虚拟局域网的实现方法

　　什么是虚拟局域网

　　虚拟局域网（VLAN）是一组逻辑上的设备和用户，这些设备和用户并不受物理位置的限制，可以根据功能、部门及应用等因素将它们组织起来，相互之间的通信就好像它们在同一个网段中一样，由此得名虚拟局域网。VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点：网络设备的移动、添加和修改的管理开销减少；可以控制广播活动；可提高网络的安全性。

　　在计算机网络中，一个二层网络可以被划分为多个不同的广播域，一个广播域对应了一个特定的用户组，默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要通信，需要通过一个或多个路由器。这样的一个广播域就称为VLAN。

　　虚拟局域网的工作原理

　　虚拟局域网的主要思想是：所有计算机组成一个大的物理局域网，即传统局域网；将所有计算机设备按照功能和需求划分为若干组，每组划分为一个逻辑网段，每个逻辑网段是1个虚拟局域网；一个传统局域网可划分为多个逻辑网段，即多个VLAN；VLAN中的站点是通过软件定义而不是硬件定义；站点可在多个VLAN之间移动；一个VLAN中的广播信息可以被该VLAN中的站点接收，该VLAN之外的站点接收不到该广播信息，因此VLAN和传统局域网一样可以隔离广播信息；连接在不同交换机上的站点可以使用VLAN技术组成一个或多个VLAN；VLAN中的站点之间通信时就像传统局域网一样；VLAN之间的相互通信必通过网络层协议实现，不能直接相互通信。

　　采用VLAN技术可以很容易地解决前面提出的问题。例如，某个单位拥有财物、开发和办公三个部门，出于安全和管理方面的考虑，希望每个部门的计算机可以无障碍通信，部门之间的通信则需要进行控制。由于地理位置和设备限制，办公、开发和财物部门的共用相同交换机，建成为一个传统局域网，如图所示

　　采用VLAN技术可以容易地实现。根据需求，财物、开发和办公三个部门个分配1个VLAN，把各个部门所属的计算机站点划分到对应的逻辑网段中形成VLAN；VLAN之间不能互相访问，隔离广播信息；因此可以满足该部门的用户需求。

　　VLAN的划分方法

　　（1）基于交换机端口划分基于端口划分虚拟网，就是按交换机端口定义虚拟网成员，每个端口只能属于一个虚拟网，这是一种最通用也是简单的方法。在配置完成后，再为交换机端口分配一个虚拟网，使交换机的端口成为某个虚拟网的成员。

　　（2）基于MAC地址划分

　　这种方法是按每个连接到交换机设备的物理地址（即MAC地址）定义虚拟网成员。当一个交换机端口上连接一台集线器，在集线器上又连接了多台设备，而这些设备需要划入不同的虚拟网时，就可以使用这种方法定义虚拟网成员。因为它可以按用户划分，所以也把这种方法称为基于用户的虚拟网划分。在使用基于MAC地址划分时，一个交换机端El有可能属于多个虚拟网，这样端口就能接收多个虚拟网的广播信息。

　　（3）基于第三层协议类型或地址划分

　　这种方法允许按照网络层协议类型组成VLAN，也可以按网络地址（如TCP／IP的IP地址）定义虚拟网成员。这种方法的优点是有利于组成基于应用的虚拟网。

　　（2）基于MAC地址划分

　　这种方法是按每个连接到交换机设备的物理地址（即MAC地址）定义虚拟网成员。当一个交换机端口上连接一台集线器，在集线器上又连接了多台设备，而这些设备需要划入不同的虚拟网时，就可以使用这种方法定义虚拟网成员。因为它可以按用户划分，所以也把这种方法称为基于用户的虚拟网划分。在使用基于MAC地址划分时，一个交换机端El有可能属于多个虚拟网，这样端口就能接收多个虚拟网的广播信息。

　　（3）基于第三层协议类型或地址划分

　　这种方法允许按照网络层协议类型组成VLAN，也可以按网络地址（如TCP／IP的IP地址）定义虚拟网成员。这种方法的优点是有利于组成基于应用的虚拟网。

　　VLAN在交换机上的实现方法

　　1.基于端口的VLAN

　　这是最常应用的一种VLAN划分方法，应用也最为广泛、最有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。

　　从这种划分方法本身我们可以看出，这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。

　　2.基于MAC地址的VLAN

　　这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属于VLANMAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。

　　由这种划分的机制可以看出，这种VLAN的划分方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，因为它是基于用户，而不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，保存了许多用户的MAC地址，查询起来相当不容易。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。

　　3.基于网络层协议的VLAN

　　VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。

　　这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的（相对于前面两种方法），一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。

　　4.根据IP组播的VLAN

　　IP组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主要是效率不高。

　　5.按策略划分的VLAN

　　基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN。

　　6.按用户定义、非用户授权划分的VLAN

　　基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。

　　虚拟局域网三种实现方式

　　第一种实现方式：以端口为中心的虚拟局域网

　　以端口为中心的虚拟局域网中，虚拟局域网交换机的一个端口就是一个虚拟局域网，虽有连接在这个端口上的主机都在同一个虚拟局域网中。很显然，这回使得我们的管理工作更加的容易，而且网络运行也会更加的有效。

