摘要：鑒于當前業界VLAN發展的趨勢，考慮到各種VLAN劃分方式的優缺點，為了最大程度上地滿足用戶在具體使用過程中需求，減輕用戶在VLAN的具體使用和維護中的工作量，Quidway S系列交換機采用根據端口來劃分VLAN的方法。

　　關鍵詞：VLAN,VLAN聚合,PVLAN,GVRP,VTP

　　1、VLAN概述

　　VLAN(Virtual Local AreaNetwork)即虛擬局域網，是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。IEEE于1999年頒布了用以標準化VLAN實現方案的802.1Q協議標準草案。

　　VLAN是為解決以太網的廣播問題和安全性而提出的一種協議，它在以太網幀的基礎上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態管理網絡。

　　2、VLAN在交換機上的實現方法，可以大致劃分為4類 ：

　　(1)、 基于端口劃分的VLAN

　　這種劃分VLAN的方法是根據以太網交換機的端，口來劃分，比如Quidway S3526的1~4端口為VLAN 10，5~17為VLAN 20，18~24為VLAN 30，當然，這些屬于同一VLAN的端口可以不連續，如何配置，由管理員決定，如果有多個交換機，例如，可以指定交換機 1的1~6端口和交換機 2 的1~4端口為同一VLAN，即同一VLAN可以跨越數個以太網交換機，根據端口劃分是目前定義VLAN的最廣泛的方法，IEEE 802.1Q規定了依據以太網交換機的端口來劃分VLAN的國際標準。

　　這種劃分的方法的優點是定義VLAN成員時非常簡單，只要將所有的端口都指定義一下就可以了。它的缺點是如果VLAN A的用戶離開了原來的端口，到了一個新的交換機的某個端口，那么就必須重新定義。

　　(2)、基于MAC地址劃分VLAN

　　這種劃分VLAN的方法是根據每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置他屬于哪個組。這種劃分VLAN的方法的最大優點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，所以，可以認為這種根據MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的。而且這種劃分的方法也導致了交換機執行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。另外，對于使用筆記本電腦的用戶來說，他們的網卡可能經常更換，這樣，VLAN就必須不停的配置。

　　(3)、基于網絡層劃分VLAN

　　這種劃分VLAN的方法是根據每個主機的網絡層地址或協議類型(如果支持多協議)劃分的，雖然這種劃分方法是根據網絡地址，比如IP地址，但它不是路由，與網絡層的路由毫無關系。它雖然查看每個數據包的IP地址，但由于不是路由，所以，沒有RIP，OSPF等路由協議，而是根據生成樹算法進行橋交換。

　　這種方法的優點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據協議類型來劃分VLAN，這對網絡管理者來說很重要，還有，這種方法不需要附加的幀標簽來識別VLAN，這樣可以減少網絡的通信量。

　　這種方法的缺點是效率低，因為檢查每一個數據包的網絡層地址是需要消耗處理時間的(相對于前面兩種方法)，一般的交換機芯片都可以自動檢查網絡上數據包的以太網禎頭，但要讓芯片能檢查IP幀頭，需要更高的技術，同時也更費時。當然，這與各個廠商的實現方法有關。

　　4、根據IP組播劃分VLAN

　　IP 組播實際上也是一種VLAN的定義，即認為一個組播組就是一個VLAN，這種劃分的方法將VLAN擴大到了廣域網，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，當然這種方法不適合局域網，主要是效率不高。

　　VLAN技術簡介

　　因為VLAN技術與局域網技術息息相關，所以在介紹VLAN之前，我們首先來了解一下局域網的有關知識。

　　局域網(LAN)通常被定義為一個單獨的廣播域，主要使用Hub，網橋，或交換機等網絡設備連接同一網段內的所有節點。同處一個局域網之內的網絡節點之間可以不通過網絡路由器直接進行通信;而處于不同局域網段內的設備之間的通信則必須經過網絡路由器。

