浅谈VLAN技术

　　目前，广域网和局域网技术得到广泛推广和应用。尤其是局域网技术发展更快，从传统LAN到交换LAN，再发展到虚拟LAN即VLAN（Virtual Local Area Networks）。VLAN技术较传统LAN技术前进了一大步，让我们在辽阔的信息领域中拥有属于自己的空间。
　　
　　1．VLAN概念
　　
　　　　VLAN是一个在物理网络上根据用途，工作组、应用等来逻辑划分的局域网络，是一个广播域，与用户的物理位置没有关系。VLAN中的网络用户是通过LAN交换机来通信的。一个VLAN中的成员看不到另一个VLAN中的成员。
　　
　　2．VLAN特征 网管bitscn_com
　　
　　　　同一个VLAN中的所有成员共同拥有一个VLAN ID，组成一个虚拟局域网络；同一个VLAN中的成员均能收到同一个VLAN中的其他成员发来的广播包，但收不到其他VLAN中成员发来的广播包；不同VLAN成员之间不可直接通信，需要通过路由支持才能通信，而同一VLAN中的成员通过VLAN交换机可以直接通信，不需路由支持。
　　
　　3．VLAN特征
　　
　　　　VLAN的特性是：控制通信活动，隔离广播数据顺化网络管理，便于工作组优化组合，VLAN中的成员只要拥有一个VLAN ID就可以不受物理位置的限制，随意移动工作站的位置；增加网络的安全性，VLAN交换机就是一道道屏风，只有具备VLAN成员资格的分组数据才能通过，这比用计算机服务器做防火墙要安全得多；网络带宽得到充分利用，网络性能大大提高。 网管u家u.bitscn@com
　　
　　4．交换式以太网VLAN和ATM VLAN
　　
　　　　从技术角度来讲，VLAN既可以在交换式以太网中实现，也可以在ATM骨干网中实现，比较起来，在ATM环境中实现VLAN技术相对来说要困难些。
　　
　　　　（1）交换式以大网VLAN，基于交换式以太网的VLAN采用的是帧交换（Frame Switch）技术，其工作机制是：当以太网交换机从一个端口收到数据帧后，对数据帧中包含的MAC（媒体存取控制）地址进行分析姘利用交换机中的端口-MAC地址映射表将数据帧转发至相应端口。
　　
　　　　（2）ATM VLAN。基于ATM的VLAN采用的是信元交换（Cell Switch）技术，信元交换技术主要是指ATM技术，工作机制是：当ATM交换机从一个端口收到数据包后，采用53字节的定长信元（Cell）进行封装处理，其中有5个字节是信无头，含有目的地址等信息。在交换时，全部以信元进行交换。ATM是局域网和广域网的公共基础技术，结合了线路交换和存储转发两种数据交换形式，采用底层交换和光纤传输等技术，具有从几兆到数百兆甚至上千兆的网络带宽，能充分满足数据、语音及视频等传输的各类需求，非常容易组建各种应用的城域网，并有服务质量（QoS）保证。在ATM上实现VLAN技术实在是再好不过的了。 网管下载dl.bitscn.com
　　
　　5．VLAN实现原理
　　
　　　　当VLAN交换机从工作站接收到数据后，会对数据的部分内容进行检查，并与一个VLAN配置数据库（该数据库含有静态配置的或者动态学习而得到的MAC地址等信息）中的内容进行比较后，确定数据去向，如果数据要发往一个VLAN设备（VLAN-aware），一个标记（Tag）或者VLAN标识就被加到这个数据上，根据VLAN标识和目的地址，VLAN交换机就可以将该数据转发到同一VLAN上适当的目的地；如果数据发往非VLAN设备（VLAN-unaware），则VLAN交换机发送不带VLAN标识的数据。 网管论坛bbs_bitsCN_com
　　
　　6．VLAN类型
　　
　　　　加入一个VLAN所依据的标准是多种多样的，可以按以下方案加入VLAN。
　　
　　　　（1）按端口划分。将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。这种按网络端口来划分VLAN网络成员的配置过程简单明了，因此，它是最常用的一种方式。其主要缺点在于不允许用户移动，一旦用户移动到一个新的位置，网络管理员必须配置新的VLAN。 网管下载dl.bitscn.com
　　
　　　　（2）按MAC地址划分。VLAN工作基于工作站的MAC地址，VLAN交换机跟踪属于VLAN MAC的地址，从某种意义上说，这是一种基于用户的网络划分手段，因为MAC在工作站的网卡（NIC）上。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份，但这种方式要求网络管理员将每个用户都一一划分在某个VLAN中，在一个大规模的VLAN中，这就有些困难；再者，笔记本电脑没有网卡，因而，当笔记本电脑移动到另一个站时，VLAN需要重新配置。

