VLAN是一個(gè)在物理網(wǎng)絡(luò )上根據用途，工作組、應用等來(lái)邏輯劃分的局域網(wǎng)絡(luò )，是一個(gè)廣播域，與用戶(hù)的物理位置沒(méi)有關(guān)系。VLAN中的網(wǎng)絡(luò )用戶(hù)是通過(guò)LAN交換機來(lái)通信的。一個(gè)VLAN中的成員看不到另一個(gè)VLAN中的成員。

加入一個(gè)VLAN所依據的標準是多種多樣的，可以按以下方案加入VLAN。

（1）按端口劃分。將VLAN交換機上的物理端口和VLAN交換機內部的PVC（永久虛電路）端口分成若干個(gè)組，每個(gè)組構成一個(gè)虛擬網(wǎng)，相當于一個(gè)獨立的VLAN交換機。這種按網(wǎng)絡(luò )端口來(lái)劃分VLAN網(wǎng)絡(luò )成員的配置過(guò)程簡(jiǎn)單明了，因此，它是最常用的一種方式。其主要缺點(diǎn)在于不允許用戶(hù)移動(dòng)，一旦用戶(hù)移動(dòng)到一個(gè)新的位置，網(wǎng)絡(luò )管理員必須配置新的VLAN。

VLAN

（2）按MAC地址劃分。VLAN工作基于工作站的MAC地址，VLAN交換機跟蹤屬于VLANMAC的地址，從某種意義上說(shuō)，這是一種基于用戶(hù)的網(wǎng)絡(luò )劃分手段，因為MAC在工作站的網(wǎng)卡（NIC）上。這種方式的VLAN允許網(wǎng)絡(luò )用戶(hù)從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置時(shí)，自動(dòng)保留其所屬VLAN的成員身份，但這種方式要求網(wǎng)絡(luò )管理員將每個(gè)用戶(hù)都一一劃分在某個(gè)VLAN中，在一個(gè)大規模的VLAN中，這就有些困難；再者，筆記本電腦沒(méi)有網(wǎng)卡，因而，當筆記本電腦移動(dòng)到另一個(gè)站時(shí)，VLAN需要重新配置。

（3）按網(wǎng)絡(luò )協(xié)議劃分。VLAN按網(wǎng)絡(luò )層協(xié)議來(lái)劃分，可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò )。這種按網(wǎng)絡(luò )層協(xié)議來(lái)組成的VLAN，可使廣播域跨越多個(gè)VLAN交換機。這對于希望針對具體應用和服務(wù)來(lái)組織用戶(hù)的網(wǎng)絡(luò )管理員來(lái)說(shuō)是非常具有吸引力的，而且，用戶(hù)可以在網(wǎng)絡(luò )內部自由移動(dòng)，但其VLAN成員身份仍然保留不變。這種方式不足之處在于，可使廣播域跨越多個(gè)VLAN交換機，容易造成某些VLAN站點(diǎn)數目較多，產(chǎn)生大量的廣播包，使V

LAN交換機的效率降低。

（4）按IP／IPX劃分?；?a class="link_red" href="javascript:linkredwin('IP子網(wǎng)');" title="IP子網(wǎng)" target="">IP子網(wǎng)的VLAN，可按照IPv4和IPv6方式來(lái)劃分VLAN。其每個(gè)VLAN都是和一段獨立的IP網(wǎng)段相對應的，將IP的廣播組和VLAN的碰撞域一對一地結合起來(lái)。這種方式有利于在VLAN交換機內部實(shí)現路由，也有利于將動(dòng)態(tài)主機配置（DHCP）技術(shù)結合起來(lái)，而且，用戶(hù)可以移動(dòng)工作站而不需要重新配置網(wǎng)絡(luò )地址，便于網(wǎng)絡(luò )管理。其主要缺點(diǎn)在于效率要比第二層差，因為查看三層IP地址比查看MAC地址所消耗的時(shí)間多?；贗PX的VLAN，也是按照OSI（開(kāi)放系統互連）模型的第三層地址來(lái)設計的。

（5）按策略劃分?；诓呗越M成的VLAN能實(shí)現多種分配方法，包括VLAN交換機端口、MAC地址、IP地址、網(wǎng)絡(luò )層協(xié)議等。網(wǎng)絡(luò )管理人員可根據自己的管理模式和本單位的需求來(lái)決定選擇哪種類(lèi)型的VLAN。

（6）按用戶(hù)定義、非用戶(hù)授權劃分?；谟脩?hù)定義、非用戶(hù)授權來(lái)劃分VLAN，是指為了適應特別的VLAN網(wǎng)絡(luò )，特別的網(wǎng)絡(luò )用戶(hù)的特別要求來(lái)定義和設計VLAN，而且可以讓非VLAN群體用戶(hù)訪(fǎng)問(wèn)VLAN，但是需要提供用戶(hù)密碼，得到VLAN管理的認證后才可以加入一個(gè)VLAN。

