VLAN虛擬局域網(wǎng)和子網(wǎng)劃分的區(qū)別(精解).doc

VLAN虛擬局域網(wǎng)和子網(wǎng)劃分的區(qū)別這個理解，比如同一個交換機下的兩種不同狀態(tài) ：1、劃分 VLAN ，同一個交換機下分成兩個VLAN，那么這兩段之間通信必須要通過三層或路由，這兩段之間的廣播風(fēng)暴是不通的?？梢暈閮蓚€單獨的交換機。2、劃分子網(wǎng)，同一個交換機下劃分了兩個子網(wǎng)，所以兩子網(wǎng)之間通信也要通過路由，但是由于這兩個子網(wǎng)接在同一個交換機上，所以當(dāng)出現(xiàn)廣播時，所以的端口都要接收。因為廣播風(fēng)暴是工作在第二層。廣播是以MAC地址為依據(jù)的，所以同一個交換機上所有的端口都要接收廣播 。3、子網(wǎng)劃分是通過路由器才能形成的，沒有路由器來分隔子網(wǎng)是沒法進行子網(wǎng)劃分的，VLAN是在交換機上劃分多個VLAN，從而劃分多個廣播域，這有利于阻隔廣播風(fēng)暴的發(fā)生！而且不同vlan間必須通過三層設(shè)備才能相互通信！而使用劃分子網(wǎng)，必須增加路由器，這樣就增加了組網(wǎng)的成本！使用vlan來可以節(jié)約成本！4、從某種意義上來說，劃分VLAN是一個更好的方法。如果你只靠子網(wǎng)來劃分，你就會發(fā)現(xiàn)你的交換機端口上各個子網(wǎng)的數(shù)據(jù)在到處跑。交換機上燈閃個不停。而劃了VLAN，如果不屬于這個VLAN的數(shù)據(jù)是不是亂發(fā)的，廣播包是過來的，這是硬件上做了處理。只靠子網(wǎng)來劃分，你的電腦網(wǎng)卡還是會收到其他子網(wǎng)的數(shù)據(jù)，只是會在你的電腦上被拒絕，雖然被拒絕可是對你的電腦性能是有影響的。VLAN和IP子網(wǎng)是局域網(wǎng)里的兩個法寶一定要掌握。這樣你才能得心應(yīng)用的管理你的管理。規(guī)劃。一、VLANVLAN（Virtual Local Area Network）的中文名為虛擬局域網(wǎng)。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。VLAN除了能將網(wǎng)絡(luò)劃分為多個廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓撲結(jié)構(gòu)變得非常靈活的優(yōu)點外，還可以用于控制網(wǎng)絡(luò)中不同部門、不同站點之間的互相訪問。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。 VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）技術(shù)的出現(xiàn)，主要為了解決交換機在進行局域網(wǎng)互連時無法限制廣播的問題。這種技術(shù)可以把一個LAN劃分成多個邏輯的LANVLAN，每個VLAN是一個廣播域，VLAN內(nèi)的主機間通信就和在一個LAN內(nèi)一樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內(nèi)。1. 廣播風(fēng)暴防范：限制網(wǎng)絡(luò)上的廣播，將網(wǎng)絡(luò)劃分為多個VLAN可減少參與廣播風(fēng)暴的設(shè)備數(shù)量。LAN分段可以防止廣播風(fēng)暴波及整個網(wǎng)絡(luò)。VLAN可以提供建立防火墻的機制，防止交換網(wǎng)絡(luò)的過量廣播。使用VLAN，可以將某個交換端口或用戶賦于某一個特定的VLAN組，該VLAN組可以在一個交換網(wǎng)中或跨接多個交換機， 在一個VLAN中的廣播不會送到VLAN之外。同樣，相鄰的端口不會收到其他VLAN產(chǎn)生的廣 播。這樣可以減少廣播流量，釋放帶寬給用戶應(yīng)用，減少廣播的產(chǎn)生。2. 安全：增強局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機密信息的可能性。不同VLAN內(nèi)的報文在傳輸時是相互隔離的，即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設(shè)備。3.成本降低：成本高昂的網(wǎng)絡(luò)升級需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高，因此可節(jié)約成本。4.性能提高：將第二層平面網(wǎng)絡(luò)劃分為多個邏輯工作組（廣播域）可以減少網(wǎng)絡(luò)上不必要的流量并提高性能。5.提高IT員工效率：VLAN為網(wǎng)絡(luò)管理帶來了方便，因為有相似網(wǎng)絡(luò)需求的用戶將共享同一個VLAN。6.簡化項目管理或應(yīng)用管理：VLAN 將用戶和網(wǎng)絡(luò)設(shè)備聚合到一起，以支持商業(yè)需求或地域上的需求。通過職能劃分，項目管理或特殊應(yīng)用的處理都變得十分方便，例如可以輕松管理教師的電子教學(xué)開發(fā)平臺。此外，也很容易確定升級網(wǎng)絡(luò)服務(wù)的影響范圍。17. 增加了網(wǎng)絡(luò)連接的靈活性：借助VLAN技術(shù)，能將不同地點、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡(luò)環(huán)境 ，就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管 理費用，特別是一些業(yè)務(wù)情況有經(jīng)常性變動的公司使用了VLAN后，這部分管理費用大大降低劃分VLAN方式：1.