有關VLAN的技術標準IEEE 802.1Q早在1999年（nián）6月份就由IEEE委員正式頒布實施了，而且最早的VLNA技術早在1996年(思科)公司就提出 了。隨著幾年來的發展，VLAN技術得到廣泛（fàn）的支持，在大（dà）大小小的企業網絡中廣泛應用，成為當前（qián）最為熱門的一種以太局域網技術。本篇就要 為大家介紹機的一個最常見技（jì）術應用--VLAN技術，並針對（duì）中、小局域網VLAN的網絡配置以實例的方式向大家簡單介紹其配置方法。

　　一、VLAN基礎

　　VLAN(Virtual Local Area Network)的中文名為"虛擬局域網（wǎng）"，注意不是"VPN"(虛擬專用（yòng）網)。VLAN是一種將（jiāng）局域網設（shè）備從邏（luó）輯上 劃分(注意，不是（shì）從物（wù）理上劃分)成一個個網段，從而實（shí）現虛擬工作組的新興數據技術。這一新興技術主（zhǔ）要應用於交換機（jī）和器（qì）中，但主 流應用還是在（zài）交換（huàn）機之（zhī）中（zhōng）。但又不是所有交換機（jī）都具有此功（gōng）能，隻有VLAN的第三層以上交換機才具有此（cǐ）功能，這一點可以查看相應交換機 的說明書（shū）即可得知。

　　IEEE於1999年頒布了（le）用以標準化VLAN實現方案的802.1Q標準草案。VLAN技術的出現，使得（dé）管理（lǐ）員根據實際（jì）應用需求，把同一 物理局域網內的不同用戶邏輯（jí）地（dì）劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的（de）LAN有著相同的屬 性。由於它是從邏（luó）輯上劃分，而不是從物（wù）理（lǐ）上（shàng）劃分，所以同一個VLAN內的各個工作站沒有限製（zhì）在同（tóng）一個物理範圍中，即這些（xiē）工作站可以在不同 物理LAN網段。由VLAN的特點可知，一個VLAN內部的（de）廣（guǎng）播和單播流量都不會轉發到其他（tā）VLAN中，從而有助於控製流量、減少設（shè）備投資、簡化（huà）網（wǎng）絡 管理、提（tí）高網絡的性。

　　交換技術的發展，也加快了新的（de）交換技術(VLAN)的應用速度。通過將企業網絡劃分為虛擬網絡VLAN網段，可以（yǐ）強化網絡管理和網 絡，控製不（bú）必要的數據廣播。在共享網絡中，一個物理的網段就（jiù）是一個廣播（bō）域。而（ér）在交換網絡中，廣（guǎng）播域可以是有一組任意選定的第二層 網絡地址(MAC地址)組（zǔ）成的虛擬網段。這樣，網絡中工作組的劃分可以突破共享網絡中的地理位置限製，而完全根據管（guǎn）理功能來劃分。這種基於 工作流的分（fèn）組模式，大大提高了（le）網絡規劃和重組的管理功能。在同一個VLAN中的（de）工作站，不論它們實際與哪個交換機（jī）連接，它們之間的通訊就 好象在獨立的交（jiāo）換（huàn）機上一樣（yàng）。同一個VLAN中的廣播隻有VLAN中的成員才能（néng）聽到，而不會（huì）傳輸到其他的 VLAN中去，這樣可以（yǐ）很好（hǎo）的控製不必要的 廣播風暴的產生。同時，若沒有（yǒu）的話，不同VLAN之（zhī）間不能相互通訊，這樣增加了企業網（wǎng）絡中不同部門之間的安全性。網絡管理員可以（yǐ）通過 配置（zhì）VLAN之間的路由來全麵管理企業內部（bù）不同管理單元之間（jiān）的信息互訪。交換機是根據用戶工作站的（de）MAC地址（zhǐ）來（lái）劃分VLAN的。所以，用戶可（kě）以自 由的（de）在企業網絡中移動辦公，不論他在何處接入交換網絡，他都可以與VLAN內其他用戶自如通訊。

　　VLAN網絡可以是有混合的網絡類型（xíng）設備組成，比如：10M以太網、100M以太網、令牌網、FDDI、CDDI等等，可以是（shì）工作站、 、集線器、網絡上行主幹等等。

　　VLAN除了能將網絡劃分為多個廣播域，從（cóng）而有效地控製廣播風暴的發生，以（yǐ）及使網絡的拓（tuò）撲結構（gòu）變得非常靈活的優點外，還可以 用於控製網絡中不（bú）同部門、不同站點之間的互相訪問。

