虛擬區域網路概念

虛擬區域網路的特點：

一個由5台二層交換器（交換器1～5）串連了大量客戶機構成的網路。假設這時，電腦A需要與電腦B通訊。在基於乙太網路的通訊中，必須在資料幀中指定目標MAC地址才能正常通訊，因此電腦A必須先廣播“ARP請求（ARP Request）資訊”，來嘗試擷取電腦B的MAC地址。 交換器1收到廣播幀（ARP請求）後，會將它轉寄給除接收埠外的其他所有連接埠，也就是Flooding了。接著，交換器2收到廣播幀後也會Flooding。交換器3、4、5也還會Flooding。最終ARP請求會被轉寄到同一網路中的所有客戶機上。 

這個ARP請求原本是為了獲得電腦B的MAC地址而發出的。也就是說：只要電腦B能收到就萬事大吉了。可是事實上，資料幀卻傳遍整個網路，導致所有的電腦都收到了它。如此一來，一方面廣播資訊消耗了網路整體的頻寬，另一方面，收到廣播資訊的電腦還要消耗一部分CPU時間來對它進行處理。造成了網路頻寬和CPU運算能力的大量無謂消耗。 實際上廣播幀會非常頻繁地出現。利用TCP/IP協議棧通訊時，除了前面出現的ARP外，還有可能需要發出DHCP、RIP等很多其他類型的廣播資訊。 ARP廣播，是在需要與其他主機通訊時發出的。當客戶機請求DHCP伺服器分配IP地址時，就必鬚髮出DHCP的廣播。而使用RIP作為路由協議時，每隔30秒路由器都會對鄰近的其他路由器廣播一次路由資訊。RIP以外的其他路由協議使用多播傳輸路由資訊，這也會被交換器轉寄（Flooding）。除了TCP/IP以外，NetBEUI、IPX和Apple Talk等協議也經常需要用到廣播。

如果整個網路只有一個廣播域，那麼一旦發出廣播資訊，就會傳遍整個網路，並且對網路中的主機帶來額外的負擔。因此，在設計LAN時，需要注意如何才能有效地分割廣播域。 

廣播域的分割與VLAN的必要性 分割廣播域時，一般都必須使用到路由器。使用路由器後，可以以路由器上的網路介面（LAN Interface）為單位分割廣播域。 但是，通常情況下路由器上不會有太多的網路介面，其數目多在1～4個左右。隨著寬頻連線的普及，寬頻路由器（或者叫IP共用器）變得較為常見，但是需要注意的是，它們上面雖然帶著多個（一般為4個左右）串連LAN一側的網路介面，但那實際上是路由器內建的交換器，並不能分割廣播域。 況且使用路由器分割廣播域的話，所能分割的個數完全取決於路由器的網路介面個數，使得使用者無法自由地根據實際需要分割廣播域。 與路由器相比，二層交換器一般帶有多個網路介面。因此如果能使用它分割廣播域，那麼無疑運用上的靈活性會大大提高。 

用於在二層交換器上分割廣播域的技術，就是VLAN。通過利用VLAN，我們可以自由設計廣播域的構成，提高網路設計的自由度。 

其實VLAN即虛擬區域網路（Virtual Local Area Network的縮寫），是一種通過將區域網路內的裝置邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作群組的新興技術。VLAN是為解決乙太網路的廣播問題和安全性而提出的，它在乙太網路幀的基礎上增加了VLAN頭，用VLAN ID把使用者劃分為更小的工作群組，限制不同工作群組間的使用者二層互訪，每個工作群組就是一個虛擬區域網路。虛擬區域網路的好處是可以限制廣播範圍，並能夠形成虛擬工作群組，動態管理網路。 

VLAN技術允許網路管理者將一個物理的LAN邏輯地劃分成不同的廣播域即VLAN，每一個VLAN都包含一組有著相同需求的電腦工作站，與物理上形成的LAN有著相同的屬性。但由於它是邏輯地而不是物理地劃分，所以同一個VLAN內的各個工作站無須被放置在同一個物理空間裡，即這些工作站不一定屬於同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉寄到其他VLAN中，即使是兩台電腦有著同樣的網段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉寄,從而有助於控制流程量、減少裝置投資、簡化網路管理、提高網路的安全性。

在使用頻寬、靈活性、效能等方面，虛擬區域網路（VLAN）都顯示出很大優勢。虛擬區域網路的使用能夠方便地進行使用者的增加、刪除、移動等工作，提高網路管理的效率。他具有以下特點：1、靈活的、軟定義的、邊界獨立於物理媒質的裝置群　VLAN概念的引入，使交換器承擔了網路的分段工作，而不再使用路由器來完成。通過使用VLAN，能夠把原來一個物理的區域網路劃分成很多個邏輯意義上的子網，而不必考慮具體的物理位置，每一個VLAN都可以對應於一個邏輯單位，如部門、車間和項目組等。2、廣播流量被限制在軟定義的邊界內、提高了網路的安全性　由於在相同VLAN內的主機間傳送的資料不會影響到其他VLAN上的主機，因此減少了資料竊聽的可能性，極大地增強了網路的安全性。3、在同一個虛擬區域網路成員之間提供低延遲、線速的通訊　能夠在網路內劃分網段或者微網段，提高網路分組的靈活性。VLAN技術通過把網路分成邏輯上的不同廣播域，使網路上傳送的包只在與位於同一個VLAN的連接埠之間交換。這樣就限制了某個區域網路只與同一個VLAN的其它區域網路互相連，避免浪費頻寬，從而消除了傳統的橋接/交換網路的固有缺陷——包經常被傳送到並不需要它的區域網路中。這也改善了網路設定規模的靈活性，尤其是在支援廣播/多播協議和應用程式的區域網路環境中，會遭遇到如潮水般湧來的包。而在 VLAN結構中，可以輕鬆地拒絕其他VLAN的包，從而大大減少網路流量。編輯本段虛擬區域網路的分類　　虛擬區域網路是一種軟技術，如何分類，將決定此技術在網路中能否發揮到預期作用，下面將介紹虛擬區域網路的分類以及特性。

