VLAN技術(shù)簡(jiǎn)介

摘要　首先介紹了VLAN的實(shí)現(xiàn)原理、主要功能以及主要特征；然后對(duì)VLAN的類(lèi)型進(jìn)行劃分；接著介紹了VLAN的通信方式；最后針對(duì)VLAN的功能特點(diǎn)做了展望。

虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）是一種近年來(lái)在計(jì)算機(jī)通信領(lǐng)域內(nèi)逐漸發(fā)展起來(lái)的一種網(wǎng)絡(luò)技術(shù)。VLAN是將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的一種技術(shù)。它在廣播抑制、動(dòng)態(tài)組網(wǎng)等方面具有其他網(wǎng)絡(luò)無(wú)法比擬的優(yōu)越性，因此得到了長(zhǎng)足的發(fā)展。
 
　　1、VLAN的實(shí)現(xiàn)原理與主要特征

1.1　VLAN的實(shí)現(xiàn)原理

VLAN的實(shí)現(xiàn)原理是：當(dāng)VLAN交換機(jī)從工作站接收到數(shù)據(jù)后，將對(duì)數(shù)據(jù)的部分內(nèi)容進(jìn)行檢查，并與一個(gè)VLAN配置數(shù)據(jù)庫(kù)（該數(shù)據(jù)庫(kù)含有靜態(tài)配置的或者動(dòng)態(tài)學(xué)習(xí)而得到的MAC地址等信息）中的內(nèi)容進(jìn)行比較，然后確定數(shù)據(jù)去向。如果數(shù)據(jù)要發(fā)往一個(gè)VLAN設(shè)備（VLAN-aware），則給這個(gè)數(shù)據(jù)加上一個(gè)標(biāo)記（Tag）或者VLAN標(biāo)識(shí)，根據(jù)VLAN標(biāo)識(shí)和目的地址，VLAN交換機(jī)就可以將該數(shù)據(jù)轉(zhuǎn)發(fā)到同一VLAN上適當(dāng)?shù)哪康牡�；如果�?shù)據(jù)發(fā)往非VLAN設(shè)備（VLAN-unaware），則VLAN交換機(jī)發(fā)送不帶VLAN標(biāo)識(shí)的數(shù)據(jù)。

1.2　VLAN的主要功能

在一個(gè)有多個(gè)二級(jí)單位的企業(yè)內(nèi)與各孤立網(wǎng)絡(luò)進(jìn)行互聯(lián)時(shí)，出于對(duì)不同職能部門(mén)的管理、安全和整體網(wǎng)絡(luò)穩(wěn)定運(yùn)行的考慮，需要對(duì)各個(gè)網(wǎng)絡(luò)進(jìn)行既獨(dú)立又統(tǒng)一的管理，此時(shí)就要用到VLAN。

1.2.1　廣播抑制功能

為了防止大量用戶發(fā)送消息時(shí)形成廣播風(fēng)暴，避免造成整個(gè)網(wǎng)絡(luò)性能下降甚至癱瘓，虛擬網(wǎng)技術(shù)將廣播域按需要分成更小的、各自獨(dú)立的VLAN。這樣能夠使網(wǎng)絡(luò)中廣播包在消耗帶寬中所占的比例大大降低，從而使網(wǎng)絡(luò)性能得到顯著提高。

1.2.2　動(dòng)態(tài)網(wǎng)絡(luò)功能

在虛擬環(huán)境下，某一個(gè)VLAN成員與該VLAN僅僅是邏輯上的關(guān)系，而與地理位置無(wú)關(guān)。因此，可以很方便地加入或撤除VLAN，克服了使用傳統(tǒng)路由器隔離廣播信息的方法所帶來(lái)的問(wèn)題。

1.2.3　網(wǎng)絡(luò)安全功能

根據(jù)安全需要，虛擬技術(shù)可以將不同層次的用戶群劃分為不同的VLAN，對(duì)不同用戶之間的通信進(jìn)行限制。虛擬網(wǎng)之間的通信是通過(guò)路由技術(shù)實(shí)現(xiàn)的。它能夠使雙方不知道彼此具體的MAC地址，從而消除通信雙方直接連接的可能性，使網(wǎng)絡(luò)安全性得到很大提高，還可以通過(guò)路由技術(shù)的包過(guò)濾等功能來(lái)進(jìn)一步提高網(wǎng)絡(luò)安全性。