VLAN交換機必須有一種方式來(lái)了解VLAN的成員關(guān)系，即要讓交換機知道哪一個(gè)工作站屬于哪一個(gè)VLAN。一般地，基于VLAN交換機端口或者工作站的MAC地址來(lái)組建的VLAN，其VLAN成員是以直接的形式與其他成員聯(lián)系的；基于三層如按IP來(lái)組建的VLAN，其VLAN成員是以間接的形式與其他成員聯(lián)系的。目前VLAN之間的通信主要采取如下4種方式。

（1）MAC地址靜態(tài)登記方式。MAC地址靜態(tài)登記方式是預先在VLAN交換機中設置好一張地址列表，這張表含有工作站的MAC地址JLAN交換機的端口號、VLANID等信息，當工作站第一次在網(wǎng)絡(luò )上發(fā)廣播包時(shí)，交換機就將這張表的內容一一對應起來(lái)，并對其他交換機廣播。這種方式的缺點(diǎn)在于，網(wǎng)絡(luò )管理員要不斷修改和維護MAC地址靜態(tài)條目列表；且大量的MAC地址靜態(tài)條目列表的廣播信息易導致主干網(wǎng)絡(luò )擁塞。

（2）幀標簽方式。幀標簽方式采用的是標簽（tag）技術(shù)，即在每個(gè)數據包都加上一個(gè)標簽，用來(lái)標明數據包屬于哪個(gè)VLAN，這樣，VLAN交換機就能夠將來(lái)自不同VLAN的數據流復用到相同的VLAN交換機上。這種方式存在一個(gè)問(wèn)題，即每個(gè)數據包加上標簽，使得網(wǎng)絡(luò )的負載也相應增加了。

（3）虛連接方式。網(wǎng)絡(luò )用戶(hù)A和B第一次通信時(shí)，發(fā)送地址解析（ARP）廣播包，VLAN交換機將學(xué)習到的MAC和所連接的VLAN交換機的端口號保存到動(dòng)態(tài)條目MAC地址列表中，當A和B有數據要傳時(shí)，VLAN交換機從其端口收到的數據包中識別出目的MAC地址，查動(dòng)態(tài)條目MAC地址列表，得到目的站點(diǎn)所在的VLAN交換機端口，這樣兩個(gè)端口間就建立起一條虛連接，數據包就可從源端口轉發(fā)到目的端口。數據包一旦轉發(fā)完畢，虛連接即被撤銷(xiāo)。這種方式使帶寬資源得到了很好利用，提高了VLAN交換機效率。

（4）路由方式。在按IP劃分的VLAN中，很容易實(shí)現路由，即將交換功能和路由功能融合在VLAN交換機中。這種方式既達到了作為VLAN控制廣播風(fēng)暴的最基本目的，又不需要外接路由器。但這種方式對VLAN成員之間的通信速度不是很理想。

網(wǎng)絡(luò )管理員能借助于VLAN技術(shù)輕松管理整個(gè)網(wǎng)絡(luò )。例如需要為完成某個(gè)項目建立一個(gè)工作組網(wǎng)絡(luò )，其成員可能遍及全國或全世界，此時(shí)，網(wǎng)絡(luò )管理員只需設置幾條命令，就能在幾分鐘內建立該項目的VLAN網(wǎng)絡(luò )，其成員使用VLAN網(wǎng)絡(luò )，就像在本地使用局域網(wǎng)一樣。VLAN的分類(lèi)主要有以下幾種：

基于端口的VLAN

基于端口的VLAN是劃分虛擬局域網(wǎng)最簡(jiǎn)單也是最有效的方法，這實(shí)際上是某些交換端口的集合，網(wǎng)絡(luò )管理員只需要管理和配置交換端口，而不管交換端口連接什么設備。

基于MAC地址的VLAN

由于只有網(wǎng)卡才分配有MAC地址，因此按MAC地址來(lái)劃分VLAN實(shí)際上是將某些工作站和服務(wù)器劃屬于某個(gè)VLAN。事實(shí)上，該VLAN是一些MAC地址的集合。當設備移動(dòng)時(shí)，VLAN能夠自動(dòng)識別。網(wǎng)絡(luò )管理需要管理和配置設備的MAC地址，顯然當網(wǎng)絡(luò )規模很大，設備很多時(shí)，會(huì )給管理帶來(lái)難度。

基于第3層的VLAN

基于第3層的VLAN是采用在路由器中常用的方法：IP子網(wǎng)和IPX網(wǎng)絡(luò )號等。其中，局域網(wǎng)交換機允許一個(gè)子網(wǎng)擴展到多個(gè)局域網(wǎng)交換端口，甚至允許一個(gè)端口對應于多個(gè)子網(wǎng)。

