《現(xiàn)代網(wǎng)絡(luò)技術(shù)》課件第10章

第10章虛擬局域網(wǎng)技術(shù)10.1VLAN概述10.2VLAN的交換方式10.3VLAN的劃分方法10.4VLAN成員信息的傳遞10.5VLAN配置方法10.6VLAN間路由與通信10.7VLAN的協(xié)議和標(biāo)準(zhǔn)10.8VLAN的功能習(xí)題10.1VLAN概述10.1.1VLAN的產(chǎn)生在20世紀(jì)90年代初，具有多端口的路由器開始取代網(wǎng)橋，以達(dá)到在第三層對(duì)網(wǎng)絡(luò)進(jìn)行分段的目的，并實(shí)現(xiàn)對(duì)廣播數(shù)據(jù)的抑制。但在這種使用路由器的網(wǎng)絡(luò)中，網(wǎng)段和廣播域是相對(duì)應(yīng)的。在引入交換技術(shù)之后，可以在第2層上將網(wǎng)絡(luò)進(jìn)行分段，以使各網(wǎng)段的帶寬得以提高，網(wǎng)絡(luò)中路由器負(fù)責(zé)廣播數(shù)據(jù)的抑制工作。此時(shí)，一個(gè)廣播域可以跨越多個(gè)交換的網(wǎng)段，從而使得在一個(gè)廣播域中提供對(duì)成百上千個(gè)用戶的支持并非難事。但是大量的交換設(shè)備將網(wǎng)絡(luò)分成越來越多的網(wǎng)段并不能降低對(duì)于廣播數(shù)據(jù)抑制的要求。這種網(wǎng)絡(luò)仍然要靠使用路由器來抑制廣播數(shù)據(jù)。

VLAN技術(shù)就是在這樣的背景下提出的，它代表著一種不用路由器實(shí)現(xiàn)對(duì)廣播數(shù)據(jù)進(jìn)行抑制的解決方案。在VLAN中，對(duì)廣播數(shù)據(jù)的抑制將由交換機(jī)來完成。此時(shí)，每一個(gè)物理網(wǎng)段可以僅包含一個(gè)用戶，而一個(gè)廣播域中則可以具有多達(dá)上千個(gè)以上的用戶。通過VLAN的劃分可以跟蹤各個(gè)工作站物理位置的變動(dòng)，使之在移動(dòng)位置之后不需要對(duì)其網(wǎng)絡(luò)地址重新進(jìn)行手工配置，或者雖然物理位置沒有變化，但邏輯上與其他工作站組成邏輯上的網(wǎng)絡(luò)段。

VLAN技術(shù)出現(xiàn)的另一原因是，當(dāng)前高性價(jià)比的LAN交換設(shè)備給用戶提供了非常好的網(wǎng)絡(luò)分段能力，并具有極低的報(bào)文轉(zhuǎn)發(fā)延遲以及很高的傳輸帶寬。這些為實(shí)現(xiàn)VLAN技術(shù)提供了有力的基礎(chǔ)保證。近年來，各主要的LAN設(shè)備廠商均在其交換設(shè)備中提供VLAN的集成方案。

10.1.2實(shí)現(xiàn)VLAN的前提條件

VLAN實(shí)現(xiàn)策略：將VLAN看成是一個(gè)廣播域，一個(gè)VLAN就是一組客戶工作站的集合，這些工作站不必處于同一個(gè)物理網(wǎng)絡(luò)上，它們可以不受地理位置的限制而像處于同一個(gè)LAN上那樣進(jìn)行通信和信息交換。圖10-1給出了VLAN的一個(gè)示例，在整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)中，劃分了三個(gè)VLAN，分別為工程VLAN、市場VLAN及財(cái)會(huì)VLAN，每一個(gè)VLAN包括了相應(yīng)的客戶站。圖10-1VLAN示意圖可以認(rèn)為一個(gè)VLAN實(shí)際上就是邏輯上的網(wǎng)段，這種邏輯上的網(wǎng)段給LAN的管理、安全性以及廣播數(shù)據(jù)的抑制帶來諸多的益處。要實(shí)現(xiàn)VLAN技術(shù)，需要具備以下條件：