1.3　VLAN的主要特征

VLAN具有以下主要特征：

（1）所有成員組成一個(gè)VLAN。同一個(gè)VLAN中的所有成員共同組成一個(gè)“獨(dú)立于物理位置而具有相同邏輯的廣播域”，共享一個(gè)VLAN標(biāo)志（VLAN ID），組成一個(gè)虛擬局域網(wǎng)絡(luò)。
　�。�2）成員間收發(fā)廣播包的特點(diǎn)是同一個(gè)VLAN中的所有成員均能收到由同一個(gè)VLAN中的其他成員發(fā)送來(lái)的每一個(gè)廣播包，但收不到其他VLAN中成員發(fā)來(lái)的廣播包。
　�。�3）成員間通信的特點(diǎn)是同一個(gè)VLAN中的所有成員之間的通信，通過(guò)VLAN交換機(jī)可以直接進(jìn)行，不需路由支持；不同VLAN成員之間不能直接通信，無(wú)論采用傳統(tǒng)路由器方式還是虛擬路由方式，均需要通過(guò)路由支持才能進(jìn)行。
　�。�4）便于工作組優(yōu)化組合�？刂仆ㄐ呕顒�(dòng)，隔離廣播數(shù)據(jù)順化網(wǎng)絡(luò)管理，方便工作組優(yōu)化組合。VLAN中的成員只要擁有一個(gè)VLAN ID，就可以不受物理位置的限制，隨意移動(dòng)工作站的位置。
　�。�5）網(wǎng)絡(luò)安全性強(qiáng)。通過(guò)路由訪問(wèn)列表、MAC地址分配等VLAN劃分原則，可以控制用戶的訪問(wèn)權(quán)限和邏輯網(wǎng)段的大小。VLAN交換機(jī)就像是一道道“屏風(fēng)”，只有具備VLAN成員資格的分組數(shù)據(jù)才能通過(guò)，這比用計(jì)算機(jī)服務(wù)器做防火墻要安全得多，增加了網(wǎng)絡(luò)的安全性，提高了網(wǎng)絡(luò)的整體安全能力。
　�。�6）網(wǎng)絡(luò)性能高。網(wǎng)絡(luò)帶寬得到充分利用，網(wǎng)絡(luò)性能大大提高。
　�。�7）網(wǎng)絡(luò)管理簡(jiǎn)單、直觀。

2、VLAN的劃分類(lèi)型

2.1　基于端口劃分

將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的PVC（永久虛電路）端口分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的VLAN交換機(jī)。該方法簡(jiǎn)單、有效，是最常用的一種方式，網(wǎng)絡(luò)管理員針對(duì)網(wǎng)絡(luò)設(shè)備的交換端口，將其進(jìn)行重新分配組合在不同的邏輯網(wǎng)段中即可，而不用考慮該端口所連接的是什么設(shè)備。該方法的主要缺點(diǎn)在于不允許用戶移動(dòng)，一旦用戶移動(dòng)到一個(gè)新的位置，網(wǎng)絡(luò)管理員必須要配置新的VLAN。

2.2　基于MAC地址劃分

MAC地址就是指網(wǎng)卡（NIC）的標(biāo)識(shí)符，每一塊網(wǎng)卡的MAC地址都是惟一的。從某種意義上說(shuō)，這是一種基于用戶的網(wǎng)絡(luò)劃分手段，基于MAC地址的VLAN劃分其實(shí)就是基于工作站、服務(wù)器的VLAN組合。在網(wǎng)絡(luò)規(guī)模較小時(shí)，該方案不失為一個(gè)好方法，但隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大以及網(wǎng)絡(luò)設(shè)備、用戶的增加，會(huì)在很大程度上加大管理的難度。這種方式的VLAN劃分允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置時(shí)，自動(dòng)保留其所屬VLAN的成員身份。但這種方式要求網(wǎng)絡(luò)管理員須將每個(gè)用戶都一一劃分在某個(gè)VLAN中，這在一個(gè)大規(guī)模的VLAN中會(huì)存在一些困難；另外，由于筆記本電腦沒(méi)有網(wǎng)卡，因而當(dāng)筆記本電腦移動(dòng)到另一個(gè)站時(shí)，VLAN需要重新配置。

2.3　基于策略劃分

基于策略的VLAN劃分是一種比較有效而直接的方式，能實(shí)現(xiàn)多種分配方法，包括VLAN交換機(jī)端口、MAC地址、IP地址、網(wǎng)絡(luò)層協(xié)議等。網(wǎng)絡(luò)管理人員可根據(jù)自己的管理模式和本單位的需求來(lái)決定選擇哪種類(lèi)型的VLAN，這主要取決于在VLAN的劃分中所采用的策略。

