《現(xiàn)代網(wǎng)絡(luò)技術(shù)》課件第10章

第10章虛擬局域網(wǎng)技術(shù)10.1VLAN概述10.2VLAN的交換方式10.3VLAN的劃分方法10.4VLAN成員信息的傳遞10.5VLAN配置方法10.6VLAN間路由與通信10.7VLAN的協(xié)議和標(biāo)準(zhǔn)10.8VLAN的功能習(xí)題10.1VLAN概述10.1.1VLAN的產(chǎn)生在20世紀(jì)90年代初，具有多端口的路由器開(kāi)始取代網(wǎng)橋，以達(dá)到在第三層對(duì)網(wǎng)絡(luò)進(jìn)行分段的目的，并實(shí)現(xiàn)對(duì)廣播數(shù)據(jù)的抑制。但在這種使用路由器的網(wǎng)絡(luò)中，網(wǎng)段和廣播域是相對(duì)應(yīng)的。在引入交換技術(shù)之后，可以在第2層上將網(wǎng)絡(luò)進(jìn)行分段，以使各網(wǎng)段的帶寬得以提高，網(wǎng)絡(luò)中路由器負(fù)責(zé)廣播數(shù)據(jù)的抑制工作。此時(shí)，一個(gè)廣播域可以跨越多個(gè)交換的網(wǎng)段，從而使得在一個(gè)廣播域中提供對(duì)成百上千個(gè)用戶(hù)的支持并非難事。但是大量的交換設(shè)備將網(wǎng)絡(luò)分成越來(lái)越多的網(wǎng)段并不能降低對(duì)于廣播數(shù)據(jù)抑制的要求。這種網(wǎng)絡(luò)仍然要靠使用路由器來(lái)抑制廣播數(shù)據(jù)。

VLAN技術(shù)就是在這樣的背景下提出的，它代表著一種不用路由器實(shí)現(xiàn)對(duì)廣播數(shù)據(jù)進(jìn)行抑制的解決方案。在VLAN中，對(duì)廣播數(shù)據(jù)的抑制將由交換機(jī)來(lái)完成。此時(shí)，每一個(gè)物理網(wǎng)段可以?xún)H包含一個(gè)用戶(hù)，而一個(gè)廣播域中則可以具有多達(dá)上千個(gè)以上的用戶(hù)。通過(guò)VLAN的劃分可以跟蹤各個(gè)工作站物理位置的變動(dòng)，使之在移動(dòng)位置之后不需要對(duì)其網(wǎng)絡(luò)地址重新進(jìn)行手工配置，或者雖然物理位置沒(méi)有變化，但邏輯上與其他工作站組成邏輯上的網(wǎng)絡(luò)段。

VLAN技術(shù)出現(xiàn)的另一原因是，當(dāng)前高性?xún)r(jià)比的LAN交換設(shè)備給用戶(hù)提供了非常好的網(wǎng)絡(luò)分段能力，并具有極低的報(bào)文轉(zhuǎn)發(fā)延遲以及很高的傳輸帶寬。這些為實(shí)現(xiàn)VLAN技術(shù)提供了有力的基礎(chǔ)保證。近年來(lái)，各主要的LAN設(shè)備廠(chǎng)商均在其交換設(shè)備中提供VLAN的集成方案。

10.1.2實(shí)現(xiàn)VLAN的前提條件

VLAN實(shí)現(xiàn)策略：將VLAN看成是一個(gè)廣播域，一個(gè)VLAN就是一組客戶(hù)工作站的集合，這些工作站不必處于同一個(gè)物理網(wǎng)絡(luò)上，它們可以不受地理位置的限制而像處于同一個(gè)LAN上那樣進(jìn)行通信和信息交換。圖10-1給出了VLAN的一個(gè)示例，在整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)中，劃分了三個(gè)VLAN，分別為工程VLAN、市場(chǎng)VLAN及財(cái)會(huì)VLAN，每一個(gè)VLAN包括了相應(yīng)的客戶(hù)站。圖10-1VLAN示意圖可以認(rèn)為一個(gè)VLAN實(shí)際上就是邏輯上的網(wǎng)段，這種邏輯上的網(wǎng)段給LAN的管理、安全性以及廣播數(shù)據(jù)的抑制帶來(lái)諸多的益處。要實(shí)現(xiàn)VLAN技術(shù)，需要具備以下條件：

