VLAN(Virtual Local Area Network，虚拟局域网)技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN—VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。

一、什么是VLAN及其优点

    虚拟局域网(VLAN—Virtual Local Area Network)逻辑上把网络资源和网络用户按照一定的原则进行划分，把一个物理上实际的网络划分成多个小的逻辑的网络。这些小的逻辑的网络形成各自的广播域，也就是虚拟局域网VLAN。由于VLAN基于逻辑连接而不是物理连接，因此配置十分灵活。VLAN在逻辑上等价于广播域，可以将VLAN类比成一组最终用户的集合。这些用户可以处在不同的物理局域网上，但他们之间可以像在同一个局域网上那样自行通信，而且不受物理位置的限制。网络的定义和划分与物理位置和物理连接是没有任何必然联系的。网络管理员可以根据不同的需要，通过相应的网络软件灵活地建立和配置VLAN，并为每个VLAN分配它所需要的带宽。可以设置成每个VLAN子网的用户不能访问其他子网的资源，从而提高网络的安全性。VLAN的优点在于：

    其一，它把广播域限制在一个VLAN内，节省了带宽，提高了网络处理能力；

    其二，报文在不同VLAN内传输时是相互隔离的，也就是说不同VLAN内的用户不能直接通信，这样就增强了局域网的安全性。如要相互通讯则必须增加路由器或三层交换机等三层设备；

    其三，相同或不同物理范围内的用户用VLAN可以划分到同一组或不同的组，这样构建虚拟工作组也就更灵活，维护更方便。

二、VLAN的种类划分

    目前的VLAN技术主要有三种。

    2.1 基于交换机端口的VLAN

    VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3端口被定义为虚拟网VL1，同一交换机的6，7，8端口组成虚拟网VL2。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式虽然稍欠灵活但仍然是最常用的一种方式。下面用一台D-Link DES-3326SR三层交换机为某局域网划分为3个VLAN为例简要说明基于交换机端口的VLAN的配置：

    我们知道VLAN的划分应与IP规划结合起来，使得一个VLAN接口IP就是对应的子网段，VLAN接口IP就是一个子网关。VLAN应以一定规则划分，如按部门划分，相同部门的主机IP以VLAN接口IP为依据划归在一个子网范围，同属于一个VLAN。这样不仅在安全上有益，而且更方便网络管理员的管理和监控。注意：各VLAN中的客户机的网关分别对应各VLAN的接口IP。在这个局域网中计划规划三个VLAN子网对应着三个VLAN，分别是：

    VIAN 1O—VL1：

    VIAN 20—VL2；

    VLAN 30—VL3；

    划分VLAN以后，要为每一个VLAN配一个“虚拟接口IP地址”。

    VLANl0—192.168.1.1

    VLAN20—192.168.2.1

    VLAN30—192.168.3.1

    DES-3326SR三层交换机的VLAN的配置过程如下：

    ①创建VLAN

    DES-3326SR#Config vlan default delete 1-24 删除默认VLAN(default)包含的端口1-24

    DES-3326SR#Create vlan vlan10 tag 10 创建VLAN名为vlan10。并标记VID为10

    DES-3326SR#Create vlan vlan20 tag 20 创建VLAN名为vlan20。并标记VID为20

    DES-3326SR#Create vlan vlan30 tag 30 创建VLAN名为vlan30，并标记VID为30
②添加端口到各VLAN

    DES-3326SR#Config vlan vlan10 add untag 1-8 把端口　1-8　添加到VLAN10

    DES-3326SR#Config vlan vlan20 add untag 9-16 把端口　9-16　添加到VLAN20

    DES-3326SR#Config vlan vlan30 add untag 17-23 把端口 17-23 添加到VLAN30

    注：一般而言，端口24用做与其他交换机等设备连接，扩容LAN端口用。

    ③创建VLAN接口IP

    DES-3326SR#Create ipif ifl0 192.168.1.1/24 VLAN10 state enabled

    创建虑拟的接口if10给名为VLAN10的VLAN子网，并且指定该接口的IP为192.168.1.1/24。创建后enabled激活该接口。同样方法设置其它的接口IP：

    DES-3326SR#Create ipif if20 192.168.2.1/24 VLAN20 state enabled

    DES-3326SR#Create ipif if30 192.168.3.1/24 VLAN30 state enabled

    ④路由

    当配置三层交换机的三层功能时，如果只是单台三层交换机，只需要配置各VLAN的虚拟接口就行，不再配路由选择协议。因为一台三层交换机上的虚拟接口会在交换机里以直接路由的身份出现，因此不需要静态路由或动态路由协议的配置。

