虛擬局域網簡介

　　VLAN是為解決以太網的廣播問題和安全性而提出的，它在以太網幀的基礎上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態治理網絡。VLAN技術答應網絡治理者將一個物理的LAN邏輯地劃分成不同的廣播域即VLAN，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中，即使是兩臺計算機有著同樣的網段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉發，從而有助于控制流量、減少設備投資、簡化網絡治理、提高網絡的安全性。

　　虛擬局域網的幾種實現技術

　　1.基于端口劃分的VLAN————按VLAN交換機上的物理端口和內部的PVC（永久虛電路）端口來劃分。

　　優點：定義VLAN成員時非常簡單，只要將所有的端口都定義為相應的VLAN組即可。

　　缺點：如果某用戶離開原來的端口到一個新的交換機的某個端口，必須重新定義。適合于任何大小的網絡

　　2.基于MAC地址劃分VLAN————這種劃分VLAN的方法是根據每個用戶主機的MAC地址來劃分。

　　優點：當用戶物理位置從一個交換機換到其他的交換機時，VLAN不用重新配置。

　　缺點：初始化時，所有的用戶都必須進行配置。適用于小型局域網。

　　3.基于網絡層協議劃分VLAN————VLAN按網絡層協議來劃分，可分為IP、IPX、DECnet、AppleTalk等VLAN網絡。

　　優點：用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據協議類型來劃分VLAN，并且可以減少網絡通信量，可使廣播域跨越多個VLAN交換機。

　　缺點：效率低下。適用于需要同時運行多協議的網絡

　　4.根據IP組播劃分VLAN————IP組播實際上也是一種VLAN的定義，即認為一個IP組播組就是一個VLAN。

　　優點：更大的靈活性，而且也很容易通過路由器進行擴展。

　　缺點：適合局域網，主要是效率不高。適合于不在同一地理范圍的局

　　虛擬機局域網三種實現方式

　　第一種實現方式：以端口為中心的虛擬局域網

　　以端口為中心的虛擬局域網中，虛擬局域網交換機的一個端口就是一個虛擬局域網，雖有連接在這個端口上的主機都在同一個虛擬局域網中。很顯然，這回使得我們的管理工作更加的容易，而且網絡運行也會更加的有效。具體來說，這種實現方式有如下的優點：

　　1、數據不會泄露到其他域

　　由于一個交換機端口就是一個獨立的局域網。所以，當數據在網絡中傳輸的時候，交換機就不會把數據包轉發給其他的端口中。這就可以保證數據包只在自己的虛擬局域網中傳輸。若需要發送到其他的虛擬局域網中，則交換機也是先把數據發送給路由器，然后，再由路由器發送給交換機中其他的端口。可見，以端口為中心的虛擬局域網，可以有效的避免網絡偵聽，從而比其他的實現方式具有更高的安全性。

　　2、用戶由端口分配，虛擬局域網易于管理

　　相對于其他方式來說，以端口為中心的虛擬局域網中，一個交換機的端口就表示一個虛擬局域網。這種特性，便于我們對局域網進行設置與管理。因為一個端口上的主機都在一個虛擬局域網中，如此的話，就不需要我們做過多的配置，就可以實現虛擬局域網。而相對于其他實現方式來說，都需要進行一些比較繁瑣的設置，因為他們往往兩個甚至更多以上的端口是同一個虛擬局域網。

　　這種方式雖然易于管理，提供了比較高的安全性能，但是，其也有一些比較致命的缺陷。主要的缺陷就是不夠靈活，當用戶變動位置的時候，這種實現方式的變化就會比較大。如現在由于要開發一個產品，為此質量、銷售、生產、采購等等組成一個臨時的項目小組，負責這個產品的開發。為了提高產品開發效率，所以把他們臨時搬到會議室進行工作。如此地理位置的變動后，他們連接的網線也要變了。若采用其他的實現方式，如動態的虛擬局域網，根據主機的MAC地址來判斷該用戶是屬于哪個虛擬局域網中，則不用進行其他的配置，就可以連接到他們以前的虛擬局域網中。而采用以端口為中心的虛擬局域網，由于會議室中網線的端口沒有進行調整過，則他們就不屬于他們以前的局域網中。這就會給他們的日常工作帶來比較大的影響。

　　真是因為以端口為中心的虛擬局域網有這個致命的缺陷，把它的一些優點都淹沒了。所以，在中型以上的網絡中，很少采用這種實現方式。當用戶的位置改變時，其管理成本太高。

　　第二種實現方式：靜態的虛擬局域網

　　靜態的虛擬局域網與以端口為中心的虛擬局域網類似。靜態的虛擬局域網是在交換機上靜態的配置，可以讓一個或者幾個交換機的端口為一個虛擬局域網。這些端口將一直保持著這種配置，除非網絡管理員人為的去改變他們。可見，這跟上面的這種實現方式的差異，主要在于前者一個端口就是一個虛擬局域網，而后者的話，可以通過配置實現幾個端口是同一個虛擬局域網。這種差異，可以減少當用戶位置改變時或者當公司組織結構發生改變時的管理成本。

