由于VLAN技术的普及，设备的性价比不断提高，越来越多的中小企业和单位在组建新的网络，或者升级改造现有网络时，开始采用VLAN技术。VLAN能更好地满足企业发展的需要，可突破物理网段的限制来建立部门网络，对网络通信进行隔离，提供一定的安全性，提高网络带宽的利用率，简化网络管理，便于网络的调整和扩展。

VLAN是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。VLAN涉及到多种网络技术，如虚拟网络技术、分布式路由技术、高速交换技术及网络管理技术等。采用VLAN技术，不但可以满足用户对网络灵活性和扩展性方面的要求，而且有助于隔离网络故障和分配网络带宽。

VLAN工作原理

早期的共享LAN限制了网络带宽的利用，网络交换机的引入解决了共享冲突问题。交换机在网络的源端口与目的端口之间提供直接、快速、准确的点到点连接，提供高速低延时通信，提高了网络的效率，但是从根本上说，它仍是一个高速网桥，无法过滤局域网的广播信息。当网络中节点数足够多时，广播信息包所占用的带宽就可能影响其他信息流的传输，使网络的性能迅速下降，这就是所谓的“广播风暴”。

抑制广播风暴的基本方法是隔离广播域。显而易见的解决方法是限制以太网上的节点，这就需要对网络进行物理分段。将网络进行物理分段的传统方法是使用路由器，如图1所示。路由器的基本作用是只发送和接收来往于不同物理网段的信息。路由器处于OSI参考模型的第3层，能够实现网络互联，具有许多相对复杂的功能。例如，它不转发广播包，支持路由选择、多路重发以及错误检测等，还能将不同类型的网络连接在一起。

图1

路由器所连接的网络是不同的逻辑子网，但这种子网是根据物理网络结构来划分的，配置工作量大。随着网络的不断扩展，接入设备逐渐增多，网络结构日趋复杂，必须使用更多的路由器才能将不同的用户划分到各自的广播域中，在不同的局域网之间提供网络互连。大量使用路由器无疑是一笔不小的投资，同时，路由器所造成的通信“瓶颈”也会使网络的效率大打折扣。

VLAN是一种不用路由器解决隔离广播域的网络技术。VLAN概念的引入，使交换机代替路由器承担了网络的分段工作，如图2所示。VLAN打破了传统网络的许多固有观念，使网络结构变得灵活、方便、随心所欲。VLAN不必考虑用户的物理位置，根据功能、应用等因素，将用户从逻辑上划分为一个个功能相对独立的工作组，每一个VLAN都可以对应于一个逻辑单位，如部门、项目组等。

同一个VLAN中的成员都共享广播，而不同VLAN之间广播信息是相互隔离的。这样，将整个网络分割成多个不同的广播域。例如，网络管理员可以把相关的客户和服务器分别构成不同的VLAN，同一VLAN内客户和服务器可以方便地频繁通信，在同一个VLAN中的用户相互存取网络资源就如同在使用传统的局域网一样。

图2

由于VLAN基于逻辑连接而不是物理连接，因此配置十分灵活。VLAN在逻辑上等价于广播域，可以将VLAN类比成一组最终用户的集合。这些用户可以处在不同的物理局域网上，但他们之间可以像在同一个局域网上那样自行通信，而且不受物理位置的限制。网络的定义和划分与物理位置和物理连接是没有任何必然联系的。网络管理员可以根据不同的需要，通过相应的网络软件灵活地建立和配置VLAN，并为每个VLAN分配它所需要的带宽。可以设置成每个VLAN子网的用户不能访问其他子网的资源，从而提高网络的安全性。

通常使用VLAN建立虚拟工作组。当企业VLAN建成之后，某一部门或分支机构的职员可以在虚拟工作组模式下共享同一个“局域网”，这样绝大多数的网络流量都限制在VLAN广播域内部了。当部门内的某一个成员移动到另一个网络位置上时，他所使用的工作站不需要做任何改动。另一方面，一个用户根本不用移动他的工作站就可以调整到另一个部门去。管理员只需要在控制台上简单地敲几个键或操作一下鼠标就可以了。