2.4　基于網(wǎng)絡(luò)協(xié)議劃分

按照網(wǎng)絡(luò)層協(xié)議可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議組成的VLAN，可使廣播域跨越多個(gè)VLAN交換機(jī)。對(duì)于希望針對(duì)具體應(yīng)用和服務(wù)來(lái)組織用戶的網(wǎng)絡(luò)管理員來(lái)說(shuō)，是非常具有吸引力的；而且用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動(dòng)，但其VLAN成員身份仍然可以保留不變。這種方式的不足之處在于廣播域跨越多個(gè)VLAN交換機(jī)，容易造成某些VLAN站點(diǎn)數(shù)目過(guò)多，產(chǎn)生大量的廣播包，從而使VLAN交換機(jī)的效率降低。

2.5　基于IP/IPX劃分

基于IP子網(wǎng)的VLAN可按照IPv4和IPv6方式來(lái)劃分。每個(gè)VLAN都是和一段獨(dú)立的IP網(wǎng)段相對(duì)應(yīng)，這種方式有利于在VLAN交換機(jī)內(nèi)部實(shí)現(xiàn)路由，也有利于與動(dòng)態(tài)主機(jī)配置（DHCP）技術(shù)結(jié)合起來(lái)，而且用戶可以移動(dòng)工作站而不需要重新配置網(wǎng)絡(luò)地址，便于網(wǎng)絡(luò)管理。該方式的主要缺點(diǎn)在于效率要比第二層差，因?yàn)椴榭慈龑覫P地址比查看MAC地址所消耗的時(shí)間多。

2.6　按用戶定義、非用戶授權(quán)劃分

基于用戶定義、非用戶授權(quán)來(lái)劃分VLAN，是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò)、特別用戶的特別要求來(lái)定義和設(shè)計(jì)VLAN，而且可以讓非VLAN群體用戶訪問(wèn)VLAN，但是需要提供用戶密碼，得到VLAN管理的認(rèn)證后才可以加入一個(gè)VLAN。

3、VLAN的通信方式

3.1　MAC地址靜態(tài)登記通信方式

MAC地址靜態(tài)登記方式是預(yù)先在VLAN交換機(jī)中設(shè)置好一張地址列表，這張列表含有工作站的MAC地址、VLAN交換機(jī)的端口號(hào)、VLAN ID等信息。當(dāng)VLAN交換機(jī)從工作站接收到數(shù)據(jù)后，會(huì)對(duì)數(shù)據(jù)的內(nèi)容進(jìn)行檢查，在與VLAN靜態(tài)配置數(shù)據(jù)庫(kù)中的內(nèi)容進(jìn)行比較后，確定數(shù)據(jù)發(fā)往去向，并對(duì)其他交換機(jī)進(jìn)行廣播。這種方式的缺點(diǎn)在于網(wǎng)絡(luò)管理員需要不斷地修改和維護(hù)MAC地址靜態(tài)條目列表，且大量的MAC地址靜態(tài)條目列表的廣播信息容易導(dǎo)致主干網(wǎng)絡(luò)擁塞。

3.2　幀標(biāo)簽通信方式

幀標(biāo)簽通信方式采用標(biāo)簽（Tag）技術(shù)，即給每個(gè)數(shù)據(jù)包都加上一個(gè)標(biāo)簽，用來(lái)標(biāo)明數(shù)據(jù)包屬于哪個(gè)VLAN。這樣，VLAN交換機(jī)就能夠?qū)��?lái)自不同VLAN的數(shù)據(jù)流復(fù)用到相同的VLAN交換機(jī)上。這種方式的缺點(diǎn)是每個(gè)數(shù)據(jù)包需加上標(biāo)簽，從而使網(wǎng)絡(luò)的負(fù)載相應(yīng)增加。

3.3　虛連接通信方式

虛連接通信方式是指網(wǎng)絡(luò)中用戶A與B在第一次通信時(shí)，發(fā)送地址解析（ARP）廣播包。VLAN交換機(jī)將MAC和所連接的VLAN交換機(jī)的端口號(hào)保存到動(dòng)態(tài)條目MAC地址列表中，當(dāng)A和B有數(shù)據(jù)要傳送時(shí)，VLAN交換機(jī)從其端口收到的數(shù)據(jù)包中識(shí)別出目的MAC地址，查看動(dòng)態(tài)條目MAC地址列表，得到目的站點(diǎn)所在的VLAN交換機(jī)端口。這樣，兩個(gè)端口間就建立起一條虛連接，數(shù)據(jù)包就可以從源端口轉(zhuǎn)發(fā)到目的端口。數(shù)據(jù)包一旦轉(zhuǎn)發(fā)完畢，虛連接即被撤銷(xiāo)。這種方式能使帶寬資源得到很好利用，提高了VLAN交換機(jī)效率。