(1)具有能夠?qū)⑺B接的客戶站進(jìn)行邏輯分段的高性能交換設(shè)備。

(2)提供在主干網(wǎng)(如高速以太網(wǎng)、ATM、FDDI)上傳輸VLAN信息的通信協(xié)議。

(3)提供VLAN間通信的第3層路由解決方案。

(4)滿足已安裝的LAN系統(tǒng)的兼容性和互操作性。

(5)提供集中控制、配置和流量管理功能的網(wǎng)管方案。上述這些條件對(duì)于企業(yè)網(wǎng)范圍內(nèi)(Intranet)的VLAN解決方案是至關(guān)重要的。10.1.3VLAN的解決方案在實(shí)現(xiàn)VLAN的過程中有許多問題需要解決，但最為關(guān)鍵的有以下幾個(gè)問題：●如何在整個(gè)網(wǎng)絡(luò)范圍內(nèi)定義各VLAN中的成員，即VLAN劃分方法?！袢绾卧诙鄠€(gè)交換設(shè)備之間傳遞VLAN成員信息?！馰LAN的配置問題?！馰LAN之間的通信如何進(jìn)行。如何解決這些問題將影響到VLAN的實(shí)現(xiàn)是否能夠有效地滿足用戶和網(wǎng)絡(luò)管理的要求。由于VLAN都是在交換網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)的，所以在這種網(wǎng)絡(luò)環(huán)境中最核心的問題是交換設(shè)備。交換設(shè)備是各客戶站連入交換網(wǎng)絡(luò)的入口點(diǎn)，它可以提供對(duì)用戶、端口和邏輯地址進(jìn)行分組以構(gòu)成VLAN的能力。每一個(gè)交換設(shè)備均可根據(jù)網(wǎng)管人員所定義的VLAN劃分方法對(duì)報(bào)文進(jìn)行過濾和轉(zhuǎn)發(fā)，并能夠?qū)⑦@種劃分信息傳遞到網(wǎng)絡(luò)中其他的交換設(shè)備和路由器那里。當(dāng)前LAN交換設(shè)備在物理上一般都安裝在共享式的分段HUB和位于主干網(wǎng)的路由器之間，它在VLAN的分段實(shí)現(xiàn)以及低延遲的報(bào)文轉(zhuǎn)發(fā)方面起到至關(guān)重要的作用。總的來說，VLAN交換設(shè)備除了能夠顯著地提高網(wǎng)絡(luò)的性能和專用帶寬外，同時(shí)它還具有完成VLAN的劃分所必需的能力。10.2VLAN的交換方式實(shí)現(xiàn)VLAN技術(shù)有端口交換、幀交換和信元交換三種交換方式。10.2.1端口交換端口交換(PortSwitch)，也稱配置交換，是把端口配置到一個(gè)或若干個(gè)通過背板連接的共享HUB上，可以形成若干個(gè)獨(dú)立的由端口組合的共享網(wǎng)絡(luò)段，每一個(gè)連接到端口上的用戶被分配到其中一個(gè)段上。有一種稱為端口交換的設(shè)備，在一個(gè)或幾個(gè)通過背板連接的端口交換模塊上通過軟硬件的控制和管理把交換模塊上的所在端口劃分成若干個(gè)共享式的互相獨(dú)立的VLAN。端口交換方式的特點(diǎn)有：端口用戶組成小規(guī)模的VLAN非常靈活。在全局交換網(wǎng)絡(luò)上，端口交換能夠?yàn)槿諺LAN提供有效的、靈活的前端配置端口組合的功能。由于端口交換形成的VLAN還是共享網(wǎng)段，因此使用這種方式形成的VLAN，端口用戶以及整個(gè)VLAN的帶寬仍受到限制。如果端口用戶需要高帶寬，或者網(wǎng)絡(luò)規(guī)模較大，這時(shí)VLAN對(duì)帶寬的要求很高，那么選用全交換的網(wǎng)絡(luò)設(shè)備是必要的。目前市場上3COM公司的端口交換機(jī)是端口交換方式最典型、用得最廣泛的設(shè)備，它可以單獨(dú)使用，形成若干個(gè)獨(dú)立的共享端口組，也可以作為核心交換機(jī)的前端處理設(shè)備(如圖10-2所示)，端口交換機(jī)的各個(gè)端口組的形成是按用戶需求用相應(yīng)的管理軟件進(jìn)行配置。圖10-2端口交換機(jī)作為前端處理設(shè)備10.2.2幀交換幀交換(FrameSwitch)是指LAN(Ethernet、TokenRing、FDDI)交換機(jī)的每一個(gè)端口都能夠提供一個(gè)獨(dú)立的共享網(wǎng)絡(luò)端口，在此端口上既可以連接共享HUB，也可以連接單獨(dú)的一個(gè)客戶站。在一個(gè)端口上接收到的幀正確地轉(zhuǎn)發(fā)到輸出端口上，在尋找路由和轉(zhuǎn)發(fā)時(shí)，幀不會(huì)被破壞。對(duì)于廣播幀來說，可以轉(zhuǎn)發(fā)到交換機(jī)的所有端口。虛擬化后，一個(gè)交換機(jī)或者互連的若干交換機(jī)上的每個(gè)端口均可以被分配給任何VLAN，即在網(wǎng)絡(luò)系統(tǒng)中形成若干個(gè)VLAN。交換機(jī)能隔離VLAN之間的信息傳遞，因此不同VLAN上的端口間的交通被阻止了。另外，端口若接收到一個(gè)廣播幀，則該幀只能在該端口所屬的VLAN中轉(zhuǎn)發(fā)到其他端口去。幀交換方式比端口交換方式增加了有效的帶寬，LAN交換機(jī)上每個(gè)端口用戶具有獨(dú)占帶寬(例10?Mb/s、100?Mb/s)的性能，交換機(jī)間互連的速率可達(dá)數(shù)百兆位甚至千兆位傳輸率。服務(wù)器和高速客戶站可以直接連到交換器端口上。目前，絕大多數(shù)廠家的LAN交換機(jī)均按幀交換方式來實(shí)現(xiàn)VLAN交換技術(shù)，將以太交換機(jī)與端口交換機(jī)組合應(yīng)用，使用戶加入VLAN更加靈活。10.2.3信元交換這種VLAN方式的核心是由一個(gè)或者多個(gè)互連的ATM交換機(jī)組成，它是在ATM交換機(jī)上實(shí)現(xiàn)信元交換。與幀交換不同的是，從ATM交換機(jī)端口上接收到信元后，正確地轉(zhuǎn)發(fā)到輸出端口。目前端口的傳輸率有155?Mb/s甚至622?Mb/s。ATM允許端點(diǎn)客戶站加入多個(gè)VLAN，允許一條物理電纜上實(shí)現(xiàn)多個(gè)邏輯連接，ATM上實(shí)現(xiàn)VLAN目前常用ATM/LAN仿真技術(shù)。10.3VLAN的劃分方法

VLAN劃分方法是指在一個(gè)VLAN中應(yīng)包含哪些站點(diǎn)(服務(wù)器、客戶站)。處在同一個(gè)VLAN中的所有站點(diǎn)將共享廣播數(shù)據(jù)，而這些廣播數(shù)據(jù)將不會(huì)被擴(kuò)散到其他不在此VLAN中的站點(diǎn)那里。VLAN劃分有以下幾種方法：●按交換端口號(hào)?！癜碝AC地址?！癜吹?層協(xié)議?！袷褂肐P組播?！窕诓呗?。

1．按交換端口號(hào)按交換設(shè)備端口進(jìn)行分組來劃分VLAN，例如一個(gè)交換設(shè)備上的端口1、2、5、7所連接的客戶站可以構(gòu)成VLAN-A，而端口3、4、6、8則構(gòu)成VLAN-B等。在最初的實(shí)現(xiàn)中，VLAN是不能跨越交換設(shè)備的。到后來進(jìn)一步的發(fā)展使得VLAN可以跨越多個(gè)交換設(shè)備。此種VLAN的構(gòu)成可以用圖10-3來表示?，F(xiàn)在，按端口號(hào)劃分VLAN仍然是構(gòu)造VLAN的常用方法之一。這種劃分方法確實(shí)比較簡單并且非常有效。但是，僅靠端口分組而定義VLAN將無法使得同一個(gè)物理分段(或交換端口)同時(shí)參與到多個(gè)VLAN中，而且更主要的是當(dāng)一個(gè)客戶站從一個(gè)端口移至另一個(gè)端口時(shí)，網(wǎng)管人員將不得不對(duì)VLAN成員進(jìn)行重新配置。圖10-3按端口號(hào)進(jìn)行VLAN分組

2．按MAC地址這種劃分方法由網(wǎng)管人員指定屬于同一個(gè)VLAN中的各客戶站的MAC地址。用MAC地址進(jìn)行VLAN成員的定義既有優(yōu)點(diǎn)也有缺點(diǎn)。由于MAC地址是固化在網(wǎng)卡中的，故移至網(wǎng)絡(luò)中另外一個(gè)地方時(shí)，它將仍然保持其原先的VLAN成員身份，而無需網(wǎng)管人員對(duì)之進(jìn)行重新的配置。從這個(gè)意義上講，用MAC地址定義的VLAN可以看成是基于用戶的VLAN。另外在這種方式中，同一個(gè)MAC地址處于多個(gè)VLAN中是可行的。但這種方法也有許多不足之處，首先所有的用戶在最初都必須被配置到至少一個(gè)VLAN中，只有在這種配置之后方可實(shí)現(xiàn)對(duì)VLAN成員的自動(dòng)跟蹤。但在大型的網(wǎng)絡(luò)中完成初始的配置并不是一件容易的事。在共享介質(zhì)環(huán)境下實(shí)現(xiàn)基于MAC地址的VLAN，在多個(gè)不同VLAN的成員同時(shí)存在于同一個(gè)交換端口時(shí)，可能會(huì)導(dǎo)致嚴(yán)重的性能下降。另外，在大規(guī)模的這種VLAN中交換設(shè)備之間進(jìn)行VLAN成員身份信息的交換也可能會(huì)引起性能降低。

