[科普中国]-VLAN隔离技术

VLAN 隔离技术根据特定的策略，把物理上形成的局域网（Local Area Network，LAN）划分成不同的逻辑子网，把数据链路层广播报文隔离在逻辑子网之内，形成各自的广播域，每个逻辑子网就是一个“虚拟的局域网（Virtual LAN）”。每个接入至支持 VLAN 的交换机的终端设备，都属于一个特定的 VLAN，不同 VLAN 中的终端设备无法直接通过数据链路层通信。VLAN 技术有效限制了广播报文的传输范围，一定程度上抑制了广播风暴，提高了网络的安全性，大量应用于高校、企业以及住宅小区等园区网络1。

简介VLAN是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。同一个局域网不同VLAN的主机间不能通信，802.1q标准规定在原有以太网帧格式中增加一个特殊的标志域Tag，用于标识区分普通标准以太帧和VLAN帧。Tag域共占4个字节，包括IPID和TCI（Tag Control Information）两个域。TPID是一个固定的16进制值0x8100，表示这是一个加了802.1q标签的帧。Priority域占用3个bit位，用于标识数据帧的优先级。CFI域仅占1bit位，该位值为0表示该数据帧采用规范帧格式，为1表示该数据帧采用为非规范帧格式。VLAN ID域占用12个bit位，用于指明数据帧所属的VLAN号

基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。一方面，VLAN建立在局域网交换机的基础之上；另一方面，VLAN是局域交换网的灵魂。这是因为通过 VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。 VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。VLAN与普通局域网从原理上讲没有什么不同，但从用户使用和网络管理的角度来看，VLAN与普通局域网最基本的差异体现为：VLAN并不局限于某一网络或物理范围，VLAN中的用户可以位于一个园区的任意位置，甚至位于不同的国家。

传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。

VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。

另外，VLAN具有灵活性和可扩张性等特点，方便于网络维护和管理，这两个特点正是现代局域网设计必须实现的两个基本目标, 在局域网中有效利用虚拟局域网技术能够提高网络运行效率。

可以通过VLAN技术的交换机隔离不同组内网络设备间的数据交换来达到网络安全的目的。使用VLAN隔离技术也有一个明显的缺点，那就是要求网络管理员必须明确交换机的每一个物理端口上所连接的设备的MAC地址或者IP地址，根据需求划分不同的工作组并对交换机进行配置。当某一网络终端的网卡、IP地址或是物理位置发生变化时，需要对整个

网络系统中多个相关的网络设备进行重新配置，这加重了网络管理员的维护工作量，所以也只适用于小型网络。

VLAN优点增加了网络的连接灵活性

借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境 ，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管 理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。

增加网络的安全性

因为一个VLAN就是一个单独的广播域，VLAN之间相互隔离，这大大提高了网络的利用率，确保了网络的安全保密性。人们在LAN上经常传送一些保密的、关键性的数据。保密的数据应 提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组，网络管理员限制了VLAN中用户的数量，禁止未经允许而访问VLAN中的应用。交换端口可以基于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置于安全性VLAN中。

VLAN分类基于端口VLAN

基于端口的VLAN划分是应用最广泛的方法之一。该方法是根据以太网交换机的端口来划分广播域。也就是说，交换机某些端口连接的主机在一个广播域内，而另一些端口连接的主机在另一个广播域。这种方法中VLAN各端口连接的主机无关。工作中我们可以利用这种方法，将同一部门的所有端口划分进同一个VLAN。这样部门内的主机间就可能相互通信，而且还能防止其他部门访问本部门的数据。但这种方法也有一个缺点，不利于移动办公。如果某位员工因工作需要换了一下办公室，我们就得去为他将相应的端口所属VLAN进行修改，否则他就无法访问自己部门的主机了。随着笔记本电脑的流行，人们办公经常随带自己的电脑。比如教师，他们上课的教室不固定，而且同一教室也有不同教研室的老师上课。要满足老师的这种需求我们就得不断地为他们改变端口的VLAN。显然这种情况下基于端口的VLAN划分就不太合理。