VLAN的技术标准

VLAN的标准最初是由Cisco公司提出的，后来由IEEE接收，演化为以IEEE为代表的国际规范，这是目前各交换机厂家都遵循的技术规范。VLAN的IEEE专业标准有两个，一个是IEEE 802.10，另外一个是IEEE 802.1Q，主要规定在现有的局域网（如以太网）物理帧的基础上添加用于VLAN信息传输的标志位。另外有些厂家，如Cisco、3Com等公司，还在自己的产品中保留了他们开发的技术协议。影响比较大的是Cisco的ISL协议和VTP协议。下面简单介绍这4种标准。

1、IEEE 802.10

IEEE 802.10标准原来是为了安全因素而提出的一种帧标签格式。1995年Cisco公司提倡使用IEEE 802.10协议。在此之前，IEEE 802.10曾经在全球范围内作为VLAN安全性的统一规范。Cisco公司试图采用优化后的IEEE 802.10帧格式在网络上传输帧标签（Frame Tagging）模式中所必需的VLAN标签。

IEEE 802.10标准本身就是一个LAN/MAN的安全性方面的标准。IEEE 802.10标准定义了一个单独的协议数据单元，通常被称为Secure Data Exchange（简称SDE）PDU，也称为802.10报头，该标准把802.10报头插在了MAC地址的帧头和数据区之间。802.10报头由C1ear Header和Protected Header两部分组成。

2、IEEE 802.1Q

IEEE 802.1Q标准制定于1996年3月，它规定了VLAN组成员之间传输的物理帧需要在帧头部增加4个字节的VLAN信息，而且还将规定诸如帧发送与校验、回路检测、对服务质量参数的支持以及对网管系统的支持等方面的标准。IEEE 802.1Q标准包括3个方面：VLAN的体系结构说明，为在不同设备厂商生产的不同设备之间交流VLAN信息而制定的局域网物理帧的改进标准， VLAN标准的未来发展展望。

新的标准进一步完善了VLAN的体系结构，统一了帧标签方式中不同厂商的标签格式，并制定了VLAN标准在未来一段时间内的发展方向。IEEE 802.1Q标准提供了对VLAN明确的定义及其在交换式网络中的应用。该标准的发布，确保了不同厂商产品的互操作能力，并在业界获得了广泛的推广。它成为VLAN发展史上的里程碑。IEEE 802.1Q的出现打破了VLAN依赖于单一厂商的僵局，从一个侧面推动了VLAN的迅速发展。

3、Cisco ISL标签

ISL（Inter-SwitchLink）是Cisco公司的专有封装方式，因此仅在Cisco的设备上支持。ISL是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接相连的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和配置。ISL主要用在以太网上。

ISL协议对IEEE 802.1Q进行了很好的补充，使得交换机之间的数据传送具有更高的效率。主要应用于互联多个交换机，并且把VLAN信息作为通信量在交换机间传送。在全双工或半双工模式下，在快速以太网链路上，ISL可提供VLAN的能力，同时仍保持全线速的性能。

4、VTP（VLAN Trunking Protocol）

Trunk（链路聚合）也是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。Trunk的主要功能就是仅通过一条链路就可以连接多个VLAN。

VTP是一种通过Trunk来进行VLAN管理的协议，属于客户/服务器方式。首先，VTP包含域的概念，只有处在同一个域内的交换机才能构成一个管理体系。其次，在整个域内，VLAN的添加和删除都是在服务器端完成的。修改的结果通过Trunk发给客户端，客户端的VLAN数据库也会发生相应的变化，也就是说，客户端内的VLAN数据库总是与服务器端的VLAN数据库保持一致（同步）。

VTP是一个在交换机之间同步及传递VLAN配置信息的协议。一个VTP Server上的配置将会传递给网络中的所有交换机，VTP通过减少手工配置而支持较大规模的网络。VTP有Server、Client和Transparent 3种模式，交换机在默认情况下设为Server模式。