3．按第3層協(xié)議在實(shí)現(xiàn)基于第3層協(xié)議的VLAN時(shí)，決定VLAN成員身份主要是考慮協(xié)議類型(支持多協(xié)議的情況下)或網(wǎng)絡(luò)層地址(如IP網(wǎng)絡(luò)的子網(wǎng)地址)。這種方式的VLAN劃分需要將子網(wǎng)地址映射到VLAN，交換設(shè)備根據(jù)子網(wǎng)地址將各機(jī)器的MAC地址同一個(gè)VLAN聯(lián)系起來，交換設(shè)備將不同網(wǎng)絡(luò)端口上連接的機(jī)器劃歸于同一個(gè)VLAN。但應(yīng)注意此時(shí)對(duì)于第3層信息的使用并不構(gòu)成路由功能。應(yīng)注意不要將其同網(wǎng)絡(luò)層路由混淆起來。因?yàn)樵诮粨Q設(shè)備使用報(bào)文的IP地址決定VLAN成員身份時(shí)并沒有進(jìn)行任何路由計(jì)算，也沒有使用任何路由協(xié)議。交換設(shè)備只是根據(jù)生成樹算法在其他的各端口之間進(jìn)行幀的轉(zhuǎn)發(fā)。因此從這個(gè)意義上講，任一VLAN內(nèi)部的連接仍然是一種平板式的橋接拓樸結(jié)構(gòu)。用第3層協(xié)議定義VLAN有許多的優(yōu)點(diǎn)。首先，可以根據(jù)協(xié)議類型進(jìn)行VLAN的劃分，這對(duì)于那些基于服務(wù)或基于應(yīng)用VLAN策略的網(wǎng)管人員無疑是極具吸引力的。其次，用戶可以自由地移動(dòng)他們的機(jī)器而無需對(duì)網(wǎng)絡(luò)地址進(jìn)行重新配置，并且在第3層上定義VLAN將不再需要報(bào)文標(biāo)識(shí)，從而可以消除因在交換設(shè)備之間傳遞VLAN成員信息而花費(fèi)的開銷。第3層協(xié)議的VLAN劃分方法同前兩種方法相比的一個(gè)缺點(diǎn)可能是其性能問題。對(duì)報(bào)文中的網(wǎng)絡(luò)地址進(jìn)行檢查將比對(duì)幀中的MAC地址進(jìn)行檢查開銷更大。正是由于這個(gè)原因，使用第3層信息進(jìn)行VLAN劃分的交換設(shè)備一般都比使用第2層信息的交換設(shè)備要慢。目前第3層交換機(jī)的出現(xiàn)會(huì)大大改善VLAN成員間的通信效率。在第3層上所定義的VLAN對(duì)于TCP/IP特別有效，但對(duì)于其他一些協(xié)議如IPX、DEC-net或Apple則要差一些，并且對(duì)于那些不可進(jìn)行路由選擇的一些協(xié)議(如Netbios)，在第3層上實(shí)現(xiàn)VLAN劃分將特別困難，因?yàn)槭褂么朔N協(xié)議的機(jī)器是無法互相區(qū)分的，因此也就無法將其定義成某個(gè)網(wǎng)絡(luò)層VLAN的一員。

4．IP組播VLAN

IP組播代表著一種與眾不同的VLAN定義方法。在這種分組方法中VLAN作為廣播域的基本概念仍然適用。各站點(diǎn)可以自由地動(dòng)態(tài)決定參加到哪一個(gè)或哪一些IP組播組中。一個(gè)IP組播組實(shí)際上是用一個(gè)D類地址表示的，當(dāng)向一個(gè)組播組發(fā)送一個(gè)IP報(bào)文時(shí)，此報(bào)文將被傳送到此組中的各個(gè)站點(diǎn)處。從這個(gè)意義上講，可以將一個(gè)IP組播組看成是一個(gè)VLAN。但此VLAN中的各個(gè)成員都只具有臨時(shí)性的特點(diǎn)，由IP組播定義VLAN的動(dòng)態(tài)特性可以達(dá)到很高的靈活性，并且借助于路由器，此種VLAN可以很容易地?cái)U(kuò)展到整個(gè)WAN上。

5．基于策略的VLAN這是實(shí)現(xiàn)VLAN的最有力的方法。它允許網(wǎng)絡(luò)管理員使用任何VLAN策略的組合來創(chuàng)建滿足其需求的VLAN。通過上面列出的VLAN策略把設(shè)備指定給VLAN，當(dāng)一個(gè)策略被指定到一個(gè)交換機(jī)時(shí)，該策略就在整個(gè)網(wǎng)絡(luò)上應(yīng)用，而設(shè)備被置入VLAN中。從設(shè)備發(fā)出的幀總是經(jīng)過重新計(jì)算，以使VLAN成員身份能隨著設(shè)備產(chǎn)生的流量類型而改變?；诓呗缘腣LAN可以使用上面提到的任何一種劃分VLAN的方法，并可以把不同方法組合成一種新的策略來劃分VLAN?？傊鞣N劃分方法側(cè)重點(diǎn)不同，所達(dá)到的效果也不盡相同。目前在網(wǎng)絡(luò)產(chǎn)品中融合多種劃分VLAN的方法，以便根據(jù)實(shí)際情況尋找最合適的途徑。同時(shí)，隨著管理軟件的發(fā)展，VLAN的劃分逐漸趨向于動(dòng)態(tài)化。大多數(shù)情況下，用戶可以同時(shí)處在不同的工作組，并同時(shí)屬于多個(gè)VLAN。一個(gè)好的虛擬網(wǎng)策略不能強(qiáng)迫用戶一定要屬于某個(gè)虛擬網(wǎng)，這樣設(shè)計(jì)的虛擬網(wǎng)缺乏靈活性和擴(kuò)展性。如某公司的工作小組，小組里面需有銷售人員、市場人員及工程技術(shù)人員，他們分別負(fù)責(zé)不同任務(wù)并協(xié)同工作，而這些人員原來又分別屬于銷售部、市場部、工程部的不同虛擬網(wǎng)絡(luò)，實(shí)際上他們組成了一個(gè)臨時(shí)的工作虛擬網(wǎng)。這時(shí)，他們既可分別訪問他們原屬的網(wǎng)絡(luò)，又可同時(shí)在工作VLAN中互相交流信息，這就是VLAN中組員的多重屬性。一個(gè)用戶同時(shí)具有多個(gè)VLAN成員資格雖然是很有必要的，但這意味著工作組的安全性下降，并可能導(dǎo)致可伸縮性的下降。對(duì)于必須具有多個(gè)VLAN成員資格的資源(如服務(wù)器等)，可以直接把它連接到主干網(wǎng)上，并定義到每個(gè)VLAN上，這既提供了資源共享也維持了VLAN的安全性。這種方式在ATM上是通過LANE定義的。虛擬網(wǎng)應(yīng)該支持多個(gè)LAN交換機(jī)，同時(shí)也應(yīng)支持遠(yuǎn)程聯(lián)接。網(wǎng)絡(luò)管理員應(yīng)不受任何地域的限制，而在虛擬網(wǎng)中的成員也可在虛擬網(wǎng)中自由移動(dòng)。如在物理上連接在廣州辦公室的PC機(jī)A，其主人可能攜帶它到北京辦事處，這時(shí)如果沒有虛擬網(wǎng)，他就要讓北京辦事處的MIS人員分配網(wǎng)絡(luò)地址給PC機(jī)A，以便他能夠訪問整個(gè)網(wǎng)絡(luò)。反之，如果北京和廣州的辦事處同處于一個(gè)虛擬網(wǎng)中，則PC機(jī)A從廣州帶到北京，只需插入任何一個(gè)結(jié)構(gòu)化市線盒即可，無需改變機(jī)器的網(wǎng)絡(luò)地址。10.4VLAN成員信息的傳遞