3.4　路由通信方式

在按IP劃分的VLAN中，很容易實(shí)現(xiàn)路由，即將交換功能和路由功能融合在VLAN交換機(jī)中。這種方式既可達(dá)到作為VLAN控制廣播風(fēng)暴的最基本的目的，又不需要外接路由器；但缺點(diǎn)是VLAN成員之間的通信速度不是很理想。

4、VLAN技術(shù)的應(yīng)用前景

虛擬網(wǎng)絡(luò)技術(shù)打破了地理環(huán)境的制約，在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意將工作站在工作組或子網(wǎng)之間移動(dòng)，將工作站組成邏輯工作組或虛擬子網(wǎng)，提高信息系統(tǒng)的運(yùn)作性能，均衡網(wǎng)絡(luò)數(shù)據(jù)流量，合理利用硬件及信息資源。而且，虛擬網(wǎng)絡(luò)技術(shù)大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費(fèi)用，因此具有廣闊的發(fā)展前景。

4.1　增加了網(wǎng)絡(luò)連接的靈活性

網(wǎng)絡(luò)管理員對(duì)于網(wǎng)絡(luò)上的工作站，可以按業(yè)務(wù)功能分組而不必按地理位置分組。VLAN可以降低移動(dòng)工作站地理位置的管理費(fèi)，特別對(duì)于一些業(yè)務(wù)經(jīng)常變動(dòng)的公司。

4.2　可控制網(wǎng)絡(luò)上的廣播風(fēng)暴

隨著網(wǎng)絡(luò)向交換結(jié)構(gòu)的轉(zhuǎn)變，人們失去了路由器提供的防火墻功能。這樣，廣播風(fēng)暴將發(fā)送到每一個(gè)交換端口，這就是常說(shuō)的整個(gè)網(wǎng)絡(luò)是一個(gè)廣播域。使用交換網(wǎng)絡(luò)的優(yōu)勢(shì)是可以提供低延時(shí)和高吞吐量。

VLAN可以提供建立防火墻的機(jī)制，防止交換網(wǎng)絡(luò)的過(guò)量廣播風(fēng)暴。VLAN可以將某個(gè)交換端口或用戶賦予某一個(gè)特定的VLAIq組，該組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機(jī)，在一個(gè)VLAN中的廣播風(fēng)暴不會(huì)發(fā)送到VLAN之外。同樣，相鄰的端口也不會(huì)收到其他VLAN產(chǎn)生的廣播風(fēng)暴。

4.3　提高了網(wǎng)絡(luò)的安全性

人們?cè)贚AN上經(jīng)常傳送一些保密性、關(guān)鍵性的數(shù)據(jù)。保密的數(shù)據(jù)應(yīng)提供訪問(wèn)控制等安全手段。一個(gè)有效和容易實(shí)現(xiàn)的方法是將網(wǎng)絡(luò)分成幾個(gè)不同的廣播組，網(wǎng)絡(luò)管理員限制VLAN中用戶的數(shù)量，禁止未經(jīng)允許而訪問(wèn)VLAN的應(yīng)用。交換端口可以基于應(yīng)用類(lèi)型和訪問(wèn)特權(quán)來(lái)進(jìn)行分組，被限制的應(yīng)用程序和資源一般置于安全性VLAN中。

4.4　加強(qiáng)了集中化的管理控制

通過(guò)集中化的VLAN管理程序，網(wǎng)絡(luò)管理員可以確定VLAN組，分配特定用戶和交換端口給這些VLAN組，設(shè)置安全性等級(jí)，限制廣播域的大小，通過(guò)冗余鏈路負(fù)載分擔(dān)網(wǎng)絡(luò)流量，跨越交換機(jī)配置VLAN通信，監(jiān)控交通流量和VLAN使用的網(wǎng)絡(luò)帶寬。這些能力可有效地提高網(wǎng)絡(luò)管理程序的可控性、靈活性和監(jiān)視功能，減少管理費(fèi)用。