（1）接入鏈路。接入鏈路（AccessLink）是用來(lái)將非VLAN標識的工作站或者非VLAN成員資格的VLAN設備接入一個(gè)VLAN交換機端口的一個(gè)LAN網(wǎng)段。它不能承載標記數據。

（2）中繼鏈路。中繼鏈路（TrunkLink）是只承載標記數據（即具有VLANID標簽的數據包）的干線(xiàn)鏈路，只能支持那些理解VLAN幀格式和VLAN成員資格的VLAN設備。中繼鏈路最通常的實(shí)現就是連接兩個(gè)VLAN交換機的鏈路。與中繼鏈路緊密相關(guān)的技術(shù)就是鏈路聚合（Trunking）技術(shù)，該技術(shù)采用VTP（VLANTrunkingProtoco1）協(xié)議，即在物理上每臺VLAN交換機的多個(gè)物理端口是獨立的，多條鏈路是平行的，采用VTP技術(shù)處理以后，邏輯上VLAN交換機的多個(gè)物理端口為一個(gè)邏輯端口，多條物理鏈路為一條邏輯鏈路。這樣，VLAN交換機上使用生成樹(shù)協(xié)議STP（SpanningTreeProtocol）就不會(huì )將物理上的多條平行鏈路構成的環(huán)路中止掉，而且，帶有VLANID標簽的數據流可以在多條鏈路上同時(shí)進(jìn)行傳輸共享，實(shí)現數據流的高效快速平衡傳輸。

（3）混合鏈路?；旌湘溌罚℉ybridLink）是接入鏈路和中繼鏈路混合所組成的鏈路，即連接VLAN-aware設備和VLAN-unaware設備的鏈路。這種鏈路可以同時(shí)承載標記數據和非標記數據。

（1）可靠性。VLAN的可靠性是指無(wú)論一個(gè)VLAN中的廣播信息和數據是處在一個(gè)VLAN設備中，還是處在多個(gè)VLAN設備中，亦或處在具有動(dòng)態(tài)VLAN成員資格的網(wǎng)絡(luò )環(huán)境中，都能準確地轉發(fā)到目的地。為了實(shí)現VLAN的可靠性，需要有下面兩個(gè)協(xié)議來(lái)保證：GMRP（GroupMulticastRegistrationProtocol，組多點(diǎn)轉發(fā)注冊協(xié)議）和GVRP（GARPVLANRegistrationProtocol，通用屬性注冊協(xié)議VLAN注冊協(xié)議）。GMRP允許組播在單個(gè)VLAN中發(fā)送而不影響其他VLAN；GVRP是GARP（GenericAttributeRegistrationProtocol）協(xié)議的一個(gè)應用，它使動(dòng)態(tài)配置成為可能。

（2）可擴展性。VLAN的可擴展性是指在一個(gè)VLAN中，在一定范圍內，可讓多個(gè)節點(diǎn)VLAN交換機接進(jìn)來(lái)，VLAN的成員可以逐步擴大。在拓撲結構逐步擴大后，各個(gè)VLAN節點(diǎn)交換機就有可能組成環(huán)路，或者兩個(gè)VLAN節點(diǎn)交換機之間有兩條或多條平行通路也可能使廣播包和數據流形成環(huán)路，這時(shí)，啟用STP就可以解決問(wèn)題。STP可以保證VLAN進(jìn)行拓撲擴展，保證兩個(gè)VLAN節點(diǎn)交換機之間只有一條最短的有效路徑。

目前在寬帶網(wǎng)絡(luò )中實(shí)現的VLAN基本上能滿(mǎn)足廣大網(wǎng)絡(luò )用戶(hù)的需求，但其網(wǎng)絡(luò )性能、網(wǎng)絡(luò )流量控制、網(wǎng)絡(luò )通信優(yōu)先級控制等還有待提高。前面所提到的VTP技術(shù)、STP技術(shù)，基于三層交換的VLAN技術(shù)等在VLAN使用中存在網(wǎng)絡(luò )效率的瓶頸問(wèn)題，這主要是IEEE802.1Q、IEEE802.1D協(xié)議的不完善所致，IEEE正在制定和完善IEEE802.1S（MultipleSpanningTrees）和IEEE802.1W（RapidReconfigurationofSpanningTree）來(lái)改善VLAN的性能。采用IEEE802.3z和IEEE802.3ab協(xié)議，并結合使用RISC（精簡(jiǎn)指令集計算）處理器或者網(wǎng)絡(luò )處理器而研制的吉位VLAN交換機在網(wǎng)絡(luò )流量等方面采取了相應的措施，大大提高了VLAN網(wǎng)絡(luò )的性能。IEEE802.1P協(xié)議提出了COS（ClassofService）標準，這使網(wǎng)絡(luò )通信優(yōu)先級控制機制有了參考。

中國協(xié)議分析網(wǎng)： http://www.cnpaf.net/