计算机网络技术：VLAN概述

2025-09-30 理论教育版权反馈

【摘要】：使用VLAN 技术后，这些任务都可以简化。例如，一个交换设备上的端口2、4、6、8 所连接的客户工作站可以构成VLAN A，而端口1、3、5、7 则构成VLAN B 等。由于MAC 地址是固化在网卡中的，因此移动主机至其他VLAN 后VLAN 成员的身份仍然保持不变，网络管理人员无须对VLAN 进行重新配置。另外，这种方式可以使同一个MAC 地址处于多个VLAN 中。5）基于策略的VLAN基于策略组成的VLAN 能实现多种分配方法的组合，以满足特定的需求。

VLAN 中的网络用户是通过局域网交换机来通信的，一个VLAN 中的成员看不到另一个VLAN 中的成员，即同一个VLAN 中的成员均能收到同一个VLAN 中其他成员发来的广播包，但收不到其他VLAN 中成员发来的广播包。因此，不同VLAN 成员间不能直接通信，需要通过路由支持才能通信，同一VLAN 中的成员通过VLAN 交换可以直接通信。同一个VLAN 中的所有成员共同拥有一个VLAN ID，组成一个虚拟局域网络。

（1）VLAN 的功能

VLAN 有如下的主要功能：

1）提高管理效率

传统以太网中相当大一部分网络管理工作是由于增加、删除、更改网络用户引起的。每当一个新的站点加入局域网，会有一系列端口分配、地址分配和网络设备重新配置等网络管理任务发生。使用VLAN 技术后，这些任务都可以简化。也就是说，VLAN 技术可以简化由于网络中站点的移动所带来的网络分配和调试工作，提高管理效率。

2）控制广播风暴

通过划分VLAN，网络被分割成多个逻辑的广播域，广播数据能被有效隔离，即VLAN 内成员共享广播域，VLAN 间的广播被隔离。这样，减少了网络的通信流量，节约了带宽，控制了广播风暴，提高了网络的传输效率。

3）增强网络的安全性

通过将网络划分为一个个的VLAN 逻辑组，可以将广播流量限制在VLAN 内部，内部站点间的通信不会影响到其他VLAN 站点，减少了数据被窃听的可能性。另外，VLAN 之间站点的访问可以得到很好的控制，限制了成员或计算机对网络资源的访问，增强了网络的安全性。

4）实现虚拟工作组

VLAN 可以按应用或功能来进行划分，可以将一个物理局域网划分成若干个逻辑子网，而不必考虑具体的物理位置，即VLAN 能够实现虚拟工作组，对网络中的资源进行访问和控制。

（2）VLAN 划分方法

VLAN 划分方法指的是在一个VLAN 中包含哪些站点。VLAN 划分的方法如下：

1）基于交换端口号划分VLAN

这种方法是将交换设备端口进行分组来划分VLAN。例如，一个交换设备上的端口2、4、6、8 所连接的客户工作站可以构成VLAN A，而端口1、3、5、7 则构成VLAN B 等。目前，按端口划分VLAN 仍然是构造VLAN 的一个最常用的方法，这种方法比较简单并且非常有效。但这种方法的缺点是，如果某用户离开了原来的端口，到了一个新的交换机端口，则网络管理人员必须对VLAN 成员进行重新配置，否则该站点无法进行通信。

2）基于MAC 地址划分VLAN

这种方法由网络管理人员指定属于同一个VLAN 中的主机MAC 地址，即对每个MAC 地址的主机都配置它属于哪一个组。由于MAC 地址是固化在网卡中的，因此移动主机至其他VLAN 后VLAN 成员的身份仍然保持不变，网络管理人员无须对VLAN 进行重新配置。另外，这种方式可以使同一个MAC 地址处于多个VLAN 中。这种方式的缺点是，初始化时，所有的用户都必须被配置到（手工方式）至少一个VLAN 中，如果有几百个甚至上千个用户的话，对网络管理员而言工作相当繁重。

3）基于第三层协议划分VLAN

VLAN 还可以根据网络层的数据包格式（即第三层协议）来划分，网络层协议可分为IP、IPX、DECnet、AppleTalk 等。这种按网络层协议来划分VLAN 的方法，对于那些需要根据具体应用和服务来组织用户的网络配置问题非常具有吸引力，而且用户可以在网络内部自由移动，但VLAN 成员身份保持不变。另外，在第三层上定义VLAN 不需要在数据链路层附加帧标签来识别VLAN，从而可以消除因在交换设备之间传递VLAN 成员信息而花费的开销，减少网络的通信量。(https://www.chuimin.cn)