(1)具有能夠?qū)⑺B接的客戶(hù)站進(jìn)行邏輯分段的高性能交換設(shè)備。

(2)提供在主干網(wǎng)(如高速以太網(wǎng)、ATM、FDDI)上傳輸VLAN信息的通信協(xié)議。

(3)提供VLAN間通信的第3層路由解決方案。

(4)滿(mǎn)足已安裝的LAN系統(tǒng)的兼容性和互操作性。

(5)提供集中控制、配置和流量管理功能的網(wǎng)管方案。上述這些條件對(duì)于企業(yè)網(wǎng)范圍內(nèi)(Intranet)的VLAN解決方案是至關(guān)重要的。10.1.3VLAN的解決方案在實(shí)現(xiàn)VLAN的過(guò)程中有許多問(wèn)題需要解決，但最為關(guān)鍵的有以下幾個(gè)問(wèn)題：●如何在整個(gè)網(wǎng)絡(luò)范圍內(nèi)定義各VLAN中的成員，即VLAN劃分方法?！袢绾卧诙鄠€(gè)交換設(shè)備之間傳遞VLAN成員信息?！馰LAN的配置問(wèn)題?！馰LAN之間的通信如何進(jìn)行。如何解決這些問(wèn)題將影響到VLAN的實(shí)現(xiàn)是否能夠有效地滿(mǎn)足用戶(hù)和網(wǎng)絡(luò)管理的要求。由于VLAN都是在交換網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)的，所以在這種網(wǎng)絡(luò)環(huán)境中最核心的問(wèn)題是交換設(shè)備。交換設(shè)備是各客戶(hù)站連入交換網(wǎng)絡(luò)的入口點(diǎn)，它可以提供對(duì)用戶(hù)、端口和邏輯地址進(jìn)行分組以構(gòu)成VLAN的能力。每一個(gè)交換設(shè)備均可根據(jù)網(wǎng)管人員所定義的VLAN劃分方法對(duì)報(bào)文進(jìn)行過(guò)濾和轉(zhuǎn)發(fā)，并能夠?qū)⑦@種劃分信息傳遞到網(wǎng)絡(luò)中其他的交換設(shè)備和路由器那里。當(dāng)前LAN交換設(shè)備在物理上一般都安裝在共享式的分段HUB和位于主干網(wǎng)的路由器之間，它在VLAN的分段實(shí)現(xiàn)以及低延遲的報(bào)文轉(zhuǎn)發(fā)方面起到至關(guān)重要的作用。總的來(lái)說(shuō)，VLAN交換設(shè)備除了能夠顯著地提高網(wǎng)絡(luò)的性能和專(zhuān)用帶寬外，同時(shí)它還具有完成VLAN的劃分所必需的能力。10.2VLAN的交換方式實(shí)現(xiàn)VLAN技術(shù)有端口交換、幀交換和信元交換三種交換方式。10.2.1端口交換端口交換(PortSwitch)，也稱(chēng)配置交換，是把端口配置到一個(gè)或若干個(gè)通過(guò)背板連接的共享HUB上，可以形成若干個(gè)獨(dú)立的由端口組合的共享網(wǎng)絡(luò)段，每一個(gè)連接到端口上的用戶(hù)被分配到其中一個(gè)段上。有一種稱(chēng)為端口交換的設(shè)備，在一個(gè)或幾個(gè)通過(guò)背板連接的端口交換模塊上通過(guò)軟硬件的控制和管理把交換模塊上的所在端口劃分成若干個(gè)共享式的互相獨(dú)立的VLAN。端口交換方式的特點(diǎn)有：端口用戶(hù)組成小規(guī)模的VLAN非常靈活。在全局交換網(wǎng)絡(luò)上，端口交換能夠?yàn)槿諺LAN提供有效的、靈活的前端配置端口組合的功能。由于端口交換形成的VLAN還是共享網(wǎng)段，因此使用這種方式形成的VLAN，端口用戶(hù)以及整個(gè)VLAN的帶寬仍受到限制。如果端口用戶(hù)需要高帶寬，或者網(wǎng)絡(luò)規(guī)模較大，這時(shí)VLAN對(duì)帶寬的要求很高，那么選用全交換的網(wǎng)絡(luò)設(shè)備是必要的。目前市場(chǎng)上3COM公司的端口交換機(jī)是端口交換方式最典型、用得最廣泛的設(shè)備，它可以單獨(dú)使用，形成若干個(gè)獨(dú)立的共享端口組，也可以作為核心交換機(jī)的前端處理設(shè)備(如圖10-2所示)，端口交換機(jī)的各個(gè)端口組的形成是按用戶(hù)需求用相應(yīng)的管理軟件進(jìn)行配置。圖10-2端口交換機(jī)作為前端處理設(shè)備10.2.2幀交換幀交換(FrameSwitch)是指LAN(Ethernet、TokenRing、FDDI)交換機(jī)的每一個(gè)端口都能夠提供一個(gè)獨(dú)立的共享網(wǎng)絡(luò)端口，在此端口上既可以連接共享HUB，也可以連接單獨(dú)的一個(gè)客戶(hù)站。在一個(gè)端口上接收到的幀正確地轉(zhuǎn)發(fā)到輸出端口上，在尋找路由和轉(zhuǎn)發(fā)時(shí)，幀不會(huì)被破壞。對(duì)于廣播幀來(lái)說(shuō)，可以轉(zhuǎn)發(fā)到交換機(jī)的所有端口。虛擬化后，一個(gè)交換機(jī)或者互連的若干交換機(jī)上的每個(gè)端口均可以被分配給任何VLAN，即在網(wǎng)絡(luò)系統(tǒng)中形成若干個(gè)VLAN。交換機(jī)能隔離VLAN之間的信息傳遞，因此不同VLAN上的端口間的交通被阻止了。另外，端口若接收到一個(gè)廣播幀，則該幀只能在該端口所屬的VLAN中轉(zhuǎn)發(fā)到其他端口去。幀交換方式比端口交換方式增加了有效的帶寬，LAN交換機(jī)上每個(gè)端口用戶(hù)具有獨(dú)占帶寬(例10?Mb/s、100?Mb/s)的性能，交換機(jī)間互連的速率可達(dá)數(shù)百兆位甚至千兆位傳輸率。服務(wù)器和高速客戶(hù)站可以直接連到交換器端口上。目前，絕大多數(shù)廠(chǎng)家的LAN交換機(jī)均按幀交換方式來(lái)實(shí)現(xiàn)VLAN交換技術(shù)，將以太交換機(jī)與端口交換機(jī)組合應(yīng)用，使用戶(hù)加入VLAN更加靈活。10.2.3信元交換這種VLAN方式的核心是由一個(gè)或者多個(gè)互連的ATM交換機(jī)組成，它是在A(yíng)TM交換機(jī)上實(shí)現(xiàn)信元交換。與幀交換不同的是，從ATM交換機(jī)端口上接收到信元后，正確地轉(zhuǎn)發(fā)到輸出端口。目前端口的傳輸率有155?Mb/s甚至622?Mb/s。ATM允許端點(diǎn)客戶(hù)站加入多個(gè)VLAN，允許一條物理電纜上實(shí)現(xiàn)多個(gè)邏輯連接，ATM上實(shí)現(xiàn)VLAN目前常用ATM/LAN仿真技術(shù)。10.3VLAN的劃分方法

VLAN劃分方法是指在一個(gè)VLAN中應(yīng)包含哪些站點(diǎn)(服務(wù)器、客戶(hù)站)。處在同一個(gè)VLAN中的所有站點(diǎn)將共享廣播數(shù)據(jù)，而這些廣播數(shù)據(jù)將不會(huì)被擴(kuò)散到其他不在此VLAN中的站點(diǎn)那里。VLAN劃分有以下幾種方法：●按交換端口號(hào)?！癜碝AC地址。●按第3層協(xié)議。●使用IP組播?！窕诓呗浴?/p>

1．按交換端口號(hào)按交換設(shè)備端口進(jìn)行分組來(lái)劃分VLAN，例如一個(gè)交換設(shè)備上的端口1、2、5、7所連接的客戶(hù)站可以構(gòu)成VLAN-A，而端口3、4、6、8則構(gòu)成VLAN-B等。在最初的實(shí)現(xiàn)中，VLAN是不能跨越交換設(shè)備的。到后來(lái)進(jìn)一步的發(fā)展使得VLAN可以跨越多個(gè)交換設(shè)備。此種VLAN的構(gòu)成可以用圖10-3來(lái)表示。現(xiàn)在，按端口號(hào)劃分VLAN仍然是構(gòu)造VLAN的常用方法之一。這種劃分方法確實(shí)比較簡(jiǎn)單并且非常有效。但是，僅靠端口分組而定義VLAN將無(wú)法使得同一個(gè)物理分段(或交換端口)同時(shí)參與到多個(gè)VLAN中，而且更主要的是當(dāng)一個(gè)客戶(hù)站從一個(gè)端口移至另一個(gè)端口時(shí)，網(wǎng)管人員將不得不對(duì)VLAN成員進(jìn)行重新配置。圖10-3按端口號(hào)進(jìn)行VLAN分組

2．按MAC地址這種劃分方法由網(wǎng)管人員指定屬于同一個(gè)VLAN中的各客戶(hù)站的MAC地址。用MAC地址進(jìn)行VLAN成員的定義既有優(yōu)點(diǎn)也有缺點(diǎn)。由于MAC地址是固化在網(wǎng)卡中的，故移至網(wǎng)絡(luò)中另外一個(gè)地方時(shí)，它將仍然保持其原先的VLAN成員身份，而無(wú)需網(wǎng)管人員對(duì)之進(jìn)行重新的配置。從這個(gè)意義上講，用MAC地址定義的VLAN可以看成是基于用戶(hù)的VLAN。另外在這種方式中，同一個(gè)MAC地址處于多個(gè)VLAN中是可行的。但這種方法也有許多不足之處，首先所有的用戶(hù)在最初都必須被配置到至少一個(gè)VLAN中，只有在這種配置之后方可實(shí)現(xiàn)對(duì)VLAN成員的自動(dòng)跟蹤。但在大型的網(wǎng)絡(luò)中完成初始的配置并不是一件容易的事。在共享介質(zhì)環(huán)境下實(shí)現(xiàn)基于MAC地址的VLAN，在多個(gè)不同VLAN的成員同時(shí)存在于同一個(gè)交換端口時(shí)，可能會(huì)導(dǎo)致嚴(yán)重的性能下降。另外，在大規(guī)模的這種VLAN中交換設(shè)備之間進(jìn)行VLAN成員身份信息的交換也可能會(huì)引起性能降低。

