VLAN簡介

　　VLAN（Virtual Local Area Network）的中文名為“虛擬局域網”。虛擬局域網（VLAN）是一組邏輯上的設備和用戶，這些設備和用戶并不受物理位置的限制，可以根據功能、部門及應用等因素將它們組織起來，相互之間的通信就好像它們在同一個網段中一樣，由此得名虛擬局域網。VLAN是一種比較新的技術，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通信是通過第3層的路由器來完成的。與傳統的局域網技術相比較，VLAN技術更加靈活，它具有以下優點： 網絡設備的移動、添加和修改的管理開銷減少；可以控制廣播活動；可提高網絡的安全性。在計算機網絡中，一個二層網絡可以被劃分為多個不同的廣播域，一個廣播域對應了一個特定的用戶組，默認情況下這些不同的廣播域是相互隔離的。不同的廣播域之間想要通信，需要通過一個或多個路由器。這樣的一個廣播域就稱為VLAN。

VLAN百科

　　VLAN（Virtual Local Area Network）的中文名為“虛擬局域網”。虛擬局域網（VLAN）是一組邏輯上的設備和用戶，這些設備和用戶并不受物理位置的限制，可以根據功能、部門及應用等因素將它們組織起來，相互之間的通信就好像它們在同一個網段中一樣，由此得名虛擬局域網。VLAN是一種比較新的技術，工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，VLAN之間的通信是通過第3層的路由器來完成的。與傳統的局域網技術相比較，VLAN技術更加靈活，它具有以下優點： 網絡設備的移動、添加和修改的管理開銷減少；可以控制廣播活動；可提高網絡的安全性。在計算機網絡中，一個二層網絡可以被劃分為多個不同的廣播域，一個廣播域對應了一個特定的用戶組，默認情況下這些不同的廣播域是相互隔離的。不同的廣播域之間想要通信，需要通過一個或多個路由器。這樣的一個廣播域就稱為VLAN。

　　VLAN

　　IEEE于1999年頒布了用于標準化VLAN實現方案的802.1Q協議標準草案。VLAN技術的出現，使得管理員根據實際應用需求，把同一物理局域網內的不同用戶邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個VLAN內的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理LAN網段。由VLAN的特點可知，一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中，從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。交換技術的發展，也加快了新的交換技術（VLAN）的應用速度。通過將企業網絡劃分為虛擬網絡VLAN網段，可以強化網絡管理和網絡安全，控制不必要的數據廣播。在共享網絡中，一個物理的網段就是一個廣播域。而在交換網絡中，廣播域可以是有一組任意選定的第二層網絡地址（MAC地址）組成的虛擬網段。這樣，網絡中工作組的劃分可以突破共享網絡中的地理位置限制，而完全根據管理功能來劃分。這種基于工作流的分組模式，大大提高了網絡規劃和重組的管理功能。在同一個VLAN中的工作站，不論它們實際與哪個交換機連接，它們之間的通訊就好象在獨立的交換機上一樣。同一個VLAN中的廣播只有VLAN中的成員才能聽到，而不會傳輸到其他的VLAN中去，這樣可以很好的控制不必要的廣播風暴的產生。同時，若沒有路由的話，不同VLAN之間不能相互通訊，這樣增加了企業網絡中不同部門之間的安全性。網絡管理員可以通過配置VLAN之間的路由來全面管理企業內部不同管理單元之間的信息互訪。交換機是根據工作站的MAC地址來劃分VLAN的。所以，用戶可以自由的在企業網絡中移動辦公，不論他在何處接入交換網絡，他都可以與VLAN內其他用戶自如通訊。VLAN網絡可以是有混合的網絡類型設備組成，比如：10M以太網、100M以太網、令牌網、FDDI、CDDI等等，可以是工作站、服務器、集線器、網絡上行主干等等。VLAN除了能將網絡劃分為多個廣播域，從而有效地控制廣播風暴的發生，以及使網絡的拓撲結構變得非常靈活的優點外，還可以用于控制網絡中不同部門、不同站點之間的互相訪問。物理位置不同的多個主機如果劃分屬于同一個VLAN，則這些主機之間可以相互通信。物理位置相同的多個主機如果屬于不同的VLAN，則這些主機之間不能直接通信。VLAN通常在交換機或路由器上實現，在以太網幀中增加VLAN標簽來給以太網幀分類，具有相同VLAN標簽的以太網幀在同一個廣播域中傳送。VLAN是為解決以太網的廣播問題和安全性而提出的一種協議，它在以太網幀的基礎上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶互訪，每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態管理網絡。

