAN內其他用戶自如通訊。

VLAN網路可以是有混合的網路類型設備組成，比如：10M乙太網、100M乙太網、令牌網、FDDI、CDDI等等，可以是工作站、伺服器、集線器、網路上行主幹等等。

VLAN除了能將網路劃分為多個廣播域，從而有效地控制廣播風暴的發生，以及使網路的拓撲結構變得非常靈活的優點外，還可以用於控制網路中不同部門、不同站點之間的互相訪問。

物理位置不同的多個主機如果劃分屬於同一個VLAN，則這些主機之間可以相互通信。物理位置相同的多個主機如果屬於不同的VLAN，則這些主機之間不能直接通信。VLAN通常在交換機或路由器上實現，在乙太網幀中增加VLAN標籤來給乙太網幀分類，具有相同VLAN標籤的乙太網幀在同一個廣播域中傳送。

VLAN是為解決乙太網的廣播問題和安全性而提出的一種協定，它在乙太網幀的基礎上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶互訪，每個工作組就是一個虛擬區域網路。虛擬區域網路的好處是可以限制廣播範圍，並能夠形成虛擬工作組，動態管理網路。

VLAN（Virtual Local Area Network，虛擬區域網路）的目的非常的多。通過認識VLAN的本質，將可以了解到其用處究竟在哪些地方。

第一，要知道192.168.1.2/30和192.168.2.6/30都屬於不同的網段，都必須要通過路由器才能進行訪問，凡是不同網段間要互相訪問，都必須通過路由器。

第二，VLAN本質就是指一個網段，之所以叫做虛擬的區域網路，是因為它是在虛擬的路由器的接口下創建的網段。

下面，給予說明。比如一個路由器只有一個用於終端連線的連線埠（當然這種情況基本不可能發生，只不過簡化舉例），這個連線埠被分配了192.168.1.1/24的地址。然而由於公司有兩個部門，一個銷售部，一個企劃部，每個部門要求單獨成為一個子網，有單獨的伺服器。那么當然可以劃分為192.168.1.0--127/25、192.168.1.128--255/25。但是路由器的物理連線埠只應該可以分配一個IP位址，那怎樣來區分不同網段了？這就可以在這個物理連線埠下，創建兩個子接口---邏輯接口實現。

比如邏輯接口F0/0.1就分配IP位址192.168.1.1/25，用於銷售部，而F0/0.2就分配IP位址192.168.1.129/25，用於企劃部。這樣就等於用一個物理連線埠卻實現了兩個邏輯接口的功能，這樣就將原本只能劃分一個網段的情形，擴展到了可以劃分2個或者更多個網段的情形。這些網段因為是在邏輯接口下創建的，所以稱之為虛擬區域網路VLAN。

這是在路由器的層次上闡述了VLAN的目的。

第三，將在交換機的層次上闡述VLAN的目的。

在現實中，由於很多原因必須劃分出不同網段。比如就簡單的只有銷售部和企劃部兩個網段。那么可以簡單的將銷售部全部接入一個交換機，然後接入路由器的一個連線埠，把企劃部全部接入一個交換機，然後接入一個路由器連線埠。這種情況是LAN。然而正如上面所說，如果路由器就一個用於終端的接口，那么這兩個交換機就必須接入這同一個路由器的接口，這個時候，如果還想保持原來的網段的劃分，那么就必須使用路由器的子接口，創建VLAN.

同樣，比如兩個交換機，如果你想要每個交換機上的連線埠都分別屬於不同的網段，那么你有幾個網段，就提供幾個路由器的接口，這個時候，雖然在路由器的物理接口上可以定義這個接口可以連線哪個網段，但是在交換機的層次上，它並不能區分哪個連線埠屬於哪個網段，那么唯一實現能區分的方法，就是劃分VLAN，使用了VLAN就能區分出某個交換機連線埠的終端是屬於哪個網段的。

綜上，當一個交換機上的所有連線埠中有至少一個連線埠屬於不同網段的時候，當路由器的一個物理連線埠要連線2個或者以上的網段的時候，就是VLAN發揮作用的時候，這就是VLAN的目的。

限制網路上的廣播，將網路劃分為多個VLAN可減少參與廣播風暴的設備數量。LAN分段可以防止廣播風暴波及整個網路。VLAN可以提供建立防火牆的機制，防止交換網路的過量廣播。使用VLAN，可以將某個交換連線埠或用戶賦於某一個特定的VLAN組，該VLAN組可以在一個交換網中或跨接多個交換機，在一個VLAN中的廣播不會送到VLAN之外。同樣，相鄰的連線埠不會收到其他VLAN產生的廣 播。這樣可以減少廣播流量，釋放頻寬給用戶套用，減少廣播的產生。

