虛擬局域網(wǎng)vlan的好處及優(yōu)點分析 - 全文

　　什么是虛擬局域網(wǎng)

　　虛擬局域網(wǎng)（VLAN，VirtualLocalAreaNetwork）是存在于計算機(jī)物理網(wǎng)絡(luò)中的邏輯網(wǎng)絡(luò)，可以根據(jù)業(yè)務(wù)功能、用戶組及網(wǎng)絡(luò)應(yīng)用的不同組織和建立，與用戶的物理位置沒有關(guān)系。VLAN是一種比較新的技術(shù)，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通信是通過第3層的路由器來完成的。與傳統(tǒng)的局域網(wǎng)技術(shù)相比較，VLAN技術(shù)更加靈活，它具有以下優(yōu)點：網(wǎng)絡(luò)設(shè)備的移動、添加和修改的管理開銷減少；可以控制廣播活動；可提高網(wǎng)絡(luò)的安全性。

　　虛擬局域網(wǎng)的組建

　　VLAN是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立VLAN需要相應(yīng)的支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同VLAN間進(jìn)行相互通信時，需要路由的支持，這時就需要增加路由設(shè)備——要實現(xiàn)路由功能，既可采用路由器，也可采用三層交換機(jī)來完成，同時還嚴(yán)格限制了用戶數(shù)量。

　　虛擬局域網(wǎng)分類

　　1.基于端口的VLAN

　　基于端口的VLAN的劃分是最簡單、有效的VLAN劃分方法，它按照局域網(wǎng)交換機(jī)端口來定義VLAN成員。VLAN從邏輯上把局域網(wǎng)交換機(jī)的端口劃分開來，從而把終端系統(tǒng)劃分為不同的部分，各部分相對獨立，在功能上模擬了傳統(tǒng)的局域網(wǎng)?；诙丝诘腣LAN又分為在單交換機(jī)端口和多交換機(jī)端口定義VLAN兩種情況：

　　多交換機(jī)端口定義VLAN

　　如圖3所示，交換機(jī)1的1、2、3端口和交換機(jī)2的4、5、6端口組成VLAN1，交換機(jī)1的4、5、6、7、8端口和交換機(jī)2的1、2、3、7、8端口組成VLAN2。

　　單交換機(jī)端口定義VLAN

　　如圖2所示，交換機(jī)的1、2、6、7、8端口組成VLAN1，3、4、5端口組成了VLAN2。這種VLAN只支持一個交換機(jī)。

　　基于端口的VLAN的劃分簡單、有效，但其缺點是當(dāng)用戶從一個端口移動到另一個端口時，網(wǎng)絡(luò)管理員必須對VLAN成員進(jìn)行重新配置。

　　2.基于MAC地址的VLAN

　　基于MAC地址的VLAN是用終端系統(tǒng)的MAC地址定義的VLAN。MAC地址其實就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的MAC地址都是唯一的。這種方法允許工作站移動到網(wǎng)絡(luò)的其他物理網(wǎng)段，而自動保持原來的VLAN成員資格。在網(wǎng)絡(luò)規(guī)模較小時，該方案可以說是一個好的方法，但隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)設(shè)備、用戶的增加，則會在很大程度上加大管理的難度。

　　3.基于路由的VLAN

　　路由協(xié)議工作在7層協(xié)議的第3層—網(wǎng)絡(luò)層，比如基于IP和IPX的路由協(xié)議，這類設(shè)備包括路由器和路由交換機(jī)。在按IP劃分的VLAN中，很容易實現(xiàn)路由，即將交換功能和路由功能融合在VLAN交換機(jī)中。這種方式既達(dá)到了作為VLAN控制廣播風(fēng)暴的最基本目的，又不需要外接路由器。但這種方式對VLAN成員之間的通信速度不是很理想。

　　基于策略的VLAN基于策略的VLAN的劃分是一種比較有效而直接的方式，主要取決于在VLAN的劃分中所采用的策略。

　　虛擬局域網(wǎng)的優(yōu)點

　　虛擬局域網(wǎng)優(yōu)點之一：具有安全穩(wěn)定性。虛擬的局域網(wǎng)可以使局域網(wǎng)更加的安全，它能夠讓比較敏感的帶有數(shù)據(jù)的用戶和網(wǎng)絡(luò)的其他部分進(jìn)行一定的隔離，這樣就能夠保護(hù)網(wǎng)絡(luò)的機(jī)密信息了，可以有效的防止機(jī)密信息的泄漏。在不一樣的虛擬局域網(wǎng)中，報文在相互傳輸數(shù)據(jù)信息的時候是要進(jìn)行隔離的。同樣的在一個虛擬局域網(wǎng)的用戶和其他的虛擬局域網(wǎng)內(nèi)的用戶是不能直接傳遞信息的，假如是不同的虛擬局域網(wǎng)要傳輸信息時，它會通過三層交換機(jī)，或者是無線路由器等。

