虛擬區域網 vlan

虛擬區域網(vlan)，是指網路中的站點不拘泥於所處的物理位置，而可以根據需要靈活地加入不同的邏輯子網中的一種網路技術。

基於交換式乙太網的虛擬區域網在交換式乙太網中，利用vlan技術，可以將由交換機連線成的物理網路劃分成多個邏輯子網。也就是說，乙個虛擬區域網中的站點所傳送的廣播資料報將僅**至屬於同一vlan的站點。

在交換式乙太網中，各站點可以分別屬於不同的虛擬區域網。構成虛擬區域網的站點不拘泥於所處的物理位置，它們既可以掛接在同乙個交換機中，也可以掛接在不同的交換機中。虛擬區域網技術使得網路的拓撲結構變得非常靈活，例如位於不同樓層的使用者或者不同部門的使用者可以根據需要加入不同的虛擬區域網。

劃分虛擬區域網主要出於三種考慮：

第一是基於網路效能的考慮。對於大型網路，現在常用的windows netbeui是廣播協議，當網路規模很大時，網上的廣播資訊會很多，會使網路效能惡化，甚至形成廣播風暴，引起網路堵塞。那怎麼辦呢?可以通過劃分很多虛擬區域網而減少整個網路範圍內廣播包的傳輸，因為廣播資訊是不會跨過vlan的，可以把廣播限制在各個虛擬網的範圍內，用術語講就是縮小了廣播域，提高了網路的傳輸效率，從而提高網路效能。

第三是基於組織結構上考慮。同一部門的人員分散在不同的物理地點，比如集團公司的財務部在各子公司均有分部，但都屬於財務部管理，雖然這些資料都是要保密的，但需統一結算時，就可以跨地域(也就是跨交換機)將其設在同一虛擬區域網之中，實現資料安全和共享。採用虛擬區域網有如下優勢：抑制網路上的廣播風暴；增加網路的安全性；集中化的管理控制。

(1)基於埠的虛擬區域網

基於埠的虛擬區域網是最實用的虛擬區域網，它保持了最普通常用的虛擬區域網成員定義方法，配置也相當直觀簡單，就區域網中的站點具有相同的網路位址，不同的虛擬區域網之間進行通訊需要通過路由器。採用這種方式的虛擬區域網其不足之處是靈活性不好。例如，當乙個網路站點從乙個埠移動到另外乙個新的埠時，如果新埠與舊埠不屬於同乙個虛擬區域網，則使用者必須對該站點重新進行網路位址配置，否則，該站點將無法進行網路通訊。在基於埠的虛擬區域網中，每個交換埠可以屬於乙個或多個虛擬區域網組，比較適用於連線伺服器。

(2) 基於mac位址的虛擬區域網

在基於mac位址的虛擬區域網中，交換機對站點的mac位址和交換機埠進行跟蹤，在新站點入網時根據需要將其劃歸至某乙個虛擬區域網，而無論該站點在網路中怎樣移動，由於其mac位址保持不變，因此使用者不需要進行網路位址的重新配置。這種虛擬區域網技術的不足之處是在站點入網時，需要對交換機進行比較複雜的手工配置，以確定該站點屬於哪乙個虛擬區域網。

(3)基於ip位址的虛擬區域網

在基於ip位址的虛擬區域網中，新站點在入網時無需進行太多配置，交換機則根據各站點網路位址自動將其劃分成不同的虛擬區域網。在三種虛擬區域網的實現技術中，基於ip位址的虛擬區域網智慧型化程度最高，實現起來也最複雜。

vlan

(4).根據ip組播劃分vlan

ip 組播實際上也是一種vlan的定義，即認為乙個組播組就是乙個vlan，這種劃分的方法將vlan擴大到了廣域網，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴充套件，當然這種方法不適合區域網，主要是效率不高。

(5).基於規則的vlan

也稱為基於策略的vlan。這是最靈活的vlan劃分方法，具有自動配置的能力，能夠把相關的使用者連成一體，在邏輯劃分上稱為「關係網路」。網路管理員只需在網管軟體中確定劃分vlan的規則（或屬性），那麼當乙個站點加入網路中時，將會被「感知」，並被自己地包含進正確的vlan中。同時，對站點的移動和改變也可自動識別和跟蹤。

採用這種方法，整個網路可以非常方便地通過路由器擴充套件網路規模。有的產品還支援乙個埠上的主機分別屬於不同的vlan，這在交換機與共享式hub共存的環境中顯得尤為重要。自動配置vlan時，交換機中軟體自動檢查進入交換機埠的廣播資訊的ip源位址，然後軟體自動將這個埠分配給乙個由ip子網對映成的vlan。

* 以上劃分vlan的方式中，基於埠的vlan埠方式建立在物理層上；mac方式建立在資料鏈路層上；網路層和ip廣播方式建立在第三層上。

使用vlan優點

使用vlan具有以下優點：

1、控制廣播風暴

乙個vlan就是乙個邏輯廣播域，通過對vlan的建立，隔離了廣播，縮小了廣播範圍，可以控制廣播風暴的產生。

2、提高網路整體安全性

通過路由訪問列表和mac位址分配等vlan劃分原則，可以控制使用者訪問許可權和邏輯網段大小，將不同使用者群劃分在不同vlan，從而提高交換式網路的整體效能和安全性。