　　圖一所示為使用路由器構建的典型的局域網環境。

　　圖一所示網絡中，通過使用路由器劃分出不同的局域網段。其中，位于圓形區域之內的部分就是一個個相互獨立的局域網段。為了便于在本文中進行說明，我們為不同的網段進行了編號。需要注意的一點就是，每一個局域網所連接的路由器接口都屬于該局域網廣播域的一部分。

　　隨著網絡的不斷擴展，接入設備逐漸增多，網絡結構日趨復雜，必須使用更多的路由器才能將不同的用戶劃分到各自的廣播域中，在不同的局域網之間提供網絡互連。

　　這樣做的一個缺陷就是隨著網絡中路由器數量的增多，網絡時延逐漸加長，從而導致網絡數據傳輸速度的下降。這主要是因為數據在從一處局域網傳遞到另一處局域網時，必須經過路由器的路由操作，路由器根據數據包中的相應信息確定數據包的目標地址，然后再選擇合適的路徑轉發出去。

　　VLAN，又稱虛擬局域網，是由位于不同物理局域網段的設備組成。雖然VLAN所連接的設備來自不同的網段，但是相互之間可以進行直接通信，好像處于同一網段中一樣，由此得名虛擬局域網。相比較傳統的局域網布局，VLAN技術更加靈活。為了創建虛擬網絡，需要對已有的網絡拓撲結構進行相應的調整。

　　還是連接相同的網絡終端，通過如圖所示的交換網絡提供了同樣的網絡連接。雖然圖二所示的網絡比起圖一所示網絡在速度和網絡時延方面都有了很大的改進和提高，但是同樣存在一些不足。其中，最突出的一點就是現在所有的網絡節點都處于同一個廣播域內，大大增加了網絡中所有設備之間的數據流量。隨著網絡的不斷擴充，很有可能出現廣播風暴，導致整個網絡無法使用。

　　VLAN技術入門

　　VLAN是英文Virtual LocalArea Network的縮寫，即虛擬局域網。一方面，VLAN建立在局域網交換機的基礎之上;另一方面，VLAN是局域交換網的靈魂。這是因為通過VLAN用戶能方便地在網絡中移動和快捷地組建寬帶網絡，而無需改變任何硬件和通信線路。這樣，網絡管理員就能從邏輯上對用戶和網絡資源進行分配，而無需考慮物理連接方式。 VLAN充分體現了現代網絡技術的重要特征：高速、靈活、管理簡便和擴展容易。是否具有VLAN功能是衡量局域網交換機的一項重要指標。網絡的虛擬化是未來網絡發展的潮流。

　　VLAN與普通局域網從原理上講沒有什么不同，但從用戶使用和網絡管理的角度來看，VLAN與普通局域網最基本的差異體現在：VLAN并不局限于某一網絡或物理范圍，VLAN中的用戶可以位于一個園區的任意位置，甚至位于不同的國家。

　　VLAN具有以下優點：

　　控制網絡的廣播風暴

　　采用VLAN技術，可將某個交換端口劃到某個VLAN中，而一個VLAN的廣播風暴不會影響其它VLAN的性能。

　　確保網絡安全

　　共享式局域網之所以很難保證網絡的安全性，是因為只要用戶插入一個活動端口，就能訪問網絡。而VLAN能限制個別用戶的訪問，控制廣播組的大小和位置，甚至能鎖定某臺設備的MAC地址，因此VLAN能確保網絡的安全性。

　　簡化網絡管理

　　網絡管理員能借助于VLAN技術輕松管理整個網絡。例如需要為完成某個項目建立一個工作組網絡，其成員可能遍及全國或全世界，此時，網絡管理員只需設置幾條命令，就能在幾分鐘內建立該項目的VLAN網絡，其成員使用VLAN網絡，就像在本地使用局域網一樣。

　　VLAN的分類主要有以下幾種：

　　基于端口的VLAN

　　基于端口的VLAN是劃分虛擬局域網最簡單也是最有效的方法，這實際上是某些交換端口的集合，網絡管理員只需要管理和配置交換端口，而不管交換端口連接什么設備。

　　基于MAC地址的VLAN

　　由于只有網卡才分配有MAC地址，因此按MAC地址來劃分VLAN實際上是將某些工作站和服務器劃屬于某個VLAN。事實上，該VLAN是一些MAC地址的集合。當設備移動時，VLAN能夠自動識別。網絡管理需要管理和配置設備的MAC地址，顯然當網絡規模很大，設備很多時，會給管理帶來難度。

