虛擬局域網的實現方法

　　什么是虛擬局域網

　　虛擬局域網（VLAN）是一組邏輯上的設備和用戶，這些設備和用戶并不受物理位置的限制，可以根據功能、部門及應用等因素將它們組織起來，相互之間的通信就好像它們在同一個網段中一樣，由此得名虛擬局域網。VLAN是一種比較新的技術，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通信是通過第3層的路由器來完成的。與傳統的局域網技術相比較，VLAN技術更加靈活，它具有以下優(yōu)點：網絡設備的移動、添加和修改的管理開銷減少；可以控制廣播活動；可提高網絡的安全性。

　　在計算機網絡中，一個二層網絡可以被劃分為多個不同的廣播域，一個廣播域對應了一個特定的用戶組，默認情況下這些不同的廣播域是相互隔離的。不同的廣播域之間想要通信，需要通過一個或多個路由器。這樣的一個廣播域就稱為VLAN。

　　虛擬局域網的工作原理

　　虛擬局域網的主要思想是：所有計算機組成一個大的物理局域網，即傳統局域網；將所有計算機設備按照功能和需求劃分為若干組，每組劃分為一個邏輯網段，每個邏輯網段是1個虛擬局域網；一個傳統局域網可劃分為多個邏輯網段，即多個VLAN；VLAN中的站點是通過軟件定義而不是硬件定義；站點可在多個VLAN之間移動；一個VLAN中的廣播信息可以被該VLAN中的站點接收，該VLAN之外的站點接收不到該廣播信息，因此VLAN和傳統局域網一樣可以隔離廣播信息；連接在不同交換機上的站點可以使用VLAN技術組成一個或多個VLAN；VLAN中的站點之間通信時就像傳統局域網一樣；VLAN之間的相互通信必通過網絡層協議實現，不能直接相互通信。

　　采用VLAN技術可以很容易地解決前面提出的問題。例如，某個單位擁有財物、開發(fā)和辦公三個部門，出于安全和管理方面的考慮，希望每個部門的計算機可以無障礙通信，部門之間的通信則需要進行控制。由于地理位置和設備限制，辦公、開發(fā)和財物部門的共用相同交換機，建成為一個傳統局域網，如圖所示

　　采用VLAN技術可以容易地實現。根據需求，財物、開發(fā)和辦公三個部門個分配1個VLAN，把各個部門所屬的計算機站點劃分到對應的邏輯網段中形成VLAN；VLAN之間不能互相訪問，隔離廣播信息；因此可以滿足該部門的用戶需求。

　　VLAN的劃分方法

　　（1）基于交換機端口劃分基于端口劃分虛擬網，就是按交換機端口定義虛擬網成員，每個端口只能屬于一個虛擬網，這是一種最通用也是簡單的方法。在配置完成后，再為交換機端口分配一個虛擬網，使交換機的端口成為某個虛擬網的成員。

　?。?）基于MAC地址劃分

　　這種方法是按每個連接到交換機設備的物理地址（即MAC地址）定義虛擬網成員。當一個交換機端口上連接一臺集線器，在集線器上又連接了多臺設備，而這些設備需要劃入不同的虛擬網時，就可以使用這種方法定義虛擬網成員。因為它可以按用戶劃分，所以也把這種方法稱為基于用戶的虛擬網劃分。在使用基于MAC地址劃分時，一個交換機端El有可能屬于多個虛擬網，這樣端口就能接收多個虛擬網的廣播信息。

　?。?）基于第三層協議類型或地址劃分

　　這種方法允許按照網絡層協議類型組成VLAN，也可以按網絡地址（如TCP／IP的IP地址）定義虛擬網成員。這種方法的優(yōu)點是有利于組成基于應用的虛擬網。

　?。?）基于MAC地址劃分

　　這種方法是按每個連接到交換機設備的物理地址（即MAC地址）定義虛擬網成員。當一個交換機端口上連接一臺集線器，在集線器上又連接了多臺設備，而這些設備需要劃入不同的虛擬網時，就可以使用這種方法定義虛擬網成員。因為它可以按用戶劃分，所以也把這種方法稱為基于用戶的虛擬網劃分。在使用基于MAC地址劃分時，一個交換機端El有可能屬于多個虛擬網，這樣端口就能接收多個虛擬網的廣播信息。

　　（3）基于第三層協議類型或地址劃分

　　這種方法允許按照網絡層協議類型組成VLAN，也可以按網絡地址（如TCP／IP的IP地址）定義虛擬網成員。這種方法的優(yōu)點是有利于組成基于應用的虛擬網。