VLAN技術

傳統的共享介質的以太網和交換式的以太網中，所有的用户在同一個廣播域中，會引起網絡性能的下降，浪費可貴的帶寬；而且對廣播風暴的控制和網絡安全只能在第三層的路由器上實現。

VLAN相當於OSI參考模型的第二層的廣播域，能夠將廣播風暴控制在一個VLAN內部，劃分VLAN後，由於廣播域的縮小，網絡中廣播包消耗帶寬所佔的比例大大降低，網絡的性能得到顯著的提高。不同的VLAN之間的數據傳輸是通過第三層（網絡層）的路由來實現的，因此使用VLAN技術，結合數據鏈路層和網絡層的交換設備可搭建安全可靠的網絡。網絡管理員通過控制交換機的每一個端口來控制網絡用户對網絡資源的訪問，同時VLAN和第三層第四層的交換結合使用能夠為網絡提供較好的安全措施。

另外，VLAN具有靈活性和可擴張性等特點，方便於網絡維護和管理，這兩個特點正是現代局域網設計必須實現的兩個基本目標，在局域網中有效利用虛擬局域網技術能夠提高網絡運行效率。 ^[1] 

在VLAN管理員最初配置交換機Port和VLAN ID的對應關係時，就已經固定了這種對應關係，即這個Port只能對應這個VLAN ID，之後無法進行更改，除非管理員再重新配置。

當一台設備接到這個Port上的時候，怎麼判斷該主機的VLAN ID與Port對應呢，這裏是根據IP配置決定的，我們知道每個VLAN都有一個子網號，並對應着哪些Port，如果設備要求的IP地址和該Port對應的VLAN的子網號不匹配，則連接失敗，該設備將無法正常通信。所以除了連接到正確的Port外，也必須給設備分配屬於該VLAN網絡段的IP地址，這樣才能加入到該VLAN中。

交換機自動配置Port為主機所屬的VLAN。這裏有三種分類：基於MAC，基於IP，基於用户

基於MAC的VLAN（例如二層交換機）

將所有主機的硬件地址都加入到VALN的管理數據庫中，例如，一主機隨便連接到交換機的一個動態VLAN的Port時，管理數據庫將根據主機的MAC地址查詢到該主機要加入VLAN 2中，然後自動設置該Port為VLAN 2。缺點是當主機更換了網卡之後，管理數據庫需要重新設定。

基於IP的VLAN（例如三層交換機）

與基於MAC不同，這種方法會記錄子網ID與VLAN ID的映射，而不論主機的網卡怎麼變換，只要他的IP不變，交換機就可以根據主機的子網ID自動設置對應的VLAN ID。

基於用户的VLAN

根據操作系統的登錄用户決定VLAN。

交換機中，有兩種類型的接口：接入端口（Access）和中繼端口（Trunk），Access接口只能用來連接用户主機，只能屬於一個VLAN，因此該接口只傳輸本VLAN的數據。

以上介紹的都是基於一台交換機劃分VLAN的情況，當要實現跨兩台甚至更多交換機呢，基於Access接口已經無法實現了，我們需要加入Trunk接口連接交換機。 ^[2] 

採用VLAN技術，可將某個交換端口劃到某個VLAN中，而一個VLAN的廣播風暴不會影響其它VLAN的性能。

共享式局域網之所以很難保證網絡的安全性，是因為只要用户插入一個活動端口，就能訪問網絡。而VLAN能限制個別用户的訪問，控制廣播組的大小和位置，甚至能鎖定某台設備的MAC地址，因此VLAN能確保網絡的安全性。

網絡管理員能借助於VLAN技術輕鬆管理整個網絡。例如需要為完成某個項目建立一個工作組網絡，其成員可能遍及全國或全世界，此時，網絡管理員只需設置幾條命令，就能在幾分鐘內建立該項目的VLAN網絡，其成員使用VLAN網絡，就像在本地使用局域網一樣。

