有关🔁VLAN的技术【de jì shù】🦑标准【biāo zhǔn】IEEE 802.1Q早在【zǎo zài】1999年🏽6月份就由IEEE委员正式颁布🐣实施了🕣，而且最【ér qiě zuì】🏄早的【zǎo de】VLNA技术早🐐在1996年🏽(思科【sī kē】)公司就【gōng sī jiù】🤫提出【tí chū】 了🕣。随着几🛹年🏽来的发展【zhǎn】🤾，VLAN技术得到广泛的支持，在大大【zài dà dà】🧀小小的企业网【wǎng】🐩络中广【luò zhōng guǎng】🈵泛应用【fàn yīng yòng】🎣，成为当前最为【qián zuì wéi】热门的【rè mén de】一种以【yī zhǒng yǐ】太局域📦网【wǎng】技术。本篇就要【yào】 为大家介绍机的一个最常见🔏技术应用🎣--VLAN技术，并针对中🏤、小局域网【wǎng】VLAN的网【wǎng】络配置以实例的方式向【fāng shì xiàng】大家简单介绍其配置🙈方法。

　　一、VLAN基础

　　VLAN(Virtual Local Area Network)的中文名为♟"虚拟局【xū nǐ jú】🌸域网📆"，注意【zhù yì】🐨不是"VPN"(虚拟专🤩用网【yòng wǎng】)。VLAN是一种将局域📨网设备【wǎng shè bèi】从逻辑🥃上【shàng】⌚ 划分【huá fèn】(注意【zhù yì】🐨，不是从物理上【shàng】🔓划分【huá fèn】)成一个个网段，从而实现虚拟工作组【gōng zuò zǔ】的新兴数据技术。这一新【zhè yī xīn】兴技术主要应用于交换机【jiāo huàn jī】👆和器中，但主【dàn zhǔ】 流应用还是在【hái shì zài】交换机【jiāo huàn jī】👆之中。但又不【dàn yòu bú】🚷是所有交换机【jiāo huàn jī】👆都具有此功能🔠，只有📹VLAN的第三👄层以上【shàng】🙎交换机【jiāo huàn jī】👆才具有【cái jù yǒu】此功能🔠，这一点可以查看相应📓交换机【jiāo huàn jī】👆 的说明书即可【shū jí kě】得知🥫。

　　IEEE于1999年颁布【nián bān bù】了用以标准化VLAN实现方案的【àn de】802.1Q标准草【biāo zhǔn cǎo】案。VLAN技术的【jì shù de】出现【chū xiàn】🎀，使得管理✏员根据实际应用需求，把同一【bǎ tóng yī】🥝 物理局域网内【yù wǎng nèi】🎊的不同【de bú tóng】用户逻辑地划【jí dì huá】分成不同【bú tóng】的广⏰播域，每一个【měi yī gè】🐣VLAN都包含⏺一组有😆着相同🦆需求的计算机🍋工作站【gōng zuò zhàn】🌞，与物理上形成的LAN有着相同🦆的属 性【xìng】。由于它是从逻辑上划【jí shàng huá】分，而不是⛽从物理上划分，所以同一个【yī gè】👫VLAN内的各【nèi de gè】个工作站【gōng zuò zhàn】🌞没有限制在同【zhì zài tóng】一个【yī gè】👫物理范🤹围中【zhōng】，即这些🔩工作站【gōng zuò zhàn】🌞可以在【kě yǐ zài】不同【bú tóng】 物理LAN网段👲。由VLAN的特点【de tè diǎn】🆔可知【kě zhī】，一个【yī gè】👫VLAN内部的🏫广播和🚣单播流【dān bō liú】量都不会转发【huì zhuǎn fā】到其他VLAN中【zhōng】，从而有助于控制流量🍃、减少设备投资🙅、简化网👛络【luò】🦔 管理✏、提高网【tí gāo wǎng】络【luò】🦔的性【xìng】。