　　目的

　　VLAN（Virtual Local Area Network，虛擬局域網）的目的非常的多。通過認識VLAN的本質，將可以了解到其用處究竟在哪些地方。第一，要知道192.168.1.2/30和192.168.2.6/30都屬于不同的網段，都必須要通過路由器才能進行訪問，凡是不同網段間要互相訪問，都必須通過路由器。第二，VLAN本質就是指一個網段，之所以叫做虛擬的局域網，是因為它是在虛擬的路由器的接口下創建的網段。下面，給予說明。比如一個路由器只有一個用于終端連接的端口（當然這種情況基本不可能發生，只不過簡化舉例），這個端口被分配了192.168.1.1/24的地址。然而由于公司有兩個部門，一個銷售部，一個企劃部，每個部門要求單獨成為一個子網，有單獨的服務器。那么當然可以劃分為192.168.1.0--127/25、192.168.1.128--255/25。但是路由器的物理端口只應該可以分配一個IP地址，那怎樣來區分不同網段了？這就可以在這個物理端口下，創建兩個子接口---邏輯接口實現。比如邏輯接口F0/0.1就分配IP地址192.168.1.1/25，用于銷售部，而F0/0.2就分配IP地址192.168.1.129/25，用于企劃部。這樣就等于用一個物理端口卻實現了兩個邏輯接口的功能，這樣就將原本只能劃分一個網段的情形，擴展到了可以劃分2個或者更多個網段的情形。這些網段因為是在邏輯接口下創建的，所以稱之為虛擬局域網VLAN。這是在路由器的層次上闡述了VLAN的目的。第三，將在交換機的層次上闡述VLAN的目的。在現實中，由于很多原因必須劃分出不同網段。比如就簡單的只有銷售部和企劃部兩個網段。那么可以簡單的將銷售部全部接入一個交換機，然后接入路由器的一個端口，把企劃部全部接入一個交換機，然后接入一個路由器端口。這種情況是LAN。然而正如上面所說，如果路由器就一個用于終端的接口，那么這兩個交換機就必須接入這同一個路由器的接口，這個時候，如果還想保持原來的網段的劃分，那么就必須使用路由器的子接口，創建VLAN.同樣，比如兩個交換機，如果你想要每個交換機上的端口都分別屬于不同的網段，那么你有幾個網段，就提供幾個路由器的接口，這個時候，雖然在路由器的物理接口上可以定義這個接口可以連接哪個網段，但是在交換機的層次上，它并不能區分哪個端口屬于哪個網段，那么唯一實現能區分的方法，就是劃分VLAN，使用了VLAN就能區分出某個交換機端口的終端是屬于哪個網段的。綜上，當一個交換機上的所有端口中有至少一個端口屬于不同網段的時候，當路由器的一個物理端口要連接2個或者以上的網段的時候，就是VLAN發揮作用的時候，這就是VLAN的目的。

　　優點

　　限制網絡上的廣播，將網絡劃分為多個VLAN可減少參與廣播風暴的設備數量。LAN分段可以防止廣播風暴波及整個網絡。VLAN可以提供建立防火墻的機制，防止交換網絡的過量廣播。使用VLAN，可以將某個交換端口或用戶賦于某一個特定的VLAN組，該VLAN組可以在一個交換網中或跨接多個交換機，在一個VLAN中的廣播不會送到VLAN之外。同樣，相鄰的端口不會收到其他VLAN產生的廣 播。這樣可以減少廣播流量，釋放帶寬給用戶應用，減少廣播的產生。

　　安全

　　增強局域網的安全性，含有敏感數據的用戶組可與網絡的其余部分隔離，從而降低泄露機密信息的可能性。不同VLAN內的報文在傳輸時是相互隔離的，即一個VLAN內的用戶不能和其它VLAN內的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備。成本高昂的網絡升級需求減少，現有帶寬和上行鏈路的利用率更高，因此可節約成本。將第二層平面網絡劃分為多個邏輯工作組（廣播域）可以減少網絡上不必要的流量并提高性能。VLAN為網絡管理帶來了方便，因為有相似網絡需求的用戶將共享同一個VLAN。VLAN 將用戶和網絡設備聚合到一起，以支持商業需求或地域上的需求。通過職能劃分，項目管理或特殊應用的處理都變得十分方便，例如可以輕松管理教師的電子教學開發平臺。此外，也很容易確定升級網絡服務的影響范圍。

　　靈活性

　　借助VLAN技術，能將不同地點、不同網絡、不同用戶組合在一起，形成一個虛擬的網絡環境，就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管理費用，特別是一些業務情況有經常性變動的公司使用了VLAN后，這部分管理費用大大降低。

　　技術

　　局域網的發展是VLAN產生的基礎，所以在介紹VLAN之前，我們先來了解一下局域網的有關知識。局域網（LAN）通常是一個單獨的廣播域，主要由Hub、網橋或交換機等網絡設備連接同一網段內的所有節點形成。處于同一個局域網之內的網絡節點之間可以直接通信，而處于不同局域網段的設備之間的通信則必須經過路由器才能通信。圖1所示即為使用路由器構建的典型的局域網環境。隨著網絡的不斷擴展，接入設備逐漸增多，網絡結構也日趨復雜，必須使用更多的路由器才能將不同的用戶劃分到各自的廣播域中，在不同的局域網之間提供網絡互聯。但這樣做存在兩個缺陷：首先，隨著網絡中路由器數量的增多，網絡延時逐漸加長，從而導致網絡數據傳輸速度的下降。這主要是因為數據在從一個局域網傳遞到另一個局域網時，必須經過路由器的路由操作：路由器根據數據包中的相應信息確定數據包的目標地址，然后再選擇合適的路徑轉發出去。其次，用戶是按照它們的物理連接被自然地劃分到不同的用戶組（廣播域）中。這種分割方式并不是根據工作組中所有用戶的共同需要和帶寬的需求來進行的。因此，盡管不同的工作組或部門對帶寬的需求有很大的差異，但它們卻被機械地劃分到同一個廣播域中爭用相同的帶寬。