　　具体来说，这种实现方式有如下的优点：

　　1、数据不会泄露到其他域

　　由于一个交换机端口就是一个独立的局域网。所以，当数据在网络中传输的时候，交换机就不会把数据包转发给其他的端口中。这就可以保证数据包只在自己的虚拟局域网中传输。若需要发送到其他的虚拟局域网中，则交换机也是先把数据发送给路由器，然后，再由路由器发送给交换机中其他的端口。可见，以端口为中心的虚拟局域网，可以有效的避免网络侦听，从而比其他的实现方式具有更高的安全性。

　　2、用户由端口分配，虚拟局域网易于管理

　　相对于其他方式来说，以端口为中心的虚拟局域网中，一个交换机的端口就表示一个虚拟局域网。这种特性，便于我们对局域网进行设置与管理。因为一个端口上的主机都在一个虚拟局域网中，如此的话，就不需要我们做过多的配置，就可以实现虚拟局域网。而相对于其他实现方式来说，都需要进行一些比较繁琐的设置，因为他们往往两个甚至更多以上的端口是同一个虚拟局域网。

　　这种方式虽然易于管理，提供了比较高的安全性能，但是，其也有一些比较致命的缺陷。主要的缺陷就是不够灵活，当用户变动位置的时候，这种实现方式的变化就会比较大。如现在由于要开发一个产品，为此质量、销售、生产、采购等等组成一个临时的项目小组，负责这个产品的开发。为了提高产品开发效率，所以把他们临时搬到会议室进行工作。如此地理位置的变动后，他们连接的网线也要变了。若采用其他的实现方式，如动态的虚拟局域网，根据主机的MAC地址来判断该用户是属于哪个虚拟局域网中，则不用进行其他的配置，就可以连接到他们以前的虚拟局域网中。而采用以端口为中心的虚拟局域网，由于会议室中网线的端口没有进行调整过，则他们就不属于他们以前的局域网中。这就会给他们的日常工作带来比较大的影响。

　　第二种实现方式：静态的虚拟局域网

　　静态的虚拟局域网与以端口为中心的虚拟局域网类似。静态的虚拟局域网是在交换机上静态的配置，可以让一个或者几个交换机的端口为一个虚拟局域网。这些端口将一直保持着这种配置，除非网络管理员人为的去改变他们。可见，这跟上面的这种实现方式的差异，主要在于前者一个端口就是一个虚拟局域网，而后者的话，可以通过配置实现几个端口是同一个虚拟局域网。这种差异，可以减少当用户位置改变时或者当公司组织结构发生改变时的管理成本。

　　如有家企业，随着公司规模的扩大，产品研发部门人数也随之增加。后来研发部门下面分成了两个组，一个是产品开发组，另外一个是供应商开发组。他们虽然在两个不同的办公室，但是都属于同一个部门。而现在产品开发组的网络通过集线器连接到交换机的一个端口上;供应商开发组的网路连接到另外一个端口上。若是采用以端口为中心的实现方式的话则可能就需要额外的添加一个额外的物理层局域网交换机，把他们两个组的网络连接到同一个虚拟局域网中。但是，若采用静态的虚拟局域网的话，则不需要添置其他的硬件设备，而只需要在虚拟局域网交换机上，把他们所连接的两个端口设置为同一个虚拟局域网即可。很明显，静态虚拟局域网能够比较适应组织结构的变动，它应对这种情况的管理成本相对比较低廉一些。

　　但是，静态局域网他也有一定的缺陷。主要在于对一些移动用户无法作出灵活的调整。如现在财务经理有一台笔记本电脑，当开部门管理层会议的时候，财务经理需要在会议室中连接到他所在的网络，访问其他财务人员的共享文件。同理，产品研发部门经理也需要访问他们部门的共享文件。但是，根据静态虚拟局域网的特征，会议室的网线所连接端口在同一时间中只能属于同一个虚拟局域网。除非在会议室中部属很多的网线并且分属于不同的端口;或者说当用户改变的时候网络管理员手工的更改端口配置。但是，无论是哪一种实现方式，其管理成本都是比较高的，管理工作量也比较大。

　　第三种实现方式：动态的虚拟局域网

　　当企业员工在公司内部到处走动，在任何一个位置上都能够连接到自己所在的虚拟局域网的话，则采用动态的虚拟局域网是最佳的选择。其实，随着无线网络在公司内部的普及，这种需求对于企业来说，也越来越普遍。

　　这种实现方式的好处就是可以应对用户位置的地理变化。当用户在公司内部移动时，我们网络管理员基本上不用为他们做额外的配置与管理。虚拟局域网交换机会根据用户主机的MAC地址或者IP地址，来自我的进行调整。

　　不过这种方式也有一个比较大的缺陷，就是前期的维护工作量比较大。如在虚拟局域网配置的时候，要把公司所有主机的MAC地址跟其所属的虚拟局域网对应起来。当公司中新添加主机的时候，也需要调整交换机中的这个对应表。天下没有白吃的午餐。要在后续的维护工作中省心的话，则在前期虚拟局域网规划中，就要多花点功夫了。