　　交换技术【shù】📛的【de】😤发展，也加快了新的【le xīn de】😤交换技术【shù】📛(VLAN)的【de】😤应用速度。通过将企业网【wǎng】络【luò】🔏划分为虚拟😶网【wǎng】络【luò】VLAN网段【wǎng duàn】👑，可以强【kě yǐ qiáng】化网【wǎng】络【luò】🌿管理和【guǎn lǐ hé】网【wǎng】 络【luò】，控制不【kòng zhì bú】必要的【bì yào de】🐽数据广播【bō】📹。在共享网络中【wǎng luò zhōng】🌵，一个【yī gè】🍖物理的【de】网【wǎng】🗼段【duàn】👑就是一个【yī gè】🍖广播【bō】域🐧。而在交换网络中【wǎng luò zhōng】🌵，广播【bō】域🐧可以是有一组🗾任意选【rèn yì xuǎn】🦎定的【de】😤第二层🗝 网【wǎng】络【luò】地址【zhǐ】😳(MAC地址【zhǐ】😳)组成的【zǔ chéng de】👡虚拟网【wǎng】🥨段【duàn】👑。这样【zhè yàng】😊，网络中【wǎng luò zhōng】🌵工作组的划分【de huá fèn】🕵可以突破共享【pò gòng xiǎng】🔲网络中【wǎng luò zhōng】🌵的地理【de dì lǐ】🎱位置限【wèi zhì xiàn】💝制【zhì】，而完全根据管🏷理功能🔵来划分【lái huá fèn】🦋。这种基🌡于 工作流🚠的【de】😤分组模【fèn zǔ mó】式【shì】，大大提【dà dà tí】高了网【gāo le wǎng】❗络【luò】规划🤙和重组的【de】😤管理功能🔵。在同一【zài tóng yī】🕛个🍖VLAN中【zhōng】的【de】😤工作站，不论它【bú lùn tā】们实际与哪个🍖交换机连接，它们之🎇间的【jiān de】😤通讯👃就 好象在【hǎo xiàng zài】独立的【de】😤交换机上一样。同一个【tóng yī gè】🍖VLAN中【zhōng】的【de】😤广播【bō】📹只有【zhī yǒu】VLAN中【zhōng】的【de】😤成员才能听到【néng tīng dào】，而不会传输到其他的【qí tā de】😤 VLAN中【zhōng】去🚷，这样【zhè yàng】😊可以很好的【hǎo de】😤控制不【kòng zhì bú】必要的【bì yào de】🐽 广播【bō】风💦暴的【de】产🏥生。同【tóng】时，若没有的【de】😤话，不同【tóng】📬VLAN之间不【zhī jiān bú】能相互通讯👃，这样【zhè yàng】😊增加了企业网【wǎng】络【luò】🔏中【zhōng】不同【tóng】📬部门之📕间的【jiān de】😤安全性。网络管【wǎng luò guǎn】🌄理员可以通过【yǐ tōng guò】 配置VLAN之间的【jiān de】😤路由来【lù yóu lái】全面管理企业【lǐ qǐ yè】🌼内部不同【tóng】📬管理单【guǎn lǐ dān】元之间的【jiān de】😤信息互访【fǎng】❣。交换机是根据用户工作站的【de】⛲MAC地址【zhǐ】😳来划分【lái huá fèn】🦋VLAN的【de】😤。所以【suǒ yǐ】，用户可以自【yǐ zì】 由的【de】😤在企业【zài qǐ yè】网【wǎng】络【luò】🔏中【zhōng】移动办公【bàn gōng】，不论他在何处📋接入交🆎换网【wǎng】络【luò】，他都可以与VLAN内其他用户自如通讯👃。

　　VLAN网络可以是🌗有混合【yǒu hún hé】的💶网络类【wǎng luò lèi】🚐型设备组成【zǔ chéng】，比如：10M以太网、100M以太网、令牌网、FDDI、CDDI等等【děng děng】👎，可以是🌗工作站【gōng zuò zhàn】🐏、 、集线器【jí xiàn qì】、网络上行主干🍠等等【děng děng】👎。

　　VLAN除了能【chú le néng】👞将网络【jiāng wǎng luò】划分为多个广播域🍅，从而有【cóng ér yǒu】效地控🗜制广播风暴的🌨发生，以及使网络的拓扑结📚构变得【gòu biàn dé】非常灵活的优【huó de yōu】点外【diǎn wài】，还可以 用于控🤐制网络🥤中不同【zhōng bú tóng】部门、不同站点之间【diǎn zhī jiān】的互相访问📘。