　　常見應用

　　Port vlan與Tag vlan

　　port vlan 基于端口的VLAN，處于同一VLAN端口之間才能相互通信。

　　tag vlan 基于IEEE 802.1Q（vlan標準），用VID（vlan id）來劃分不同的VLAN

　　基于端口的VLAN優缺點

　　基于端口的VLAN，簡單的講就是交換機的一個端口就是一個虛擬局域網，凡是連接在這個端口上的主機屬于同個虛擬局域網之中。基于端口的VLAN的優點為：由于一個端口就是一個獨立的局域網。所以，當數據在網絡中傳輸的時候，交換機就不會把數據包轉發給其他的端口，如果用戶需要將數據發送到其他的虛擬局域網中，就需要先由交換機發往路由器再由路由器發往其他端口；同時以端口為中心的VLAN中完全由用戶自由支配端口，無形之中就更利于管理。但是美中不足的是以端口為中心的VLAN，當用戶位置改變時，往往也伴隨著用戶位置的改變而對網線也要進行遷移。如果不會經常移動客戶機的話，采用這一方式倒也不錯。

　　靜態VLAN的優缺點

　　可以說靜態VLAN與基于端口的VLAN有一絲相似之處，用戶可在交換機上讓一個或多個交換機端口形成一個略大一些的虛擬局域網。從一定意義上講靜態虛擬局域網在某些程度上彌補了基于端口的虛擬局域網的缺點。缺陷方面，靜態VLAN雖說是可以使多個端口的設置成一個虛擬局域網，假如兩個不同端口、不同虛擬局域網的人員聚到一起協商一些事情，這時候問題就出現了，因為端口及虛擬局域網的不一致往往就會直接導致某一個虛擬局域網的人員就不能正常的訪問他原先所在的VLAN之中（靜態虛擬局域網的端口在同一時間只能屬于同一個虛擬局域網），這樣就需要網絡管理人員隨時配合及時修改該線路上的端口。

　　動態VLAN的優缺點

　　與上面兩種虛擬局域網的組成方式相比動態的虛擬局域網的優點真的是太多了。首先它適用于當前的無線局域網技術，其次，當用戶有需要時對工作基點進行移動時完全不用擔心在靜態虛擬局域網與基于端口的虛擬局域網出現的一些問題在動態的虛擬局域網中出現，因為動態的虛擬局域網在建立初期已經由網絡管理員將整個網絡中的所有MAC地址全部輸入到了路由器之中，同時如何由路由器通過MAC地址來自動區分每一臺電腦屬于那一個虛擬局域網，之后將這臺電腦連接到對應的虛擬局域網之中。說起缺點，動態的虛擬局域網的缺點跟本談不上缺點，只是在VLAN建立初期，網絡管理人員需將所有機器的MAC進行登記之后劃分出MAC所對應的機器的不同權限（虛擬局域網）即可。

　　小白都能看明白的VLAN原理解釋

　　為什么需要VLAN

　　1. 什么是VLAN？

　　VLAN（Virtual LAN），翻譯成中文是“虛擬局域網”。LAN可以是由少數幾臺家用計算機構成的網絡，也可以是數以百計的計算機構成的企業網絡。VLAN所指的LAN特指使用路由器分割的網絡——也就是廣播域。

　　在此讓我們先復習一下廣播域的概念。廣播域，指的是廣播幀（目標MAC地址全部為1）所能傳遞到的范圍，亦即能夠直接通信的范圍。嚴格地說，并不僅僅是廣播幀，多播幀（Multicast Frame）和目標不明的單播幀（Unknown Unicast Frame）也能在同一個廣播域中暢行無阻。

　　本來，二層交換機只能構建單一的廣播域，不過使用VLAN功能后，它能夠將網絡分割成多個廣播域。

　　2.未分割廣播域時……

　　那么，為什么需要分割廣播域呢？那是因為，如果僅有一個廣播域，有可能會影響到網絡整體的傳輸性能。具體原因，請參看附圖加深理解。

　　圖中，是一個由5臺二層交換機（交換機1～5）連接了大量客戶機構成的網絡。假設這時，計算機A需要與計算機B通信。在基于以太網的通信中，必須在數據幀中指定目標MAC地址才能正常通信，因此計算機A必須先廣播“ARP請求（ARP Request）信息”，來嘗試獲取計算機B的MAC地址。

　　交換機1收到廣播幀（ARP請求）后，會將它轉發給除接收端口外的其他所有端口，也就是Flooding了。接著，交換機2收到廣播幀后也會Flooding。交換機3、4、5也還會Flooding。最終ARP請求會被轉發到同一網絡中的所有客戶機上。

　　請大家注意一下，這個ARP請求原本是為了獲得計算機B的MAC地址而發出的。也就是說：只要計算機B能收到就萬事大吉了。可是事實上，數據幀卻傳遍整個網絡，導致所有的計算機都收到了它。如此一來，一方面廣播信息消耗了網絡整體的帶寬，另一方面，收到廣播信息的計算機還要消耗一部分CPU時間來對它進行處理。造成了網絡帶寬和CPU運算能力的大量無謂消耗。