基於端口的VLAN，簡單的講就是交換機的一個端口就是一個虛擬局域網，凡是連接在這個端口上的主機屬於同個虛擬局域網之中。基於端口的VLAN的優點為：由於一個端口就是一個獨立的局域網。所以，當數據在網絡中傳輸的時候，交換機就不會把數據包轉發給其他的端口，如果用户需要將數據發送到其他的虛擬局域網中，就需要先由交換機發往路由器再由路由器發往其他端口；同時以端口為中心的VLAN中完全由用户自由支配端口，無形之中就更利於管理。但是美中不足的是以端口為中心的VLAN，當用户位置改變時，往往也伴隨着用户位置的改變而對網線也要進行遷移。如果不會經常移動客户機的話，採用這一方式倒也不錯。

可以説靜態VLAN與基於端口的VLAN有一絲相似之處，用户可在交換機上 讓一個或多個交換機端口形成一個略大一些的虛擬局域網。從一定意義上講靜態虛擬局域網在某些程度上彌補了基於端口的虛擬局域網的缺點。缺陷方面，靜態 VLAN雖説是可以使多個端口的設置成一個虛擬局域網，假如兩個不同端口、不同虛擬局域網的人員聚到一起協商一些事情，這時候問題就出現了，因為端口及虛 擬局域網的不一致往往就會直接導致某一個虛擬局域網的人員就不能正常的訪問他原先所在的VLAN之中（靜態虛擬局域網的端口在同一時間只能屬於同一個虛擬 局域網），這樣就需要網絡管理人員隨時配合及時修改該線路上的端口。

與上面兩種虛擬局域網的組成方式相比動態的虛擬局域網的優點真的是太多了。首先它適用於當前的無線局域網技術，其次，當用户有需要時對工作基點進行移動時完全不用擔心在靜態虛擬局域網與基於端口的虛擬局域網出現的一些問題在動態的虛擬局域網中出現，因為動態的虛擬局域網在建立初期已經由網絡管理員將整個網絡中的所有MAC地址全部輸入到了路由器之 中，同時如何由路由器通過MAC地址來自動區分每一台電腦屬於那一個虛擬局域網，之後將這台電腦連接到對應的虛擬局域網之中。説起缺點，動態的虛擬局域網 的缺點跟本談不上缺點，只是在VLAN建立初期，網絡管理人員需將所有機器的MAC進行登記之後劃分出MAC所對應的機器的不同權限（虛擬局域網）即可。 ^[3] 

近來參加了不少醫院網絡方案的討論和評標活動，在幾乎所有醫院的方案中都或多或少地採用了虛擬局域網（VLAN）技術，但筆者發現大多數方案中的VLAN設計都存在一個共同且致命的缺陷，那就是VLAN跨越網絡的核心。本文就這個問題談一談自己的看法，供同行們參考。

根據VLAN的定義和技術規範，VLAN不是由獨享的物理設備和物理鏈路搭建的物理子網或網段，VLAN與實實在在的物理子網的本質區別在於，VLAN之間要共享物理設備和物理鏈路，因此，VLAN間就會通過所共享的設備和鏈路相互影響。這種影響是如何產生的呢?VLAN是通過將一個物理拓撲中的兩個或多個節點通過邏輯組合而形成的，要想實現這種邏輯的組合就必須使用支持VLAN的交換設備，但真正提供VLAN功能的是這些設備內部的軟件。也就是説，VLAN所構造的子網（廣播域）是軟件實現的，而不是由網絡拓撲所決定的。網絡拓撲僅對由軟件所建立的VLAN有所限制。

知道了VLAN的工作原理，就不難解釋VLAN間的影響了，同一交換機上的不同VLAN要共享交換機、要爭奪交換機的CPU和背板資源。VLAN對交換機和鏈路的共享可分為兩種類型：一種是“廣播共享”，即VLAN劃定的廣播域貫穿共享設備和鏈路（如圖1所示），換句話説廣播共享是二層的共享。另一種我們稱之為“路由共享”，也可以説是三層共享，在這種類型的共享中，不同VLAN的數據包是以路由（三層交換）方式穿過交換機的（如圖2中虛線所示），通過的包基本上不含有一般的廣播包（DHCP和特殊協議的廣播除外）。VLAN在“廣播共享”網絡資源時的相互影響要比“路由共享”時更大。