　　VLAN是为解决以太☝网的广【wǎng de guǎng】播问题【bō wèn tí】和安全性而提出的一种🛐，它在以太网【tài wǎng】🆒 帧的基础上增🤾加了VLAN头，用VLAN ID把用户划分为更小的工作组【zǔ】🤖，限制不📛同工作组间的【zǔ jiān de】🏿用户互【yòng hù hù】🚸访【fǎng】😈，每个工作组【zǔ】就🥙是一个🐈虚拟局【xū nǐ jú】域🍔网。虚拟局【xū nǐ jú】域🍔 网的好🕳处是可以限制广播范围【wéi】，并能够【bìng néng gòu】形成虚【xíng chéng xū】拟工作【nǐ gōng zuò】组【zǔ】🤖，动态管理网络【lǐ wǎng luò】。

　　二、VLAN的划分方法

　　VLAN在交换🏔机上的【jī shàng de】实现方法🈶，可以大【kě yǐ dà】🤯致划分为六类【wéi liù lèi】:

　　1. 基于端口划分的VLAN

　　这是最⏭常应用【cháng yīng yòng】的一种VLAN划分方【huá fèn fāng】💑法【fǎ】，应用也【yīng yòng yě】最为广🥐泛、最有效，目前绝大多数⏮VLAN协议的【xié yì de】交换机都提供这种VLAN配置方【pèi zhì fāng】法【fǎ】。这种 划分VLAN的方法【de fāng fǎ】👳是根据【shì gēn jù】以太网【yǐ tài wǎng】🛵交换机的交换端口来划分的，它是将🐕VLAN交换机上的物理端口【lǐ duān kǒu】🦆和【hé】VLAN交换机内部的😤PVC(永久虚电路🏙)端口分【duān kǒu fèn】成若干 个组，每个组构成一📔个虚拟【gè xū nǐ】🗝网🛵，相当于一个独🏛立的【lì de】🌍VLAN交换机。

　　对于不【duì yú bú】同部门需要互访时🍑，可通过🏩路由器转发【zhuǎn fā】，并配合【bìng pèi hé】🎗基于MAC地址的💊端口过滤【lǜ】🎍。对某站【duì mǒu zhàn】点的访🐒问路径【wèn lù jìng】上最靠近该站【jìn gāi zhàn】〽点的交换机、 路由交【lù yóu jiāo】换机或路由器的相应端口上【duān kǒu shàng】，设定可💗通过的MAC地址集【dì zhǐ jí】🧦。这样就【zhè yàng jiù】可以防止非法📹入侵者从内部盗用IP地址从其他可接入点🗯入侵的【rù qīn de】可能🌐。

　　从这种划分方法本身我们可👔以看出💖，这种划分的方法的优【fǎ de yōu】点是定【diǎn shì dìng】义VLAN成员时【chéng yuán shí】非常简【fēi cháng jiǎn】❤单【dān】🗺，只要将所有的【suǒ yǒu de】🐤端口都【duān kǒu dōu】定义为♈相应的VLAN 组即可。适合于任何大小的网🔈络🛋。它的缺【tā de quē】点是如果某用🕴户离开了原来的端口【de duān kǒu】，到了一🕚个新的【gè xīn de】交换机的某个【de mǒu gè】🏝端口，必须重新定义。

　　2. 基于MAC地址划分VLAN

　　这种划【zhè zhǒng huá】分【fèn】🥐VLAN的方法【de fāng fǎ】是根据【shì gēn jù】🏨每个【gè】⌛主机的MAC地址来划分【fèn】🥐，即对每【jí duì měi】个【gè】⌛MAC地址的主机都【zhǔ jī dōu】🈲配置他【pèi zhì tā】属于哪⛪个【gè】⌛组，它实现【tā shí xiàn】的机制📘就是每一块【yī kuài】 网卡都✔对应唯一的【yī de】MAC地址，VLAN交换机跟踪属于VLAN MAC的地址。这种方【zhè zhǒng fāng】❤式的VLAN允许网络用户从一个【gè】⌛物理位【wù lǐ wèi】🌮置移动到另一个【gè】⌛物理位【wù lǐ wèi】🌮置时，自👆 动保留🈲其所属VLAN的成员🥪身份。