　　3. 廣播信息是那么經常發出的嗎？

　　讀到這里，您也許會問：廣播信息真是那么頻繁出現的嗎？

　　答案是：是的！實際上廣播幀會非常頻繁地出現。利用TCP/IP協議棧通信時，除了前面出現的ARP外，還有可能需要發出DHCP、RIP等很多其他類型的廣播信息。

　　ARP廣播，是在需要與其他主機通信時發出的。當客戶機請求DHCP服務器分配IP地址時，就必須發出DHCP的廣播。而使用RIP作為路由協議時，每隔30秒路由器都會對鄰近的其他路由器廣播一次路由信息。RIP以外的其他路由協議使用多播傳輸路由信息，這也會被交換機轉發（Flooding）。除了TCP/IP以外，NetBEUI、IPX和Apple Talk等協議也經常需要用到廣播。例如在Windows下雙擊打開“網絡計算機”時就會發出廣播（多播）信息。（Windows XP除外……）

　　總之，廣播就在我們身邊。下面是一些常見的廣播通信：

　　（1）ARP請求：建立IP地址和MAC地址的映射關系。

　　（2）RIP：一種路由協議。

　　（3）DHCP：用于自動設定IP地址的協議。

　　（4）NetBEUI：Windows下使用的網絡協議。

　　（5）IPX：NovellNetware使用的網絡協議。

　　（6）Apple Talk：蘋果公司的Macintosh計算機使用的網絡協議。

　　如果整個網絡只有一個廣播域，那么一旦發出廣播信息，就會傳遍整個網絡，并且對網絡中的主機帶來額外的負擔。因此，在設計LAN時，需要注意如何才能有效地分割廣播域。

　　4.廣播域的分割與VLAN的必要性

　　分割廣播域時，一般都必須使用到路由器。使用路由器后，可以以路由器上的網絡接口（LAN Interface）為單位分割廣播域。

　　但是，通常情況下路由器上不會有太多的網絡接口，其數目多在1～4個左右。隨著寬帶連接的普及，寬帶路由器（或者叫IP共享器）變得較為常見，但是需要注意的是，它們上面雖然帶著多個（一般為4個左右）連接LAN一側的網絡接口，但那實際上是路由器內置的交換機，并不能分割廣播域。

　　況且使用路由器分割廣播域的話，所能分割的個數完全取決于路由器的網絡接口個數，使得用戶無法自由地根據實際需要分割廣播域。

　　與路由器相比，二層交換機一般帶有多個網絡接口。因此如果能使用它分割廣播域，那么無疑運用上的靈活性會大大提高。

　　用于在二層交換機上分割廣播域的技術，就是VLAN。通過利用VLAN，我們可以自由設計廣播域的構成，提高網絡設計的自由度。

　　實現VLAN的機制

　　1. 實現VLAN的機制

　　在理解了“為什么需要VLAN”之后，接下來讓我們來了解一下交換機是如何使用VLAN分割廣播域的。

　　首先，在一臺未設置任何VLAN的二層交換機上，任何廣播幀都會被轉發給除接收端口外的所有其他端口（Flooding）。例如，計算機A發送廣播信息后，會被轉發給端口2、3、4。

　　這時，如果在交換機上生成紅、藍兩個VLAN;同時設置端口1、2屬于紅色VLAN、端口3、4屬于藍色VLAN。再從A發出廣播幀的話，交換機就只會把它轉發給同屬于一個VLAN的其他端口——也就是同屬于紅色VLAN的端口2，不會再轉發給屬于藍色VLAN的端口。

　　同樣，C發送廣播信息時，只會被轉發給其他屬于藍色VLAN的端口，不會被轉發給屬于紅色VLAN的端口。

　　就這樣，VLAN通過限制廣播幀轉發的范圍分割了廣播域。上圖中為了便于說明，以紅、藍兩色識別不同的VLAN，在實際使用中則是用“VLAN ID”來區分的。

　　2.直觀地描述VLAN

　　如果要更為直觀地描述VLAN的話，我們可以把它理解為將一臺交換機在邏輯上分割成了數臺交換機。在一臺交換機上生成紅、藍兩個VLAN，也可以看作是將一臺交換機換做一紅一藍兩臺虛擬的交換機。

　　在紅、藍兩個VLAN之外生成新的VLAN時，可以想象成又添加了新的交換機。

　　但是，VLAN生成的邏輯上的交換機是互不相通的。因此，在交換機上設置VLAN后，如果未做其他處理，VLAN間是無法通信的。

　　明明接在同一臺交換機上，但卻偏偏無法通信——這個事實也許讓人難以接受。但它既是VLAN方便易用的特征，又是使VLAN令人難以理解的原因。

　　3. 需要VLAN間通信時怎么辦

　　那么，當我們需要在不同的VLAN間通信時又該如何是好呢？

　　請大家再次回憶一下：VLAN是廣播域。而通常兩個廣播域之間由路由器連接，廣播域之間來往的數據包都是由路由器中繼的。因此，VLAN間的通信也需要路由器提供中繼服務，這被稱作“VLAN間路由”。