VLAN成員信息傳遞的關(guān)鍵是要解決多個(gè)交換設(shè)備互連時(shí)它們之間的協(xié)調(diào)問題，有隱式和顯式兩種不同的傳遞方式。一般隱式傳遞方式的VLAN適用于單個(gè)交換設(shè)備上通過對(duì)端口進(jìn)行分組的方法所定義的VLAN。對(duì)于按第3層協(xié)議所定義的VLAN符合隱式傳遞方式。此種方式的特點(diǎn)是VLAN成員信息包含報(bào)文的頭部。顯示傳遞方式的VLAN適用于交換設(shè)備間VLAN成員的信息傳送。它可分為三類，第一類是在ATM主干網(wǎng)上使用ATM論壇的ATMLAN仿真標(biāo)準(zhǔn)；第二類是使用IEEE802.1Q標(biāo)準(zhǔn)；第三類則為各廠商自行開發(fā)的幀標(biāo)記或幀封裝技術(shù)，如CISCO公司的用于快速以太網(wǎng)環(huán)境下的ISL(Inter-SwitchLink)協(xié)議以及用于FDDI主干網(wǎng)上的IEEE802.10協(xié)議的修改版本等。第一類和第二類目前都已成為工業(yè)標(biāo)準(zhǔn)。從具體技術(shù)上看，除ATMLAN仿真外，這種傳遞方式包括：信令支持的列表維護(hù)方式(TableMaintenceViaSignaling)，幀標(biāo)記方式(FrameTagging)和時(shí)分復(fù)用方式(TDM)三種。

(1)信令支持的列表維護(hù)方式。當(dāng)工作站在網(wǎng)絡(luò)上第一次發(fā)廣播幀時(shí)，交換機(jī)就在自己Cache中的地址表中將工作站的MAC地址或它所連接的端口號(hào)與所屬VLAN對(duì)應(yīng)起來，該信息被不斷地廣播到其他的交換機(jī)。當(dāng)VLAN成員發(fā)生變動(dòng)時(shí)，交換機(jī)中的地址表就需要管理員在控制臺(tái)上進(jìn)行更新。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，用以請求更新交換機(jī)地址表的廣播信息將導(dǎo)致主干網(wǎng)的擁塞，因此，這種方式較少采用。

(2)幀標(biāo)記方式。在幀標(biāo)記方式下，每個(gè)數(shù)據(jù)幀都在幀頭位置插入一個(gè)惟一的標(biāo)簽以標(biāo)明一個(gè)特定的MAC層幀屬于交換機(jī)間干線上的哪個(gè)VLAN。不同廠家的標(biāo)簽長度是不同的，有時(shí)數(shù)據(jù)幀加上標(biāo)簽后可能超過MAC幀的最大長度。

(3)?TDM方式。TDM在VLAN上的實(shí)現(xiàn)方式與它在廣域網(wǎng)上的實(shí)現(xiàn)非常類似。就像在WAN環(huán)境中支持多種流量類型一樣，TDM以同樣的方式在交換機(jī)間的干線網(wǎng)上工作以支持VLAN，就是說，時(shí)隙是保留給每個(gè)VLAN的。這種方式在一定程度上避免了前兩種方式帶來的問題，但是，劃分給一個(gè)VLAN的時(shí)隙只能被該虛擬網(wǎng)的成員使用，所以仍然有很多帶寬被浪費(fèi)了。10.5VLAN配置方法網(wǎng)絡(luò)中的各個(gè)站點(diǎn)可以按照幾種不同的方法劃分到相應(yīng)的VLAN中，這些方法包括使用靜態(tài)端口分配、動(dòng)態(tài)端口分配或多VLAN端口分配。具體采取哪種方法取決于交換設(shè)備的功能、各站點(diǎn)連接到交換端口的方式以及VLAN管理軟件的功能。當(dāng)各站點(diǎn)直接連到交換設(shè)備端口上時(shí)，VLAN的配置和管理將獲得最大的靈活性。此時(shí)所有的站點(diǎn)均可惟一地被分配到某個(gè)或某些VLAN中，當(dāng)這些站點(diǎn)的位置發(fā)生變化之后，如果仍然是直接連接到交換端口上的，那么它們將保持其原有的VLAN標(biāo)識(shí)。借助于共享式的HUB連接到交換設(shè)備上的所有站點(diǎn)，一般情況下因共享同一個(gè)交換端口而均被劃分在同一個(gè)VLAN中，此種方法對(duì)網(wǎng)絡(luò)中的每個(gè)用戶來說靈活性降低了，但對(duì)于網(wǎng)管人員來說是一個(gè)比較理想的解決方法。如果HUB具有端口交換功能的話，將提高VLAN分配的靈活性，此時(shí)每一個(gè)HUB(或多個(gè)HUB疊難)可預(yù)先配置成若干共享組，然后每個(gè)共享組均可單獨(dú)地被配置到一個(gè)VLAN中。

1．靜態(tài)端口分配靜態(tài)VLAN是指網(wǎng)管人員靜態(tài)地把交換設(shè)備的每組端口分別分配給每一個(gè)VLAN。這種分配可以借助于網(wǎng)管軟件完成或直接在交換設(shè)備中進(jìn)行配置。分配好之后這些端口將保持其VLAN配置直至被修改為止。雖然這種方式在VLAN劃分發(fā)生變化時(shí)需要管理人員進(jìn)行修改，但因其比較安全，配置起來比較容易而且易于監(jiān)視，故站點(diǎn)移動(dòng)會(huì)受到嚴(yán)格控制和管理，并且在靠VLAN管理軟件來配置交換端口的情況下，這種方法還是非常有效的。此種方式的VLAN如圖10-4所示。圖10-4靜態(tài)端口分配

2．動(dòng)態(tài)端口分配動(dòng)態(tài)VLAN端口分配是指交換設(shè)備上那些能夠在智能管理軟件的幫助下自動(dòng)地進(jìn)行VLAN端口分配的方法。一般是根據(jù)站點(diǎn)的MAC地址、邏輯地址或協(xié)議類型來劃分的。這些劃分VLAN信息將被存放到一個(gè)集中式管理軟件內(nèi)并在那里進(jìn)行維護(hù)。當(dāng)某個(gè)站點(diǎn)連接到一個(gè)交換端口上時(shí)，交換設(shè)備對(duì)其MAC地址在VLAN管理數(shù)據(jù)庫中進(jìn)行檢查，并動(dòng)態(tài)地用相應(yīng)的VLAN配置對(duì)此端口進(jìn)行配置。此種方法的一個(gè)主要好處是當(dāng)客戶站移動(dòng)位置之后無需進(jìn)行重新的配置，并且當(dāng)某個(gè)不能被識(shí)別的站點(diǎn)連入到網(wǎng)絡(luò)中之后可以在管理站點(diǎn)處給出消息。但其缺點(diǎn)也是明顯的，那就是必須在VLAN管理軟件內(nèi)建立一個(gè)數(shù)據(jù)庫并維護(hù)一個(gè)能精確地反映所有網(wǎng)絡(luò)用戶狀況的數(shù)據(jù)庫。這種形式的VLAN分配如圖10-5所示。圖10-5動(dòng)態(tài)端口分配