　　由这种【yóu zhè zhǒng】🍞划分的【de】😤机【jī】制可😄以看出【yǐ kàn chū】，这种VLAN的【de】😤划分方【huá fèn fāng】法的【de】📎最大优点就是【diǎn jiù shì】🕸当用户物理位【wù lǐ wèi】置移动时【shí】，即从一👖个交换机【jī】🔒换到其他的【de】🕙交换机【jī】🔒时【shí】 ，VLAN不用重新配置【xīn pèi zhì】，因为它【yīn wéi tā】是基于【shì jī yú】用户，而不是【ér bú shì】基于交【jī yú jiāo】👖换机【jī】的【de】😤端口。这种方🈹法的【de】缺⛽点是初🌰始化时【shǐ huà shí】，所有的【suǒ yǒu de】😤用户都🦆必须进行配置，如果有几百【jǐ bǎi】 个甚至【gè shèn zhì】上千个用户的【yòng hù de】😤话，配置是非常累【fēi cháng lèi】的【de】😤，所以这种划分【zhǒng huá fèn】方法通常适用于小型局域网【jú yù wǎng】♟。而且这种划分【zhǒng huá fèn】的【de】方法📙也导致【yě dǎo zhì】🧗了交换【le jiāo huàn】机【jī】🔒执行效率的【de】😤降低✈， 因为在【yīn wéi zài】每一个交换机【jī】🔒的【de】😤端口都可能存在很多个VLAN组的【de】😤成员🙏，保存了许多用【xǔ duō yòng】户的【de】😤MAC地址，查询起来相当【lái xiàng dāng】不容易【bú róng yì】📠。另外，对于使用笔记👟本电脑的【de】😤 用户来🎐说，他们的【de】🤰网卡可能经常【néng jīng cháng】⏮更换，这样🍵VLAN就必须🍣经常配【jīng cháng pèi】置。

　　3. 基于网络层协议划分VLAN

　　VLAN按网络【luò】👭层协议【céng xié yì】来划分，可分为🗾IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络【luò】👭。这种按🆕网络【luò】👭层协议【céng xié yì】来组成【lái zǔ chéng】的VLAN，可使广 播域跨越多个【yuè duō gè】🔡VLAN交换机。这对于希望针对具体【duì jù tǐ】应用和👧服务来【fú wù lái】组织用户的网Ⓜ络【luò】管理员来说是非常【shì fēi cháng】具有吸📺引力的。而且，用户可以在网络【luò】👭内部自🥈 由移动，但其【dàn qí】🏫VLAN成员身【chéng yuán shēn】份仍然保留不【bǎo liú bú】😻变【biàn】🗯。

　　这种方🌼法的【de】优点是用户的【de】物理位置改变了【gǎi biàn le】，不需要【bú xū yào】➖重新配置所属的【de】VLAN，而且可以根据🙋协议类【xié yì lèi】🍼型来划🧟分【fèn】VLAN，这对网🕘络管理者来【zhě lái】🕟 说很重【shuō hěn chóng】要【yào】➖，还有⛲，这种方🌼法不需【fǎ bú xū】🚬要【yào】➖附加的【de】帧标签来识🗽别【bié】VLAN，这样可【zhè yàng kě】以减少🌝网络的【de】通信量。这种方🌼法的【de】缺点是效率低，因为检【yīn wéi jiǎn】查每一🍗个数据包🔡 的【de】网络层地址是需要【shì xū yào】➖消耗处🐋理时间的【de】(相对于前面两【qián miàn liǎng】☔种方法)，一般的【de】交换机【jiāo huàn jī】芯片都【xīn piàn dōu】可以自动检查网络上🥔数据包🔡的以太【de yǐ tài】💡网祯头，但要【yào】➖让芯片【ràng xīn piàn】能【néng】🍁检 查IP帧头，需要【yào】➖更高的【de】技术，同时也更费时【gèng fèi shí】🔻。当然【dāng rán】，这与各个厂商的【de】实现🐐方法有【fāng fǎ yǒu】关⛏。

　　4. 根据IP组播划分VLAN

　　IP 组播实际上也🕋是一种👣VLAN的定义🈹，即认为一个IP组播组就是一个VLAN。这种划分的方【fèn de fāng】法将【fǎ jiāng】VLAN扩大到了广域🍪网🏰，因此这种方法【zhǒng fāng fǎ】🎼 具有更大的灵🌪活性，而且也🤷很容易通过路【tōng guò lù】由器进【yóu qì jìn】行扩展【háng kuò zhǎn】🙇，主要适🕒合于不在同一🎄地理范【dì lǐ fàn】围的局【wéi de jú】域网用🏺户组成一个VLAN，不适合【bú shì hé】局域网【jú yù wǎng】🏰，主要是效【xiào】 率不高【lǜ bú gāo】。