　　VLAN間路由，可以使用普通的路由器，也可以使用三層交換機。其中的具體內容，等有機會再細說吧。在這里希望大家先記住不同VLAN間互相通信時需要用到路由功能。

　　VLAN的訪問鏈接（Access Link）

　　1.交換機的端口類型

　　交換機的端口，可以分為以下兩種：

　　（1）訪問鏈接（Access Link）

　　（2）匯聚鏈接（Trunk Link）

　　接下來就讓我們來依次學習這兩種不同端口的特征。這一講，首先學習“訪問鏈接”。

　　2.訪問鏈接

　　訪問鏈接，指的是“只屬于一個VLAN，且僅向該VLAN轉發數據幀”的端口。在大多數情況下，訪問鏈接所連的是客戶機。

　　通常設置VLAN的順序是：

　　（1）生成VLAN

　　（2）設定訪問鏈接（決定各端口屬于哪一個VLAN）

　　設定訪問鏈接的手法，可以是事先固定的、也可以是根據所連的計算機而動態改變設定。前者被稱為“靜態VLAN”、后者自然就是“動態VLAN”了。

　　● 靜態VLAN——基于端口

　　靜態VLAN又被稱為基于端口的VLAN（PortBased VLAN）。顧名思義，就是明確指定各端口屬于哪個VLAN的設定方法。

　　由于需要一個個端口地指定，因此當網絡中的計算機數目超過一定數字（比如數百臺）后，設定操作就會變得煩雜無比。并且，客戶機每次變更所連端口，都必須同時更改該端口所屬VLAN的設定——這顯然不適合那些需要頻繁改變拓補結構的網絡。

　　● 動態VLAN

　　另一方面，動態VLAN則是根據每個端口所連的計算機，隨時改變端口所屬的VLAN。這就可以避免上述的更改設定之類的操作。動態VLAN可以大致分為3類：

　　（1）基于MAC地址的VLAN（MAC Based VLAN）

　　（2）基于子網的VLAN（Subnet Based VLAN）

　　（3）基于用戶的VLAN（User Based VLAN）

　　其間的差異，主要在于根據OSI參照模型哪一層的信息決定端口所屬的VLAN。

　　● 基于MAC地址的VLAN

　　基于MAC地址的VLAN，就是通過查詢并記錄端口所連計算機上網卡的MAC地址來決定端口的所屬。假定有一個MAC地址“A”被交換機設定為屬于VLAN “10”，那么不論MAC地址為“A”的這臺計算機連在交換機哪個端口，該端口都會被劃分到VLAN 10中去。計算機連在端口1時，端口1屬于VLAN 10;而計算機連在端口2時，則是端口2屬于VLAN 10。

　　由于是基于MAC地址決定所屬VLAN的，因此可以理解為這是一種在OSI的第二層設定訪問鏈接的辦法。

　　但是，基于MAC地址的VLAN，在設定時必須調查所連接的所有計算機的MAC地址并加以登錄。而且如果計算機交換了網卡，還是需要更改設定。

　　● 基于IP地址的VLAN

　　基于子網的VLAN，則是通過所連計算機的IP地址，來決定端口所屬VLAN的。不像基于MAC地址的VLAN，即使計算機因為交換了網卡或是其他原因導致MAC地址改變，只要它的IP地址不變，就仍可以加入原先設定的VLAN。

　　因此，與基于MAC地址的VLAN相比，能夠更為簡便地改變網絡結構。IP地址是OSI參照模型中第三層的信息，所以我們可以理解為基于子網的VLAN是一種在OSI的第三層設定訪問鏈接的方法。

　　基于用戶的VLAN，則是根據交換機各端口所連的計算機上當前登錄的用戶，來決定該端口屬于哪個VLAN。這里的用戶識別信息，一般是計算機操作系統登錄的用戶，比如可以是Windows域中使用的用戶名。這些用戶名信息，屬于OSI第四層以上的信息。

　　總的來說，決定端口所屬VLAN時利用的信息在OSI中的層面越高，就越適于構建靈活多變的網絡。

　　VLAN的匯聚鏈接（Trunk Link）

　　1.需要設置跨越多臺交換機的VLAN時……

　　到此為止，我們學習的都是使用單臺交換機設置VLAN時的情況。那么，如果需要設置跨越多臺交換機的VLAN時又如何呢？

　　在規劃企業級網絡時，很有可能會遇到隸屬于同一部門的用戶分散在同一座建筑物中的不同樓層的情況，這時可能就需要考慮到如何跨越多臺交換機設置VLAN的問題了。假設有如下圖所示的網絡，且需要將不同樓層的A、C和B、D設置為同一個VLAN。

　　這時最關鍵的就是“交換機1和交換機2該如何連接才好呢？”

　　最簡單的方法，自然是在交換機1和交換機2上各設一個紅、藍VLAN專用的接口并互聯了。

　　但是，這個辦法從擴展性和管理效率來看都不好。例如，在現有網絡基礎上再新建VLAN時，為了讓這個VLAN能夠互通，就需要在交換機間連接新的網線。建筑物樓層間的縱向布線是比較麻煩的，一般不能由基層管理人員隨意進行。并且，VLAN越多，樓層間（嚴格地說是交換機間）互聯所需的端口也越來越多，交換機端口的利用效率低是對資源的一種浪費、也限制了網絡的擴展。

