什么是VLAN

由于学校正在积极筹备专升本工作，因此，投入了近 500 万元购置网络设备和计算机。中心交换机采用 Cisco Catalyst 4500 ，工作组交换机采用 Cisco Catalyst 3550 和 Catalyst 2950 。考虑到每栋楼接入的交换机数量并不多，所以，没有设置骨干交换机。只是简单地利用千兆端口将工作组交换机连接在一起，然后，通过光纤连接到中心交换机。目前，接入校园网的楼宇共 8 栋，计算机 1100 余台。校园网拓朴图如图 1 所示。

 

图 1 校园网拓朴图

显然不能把这么多的计算机都放在一个网段中。原因有以下几点：

第一， IP 地址冲突会把网管搞得晕头转向，而动态分配 IP 地址又会产生大量的广播包，导致网络传输效率下降。

第二，任何一块网卡的损坏，任何一根双绞线出问题，都有可能导致网络风暴的发生，从而导致网络瘫痪。

第三，各种网络协议（如 ARP 、 NetBEUI 、 DHCP 等）被广泛使用，从而导致网络内充斥大量的广播包，大大降低网络的有效带宽。

第四，任何用户都可以直接访问所有的计算机，使恶意攻击变得易如反掌，网络没有任何安全可言。

因此，必须根据不同部门的特点，将整个校园网划分为若干个子网络，从而将大量的广播通讯限制在本地网络。同时，限制对某些特殊子网（如财务、人事、学生等）的访问。

一、什么是VLAN

虚拟网技术（ VLAN ， Virtual Local Area Network ）的诞生主要源于广播。广播在网络中起着非常重要的作用，如发现新设备、调整网络路径、 IP 地址租赁等等，许多网络协议都要用到广播，如。然而，随着网络内计算机数量的增多，广播包的数量也会急剧增加，当广播包的数量占到通讯总量的 30% 时，网络的传输效率将会明显下降。所以，当局域网内的计算机达到一定数量后（通常限制在 150~200 台以内），通常采用划分 VLAN 的方式将网络分隔开来，将一个大的广播域划分为若干个小的广播域，以减小广播可能造成的损害。

如何分隔大的广播域呢？最简单的方案就是物理分隔，即将一个完整的网络物理地分隔成两个或多个子网络，然后，再通过一个能够隔离广播的路由设备将彼此连接起来。除了物理分隔的方法之外，就是在交换机上采用逻辑分隔的方式，将一个大的局域网划分为若干个小的虚拟子网（如图 2 所示），即 VLAN ，从而使每一个子网都成为一个单独的广播域，子网之间进行通信必须通过三层设备。当 VLAN 在交换机上划分后，不同 VLAN 间的设备就如同是被物理地分割。也就是说，连接到同一交换机、然而处于不同 VLAN 的设备，就如同被物理地连接到两个位于不同网段的交换机上一样，彼此之间的通信一定要经过路由设备，否则，他们之间将无法得知对方的存在，将无法进行任何通信。

图 2 划分 VLAN

二、VLAN的重要意义

VLAN 中的成员与其物理位置无关，既可连接至同一台交换机，也可连接至不同交换机。

● 降低移动和变更的管理成本

使用 VLAN ，当需要把一台计算机从一个子网转移到另一个子网时，只需在交换机上重新定义一下 VLAN 成员即可。尤其是在采用 MAC 地址动态划分 VLAN 时，当用户将计算机从一个交换机端口移动到另一个交换机端口，由于其网卡的 MAC 地址并不改变，所以，交换机能够自动跟踪该终端的 MAC 地址，并自动将其纳入定义的 VLAN 中。

● 控制广播

由于所有的广播都只在本 VLAN 内进行，而不再扩散到其他 VLAN 上，所以，把校园网络适当地划分成若干较小的 VLAN ，将大大减少广播对网络带宽的占用，从而提高网络传输效率，并有效地避免广播风暴的产生以及在整个网络的蔓延。

● 支持多媒体技术和高效组播控制

组播技术是支持多媒体应用的有效手段，在交换机中用组播组动态定义 VLAN ，并自动把组播报文只复制给同一 VLAN 中的终端，大大提高了多媒体数据传输的实时性，更有效地使用了带宽，降低了网络因拥挤而阻塞的可能性。