    2.2 基于节点MAC地址的VLAN

    这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。下面以NETGEAR GSM7224R交换机为例简要说明基于节点MAC地址的VLAN配置。

    实例中假设：

    给甲办公区分配GSM7224R的3-12端口，属于VLAN 10，使用192.168.1.0/24网段。

    给乙办公区分配GSM7224R的13-22端口，属于VLAN 20，使用192.168.2.0/24网段。

    GSM7224R的23-24口为上联口和备用上联口，同时属于VLAN 10，20，30并标记了VLAN tagging。

    电脑丙不固定在哪个办公室，但是要连接VLAN 30，使用192.168.3.0/24网段。

    假设我们已经在GSM7328S上设置了VLAN路由，并且网络上有DHCP服务器为各网段分配IP地址。那么我们就可以在GSM7224R上设置VLAN了(假设电脑丙MAC地址为AA:BB:CC:DD:EE:FF)：

    通过命令行进行配置首先进入VLAN配置模式，创建相应的VLAN。

    (GSM7224R)#vlan database

    (GSM7224R)(Vlan)#vlan 10

    (GSM7224R)(Vlan)#vlan 20

    (GSM7224R)(Vlan)#vlan 30

    为电脑丙的MAC地址设置与VLAN 30的映射。

    (GSM7224R)(Vlan)#vlan association mac aa:bb:CC:dd:ee:ff 30

    (GSM7224R)(Vlan)#exit

    (GSM7224R)#configure
设置 3-12 端口的VLAN和PVID属于VLAN 10

    (GSM7224R)(Config)#interface range 0/3-0/12

    (GSM7224R)(conf-if-range-0/3-0/12)#vlan participation include 10

    (GSM7224R)(conf-if-range-0/3-0/12)#vlan pvid 10

    (GSM7224R)(conf-if-range一0，3—0112)#exit

    设置 13-22 端口的VLAN和PVID属于VLAN 20

    (GSM7224R)(Config)#interface range 0/13-0/22

    (GSM7224R)(conf-if-range-0/13-0/22)#vlan participation include 20

    (GSM7224R)(conf-if-range-0/13-0/22)#vlan pvid 20

    (GSM7224R)(conf-if-range-0/13-O/22)#exit

    设置上联用的 23-24 端口的VLAN属于VLAN 10，VLAN 20，VLAN 30；标记VLAN tagging

    (GSM7224R)(Config)#interface range 0/23-0/24

    (GSM7224R)(conf-if-range-0/23-0/24)#vlan participation include 10

    (GSM7224R)(conf-if-range-0/23-0/24)#vlan participation include 20

    (GSM7224R)(conf-if-range-0/23-0/24)#vlan participation include 30

    (GSM7224R)(conf-if-range-0/23-0/24)#vlan tagging 1

    (GSM7224R)(conf-if-range-0/23-0/24)#vlan tagging 10

    (GSM7224R)(conf-if-range-0/23-0/24)#vlan tagging 20

    (GSM7224R)(conf-if-range-0/23-0/24)#vlan tagging 30

    (GSM7224R)(conf-if-range-0/23-0/24)#exit

    设置所有1-24端口的都属于VLAN 30。

    (GSM7224R)(Config)#interface range 0/1-0/24

    (GSM7224R)(conf-if-range-0/1-0/24)#vlan participation include 30

    (GSM7224R)(conf-if-range-0/1-0/24)#exit

    (GSM7224R)(Config)#exit

    保存配置。

    (GSM7224R)#save

    This operation may take a few minutes

    Management interfaces will not be available during this time

    Are you sure you want to save？(y/n)Y

    Configuration Saved！

    至此全部配置完成，电脑丙无论接在GSM7224R上的哪一个端口上，均以VLAN 30的用户身份与网络进行通信(例如获取IP地址等)。

    2.3 基于应用协议的VLAN

    这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。在此就不再举具体实例了。

三、结论

    一个局域网划分成多个VLAN的其优点是很明显的，它既控制了广播风暴对整个LAN的影响，提高了网络处理能力，又能在很大程度上消除对重要信息的监听，提高了网络的安全性，同时也提高了网络管理员对网络管理的效率，减轻了管理负担。所以VLAN技术越来越广泛的应用到了局域网之中。