　　為了避免這種低效率的連接方式，人們想辦法讓交換機間互聯的網線集中到一根上，這時使用的就是匯聚鏈接（Trunk Link）。

　　2.何謂匯聚鏈接？

　　匯聚鏈接（Trunk Link）指的是能夠轉發多個不同VLAN的通信的端口。

　　匯聚鏈路上流通的數據幀，都被附加了用于識別分屬于哪個VLAN的特殊信息。

　　現在再讓我們回過頭來考慮一下剛才那個網絡如果采用匯聚鏈路又會如何呢？用戶只需要簡單地將交換機間互聯的端口設定為匯聚鏈接就可以了。這時使用的網線還是普通的UTP線，而不是什么其他的特殊布線。圖例中是交換機間互聯，因此需要用交叉線來連接。

　　接下來，讓我們具體看看匯聚鏈接是如何實現跨越交換機間的VLAN的。

　　A發送的數據幀從交換機1經過匯聚鏈路到達交換機2時，在數據幀上附加了表示屬于紅色VLAN的標記。

　　交換機2收到數據幀后，經過檢查VLAN標識發現這個數據幀是屬于紅色VLAN的，因此去除標記后根據需要將復原的數據幀只轉發給其他屬于紅色VLAN的端口。這時的轉送，是指經過確認目標MAC地址并與MAC地址列表比對后只轉發給目標MAC地址所連的端口。只有當數據幀是一個廣播幀、多播幀或是目標不明的幀時，它才會被轉發到所有屬于紅色VLAN的端口。

　　藍色VLAN發送數據幀時的情形也與此相同。

　　通過匯聚鏈路時附加的VLAN識別信息，有可能支持標準的“IEEE 802.1Q”協議，也可能是Cisco產品獨有的“ISL（Inter Switch Link）”。如果交換機支持這些規格，那么用戶就能夠高效率地構筑橫跨多臺交換機的VLAN。

　　另外，匯聚鏈路上流通著多個VLAN的數據，自然負載較重。因此，在設定匯聚鏈接時，有一個前提就是必須支持100Mbps以上的傳輸速度。

　　另外，默認條件下，匯聚鏈接會轉發交換機上存在的所有VLAN的數據。換一個角度看，可以認為匯聚鏈接（端口）同時屬于交換機上所有的VLAN。由于實際應用中很可能并不需要轉發所有VLAN的數據，因此為了減輕交換機的負載、也為了減少對帶寬的浪費，我們可以通過用戶設定限制能夠經由匯聚鏈路互聯的VLAN。

　　關于IEEE 802.1Q和ISL的具體內容，將在下一講中提到。

　　3.訪問鏈接的總結

　　綜上所述，設定訪問鏈接的手法有靜態VLAN和動態VLAN兩種，其中動態VLAN又可以繼續細分成幾個小類。

　　其中基于子網的VLAN和基于用戶的VLAN有可能是網絡設備廠商使用獨有的協議實現的，不同廠商的設備之間互聯有可能出現兼容性問題;因此在選擇交換機時，一定要注意事先確認。

　　下表總結了靜態VLAN和動態VLAN的相關信息。

　　種類解說

　　靜態VLAN（基于端口的VLAN）將交換機的各端口固定指派給VLAN

　　動態VLAN基于MAC地址的VLAN根據各端口所連計算機的MAC地址設定

　　基于子網的VLAN根據各端口所連計算機的IP地址設定

　　基于用戶的VLAN根據端口所連計算機上登錄用戶設定

　　VLAN的匯聚方式——IEEE802.1Q與ISL

　　1.匯聚方式

　　在交換機的匯聚鏈接上，可以通過對數據幀附加VLAN信息，構建跨越多臺交換機的VLAN。

　　附加VLAN信息的方法，最具有代表性的有：

　　（1）IEEE 802.1Q

　　（2）ISL

　　現在就讓我們看看這兩種協議分別如何對數據幀附加VLAN信息。

　　2.IEEE 802.1Q

　　IEEE 802.1Q，俗稱“Dot One Q”，是經過IEEE認證的對數據幀附加VLAN識別信息的協議。

　　在此，請大家先回憶一下以太網數據幀的標準格式。

　　IEEE 802.1Q所附加的VLAN識別信息，位于數據幀中“發送源MAC地址”與“類別域”（Type Field）之間。具體內容為2字節的TPID（Tag Protocol IDentifier）和2字節的TCI（Tag Control Information），共計4字節。

　　在數據幀中添加了4字節的內容，那么CRC值自然也會有所變化。這時數據幀上的CRC是插入TPID、TCI后，對包括它們在內的整個數據幀重新計算后所得的值。

　　而當數據幀離開匯聚鏈路時，TPID和TCI會被去除，這時還會進行一次CRC的重新計算。

　　TPID字段在以太網報文中所處位置與不帶VLAN Tag的報文中協議類型字段所處位置相同。TPID的值固定為0x8100，它標示網絡幀承載的802.1Q類型，交換機通過它來確定數據幀內附加了基于IEEE 802.1Q的VLAN信息。而實質上的VLAN ID，是TCI中的12位元。由于總共有12位，因此最多可供識別4096個VLAN。