3．按第3層協(xié)議在實(shí)現(xiàn)基于第3層協(xié)議的VLAN時(shí)，決定VLAN成員身份主要是考慮協(xié)議類(lèi)型(支持多協(xié)議的情況下)或網(wǎng)絡(luò)層地址(如IP網(wǎng)絡(luò)的子網(wǎng)地址)。這種方式的VLAN劃分需要將子網(wǎng)地址映射到VLAN，交換設(shè)備根據(jù)子網(wǎng)地址將各機(jī)器的MAC地址同一個(gè)VLAN聯(lián)系起來(lái)，交換設(shè)備將不同網(wǎng)絡(luò)端口上連接的機(jī)器劃歸于同一個(gè)VLAN。但應(yīng)注意此時(shí)對(duì)于第3層信息的使用并不構(gòu)成路由功能。應(yīng)注意不要將其同網(wǎng)絡(luò)層路由混淆起來(lái)。因?yàn)樵诮粨Q設(shè)備使用報(bào)文的IP地址決定VLAN成員身份時(shí)并沒(méi)有進(jìn)行任何路由計(jì)算，也沒(méi)有使用任何路由協(xié)議。交換設(shè)備只是根據(jù)生成樹(shù)算法在其他的各端口之間進(jìn)行幀的轉(zhuǎn)發(fā)。因此從這個(gè)意義上講，任一VLAN內(nèi)部的連接仍然是一種平板式的橋接拓樸結(jié)構(gòu)。用第3層協(xié)議定義VLAN有許多的優(yōu)點(diǎn)。首先，可以根據(jù)協(xié)議類(lèi)型進(jìn)行VLAN的劃分，這對(duì)于那些基于服務(wù)或基于應(yīng)用VLAN策略的網(wǎng)管人員無(wú)疑是極具吸引力的。其次，用戶(hù)可以自由地移動(dòng)他們的機(jī)器而無(wú)需對(duì)網(wǎng)絡(luò)地址進(jìn)行重新配置，并且在第3層上定義VLAN將不再需要報(bào)文標(biāo)識(shí)，從而可以消除因在交換設(shè)備之間傳遞VLAN成員信息而花費(fèi)的開(kāi)銷(xiāo)。第3層協(xié)議的VLAN劃分方法同前兩種方法相比的一個(gè)缺點(diǎn)可能是其性能問(wèn)題。對(duì)報(bào)文中的網(wǎng)絡(luò)地址進(jìn)行檢查將比對(duì)幀中的MAC地址進(jìn)行檢查開(kāi)銷(xiāo)更大。正是由于這個(gè)原因，使用第3層信息進(jìn)行VLAN劃分的交換設(shè)備一般都比使用第2層信息的交換設(shè)備要慢。目前第3層交換機(jī)的出現(xiàn)會(huì)大大改善VLAN成員間的通信效率。在第3層上所定義的VLAN對(duì)于TCP/IP特別有效，但對(duì)于其他一些協(xié)議如IPX、DEC-net或Apple則要差一些，并且對(duì)于那些不可進(jìn)行路由選擇的一些協(xié)議(如Netbios)，在第3層上實(shí)現(xiàn)VLAN劃分將特別困難，因?yàn)槭褂么朔N協(xié)議的機(jī)器是無(wú)法互相區(qū)分的，因此也就無(wú)法將其定義成某個(gè)網(wǎng)絡(luò)層VLAN的一員。

4．IP組播VLAN

IP組播代表著一種與眾不同的VLAN定義方法。在這種分組方法中VLAN作為廣播域的基本概念仍然適用。各站點(diǎn)可以自由地動(dòng)態(tài)決定參加到哪一個(gè)或哪一些IP組播組中。一個(gè)IP組播組實(shí)際上是用一個(gè)D類(lèi)地址表示的，當(dāng)向一個(gè)組播組發(fā)送一個(gè)IP報(bào)文時(shí)，此報(bào)文將被傳送到此組中的各個(gè)站點(diǎn)處。從這個(gè)意義上講，可以將一個(gè)IP組播組看成是一個(gè)VLAN。但此VLAN中的各個(gè)成員都只具有臨時(shí)性的特點(diǎn)，由IP組播定義VLAN的動(dòng)態(tài)特性可以達(dá)到很高的靈活性，并且借助于路由器，此種VLAN可以很容易地?cái)U(kuò)展到整個(gè)WAN上。

5．基于策略的VLAN這是實(shí)現(xiàn)VLAN的最有力的方法。它允許網(wǎng)絡(luò)管理員使用任何VLAN策略的組合來(lái)創(chuàng)建滿(mǎn)足其需求的VLAN。通過(guò)上面列出的VLAN策略把設(shè)備指定給VLAN，當(dāng)一個(gè)策略被指定到一個(gè)交換機(jī)時(shí)，該策略就在整個(gè)網(wǎng)絡(luò)上應(yīng)用，而設(shè)備被置入VLAN中。從設(shè)備發(fā)出的幀總是經(jīng)過(guò)重新計(jì)算，以使VLAN成員身份能隨著設(shè)備產(chǎn)生的流量類(lèi)型而改變?；诓呗缘腣LAN可以使用上面提到的任何一種劃分VLAN的方法，并可以把不同方法組合成一種新的策略來(lái)劃分VLAN?？傊?，各種劃分方法側(cè)重點(diǎn)不同，所達(dá)到的效果也不盡相同。目前在網(wǎng)絡(luò)產(chǎn)品中融合多種劃分VLAN的方法，以便根據(jù)實(shí)際情況尋找最合適的途徑。同時(shí)，隨著管理軟件的發(fā)展，VLAN的劃分逐漸趨向于動(dòng)態(tài)化。大多數(shù)情況下，用戶(hù)可以同時(shí)處在不同的工作組，并同時(shí)屬于多個(gè)VLAN。一個(gè)好的虛擬網(wǎng)策略不能強(qiáng)迫用戶(hù)一定要屬于某個(gè)虛擬網(wǎng)，這樣設(shè)計(jì)的虛擬網(wǎng)缺乏靈活性和擴(kuò)展性。如某公司的工作小組，小組里面需有銷(xiāo)售人員、市場(chǎng)人員及工程技術(shù)人員，他們分別負(fù)責(zé)不同任務(wù)并協(xié)同工作，而這些人員原來(lái)又分別屬于銷(xiāo)售部、市場(chǎng)部、工程部的不同虛擬網(wǎng)絡(luò)，實(shí)際上他們組成了一個(gè)臨時(shí)的工作虛擬網(wǎng)。這時(shí)，他們既可分別訪(fǎng)問(wèn)他們?cè)瓕俚木W(wǎng)絡(luò)，又可同時(shí)在工作VLAN中互相交流信息，這就是VLAN中組員的多重屬性。一個(gè)用戶(hù)同時(shí)具有多個(gè)VLAN成員資格雖然是很有必要的，但這意味著工作組的安全性下降，并可能導(dǎo)致可伸縮性的下降。對(duì)于必須具有多個(gè)VLAN成員資格的資源(如服務(wù)器等)，可以直接把它連接到主干網(wǎng)上，并定義到每個(gè)VLAN上，這既提供了資源共享也維持了VLAN的安全性。這種方式在A(yíng)TM上是通過(guò)LANE定義的。虛擬網(wǎng)應(yīng)該支持多個(gè)LAN交換機(jī)，同時(shí)也應(yīng)支持遠(yuǎn)程聯(lián)接。網(wǎng)絡(luò)管理員應(yīng)不受任何地域的限制，而在虛擬網(wǎng)中的成員也可在虛擬網(wǎng)中自由移動(dòng)。如在物理上連接在廣州辦公室的PC機(jī)A，其主人可能攜帶它到北京辦事處，這時(shí)如果沒(méi)有虛擬網(wǎng)，他就要讓北京辦事處的MIS人員分配網(wǎng)絡(luò)地址給PC機(jī)A，以便他能夠訪(fǎng)問(wèn)整個(gè)網(wǎng)絡(luò)。反之，如果北京和廣州的辦事處同處于一個(gè)虛擬網(wǎng)中，則PC機(jī)A從廣州帶到北京，只需插入任何一個(gè)結(jié)構(gòu)化市線(xiàn)盒即可，無(wú)需改變機(jī)器的網(wǎng)絡(luò)地址。10.4VLAN成員信息的傳遞

