什么是虚拟局域网？

虚拟局域网(VLAN，Virtual Local Area Network)是存在于计算机物理网络中的逻辑网络，可以根据业务功能、用户组及网络应用的不同组织和建立，与用户的物理位置没有关系。

物理网络中允许存在多个不同的VLAN，它们在逻辑上是各自独立的广播域。隶属于同一个VLAN的成员可以处于计算机物理网络的不同网段。借助VLAN技术，它们之间仍然可以像在同一个局域网上那样通信而不受物理位置的限制在VLAN技术的支持下，管理员对网络中的用户可以方便地进行添加、删除或移动操作，网络管理效率大大提高。VLAN支持三种划分组网方式：基于端口的VLAN、基于 MAC地址的VLAN和基于网络层的VLAN。

基于端口的VLAN，按照交换机的端口进行分组划分，每一组定义为一个VLAN。基于交换机端口的VLAN分组可以在一台交换机上，也可以跨越多台交换机。其优点是简单易实现，从一个端口发送的信息，直接传送到VLAN内的其他端口，便于直接监控；缺点是使用不够灵活，当任一VLAN成员设备发生物理位置的变化时，都必须重新设置。这个缺点可以通过灵活的网络管理软件弥补。

基于MAC地址的VLAN，按照设备的MAC地址进行分组划分，每一组定义为一个VLAN。分组可以在一台交换机上，也可以跨越多台交换机。这种划分方式的优点是减少了网络管理员重新配置VLAN的日常维护工作量，缺点在于所有的入网设备都必须事先被明确划分到某个VLAN中，任何时候增加设备或者更换网卡，网络管理员都必须对VLAN数据库进行维护。

基于网络层的VLAN，也称为基于策略的VLAN，使用网络层协议或网络层地址来确定VLAN成员。例如可以使用IP子网段地址进行VLAN分组。利用网络层划分VLAN的优点，在于用户的入网设备不但可以在网络中自由移动而不用重新配置，还可以减少由于协议转换而造成的网络通信延迟。但是它对网络主干设备要求较高，不是所有主干设备都支持这种方式。同时管理员还必须面对IP盗用问题。

使用支持VLAN技术的交换机建网时，通常需要考虑的问题是在网络中应该如何定义 VLAN；在跨越多台交换机时使用哪种方法提供VLAN成员间的信息交流最方便；对VLAN配置自动化到何种程度最理想；不同VLAN间进行通信时哪种方法最经济有效。

当链路聚合在虚拟局域网中使用时，其含义扩展到要求通过一条物理链路为多个 VLAN提供互相独立的逻辑链路。这时，交换机必须对通过链路传输的每个数据帧进行标识，保证不同VLAN间通过同一条物理链路传输的数据帧不会被混淆。标识方法通常是通过在所传输数据帧中加入标识字节实现的。

虚拟局域网(VLAN)，是指网络中的站点不拘泥于所处的物理位置，而可以根据需要灵活地加入不同的逻辑子网中的一种网络技术。

基于交换式以太网的虚拟局域网在交换式以太网中，利用VLAN技术，可以将由交换机连接成的物理网络划分成多个逻辑子网。也就是说，一个虚拟局域网中的站点所发送的广播数据包将仅转发至属于同一VLAN的站点。

在交换式以太网中，各站点可以分别属于不同的虚拟局域网。构成虚拟局域网的站点不拘泥于所处的物理位置，它们既可以挂接在同一个交换机中，也可以挂接在不同的交换机中。虚拟局域网技术使得网络的拓扑结构变得非常灵活，例如位于不同楼层的用户或者不同部门的用户可以根据需要加入不同的虚拟局域网。

划分虚拟局域网主要出于三种考虑：

第一是基于网络性能的考虑。对于大型网络，现在常用的Windows NetBEUI是广播协议，当网络规模很大时，网上的广播信息会很多，会使网络性能恶化，甚至形成广播风暴，引起网络堵塞。那怎么办呢?可以通过划分很多虚拟局域网而减少整个网络范围内广播包的传输，因为广播信息是不会跨过VLAN的，可以把广播限制在各个虚拟网的范围内，用术语讲就是缩小了广播域，提高了网络的传输效率，从而提高网络性能。

第二是基于安全性的考虑。因为各虚拟网之间不能直接进行通讯，而必须通过路由器转发，为高级的安全控制提供了可能，增强了网络的安全性。在大规模的网络，比如说大的集团公司，有财务部、采购部和客户部等，它们之间的数据是保密的，相互之间只能提供接口数据，其它数据是保密的。我们可以通过划分虚拟局域网对不同部门进行隔离。

第三是基于组织结构上考虑。同一部门的人员分散在不同的物理地点，比如集团公司的财务部在各子公司均有分部，但都属于财务部管理，虽然这些数据都是要保密的，但需统一结算时，就可以跨地域(也就是跨交换机)将其设在同一虚拟局域网之中，实现数据安全和共享。采用虚拟局域网有如下优势：抑制网络上的广播风暴；增加网络的安全性；集中化的管理控制。

基于交换式的以太网要实现虚拟局域网主要有三种途径：基于端口的虚拟局域网、基于MAC地址(网卡的硬件地址)的虚拟局域网和基于IP地址的虚拟局域网。

(1)基于端口的虚拟局域网

基于端口的虚拟局域网是最实用的虚拟局域网，它保持了最普通常用的虚拟局域网成员定义方法，配置也相当直观简单，就局域网中的站点具有相同的网络地址，不同的虚拟局域网之间进行通信需要通过路由器。采用这种方式的虚拟局域网其不足之处是灵活性不好。例如，当一个网络站点从一个端口移动到另外一个新的端口时，如果新端口与旧端口不属于同一个虚拟局域网，则用户必须对该站点重新进行网络地址配置，否则，该站点将无法进行网络通信。在基于端口的虚拟局域网中，每个交换端口可以属于一个或多个虚拟局域网组，比较适用于连接服务器。

(2) 基于MAC地址的虚拟局域网

在基于MAC地址的虚拟局域网中，交换机对站点的MAC地址和交换机端口进行跟踪，在新站点入网时根据需要将其划归至某一个虚拟局域网，而无论该站点在网络中怎样移动，由于其MAC地址保持不变，因此用户不需要进行网络地址的重新配置。这种虚拟局域网技术的不足之处是在站点入网时，需要对交换机进行比较复杂的手工配置，以确定该站点属于哪一个虚拟局域网。

(3)基于IP地址的虚拟局域网

在基于IP地址的虚拟局域网中，新站点在入网时无需进行太多配置，交换机则根据各站点网络地址自动将其划分成不同的虚拟局域网。在三种虚拟局域网的实现技术中，基于IP地址的虚拟局域网智能化程度最高，实现起来也最复杂。

好像又回到了学计算机那会儿了

---