VLAN

    vlan，是英文virtual local area network的缩写，中文名为"虚拟局域网"，vlan是一种将局域网（lan）设备从逻辑上划分（注意，不是从物理上划分）成一个个网段（或者说是更小的局域网lan），从而实现虚拟工作组（单元）的数据交换技术。<br>    vlan这一新兴技术主要应用于<a class="pk" href="http://product.it168.com/files/0412search.shtml" target="_blank">交换机</a>和<a class="pk" href="http://product.it168.com/files/0409search.shtml" target="_blank">路由器</a>中，但目前主流应用还是在交换机之中。不过不是所有交换机都具有此功能，只有三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。vlan的好处主要有三个： <br>     (1)端口的分隔。即便在同一个交换机上，处于不同vlan的端口也是不能通信的。这样一个物理的交换机可以当作多个逻辑的交换机使用。 <br>    (2)网络的安全。不同vlan不能直接通信，杜绝了广播信息的不安全性。 <br>    (3)灵活的管理。更改用户所属的网络不必换端口和连线，只更改软件配置就可以了。<br><span style="color: red;">
</span><br>   vlan技术的出现，使得管理员根据实际应用需求，把同一物理局域网内的不同用户逻辑地划分成不同的广播域，每一个vlan都包含一组有着相同需求的计算机工作站，与物理上形成的lan有着相同的属性。由于它是从逻辑上划分，而不是从物理上划分，所以同一个vlan内的各个工作站没有限制在同一个物理范围中，即这些工作站可以在不同物理lan网段。由vlan的特点可知，一个vlan内部的广播和单播流量都不会转发到其他vlan中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。vlan除了能将网络划分为多个广播域，从而有效地控制广播风暴的发生，以及使网络的拓扑结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问。<br>　　<br>    vlan在交换机上的实现方法，可以大致划分为六类:<br>    1. 基于端口的vlan<br>   这是最常应用的一种vlan划分方法，应用也最为广泛、最有效，目前绝大多数vlan协议的交换机都提供这种vlan配置方法。这种划分vlan的方法是根据以太网交换机的交换端口来划分的，它是将vlan交换机上的物理端口和vlan交换机内部的pvc（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的vlan交换机。<br>    对于不同部门需要互访时，可通过路由器转发，并配合基于mac地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的mac地址集。这样就可以防止非法入侵者从内部盗用ip地址从其他可接入点入侵的可能。<br>    从这种划分方法本身我们可以看出，这种划分的方法的优点是定义vlan成员时非常简单，只要将所有的端口都定义为相应的vlan组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。<br>    2. 基于mac地址的vlan <br>    这种划分vlan的方法是根据每个主机的mac地址来划分，即对每个mac地址的主机都配置他属于哪个组，它实现的机制就是每一块<a class="pk" href="http://product.it168.com/list/b/0411_1.shtml" target="_blank">网卡</a>都对应唯一的mac地址，vlan交换机跟踪属于vlan mac的地址。这种方式的vlan允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属vlan的成员身份。<br>   由这种划分的机制可以看出，这种vlan的划分方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，vlan不用重新配置，因为它是基于用户，而不是基于交换机的端口。这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的，所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个vlan组的成员，保存了许多用户的mac地址，查询起来相当不容易。另外，对于使用<a class="pk" href="http://notebook.it168.com/" target="_blank">笔记本</a><a class="pk" href="http://product.it168.com/files/0101search.shtml" target="_blank">电脑</a>的用户来说，他们的网卡可能经常更换，这样vlan就必须经常配置。<br>    3. 基于网络层协议的vlan <br>    vlan按网络层协议来划分，可分为ip、ipx、decnet、<a class="pk" href="http://corp.it168.com/corp/136_index.shtml" target="_blank">apple</a>talk、banyan等vlan网络。这种按网络层协议来组成的vlan，可使广播域跨越多个vlan交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其vlan成员身份仍然保留不变。<br>   这种方法的优点是用户的物理位置改变了，不需要重新配置所属的vlan，而且可以根据协议类型来划分vlan，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别vlan，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查ip帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。<br>     4. 根据ip组播的vlan <br>    ip组播实际上也是一种vlan的定义，即认为一个ip组播组就是一个vlan。这种划分的方法将vlan扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个vlan，不适合局域网，主要是效率不高。 <br>    5. 按策略划分的vlan<br>    基于策略组成的vlan能实现多种分配方法，包括vlan交换机端口、mac地址、ip地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的vlan 。<br>    6. 按用户定义、非用户授权划分的vlan<br>    基于用户定义、非用户授权来划分vlan，是指为了适应特别的vlan网络，根据具体的网络用户的特别要求来定义和设计vlan，而且可以让非vlan群体用户访问vlan，但是需要提供用户密码，在得到vlan管理的认证后才可以加入一个vlan。