　　VLAN是為解決（jué）以太網的廣播問題和安全性而提出的一種，它在以太網（wǎng） 幀的基（jī）礎（chǔ）上增加了VLAN頭，用VLAN ID把（bǎ）用戶劃分（fèn）為更小（xiǎo）的工（gōng）作組，限製不同（tóng）工作組間的用戶互訪，每個工作組就是一個虛擬局域網。虛擬局域 網的好處是（shì）可以限製廣播範圍，並能夠形成（chéng）虛擬工（gōng）作組，動態管理網絡。

　　二、VLAN的劃分方法

　　VLAN在交換機上的實現方法，可以大致劃分為六（liù）類:

　　1. 基於端口劃分的VLAN

　　這是最（zuì）常應用的一種VLAN劃分方（fāng）法，應用也最為廣泛、最有（yǒu）效，目前絕大多數VLAN協議的交換機都提供這種VLAN配置方法。這種 劃分VLAN的方（fāng）法是根據以太網交換機的交換端口來劃分的，它（tā）是將VLAN交換機上的物理端口和VLAN交換機內部的PVC(永久虛電路)端口分成若幹 個組（zǔ），每個組構成一個虛擬網（wǎng），相當於一個獨立的VLAN交（jiāo）換機。

　　對於不（bú）同部門需要互訪時（shí），可通過（guò）路由器轉發，並配合基於MAC地址的端口過濾。對某站點的訪問路徑上最靠近該站點的（de）交（jiāo）換機（jī）、 路由（yóu）交換機或路（lù）由器的相應端口上，設定（dìng）可通過的MAC地址集。這樣就可（kě）以防止非法入侵者（zhě）從內（nèi）部盜用IP地址從其（qí）他可接（jiē）入點入侵的可（kě）能（néng）。

　　從這種劃分方法本身我們可以看出，這種劃分的方（fāng）法的優（yōu）點是定義VLAN成員時非常簡單，隻要將所有的端口都定義為相應的VLAN 組即（jí）可。適合於（yú）任（rèn）何大小的網絡。它的缺（quē）點是如（rú）果某用戶離開了原來的端口，到了一個新的交換機的某個端口，必須重（chóng）新定義。

　　2. 基於MAC地址劃分VLAN

　　這種劃分VLAN的方法是根據每個主機的MAC地址來（lái）劃分，即對每個MAC地址的主機都配置他屬於哪個組，它實現的機製（zhì）就（jiù）是每一塊 網卡都（dōu）對（duì）應唯一的MAC地址，VLAN交換機跟蹤（zōng）屬於VLAN MAC的（de）地址。這種方式（shì）的VLAN允許網絡用戶從一個物理位置移動到（dào）另（lìng）一個物理位置時，自 動保留其所屬VLAN的成員身份。

　　由這（zhè）種劃分的機製可以看出（chū），這種VLAN的劃分方（fāng）法的最大優點就是當用戶物（wù）理位置移動時，即從一個交換機換到其他的交換機時 ，VLAN不用重新配置，因為（wéi）它（tā）是基於用戶，而不是基於交換機的端口。這種（zhǒng）方法的缺點是初（chū）始化時，所有的用戶都必須進行配置，如果（guǒ）有幾百 個（gè）甚至上千（qiān）個用戶的話，配置（zhì）是非常累的，所以這種劃分方法（fǎ）通常（cháng）適用於小型局（jú）域網。而且（qiě）這種劃分的（de）方法也導致了交換機執行效率的（de）降低， 因（yīn）為在每一個交換機的端口（kǒu）都可能存在很多個VLAN組的成員，保存了許（xǔ）多用戶的MAC地址，查詢（xún）起來相（xiàng）當不容易。另外（wài），對於使用筆記（jì）本電腦的 用戶來說，他們的網卡可能經常更換，這（zhè）樣VLAN就必須經常配置。

　　3. 基於網絡（luò）層協議劃分（fèn）VLAN

　　VLAN按網絡層協議來劃分，可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網絡。這（zhè）種按網絡層協（xié）議來組成的（de）VLAN，可（kě）使廣 播域跨越多（duō）個VLAN交換機。這對於希望針對具體應用和（hé）服務來組織用戶的網絡管理員來說是非常具有吸引力（lì）的。而且，用戶可以在網絡內部自 由（yóu）移動，但其VLAN成員身份仍然保留不變。

