计算机网络vlan的作用,计算机网络之九：VLAN

一：什么是VLAN

广播在网络中起着非常重要的作用，如发现新设备，调整网络路径，IP地址租赁等，许多网络协议都要用到广播。然而，随着网络内计算机数量的增多，广播包的数量也会急剧增加，当广播包的数量占到通讯总量的30%时，网络的传输效率将会明显下降。所以当局域网内的计算机达到一定数量后，通常采用划分VLAN(虚拟局域网)的方式将网络分隔开来。将一个大的广播域划分为若干个小的广播域，以减小广播可能造成的损害。

如何分隔大的广播域呢？最简单的方案就是物理分隔，即将一个完整的网络物理地分隔成两个或多个子网络，然后再通过一个能够隔离广播的路由设备将彼此连接起来。  处理物理分隔的方法之外，就是在交换机上采用逻辑分隔的方式，将一个大的局域网划分若干个小的虚拟子网，即VLAN，从而使每一个子网都成为一个独立的广播域，子网之间进行通信必须通过三层设备。

二：VLAN的划分方式

1.基于端口的VLAN

基于端口的VLAN是最常使用的划分VLAN方式，几乎被所有的交换机所支持。是指由网络管理员使用网管软件或直接设置交换机，将某些端口直接地，强制性地分配给某个VLAN。除非网管人员重新设置，否则，这些端口将一直属于该VLAN。这种划分方式也称为静态VLAN。

Access接口：交换机上用来连接用户主机的接口，它只能连接接入链路(Access Link)。

Trunk接口：交换机上用来和其他交换机连接的接口，它只能连接干道链路(Trunk Link)。

除此之外，还有一种接口叫Hybrid接口，是交换机上既可以连接用户主机，又可以连接其他交换机的接口。Hybrid接口既可以连接接入链路又可以连接干道链路。

2.基于MAC的VLAN

是指借助智能管理软件根据MAC地址来划分VLAN。该划分方式一般用在每一个交换机端口只连接一个终端的情况。端口借助网络包的MAC地址，逻辑地址或协议类型来确定其VLAN的从属，将端口划分至不同VLAN。基于MAC的VLAN也称为动态VLAN。由于MAC地址具有世界唯一性，该VLAN划分方式的安全性也较高。

3.基于IP的VLAN

是指根据IP地址来划分的VLAN。交换机属OSI的第二场，因此，普通交换机不能识别帧中的网络层报文，但随着第三层交换机的出现，将第二层的交换功能和第三层的路由功能结合在一起，从而使交换机也能够识别网络层报文，可以使用报文中的IP地址来定义VLAN。

4.基于组播的VLAN

组播作为一点对多点的通信，是节省网络带宽的有效方法之一。在多媒体应用中，当需要将一个节点的多媒体信号传送到多个节点时，无论是采用重复点对点通信方式，还是采用广播的方式，都会严重浪费网络带宽，而只有组播才是最好的选择。组播能够使一个或多个发送者将帧发送给组地址，而不是单个主机。其中，那些希望参加某一特定组的接收者，需要将含有组地址的IGMP“加入消息”发送给最邻近的路由器，然后，路由器使用多点广播路由协议(例如DVMRP、PIM等)建立从源到所有接收者的分发树。接收者在任何时候都可以动态地参加或离开某个多点广播组。支持IP多点广播的应用包括：音频/视频会议、“push”技术(如股票行情、运动记分、报文)和虚拟现实游戏。基于组播的VLAN，就是动态地把那些需要同时通信的端口定义到一个VLAN中，并在VLAN中用广播的方法解决点对多点通信的问题。

三：VLAN的重要意义

1.降低移动和变更的管理成本

使用VLAN，当需要把一台计算机从一个子网转移到另一个子网时，只需在交换机上重新定义一下VLAN成员即可。尤其是在采用MAC地址动态划分VLAN时，当用户将计算机从一个交换机端口移动到另一个交换机端口，由于其网卡的MAC地址并不改变，所以，交换机能够自动跟踪该终端的MAC地址，并自动将其纳入定义的VLAN中。

2.控制广播

由于所有的广播都只在本VLAN内进行，而不再扩散到其他VLAN上，所以，把校园网络适当地划分成若干较小的VLAN，将大大减少广播对网络带宽的占用，从而提高网络传输效率，并有效地避免广播风暴的产生以及在整个网络的蔓延。

3.支持多媒体技术和高效组播控制

组播技术是支持多媒体应用的有效手段，在交换机中用组播组动态定义VLAN，并自动把组播报文只复制给同一VLAN中的终端，大大提高了多媒体数据传输的实时性，更有效地使用了带宽，降低了网络因拥挤而阻塞的可能性。

4.增强安全性

由于交换机只能在同一VLAN内的端口之间交换数据，不同VLAN的端口不能直接相互访问。同时，可以在Trunk(中继)中设置允许访问的VLAN，从而限制未经允许的VLAN访问，保证VLAN只被授权的用户访问。因此，通过划分VLAN，可以有效地提高网络安全性，防止某些非授权用户对敏感数据的访问。

5.网络监督和管理的自动化

由于可以通过网管软件查看VLAN间和VLAN内的各类通信信息，而这些信息对于确定网络拓朴与路由，以及设置服务器的位置都十分有用。通过划分VLAN，可以使网络管理变得更简单、更轻松、更有效。

四：实现VLAN需要的设备

1.中心交换机必须支持VLAN，并且拥有三层交换功能。由于VLAN之间的通讯必须借助三层设备才能实现，因此，如果没有三层设备，VLAN的划分将失去其原有的意义。原因很简单，我们的目的不是阻隔通信，而是试图使通信变得更快捷、更安全。若欲实现VLAN间的无阻塞线速传输，就必须采用集网桥和路由于一身的三层交换机，而不能采用传输的路由器。否则，VLAN间的传输将成为制约网络效率的瓶颈。

2.若欲在一台交换机上划分两个或两个以上的VLAN，那么，该交换机也必须支持VLAN划分功能。如果交换机上只有一个VLAN，那么，完全可以将该VLAN划分在第三层交换机或所级联交换机的端口上。但是，如果若欲在交换机划分两个以上的VLAN，那么，该交换机就必须是可网管的，而且必须支持VLAN。

3.网络内所有划分有VLAN的交换机必须支持同一种VLAN和中继协议，即IEEE 802.1Q和802.3ad网络协议。否则，将无法实现VLAN在不同交换机之间的跨越。

4.应当尽量采用同一品牌的交换机，以保证产品和技术的兼容性，并可采用同一网络管理软件，实现对网络设备的统一管理，简化网络配置操作。尽管不同厂商都执行相同的国际标准和协议，但同时也大量采有独特的协议和技术(如Cisco的ISL)，因此，在交换机间实现VLAN中继时，会遇到许多困难，产生许多莫名其妙的通信故障。所以，对于大中型校园网络而言，为了将来管理上的方便，应当尽量购置相同品牌的产品。