1 引言

        VLAN(Virtual Local Area Network)又稱虛擬局域網，建立在局域網交換機的基礎之上，是采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個VLAN組成一個邏輯子網，即邏輯廣播域，它可覆蓋多個網絡設備，允許處于不同地理位置的網絡用戶加入到一個邏輯子網中，在功能和操作上與傳統LAN基本相同，可提供一定范圍內終端系統的互聯。

2 虛擬局域網技術的特點

基于VLAN的校園網與普通校園網相比具有以下特點：

(1)管理簡單節點的增加、移動及其他變化都通過管理控制臺快速便捷處理，而無需到布線室進行調整。

(2)性能提高通過限制整個網絡的節點對節點通信和廣播通信，虛擬子網可以節約帶寬，從而降低成本。

(3)網絡安全性好虛擬子網創造虛擬邊界，它只能通過路由器跨越，因此需要時，基于路由器的標準安全措施可用于限制對每個虛擬子網的訪問。

3 VLAN的劃分方式

3．1 基于端口劃分的VLAN

        以網絡設備的端口所屬的具體VLAN的標準劃分VLAN。例如，在一個8端口的網橋中，端口1、2、4、7屬于VLAN1．而端口3、5、6、8屬于VLAN2。則與這些端口相連的設備所及其收發的數據幀相應地也分屬于VLAN1和VLAN2。這種劃分方法的優點是定義VLAN成員非常簡單，指定所有端口即可；而其缺點是不允許用戶隨便移動。如果屬于某個VLAN的用戶離開原來端口，到達一個新網絡設備的某端口，那么網絡管理者必須重新定義該VLAN。

3．2 基于MAC地址劃分VLAN

        以計算機工作站網卡的MAC地址劃分VLAN。這種劃分方法的最大優點就是由于一個MAC地址唯一對應一塊計算機網卡，因此當某個計算機工作站物理位置改變時，即從一臺交換機轉移到另一臺交換機時，無需重新配置VLAN。

3．3 基于網絡層協議類型劃分VLAN

        如果網絡支持多網絡層協議，那么根據數據幀頭中的網絡層協議類型字段也可劃分VLAN，這對網絡管理者來說非常重要，同時這種方法無需附加幀標簽識別VLAN，這樣可減少網絡通信量。

3．4 基于網絡層子網地址劃分VLAN 

        根據數據報文頭中的網絡層子網地址劃分VLAN。雖然這種劃分方法根據第3層信息即網絡地址(如IP地址)，但與網絡層的路由功能沒有關系。它只是查看每個數據報文的網絡層地址。并根據過濾數據庫中事先定義好的信息決定其歸屬于哪個VLAN，然后再根據生成樹算法進行橋交換，并不牽涉任何路由操作。這種方法的優點是，當某個計算機工作站物理位置改變時，即從一臺交換機轉移到其他交換機．無需重新配置VLAN。但其缺點是效率低，因為相對于第1、2層VLAN的實現技術，檢查每一個數據報文的網絡層地址是很費時間的。一般交換機芯片具有更大的靈活性，而且也易于通過路由器進行擴展；而其缺點是不適合LAN，效率低。

4 VLAN之間的通信

         使用路由器實現VLAN間通信時，路由器與交換機的連接方式有兩種。第一種是通過路由器的不同物理接口與交換機上的每個VLAN分別連接；第二種是通過路由器的邏輯子接口與交換機的各個VLAN連接。專用VALN將端口分為混雜端口、隔離端口和群體端口3類，只有混雜端口能夠與路由器或三層交換機連接。對應混雜端口的VLAN稱為Pri-mary VLAN，它可以和映射到混雜端口的所有隔離VLAN(Isolated VLAN)的端口及群體VLAN(Community VLAN)的端口進行通信。Community VLAN的端口除可和PrimaryVLAN通信外，內部端口問也可相互通信。Isolated VLAN內的端口只能和Primary VLAN的端口通信，內部端口間是互相隔離的。以下給出不同VLAN之間相互通信的實現。

4．1 單臂路由器連接虛擬局域網

        在校園內部網絡中劃分VLAN，當VLAN之間有部分主機需要通信，但交換機不支持三層交換。這時可采用一臺支持802．1Q的路由器實現VLAN的互通。只需在以太網端口上建立子接口，并分配IP地址作為該VLAN的網關，同時啟動802．10協議即可。

        如圖1所示，單臂路由器是指使用路由器的一個端口連接多個VLAN，實現方法是配置多個邏輯子接口。路由器與交換機之間通過外部線路連接，該外部線路只有一條。但在邏輯上是分開的，需要路由的數據包通過該線路到達路由器，經路由后再通過此線路返回交換機進行轉發。因此。該拓撲方式稱為單臂路由，即：包從某一個口進去，則就從該口出來。

4．2 用三層交換機實現不同VLAN之間主機通信

        三層交換機，本質上就是帶有路由功能的二層交換機。第3層交換機是將第2層交換機和第3層路由器兩者的優勢有機而智能化地結合，可在各個層次提供線速性能。這種集成化的結構還引進策略管理屬性。在一臺三層交換機內，分別設置交換機模塊和路由器模塊；而內置的路由模塊與交換模塊類似，也使用ASIC硬件處理路由。其具體配置如圖2三層交換機實現VLAN間通信拓撲實例所示。

        SW3550具體配置如下：

其他VLAN2，VLAN3的主機的網關分別指向10．10．1．1．10．10．2．1

5 結束語

        VLAN作為一種新型網絡技術，能夠為解決網絡站點的靈活配置和網絡安全性等問題提供良好手段。雖然VLAN技術目前還存在諸如技術標準的統一、VLAN管理的開銷和VALN配置自動化等問題，然而隨著技術的進步。這些問題將逐步得到解決，VLAN技術廣泛應用于網絡建設，從而為提高網絡的工作效率發揮更大作用。隨著校園網絡的規模不斷擴大和發展，也使得VLAN技術在校園網得更廣泛應用。