虚拟局域网子网的划分

虚拟局域网子网的划分

VLAN子网的划分

除了通过子网掩码进行子网划分的方法外，在企业网络中还应用着一种新型的子网划分方法，那就是VLAN。VLAN子网划分方法较子网掩码子网划分方法来说更加灵活，功能更强。但它需要专门的设备，那就是支持VLAN技术的交换机(包括第二／三层交换机)。

7.1 VLAN简介

VLAN(Virtual Local Area Network，虚拟局域网是对连接到第二层／三层交换机端口的网络用户进行逻辑分段，实际上就是划分不同的子网。但要注意的是，此种子网划分方法不受网络用户的物理位置、IP地址、甚至所用协议等因素限制，而只根据用户的需求进行分段，当然这个需求也是有条件的，本节后面将介绍。

一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网同样能够解决局域网中的冲突域、广播域和带宽问题。而且这种子网划分方式相对前面介绍的子网掩码划分方式更加灵活，更加适用，主要表现在如下几个方面。

* 可独立划分。这种子网划分方式可以仅对需要保护的部门或用户划分到独立的VLAN

子网中，对不必要的仍可使用原来的网络，无需改变配置。这一点采用改变子网掩码划分子网的方式就做不到了。

* 不会减少IP地址资源。因为这种予网划分方式不是通过改变子网掩码的方式进行，

所以网络中的网络地址和广播地址不会改变，也不会因子网的划分而致使一头一尾的两个子网IP地址不能用，所以网络中的可用IP地址不会因此而有任何减少。

* 划分方式灵活。既可以根据部门，也可以根据所用的通信协议、IP地址和交换机端口等进行划分。而且这里的子网定义和划分与物理位置和网络的物理连接是没有任何必然联系的。网络管理员可以根据不同的需要，通过相应的网络软件灵活的建立和配置虚拟网，并为每个虚拟网分配它所需要的带宽。

传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费宝贵的带宽资源，而且广播对网络性能的影响随着广播域的增大而迅速增强。此时唯一的途径就是重新划分网络，把单一结构的大网划分成相互逻辑独立的小网，如图7-2所示。

VLAN子网划分方式的技术基础还是来源于普通的交换网络，在交换网络产生以前，企业网络往往都是基于集线器一路由器结构的。

在这种网络中，各网络用户共享同一带宽，所以通常被称之为“共享网络”。而自交换机技术出现以后，集线器技术就受到极大的挑战，因为无论是网络性能，还是在网络组建灵活性等方面，交换机技术都较集线器技术有了极大地提高。更为可贵的是，在采用交换机的网络中，各设备都有自己的LAN，带宽并不是共享的，通常称之为“交换网络”。

将网络分段的机制内置到交换网络中就形成了本节所要介绍的VLAN网络。VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN子网内部。划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。同时，由于不同VLAN 子网问不可直接通信，必须借助于位于OSI参考模型的第三层(网络层)的路由器或者第三层交换机来实现的，所以在一定程度上提高了各子网间的网络安全。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN和第三层／四层的交换结合使用能够为网络提供较好的安全措施。

综合起来，我们可以这样理解VLAN。

* 单一VLAN子网实际上是一个单一广播域。

* 任一用户发出的信息只被定义在同一域中的其他用户接收。

* 路由器或第三层交换机可以控制着VLAN域间的通信，可以灵活配置不同的用户访问权限，只对确实需要的一方或双方开放访问权限，可以确保关键子网的安全。典型VLAN网络结构如图7-3所示。

图7-2划分多个网段示例

图7-3典型VLAN网络结构

随着VLAN技术的日益完善，VLAN技术在大中型企业网络中得到越来越多的应用，己成为网络灵活分段和提高网络安全的重要方法。

7．2 VLAN的划分方式

前面我们说到，用户可以根据自己的需要来选择不同的VLAN子网划分方式，但这并不是说用户可以不受限制地提出了网划分需求，要受到VLAN技术本身所支持的划分方式限制。目前来说，常见的主要有以下五种VLAN子网划分方式，用户只能选择其中的一种。

1．按端口划分

这种划分方式就是将交换机中的某些端口定义为一个单独的区域，从而形成一个VLAN子网。同一VLAN子网中的计算机属于同一个网段，不同VLAN 之间进行通信需要通过路由器或者三层交换机进行通信。

基于端口的划分方式是最简单也是最常用的。它的优点是配置起来非常方便，而且有许多二层交换机都支持这一技术，所以实现起来成本较低，配置也非常简单。这种划分方式适用于网络环境比较固定的情况。不足之处是不够灵活，当一台计算机需要从一个端口移动到另一个新的端口，而新端口与旧端口不属于同一个VLAN时，要修改端口的VLAN设置，或在用户计算机上重新配置网络地址，这样才能加入到新的VLAN中。否则，这台计算机将无法进行网络通信。

注意：这种划分方式在第一代VLAN技术中只允许将虚拟网限制在了一台交换机上，而不能分布在几台交换机上。而在第二代VLAN技术中，则突破了这一限制，同一按端口划分的VLAN子网可以分布在多台交换机上。

采用这种划分方式，将属于不同交换机端口的物理网段分在一个VLAN中，通过网络管理软件，根据VLAN标识符将不同的端口分到相应的分组(VLAN)中。在第二代VLAN技术支持下，不同交换机的端口都可划分为同一VLAN子网中，更加灵活，更加实用了。例如同一学院的系办公室、教研室位于不同的楼宇中，连接的是不同的交换机，但仍然可以根据连接的端口将它们定义为同一个VLAN 中。

图7-4所示的是在一个网络中将第一个交换机的2～10号端口和第二台交换机的1～10号端口划分为同一个VLAN子网f在此标记为VLANl)；而将第一个交换机的1 l～22号端口和第二个交换机的15～20号端口划分在另一个VLAN子网中(在此标记为VLAN2)的结构。

图7-4基于端口的VLAN不图

基于端口方式划分VLAN子网虽然简单，但这种方式也有它固有的不足，那就是不允许多个VLAN共享一个物理网段或交换机端口，也就是一个端口只