VLAN工作原理

    早期的共享LAN限制了网络带宽的利用，网络交换机的引入解决了共享冲突问题。交换机在网络的源端口与目的端口之间提供直接、快速、准确的点到点连接，提供高速低延时通信，提高了网络的效率，但是从根本上说，它仍是一个高速网桥，无法过滤局域网的广播信息。当网络中节点数足够多时，广播信息包所占用的带宽就可能影响其他信息流的传输，使网络的性能迅速下降，这就是所谓的“广播风暴”。

    抑制广播风暴的基本方法是隔离广播域。显而易见的解决方法是限制以太网上的节点，这就需要对网络进行物理分段。将网络进行物理分段的传统方法是使用路由器，如图1所示。路由器的基本作用是只发送和接收来往于不同物理网段的信息。路由器处于OSI参考模型的第3层，能够实现网络互联，具有许多相对复杂的功能。例如，它不转发广播包，支持路由选择、多路重发以及错误检测等，还能将不同类型的网络连接在一起。

图1

    路由器所连接的网络是不同的逻辑子网，但这种子网是根据物理网络结构来划分的，配置工作量大。随着网络的不断扩展，接入设备逐渐增多，网络结构日趋复杂，必须使用更多的路由器才能将不同的用户划分到各自的广播域中，在不同的局域网之间提供网络互连。大量使用路由器无疑是一笔不小的投资，同时，路由器所造成的通信“瓶颈”也会使网络的效率大打折扣。

    VLAN是一种不用路由器解决隔离广播域的网络技术。VLAN概念的引入，使交换机代替路由器承担了网络的分段工作，如图2所示。VLAN打破了传统网络的许多固有观念，使网络结构变得灵活、方便、随心所欲。VLAN不必考虑用户的物理位置，根据功能、应用等因素，将用户从逻辑上划分为一个个功能相对独立的工作组，每一个VLAN都可以对应于一个逻辑单位，如部门、项目组等。

    同一个VLAN中的成员都共享广播，而不同VLAN之间广播信息是相互隔离的。这样，将整个网络分割成多个不同的广播域。例如，网络管理员可以把相关的客户和服务器分别构成不同的VLAN，同一VLAN内客户和服务器可以方便地频繁通信，在同一个VLAN中的用户相互存取网络资源就如同在使用传统的局域网一样。

图2

    由于VLAN基于逻辑连接而不是物理连接，因此配置十分灵活。VLAN在逻辑上等价于广播域，可以将VLAN类比成一组最终用户的集合。这些用户可以处在不同的物理局域网上，但他们之间可以像在同一个局域网上那样自行通信，而且不受物理位置的限制。网络的定义和划分与物理位置和物理连接是没有任何必然联系的。网络管理员可以根据不同的需要，通过相应的网络软件灵活地建立和配置VLAN，并为每个VLAN分配它所需要的带宽。可以设置成每个VLAN子网的用户不能访问其他子网的资源，从而提高网络的安全性。

    通常使用VLAN建立虚拟工作组。当企业VLAN建成之后，某一部门或分支机构的职员可以在虚拟工作组模式下共享同一个“局域网”，这样绝大多数的网络流量都限制在VLAN广播域内部了。当部门内的某一个成员移动到另一个网络位置上时，他所使用的工作站不需要做任何改动。另一方面，一个用户根本不用移动他的工作站就可以调整到另一个部门去。管理员只需要在控制台上简单地敲几个键或操作一下鼠标就可以了。