增強區域網路的安全性，含有敏感數據的用戶組可與網路的其餘部分隔離，從而降低泄露機密信息的可能性。不同VLAN內的報文在傳輸時是相互隔離的，即一個VLAN內的用戶不能和其它VLAN內的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備。

成本高昂的網路升級需求減少，現有頻寬和上行鏈路的利用率更高，因此可節約成本。

將第二層平面網路劃分為多個邏輯工作組（廣播域）可以減少網路上不必要的流量並提高性能。

VLAN為網路管理帶來了方便，因為有相似網路需求的用戶將共享同一個VLAN。

VLAN 將用戶和網路設備聚合到一起，以支持商業需求或地域上的需求。通過職能劃分，項目管理或特殊套用的處理都變得十分方便，例如可以輕鬆管理教師的電子教學開發平台。此外，也很容易確定升級網路服務的影響範圍。

藉助VLAN技術，能將不同地點、不同網路、不同用戶組合在一起，形成一個虛擬的網路環境，就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管理費用，特別是一些業務情況有經常性變動的公司使用了VLAN後，這部分管理費用大大降低。

VLAN是建立在物理網路基礎上的一種邏輯子網，因此建立VLAN需要相應的支持VLAN技術的網路設備。當網路中的不同VLAN間進行相互通信時，需要路由的支持，這時就需要增加路由設備——要實現路由功能，既可採用路由器，也可採用三層交換機來完成，同時還嚴格限制了用戶數量。

按連線埠劃分VLAN

許多VLAN廠商都利用交換機的連線埠來劃分VLAN成員。被設定的連線埠都在同一個廣播域中。例如，一個交換機的1，2，3，4，5連線埠被定義為虛擬網AAA，同一交換機的6，7，8連線埠組成虛擬網BBB。這樣做允許各連線埠之間的通訊，並允許共享型網路的升級。但是，這種劃分模式將虛擬網限制在了一台交換機上。

第二代連線埠VLAN技術允許跨越多個交換機的多個不同連線埠劃分VLAN，不同交換機上的若干個連線埠可以組成同一個虛擬網。

以交換機連線埠來劃分網路成員，其配置過程簡單明了。因此，從目前來看，這種根據連線埠來劃分VLAN的方式仍然是最常用的一種方式。

按MAC地址劃分VLAN

這種劃分VLAN的方法是根據每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置它屬於哪個組。這種劃分VLAN方法的最大優點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，所以，可以認為這種根據MAC地址的劃分方法是基於用戶的VLAN，這種方法的缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的。而且這種劃分的方法也導致了交換機執行效率的降低，因為在每一個交換機的連線埠都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。另外，對於使用筆記本電腦的用戶來說，他們的網卡可能經常更換，這樣，VLAN就必須不停地配置。

按網路層劃分

這種劃分VLAN的方法是根據每個主機的網路層地址或協定類型(如果支持多協定)劃分的，雖然這種劃分方法是根據網路地址，比如IP位址，但它不是路由，與網路層的路由毫無關係。

這種方法的優點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據協定類型來劃分VLAN，這對網路管理者來說很重要，還有，這種方法不需要附加的幀標籤來識別VLAN，這樣可以減少網路的通信量。

這種方法的缺點是效率低，因為檢查每一個數據包的網路層地址是需要消耗處理時間的(相對於前面兩種方法)，一般的交換機晶片都可以自動檢查網路上數據包的乙太網幀頭，但要讓晶片能檢查IP幀頭，需要更高的技術，同時也更費時。當然，這與各個廠商的實現方法有關。

按IP組播劃分

IP組播實際上也是一種VLAN的定義，即認為一個組播組就是一個VLAN，這種劃分的方法將VLAN擴大到了廣域網，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，當然這種方法不適合區域網路，主要是效率不高。

基於規則的

也稱為基於策略的VLAN。這是最靈活的VLAN劃分方法，具有自動配置的能力，能夠把相關的用戶連成一體，在邏輯劃分上稱為“關係網路”。網路管理員只需在網管軟體中確定劃分VLAN的規則（或屬性），那么當一個站點加入網路中時，將會被“感知”，並被自動地包含進正確的VLAN中。同時，對站點的移動和改變也可自動識別和跟蹤。

