計算機網路之九：VLAN

一：什麼是VLAN

廣播在網路中起著非常重要的作用，如發現新裝置，調整網路路徑，IP地址租賃等，許多網路協議都要用到廣播。然而，隨著網路內計算機數量的增多，廣播包的數量也會急劇增加，當廣播包的數量佔到通訊總量的30%時，網路的傳輸效率將會明顯下降。所以當區域網內的計算機達到一定數量後，通常採用劃分VLAN（虛擬區域網）的方式將網路分隔開來。將一個大的廣播域劃分為若干個小的廣播域，以減小廣播可能造成的損害。

如何分隔大的廣播域呢？最簡單的方案就是物理分隔，即將一個完整的網路物理地分隔成兩個或多個子網路，然後再透過一個能夠隔離廣播的路由裝置將彼此連線起來。  處理物理分隔的方法之外，就是在交換機上採用邏輯分隔的方式，將一個大的區域網劃分若干個小的虛擬子網，即VLAN，從而使每一個子網都成為一個獨立的廣播域，子網之間進行通訊必須透過三層裝置。

二：VLAN的劃分方式

1.基於埠的VLAN

基於埠的VLAN是最常使用的劃分VLAN方式，幾乎被所有的交換機所支援。是指由網路管理員使用網管軟體或直接設定交換機，將某些埠直接地，強制性地分配給某個VLAN。除非網管人員重新設定，否則，這些埠將一直屬於該VLAN。這種劃分方式也稱為靜態VLAN。

Access介面：交換機上用來連線使用者主機的介面，它只能連線接入鏈路（Access Link）。

Trunk介面：交換機上用來和其他交換機連線的介面，它只能連線幹道鏈路（Trunk Link）。

除此之外，還有一種介面叫Hybrid介面，是交換機上既可以連線使用者主機，又可以連線其他交換機的介面。Hybrid介面既可以連線接入鏈路又可以連線幹道鏈路。

2.基於MAC的VLAN

是指藉助智慧管理軟體根據MAC地址來劃分VLAN。該劃分方式一般用在每一個交換機埠只連線一個終端的情況。埠藉助網路包的MAC地址，邏輯地址或協議型別來確定其VLAN的從屬，將埠劃分至不同VLAN。基於MAC的VLAN也稱為動態VLAN。由於MAC地址具有世界唯一性，該VLAN劃分方式的安全性也較高。

3.基於IP的VLAN

是指根據IP地址來劃分的VLAN。交換機屬OSI的第二場，因此，普通交換機不能識別幀中的網路層報文，但隨著第三層交換機的出現，將第二層的交換功能和第三層的路由功能結合在一起，從而使交換機也能夠識別網路層報文，可以使用報文中的IP地址來定義VLAN。

4.基於組播的VLAN

組播作為一點對多點的通訊，是節省網路頻寬的有效方法之一。在多媒體應用中，當需要將一個節點的多媒體訊號傳送到多個節點時，無論是採用重複點對點通訊方式，還是採用廣播的方式，都會嚴重浪費網路頻寬，而只有組播才是最好的選擇。組播能夠使一個或多個傳送者將幀傳送給組地址，而不是單個主機。其中，那些希望參加某一特定組的接收者，需要將含有組地址的IGMP“加入訊息”傳送給最鄰近的路由器，然後，路由器使用多點廣播路由協議（例如DVMRP、PIM等）建立從源到所有接收者的分發樹。接收者在任何時候都可以動態地參加或離開某個多點廣播組。支援IP多點廣播的應用包括：音訊/視訊會議、“push”技術（如股票行情、運動記分、報文）和虛擬現實遊戲。基於組播的VLAN，就是動態地把那些需要同時通訊的埠定義到一個VLAN中，並在VLAN中用廣播的方法解決點對多點通訊的問題。

三：VLAN的重要意義

1.降低移動和變更的管理成本

 使用VLAN，當需要把一臺計算機從一個子網轉移到另一個子網時，只需在交換機上重新定義一下VLAN成員即可。尤其是在採用MAC地址動態劃分VLAN時，當使用者將計算機從一個交換機埠移動到另一個交換機埠，由於其網路卡的MAC地址並不改變，所以，交換機能夠自動跟蹤該終端的MAC地址，並自動將其納入定義的VLAN中。

2.控制廣播

由於所有的廣播都只在本VLAN內進行，而不再擴散到其他VLAN上，所以，把校園網路適當地劃分成若干較小的VLAN，將大大減少廣播對網路頻寬的佔用，從而提高網路傳輸效率，並有效地避免廣播風暴的產生以及在整個網路的蔓延。

3.支援多媒體技術和高效組播控制

組播技術是支援多媒體應用的有效手段，在交換機中用組播組動態定義VLAN，並自動把組播報文只複製給同一VLAN中的終端，大大提高了多媒體資料傳輸的實時性，更有效地使用了頻寬，降低了網路因擁擠而阻塞的可能性。

4.增強安全性

由於交換機只能在同一VLAN內的埠之間交換資料，不同VLAN的埠不能直接相互訪問。同時，可以在Trunk（中繼）中設定允許訪問的VLAN，從而限制未經允許的VLAN訪問，保證VLAN只被授權的使用者訪問。因此，透過劃分VLAN，可以有效地提高網路安全性，防止某些非授權使用者對敏感資料的訪問。

5.網路監督和管理的自動化

由於可以透過網管軟體檢視VLAN間和VLAN內的各類通訊資訊，而這些資訊對於確定網路拓樸與路由，以及設定伺服器的位置都十分有用。透過劃分VLAN，可以使網路管理變得更簡單、更輕鬆、更有效。

四：實現VLAN需要的裝置

1.中心交換機必須支援VLAN，並且擁有三層交換功能。由於VLAN之間的通訊必須藉助三層裝置才能實現，因此，如果沒有三層裝置，VLAN的劃分將失去其原有的意義。原因很簡單，我們的目的不是阻隔通訊，而是試圖使通訊變得更快捷、更安全。若欲實現VLAN間的無阻塞線速傳輸，就必須採用集網橋和路由於一身的三層交換機，而不能採用傳輸的路由器。否則，VLAN間的傳輸將成為制約網路效率的瓶頸。

2.若欲在一臺交換機上劃分兩個或兩個以上的VLAN，那麼，該交換機也必須支援VLAN劃分功能。如果交換機上只有一個VLAN，那麼，完全可以將該VLAN劃分在第三層交換機或所級聯交換機的埠上。但是，如果若欲在交換機劃分兩個以上的VLAN，那麼，該交換機就必須是可網管的，而且必須支援VLAN。

3.網路內所有劃分有VLAN的交換機必須支援同一種VLAN和中繼協議，即IEEE 802.1Q和802.3ad網路協議。否則，將無法實現VLAN在不同交換機之間的跨越。

4.應當儘量採用同一品牌的交換機，以保證產品和技術的相容性，並可採用同一網路管理軟體，實現對網路裝置的統一管理，簡化網路配置操作。儘管不同廠商都執行相同的國際標準和協議，但同時也大量採有獨特的協議和技術（如Cisco的ISL），因此，在交換機間實現VLAN中繼時，會遇到許多困難，產生許多莫名其妙的通訊故障。所以，對於大中型校園網路而言，為了將來管理上的方便，應當儘量購置相同品牌的產品。