3．多VLAN端口分配多VLAN端口配置可以使單個(gè)交換端口或用戶能同時(shí)參與到多個(gè)VLAN中進(jìn)行通信，這種能力對(duì)于那些供多個(gè)不同的工作組共享的服務(wù)器或能夠?qū)儆诙鄠€(gè)不同的工作組的用戶而言無疑是很方便的。這種方式的VLAN帶來的一個(gè)問題就是在多個(gè)工作組間進(jìn)行端口共享將使得VLAN所提供的工作組間隔離功能明顯地減弱，從而導(dǎo)致網(wǎng)絡(luò)安全性的降低。這些被共享的端口實(shí)際上充當(dāng)了VLAN間的網(wǎng)關(guān)，實(shí)際上是構(gòu)成了一個(gè)更大的VLAN，并且這種方法在VLAN之間的交叉越來越大時(shí)擴(kuò)充起來將比較困難。對(duì)于需要在多個(gè)VLAN之間共享的資源，一種更好的解決方法是將相應(yīng)的站點(diǎn)直接接到主干網(wǎng)上，并使每一個(gè)VLAN對(duì)之均有一個(gè)惟一的訪問路徑，從而達(dá)到既實(shí)現(xiàn)資源共享又能維護(hù)VLAN隔離完整性的目的。此種方法是在ATMLANEmulation標(biāo)準(zhǔn)草案中定義的，但在共享LAN主干網(wǎng)和交換結(jié)構(gòu)主干網(wǎng)中也可實(shí)現(xiàn)。這種方式的VLAN劃分如圖10-6所示。圖10-6多端口VLAN配置10.6VLAN間路由與通信一般情況下網(wǎng)絡(luò)環(huán)境中的VLAN實(shí)現(xiàn)了網(wǎng)絡(luò)流量的分割，但VLAN之間的數(shù)據(jù)傳輸仍要借助于路由手段來實(shí)現(xiàn)。在大型網(wǎng)絡(luò)中，VLAN內(nèi)數(shù)據(jù)的高速交換同VLAN間數(shù)據(jù)傳輸?shù)挠行酚珊徒粨Q這兩者的集成正變得越來越具有吸引力。各種不同的路由方案具有很大的差別，每一種都有其各自的優(yōu)點(diǎn)和不足，并且將對(duì)網(wǎng)絡(luò)的總體結(jié)構(gòu)產(chǎn)生影響，而且路由也并不是解決VLAN間通信技術(shù)的惟一方法。同選擇一種VLAN解決方案會(huì)遇到的其他一些重要問題一樣，解決VLAN間通信的選擇也取決于用戶特定的應(yīng)用需求及總的網(wǎng)絡(luò)結(jié)構(gòu)，其中最為關(guān)鍵的是要達(dá)到較高程度的靈活性。根據(jù)路由功能位置的不同，目前基本上有五種不同的VLAN路由模式：●邊界路由。●“獨(dú)臂”路由器?！衤酚煞?wù)器/路由客戶機(jī)。●ATM上的多協(xié)議路由MPOA?！竦?層交換。對(duì)于各種不同路由模式的支持已成為各VLAN廠商的主要差別所在。某些廠商也宣布將在他們的產(chǎn)品中提供對(duì)多種不同路由模式的支持。

1．邊界路由邊界路由是指將路由功能包含在位于主干網(wǎng)絡(luò)邊界的每一個(gè)LAN交換設(shè)備中，此時(shí)VLAN間的報(bào)文將由交換設(shè)備內(nèi)在的路由能力進(jìn)行處理，而無需再將其傳送至某個(gè)外部的路由器上，數(shù)據(jù)的轉(zhuǎn)發(fā)延遲因而也將得以降低。使用此種路由方式的主要優(yōu)點(diǎn)在于不像集中式路由那樣會(huì)因中央路由站點(diǎn)的崩潰而導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓。其主要的不利之處在于：相對(duì)于統(tǒng)一路由功能的集中式管理而言，邊界路由需要對(duì)多個(gè)物理設(shè)備進(jìn)行管理。另外此種方式可能比由一個(gè)集中式路由器和多個(gè)較便宜的邊界路由器組成的集中式方案在價(jià)格上要貴一些。

2．“獨(dú)臂”路由器采用“獨(dú)臂”路由器的網(wǎng)絡(luò)方案因能消除主干網(wǎng)上集中式處理和高延遲的路由功能而越來越受廣泛的關(guān)注。這種路由器一般接在主干網(wǎng)上的一個(gè)交換設(shè)備上，以使得網(wǎng)絡(luò)中的大部分報(bào)文在通過主干網(wǎng)時(shí)無需通過路由器進(jìn)行處理，而且此種方式配置和管理起來也比較方便。此種路由模式如圖10-7所示。圖10-7“獨(dú)臂”路由器圖中表示了一個(gè)ATM網(wǎng)絡(luò)環(huán)境?？梢钥吹酵粋€(gè)VLAN內(nèi)的報(bào)文將不需要通過路由器，而直接在交換設(shè)備間進(jìn)行高速傳輸。顯然這種路由方式只是在大部分報(bào)文都無需經(jīng)過路由器進(jìn)行處理時(shí)效果才能比較理想。為此在規(guī)劃VLAN解決方案時(shí)應(yīng)盡可能地減少VLAN之間的數(shù)據(jù)傳輸量。目前已有幾家廠商提供了此種解決方案。但這種路由方式的不足之處在于，它仍然是一種集中式的路由策略，因此在主干網(wǎng)上一般均設(shè)置有多個(gè)冗余“獨(dú)臂”路由器，但如果當(dāng)網(wǎng)絡(luò)中VLAN之間的數(shù)據(jù)傳輸量比較大時(shí)，在路由器處將形成瓶頸。