3、網路管理簡單、直觀

對於交換式乙太網，如果對某些使用者重新進行網段分配，需要網路管理員對網路系統的物理結構重新進行調整，甚至需要追加網路裝置，增大網路管理的工作量。而對於採用vlan技術的網路來說，乙個vlan可以根據部門職能、物件組或者應用將不同地理位置的網路使用者劃分為乙個邏輯網段。在不改動網路物理連線的情況下可以任意地將工作站在工作組或子網之間移動。利用虛擬網路技術，大大減輕了網路管理和維護工作的負擔，降低了網路維護費用。在乙個交換網路中，vlan提供了網段和機構的彈性組合機制。

三層交換技術

傳統的路由器在網路中有路由**、防火牆、隔離廣播等作用，而在乙個劃分了vlan以後的網路中，邏輯上劃分的不同網段之間通訊仍然要通過路由器**。由於在區域網上，不同vlan之間的通訊資料量是很大的，這樣，如果路由器要對每乙個資料報都路由一次，隨著網路上資料量的不斷增大，路由器將不堪重負，路由器將成為整個網路執行的瓶頸。

在這種情況下，出現了第三層交換技術，它是將路由技術與交換技術合二為一的技術。三層交換機在對第乙個資料流進行路由後，會產生乙個mac位址與ip位址的對映表，當同樣的資料流再次通過時，將根據此表直接從二層通過而不是再次路由，從而消除了路由器進行路由選擇而造成網路的延遲，提高了資料報**的效率，消除了路由器可能產生的網路瓶頸問題。可見，三層交換機集路由與交換於一身，在交換機內部實現了路由，提高了網路的整體效能。

在以三層交換機為核心的千兆網路中，為保證不同職能部門管理的方便性和安全性以及整個網路執行的穩定性，可採用vlan技術進行虛擬網路劃分。vlan子網隔離了廣播風暴，對一些重要部門實施了安全保護；且當某一部門物理位置發生變化時，只需對交換機進行設定，就可以實現網路的重組，非常方便、快捷，同時節約了成本。

交換機充當的角色

交換機的好處在於其可以隔離衝突域，每個埠就是乙個衝突域，因此在乙個埠單獨接計算機的時候，該計算機是不會與其它計算機產生衝突的，也就是頻寬是獨享的，交換機能做到這一點關鍵在於其內部的匯流排頻寬是足夠大的，可以滿足所有埠的全雙工狀態下的頻寬需求，並且通過類似**交換機的機制保護不同的資料報能夠到達目的地，可以把hub和交換機比喻成單排街道與高速公路。

ip廣播是屬於osi的第三層，是基於tcp/ip協議的，其產生和原理這裡就不多講了，大家可以看看tcp/ip協議方面的書籍。交換機是無法隔離廣播的，就像hub無法隔離衝突域一樣，因為其是工作在osi第二層的，無法分析ip包，但我們可以使用路由器來隔離廣播域，路由器的每個埠可以看成是乙個廣播域，乙個埠的廣播無法傳到另外乙個埠（特殊設定除外），因此在規模較大，機器較多的情況下我們可以使用路由器來隔離廣播。

下面開始歸入正題。

vlan的實現原理非常簡單，通過交換機的控制，某一vlan成員發出的資料報交換機只發個同一vlan的其它成員，而不會發給該vlan成員以外的計算機。

vlan的劃分有很多種，我們可以按照ip位址來劃分，按照埠來劃分、按照mac位址劃分或者按照協議來劃分，常用的劃分方法是將埠和ip位址結合來劃分vlan，某幾個埠為乙個vlan，並為該vlan配置ip位址，那麼該vlan中的計算機就以這個位址為閘道器，其它vlan則不能與該vlan處於同一子網。

如果兩台交換機都有同一vlan的計算機，怎麼辦呢，我們可以通過vlan trunk來解決。

如果交換機1的vlan1中的機器要訪問交換機2的vlan1中的機器，我們可以把兩台交換機的級聯埠設定為trunk埠，這樣，當交換機把資料報從級聯口發出去的時候，會在資料報中做乙個標記（tag），以使其它交換機識別該資料報屬於哪乙個vlan，這樣，其它交換機收到這樣乙個資料報後，只會將該資料報**到標記中指定的vlan，從而完成了跨越交換機的vlan內部資料傳輸。vlan trunk目前有兩種標準，isl和802.1q，前者是cisco專有技術，後者則是ieee的國際標準，除了cisco兩者都支援外，其它廠商都只支援後者。

虛擬區域網 vlan

虛擬區域網Vlan

虛擬區域網VLAN

虛擬區域網VLAN

虛擬區域網 vlan

虛擬區域網Vlan

虛擬區域網VLAN

虛擬區域網VLAN

相關推薦