　　基于第3層的VLAN

　　基于第3層的VLAN是采用在路由器中常用的方法：IP子網和IPX網絡號等。其中，局域網交換機允許一個子網擴展到多個局域網交換端口，甚至允許一個端口對應于多個子網。

　　基于策略的VLAN

　　基于策略的VLAN是一種比較靈活有效的VLAN劃分方法。該方法的核心是采用什么樣的策略?目前，常用的策略有(與廠商設備的支持有關)：

　　按MAC地址

　　按IP地址

　　按以太網協議類型

　　按網絡的應用等

　　VLAN的標準

　　對VLAN的標準，我們只是介紹兩種比較通用的標準，當然也有一些公司具有自己的標準，比如Cisco公司的ISL標準，雖然不是一種大眾化的標準，但是由于Cisco Catalyst交換機的大量使用，ISL也成為一種不是標準的標準了。

　　· 802.10VLAN標準

　　在1995年，Cisco公司提倡使用IEEE802.10協議。在此之前，IEEE802.10曾經在全球范圍內作為VLAN安全性的同一規范。Cisco公司試圖采用優化后的802.10幀格式在網絡上傳輸FramTagging模式中所必須的VLAN標簽。然而，大多數802委員會的成員都反對推廣802.10。因為，該協議是基于FrameTagging方式的。

　　· 802.1Q

　　在1996年3月，IEEE802.1Internetworking委員會結束了對VLAN初期標準的修訂工作。新出臺的標準進一步完善了VLAN的體系結構，統一了Fram-eTagging方式中不同廠商的標簽格式，并制定了VLAN標準在未來一段時間內的發展方向，形成的802.1Q的標準在業界獲得了廣泛的推廣。它成為VLAN史上的一塊里程碑。802.1Q的出現打破了虛擬網依賴于單一廠商的僵局，從一個側面推動了VLAN的迅速發展。另外，來自市場的壓力使各大網絡廠商立刻將新標準融合到他們各自的產品中。

　　關于Trunk方式

　　---- Trunk是獨立于VLAN的、將多條物理鏈路模擬為一條邏輯鏈路的VLAN與VLAN之間的連接方式。采用Trunk方式不僅能夠連接不同的VLAN或跨越多個交換機的相同VLAN，而且還能增加交換機間的物理連接帶寬，增強網絡設備間的冗余。由于在基于交換機的VLAN劃分當中，交換機的各端口分別屬于各VLAN段，如果將某一VLAN端口用于網絡設備間的級聯，則該網絡設備的其他VLAN中的網絡終端就無法與隸屬于其他網絡設備的VLAN網絡終端進行通信。有鑒于此，網絡設備間的級聯必須采用Trunk方式，使得該端口不隸屬于任何VLAN，也就是說該端口所建成的網絡設備間的級聯鏈路是所有VLAN進行通信的公用通道。

　　VLAN新用途

　　雖然VLAN并非最好的網絡技術，但這種用于網絡結點邏輯分段的方法正為許多企業所使用。VLAN采用多種方式配置于企業網絡中，包括網絡安全認證、使無線用戶在802.11b接入點漫游、隔離IP語音流及在不同協議的網絡中傳輸數據等。

　　六年前引進VLAN的時候，多數VLAN都是基于IEEE 802.1Q和802.1p標準的。802.1Q規范用于將VLAN用戶信息載入以太網幀，而802.1p使二層交換機具有流量優先和實施動態多址濾波的能力。