3．路由服務(wù)器/路由客戶機(jī)從物理配置上看，路由服務(wù)器同“獨(dú)臂”路由器模式是相似的，但這兩種路由模式在工作方式上則有很大的不同。后者的路由功能將被分散到網(wǎng)絡(luò)中的多個(gè)設(shè)備中。在“獨(dú)臂”路由器模式下，要將一個(gè)報(bào)文從VLAN傳到另一個(gè)VLAN中時(shí)，此報(bào)文將被首先傳到獨(dú)臂路由器上，在那里進(jìn)行地址解析和路由計(jì)算，在有些類型的主干網(wǎng)(如ATM主干網(wǎng))上可能還需建立連接，然后才能進(jìn)行報(bào)文的傳輸。在路由服務(wù)器方式下，VLAN間的報(bào)文將被緩存在主干網(wǎng)邊界上的LAN交換設(shè)備中。交換設(shè)備同路由服務(wù)器之間所交換的僅僅是為建立跨越主干網(wǎng)的LAN交換設(shè)備之間的連接而必須交換的信息。這種模式同“獨(dú)臂”路由器比較起來，其最大的優(yōu)點(diǎn)在于路由服務(wù)器同交換設(shè)備間的數(shù)據(jù)傳輸量得以降低，同時(shí)也減少了報(bào)文在主干網(wǎng)上傳輸時(shí)所經(jīng)過的站點(diǎn)數(shù)量，降低傳輸延遲。這種路由模式如圖10-8所示。由此看到這種模式仍具有集中式路由的特點(diǎn)。圖10-8路由服務(wù)器路由服務(wù)器模式也有不足。集中式路由所遇到的一個(gè)最大問題就是如何對(duì)付路由器的崩潰。另外這種解決方案中的交換設(shè)備必須具有一定的路由功能，因而其價(jià)格比較貴，而且配置起來也將更為復(fù)雜一些。

4．ATM上的多協(xié)議路由(MPOA)人們現(xiàn)在正在致力于將路由服務(wù)器的方法標(biāo)準(zhǔn)化。ATM論壇的MPOA標(biāo)準(zhǔn)工作組正在進(jìn)行的工作就是這種努力中的一個(gè)代表。MPOA的目的是給可能屬于不同路由子網(wǎng)的多個(gè)用ATM網(wǎng)絡(luò)連接的設(shè)備提供直接的虛擬連接。也就是說，MPOA將使得多個(gè)屬于不同ELAN的站點(diǎn)通過ATM網(wǎng)絡(luò)直接進(jìn)行通信，而不需要經(jīng)過一個(gè)中間的路由器。其中ELAN可以看成是另一種形式的VLAN，它是在ATM網(wǎng)絡(luò)環(huán)境下用LANEmulation標(biāo)準(zhǔn)建立起來的。MPOA實(shí)際上可以看成是將路由功能集成從路由服務(wù)器到LAN-ATM邊界交換設(shè)備中，這樣一來，在VLAN之間的通信中將不再需要外部路由器，從而降低了網(wǎng)絡(luò)傳輸?shù)难舆t。

5．第3層交換技術(shù)前面章節(jié)已經(jīng)詳細(xì)地討論了第3層交換的各種技術(shù)的原理和特點(diǎn)，有的技術(shù)方案本身就是一個(gè)帶有路由功能的交換機(jī)。特別是基于智能可編程ASIC技術(shù)的第三層交換機(jī)(3Com與Bay等公司的產(chǎn)品)，它既包括了第2層和第3層的交換功能，而且還具備路由尋址功能。因此利用它來作為網(wǎng)絡(luò)的主干交換器，既可以根據(jù)多種方法來定義VLAN成員，隨后配置VLAN，又能不附加其他路由設(shè)備來實(shí)現(xiàn)VLAN之間的通信。不論從網(wǎng)絡(luò)結(jié)構(gòu)還是降低網(wǎng)絡(luò)傳輸延遲來說，用第3層交換技術(shù)不失是一個(gè)很好的選擇。10.7VLAN的協(xié)議和標(biāo)準(zhǔn)近幾年來，在實(shí)現(xiàn)VLAN的過程中，各廠家紛紛推出自己的技術(shù)和相應(yīng)的產(chǎn)品，但往往這些技術(shù)和產(chǎn)品所遵循的協(xié)議和標(biāo)準(zhǔn)(特別是在MAC層的交換技術(shù)上)是不相同的，致使各廠家的VLAN產(chǎn)品自成系統(tǒng)，互不兼容，妨礙了VLAN技術(shù)和市場的進(jìn)一步發(fā)展。目前第3層上實(shí)現(xiàn)的VLAN往往是基于InternetTCP/IP的組播技術(shù)及相應(yīng)的協(xié)議，其中涉及的技術(shù)和協(xié)議主要有：●IP組播地址確定。●IGMP?！馦VONE(InternetMulticastBackbone)?！馜VMRP(DistanceVectorMulticastRoutingProtocol)。而在MAC層上VLAN實(shí)現(xiàn)的標(biāo)準(zhǔn)最有代表性的則為IEEE802.1Q。前幾年有廠家曾提出以802.10作為VLAN實(shí)現(xiàn)的一種標(biāo)準(zhǔn)，即把原來用于安全信息的幀頭改成幀標(biāo)記使用，這種方法技術(shù)上雖然可行，但是由于域長度可變，難以采用硬件ASIC芯片對(duì)幀作處理，造成處理速度慢且價(jià)格昂貴的解決方案，因此遭到大多數(shù)廠家的反對(duì)，因此802.10無法成為大家公認(rèn)的實(shí)現(xiàn)VLAN的標(biāo)準(zhǔn)。1996年3月IEEE802.1Internetworking小組完成了制定VLAN標(biāo)準(zhǔn)而進(jìn)行的初步調(diào)查工作，解決了三大問題，即VLAN的體系結(jié)構(gòu)、幀標(biāo)記的標(biāo)準(zhǔn)格式以及VLAN標(biāo)準(zhǔn)化未來的發(fā)展方向。特別是幀標(biāo)記的標(biāo)準(zhǔn)化格式使用了802.1Q標(biāo)準(zhǔn)，這是VLAN朝開放方向發(fā)展的重要里程碑，將成為VLAN迅速應(yīng)用的關(guān)鍵因素。幀格式標(biāo)準(zhǔn)化后，各廠家可以迅速將其融入到它們生產(chǎn)的交換機(jī)產(chǎn)品中，目前所有的主要廠商，其中包括3Com、Bay、IBM以及Cisco都表示支持802.1Q。

IEEE802.1Q目前還是標(biāo)準(zhǔn)草案，該標(biāo)準(zhǔn)草案是基于IEEE802.1D和IEEE802.1p等標(biāo)準(zhǔn)，定義了基于MAC層橋接局域網(wǎng)實(shí)現(xiàn)VLAN的方法。在802.1Q中定義了兩種類型的幀標(biāo)記：

(1)隱式的幀標(biāo)記(Implicittagging)：表示幀所屬的VLAN信息并未被明顯地標(biāo)記，該幀屬于哪一個(gè)VLAN缺省則由網(wǎng)橋的接收端口號(hào)或幀中data域的信息決定。

(2)顯式的幀標(biāo)記(Explicittagging)：表示幀所屬的VLAN由網(wǎng)橋所加的標(biāo)記顯式地決定。形成以太網(wǎng)顯式的幀標(biāo)記包括以下幾個(gè)步驟，如圖10-9所示：

(1)在以太網(wǎng)幀中插入VLAN頭部。頭部插在DA(目的地址)和SA(源地址)之后。

(2)重新計(jì)算FCS(幀檢驗(yàn)序列)。圖10-9以太網(wǎng)VLAN幀標(biāo)記

VLAN頭部包括如下信息域：

(1)?VPID(VLANProtocolIdentifier)，它表明此幀已按802.1Q協(xié)議顯式標(biāo)記。

(2)?VCI(VLANControlInformation)，它由以下幾部分組成：①?User_priority，它允許VLAN幀在那些不具備表示用戶優(yōu)先權(quán)的網(wǎng)段(如Ethernet)攜帶用戶優(yōu)先權(quán)信息。②TR_encap，它置位時(shí)表示該幀data域中攜帶的是未經(jīng)翻譯和封裝的TokenRing幀的數(shù)據(jù)。

