VLAN概述

從VLAN技術(shù)的出現、VLAN的優(yōu)點(diǎn)到VLAN如何工作等，描述了VLAN技術(shù)是二層網(wǎng)絡(luò )中重要轉發(fā)技術(shù)之一。

VLAN產(chǎn)生原因

早期的局域網(wǎng)LAN技術(shù)是基于總線(xiàn)型結構，它存在以下主要問(wèn)題：

• 若某時(shí)刻有多個(gè)節點(diǎn)同時(shí)試圖發(fā)送消息，那么它們將產(chǎn)生沖突。
• 從任意節點(diǎn)發(fā)出的消息都會(huì )被發(fā)送到其他節點(diǎn)，形成廣播。
• 所有主機共享一條傳輸通道，無(wú)法保證網(wǎng)絡(luò )中的信息安全。

這種網(wǎng)絡(luò )構成了一個(gè)沖突域，網(wǎng)絡(luò )中計算機數量越多沖突越嚴重，網(wǎng)絡(luò )效率越低。同時(shí)，該網(wǎng)絡(luò )也是一個(gè)廣播域，當網(wǎng)絡(luò )中發(fā)送信息的計算機數量越多時(shí)，廣播流量將會(huì )耗費大量帶寬。

因此，傳統網(wǎng)絡(luò )不僅面臨沖突域和廣播域兩大難題，而且無(wú)法保障傳輸信息的安全。

為減少廣播，需要在沒(méi)有互訪(fǎng)需求的主機之間進(jìn)行隔離。路由器是基于三層IP地址信息來(lái)選擇路由，其連接兩個(gè)網(wǎng)段時(shí)可以有效抑制廣播報文的轉發(fā)，但成本較高。因此人們設想在物理局域網(wǎng)上構建多個(gè)邏輯局域網(wǎng)，即VLAN（Virtual Local Area Network）。

VLAN將一個(gè)物理的LAN在邏輯上劃分成多個(gè)廣播域（多個(gè)VLAN）。VLAN內的主機間可以直接通信，而VLAN間不能直接互通。這樣，廣播報文被限制在一個(gè)VLAN內，同時(shí)提高了網(wǎng)絡(luò )安全性。

VLAN定義

VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是將一個(gè)物理的LAN在邏輯上劃分成多個(gè)廣播域（多個(gè)VLAN）的通信技術(shù)。每一個(gè)VLAN都包含一組擁有相同需求的計算機，與物理上形成的LAN具有相同的屬性。但是由于VLAN是在邏輯劃分而不是在物理上劃分，所有同一個(gè)VLAN內的各個(gè)工作站無(wú)需放置在同一個(gè)物理空間。VLAN內的主機間可以直接通信，而VLAN間不能直接互通，即使兩臺計算機有著(zhù)同樣的網(wǎng)段，但是它們不屬于同一個(gè)VLAN，它們各自的廣播流不會(huì )互相轉發(fā)，從而將廣播報文限制在一個(gè)VLAN內。由于VLAN間不能直接互訪(fǎng)，因此提高了網(wǎng)絡(luò )安全性。

圖1是一個(gè)典型的VLAN應用組網(wǎng)圖。3臺設備A、B和C分別放置在不同的地點(diǎn)，比如寫(xiě)字樓的不同樓層。每臺設備分別連接3臺計算機，分別屬于3個(gè)不同的VLAN，比如不同的企業(yè)客戶(hù)。在圖中，一個(gè)虛線(xiàn)框內表示一個(gè)VLAN。采用VLAN，可以實(shí)現各企業(yè)客戶(hù)共享LAN設施，同時(shí)保證各自的網(wǎng)絡(luò )信息安全，即不同的企業(yè)客戶(hù)屬于不同的VLAN，它們各自的廣播報文不會(huì )互相轉發(fā)，從而實(shí)現了控制流量、減少設備投資、簡(jiǎn)化網(wǎng)絡(luò )管理、提高網(wǎng)絡(luò )的安全性。

VLAN的典型應用示意圖

從上述應用可以看出VLAN具有以下優(yōu)勢：

• 限制廣播域。廣播域被限制在一個(gè)VLAN內，節省了帶寬，提高了網(wǎng)絡(luò )處理能力。
• 增強局域網(wǎng)的安全性。不同VLAN內的報文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內的用戶(hù)不能和其它VLAN內的用戶(hù)直接通信。
• 提高了網(wǎng)絡(luò )的健壯性。故障被限制在一個(gè)VLAN內，本VLAN內的故障不會(huì )影響其他VLAN的正常工作。
• 靈活構建虛擬工作組。用VLAN可以劃分不同的用戶(hù)到不同的工作組，同一工作組的用戶(hù)也不必局限于某一固定的物理范圍，網(wǎng)絡(luò )構建和維護更方便靈活。