常見的虛擬區域網路分類有三種：基於連接埠、基於硬體MAC地址、基於網路層。

1、 基於連接埠

　　基於連接埠的虛擬區域網路劃分是比較流行和最早的劃分方式，其特點是將交換器按照連接埠進行分組，每一組定義為一個虛擬區域網路。這些交換器連接埠分組可以在一台交換器上也可以跨越幾個交換器（例如，1號交換器的連接埠1和2以及2號交換器的連接埠4、5、6和7上的最終工作站組成了虛擬區域網路A；而1號交換器的連接埠3、4、5、6、7和8加上2號交換器的連接埠1、2、3和8上的最終工作站組成了虛擬區域網路B）。 　　連接埠分組目前是定義虛擬區域網路成員最常用的方法，而且配置也相當直截了當。純粹用連接埠分組來定義虛擬區域網路不會容許多個虛擬區域網路包含同一個實際網段（或交換器連接埠）。其特點是一個虛擬區域網路的各個連接埠上的所有終端都在一個廣播域中，它們相互可以通訊，不同的虛擬區域網路之間進行通訊需經過路由來進行。這種虛擬區域網路劃分方式的優點在於簡單，容易實現，從一個連接埠發出的廣播，直接發送到虛擬區域網路內的其他連接埠，也便於直接監控。但是，用連接埠定義虛擬區域網路的主要局限性是：使用不夠靈活，當使用者從一個連接埠移動到另一個連接埠的時候網路系統管理員必須重新設定虛擬區域網路成員。不過這一點可以通過靈活的網路管理軟體來彌補。

2 、基於硬體MAC地址層

　　基於硬體MAC地址層地址的虛擬區域網路具有不同的優點和缺點。由於硬體地址層的地址是硬串連到工作站的網路介面卡（NIC）上的，所以基於硬體地址層地址的的虛擬區域網路使網路管理者能夠把網路上的工作站移動到不同的實際位置，而且可以讓這台工作站自動地保持它原有的虛擬區域網路成員資格。按照這種方式，由硬體地址層地址定義的虛擬區域網路可以被視為基於使用者的虛擬區域網路。 　　這種方式的虛擬區域網路，交換器對終端的MAC地址和交換器連接埠進行跟蹤，在新終端入網時根據已經定義的虛擬區域網路——MAC對應表將其劃歸至某一個虛擬區域網路，而無論該終端在網路中怎樣移動，由於其MAC地址保持不變，故不需進行虛擬區域網路的重新設定。這種劃分方式減少了網路系統管理員的日常維護工作量，不足之處在於所有的終端必須被明確的分配在一個具體的虛擬區域網路，任何時候增加終端或者更換網卡，都要對虛擬區域網路資料庫調整，以實現對該終端的動態跟蹤。 　　基於硬體地址層地址的虛擬區域網路解決方案的缺點之一是要求所有的使用者必須初始配置在至少一個虛擬區域網路中。在這次初始手工配置之後，使用者的自動跟蹤才有可能實現，而且取決於特定的供應商解決方案。然而，這種不得不在一開始先用人工配置虛擬區域網路的方法，其缺點在一個非常大的網路中變得非常明顯：幾千個使用者必須逐個地分配到各自特定的虛擬區域網路中。某些供應商已經減少了初始手工配置基於硬體地址的虛擬區域網路的繁重任務，它們採用根據網路的目前狀態產生虛擬區域網路的工具，也就是說為每一個子網產生一個基於硬體地址的虛擬區域網路。

3 、基於網路層

基於網路層的虛擬區域網路劃分也叫做基於策略（POLICY）的劃分，是這幾種劃分方式中最進階也是最為複雜的。基於網路層的虛擬區域網路使用協議（如果網路中存在多協議的話）或網路層地址（如TCP/IP中的子網段地址）來確定網路成員。利用網路層定義虛擬網有以下幾點優勢。第一，這種方式可以按傳輸協議劃分網段。其次，使用者可以在網路內部自由移動而不用重新設定自己的工作站。第三，這種類型的虛擬網可以減少由於協議轉換而造成的網路延遲。這種方式看起來是最為理想的方式，但是在採用這種劃分之前，要明確兩件事情：一是IP盜用，二是對裝置要求較高，不是所有裝置都支援這種方式。

4.根據IP組播劃分VLAN 

IP 組播實際上也是一種VLAN的定義，即認為一個組播組就是一個VLAN，這種劃分的方法將VLAN擴大到了廣域網路，因此這種方法具有更大的靈活性，而且也很容易通過路由器進行擴充，當然這種方法不適合區域網路，主要是效率不高。