1.4.2 虛擬局域網

虛擬局域網（VLAN）是一種建立在交換機基礎上的邏輯網絡，使用網絡管理軟件可以在同一物理網絡（必須是交換式網絡）上劃分多個不同的VLAN，每個VLAN構成一個廣播域，將數據流限制在該廣播域內的各個網段上，而不會出現在其他網段上。VLAN有助于改進網絡性能、可管理性、可伸縮性及安全性等，因此，支持VLAN是交換機的重要特性。

1．IEEE 802.1Q協議

LAN交換機的發展初期，各個廠商生產的交換機采用不同的方法來標識VLAN，使不同廠商生產的交換機難以兼容和互通。為此，IEEE定義了IEEE 802.1Q標準，用于規范VLAN標識方法和格式。IEEE 802.1Q是IEEE 802.1標準系列中的一個子標準，與之相關的協議還有802.1p和802.1D。其中，802.1p定義了VLAN中數據流優先級標記和組播過濾服務，802.1D定義了第二層交換和橋接的有關協議標準，它們共同構成了LAN交換機和VLAN的技術基礎和協議標準。

在支持802.1Q的交換機上，網絡管理員使用管理工具劃分VLAN，可以跨越多個交換機劃分VLAN，允許將處于不同交換機上的端口構成同一VLAN，每個VLAN用不同的VLAN標識符（VID）來標識。在邊界交換機上，對輸入的數據幀要插入相應的VID；對輸出的數據幀則要刪除VID，恢復原來的幀格式。在核心交換機上，根據VID將數據幀轉發到各個相應的端口，而不是廣播到每個端口。802.1Q規定了在數據幀中插入VID的格式和方法，每個VID為12位，理論上可以定義212個VLAN，見圖1-12。

802.1Q標準規范了VLAN標識和劃分，使各個廠商生產的交換機能夠相互兼容，實現了對VLAN的統一管理。因此，現在的交換機都支持802.1Q標準。

2．VLAN特性

如上所述，VLAN是使用網絡管理軟件在交換機上建立的邏輯網絡，可以將交換機的不同端口或物理網段劃分成同一VLAN，實現點到點、點到多點的數據通信，見圖1-13。

構造VLAN的基本條件，一是所有站點都必須直接連接到支持VLAN的交換機端口上；二是使用適當的VLAN定義方法來劃分VLAN。VLAN定義方法主要有如下3種。

（1）按交換機端口定義。將一組交換機端口設置成一個相同的廣播域，只允許在特定的端口之間相互通信，網絡流量被限制在該VLAN中，具有網絡流量隔離功能。這是最常用的VLAN定義方法，通過這種方法劃分的VLAN稱為物理層VLAN。

（2）按MAC地址定義。按接入交換機站點的MAC地址定義其廣播域，交換機內部必須維護一個MAC地址/交換機端口對照表，才能實現在同一廣播域內站點之間的相互通信。通過這種方法劃分的VLAN稱為鏈路層VLAN，并且交換機必須支持第二層（L2）交換及VLAN劃分功能。

（3）按IP地址定義。按接入交換機站點的IP地址定義其廣播域，形成虛擬IP子網，虛擬子網之間通過內部路由器實現互通，交換機內部必須維護一個IP地址/交換機端口對照表，才能實現在同一廣播域內站點之間的相互通信。通過這種方法劃分的VLAN稱為網絡層VLAN，并且交換機必須支持第三層（L3）交換及VLAN劃分功能。

VLAN的構造能力與交換機的性能有關。目前，大多數高性能交換機都能提供第二層（鏈路層）和第三層（網絡層）交換功能，這樣就為構造鏈路層VLAN和網絡層VLAN奠定了必要的基礎。同時，交換機還必須配備相應的網絡管理軟件，才能最終實現VLAN的定義和管理。

構造VLAN可以帶來如下好處：

（1）一個VLAN可以跨越不同的交換機。從邏輯上看，VLAN完全獨立于網絡物理結構。交換機將根據某一端口發送來的數據幀中所設置的VLAN標識符來確定該端口對應的站點屬于哪個VLAN，然后將這個數據幀傳送給該VLAN的所有成員。也就是說，只有同一VLAN的成員才能接收到這個數據幀，而其他的VLAN不會接收到該幀，從而起到網絡流量隔離作用，可以防止網絡流量被監聽。

（2）VLAN支持任意多個站點間的組合。一個站點可以屬于多個VLAN，建立VLAN的數量主要取決于交換機能力。

（3）VLAN可簡化網絡管理。VLAN的建立、修改和刪除都十分簡便，不需要對物理網絡實體進行重新配置。

（4）VLAN為網絡設備的變更和擴充提供了一種有效的管理手段。當需要增加、移動或變更網絡設備時，只要在管理站上用鼠標拖動相應的目標即可實現，節省大量的維護成本。

VLAN是一種高速、低延遲的廣播群組，如果定義太多的VLAN，則可能產生廣播風暴。因此，需要通過網絡管理軟件對廣播風暴進行管理。