VID(VLANIdentifier)，它表明此幀屬于哪一VLAN。10.8VLAN的功能人們發(fā)展VLAN技術(shù)的一個(gè)主要原因是：減少在網(wǎng)絡(luò)中的站點(diǎn)發(fā)生移動(dòng)、增加和修改時(shí)的管理開銷，同時(shí)解決因數(shù)據(jù)廣播而引起的一些性能問題。如安全性、對(duì)廣播數(shù)據(jù)更好的管理和控制、網(wǎng)絡(luò)的微分段、負(fù)載分擔(dān)等。

1．提高管理效率網(wǎng)絡(luò)中站點(diǎn)的移動(dòng)、增加和改變是最讓網(wǎng)管人員頭疼的問題之一，同時(shí)也是網(wǎng)絡(luò)維護(hù)過程中相對(duì)來說開銷比較大的一部分。因?yàn)榇藭r(shí)一般都需要重新進(jìn)行布線，并且?guī)缀跛械恼军c(diǎn)移動(dòng)都伴隨著地址的重新分配以及對(duì)HUB和路由器進(jìn)行重新配置。

VLAN為此提供了有效的手段，同時(shí)對(duì)HUB和路由器重新進(jìn)行配置的開銷將得以減少。當(dāng)某個(gè)VLAN中的一個(gè)用戶從一個(gè)地點(diǎn)移動(dòng)至另一個(gè)地點(diǎn)時(shí)，只要他們?nèi)耘f保持在同一個(gè)VLAN中并且能夠連接到一個(gè)交換端口上，那么就無需對(duì)他們的網(wǎng)絡(luò)地址進(jìn)行修改，最多只是需要將此交換端口重新配置到相應(yīng)的VLAN中。這種方式將極大地簡化配置和調(diào)試工作。這對(duì)于目前大量使用的配線間技術(shù)是一個(gè)很大的改進(jìn)，并且此時(shí)路由器的配置可以保持不變。廣播數(shù)據(jù)的控制，站點(diǎn)的移動(dòng)、增加和修改的規(guī)劃，以及網(wǎng)絡(luò)資源訪問權(quán)限的設(shè)置都是集中式管理的一般性功能。VLAN通信為這種管理方式打開了方便之門，因?yàn)樵赩LAN解決方案中一般都帶有可集中配置、管理和監(jiān)控的VLAN管理軟件。

2．控制廣播數(shù)據(jù)廣播數(shù)據(jù)是在每一個(gè)網(wǎng)絡(luò)中都會(huì)出現(xiàn)的。其數(shù)據(jù)量的多少主要取決于應(yīng)用的類型、服務(wù)器的類型、邏輯分段的數(shù)目以及這些網(wǎng)絡(luò)資源的如何使用。目前各種GroupWare應(yīng)用將會(huì)產(chǎn)生大量的廣播數(shù)據(jù)，網(wǎng)絡(luò)設(shè)備的故障也可能會(huì)導(dǎo)致廣播數(shù)據(jù)的大量出現(xiàn)。如果管理得不好，廣播數(shù)據(jù)將嚴(yán)重地?fù)p害網(wǎng)絡(luò)的性能并可能導(dǎo)致整個(gè)網(wǎng)絡(luò)的崩潰。因此，網(wǎng)管人員必須采取措施對(duì)因廣播數(shù)據(jù)而可能導(dǎo)致的問題加以預(yù)防。早期使用的有效的措施是用防火墻對(duì)網(wǎng)絡(luò)進(jìn)行適當(dāng)?shù)姆侄?，以防止因某個(gè)網(wǎng)段出現(xiàn)問題而使整個(gè)網(wǎng)絡(luò)受到影響。這種功能一般可借助于路由器來實(shí)現(xiàn)。當(dāng)交換型體系結(jié)構(gòu)在網(wǎng)絡(luò)中大量使用時(shí)，廣播數(shù)據(jù)(第2層數(shù)據(jù))將被傳送到各個(gè)交換端口那里。此種結(jié)構(gòu)通常被稱做是“平板式”的網(wǎng)絡(luò)，整個(gè)網(wǎng)絡(luò)構(gòu)成一個(gè)廣播域。平板式交換型網(wǎng)絡(luò)的優(yōu)點(diǎn)是，它給用戶提供了非常低的傳輸延遲和非常高的數(shù)據(jù)傳輸率。但廣播數(shù)據(jù)卻將被傳送到所有的交換設(shè)備、端口、主干網(wǎng)連接和用戶那里，大量地浪費(fèi)了網(wǎng)絡(luò)資源特別是寶貴的廣域網(wǎng)資源。為減少這種不利影響，在網(wǎng)絡(luò)中還得加上一定數(shù)量的路由器以對(duì)網(wǎng)絡(luò)進(jìn)行分段。一旦使用了路由器，傳輸延遲將會(huì)隨之增加，從而喪失交換型網(wǎng)絡(luò)的優(yōu)點(diǎn)。

VLAN的主要好處之一是支持VLAN的交換設(shè)備，也可以有效地對(duì)廣播數(shù)據(jù)進(jìn)行控制，某VLAN中的廣播數(shù)據(jù)將只是被復(fù)制到那些連接有此VLAN的某個(gè)成員的交換端口上，在除此而外的那些端口上將不會(huì)出現(xiàn)這些數(shù)據(jù)。這實(shí)際上是為在交換型網(wǎng)絡(luò)中建立起同路由器功能類似的防火墻提供了一種有效的手段。但同使用路由器的解決方案相比，VLAN技術(shù)有幾個(gè)顯著的優(yōu)點(diǎn)是路由器所無法具備的。首先是性能上的問題，使用路由器最大的問題是傳輸延遲比較高，而在VLAN結(jié)構(gòu)中大部分?jǐn)?shù)據(jù)都是借助于交換而傳輸?shù)模挥性赩LAN間的數(shù)據(jù)才要經(jīng)過路由器的處理。在配置得比較好的VLAN結(jié)構(gòu)中，VLAN間的數(shù)據(jù)量將比較少，因而總的網(wǎng)絡(luò)性能將不會(huì)受到太大的影響。其次路由器的配置和管理更為復(fù)雜，減少網(wǎng)絡(luò)中路由器的數(shù)量可以降低網(wǎng)絡(luò)的維護(hù)和管理開銷。另外同路由器端口比較起來，交換端口的價(jià)格要便宜一些，這使得我們可以用比較少的費(fèi)用獲得比較好的效果。網(wǎng)管人員可以非常方便地通過多種手段對(duì)廣播域的大小進(jìn)行控制，例如限制在同一個(gè)VLAN中的交換端口的數(shù)目以及連接在這些端口上的用戶的數(shù)目等。一般來說，VLAN中的用戶數(shù)越小，此VLAN中的廣播數(shù)據(jù)對(duì)于網(wǎng)絡(luò)中其他用戶的影響將越小。另外可以基于所用的應(yīng)用類型及這些應(yīng)用所產(chǎn)生的廣播數(shù)據(jù)量的大小進(jìn)行VLAN的劃分。共享同一個(gè)會(huì)產(chǎn)生大量廣播數(shù)據(jù)的應(yīng)用程序的那些用戶可以劃分到同一個(gè)VLAN中，同時(shí)網(wǎng)管人員也可以將此應(yīng)用分布到整個(gè)網(wǎng)絡(luò)上。