VLAN成員信息傳遞的關(guān)鍵是要解決多個(gè)交換設(shè)備互連時(shí)它們之間的協(xié)調(diào)問(wèn)題，有隱式和顯式兩種不同的傳遞方式。一般隱式傳遞方式的VLAN適用于單個(gè)交換設(shè)備上通過(guò)對(duì)端口進(jìn)行分組的方法所定義的VLAN。對(duì)于按第3層協(xié)議所定義的VLAN符合隱式傳遞方式。此種方式的特點(diǎn)是VLAN成員信息包含報(bào)文的頭部。顯示傳遞方式的VLAN適用于交換設(shè)備間VLAN成員的信息傳送。它可分為三類(lèi)，第一類(lèi)是在A(yíng)TM主干網(wǎng)上使用ATM論壇的ATMLAN仿真標(biāo)準(zhǔn)；第二類(lèi)是使用IEEE802.1Q標(biāo)準(zhǔn)；第三類(lèi)則為各廠(chǎng)商自行開(kāi)發(fā)的幀標(biāo)記或幀封裝技術(shù)，如CISCO公司的用于快速以太網(wǎng)環(huán)境下的ISL(Inter-SwitchLink)協(xié)議以及用于FDDI主干網(wǎng)上的IEEE802.10協(xié)議的修改版本等。第一類(lèi)和第二類(lèi)目前都已成為工業(yè)標(biāo)準(zhǔn)。從具體技術(shù)上看，除ATMLAN仿真外，這種傳遞方式包括：信令支持的列表維護(hù)方式(TableMaintenceViaSignaling)，幀標(biāo)記方式(FrameTagging)和時(shí)分復(fù)用方式(TDM)三種。

(1)信令支持的列表維護(hù)方式。當(dāng)工作站在網(wǎng)絡(luò)上第一次發(fā)廣播幀時(shí)，交換機(jī)就在自己Cache中的地址表中將工作站的MAC地址或它所連接的端口號(hào)與所屬VLAN對(duì)應(yīng)起來(lái)，該信息被不斷地廣播到其他的交換機(jī)。當(dāng)VLAN成員發(fā)生變動(dòng)時(shí)，交換機(jī)中的地址表就需要管理員在控制臺(tái)上進(jìn)行更新。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，用以請(qǐng)求更新交換機(jī)地址表的廣播信息將導(dǎo)致主干網(wǎng)的擁塞，因此，這種方式較少采用。

(2)幀標(biāo)記方式。在幀標(biāo)記方式下，每個(gè)數(shù)據(jù)幀都在幀頭位置插入一個(gè)惟一的標(biāo)簽以標(biāo)明一個(gè)特定的MAC層幀屬于交換機(jī)間干線(xiàn)上的哪個(gè)VLAN。不同廠(chǎng)家的標(biāo)簽長(zhǎng)度是不同的，有時(shí)數(shù)據(jù)幀加上標(biāo)簽后可能超過(guò)MAC幀的最大長(zhǎng)度。

(3)?TDM方式。TDM在VLAN上的實(shí)現(xiàn)方式與它在廣域網(wǎng)上的實(shí)現(xiàn)非常類(lèi)似。就像在WAN環(huán)境中支持多種流量類(lèi)型一樣，TDM以同樣的方式在交換機(jī)間的干線(xiàn)網(wǎng)上工作以支持VLAN，就是說(shuō)，時(shí)隙是保留給每個(gè)VLAN的。這種方式在一定程度上避免了前兩種方式帶來(lái)的問(wèn)題，但是，劃分給一個(gè)VLAN的時(shí)隙只能被該虛擬網(wǎng)的成員使用，所以仍然有很多帶寬被浪費(fèi)了。10.5VLAN配置方法網(wǎng)絡(luò)中的各個(gè)站點(diǎn)可以按照幾種不同的方法劃分到相應(yīng)的VLAN中，這些方法包括使用靜態(tài)端口分配、動(dòng)態(tài)端口分配或多VLAN端口分配。具體采取哪種方法取決于交換設(shè)備的功能、各站點(diǎn)連接到交換端口的方式以及VLAN管理軟件的功能。當(dāng)各站點(diǎn)直接連到交換設(shè)備端口上時(shí)，VLAN的配置和管理將獲得最大的靈活性。此時(shí)所有的站點(diǎn)均可惟一地被分配到某個(gè)或某些VLAN中，當(dāng)這些站點(diǎn)的位置發(fā)生變化之后，如果仍然是直接連接到交換端口上的，那么它們將保持其原有的VLAN標(biāo)識(shí)。借助于共享式的HUB連接到交換設(shè)備上的所有站點(diǎn)，一般情況下因共享同一個(gè)交換端口而均被劃分在同一個(gè)VLAN中，此種方法對(duì)網(wǎng)絡(luò)中的每個(gè)用戶(hù)來(lái)說(shuō)靈活性降低了，但對(duì)于網(wǎng)管人員來(lái)說(shuō)是一個(gè)比較理想的解決方法。如果HUB具有端口交換功能的話(huà)，將提高VLAN分配的靈活性，此時(shí)每一個(gè)HUB(或多個(gè)HUB疊難)可預(yù)先配置成若干共享組，然后每個(gè)共享組均可單獨(dú)地被配置到一個(gè)VLAN中。

1．靜態(tài)端口分配靜態(tài)VLAN是指網(wǎng)管人員靜態(tài)地把交換設(shè)備的每組端口分別分配給每一個(gè)VLAN。這種分配可以借助于網(wǎng)管軟件完成或直接在交換設(shè)備中進(jìn)行配置。分配好之后這些端口將保持其VLAN配置直至被修改為止。雖然這種方式在VLAN劃分發(fā)生變化時(shí)需要管理人員進(jìn)行修改，但因其比較安全，配置起來(lái)比較容易而且易于監(jiān)視，故站點(diǎn)移動(dòng)會(huì)受到嚴(yán)格控制和管理，并且在靠VLAN管理軟件來(lái)配置交換端口的情況下，這種方法還是非常有效的。此種方式的VLAN如圖10-4所示。圖10-4靜態(tài)端口分配

2．動(dòng)態(tài)端口分配動(dòng)態(tài)VLAN端口分配是指交換設(shè)備上那些能夠在智能管理軟件的幫助下自動(dòng)地進(jìn)行VLAN端口分配的方法。一般是根據(jù)站點(diǎn)的MAC地址、邏輯地址或協(xié)議類(lèi)型來(lái)劃分的。這些劃分VLAN信息將被存放到一個(gè)集中式管理軟件內(nèi)并在那里進(jìn)行維護(hù)。當(dāng)某個(gè)站點(diǎn)連接到一個(gè)交換端口上時(shí)，交換設(shè)備對(duì)其MAC地址在VLAN管理數(shù)據(jù)庫(kù)中進(jìn)行檢查，并動(dòng)態(tài)地用相應(yīng)的VLAN配置對(duì)此端口進(jìn)行配置。此種方法的一個(gè)主要好處是當(dāng)客戶(hù)站移動(dòng)位置之后無(wú)需進(jìn)行重新的配置，并且當(dāng)某個(gè)不能被識(shí)別的站點(diǎn)連入到網(wǎng)絡(luò)中之后可以在管理站點(diǎn)處給出消息。但其缺點(diǎn)也是明顯的，那就是必須在VLAN管理軟件內(nèi)建立一個(gè)數(shù)據(jù)庫(kù)并維護(hù)一個(gè)能精確地反映所有網(wǎng)絡(luò)用戶(hù)狀況的數(shù)據(jù)庫(kù)。這種形式的VLAN分配如圖10-5所示。圖10-5動(dòng)態(tài)端口分配