　　虛擬局域網(wǎng)優(yōu)點之二：節(jié)約成本，利用率高。虛擬局域網(wǎng)可以減少網(wǎng)絡(luò)的升級需求，可以節(jié)約昂貴的成本，可以減少移動的位置和工作地點的費用。并且網(wǎng)絡(luò)寬帶的利用率更高，它可以使局域網(wǎng)中的第二層網(wǎng)絡(luò)劃分為好多個的廣播域，從而就可以節(jié)約寬帶網(wǎng)絡(luò)中沒有必要的流量，并且也提高了功能性。虛擬局域網(wǎng)是將網(wǎng)絡(luò)用戶和設(shè)備集中在一塊，從而可以對不同地域和商業(yè)的需要有一定的支持性。它還可以介入功能的分類，從而就會很方便地對一些項目的處理，以及其他方面的特殊情況的應(yīng)用。

　　虛擬局域網(wǎng)優(yōu)點之三：具有一定的靈活性。通過虛擬局域網(wǎng)的技術(shù)，可以在不同地域、網(wǎng)絡(luò)以及客戶之間很好的集中在一起，這樣就給大家提供一個通過虛擬出來的網(wǎng)絡(luò)空間，它的效果可以和路由器一樣，變得方便靈活，效率高。

　　虛擬局域網(wǎng)vlan的好處

　　1．控制廣播風(fēng)暴

　　在“平坦”的無層次網(wǎng)絡(luò)中，網(wǎng)絡(luò)管理必須解決因大量廣播信息帶來帶寬消耗的問題。VLAN作為一種網(wǎng)絡(luò)分段技術(shù)，可將廣播風(fēng)暴限制在一個VLAN內(nèi)部，避免影響其他網(wǎng)段。與傳統(tǒng)局域網(wǎng)相比，VLAN能夠更加有效地利用帶寬。在VLAN中，網(wǎng)絡(luò)被邏輯地分割成廣播域，由VLAN成員所發(fā)送的信息幀或數(shù)據(jù)包僅在VLAN內(nèi)的成員之間傳送，而不是向網(wǎng)上的所有工作站發(fā)送。這樣可減少主干網(wǎng)的流量，提高網(wǎng)絡(luò)速度。

　　2．增強(qiáng)網(wǎng)絡(luò)的安全性

　　共享式網(wǎng)絡(luò)中的廣播必然會產(chǎn)生安全性問題，因為網(wǎng)絡(luò)上的所有用戶都能監(jiān)測到流經(jīng)的業(yè)務(wù)，用戶只要插入任一活動端口就可訪問網(wǎng)段上的廣播包。而且，網(wǎng)絡(luò)大了后，可以訪問網(wǎng)絡(luò)的用戶也必然增多，在這其中的所有用戶中很可能包括一些別有用心的用戶，對整個網(wǎng)絡(luò)，特別是對一些敏感部門造成巨大的安全威脅。采用VLAN提供的安全機(jī)制，可以限制特定用戶的訪問，控制廣播組的大小和位置，甚至鎖定網(wǎng)絡(luò)成員的MAC地址，這樣，就限制了未經(jīng)安全許可的用戶和網(wǎng)絡(luò)成員對網(wǎng)絡(luò)的使用。

　　3．增強(qiáng)網(wǎng)絡(luò)管理

　　采用VLAN技術(shù)，使用VLAN管理程序可對整個網(wǎng)絡(luò)進(jìn)行集中管理，能夠更容易地實現(xiàn)網(wǎng)絡(luò)的管理性。用戶可以根據(jù)業(yè)務(wù)需要快速組建和調(diào)整VLAN。當(dāng)鏈路擁擠時，利用管理程序能夠重新分配業(yè)務(wù)。管理程序還能夠提供有關(guān)工作組的業(yè)務(wù)量、廣播行為以及統(tǒng)計特性等的詳盡報告。對于網(wǎng)絡(luò)管理員來說，所有這些網(wǎng)絡(luò)配置和管理工作都是透明的。VLAN變動時，用戶無需了解網(wǎng)絡(luò)的接線情況和協(xié)議是如何重新設(shè)置的。

　　VLAN還能減少因網(wǎng)絡(luò)成員變化所帶來的開銷。在添加、刪除和移動網(wǎng)絡(luò)成員時，不用重新布線，也不用直接對成員進(jìn)行配置。若采用傳統(tǒng)局域網(wǎng)技術(shù)，那么當(dāng)網(wǎng)絡(luò)達(dá)到一定規(guī)模時，此類開銷往往會成為管理員的沉重負(fù)擔(dān)。