從圖1可清楚地看出所共享的網絡資源（交換機和鏈路）。在正常情況下，VLAN間的這種影響不被我們所注意，原因是共享的交換機有足夠的交換能力，鏈路不是很擁擠，但在某一VLAN出現異常時（如感染病毒或出現環路）情況就不同了。這時被感染VLAN（如VLAN1）中的大量數據幀將擠佔該VLAN所及的所有交換機的CPU資源、背板帶寬，並長時間佔用物理鏈路，其他VLAN（如VLAN2）中的設備儘管“看”不到出現異常VLAN中的數據幀，但其所依賴的網絡資源已被用盡，因此，VLAN1所覆蓋的網絡區域就會出現異常。如果故障點發生在核心交換機附近，那麼整個網絡就有可能癱瘓。這在各網絡拓撲層交換機的性能相差不多的情況下尤為嚴重。

由VLAN的性質所決定，完全消除VLAN間的鏈路和設備的共享在理論上是不可能的。我們所做的努力只能儘量減少相互影響的範圍、降低相互影響的程度。如何做到這一點呢?在實踐中我們總結出如下原則：1）應儘量避免在同一交換機中配置多個VLAN;2）不同物理位置上的交換機上的端口儘量不要劃歸到同一個VLAN。前者較好理解，也容易實現，我們重點討論後者，即如何做到VLAN不跨越核心交換機和拓撲結構的“層”。從圖1可以看出，由於VLAN1(VLAN2也是這樣）的範圍跨越了整個網絡，如果把所有VLAN的覆蓋面都限定在核心交換機的同一側，這些資源被共享的程度不就減輕了嗎?按此想法我們可以將圖1所示的網絡改變為圖2所示的結構。

由於在這種結構中不存在跨越核心交換機的虛網，因此各VLAN的廣播包就不會穿過核心交換機，但這些廣播包卻均能到達核心交換機，同時核心交換機上還會有ACL允許的VLAN間的正常數據流（如圖2中的虛線所示）通過。很顯然，這時的核心交換機既阻擋了各VLAN的廣播包，又轉發了VLAN間的正常數據流，其被共享的形式由“廣播式”變成了“路由式”，受VLAN影響的程度變小。

有人可能會説，把核心交換機從二層提到了三層，性能會下降。這種説法無疑是正確的，但這點性能的降低對於當今的三層交換機所能提供的性能來説已經算不得什麼了。從圖2還可以看出，儘管受單個VLAN影響的程度和範圍均變小，但共享鏈路的長度和強度並沒有本質的變化。

繼續分析圖2中所存在的問題不難看出，儘管核心交換機被共享的形式改變了，但仍存在受到各VLAN出現異常情況的影響。要想避免核心交換機受到各個VLAN的影響、減小影響範圍、避免全網癱瘓的發生，很容易想到在核心交換機和劃有VLAN的交換機之間加上一層，以隔離核心交換機和各個VLAN。這時就形成了較為流行的三層拓撲結構的網絡，如圖3所示。

在三層網絡結構中，匯聚層與核心層之間的區域不再有VLAN，匯聚層交換機的VLAN也僅限於部分端口，這時匯聚層交換機成為被“路由共享”的交換機，而且這種“路由共享”比圖2的情況更弱。

如果使匯聚層交換機的性能遠高於接入層的交換機，那麼由VLAN的廣播（多由病毒引起）所引起的整網癱瘓問題就基本解決了。

任何方案都具有利的一面和不利的一面，三層拓撲結構的網絡也會帶來一些問題：1）利用一般的手段較難實現對各個VLAN進行集中式的遠程管理，對於這個問題的解決方案可充分利用網管軟件。2）由於VLAN數量的增多、路由協議等技術的引入，此時的網絡會比二層平面交換網絡要複雜，對網絡技術人員的要求更高，管理維護成本會有所增加。

這兩點是大型網絡管理本身的要求，大型網絡的管理不可能不使用網絡管理工具，技術人員的缺乏更是各個企業都面臨的問題，對此有的專家提出了“IT物業”的理念，也許這就是將來解決這個問題的最終方案。 ^[4]