採用這種方法，整個網路可以非常方便地通過路由器擴展網路規模。有的產品還支持一個連線埠上的主機分別屬於不同的VLAN，這在交換機與共享式Hub共存的環境中顯得尤為重要。自動配置VLAN時，交換機中軟體自動檢查進入交換機連線埠的廣播信息的IP源地址，然後軟體自動將這個連線埠分配給一個由IP子網映射成的VLAN。

按用戶劃分

基於用戶定義、非用戶授權來劃分VLAN，是指為了適應特別的VLAN網路，根據具體的網路用戶的特別要求來定義和設計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認證後才可以加入一個VLAN。

以上劃分VLAN的方式中，基於連線埠的VLAN連線埠方式建立在物理層上；MAC方式建立在數據鏈路層上；網路層和IP廣播方式建立在第三層上。

對VLAN的標準，我們只是介紹兩種比較通用的標準，當然也有一些公司具有自己的標準，比如Cisco公司的ISL標準，雖然不是一種大眾化的標準，但是由於Cisco Catalyst交換機的大量使用，ISL也成為一種不是標準的標準了。

在1995年，Cisco公司提倡使用IEEE802.10協定。在此之前，IEEE802.10曾經在全球範圍內作為VLAN安全性的同一規範。Cisco公司試圖採用最佳化後的802.10幀格式在網路上傳輸FramTagging模式中所必須的VLAN標籤。然而，大多數802委員會的成員都反對推廣802.10。因為，該協定是基於FrameTagging方式的。

在1996年3月，IEEE802.1Internetworking委員會結束了對VLAN初期標準的修訂工作。新出台的標準進一步完善了VLAN的體系結構，統一了Frame-Tagging方式中不同廠商的標籤格式，並制定了VLAN標準在未來一段時間內的發展方向，形成的802.1Q的標準在業界獲得了廣泛的推廣。它成為VLAN史上的一塊里程碑。802.1Q的出現打破了虛擬網依賴於單一廠商的僵局，從一個側面推動了VLAN的迅速發展。另外，來自市場的壓力使各大網路廠商立刻將新標準融合到他們各自的產品中。

802.1Q幀格式：

現在使用最廣泛的VLAN協定標準是 IEEE 802.1Q，許多廠家的交換機/路由器產品都支持IEEE 802.1Q標準。

802.1Q Tag的長度是4 bytes，它位於乙太網幀中源MAC地址和長度/類型之間。802.1Q Tag包含4個欄位。

ISL（Inter-Switch Link)是Cisco公司的專有封裝方式，因此只能在Cisco的設備上支持。ISL是一個在交換機之間、交換機與路由器之間及交換機與伺服器之間傳遞多個VLAN信息及VLAN數據流的協定，通過在交換機直接的連線埠配置ISL封裝，即可跨越交換機進行整個網路的VLAN分配和配置。

劃分策略

從技術角度講，VLAN的劃分可依據不同原則，一般有以下三種劃分方法：

基於連線埠

這種劃分是把一個或多個交換機上的幾個連線埠劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網路管理員對網路設備的交換連線埠進行重新分配即可，不用考慮該連線埠所連線的設備。

基於MAC地址

MAC地址其實就是指網卡的標識符，每一塊網卡的MAC地址都是唯一且固化在網卡上的。MAC地址是由6個位元組的16進制數（48位）表示，前3個位元組（24位）為網卡的廠商標識（OUI），後3個位元組（24位）為網卡標識（NIC）。網路管理員可按MAC地址把一些站點劃分為一個邏輯子網。

基於路由

路由協定工作在網路層，相應的工作設備有路由器和路由交換機（即三層交換機）。對於VLAN的劃分主要採取上述第1、3種方式，第2種方式為輔助性的方案。

區域網路的發展是VLAN產生的基礎，所以在介紹VLAN之前，我們先來了解一下區域網路的有關知識。

區域網路（LAN）通常是一個單獨的廣播域，主要由Hub、網橋或交換機等網路設備連線同一網段內的所有節點形成。處於同一個區域網路之內的網路節點之間可以直接通信，而處於不同局域網段的設備之間的通信則必須經過路由器才能通信。圖1所示即為使用路由器構建的典型的區域網路環境。

隨著網路的不斷擴展，接入設備逐漸增多，網路結構也日趨複雜，必須使用更多的路由器才能將不同的用戶劃分到各自的廣播域中，在不同的區域網路之間提供網路互聯。

但這樣做存在兩個缺陷：

首先，隨著網路中路由器數量的增多，網路延時逐漸加長，從而導致網路數據傳輸速度的下降。這主要是因為數據在從一個區域網路傳遞到另一個區域網路時，必須經過路由器的路由操作：路由器根據數據包中的相應信息確定數據包的目標地址，然後再選擇合適的路徑轉發出去。

