VLAN划分方法

VLAN划分方法
摘要：VLAN即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。

本文主要探讨VLAN的常见的划分方法。

关键词：VLAN MAC地址IP 协议
VLAN划分方法指的是在一个VLAN中包含哪些站点(包括服务器和客户站)。

处在同一个VLAN中的所有成员(站点)将共享广播数据，而这些广播数据将不会被扩散到其他不在此VLAN中的站点那里。

常见的划分方法有：按交换端口号、按MAC地址、按第三层协议、使用IP组播、基于策略。

1、按交换端口号
将交换设备端口进行分组来划分VLAN，例如一个交换设备上的端口1、3、5、7所连接的客户工作站可以构成VLAN10，而端口2、4、6、8则构成VLAN20等。

按端口号划分VLAN是构造VLAN的一个最常用的方法，而且此种方法比较简单并且非常有效。

但仅靠端口分组而定义VLAN将无法使得同一个物理分段(或交换端口)同时参与到多个VLAN中，而且更要紧的是当一个客户站从一个端口移至另一个端口时，网管人员将不得不对VLAN成员进行重新配置。

2、按MAC地址
这种方法由网管人员指定属于同一个VLAN中的各客户站的MAC地址。

用MAC地址进行VLAN成员的定义既有优点也有缺点。

由于MAC地址是固化在网卡中的，故移至网络中另外一个地方时它将仍然保持其原先的VLAN成员身份而无需网管人员对之进行重新的配置，从这个意义讲，用MAC地址定义的VLAN可以看成是基于用户的VLAN。

另外在此种方式中，同一个MAC地址处于多个VLAN中是不成问题的。

但这种方法也有许多不足之处，首先所有的用户在最初都必须被配置到至少一个VLAN中，只有在此种手工配置之后方可实现对VLAN成员的自动跟踪。

但在大型的网络中完成初始的配置并不是一件容易的事。

在共享媒体环境下实现的基于MAC地址的VLAN，在多个不同VLAN 的成员同时存在于同一个交换端口时可能会导致严重的性能下降。

另外在大规模的此种VLAN中交换设备之间进行VLAN成员身份信息的交换也可能会引起性能降低。

3、按第三层协议
基于第三层协议的VLAN实现在决定VLAN成员身份时主要是考虑协议类型或网络层地址。

此种类型的VLAN划分需要将子网地址映射到VLAN，交换设备则根据子网地址而将各机器的MAC地址同一个VLAN联系起来。

交换设备将决定不同网络端口上连接的机器属于同一个VLAN。

但应注意此处对于第三层
信息的使用并不构成路由功能。

因为在交换设备使用报文的IP地址决定VLAN 成员身份时并没有进行任何路由计算，也没有使用任何路由协议。

交换设备只是根据生成树算法在其他的各端口之间进行帧的转发。

在第三层定义VLAN有许多的优点。

我们可以根据协议类型进行VLAN的划分，这对于那些基于服务或基于应用VLAN策略的网管人员无疑是极具吸引力的。

用户可以自由地移动他们的机器而无需对网络地址进行重新配置，并且在第三层上定义VLAN将不再需要报文标识，从而可以消除因在交换设备之间传递VLAN成员信息而花费的开销。

第三层VLAN方法同前两种方法相比一个缺点可能是其性能问题。

对报文中的网络地址进行检查将比对帧中的MAC地址进行检查开销更大。

正是由于这个原因使用第三层信息进行VLAN划分的交换设备一般都比使用第二层信息的交换设备更慢。

目前第三层交换器的出现会大大改善VLAN成员间的通信效率。

4、IP组播VLAN
IP组播代表着一种与众不同的VLAN定义方法。

但在此种分组方法中VLAN 作为广播域的基本概念仍然适用。

各站点可以自由地动态决定(通过编程的方法)参加到哪一个或哪一些IP组播组中。

一个IP组播组实际上是用一个D类地址表示的。

当向一个组播组发送一个IP报文时。

此报文将被传送到此组中的各个站点处。

从这个意义上讲，可以将一个IP组播组看成是一个VLAN。

但此VLAN 中的各个成员都只具有临时性的特点，由IP组播定义VLAN的动态特性可以达到很高的灵活性。

并且借助于路由器，此种VLAN可以是很容易地扩展到整个WAN上。

5、基子策略的VLAN
这是实现VLAN的最有力的方法。

它允许网络管理员使用任何VLAN策略的组合来创建满足其需求的VLAN。

通过把上面列出的VLAN策略把设备指定给VLAN，当一个策略被指定到一个交换器时，该策略就在整个网络上应用，而设备被置人VLAN中。

从设备发出的帧总是经过重新计算，以使VLAN成员身份能随着设备产生的流量类型而改变。

基于策略的VLAN可以使用上面提到的任一种划分VLAN的方法，并可以把不同方法组合成一种新的策略来划分VLAN。

总之，各种划分方法侧重点不同，所达到的效果就不尽相同。

目前在网络产品中融合多种划分VLAN的方法，以便根据实际情况寻找最合适的途径。

同时，随着管理软件的发展，VLAN的划分逐渐趋向于动态化。

大多数情况下，人们可以同时为不同的工作组工作，并同时属于多个VLAN。

一个好的虚拟网策略不能强迫用户一定要属于某个虚拟网而且同时只能是一个，这样设计的虚拟网缺乏灵活性和扩展性。

一个用户同时具有多个VLAN成员资格虽然是很有必要的，但这意味着工作组的安全性下降，并可能导致可伸缩性的下降。

对于必须具有多个VLAN成员资格的资源如服务器等，可以直接把它连接到主干网上，并定义到每个VLAN上，这既提供了资源共享也维持了VLAN的安全性。

这种方式在ATM 上是通过LANE定义的。

虚拟网应该支持多个LAN交换机，同时也应支持远程
联接。

网络管理员应不受任何地域的限制，而在虚拟网中的成员也可在虚拟网中自由移动。