　　VLAN的主要應(yīng)用

　　隨著網(wǎng)絡(luò)硬件性能的不斷提高和成本的不斷降低，目前新建立的局域網(wǎng)基本上都采用了性能先進(jìn)的快速以太網(wǎng)或千兆網(wǎng)技術(shù)，其核心交換機(jī)采用三層交換機(jī)。而這種新型的交換機(jī)正好能很好地支持VLAN技術(shù)，這為企業(yè)部署VLAN網(wǎng)絡(luò)提供了前提基礎(chǔ)。目前，VLAN技術(shù)的應(yīng)用主要是在一些較大型網(wǎng)絡(luò)中，如大中型企業(yè)網(wǎng)絡(luò)、行政機(jī)關(guān)網(wǎng)和大學(xué)校園網(wǎng)，當(dāng)然這些用戶VLAN網(wǎng)絡(luò)的目的各不相同，下面簡要介紹幾種。

　　1．組建部門局域網(wǎng)

　　很多企業(yè)往往已經(jīng)擁有一個相當(dāng)規(guī)模的局域網(wǎng)，但是現(xiàn)在企業(yè)內(nèi)部因為保密或者其他原因，要求各業(yè)務(wù)部門或者課題組獨立成為一個局域網(wǎng)，各業(yè)務(wù)部門或者課題組的人員不一定是在同一個辦公地點，各網(wǎng)絡(luò)之間不允許互相訪問。根據(jù)這種情況，可以有幾種解決方法，包括前面介紹的通過改變子網(wǎng)掩碼的方式劃分子網(wǎng)，但是采用VLAN技術(shù)可能是最好，也是最方便的。

　　采用VLAN，要做的工作主要是收集各部門或者課題組的人員組成、所在位置、與交換機(jī)連接的端口等信息。根據(jù)部門數(shù)量對交換機(jī)進(jìn)行配置，創(chuàng)建VLAN，設(shè)置中繼，最后在一個公用的局域網(wǎng)內(nèi)部劃分出若干個虛擬的局域網(wǎng)，同時減少了局域網(wǎng)內(nèi)的廣播，提高了網(wǎng)絡(luò)傳輸性能。這樣的VLAN還可靈活地根據(jù)不斷變化的實際需要增加、改變和刪除VLAN子網(wǎng)。

　　這一應(yīng)用還特別適用于政府網(wǎng)絡(luò)，可以把政府機(jī)構(gòu)的各部門通過VLAN網(wǎng)絡(luò)連接起來，既可以做到相互獨立，又可以滿足各相關(guān)部門之間的資源共享。

　　2．組建校園網(wǎng)

　　在校園網(wǎng)中VLAN已被廣泛采用。在隔離網(wǎng)絡(luò)風(fēng)暴提高網(wǎng)絡(luò)性能方面，有極好的性能價格比，使得它具有替代高端路由器的趨勢。在校園網(wǎng)中，除了以專線方式接入Intemet必需路由器之外，一般應(yīng)盡量少用高端路由器，因為高端路由器的價格太高，并且在校園網(wǎng)中使用也不能發(fā)揮其強(qiáng)大的功能。在VLAN子網(wǎng)間可采用基于三層交換的交換機(jī)來完成路由功能，這樣不僅提高了其性能價格比，更重要的是還增加了網(wǎng)絡(luò)帶寬，提高了網(wǎng)絡(luò)性能。

　　在安全保密方面，VIAN技術(shù)可以發(fā)揮其強(qiáng)大的作用。比如，對于學(xué)校的財務(wù)部門或其他涉及保密信息的部門，可使用VLAN技術(shù)將這些部門的信息節(jié)點劃分在不同的VLAN中。通過權(quán)限設(shè)置對該VLAN的訪問權(quán)限，由于其信息傳輸只限制在VLAN內(nèi)部，所以可防止大部分以網(wǎng)絡(luò)監(jiān)聽為手段的入侵。

　　3．設(shè)置共享資源

　　在一些大型寫字樓或商業(yè)建筑（酒店、展覽中心等）中，經(jīng)常存在這樣的現(xiàn)象；大樓出租給各個單位，并且大樓內(nèi)部已經(jīng)構(gòu)建好了局域網(wǎng)，為入駐企業(yè)或客戶提供了網(wǎng)絡(luò)平臺，并通過共同的出口訪問Intemet或者大樓內(nèi)部的綜合信息服務(wù)器。由于大樓的網(wǎng)絡(luò)平臺是統(tǒng)一的，因此使用的客戶不但有物業(yè)管理人員，還有其他不同單位的客戶。在這樣一個共享的網(wǎng)絡(luò)環(huán)境下，解決不同企業(yè)或單位對網(wǎng)絡(luò)的需求的同時，還要保證各企業(yè)間信息的獨立性。此時，虛擬局域網(wǎng)就是一個很好的解決方案。

　　大廈的系統(tǒng)管理員可以為入駐企業(yè)創(chuàng)建獨立的VLAN，保證企業(yè)內(nèi)部的互相訪問和企業(yè)間信息的獨立，然后利用中繼技術(shù)，將提供接入服務(wù)的代理服務(wù)器或者路由器所對應(yīng)的局域網(wǎng)接口配置成為中繼模式，實現(xiàn)共享接入。這種配置方式還有一個好處，就是可以根據(jù)需要設(shè)置中繼的訪問許可，靈活地允許或者拒絕某個VLAN的訪問。