1.4.2 虚拟局域网

虚拟局域网（VLAN）是一种建立在交换机基础上的逻辑网络，使用网络管理软件可以在同一物理网络（必须是交换式网络）上划分多个不同的VLAN，每个VLAN构成一个广播域，将数据流限制在该广播域内的各个网段上，而不会出现在其他网段上。VLAN有助于改进网络性能、可管理性、可伸缩性及安全性等，因此，支持VLAN是交换机的重要特性。

1．IEEE 802.1Q协议

LAN交换机的发展初期，各个厂商生产的交换机采用不同的方法来标识VLAN，使不同厂商生产的交换机难以兼容和互通。为此，IEEE定义了IEEE 802.1Q标准，用于规范VLAN标识方法和格式。IEEE 802.1Q是IEEE 802.1标准系列中的一个子标准，与之相关的协议还有802.1p和802.1D。其中，802.1p定义了VLAN中数据流优先级标记和组播过滤服务，802.1D定义了第二层交换和桥接的有关协议标准，它们共同构成了LAN交换机和VLAN的技术基础和协议标准。

在支持802.1Q的交换机上，网络管理员使用管理工具划分VLAN，可以跨越多个交换机划分VLAN，允许将处于不同交换机上的端口构成同一VLAN，每个VLAN用不同的VLAN标识符（VID）来标识。在边界交换机上，对输入的数据帧要插入相应的VID；对输出的数据帧则要删除VID，恢复原来的帧格式。在核心交换机上，根据VID将数据帧转发到各个相应的端口，而不是广播到每个端口。802.1Q规定了在数据帧中插入VID的格式和方法，每个VID为12位，理论上可以定义212个VLAN，见图1-12。

图1-12 802.1Q/p 帧格式和被标记数据流的优先级处理

802.1Q标准规范了VLAN标识和划分，使各个厂商生产的交换机能够相互兼容，实现了对VLAN的统一管理。因此，现在的交换机都支持802.1Q标准。

2．VLAN特性

如上所述，VLAN是使用网络管理软件在交换机上建立的逻辑网络，可以将交换机的不同端口或物理网段划分成同一VLAN，实现点到点、点到多点的数据通信，见图1-13。

图1-13 VLAN的构成

构造VLAN的基本条件，一是所有站点都必须直接连接到支持VLAN的交换机端口上；二是使用适当的VLAN定义方法来划分VLAN。VLAN定义方法主要有如下3种。

（1）按交换机端口定义。将一组交换机端口设置成一个相同的广播域，只允许在特定的端口之间相互通信，网络流量被限制在该VLAN中，具有网络流量隔离功能。这是最常用的VLAN定义方法，通过这种方法划分的VLAN称为物理层VLAN。

（2）按MAC地址定义。按接入交换机站点的MAC地址定义其广播域，交换机内部必须维护一个MAC地址/交换机端口对照表，才能实现在同一广播域内站点之间的相互通信。通过这种方法划分的VLAN称为链路层VLAN，并且交换机必须支持第二层（L2）交换及VLAN划分功能。

（3）按IP地址定义。按接入交换机站点的IP地址定义其广播域，形成虚拟IP子网，虚拟子网之间通过内部路由器实现互通，交换机内部必须维护一个IP地址/交换机端口对照表，才能实现在同一广播域内站点之间的相互通信。通过这种方法划分的VLAN称为网络层VLAN，并且交换机必须支持第三层（L3）交换及VLAN划分功能。

VLAN的构造能力与交换机的性能有关。目前，大多数高性能交换机都能提供第二层（链路层）和第三层（网络层）交换功能，这样就为构造链路层VLAN和网络层VLAN奠定了必要的基础。同时，交换机还必须配备相应的网络管理软件，才能最终实现VLAN的定义和管理。

构造VLAN可以带来如下好处：

（1）一个VLAN可以跨越不同的交换机。从逻辑上看，VLAN完全独立于网络物理结构。交换机将根据某一端口发送来的数据帧中所设置的VLAN标识符来确定该端口对应的站点属于哪个VLAN，然后将这个数据帧传送给该VLAN的所有成员。也就是说，只有同一VLAN的成员才能接收到这个数据帧，而其他的VLAN不会接收到该帧，从而起到网络流量隔离作用，可以防止网络流量被监听。

（2）VLAN支持任意多个站点间的组合。一个站点可以属于多个VLAN，建立VLAN的数量主要取决于交换机能力。

（3）VLAN可简化网络管理。VLAN的建立、修改和删除都十分简便，不需要对物理网络实体进行重新配置。

（4）VLAN为网络设备的变更和扩充提供了一种有效的管理手段。当需要增加、移动或变更网络设备时，只要在管理站上用鼠标拖动相应的目标即可实现，节省大量的维护成本。

VLAN是一种高速、低延迟的广播群组，如果定义太多的VLAN，则可能产生广播风暴。因此，需要通过网络管理软件对广播风暴进行管理。