这种方法最大的缺点就是性能问题，对报文中的网络地址进行检查将比对帧中的MAC 地址进行检查开销更大。一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP 帧头，需要更高的技术，同时也更费时。正是由于这个原因，使用第三层信息进行VLAN 划分的交换设备一般比使用第二层信息的交换设备更慢。同时，在第三层上所定义的VLAN 对于TCP/IP 特别有效，但对于其他协议（如IPX 或Apple）则要差一些，并且对于那些不可进行路由选择的一些协议（如NetBIOS），在第三层上实现VLAN 划分将特别困难，因为使用这种协议的机器是无法相互区分的。

4）IP 组播VLAN

这种方法本身也是一种VLAN 的定义方式，认为一个IP 组播组就是一个VLAN，一个IP组播组实际上是用一个D 类地址来表示，当向一个组播组发送一个IP 报文时，此报文将被传送到此组中的各站点处；同时，各站点也可以自由地动态决定参加到哪一个或者哪一些IP 组播组中。这种方法具有很强的动态性，并将VLAN 扩大到了广域网，具有更大的灵活性；容易通过路由器进行扩展，适合于不在同一地理范围的局域网用户组建VLAN 的要求。

5）基于策略的VLAN

基于策略组成的VLAN 能实现多种分配方法的组合，以满足特定的需求。通过上面列出的策略将设备指定给VLAN，当一个策略被指定到一个交换机时，该策略就在整个网络上应用，而设备被置入VLAN 中。从设备出发的帧总是经过重新计算，以使VLAN 成员身份能随着设备产生的流量类型而改变。

6）按用户定义与非用户授权划分VLAN

这种方式是指为了适应特别的VLAN 网络，根据特殊网络用户的特殊需求来定义和设计VLAN，而且可以让非VLAN 群体用户通过提供用户和密码的方式访问VLAN。

（3）VLAN 之间的通信方式

当VLAN 交换机从客户站点接收到数据后，会对数据的部分内容进行检查，并与一个VLAN 配置数据库中的内容进行比较，然后确定数据的去向。如果数据要发往一个VLAN 设备，一个VLAN 标识或标签就被加到这个数据上，据此就可以将数据转发到适当的目的地。目前，VLAN 间的通信主要有以下四种方式：

1）MAC 地址静态登记方式

这种方式是预先在VLAN 交换机中设置一张地址列表，这张表包含有工作站点的MAC 地址及VLAN 交换机的端口号、VLAN ID 等信息。当工作站第一次在网络上发广播包时，交换机就将这张表的内容一一对应起来，并对其他交换机广播。这种方式使得网络管理员不断修改和维护MAC 地址静态条目列表，且大量的MAC 地址静态条目列表的广播信息容易导致主干网络拥塞。

2）帧标签方式

这种方式是给每个数据包都加上一个标签，用来标明数据包属于哪一个VLAN。这样，VLAN 交换机就能够将来自不同VLAN 的数据流复用到相同的VLAN 交换机上。帧标签方式需要为每个数据包加上标签，使得网络负载增加。

3）虚连接方式

两个网络用户第一次通信时，会发送ARP 广播包，VLAN 交换机将学习到的MAC 地址和所连接的VLAN 交换机端口号保存到动态条目MAC 地址列表中，当发送端有数据要传送时，VLAN 交换机从其端口收到的数据包中识别出目的MAC 地址，查询动态条目MAC 地址列表，得到目的站点所在的VLAN 交换机端口，这样两个端口间就建立起一个虚拟连接，数据包就可以从源端口转发到目的端口。数据包一旦转发完毕，虚拟连接即被撤销。这种方式很好地利用了带宽资源，提高了VLAN 交换机效率。

4）路由方式

按IP 划分的VLAN，可以将交换功能和路由功能都融合在VLAN 交换机中，既达到了控制广播风暴的基本目的，又不需要外接路由器。这种方式的缺点是，VLAN 成员间的通信速度不是很理想。

计算机网络技术：VLAN概述

相关推荐