● 增强安全性

由于交换机只能在同一 VLAN 内的端口之间交换数据，不同 VLAN 的端口不能直接相互访问。同时，可以在 Trunk （中继）中设置允许访问的 VLAN ，从而限制未经允许的 VLAN 访问，保证 VLAN 只被授权的用户访问。因此，通过划分 VLAN ，可以有效地提高网络安全性，防止某些非授权用户对敏感数据的访问。

● 网络监督和管理的自动化

由于可以通过网管软件查看 VLAN 间和 VLAN 内的各类通信信息，而这些信息对于确定网络拓朴与路由，以及设置服务器的位置都十分有用。通过划分 VLAN ，可以使网络管理变得更简单、更轻松、更有效。

三、VLAN的划分方式

虽然划分 VLAN 的方式有许多种，但是，使用最多的仍然是基于端口的 VLAN 。不同厂商的交换机大多支持以下几种 VLAN 的划分方式：

1. 基于端口的VLAN

基于端口的 VLAN 是最常使用的划分 VLAN 的方式，几乎被所有的交换机所支持。所谓基于端口的 VLAN ，是指由网络管理员使用网管软件或直接设置交换机，将某些端口直接地、强制性地分配给某个 VLAN 。除非网管人员重新设置，否则，这些端口将一直保持对该 VLAN 的从属性，即属于该 VLAN ，因此，这种划分方式也称为静态 VLAN 。这种方法虽然在网络管理员进行 VLAN 划分操作时会比较麻烦，但相对安全，并且容易配置和维护。同时，由于不同 VLAN 间的端口不能直接相互通讯，因此，每个 VLAN 都有自己独立的生成树。此外，交换机之间在不同 VLAN 中可以有多个并行链路，以提高 VLAN 内部的交换速率，增加交换机之间的带宽。

需要注意的是，不仅可以将同一交换机的不同端口划分为同一 VLAN ，而且还可以设置跨越交换机的 VLAN （如图 3 所示），即将不同交换机的不同端口划分至同一 VLAN ，这就完全解决了位于不同物理位置、连接至不同交换机中的用户如何使之处于同一 VLAN 的难题。例如，在一个拥有数百台计算机的校园网中，为了提高网络传输效率，可以将所有用户划分为行政和教学两个 VLAN 。虽然各学院、系、教研室位于不同的建筑物内，连接至不同的交换机，但仍然能够根据其连接的端口将其划分至同一 VLAN 。

图 3 基于端口的 VLAN

需要注意的是，如果交换机某端口连接至一个集线器，那么，该集线器以及其连接的所有计算机都将属于该端口的 VLAN 。

2. 基于MAC的VLAN

所谓基于 MAC 的 VLAN ，是指借助智能管理软件根据 MAC 地址来划分 VLAN 。该划分方式一般用在每一交换机端口只连接一个终端的情况。也就是说，当端口连接至集线器或交换机时，该种划分方式并不适用。端口借助网络包的 MAC 地址、逻辑地址或协议类型来确定其 VLAN 的从属，将端口划分至不同 VLAN 。当一网络节点刚连接到交换机时，此时交换机端口尚未分配，于是，交换机通过读取网络节点的 MAC 地址，动态地将该端口划入某个虚拟网。一旦网管人员配置好后，用户的计算机就可以随意改变其连接的交换机端口，而不会由此而改变自己的 VLAN 。当网络中出现未定义的 MAC 地址，交换机可以按照预先设定的方式向网管人员报警，再由网管人员作相应的处理。例如，网络管理员有一台笔记本电脑，由于工作性质的关系，他需要经常到各部门联机工作。当该笔记本电脑从端口 A 移动到端口 B 时，交换机能够自动识别经过端口 B 的源 MAC 地址，自动把端口 A 从当前 VLAN 中删除，而把端口 B 定义到当前 VLAN 中。这种定义方法的优点是当终端在交换式网络中移动时，不必重新定义虚拟网，交换机能够自动进行识别和定义。因此，基于 MAC 的 VLAN 也称为动态 VLAN 。由于 MAC 地址具有世界唯一性，因此，该 VLAN 划分方式的安全性也较高。