网管u家u.bitsCN.com

　　
　　　　（3）按网络协议划分。VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的，而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。这种方式不足之处在于，可使广播域跨越多个VLAN交换机，容易造成某些VLAN站点数目较多，产生大量的广播包，使VLAN交换机的效率降低。 网管bitscn_com
　　
　　　　（4）按IP／IPX划分。基于IP子网的VLAN，可按照IPv4和IPv6方式来划分VLAN。其每个VLAN都是和一段独立的IP网段相对应的，将IP的广播组和VLAN的碰撞域一对一地结合起来。这种方式有利于在VLAN交换机内部实现路由，也有利于将动态主机配置（DHCP）技术结合起来，而且，用户可以移动工作站而不需要重新配置网络地址，便于网络管理。其主要缺点在于效率要比第二层差，因为查看三层IP地址比查看MAC地址所消耗的时间多。基于IPX的VLAN，也是按照OSI（开放系统互连）模型的第三层地址来设计的。
　　
　　　　（5）按策略划分。基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN。
　　
　　　　（6）按用户定义、非用户授权划分。基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，特别的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，得到VLAN管理的认证后才可以加入一个VLAN。
　　
　　7．VLAN通信
　　
　　　　VLAN交换机必须有一种方式来了解VLAN的成员关系，即要让交换机知道哪一个工作站属于哪一个VLAN。一般地，基于VLAN交换机端口或者工作站的MAC地址来组建的VLAN，其VLAN成员是以直接的形式与其他成员联系的；基于三层如按IP来组建的VLAN，其VLAN成员是以间接的形式与其他成员联系的。目前VLAN之间的通信主要采取如下4种方式。 网管论坛bbs_bitsCN_com
　　
　　　　（1）MAC地址静态登记方式。MAC地址静态登记方式是预先在VLAN交换机中设置好一张地址列表，这张表含有工作站的MAC地址JLAN交换机的端口号、VLAN ID等信息，当工作站第一次在网络上发广播包时，交换机就将这张表的内容一一对应起来，并对其他交换机广播。这种方式的缺点在于，网络管理员要不断修改和维护MAC地址静态条目列表；且大量的MAC地址静态条目列表的广播信息易导致主干网络拥塞。
　　
　　　　（2）帧标签方式。帧标签方式采用的是标签（tag）技术，即在每个数据包都加上一个标签，用来标明数据包属于哪个VLAN，这样，VLAN交换机就能够将来自不同VLAN的数据流复用到相同的VLAN交换机上。这种方式存在一个问题，即每个数据包加上标签，使得网络的负载也相应增加了。

网管论坛bbs_bitsCN_com

　　
　　　　（3）虚连接方式。网络用户A和B第一次通信时，发送地址解析（ARP）广播包，VLAN交换机将学习到的MAC和所连接的VLAN交换机的端口号保存到动态条目MAC地址列表中，当A和日有数据要传时，VLAN交换机从其端口收到的数据包中识别出目的MAC地址，查动态条目MAC地址列表，得到目的站点所在的VLAN交换机端口，这样两个端口间就建立起一条虚连接，数据包就可从源端口转发到目的端口。数据包一旦转发完毕，虚连接即被撤销。这种方式使带宽资源得到了很好利用，提高了VLAN交换机效率。
　　
　　　　（4）路由方式。在按IP划分的VLAN中，很容易实现路由，即将交换功能和路由功能融合在VLAN交换机中。这种方式既达到了作为VLAN控制广播风暴的最基本目的，又不需要外接路由器。但这种方式对VLAN成员之间的通信速度不是很理想。

网管下载dl.bitscn.com

　　
　　8．VLAN交换机的互联
　　
　　　　（1）接入链路。接入链路（Access Link）是用来将非VLAN标识的工作站或者非VLAN成员资格的VLAN设备接入一个VLAN交换机端口的一个LAN网段。它不能承载标记数据。
　　
　　　　（2）中继链路。中继链路（Trunk Link）是只承载标记数据（即具有VLAN ID标签的数据包）的干线链路，只能支持那些理解VLAN帧格式和VLAN成员资格的VLAN设备。中继链路最通常的实现就是连接两个VLAN交换机的链路。与中继链路紧密相关的技术就是链路聚合（Trunking）技术，该技术采用VTP（VLAN Trunking Protoco1）协议，即在物理上每台VLAN交换机的多个物理端口是独立的，多条链路是平行的，采用VTP技术处理以后，逻辑上VLAN交换机的多个物理端口为一个逻辑端口，多条物理链路为一条逻辑链路。这样，VLAN交换机上使用生成树协议STP（Spanning Tree Protocol）就不会将物理上的多条平行链路构成的环路中止掉，而且，带有VLAN ID标签的数据流可以在多条链路上同时进行传输共享，实现数据流的高效快速平衡传输。
　　
　　　　（3）混合链路。混合链路（Hybrid Link）是接入链路和中继链路混合所组成的链路，即连接VLAN-aware设备和VLAN-unaware设备的链路。这种链路可以同时承载标记数据和非标记数据。
　　
　　9．VLAN的可靠性和可扩展性
　　
　　　　（1）可靠性。VLAN的可靠性是指无论一个VLAN中的广播信息和数据是处在一个VLAN设备中，还是处在多个VLAN设备中，亦或处在具有动态VLAN成员资格的网络环境中，都能准确地转发到目的地。为了实现VLAN的可靠性，需要有下面两个协议来保证：GMRP（Group Multicast Registration Protocol，组多点转发注册