　　基于IEEE 802.1Q附加的VLAN信息，就像在傳遞物品時附加的標簽。因此，它也被稱作“標簽型VLAN”（Tagging VLAN）。

　　3.ISL（Inter Switch Link）

　　ISL，是Cisco產品支持的一種與IEEE 802.1Q類似的、用于在匯聚鏈路上附加VLAN信息的協議。

　　使用ISL后，每個數據幀頭部都會被附加26字節的“ISL包頭（ISL Header）”，并且在幀尾帶上通過對包括ISL包頭在內的整個數據幀進行計算后得到的4字節CRC值。換而言之，就是總共增加了30字節的信息。

　　在使用ISL的環境下，當數據幀離開匯聚鏈路時，只要簡單地去除ISL包頭和新CRC就可以了。由于原先的數據幀及其CRC都被完整保留，因此無需重新計算CRC。

　　ISL有如用ISL包頭和新CRC將原數據幀整個包裹起來，因此也被稱為“封裝型VLAN”（Encapsulated VLAN）。

　　需要注意的是，不論是IEEE802.1Q的“Tagging VLAN”，還是ISL的“Encapsulated VLAN”，都不是很嚴密的稱謂。不同的書籍與參考資料中，上述詞語有可能被混合使用，因此需要大家在學習時格外注意。

　　并且由于ISL是Cisco獨有的協議，因此只能用于Cisco網絡設備之間的互聯。

　　VLAN間路由

　　1.VLAN間路由的必要性

　　根據目前為止學習的知識，我們已經知道兩臺計算機即使連接在同一臺交換機上，只要所屬的VLAN不同就無法直接通信。接下來我們將要學習的就是如何在不同的VLAN間進行路由，使分屬不同VLAN的主機能夠互相通信。

　　首先，先來復習一下為什么不同VLAN間不通過路由就無法通信。在LAN內的通信，必須在數據幀頭中指定通信目標的MAC地址。而為了獲取MAC地址，TCP/IP協議下使用的是ARP。ARP解析MAC地址的方法，則是通過廣播。也就是說，如果廣播報文無法到達，那么就無從解析MAC地址，亦即無法直接通信。

　　計算機分屬不同的VLAN，也就意味著分屬不同的廣播域，自然收不到彼此的廣播報文。因此，屬于不同VLAN的計算機之間無法直接互相通信。為了能夠在VLAN間通信，需要利用OSI參照模型中更高一層——網絡層的信息（IP地址）來進行路由。關于路由的具體內容，以后有機會再詳細解說吧。

　　路由功能，一般主要由路由器提供。但在今天的局域網里，我們也經常利用帶有路由功能的交換機——三層交換機（Layer 3 Switch）來實現。接下來就讓我們分別看看使用路由器和三層交換機進行VLAN間路由時的情況。

　　2.使用路由器進行VLAN間路由

　　在使用路由器進行VLAN間路由時，與構建橫跨多臺交換機的VLAN時的情況類似，我們還是會遇到“該如何連接路由器與交換機”這個問題。路由器和交換機的接線方式，大致有以下兩種：

　　（1）將路由器與交換機上的每個VLAN分別連接

　　（2）不論VLAN有多少個，路由器與交換機都只用一條網線連接

　　最容易想到的，當然還是“把路由器和交換機以VLAN為單位分別用網線連接”了。將交換機上用于和路由器互聯的每個端口設為訪問鏈接（Access Link），然后分別用網線與路由器上的獨立端口互聯。如下圖所示，交換機上有2個VLAN，那么就需要在交換機上預留2個端口用于與路由器互聯;路由器上同樣需要有2個端口;兩者之間用2條網線分別連接。

　　如果采用這個辦法，大家應該不難想象它的擴展性很成問題。每增加一個新的VLAN，都需要消耗路由器的端口和交換機上的訪問鏈接，而且還需要重新布設一條網線。而路由器，通常不會帶有太多LAN接口的。新建VLAN時，為了對應增加的VLAN所需的端口，就必須將路由器升級成帶有多個LAN接口的高端產品，這部分成本、還有重新布線所帶來的開銷，都使得這種接線法成為一種不受歡迎的辦法。

　　那么，第二種辦法“不論VLAN數目多少，都只用一條網線連接路由器與交換機”呢？當使用一條網線連接路由器與交換機、進行VLAN間路由時，需要用到匯聚鏈接。

　　具體實現過程為：首先將用于連接路由器的交換機端口設為匯聚鏈接（Trunk Link），而路由器上的端口也必須支持匯聚鏈路。雙方用于匯聚鏈路的協議自然也必須相同。接著在路由器上定義對應各個VLAN的“子接口”（Sub Interface）。盡管實際與交換機連接的物理端口只有一個，但在理論上我們可以把它分割為多個虛擬端口。

　　VLAN將交換機從邏輯上分割成了多臺，因而用于VLAN間路由的路由器，也必須擁有分別對應各個VLAN的虛擬接口。

　　采用這種方法的話，即使之后在交換機上新建VLAN，仍只需要一條網線連接交換機和路由器。用戶只需要在路由器上新設一個對應新VLAN的子接口就可以了。與前面的方法相比，擴展性要強得多，也不用擔心需要升級LAN接口數不足的路由器或是重新布線。