3．多VLAN端口分配多VLAN端口配置可以使單個(gè)交換端口或用戶(hù)能同時(shí)參與到多個(gè)VLAN中進(jìn)行通信，這種能力對(duì)于那些供多個(gè)不同的工作組共享的服務(wù)器或能夠?qū)儆诙鄠€(gè)不同的工作組的用戶(hù)而言無(wú)疑是很方便的。這種方式的VLAN帶來(lái)的一個(gè)問(wèn)題就是在多個(gè)工作組間進(jìn)行端口共享將使得VLAN所提供的工作組間隔離功能明顯地減弱，從而導(dǎo)致網(wǎng)絡(luò)安全性的降低。這些被共享的端口實(shí)際上充當(dāng)了VLAN間的網(wǎng)關(guān)，實(shí)際上是構(gòu)成了一個(gè)更大的VLAN，并且這種方法在VLAN之間的交叉越來(lái)越大時(shí)擴(kuò)充起來(lái)將比較困難。對(duì)于需要在多個(gè)VLAN之間共享的資源，一種更好的解決方法是將相應(yīng)的站點(diǎn)直接接到主干網(wǎng)上，并使每一個(gè)VLAN對(duì)之均有一個(gè)惟一的訪(fǎng)問(wèn)路徑，從而達(dá)到既實(shí)現(xiàn)資源共享又能維護(hù)VLAN隔離完整性的目的。此種方法是在A(yíng)TMLANEmulation標(biāo)準(zhǔn)草案中定義的，但在共享LAN主干網(wǎng)和交換結(jié)構(gòu)主干網(wǎng)中也可實(shí)現(xiàn)。這種方式的VLAN劃分如圖10-6所示。圖10-6多端口VLAN配置10.6VLAN間路由與通信一般情況下網(wǎng)絡(luò)環(huán)境中的VLAN實(shí)現(xiàn)了網(wǎng)絡(luò)流量的分割，但VLAN之間的數(shù)據(jù)傳輸仍要借助于路由手段來(lái)實(shí)現(xiàn)。在大型網(wǎng)絡(luò)中，VLAN內(nèi)數(shù)據(jù)的高速交換同VLAN間數(shù)據(jù)傳輸?shù)挠行酚珊徒粨Q這兩者的集成正變得越來(lái)越具有吸引力。各種不同的路由方案具有很大的差別，每一種都有其各自的優(yōu)點(diǎn)和不足，并且將對(duì)網(wǎng)絡(luò)的總體結(jié)構(gòu)產(chǎn)生影響，而且路由也并不是解決VLAN間通信技術(shù)的惟一方法。同選擇一種VLAN解決方案會(huì)遇到的其他一些重要問(wèn)題一樣，解決VLAN間通信的選擇也取決于用戶(hù)特定的應(yīng)用需求及總的網(wǎng)絡(luò)結(jié)構(gòu)，其中最為關(guān)鍵的是要達(dá)到較高程度的靈活性。根據(jù)路由功能位置的不同，目前基本上有五種不同的VLAN路由模式：●邊界路由。●“獨(dú)臂”路由器。●路由服務(wù)器/路由客戶(hù)機(jī)?！馎TM上的多協(xié)議路由MPOA?！竦?層交換。對(duì)于各種不同路由模式的支持已成為各VLAN廠(chǎng)商的主要差別所在。某些廠(chǎng)商也宣布將在他們的產(chǎn)品中提供對(duì)多種不同路由模式的支持。

1．邊界路由邊界路由是指將路由功能包含在位于主干網(wǎng)絡(luò)邊界的每一個(gè)LAN交換設(shè)備中，此時(shí)VLAN間的報(bào)文將由交換設(shè)備內(nèi)在的路由能力進(jìn)行處理，而無(wú)需再將其傳送至某個(gè)外部的路由器上，數(shù)據(jù)的轉(zhuǎn)發(fā)延遲因而也將得以降低。使用此種路由方式的主要優(yōu)點(diǎn)在于不像集中式路由那樣會(huì)因中央路由站點(diǎn)的崩潰而導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。其主要的不利之處在于：相對(duì)于統(tǒng)一路由功能的集中式管理而言，邊界路由需要對(duì)多個(gè)物理設(shè)備進(jìn)行管理。另外此種方式可能比由一個(gè)集中式路由器和多個(gè)較便宜的邊界路由器組成的集中式方案在價(jià)格上要貴一些。

2．“獨(dú)臂”路由器采用“獨(dú)臂”路由器的網(wǎng)絡(luò)方案因能消除主干網(wǎng)上集中式處理和高延遲的路由功能而越來(lái)越受廣泛的關(guān)注。這種路由器一般接在主干網(wǎng)上的一個(gè)交換設(shè)備上，以使得網(wǎng)絡(luò)中的大部分報(bào)文在通過(guò)主干網(wǎng)時(shí)無(wú)需通過(guò)路由器進(jìn)行處理，而且此種方式配置和管理起來(lái)也比較方便。此種路由模式如圖10-7所示。圖10-7“獨(dú)臂”路由器圖中表示了一個(gè)ATM網(wǎng)絡(luò)環(huán)境。可以看到同一個(gè)VLAN內(nèi)的報(bào)文將不需要通過(guò)路由器，而直接在交換設(shè)備間進(jìn)行高速傳輸。顯然這種路由方式只是在大部分報(bào)文都無(wú)需經(jīng)過(guò)路由器進(jìn)行處理時(shí)效果才能比較理想。為此在規(guī)劃VLAN解決方案時(shí)應(yīng)盡可能地減少VLAN之間的數(shù)據(jù)傳輸量。目前已有幾家廠(chǎng)商提供了此種解決方案。但這種路由方式的不足之處在于，它仍然是一種集中式的路由策略，因此在主干網(wǎng)上一般均設(shè)置有多個(gè)冗余“獨(dú)臂”路由器，但如果當(dāng)網(wǎng)絡(luò)中VLAN之間的數(shù)據(jù)傳輸量比較大時(shí)，在路由器處將形成瓶頸。

3．路由服務(wù)器/路由客戶(hù)機(jī)從物理配置上看，路由服務(wù)器同“獨(dú)臂”路由器模式是相似的，但這兩種路由模式在工作方式上則有很大的不同。后者的路由功能將被分散到網(wǎng)絡(luò)中的多個(gè)設(shè)備中。在“獨(dú)臂”路由器模式下，要將一個(gè)報(bào)文從VLAN傳到另一個(gè)VLAN中時(shí)，此報(bào)文將被首先傳到獨(dú)臂路由器上，在那里進(jìn)行地址解析和路由計(jì)算，在有些類(lèi)型的主干網(wǎng)(如ATM主干網(wǎng))上可能還需建立連接，然后才能進(jìn)行報(bào)文的傳輸。在路由服務(wù)器方式下，VLAN間的報(bào)文將被緩存在主干網(wǎng)邊界上的LAN交換設(shè)備中。交換設(shè)備同路由服務(wù)器之間所交換的僅僅是為建立跨越主干網(wǎng)的LAN交換設(shè)備之間的連接而必須交換的信息。這種模式同“獨(dú)臂”路由器比較起來(lái)，其最大的優(yōu)點(diǎn)在于路由服務(wù)器同交換設(shè)備間的數(shù)據(jù)傳輸量得以降低，同時(shí)也減少了報(bào)文在主干網(wǎng)上傳輸時(shí)所經(jīng)過(guò)的站點(diǎn)數(shù)量，降低傳輸延遲。這種路由模式如圖10-8所示。由此看到這種模式仍具有集中式路由的特點(diǎn)。圖10-8路由服務(wù)器路由服務(wù)器模式也有不足。集中式路由所遇到的一個(gè)最大問(wèn)題就是如何對(duì)付路由器的崩潰。另外這種解決方案中的交換設(shè)備必須具有一定的路由功能，因而其價(jià)格比較貴，而且配置起來(lái)也將更為復(fù)雜一些。