根據(jù)端口來劃分VLAN許多VLAN廠商都利用交換機的端口來劃分VLAN成員。被設(shè)定的端口都在同一個廣播域中。例如，一個交換機的1，2，3，4，5端口被定義為虛擬網(wǎng)AAA，同一交換機的6，7，8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通訊，并允許共享型網(wǎng)絡(luò)的升級。但是，這種劃分模式將虛擬網(wǎng)限制在了一臺交換機上。第二代端口VLAN技術(shù)允許跨越多個交換機的多個不同端口劃分VLAN，不同交換機上的若干個端口可以組成同一個虛擬網(wǎng)。以交換機端口來劃分網(wǎng)絡(luò)成員，其配置過程簡單明了。因此，從目前來看，這種根據(jù)端口來劃分VLAN的方式仍然是最常用的一種方式。2.根據(jù)MAC地址劃分VLAN這種劃分VLAN的方法是根據(jù)每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置它屬于哪個組。這種劃分VLAN方法的最大優(yōu)點就是當(dāng)用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，所以，可以認為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的。而且這種劃分的方法也導(dǎo)致了交換機執(zhí)行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。另外，對于使用筆記本電腦的用戶來說，他們的網(wǎng)卡可能經(jīng)常更換，這樣，VLAN就必須不停地配置。3.根據(jù)網(wǎng)絡(luò)層劃分VLAN這種劃分VLAN的方法是根據(jù)每個主機的網(wǎng)絡(luò)層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無關(guān)系。這種方法的優(yōu)點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡(luò)管理者來說很重要，還有，這種方法不需要附加的幀標(biāo)簽來識別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點是效率低，因為檢查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時間的(相對于前面兩種方法)，一般的交換機芯片都可以自動檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時也更費時。當(dāng)然，這與各個廠商的實現(xiàn)方法有關(guān)。4.根據(jù)IP組播劃分VLANIP 組播實際上也是一種VLAN的定義，即認為一個組播組就是一個VLAN，這種劃分的方法將VLAN擴大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高。5.基于規(guī)則的VLAN也稱為基于策略的VLAN。這是最靈活的VLAN劃分方法，具有自動配置的能力，能夠把相關(guān)的用戶連成一體，在邏輯劃分上稱為“關(guān)系網(wǎng)絡(luò)”。網(wǎng)絡(luò)管理員只需在網(wǎng)管軟件中確定劃分VLAN的規(guī)則（或?qū)傩裕?，那么?dāng)一個站點加入網(wǎng)絡(luò)中時，將會被“感知”，并被自動地包含進正確的VLAN中。同時，對站點的移動和改變也可自動識別和跟蹤。采用這種方法，整個網(wǎng)絡(luò)可以非常方便地通過路由器擴展網(wǎng)絡(luò)規(guī)模。有的產(chǎn)品還支持一個端口上的主機分別屬于不同的VLAN，這在交換機與共享式Hub共存的環(huán)境中顯得尤為重要。自動配置VLAN時，交換機中軟件自動檢查進入交換機端口的廣播信息的IP源地址，然后軟件自動將這個端口分配給一個由IP子網(wǎng)映射成的VLAN。6. 按用戶定義、非用戶授權(quán)劃分VLAN基于用戶定義、非用戶授權(quán)來劃分VLAN，是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò)，根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認證后才可以加入一個VLAN。* 以上劃分VLAN的方式中，基于端口的VLAN端口方式建立在物理層上；MAC方式建立在數(shù)據(jù)鏈路層上；網(wǎng)絡(luò)層和IP廣播方式建立在第三層上。二、子網(wǎng)地址劃分1.減少網(wǎng)絡(luò)流量2.提高網(wǎng)絡(luò)性能3.簡化管理4.易于擴大地理范圍在劃分子網(wǎng)時，不僅要考慮目前需要，還應(yīng)了解將來需要多少子網(wǎng)和主機。對子網(wǎng)掩碼使用比需要更多的主機位，可以得到更多的子網(wǎng)，節(jié)約了IP地址資源，若將來需要更多子網(wǎng)時，不用再重新分配IP地址，但每個子網(wǎng)的主機數(shù)量有限；反之，子網(wǎng)掩碼使用較少的主機位，每個子網(wǎng)的主機數(shù)量允許有更大的增長，但可用子網(wǎng)數(shù)量有限。一般來說，一個網(wǎng)絡(luò)中的節(jié)點數(shù)太多，網(wǎng)絡(luò)會因為廣播通信而飽和，所以，網(wǎng)絡(luò)中的主機數(shù)量的增長是有限的，也就是說，在條件允許的情況下，會將更多的主機位用于子網(wǎng)位。綜上所