3. 基于IP的VLAN

所谓基于 IP 的 VALN ，是指根据 IP 地址来划分的 VLAN 。交换机属 OSI 第二层，因此，普通交换机不能识别帧中的网络层报文，但随着第三层交换机的出现，将第二层的交换功能和第三层的路由功能结合在一起，从而使交换机也能够识别网络层报文，可以使用报文中的 IP 地址来定义 VLAN 。因此，当某一用户设置有多个 IP 地址时，或该端口连接到的集线器中拥有多个 TCP/IP 用户时，通过基于 IP 的 VLAN ，该用户或该端口就可以同时访问多个虚拟网。在该模式下，位于不同 VLAN 的多个部门（每种业务设置成一个虚拟网）均可同时访问同一台网络服务器，也可以同时访问多个虚拟网的资源，还可让多个虚拟网间的连接只需一个路由端口即可完成。这种定义方法的优点是当某一终端使用的网络层协议或 IP 地址改变时，交换机能够自动识别，重新定义 VLAN ，不需要管理员干预。但由于 IP 地址可以人为地、不受约束地自由设置，因此，使用该方式划分 VLAN 也会带来安全上的隐患。

4. 基于组播的VLAN

组播作为一点对多点的通信，是节省网络带宽的有效方法之一。在多媒体应用中，当需要将一个节点的多媒体信号传送到多个节点时，无论是采用重复点对点通信方式，还是采用广播的方式，都会严重浪费网络带宽，而只有组播才是最好的选择。组播能够使一个或多个发送者将帧发送给组地址，而不是单个主机。其中，那些希望参加某一特定组的接收者，需要将含有组地址的 IGMP “加入消息”发送给最邻近的路由器，然后，路由器使用多点广播路由协议（例如 DVMRP 、 PIM 等）建立从源到所有接收者的分发树。接收者在任何时候都可以动态地参加或离开某个多点广播组。支持 IP 多点广播的应用包括：音频 / 视频会议、“ push ”技术（如股票行情、运动记分、报文）和虚拟现实游戏。基于组播的 VLAN ，就是动态地把那些需要同时通信的端口定义到一个 VLAN 中，并在 VLAN 中用广播的方法解决点对多点通信的问题。

四、实现VLAN需要的设备

若欲在校园网络中实现 VLAN ，首先需要支持 VLAN 的交换机。当然，并不要求所有的交换机都支持 VLAN ，但是，网络内必须至少有一台交换机支持 VLAN ，否则， VLAN 的划分就是不可能的。在选择支持 VLAN 的设置时，应当注意以下几个方面的问题：

第一，中心交换机必须支持 VLAN ，并且拥有三层交换功能。由于 VLAN 之间的通讯必须借助三层设备才能实现，因此，如果没有三层设备， VLAN 的划分将失去其原有的意义。原因很简单，我们的目的不是阻隔通信，而是试图使通信变得更快捷、更安全。若欲实现 VLAN 间的无阻塞线速传输，就必须采用集网桥和路由于一身的三层交换机，而不能采用传输的路由器。否则， VLAN 间的传输将成为制约网络效率的瓶颈。

第二，若欲在一台交换机上划分两个或两个以上的 VLAN ，那么，该交换机也必须支持 VLAN 划分功能。如果交换机上只有一个 VLAN ，那么，完全可以将该 VLAN 划分在第三层交换机或所级联交换机的端口上。但是，如果若欲在交换机划分两个以上的 VLAN ，那么，该交换机就必须是可网管的，而且必须支持 VLAN 。

第三，网络内所有划分有 VLAN 的交换机必须支持同一种 VLAN 和中继协议，即 IEEE 802.1Q 和 802.3ad 网络协议。否则，将无法实现 VLAN 在不同交换机之间的跨越。

第四，应当尽量采用同一品牌的交换机，以保证产品和技术的兼容性，并可采用同一网络管理软件，实现对网络设备的统一管理，简化网络配置操作。尽管不同厂商都执行相同的国际标准和协议，但同时也大量采有独特的协议和技术（如 Cisco 的 ISL ），因此，在交换机间实现 VLAN 中继时，会遇到许多困难，产生许多莫名其妙的通信故障。所以，对于大中型校园网络而言，为了将来管理上的方便，应当尽量购置相同品牌的产品。

作为网络核心的模块化三层交换机价格较高，国产产品（如神洲数码、华为、海湾、等）大致在 20 万，美国产品如（ Cisco 、 3Com 、 Foundry 、 Bay 等）产品则通常在 25 万。作为分布层的骨干交换机价格相对便宜，国产大致 3.5 万，美产大致在 5 万。用于实现计算机接入的、支持 VLAN 的可网管工作组交换机，国产大致 4000 元，美产大致 1.2 万左右。