4．ATM上的多協(xié)議路由(MPOA)人們現(xiàn)在正在致力于將路由服務(wù)器的方法標(biāo)準(zhǔn)化。ATM論壇的MPOA標(biāo)準(zhǔn)工作組正在進(jìn)行的工作就是這種努力中的一個(gè)代表。MPOA的目的是給可能屬于不同路由子網(wǎng)的多個(gè)用ATM網(wǎng)絡(luò)連接的設(shè)備提供直接的虛擬連接。也就是說(shuō)，MPOA將使得多個(gè)屬于不同ELAN的站點(diǎn)通過(guò)ATM網(wǎng)絡(luò)直接進(jìn)行通信，而不需要經(jīng)過(guò)一個(gè)中間的路由器。其中ELAN可以看成是另一種形式的VLAN，它是在A(yíng)TM網(wǎng)絡(luò)環(huán)境下用LANEmulation標(biāo)準(zhǔn)建立起來(lái)的。MPOA實(shí)際上可以看成是將路由功能集成從路由服務(wù)器到LAN-ATM邊界交換設(shè)備中，這樣一來(lái)，在VLAN之間的通信中將不再需要外部路由器，從而降低了網(wǎng)絡(luò)傳輸?shù)难舆t。

5．第3層交換技術(shù)前面章節(jié)已經(jīng)詳細(xì)地討論了第3層交換的各種技術(shù)的原理和特點(diǎn)，有的技術(shù)方案本身就是一個(gè)帶有路由功能的交換機(jī)。特別是基于智能可編程ASIC技術(shù)的第三層交換機(jī)(3Com與Bay等公司的產(chǎn)品)，它既包括了第2層和第3層的交換功能，而且還具備路由尋址功能。因此利用它來(lái)作為網(wǎng)絡(luò)的主干交換器，既可以根據(jù)多種方法來(lái)定義VLAN成員，隨后配置VLAN，又能不附加其他路由設(shè)備來(lái)實(shí)現(xiàn)VLAN之間的通信。不論從網(wǎng)絡(luò)結(jié)構(gòu)還是降低網(wǎng)絡(luò)傳輸延遲來(lái)說(shuō)，用第3層交換技術(shù)不失是一個(gè)很好的選擇。10.7VLAN的協(xié)議和標(biāo)準(zhǔn)近幾年來(lái)，在實(shí)現(xiàn)VLAN的過(guò)程中，各廠(chǎng)家紛紛推出自己的技術(shù)和相應(yīng)的產(chǎn)品，但往往這些技術(shù)和產(chǎn)品所遵循的協(xié)議和標(biāo)準(zhǔn)(特別是在MAC層的交換技術(shù)上)是不相同的，致使各廠(chǎng)家的VLAN產(chǎn)品自成系統(tǒng)，互不兼容，妨礙了VLAN技術(shù)和市場(chǎng)的進(jìn)一步發(fā)展。目前第3層上實(shí)現(xiàn)的VLAN往往是基于InternetTCP/IP的組播技術(shù)及相應(yīng)的協(xié)議，其中涉及的技術(shù)和協(xié)議主要有：●IP組播地址確定?！馡GMP?！馦VONE(InternetMulticastBackbone)?！馜VMRP(DistanceVectorMulticastRoutingProtocol)。而在MAC層上VLAN實(shí)現(xiàn)的標(biāo)準(zhǔn)最有代表性的則為IEEE802.1Q。前幾年有廠(chǎng)家曾提出以802.10作為VLAN實(shí)現(xiàn)的一種標(biāo)準(zhǔn)，即把原來(lái)用于安全信息的幀頭改成幀標(biāo)記使用，這種方法技術(shù)上雖然可行，但是由于域長(zhǎng)度可變，難以采用硬件ASIC芯片對(duì)幀作處理，造成處理速度慢且價(jià)格昂貴的解決方案，因此遭到大多數(shù)廠(chǎng)家的反對(duì)，因此802.10無(wú)法成為大家公認(rèn)的實(shí)現(xiàn)VLAN的標(biāo)準(zhǔn)。1996年3月IEEE802.1Internetworking小組完成了制定VLAN標(biāo)準(zhǔn)而進(jìn)行的初步調(diào)查工作，解決了三大問(wèn)題，即VLAN的體系結(jié)構(gòu)、幀標(biāo)記的標(biāo)準(zhǔn)格式以及VLAN標(biāo)準(zhǔn)化未來(lái)的發(fā)展方向。特別是幀標(biāo)記的標(biāo)準(zhǔn)化格式使用了802.1Q標(biāo)準(zhǔn)，這是VLAN朝開(kāi)放方向發(fā)展的重要里程碑，將成為VLAN迅速應(yīng)用的關(guān)鍵因素。幀格式標(biāo)準(zhǔn)化后，各廠(chǎng)家可以迅速將其融入到它們生產(chǎn)的交換機(jī)產(chǎn)品中，目前所有的主要廠(chǎng)商，其中包括3Com、Bay、IBM以及Cisco都表示支持802.1Q。

IEEE802.1Q目前還是標(biāo)準(zhǔn)草案，該標(biāo)準(zhǔn)草案是基于IEEE802.1D和IEEE802.1p等標(biāo)準(zhǔn)，定義了基于MAC層橋接局域網(wǎng)實(shí)現(xiàn)VLAN的方法。在802.1Q中定義了兩種類(lèi)型的幀標(biāo)記：

(1)隱式的幀標(biāo)記(Implicittagging)：表示幀所屬的VLAN信息并未被明顯地標(biāo)記，該幀屬于哪一個(gè)VLAN缺省則由網(wǎng)橋的接收端口號(hào)或幀中data域的信息決定。

(2)顯式的幀標(biāo)記(Explicittagging)：表示幀所屬的VLAN由網(wǎng)橋所加的標(biāo)記顯式地決定。形成以太網(wǎng)顯式的幀標(biāo)記包括以下幾個(gè)步驟，如圖10-9所示：

(1)在以太網(wǎng)幀中插入VLAN頭部。頭部插在DA(目的地址)和SA(源地址)之后。

(2)重新計(jì)算FCS(幀檢驗(yàn)序列)。圖10-9以太網(wǎng)VLAN幀標(biāo)記

VLAN頭部包括如下信息域：

(1)?VPID(VLANProtocolIdentifier)，它表明此幀已按802.1Q協(xié)議顯式標(biāo)記。

(2)?VCI(VLANControlInformation)，它由以下幾部分組成：①?User_priority，它允許VLAN幀在那些不具備表示用戶(hù)優(yōu)先權(quán)的網(wǎng)段(如Ethernet)攜帶用戶(hù)優(yōu)先權(quán)信息。②TR_encap，它置位時(shí)表示該幀data域中攜帶的是未經(jīng)翻譯和封裝的TokenRing幀的數(shù)據(jù)。