基于MAC地址的VLAN划分

基于MAC地址的VLAN划分方法也是应用最广泛的方法之一。该方法是根据连接在交换机上主机的MAC地址来划分广播域的。这种方法的VLAN划分最大的优点就是与端口无关。同一主机无论连接到局域网中的哪个端口，他所属的VLAN不会改变。如果用户办公地点灵活应用这种方法划分VLAN是很合适的。这种方法划分VLAN的缺点是，管理员必须收集所有主机的MAC地址，工作量将会较大。

基于子网的VLAN划分

基于子网的VLAN划分方法是根据网络主机使用的IP地址所在的网络子网来划分广播域的。IP地址属于同一个子网的主机属于同一个广播域，而与主机的其它因素没有任何关系。这种VLAN划分方法管理配置灵活，网络用户自由移动位置而不需重新配置主机或交换机，并且可以按照传输协议进行子网划分，人而实现针对具体应用服务来组织网络用户。但是，这种方法也有它不足的一面，因为为了判断用户属性，必须检查每一个数据包的网络层地址，这将耗费交换机不少的资源；并且同一个端口可能存在多个VLAN用户，这对广播帧的抵制效率有所下降2。

基于策略VLAN

基于策略的VLAN是一种比较灵活有效的VLAN划分方法。该方法的核心是采用什么样的策略？常用的策略有（与厂商设备的支持有关）：按MAC地址，按IP地址，按以太网协议类型，按网络的应用等

VLAN应用在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好像在独立的集线器上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的 VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。

VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN 中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

通过VLAN隔离技术，可以把一个网络系统中众多的网络设备分成若干个虚拟的工作组，组和组之间的网络设备在二层上相互隔离，形成不同的广播域，将广播流量限制在不同的广播域。由于VLAN技术是基于二层和三层之间的隔离，可以将不同的网络用户与网络资源进行分组并通过支持VLAN技术的交换机隔离不同组内网络设备间的数据交换来达到网络安全的目的。该方式允许同一VLAN上的用户互相通信，而处于不同VLAN的用户之间在数据链路层上是断开的，只能通过三层路由器才能访问。

在安全性方面，VLAN隔离技术可以保证物理设备之间的隔离，但是对于同一台服务器，只能做到同时向多个VLAN组全面开放或者是只向某个VLAN组开放，而不能针对个别用户进行限制。在实际应用中，一台服务器担当多种服务器角色，同时为多个VLAN组用户提供不同的服务，这也带来一定的安全隐患。比如：一台市场部电子商务服务器，存储有客户数据，同时它也是一台财务部数据库服务器，存储有财务数据，这样该服务器就同时需要向市场人员和财务人员开放，单纯的采用VLAN技术就无法避免市场人员查看财务数据（当然，这种隐患可以通过其它辅助手段解决）。

现今VLAN技术经过多年的发展有了广泛的使用，VLAN的划分方法也不再是只能根据交换机的物理端口来划分。VLAN一般的划分方法有三种：1.基于端口划分。由管理员指定静态端口属于哪个VLAN。2.基于MAC地址划分。是按照每一个连接到交换机设备的物理地址定义MAC成员。3.基于第三成协议类型或者地址划分。包括根据网络地址划分，根据不同网络协议(TCP/IP、IPX、DECNET)划分等等。

因为VLAN技术与局域网技术息息相关，所以在介绍VLAN之前，了解局域网的知识是有必要的。局域网（LAN）通常被定义为一个单独的广播域，主要使用Hub，网桥，或交换机等网络设备连接同一网段内的所有节点。同处一个局域网之内的网络节点之间可以不通过网络路由器直接进行通信；而处于不同局域网段内的设备之间的通信则必须经过网络路由器。

本词条内容贡献者为:

孙锐 - 教授 - 合肥工业大学