什么是虛擬局域網(wǎng)技術(shù)_簡(jiǎn)述虛擬局域網(wǎng)的作用

虛擬局域網(wǎng)（VLAN）是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門(mén)及應(yīng)用等因素將它們組織起來(lái)，相互之間的通信就好像它們?cè)谕粋€(gè)網(wǎng)段中一樣，由此得名虛擬局域網(wǎng)。VLAN是一種比較新的技術(shù)，工作在OSI參考模型的第2層和第3層，一個(gè)VLAN就是一個(gè)廣播域，VLAN之間的通信是通過(guò)第3層的路由器來(lái)完成的。與傳統(tǒng)的局域網(wǎng)技術(shù)相比較，VLAN技術(shù)更加靈活，它具有以下優(yōu)點(diǎn)： 網(wǎng)絡(luò)設(shè)備的移動(dòng)、添加和修改的管理開(kāi)銷減少；可以控制廣播活動(dòng)；可提高網(wǎng)絡(luò)的安全性。

在計(jì)算機(jī)網(wǎng)絡(luò)中，一個(gè)二層網(wǎng)絡(luò)可以被劃分為多個(gè)不同的廣播域，一個(gè)廣播域?qū)?yīng)了一個(gè)特定的用戶組，默認(rèn)情況下這些不同的廣播域是相互隔離的。不同的廣播域之間想要通信，需要通過(guò)一個(gè)或多個(gè)路由器。這樣的一個(gè)廣播域就稱為VLAN。

虛擬局域網(wǎng)的工作原理

虛擬局域網(wǎng)的主要思想是：所有計(jì)算機(jī)組成一個(gè)大的物理局域網(wǎng)，即傳統(tǒng)局域網(wǎng)；將所有計(jì)算機(jī)設(shè)備按照功能和需求劃分為若干組，每組劃分為一個(gè)邏輯網(wǎng)段，每個(gè)邏輯網(wǎng)段是1個(gè)虛擬局域網(wǎng)；一個(gè)傳統(tǒng)局域網(wǎng)可劃分為多個(gè)邏輯網(wǎng)段，即多個(gè)VLAN；VLAN中的站點(diǎn)是通過(guò)軟件定義而不是硬件定義；站點(diǎn)可在多個(gè)VLAN之間移動(dòng)；一個(gè)VLAN中的廣播信息可以被該VLAN中的站點(diǎn)接收，該VLAN之外的站點(diǎn)接收不到該廣播信息，因此VLAN和傳統(tǒng)局域網(wǎng)一樣可以隔離廣播信息；連接在不同交換機(jī)上的站點(diǎn)可以使用VLAN技術(shù)組成一個(gè)或多個(gè)VLAN；VLAN中的站點(diǎn)之間通信時(shí)就像傳統(tǒng)局域網(wǎng)一樣；VLAN之間的相互通信必通過(guò)網(wǎng)絡(luò)層協(xié)議實(shí)現(xiàn)，不能直接相互通信。

采用VLAN技術(shù)可以很容易地解決前面提出的問(wèn)題。例如，某個(gè)單位擁有財(cái)物、開(kāi)發(fā)和辦公三個(gè)部門(mén)，出于安全和管理方面的考慮，希望每個(gè)部門(mén)的計(jì)算機(jī)可以無(wú)障礙通信，部門(mén)之間的通信則需要進(jìn)行控制。由于地理位置和設(shè)備限制，辦公、開(kāi)發(fā)和財(cái)物部門(mén)的共用相同交換機(jī)，建成為一個(gè)傳統(tǒng)局域網(wǎng)，如圖所示。財(cái)務(wù)機(jī)

采用VLAN技術(shù)可以容易地實(shí)現(xiàn)。根據(jù)需求，財(cái)物、開(kāi)發(fā)和辦公三個(gè)部門(mén)個(gè)分配1個(gè)VLAN，把各個(gè)部門(mén)所屬的計(jì)算機(jī)站點(diǎn)劃分到對(duì)應(yīng)的邏輯網(wǎng)段中形成VLAN；VLAN之間不能互相訪問(wèn)，隔離廣播信息；因此可以滿足該部門(mén)的用戶需求。

虛擬局域網(wǎng)的作用

VLAN網(wǎng)絡(luò)可以是有混合的網(wǎng)絡(luò)類型設(shè)備組成，比如：10M以太網(wǎng)、100M以太網(wǎng)、令牌網(wǎng)、FDDI、CDDI等等，可以是工作站、服務(wù)器、集線器、網(wǎng)絡(luò)上行主干等等。

VLAN除了能將網(wǎng)絡(luò)劃分為多個(gè)廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外，還可以用于控制網(wǎng)絡(luò)中不同部門(mén)、不同站點(diǎn)之間的互相訪問(wèn)。

物理位置不同的多個(gè)主機(jī)如果劃分屬于同一個(gè)VLAN，則這些主機(jī)之間可以相互通信。物理位置相同的多個(gè)主機(jī)如果屬于不同的VLAN，則這些主機(jī)之間不能直接通信。VLAN通常在交換機(jī)或路由器上實(shí)現(xiàn)，在以太網(wǎng)幀中增加VLAN標(biāo)簽來(lái)給以太網(wǎng)幀分類，具有相同VLAN標(biāo)簽的以太網(wǎng)幀在同一個(gè)廣播域中傳送。

VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。

虛擬局域網(wǎng)的應(yīng)用

隨著網(wǎng)絡(luò)硬件性能的不斷提高和成本的不斷降低，目前新建立的局域網(wǎng)基本上都采用了性能先進(jìn)的快速以太網(wǎng)或千兆網(wǎng)技術(shù)，其核心交換機(jī)采用三層交換機(jī)。而這種新型的交換機(jī)正好能很好地支持VLAN技術(shù)，這為企業(yè)部署VLAN網(wǎng)絡(luò)提供了前提基礎(chǔ)。目前，VLAN技術(shù)的應(yīng)用主要是在一些較大型網(wǎng)絡(luò)中，如大中型企業(yè)網(wǎng)絡(luò)、行政機(jī)關(guān)網(wǎng)和大學(xué)校園網(wǎng)，當(dāng)然這些用戶VLAN網(wǎng)絡(luò)的目的各不相同，下面簡(jiǎn)要介紹幾種。

1．組建部門(mén)局域網(wǎng)

很多企業(yè)往往已經(jīng)擁有一個(gè)相當(dāng)規(guī)模的局域網(wǎng)，但是現(xiàn)在企業(yè)內(nèi)部因?yàn)楸Ｃ芑蛘咂渌?，要求各業(yè)務(wù)部門(mén)或者課題組獨(dú)立成為一個(gè)局域網(wǎng)，各業(yè)務(wù)部門(mén)或者課題組的人員不一定是在同一個(gè)辦公地點(diǎn)，各網(wǎng)絡(luò)之間不允許互相訪問(wèn)。根據(jù)這種情況，可以有幾種解決方法，包括前面介紹的通過(guò)改變子網(wǎng)掩碼的方式劃分子網(wǎng)，但是采用VLAN技術(shù)可能是最好，也是最方便的。

采用VLAN，要做的工作主要是收集各部門(mén)或者課題組的人員組成、所在位置、與交換機(jī)連接的端口等信息。根據(jù)部門(mén)數(shù)量對(duì)交換機(jī)進(jìn)行配置，創(chuàng)建VLAN，設(shè)置中繼，最后在一個(gè)公用的局域網(wǎng)內(nèi)部劃分出若干個(gè)虛擬的局域網(wǎng)，同時(shí)減少了局域網(wǎng)內(nèi)的廣播，提高了網(wǎng)絡(luò)傳輸性能。這樣的VLAN還可靈活地根據(jù)不斷變化的實(shí)際需要增加、改變和刪除VLAN子網(wǎng)。

這一應(yīng)用還特別適用于政府網(wǎng)絡(luò)，可以把政府機(jī)構(gòu)的各部門(mén)通過(guò)VLAN網(wǎng)絡(luò)連接起來(lái)，既可以做到相互獨(dú)立，又可以滿足各相關(guān)部門(mén)之間的資源共享。

2．組建校園網(wǎng)

在校園網(wǎng)中VLAN已被廣泛采用。在隔離網(wǎng)絡(luò)風(fēng)暴提高網(wǎng)絡(luò)性能方面，有極好的性能價(jià)格比，使得它具有替代高端路由器的趨勢(shì)。在校園網(wǎng)中，除了以專線方式接入Intemet必需路由器之外，一般應(yīng)盡量少用高端路由器，因?yàn)楦叨寺酚善鞯膬r(jià)格太高，并且在校園網(wǎng)中使用也不能發(fā)揮其強(qiáng)大的功能。在VLAN子網(wǎng)間可采用基于三層交換的交換機(jī)來(lái)完成路由功能，這樣不僅提高了其性能價(jià)格比，更重要的是還增加了網(wǎng)絡(luò)帶寬，提高了網(wǎng)絡(luò)性能。

在安全保密方面，VIAN技術(shù)可以發(fā)揮其強(qiáng)大的作用。比如，對(duì)于學(xué)校的財(cái)務(wù)部門(mén)或其他涉及保密信息的部門(mén)，可使用VLAN技術(shù)將這些部門(mén)的信息節(jié)點(diǎn)劃分在不同的VLAN中。通過(guò)權(quán)限設(shè)置對(duì)該VLAN的訪問(wèn)權(quán)限，由于其信息傳輸只限制在VLAN內(nèi)部，所以可防止大部分以網(wǎng)絡(luò)監(jiān)聽(tīng)為手段的入侵。 3．設(shè)置共享資源

在一些大型寫(xiě)字樓或商業(yè)建筑（酒店、展覽中心等）中，經(jīng)常存在這樣的現(xiàn)象；大樓出租給各個(gè)單位，并且大樓內(nèi)部已經(jīng)構(gòu)建好了局域網(wǎng)，為入駐企業(yè)或客戶提供了網(wǎng)絡(luò)平臺(tái)，并通過(guò)共同的出口訪問(wèn)Intemet或者大樓內(nèi)部的綜合信息服務(wù)器。由于大樓的網(wǎng)絡(luò)平臺(tái)是統(tǒng)一的，因此使用的客戶不但有物業(yè)管理人員，還有其他不同單位的客戶。在這樣一個(gè)共享的網(wǎng)絡(luò)環(huán)境下，解決不同企業(yè)或單位對(duì)網(wǎng)絡(luò)的需求的同時(shí)，還要保證各企業(yè)間信息的獨(dú)立性。此時(shí)，虛擬局域網(wǎng)就是一個(gè)很好的解決方案。

大廈的系統(tǒng)管理員可以為入駐企業(yè)創(chuàng)建獨(dú)立的VLAN，保證企業(yè)內(nèi)部的互相訪問(wèn)和企業(yè)間信息的獨(dú)立，然后利用中繼技術(shù)，將提供接入服務(wù)的代理服務(wù)器或者路由器所對(duì)應(yīng)的局域網(wǎng)接口配置成為中繼模式，實(shí)現(xiàn)共享接入。這種配置方式還有一個(gè)好處，就是可以根據(jù)需要設(shè)置中繼的訪問(wèn)許可，靈活地允許或者拒絕某個(gè)VLAN的訪問(wèn)。