其次，用戶是按照它們的物理連線被自然地劃分到不同的用戶組（廣播域）中。這種分割方式並不是根據工作組中所有用戶的共同需要和頻寬的需求來進行的。因此，儘管不同的工作組或部門對頻寬的需求有很大的差異，但它們卻被機械地劃分到同一個廣播域中爭用相同的頻寬。

定義VLAN成員的方法有很多，由此也就分成了幾種不同類型的VLAN。

基於連線埠的VLAN

基於連線埠的VLAN的劃分是最簡單、有效的VLAN劃分方法，它按照區域網路交換機連線埠來定義VLAN成員。VLAN從邏輯上把區域網路交換機的連線埠劃分開來，從而把終端系統劃分為不同的部分，各部分相對獨立，在功能上模擬了傳統的區域網路。基於連線埠的VLAN又分為在單交換機連線埠和多交換機連線埠定義VLAN兩種情況：

多交換機連線埠定義VLAN

如圖3所示，交換機1的1、2、3連線埠和交換機2的4、5、6連線埠組成VLAN1，交換機1的4、5、6、7、8連線埠和交換機2的1、2、3、7、8連線埠組成VLAN2。

單交換機連線埠定義VLAN

如圖2所示，交換機的1、2、6、7、8連線埠組成VLAN1，3、4、5連線埠組成了VLAN2。這種VLAN只支持一個交換機。

基於連線埠的VLAN的劃分簡單、有效，但其缺點是當用戶從一個連線埠移動到另一個連線埠時，網路管理員必須對VLAN成員進行重新配置。

基於MAC地址的VLAN

基於MAC地址的VLAN是用終端系統的MAC地址定義的VLAN。MAC地址其實就是指網卡的標識符，每一塊網卡的MAC地址都是唯一的。這種方法允許工作站移動到網路的其他物理網段，而自動保持原來的VLAN成員資格。在網路規模較小時，該方案可以說是一個好的方法，但隨著網路規模的擴大，網路設備、用戶的增加，則會在很大程度上加大管理的難度。

基於路由的VLAN

路由協定工作在7層協定的第3層—網路層，比如基於IP和IPX的路由協定，這類設備包括路由器和路由交換機。在按IP劃分的VLAN中，很容易實現路由，即將交換功能和路由功能融合在VLAN交換機中。這種方式既達到了作為VLAN控制廣播風暴的最基本目的，又不需要外接路由器。但這種方式對VLAN成員之間的通信速度不是很理想。

基於策略的VLAN

基於策略的VLAN的劃分是一種比較有效而直接的方式，主要取決於在VLAN的劃分中所採用的策略。

port vlan 基於連線埠的VLAN，處於同一VLAN連線埠之間才能相互通信。

tag vlan 基於IEEE 802.1Q（vlan標準），用VID（vlan id）來劃分不同的VLAN

基於連線埠的VLAN優缺點

基於連線埠的VLAN，簡單的講就是交換機的一個連線埠就是一個虛擬區域網路，凡是連線在這個連線埠上的主機屬於同個虛擬區域網路之中。基於連線埠的VLAN的優點為：由於一個連線埠就是一個獨立的區域網路。所以，當數據在網路中傳輸的時候，交換機就不會把數據包轉發給其他的連線埠，如果用戶需要將數據傳送到其他的虛擬區域網路中，就需要先由交換機發往路由器再由路由器發往其他連線埠；同時以連線埠為中心的VLAN中完全由用戶自由支配連線埠，無形之中就更利於管理。但是美中不足的是以連線埠為中心的VLAN，當用戶位置改變時，往往也伴隨著用戶位置的改變而對網線也要進行遷移。如果不會經常移動客戶機的話，採用這一方式倒也不錯。

靜態VLAN的優缺點

可以說靜態VLAN與基於連線埠的VLAN有一絲相似之處，用戶可在交換機上讓一個或多個交換機連線埠形成一個略大一些的虛擬區域網路。從一定意義上講靜態虛擬區域網路在某些程度上彌補了基於連線埠的虛擬區域網路的缺點。缺陷方面，靜態VLAN雖說是可以使多個連線埠的設定成一個虛擬區域網路，假如兩個不同連線埠、不同虛擬區域網路的人員聚到一起協商一些事情，這時候問題就出現了，因為連線埠及虛擬區域網路的不一致往往就會直接導致某一個虛擬區域網路的人員就不能正常的訪問他原先所在的VLAN之中（靜態虛擬區域網路的連線埠在同一時間只能屬於同一個虛擬區域網路），這樣就需要網路管理人員隨時配合及時修改該線路上的連線埠。