　　當初引進VLAN時，它被看作是一個簡化地址管理的方法，可以使IT人員在網絡的任意點對服務器和PC機進行物理配置，并將PC機加入到組中。

　　多數網絡設備的軟件可用于將媒體訪問控制(MAC)地址與VLAN相關聯，當客戶從一個端口移動到另一個端口時，可以使其自動連接到網絡上。

　　VLAN的應用

　　最近，休斯頓在4棟22層的建筑物中建立了網絡及其子網，包括122個法庭、法律事務所和審判廳，這種建筑物非常適合建立VLAN，因為將122個私人子網合并到一個VLAN中要比將用戶插入端口組容易得多。

　　VLAN和靜態IP地址也可用于安全機制。所有工作于這里的客戶都分配了一個靜態IP地址，通過Alcatel的OmniSwitch路由器和OmniCore5052主干網交換器連接到網絡中。

　　這種配置方式使法官和律師在不同的法庭中都可以進行工作。這種設置可控制許可用戶的訪問權限以及限制未注冊用戶的訪問，因而可以提供安全性。接入網絡的唯一方法就是必須擁有一個IP地址，而且這些PC機都連接在其中的一個VLAN上。

　　VLAN的漫游功能

　　Massachusetts的/pidgewater州立學院配置了100多個Enterasys公司的RoamAbout 802.11b/a無線接入點，因而學生在整個校園中都可以訪問Web和E-mail。

　　如果沒有對無線流量進入自己的VLAN進行隔離，那么對于希望在校園范圍內保持網絡連接的移動用戶來說，它將成為一場噩夢。將所有的無線流量置于一個VLAN中，可以確保當用戶從一個接入點移動到另一個接入點時不會掉線。而實際上當整個校園中配置的Enterasys接入點只有150英尺的范圍時，這種情況很容易發生。

　　在宿舍、教室和管理機構中，利用Cisco和Enterasys混合的可堆疊交換器來連接到無線接入點。克服了一些交叉廠商的VLAN配置問題之后，現在可以在校園的任意地方漫游，無論是連接到Cisco還是Enterasys交換器上，都可以保持連接在同一VLAN上。

　　VLAN管理

　　VLAN不僅可用于安全和網絡管理，對于混合型網絡的管理來說，它同樣不失為一個有益的工具。

　　有人利用Enterasys公司的SmartSwitch可堆疊交換器和SmartSwitch Router主干網交換器來在整個子網上建立VLAN，這些子網是運行多種協議的。醫療數據庫建立在VAX小型機上，這種應用運行于遺留的DECnet協議之上。DECnet的確使用了大量的廣播流量，可將這些流量置于其自己的VLAN上，因而DECnet數據流只能夠到達一定的網段。

　　NetWare 4.11服務器在網絡上運行的情況與此類似。它只為Novell服務器及用戶創建獨立的IPX VLAN，這使多數基于IP和Windows NT/2000服務器的網絡不會陷入IPX和DECnet流量的海洋中。

　　隔離VoIP流量進入VLAN也成為3Com、Cisco、Alcatel、Nortel和Avaya等IP電話廠商的一個標準推薦。所有這些廠商的交換器和IP PBX設備都支持802.1Q技術，這就隔離了IP語音流進入其自己的VLAN。

　　廠商和用戶都認為，在其虛擬段保持語音可能是非常有用的，作為一個隔離語音流的方法，它可以達到故障診斷的目的。如果有大流量的廣播或大的文件下載，它也能確保語音質量不會下降。

　　如何在交換機上配置VLAN

　　我們知道，傳統的局域網Ethernet 使用具有沖突檢測的載波監聽多路訪問( CSMA / CD )方法。在CSMA / CD 網絡中，節點可以在它們有數據需要發送的任何時候使用網絡。在節點傳輸數據之前，它進行監聽以了解網絡是否很繁忙。如果不是，則節點開始傳送數據。如果網絡正在使用，則節點等待。如果兩個節點進行監聽，沒有聽到任何東西，而開始同時使用線路，則會出現沖突。在發送數據時，它如果使用廣播地址，那么在此網段上的所有PC都將收到數據包，這樣一來如果該網段PC眾多，很容易引起廣播風暴。而沖突和廣播風暴是影響網絡性能的重要因素。為解 決這一問題，引入了虛擬局域網(VLAN的)概念。