　　這種方法的優（yōu）點是用（yòng）戶的物理位置改（gǎi）變（biàn）了，不需要重新配置所屬的VLAN，而且可以根據協議類型來劃（huá）分VLAN，這對網絡管理者來 說很重要（yào），還有，這種方法不（bú）需要附（fù）加的幀標簽來識別VLAN，這樣可以減少網絡的通信（xìn）量。這種方法的缺點是效率低，因為檢查每（měi）一個數據包 的網絡層地址是需要消耗處理時間的(相對於前麵（miàn）兩種方法)，一般的交換（huàn）機芯（xīn）片都可以自動檢查網絡上數據包的以（yǐ）太網禎頭，但要讓芯片能檢 查IP幀頭，需要更（gèng）高的技（jì）術，同時也更費時。當然，這與各個廠商的實現方法有關（guān）。

　　4. 根據IP組播劃分VLAN

　　IP 組播（bō）實際上也是一種VLAN的定義，即認為（wéi）一（yī）個IP組播組就是一個VLAN。這種劃分的（de）方法將VLAN擴大到了廣域網，因此這種方法 具有更大的靈（líng）活性，而且也很（hěn）容易通（tōng）過路由器進行擴展，主要適合於不在（zài）同一地（dì）理範圍（wéi）的局域網用戶組成一個VLAN，不適合局域（yù）網，主要是效 率不高。

　　5. 按策略（luè）劃分VLAN

　　基於策略組成的VLAN能實現多種分配方法，包括（kuò）VLAN交換機端口、MAC地址、IP地（dì）址、網絡層協議等。網（wǎng）絡管理人員可根據自（zì）己的 管理模式和本（běn）單位的需（xū）求（qiú）來決定選擇哪種類型的VLAN 。

　　6. 按用（yòng）戶定義、非用戶授權劃分VLAN

　　基於用戶定義、非用戶授權來劃分VLAN，是指為了適應特（tè）別的VLAN網絡，根據具體的網絡用戶的特別要求來定義（yì）和設計VLAN，而 且可（kě）以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶（hù）密碼，在得到VLAN管理的認證（zhèng）後才（cái）可以加（jiā）入一個VLAN。

　　三、VLAN的優越性

　　任（rèn）何新技術要（yào）得（dé）到廣泛支（zhī）持和應用，肯定存在一些關鍵優勢，VLAN技術也一樣（yàng），它的（de）優勢主要體現在以（yǐ）下幾個方麵：

　　1. 增加了網絡連接的靈活性

　　借助VLAN技術，能將不同地點、不同網絡、不同用戶組合在一（yī）起，形成一個虛擬的（de）網絡環境 ，就像使用本地（dì）LAN一樣方便、靈活 、有效。VLAN可以降低移動或變更工作站地理位置的管 理（lǐ）費用，特別是一些業（yè）務情況有經（jīng）常性變動的公司使用了VLAN後，這部分管（guǎn）理費用大大 降低。

　　2. 控製網絡上的廣播

　　VLAN可以提供建（jiàn）立的機製（zhì），防止交換網絡的過量（liàng）廣（guǎng）播。使用VLAN，可以將某個交換端（duān）口或用戶賦於某一個特（tè）定的VLAN組， 該VLAN組可以在一個交換網中或跨接多個（gè）交換機， 在一個VLAN中的廣播不（bú）會送到VLAN之（zhī）外。同樣，相鄰的端口不會收到其他VLAN產生的廣 播 。這樣可以減少廣播流量，釋放（fàng）帶寬給用戶應用，減少廣播的產生。

　　3. 增加網絡的安全性

　　因為（wéi）一（yī）個VLAN就是（shì）一個單獨（dú）的廣播域，VLAN之間相互隔（gé）離，這大大提高了網絡的利用（yòng）率（lǜ），確保了網絡的安全保密性。人們在LAN上 經常傳送一些保密的、關鍵性的數據。保密的數據應 提供訪問控製等安全手段。一個（gè）有效和容易實現的方法是將網絡分段成幾個不同（tóng）的廣播（bō）組，網絡管理員限製了VLAN中用（yòng）戶的數量，禁（jìn）止（zhǐ）未經允許而訪問VLAN中的應用。交換端口可（kě）以基 於應用類型和訪問（wèn）特（tè）權來進（jìn）行分組，被（bèi）限製的 應用程序和資源一（yī）般置於（yú）安（ān）全性VLAN中。