　　如有家企業，隨著公司規模的擴大，產品研發部門人數也隨之增加。后來研發部門下面分成了兩個組，一個是產品開發組，另外一個是供應商開發組。他們雖然在兩個不同的辦公室，但是都屬于同一個部門。而現在產品開發組的網絡通過集線器連接到交換機的一個端口上;供應商開發組的網路連接到另外一個端口上。若是采用以端口為中心的實現方式的話則可能就需要額外的添加一個額外的物理層局域網交換機，把他們兩個組的網絡連接到同一個虛擬局域網中。但是，若采用靜態的虛擬局域網的話，則不需要添置其他的硬件設備，而只需要在虛擬局域網交換機上，把他們所連接的兩個端口設置為同一個虛擬局域網即可。很明顯，靜態虛擬局域網能夠比較適應組織結構的變動，它應對這種情況的管理成本相對比較低廉一些。

　　但是，靜態局域網他也有一定的缺陷。主要在于對一些移動用戶無法作出靈活的調整。如現在財務經理有一臺筆記本電腦，當開部門管理層會議的時候，財務經理需要在會議室中連接到他所在的網絡，訪問其他財務人員的共享文件。同理，產品研發部門經理也需要訪問他們部門的共享文件。但是，根據靜態虛擬局域網的特征，會議室的網線所連接端口在同一時間中只能屬于同一個虛擬局域網。除非在會議室中部屬很多的網線并且分屬于不同的端口;或者說當用戶改變的時候網絡管理員手工的更改端口配置。但是，無論是哪一種實現方式，其管理成本都是比較高的，管理工作量也比較大。

　　所以，靜態虛擬局域網在網絡設備位置相對穩定的企業中適用會比較好;同時，也可以應對一些部門的變動。因為部門變動畢竟不會常常發生，如半年一次的變動的話，還是可以適應的。

　　但是，若一天之內用戶需要改變好幾次位置，如開會、培訓、給客戶演示的需要等等。這種情況下，只有采用第三種實現方式，即動態的虛擬局域網。

　　第三種實現方式：動態的虛擬局域網

　　當企業員工在公司內部到處走動，在任何一個位置上都能夠連接到自己所在的虛擬局域網的話，則采用動態的虛擬局域網是最佳的選擇。其實，隨著無線網絡在公司內部的普及，這種需求對于企業來說，也越來越普遍。

　　如當客戶在拜訪的時候，安排在會客室。銷售經理拿著筆記本在會客室進行無線網絡的時候，則他仍然需要訪問自己銷售部門所在的虛擬局域網。若是第三方檢驗的人在會客室內，則質量部門人員在會客室利用他們的筆記本看相關的檢驗信息的時候，他們也需要連接到質量部門的網絡等等。

　　針對這種情況，我們就希望能夠根據主機的MAC地址來判斷這臺主機是屬于那個虛擬局域網。若能夠按這種方式實現的話，則公司員工無論到企業哪個位置，則員工都不會改變其所屬的虛擬局域網。

　　采用動態的虛擬局域網，就可以實現這種需求。動態虛擬局域網那個是指在交換機上可以動態的分配虛擬局域網的端口，如可以利用MAC地址或者IP地址來分配。一般情況下，我們都是利用MAC地址來分配虛擬局域網的端口。當用戶的主機連接到交換機上的端口時，交換機會判斷這臺主機的MAC地址。然后根據其內部的虛擬局域網與MAC地址對照表，判斷這臺主機是屬于哪個虛擬局域網的。最后其就把這臺主機連接到對應的虛擬局域網中。這種實現方式的好處就是可以應對用戶位置的地理變化。當用戶在公司內部移動時，我們網絡管理員基本上不用為他們做額外的配置與管理。虛擬局域網交換機會根據用戶主機的MAC地址或者IP地址，來自我的進行調整。

　　不過這種方式也有一個比較大的缺陷，就是前期的維護工作量比較大。如在虛擬局域網配置的時候，要把公司所有主機的MAC地址跟其所屬的虛擬局域網對應起來。當公司中新添加主機的時候，也需要調整交換機中的這個對應表。天下沒有白吃的午餐。要在后續的維護工作中省心的話，則在前期虛擬局域網規劃中，就要多花點功夫了。

　　所以說，這種動態虛擬局域網也不是說用在任何企業中都能夠起到很好的效果。對于員工位置穩定，不需要移動辦公的企業來說，則采用靜態的虛擬局域網是一個比較名字的選擇。若企業移動辦公經常發生，則最好還是采用動態的虛擬局域網為妙。

　　當然，若不從管理成本上考慮，以上的三種方式在企業中都可以使用。若考慮到管理成本與使用的便利性因素的時候，網絡管理員就要憑借自己的經驗，做出抉擇了。