　　5. 按策略划分VLAN

　　基于策🅾略组成的VLAN能实现【néng shí xiàn】多种分🛏配方法【pèi fāng fǎ】，包括【bāo kuò】VLAN交换机端口、MAC地址【dì zhǐ】⛽、IP地址【dì zhǐ】⛽、网络层【wǎng luò céng】📿协议等。网络管理人员可根据自己的📔 管理模📶式和本【shì hé běn】单位的【dān wèi de】需求来决定选择哪种类型的【lèi xíng de】🍊VLAN 。

　　6. 按用户【àn yòng hù】🌝定义😴、非用户【fēi yòng hù】授权划分VLAN

　　基于用♉户定义、非用户授权来🏙划分VLAN，是指为【shì zhǐ wéi】了适应特别的🦋VLAN网络【wǎng luò】⏹，根据具体的网【tǐ de wǎng】络⏹用户的特别🔺要求来🙉定义和【dìng yì hé】设计VLAN，而🎣 且可以让非【ràng fēi】VLAN群体用户访问💉VLAN，但是需【dàn shì xū】要提供【yào tí gòng】用户密码【mǎ】🕟，在得到【zài dé dào】VLAN管理的认证后【rèn zhèng hòu】才可以加入一个🥚VLAN。

　　三、VLAN的优越性

　　任何新技术要得到广【dé dào guǎng】泛支持【fàn zhī chí】💪和应用🧝，肯定存🙉在一些【zài yī xiē】🥟关键优势，VLAN技术也一样【yī yàng】，它的优势主要体现在以下几【yǐ xià jǐ】个方面🥟：

　　1. 增加了网络连接的灵活性

　　借助VLAN技术【jì shù】🙎，能将不同地点🏷、不同网🌩络、不同用【bú tóng yòng】户组合在一起💠，形成一【xíng chéng yī】个虚拟的网络【de wǎng luò】环境【huán jìng】 ，就像使🤷用本地LAN一样方便【biàn】🧐、灵活 、有效。VLAN可以降【kě yǐ jiàng】🥚低移动【dī yí dòng】或变更🦑工作站【gōng zuò zhàn】地理位置的管【zhì de guǎn】🏓 理费用，特别是🌝一些业务情况♐有经常性变动的公司使用了【shǐ yòng le】VLAN后，这部分🕟管理费用大大【yòng dà dà】 降低。

　　2. 控制网络上的广播

　　VLAN可以提🎎供建立🖇的机制🥢，防止交换网络的过量✡广播【guǎng bō】🦂。使用VLAN，可以将【kě yǐ jiāng】💇某个交换端口或用户赋于某一个特【yī gè tè】定的【dìng de】VLAN组【zǔ】🐜， 该【gāi】VLAN组【zǔ】🐜可以在一个交换网中或跨【huò kuà】😉接多个交换机【jiāo huàn jī】🗜， 在一个VLAN中的广【zhōng de guǎng】播🦂不会送到VLAN之外。同样，相邻的【xiàng lín de】端口不🚔会收到其他VLAN产生的【chǎn shēng de】🙁广 播 。这样可以减少广【jiǎn shǎo guǎng】播流😽量，释放带【shì fàng dài】宽给用户应用【hù yīng yòng】，减少广【jiǎn shǎo guǎng】播🦂的产生。

　　3. 增加网络的安全性

　　因为一㊙个VLAN就是一🍲个单独的广播【guǎng bō】🕌域，VLAN之间相互隔离，这大大🍘提高了【tí gāo le】🎊网络的利用率【lì yòng lǜ】⏩，确保了♿网络的安全保【ān quán bǎo】🤓密性。人们在LAN上【shàng】 经常传【jīng cháng chuán】🖼送一些保密的【bǎo mì de】✏、关键性的数据。保密的【bǎo mì de】✏数据应🚰 提供访问控制👥等安全【děng ān quán】手段【shǒu duàn】🚤。一个有效和容易实现的方法【de fāng fǎ】是将网🍥络分段🧛成几个不同的【bú tóng de】广播【guǎng bō】🕌组【zǔ】，网络管理员限制了【zhì le】VLAN中用户的数量🌜，禁止未经允许🎄而访问【ér fǎng wèn】VLAN中的应用。交换端口可以【kǒu kě yǐ】基 于应用类型和访问特🈵权来进行分组【zǔ】🎊，被限制的 应用程【yīng yòng chéng】序和资【xù hé zī】源一般【yuán yī bān】置于安全性【quán xìng】🛫VLAN中。