VLAN的类型

一般根据交换方式，将VLAN分成3种类型：第二层VLAN、第三层VLAN和ATM VLAN。

1、第二层VLAN

在网络第二层实现的VLAN，要依赖显式（Explicity）标志技术，通过始发交换机对传统的MAC进行封装，在其中加入VLAN标识，使得其他交换机能够了解到该帧所属的VLAN，从而根据事先确定的VLAN组建的策略，将它传输到适当的交换机端口。采用显示标志封装的MAC帧中必须含有如下信息：源站与目的站的MAC地址；指示封装后的帧所属VLAN的标识；指示所包含的原始MAC帧的类型。

第二层VLAN可以依赖局域网交换机等硬件实现，具有速度快，延时小等优点。但又引起诸如帧校验、最大传输单元MTU受限、交换机之间交换VLAN信息难等问题。

2、第三层VLAN

第三层VLAN采用称为隐性（Implicity）标志的方法，主要通过第三层协议的信息来区别不同的虚拟网。此类方案倾向于使用逻辑的而非物理的方法来划分虚拟网，所以比较易于理解，也不复杂，但在具体实现时涉及到比较多的软件处理，因此，在处理速度上比不上用硬件实现的第二层VLAN，划分VLAN的依据主要是协议种类或地址等信息。

3、ATM VLAN

VLAN既可以在交换式以太网中实现，也可以在ATM骨干网中实现。要让VLAN跨越ATM骨干网进行通信，必须首先对ATM骨干网进行局域网仿真（LAN Emulation，简称LANE）的配置工作。交换机通过局域网仿真客户（LAN Emulation Client，LEC）软件接口连接到ATM网络，LEC与ATM网络上的LAN仿真服务器（LES）配合使用，处理在LAN和ATM交换机之间的VLAN。另外，通过LAN仿真，本地连接的ATM设备可与配置在共享LAN内的VLAN进行通信。

VLAN之间的通信

交换机必须有一种方式来了解VLAN的成员关系，即那一个工作站属于哪一个虚拟网，否则，VLAN就只能局限在单交换机的应用环境里了。一般来说，基于数据链路层的VLAN（即按端口和MAC地址划分的VLAN），其成员是以直接的形式与其他成员联系的，而基于IP的VLAN成员之间是利用IP地址以间接的方式相互联系的。绝大多数利用网络层划分VLAN的网络产品，其工作方式均属于后一种。有3种方式用来实现VLAN之间的通信。

1、通过路由器

传统的路由器在网络中有路由转发、防火墙、隔离广播等作用，而在一个划分了VLAN以后的网络中，逻辑上划分的不同网段之间的通信仍然要通过路由器转发。目前普遍采用单臂路由器，不管多少个VLAN，只需要一个链接端口。由于路由器的报文转发速度不高，而随着各种网络应用的发展，通过路由器的报文比率越来越大，因此路由器往往成为网络瓶颈。

2、利用第三层交换技术

这是一种将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后，会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此表直接从二层通过而不是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率，消除了路由器可能产生的网络瓶颈问题。

可见，三层交换机集路由与交换于一身，在交换机内部实现了路由，提高了网络的整体性能。目前，高性能交换机已经把二层交换功能和三层路由功能结合在一起。这种交换机能识别交换帧和路由帧。该交换就交换，该路由就路由。交换和路由在同一交换机中，并采用各种技术，使路由具有交换速度，极大提高了网络性能。这是目前最具发展前景的技术。

3、交换机列表支持方式

这种方式采用特定的工作机制。当工作站第一次在网络上广播其存在时，交换机就在自己内置的地址列表中将工作站的MAC地址或交换机的端口号与所属VLAN一一对应起来，并不断地向其他交换机广播。如果工作站的VLAN成员身分改变了；交换机中的地址列表将由网络管理员在控制台上手动修改。随着网络规模的扩充，大量用来升级交换机地址列表的广播信息将导致主干网路上的拥塞。因此，这种方式并不太普及。

另外，还可通过应用层网关来实现VLAN之间的通信。某些终端，通常是服务器能够成为多个VLAN的成员，这些VLAN可以通过该服务器完成通信。