動態VLAN的優缺點

與上面兩種虛擬區域網路的組成方式相比動態的虛擬區域網路的優點真的是太多了。首先它適用於當前的無線區域網路技術，其次，當用戶有需要時對工作基點進行移動時完全不用擔心在靜態虛擬區域網路與基於連線埠的虛擬區域網路出現的一些問題在動態的虛擬區域網路中出現，因為動態的虛擬區域網路在建立初期已經由網路管理員將整個網路中的所有MAC地址全部輸入到了路由器之中，同時如何由路由器通過MAC地址來自動區分每一台電腦屬於那一個虛擬區域網路，之後將這台電腦連線到對應的虛擬區域網路之中。說起缺點，動態的虛擬區域網路的缺點跟本談不上缺點，只是在VLAN建立初期，網路管理人員需將所有機器的MAC進行登記之後劃分出MAC所對應的機器的不同許可權（虛擬區域網路）即可。

在寬頻網路中實現的VLAN基本上能滿足廣大網路用戶的需求，但其網路性能、網路流量控制、網路通信優先權控制等還有待提高。前面所提到的VTP技術、STP技術，基於三層交換的VLAN技術等在VLAN使用中存在網路效率的瓶頸問題，這主要是IEEE802.1Q、IEEE802.1D協定的不完善所致，IEEE正在制定和完善IEEE802.1S（Multiple Spanning Trees）和IEEE802.1W（Rapid Reconfiguration of Spanning Tree）來改善VLAN的性能。採用IEEE802.3z和IEEE802.3ab協定，並結合使用RISC（精簡指令集計算）處理器或者網路處理器而研製的吉位VLAN交換機在網路流量等方面採取了相應的措施，大大提高了VLAN網路的性能。IEEE802.1P協定提出了COS（Class of Service）標準，這使網路通信優先權控制機制有了參考。

對於每個公司而言都有自己不同的需求，下面我們給出一個典型的公司的VLAN的實例，這樣也可以成為我們以後為公司劃分VLAN的依據。

某公司有工程部、銷售部、財務部。VLAN的劃分：工程部VLAN10，銷售部VLAN20，財務部VLAN30，並且各部門還可以相互通訊。現有設備如下：Cisco 3640路由器，Cisco Catalyst 2924交換機一台，二級交換機若干台。

交換機配置檔案中的部分代碼如下：

……

!

interface vlan10

ip address 192.168.0.1

!

interface vlan20

ip address 192.168.1.1

!

interface vlan30

ip address 192.168.2.1

!

……

路由器配置檔案中的部分代碼如下：

……

interface FastEthernet 1/0.1

encapsulation isl 10

ip address 192.168.0.2

!

interface FastEthernet 1/0.2

encapsulation isl 20

ip address 192.168.1.2

!

interface FastEthernet 1/0.3

encapsulation isl 30

ip address 192.168.2.2

!

……

!

router rip

network 192.168.0.0

!

【交換機的連線埠工作模式的利用】

交換機的連線埠工作模式通常可以分為三種，它們分別為Access模式、Multi模式、Trunk模式。允許多個vlan的是multi模式，而不是trunk模式。Access模式的交換連線埠往往只能屬於1個VLAN，通常用於連線普通計算機的連線埠；Trunk模式的交換連線埠可以屬於多個VLAN，能夠傳送和接收多個VLAN的數據報文，通常使用在交換機之間的級聯連線埠上；multi模式的交換連線埠可以屬於多個VLAN，能夠傳送和接受多個VLAN的數據報文，可以用於交換機之間的連線，也可以用於連線普通計算機的連線埠，所以access和trunk沒有可比性。三種模式的交換連線埠能夠共同使用在相同的一台交換機中，不過Trunk模式的交換連線埠和multi模式的交換連線埠相互之間不能直接切換，往往只能先將交換連線埠設定為Access模式，之後再設定為其他模式。

拓撲試驗

實驗： 劃分VLAN

實驗目的

通過本實驗，讀者可以掌握如下技能：

（1）熟悉VLAN 的創建

（2）把交換機接口劃分到特定VLAN

實驗拓撲

實驗拓撲圖

互聯方式

（1）邊界路由。

（2）“獨臂”路由。

（3）MPOA路由。

（4）第三層交換。