3．增強(qiáng)網(wǎng)絡(luò)安全性目前共享型的LAN已經(jīng)大量地安裝在各行各業(yè)中，這會(huì)導(dǎo)致的一個(gè)嚴(yán)重問題就是如何對(duì)數(shù)據(jù)進(jìn)行保密，共享型LAN的一個(gè)最大的不足就是易于受到入侵。只要把機(jī)器接入到一個(gè)端口中就可以收到相應(yīng)網(wǎng)段上的所有數(shù)據(jù)。廣播域越大，此種危險(xiǎn)也將越大，除非是HUB本身具有安全控制功能。增強(qiáng)網(wǎng)絡(luò)安全性的一種最有效和最易于管理的方法是，將整個(gè)網(wǎng)絡(luò)劃分成一個(gè)個(gè)互相獨(dú)立的廣播組(VLAN)。通過網(wǎng)管人員可以限制某個(gè)VLAN中的用戶的數(shù)量，并且可以禁止那些沒有得到許可的用戶進(jìn)入到某個(gè)VLAN中。按照這種方式，VLAN可以提供一道安全性防火墻，以控制用戶對(duì)于網(wǎng)絡(luò)資源的訪問，控制廣播組的大小和構(gòu)成，并且可借助于網(wǎng)管軟件在發(fā)生非法入侵時(shí)及時(shí)通知管理人員。實(shí)現(xiàn)此種類型的分段相對(duì)來說還是比較簡單的。例如可以根據(jù)應(yīng)用類型和訪問權(quán)限對(duì)交換端口進(jìn)行分組，那些受限的應(yīng)用和資源一般均被放到一個(gè)VLAN中。試圖侵入某個(gè)VLAN中的非法用戶將被網(wǎng)管軟件標(biāo)記出來，通過使用路由器訪問表還可以使安全性得到更進(jìn)一步的增強(qiáng)，這對(duì)于VLAN間的數(shù)據(jù)傳輸將特別有用。在此種安全性的VLAN上，路由器將根據(jù)在交換設(shè)備和路由器中的配置而限制對(duì)于某些VLAN中數(shù)據(jù)的訪問。此種限制可以根據(jù)站點(diǎn)的地址、應(yīng)用類型、協(xié)議類型、甚至?xí)r間等加以設(shè)置。

4．減少站點(diǎn)的移動(dòng)和改變開銷

VLAN最突出的特點(diǎn)是，它可以減少處理用戶站點(diǎn)的移動(dòng)和改變所帶來的開銷。由于這些開銷一般來說都比較大，因此VLAN方案也越來越引人注目。各廠商也都在宣揚(yáng)他們的產(chǎn)品將如何能夠有效地實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的動(dòng)態(tài)管理以達(dá)到節(jié)省開銷的目的。事實(shí)上，VLAN方案也確實(shí)能實(shí)現(xiàn)這一目的。舉例來說，對(duì)于IP類型的網(wǎng)絡(luò)，當(dāng)用戶從一個(gè)子網(wǎng)移至另一個(gè)子網(wǎng)時(shí)，一般都需要對(duì)其IP地址進(jìn)行手工修改，而此種修改可能需要花費(fèi)比較長的時(shí)間才能使站點(diǎn)正常工作，而這些時(shí)間本來是可以用于其他一些更具有創(chuàng)造性的活動(dòng)上的。使用VLAN則可以完全消除這些不必要的時(shí)間浪費(fèi)，因VLAN的成員身份同站點(diǎn)所在的地址是無關(guān)的，這樣一來站點(diǎn)可以發(fā)生移動(dòng)，而其IP地址和子網(wǎng)成員身份則可以保持不變。但任何事物都是具有兩面性的，VLAN的實(shí)現(xiàn)雖然可以降低對(duì)于網(wǎng)絡(luò)動(dòng)態(tài)管理的開銷，但VLAN在物理連接的基礎(chǔ)上多出了一個(gè)虛擬連接，而對(duì)此虛擬連接的管理也是要有一定的開銷的。但只要規(guī)則得當(dāng)，總的網(wǎng)絡(luò)管理開銷還是將得以降低。

5．實(shí)現(xiàn)虛擬工作組

VLAN方案的另一個(gè)突出特點(diǎn)是，要建立起虛擬工作組模型。虛擬工作組是指當(dāng)在整個(gè)園區(qū)網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)了VLAN之后，同一個(gè)部門的所有成員將可以像處于同一個(gè)LAN上那樣進(jìn)行通信，大部分網(wǎng)絡(luò)通信將不會(huì)傳出此VLAN廣播域。當(dāng)某個(gè)用戶從一個(gè)地方移動(dòng)到另一個(gè)地方時(shí)，如果他的工作部門不發(fā)生變化，那么就用不著對(duì)其機(jī)器進(jìn)行重新配置。與此類似，如果某個(gè)用戶改變了工作部門，他可以不改變其工作地點(diǎn)，而只需網(wǎng)管人員修改一下其VLAN成員身份即可。這種功能模型使得我們可以建立起更為動(dòng)態(tài)化的組織環(huán)境，以增強(qiáng)向功能交叉的工作組方向演化的趨勢。虛擬工作組模型的工作方式是：以某個(gè)臨時(shí)性的項(xiàng)目為基礎(chǔ)的工作組可以虛擬地連接到同一個(gè)VLAN上，這樣此工作組中的人員將用不著改變其工作地點(diǎn)。另外這些工作組可以是動(dòng)態(tài)的。同某個(gè)功能有關(guān)的工作組相應(yīng)的VLAN可以在項(xiàng)目的生存期內(nèi)動(dòng)態(tài)地創(chuàng)建起來，而在此項(xiàng)目完成之后則可以將此VLAN“拆除”，用戶的地理位置都不用發(fā)生任何變化。雖然這種操作確實(shí)很誘人，但實(shí)際情況是VLAN本身并不能完全實(shí)現(xiàn)這種虛擬工作組模型。目前要實(shí)現(xiàn)這模型至少要考慮以下幾個(gè)管理和結(jié)構(gòu)方面的問題：

(1)虛擬工作組的管理。從網(wǎng)絡(luò)管理的角度出發(fā)，虛擬工作組的暫時(shí)性可能會(huì)使得修改VLAN成員和身份同修改路由表一樣麻煩，而且從人們的心理角度來講，他們可能更習(xí)慣于同他們的同事呆在同一個(gè)地方，這對(duì)于虛擬工作組的實(shí)現(xiàn)無疑是一個(gè)最大的障礙。

(2)?80/20規(guī)則的保持。虛擬工作組的VLAN通常假設(shè)80%以上的網(wǎng)絡(luò)通信量是本VLAN內(nèi)的，而只有不到20％是跨越