VID(VLANIdentifier)，它表明此幀屬于哪一VLAN。10.8VLAN的功能人們發(fā)展VLAN技術(shù)的一個(gè)主要原因是：減少在網(wǎng)絡(luò)中的站點(diǎn)發(fā)生移動(dòng)、增加和修改時(shí)的管理開(kāi)銷(xiāo)，同時(shí)解決因數(shù)據(jù)廣播而引起的一些性能問(wèn)題。如安全性、對(duì)廣播數(shù)據(jù)更好的管理和控制、網(wǎng)絡(luò)的微分段、負(fù)載分擔(dān)等。

1．提高管理效率網(wǎng)絡(luò)中站點(diǎn)的移動(dòng)、增加和改變是最讓網(wǎng)管人員頭疼的問(wèn)題之一，同時(shí)也是網(wǎng)絡(luò)維護(hù)過(guò)程中相對(duì)來(lái)說(shuō)開(kāi)銷(xiāo)比較大的一部分。因?yàn)榇藭r(shí)一般都需要重新進(jìn)行布線(xiàn)，并且?guī)缀跛械恼军c(diǎn)移動(dòng)都伴隨著地址的重新分配以及對(duì)HUB和路由器進(jìn)行重新配置。

VLAN為此提供了有效的手段，同時(shí)對(duì)HUB和路由器重新進(jìn)行配置的開(kāi)銷(xiāo)將得以減少。當(dāng)某個(gè)VLAN中的一個(gè)用戶(hù)從一個(gè)地點(diǎn)移動(dòng)至另一個(gè)地點(diǎn)時(shí)，只要他們?nèi)耘f保持在同一個(gè)VLAN中并且能夠連接到一個(gè)交換端口上，那么就無(wú)需對(duì)他們的網(wǎng)絡(luò)地址進(jìn)行修改，最多只是需要將此交換端口重新配置到相應(yīng)的VLAN中。這種方式將極大地簡(jiǎn)化配置和調(diào)試工作。這對(duì)于目前大量使用的配線(xiàn)間技術(shù)是一個(gè)很大的改進(jìn)，并且此時(shí)路由器的配置可以保持不變。廣播數(shù)據(jù)的控制，站點(diǎn)的移動(dòng)、增加和修改的規(guī)劃，以及網(wǎng)絡(luò)資源訪(fǎng)問(wèn)權(quán)限的設(shè)置都是集中式管理的一般性功能。VLAN通信為這種管理方式打開(kāi)了方便之門(mén)，因?yàn)樵赩LAN解決方案中一般都帶有可集中配置、管理和監(jiān)控的VLAN管理軟件。

2．控制廣播數(shù)據(jù)廣播數(shù)據(jù)是在每一個(gè)網(wǎng)絡(luò)中都會(huì)出現(xiàn)的。其數(shù)據(jù)量的多少主要取決于應(yīng)用的類(lèi)型、服務(wù)器的類(lèi)型、邏輯分段的數(shù)目以及這些網(wǎng)絡(luò)資源的如何使用。目前各種GroupWare應(yīng)用將會(huì)產(chǎn)生大量的廣播數(shù)據(jù)，網(wǎng)絡(luò)設(shè)備的故障也可能會(huì)導(dǎo)致廣播數(shù)據(jù)的大量出現(xiàn)。如果管理得不好，廣播數(shù)據(jù)將嚴(yán)重地?fù)p害網(wǎng)絡(luò)的性能并可能導(dǎo)致整個(gè)網(wǎng)絡(luò)的崩潰。因此，網(wǎng)管人員必須采取措施對(duì)因廣播數(shù)據(jù)而可能導(dǎo)致的問(wèn)題加以預(yù)防。早期使用的有效的措施是用防火墻對(duì)網(wǎng)絡(luò)進(jìn)行適當(dāng)?shù)姆侄?，以防止因某個(gè)網(wǎng)段出現(xiàn)問(wèn)題而使整個(gè)網(wǎng)絡(luò)受到影響。這種功能一般可借助于路由器來(lái)實(shí)現(xiàn)。當(dāng)交換型體系結(jié)構(gòu)在網(wǎng)絡(luò)中大量使用時(shí)，廣播數(shù)據(jù)(第2層數(shù)據(jù))將被傳送到各個(gè)交換端口那里。此種結(jié)構(gòu)通常被稱(chēng)做是“平板式”的網(wǎng)絡(luò)，整個(gè)網(wǎng)絡(luò)構(gòu)成一個(gè)廣播域。平板式交換型網(wǎng)絡(luò)的優(yōu)點(diǎn)是，它給用戶(hù)提供了非常低的傳輸延遲和非常高的數(shù)據(jù)傳輸率。但廣播數(shù)據(jù)卻將被傳送到所有的交換設(shè)備、端口、主干網(wǎng)連接和用戶(hù)那里，大量地浪費(fèi)了網(wǎng)絡(luò)資源特別是寶貴的廣域網(wǎng)資源。為減少這種不利影響，在網(wǎng)絡(luò)中還得加上一定數(shù)量的路由器以對(duì)網(wǎng)絡(luò)進(jìn)行分段。一旦使用了路由器，傳輸延遲將會(huì)隨之增加，從而喪失交換型網(wǎng)絡(luò)的優(yōu)點(diǎn)。

VLAN的主要好處之一是支持VLAN的交換設(shè)備，也可以有效地對(duì)廣播數(shù)據(jù)進(jìn)行控制，某VLAN中的廣播數(shù)據(jù)將只是被復(fù)制到那些連接有此VLAN的某個(gè)成員的交換端口上，在除此而外的那些端口上將不會(huì)出現(xiàn)這些數(shù)據(jù)。這實(shí)際上是為在交換型網(wǎng)絡(luò)中建立起同路由器功能類(lèi)似的防火墻提供了一種有效的手段。但同使用路由器的解決方案相比，VLAN技術(shù)有幾個(gè)顯著的優(yōu)點(diǎn)是路由器所無(wú)法具備的。首先是性能上的問(wèn)題，使用路由器最大的問(wèn)題是傳輸延遲比較高，而在VLAN結(jié)構(gòu)中大部分?jǐn)?shù)據(jù)都是借助于交換而傳輸?shù)?，只有在VLAN間的數(shù)據(jù)才要經(jīng)過(guò)路由器的處理。在配置得比較好的VLAN結(jié)構(gòu)中，VLAN間的數(shù)據(jù)量將比較少，因而總的網(wǎng)絡(luò)性能將不會(huì)受到太大的影響。其次路由器的配置和管理更為復(fù)雜，減少網(wǎng)絡(luò)中路由器的數(shù)量可以降低網(wǎng)絡(luò)的維護(hù)和管理開(kāi)銷(xiāo)。另外同路由器端口比較起來(lái)，交換端口的價(jià)格要便宜一些，這使得我們可以用比較少的費(fèi)用獲得比較好的效果。網(wǎng)管人員可以非常方便地通過(guò)多種手段對(duì)廣播域的大小進(jìn)行控制，例如限制在同一個(gè)VLAN中的交換端口的數(shù)目以及連接在這些端口上的用戶(hù)的數(shù)目等。一般來(lái)說(shuō)，VLAN中的用戶(hù)數(shù)越小，此VLAN中的廣播數(shù)據(jù)對(duì)于網(wǎng)絡(luò)中其他用戶(hù)的影響將越小。另外可以基于所用的應(yīng)用類(lèi)型及這些應(yīng)用所產(chǎn)生的廣播數(shù)據(jù)量的大小進(jìn)行VLAN的劃分。共享同一個(gè)會(huì)產(chǎn)生大量廣播數(shù)據(jù)的應(yīng)用程序的那些用戶(hù)可以劃分到同一個(gè)VLAN中，同時(shí)網(wǎng)管人員也可以將此應(yīng)用分布到整個(gè)網(wǎng)絡(luò)上。

3．增強(qiáng)網(wǎng)絡(luò)安全性目前共享型的LAN已經(jīng)大量地安裝在各行各業(yè)中，這會(huì)導(dǎo)致的一個(gè)嚴(yán)重問(wèn)題就是如何對(duì)數(shù)據(jù)進(jìn)行保密，共享型LAN的一個(gè)最大的不足就是易于受到入侵。只要把機(jī)器接入到一個(gè)端口中就可以收到相應(yīng)網(wǎng)段上的所有數(shù)據(jù)。廣播域越大，此種危險(xiǎn)也將越大，除非是HUB本身具有安全控制功能。增強(qiáng)網(wǎng)絡(luò)安全性的一種最有效和最易于管理的方法是，將整個(gè)網(wǎng)絡(luò)劃分成一個(gè)個(gè)互相獨(dú)立的廣播組(VLAN)。通過(guò)網(wǎng)管人員可以限制某個(gè)VLAN中的用戶(hù)的數(shù)量，并且可以禁止那些沒(méi)有得到許可的用戶(hù)進(jìn)入到某個(gè)VLAN中。按照這種方式，VLAN可以提供一道安全性防火墻，以控制用戶(hù)對(duì)于網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)，控制廣播組的大小和構(gòu)成，并且可借助于網(wǎng)管軟件在發(fā)生非法入侵時(shí)及時(shí)通知管理人員。實(shí)現(xiàn)此種類(lèi)型的分段相對(duì)來(lái)說(shuō)還是比較簡(jiǎn)單的。例如可以根據(jù)應(yīng)用類(lèi)型和訪(fǎng)問(wèn)權(quán)限對(duì)交換端口進(jìn)行分組，那些受限的應(yīng)用和資源一般均被放到一個(gè)VLAN中。試圖侵入某個(gè)VLAN中的非法用戶(hù)將被網(wǎng)管軟件標(biāo)記出來(lái)，通過(guò)使用路由器訪(fǎng)問(wèn)表還可以使安全性得到更進(jìn)一步的增強(qiáng)，這對(duì)于VLAN間的數(shù)據(jù)傳輸將特別有用。在此種安全性的VLAN上，路由器將根據(jù)在交換設(shè)備和路由器中的配置而限制對(duì)于某些VLAN中數(shù)據(jù)的訪(fǎng)問(wèn)。此種限制可以根據(jù)站點(diǎn)的地址、應(yīng)用類(lèi)型、協(xié)議類(lèi)型、甚至?xí)r間等加以設(shè)置。

4．減少站點(diǎn)的移動(dòng)和改變開(kāi)銷(xiāo)

VLAN最突出的特點(diǎn)是，它可以減少處理用戶(hù)站點(diǎn)的移動(dòng)和改變所帶來(lái)的開(kāi)銷(xiāo)。由于這些開(kāi)銷(xiāo)一般來(lái)說(shuō)都比較大，因此VLAN方案也越來(lái)越引人注目。各廠(chǎng)商也都在宣揚(yáng)他們的產(chǎn)品將如何能夠有效地實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的動(dòng)態(tài)管理以達(dá)到節(jié)省開(kāi)銷(xiāo)的目的。事實(shí)上，VLAN方案也確實(shí)能實(shí)現(xiàn)這一目的。舉例來(lái)說(shuō)，對(duì)于IP類(lèi)型的網(wǎng)絡(luò)，當(dāng)用戶(hù)從一個(gè)子網(wǎng)移至另一個(gè)子網(wǎng)時(shí)，一般都需要對(duì)其IP地址進(jìn)行手工修改，而此種修改可能需要花費(fèi)比較長(zhǎng)的時(shí)間才能使站點(diǎn)正常工作，而這些時(shí)間本來(lái)是可以用于其他一些更具有創(chuàng)造性的活動(dòng)上的。使用VLAN則可以完全消除這些不必要的時(shí)間浪費(fèi)，因VLAN的成員身份同站點(diǎn)所在的地址是無(wú)關(guān)的，這樣一來(lái)站點(diǎn)可以發(fā)生移動(dòng)，而其IP地址和子網(wǎng)成員身份則可以保持不變。但任何事物都是具有兩面性的，VLAN的實(shí)現(xiàn)雖然可以降低對(duì)于網(wǎng)絡(luò)動(dòng)態(tài)管理的開(kāi)銷(xiāo)，但VLAN在物理連接的基礎(chǔ)上多出了一個(gè)虛擬連接，而對(duì)此虛擬連接的管理也是要有一定的開(kāi)銷(xiāo)的。但只要規(guī)則得當(dāng)，總的網(wǎng)絡(luò)管理開(kāi)銷(xiāo)還是將得以降低。

5．實(shí)現(xiàn)虛擬工作組

VLAN方案的另一個(gè)突出特點(diǎn)是，要建立起虛擬工作組模型。虛擬工作組是指當(dāng)在整個(gè)園區(qū)網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)了VLAN之后，同一個(gè)部門(mén)的所有成員將可以像處于同一個(gè)LAN上那樣進(jìn)行通信，大部分網(wǎng)絡(luò)通信將不會(huì)傳出此VLAN廣播域。當(dāng)某個(gè)用戶(hù)從一個(gè)地方移動(dòng)到另一個(gè)地方時(shí)，如果他的工作部門(mén)不發(fā)生變化，那么就用不著對(duì)其機(jī)器進(jìn)行重新配置。與此類(lèi)似，如果某個(gè)用戶(hù)改變了工作部門(mén)，他可以不改變其工作地點(diǎn)，而只需網(wǎng)管人員修改一下其VLAN成員身份即可。這種功能模型使得我們可以建立起更為動(dòng)態(tài)化的組織環(huán)境，以增強(qiáng)向功能交叉的工作組方向演化的趨勢(shì)。虛擬工作組模型的工作方式是：以某個(gè)臨時(shí)性的項(xiàng)目為基礎(chǔ)的工作組可以虛擬地連接到同一個(gè)VLAN上，這樣此工作組中的人員將用不著改變其工作地點(diǎn)。另外這些工作組可以是動(dòng)態(tài)的。同某個(gè)功能有關(guān)的工作組相應(yīng)的VLAN可以在項(xiàng)目的生存期內(nèi)動(dòng)態(tài)地創(chuàng)建起來(lái)，而在此項(xiàng)目完成之后則可以將此VLAN“拆除”，用戶(hù)的地理位置都不用發(fā)生任何變化。雖然這種操作確實(shí)很誘人，但實(shí)際情況是VLAN本身并不能完全實(shí)現(xiàn)這種虛擬工作組模型。目前要實(shí)現(xiàn)這模型至少要考慮以下幾個(gè)管理和結(jié)構(gòu)方面的問(wèn)題：

(1)虛擬工作組的管理。從網(wǎng)絡(luò)管理的角度出發(fā)，虛擬工作組的暫時(shí)性可能會(huì)使得修改VLAN成員和身份同修改路由表一樣麻煩，而且從人們的心理角度來(lái)講，他們可能更習(xí)慣于同他們的同事呆在同一個(gè)地方，這對(duì)于虛擬工作組的實(shí)現(xiàn)無(wú)疑是一個(gè)最大的障礙。

(2)?80/20規(guī)則的保持。虛擬工作組的VLAN通常假設(shè)80%以上的網(wǎng)絡(luò)通信量是本VLAN內(nèi)的，而只有不到20％是跨越