　　3.同一VLAN內的通信

　　接下來，我們繼續學習使用匯聚鏈路連接交換機與路由器時，VLAN間路由是如何進行的。如下圖所示，為各臺計算機以及路由器的子接口設定IP地址。

　　紅色VLAN（VLAN ID=1）的網絡地址為192.168.1.0/24，藍色VLAN（VLAN ID=2）的網絡地址為192.168.2.0/24。各計算機的MAC地址分別為A/B/C/D，路由器匯聚鏈接端口的MAC地址為R。交換機通過對各端口所連計算機MAC地址的學習，生成如下的MAC地址列表。

　　首先考慮計算機A與同一VLAN內的計算機B之間通信時的情形。

　　計算機A發出ARP請求信息，請求解析B的MAC地址。交換機收到數據幀后，檢索MAC地址列表中與收信端口同屬一個VLAN的表項。結果發現，計算機B連接在端口2上，于是交換機將數據幀轉發給端口2，最終計算機B收到該幀。收發信雙方同屬一個VLAN之內的通信，一切處理均在交換機內完成。

　　4.不同VLAN間的通信

　　接下來是這一講的核心內容，不同VLAN間的通信。讓我們來考慮一下計算機A與計算機C之間通信時的情況。

　　計算機A從通信目標的IP地址（192.168.2.1）得出C與本機不屬于同一個網段。因此會向設定的默認網關（DefaultGateway，GW）轉發數據幀。在發送數據幀之前，需要先用ARP獲取路由器的MAC地址。

　　得到路由器的MAC地址R后，接下來就是按圖中所示的步驟發送往C去的數據幀。①的數據幀中，目標MAC地址是路由器的地址R、但內含的目標IP地址仍是最終要通信的對象C的地址。這一部分的內容，涉及到局域網內經過路由器轉發時的通信步驟，有機會再詳細解說吧。

　　交換機在端口1上收到①的數據幀后，檢索MAC地址列表中與端口1同屬一個VLAN的表項。由于匯聚鏈路會被看作屬于所有的VLAN，因此這時交換機的端口6也屬于被參照對象。這樣交換機就知道往MAC地址R發送數據幀，需要經過端口6轉發。

　　從端口6發送數據幀時，由于它是匯聚鏈接，因此會被附加上VLAN識別信息。由于原先是來自紅色VLAN的數據幀，因此如圖中②所示，會被加上紅色VLAN的識別信息后進入匯聚鏈路。路由器收到②的數據幀后，確認其VLAN識別信息，由于它是屬于紅色VLAN的數據幀，因此交由負責紅色VLAN的子接口接收。

　　接著，根據路由器內部的路由表，判斷該向哪里中繼。

　　由于目標網絡192.168.2.0/24是藍色VLAN，，且該網絡通過子接口與路由器直連，因此只要從負責藍色VLAN的子接口轉發就可以了。這時，數據幀的目標MAC地址被改寫成計算機C的目標地址;并且由于需要經過匯聚鏈路轉發，因此被附加了屬于藍色VLAN的識別信息。這就是圖中③的數據幀。

　　交換機收到③的數據幀后，根據VLAN標識信息從MAC地址列表中檢索屬于藍色VLAN的表項。由于通信目標——計算機C連接在端口3上、且端口3為普通的訪問鏈接，因此交換機會將數據幀去除VLAN識別信息后（數據幀④）轉發給端口3，最終計算機C才能成功地收到這個數據幀。

　　進行VLAN間通信時，即使通信雙方都連接在同一臺交換機上，也必須經過：“發送方——交換機——路由器——交換機——接收方”這樣一個流程。

　　三層交換機

　　1.使用路由器進行VLAN間路由時的問題

　　現在，我們知道只要能提供VLAN間路由，就能夠使分屬不同VLAN的計算機互相通信。但是，如果使用路由器進行VLAN間路由的話，隨著VLAN之間流量的不斷增加，很可能導致路由器成為整個網絡的瓶頸。

　　交換機使用被稱為ASIC（ApplicationSpecified Integrated Circuit）的專用硬件芯片處理數據幀的交換操作，在很多機型上都能實現以纜線速度（Wired Speed）交換。而路由器，則基本上是基于軟件處理的。即使以纜線速度接收到數據包，也無法在不限速的條件下轉發出去，因此會成為速度瓶頸。就VLAN間路由而言，流量會集中到路由器和交換機互聯的匯聚鏈路部分，這一部分尤其特別容易成為速度瓶頸。并且從硬件上看，由于需要分別設置路由器和交換機，在一些空間狹小的環境里可能連設置的場所都成問題。

　　2.三層交換機（Layer 3 Switch）

　　為了解決上述問題，三層交換機應運而生。三層交換機，本質上就是“帶有路由功能的（二層）交換機”。路由屬于OSI參照模型中第三層網絡層的功能，因此帶有第三層路由功能的交換機才被稱為“三層交換機”。

　　關于三層交換機的內部結構，可以參照下面的簡圖。

　　在一臺本體內，分別設置了交換機模塊和路由器模塊;而內置的路由模塊與交換模塊相同，使用ASIC硬件處理路由。因此，與傳統的路由器相比，可以實現高速路由。并且，路由與交換模塊是匯聚鏈接的，由于是內部連接，可以確保相當大的帶寬。

　　● 使用三層交換機進行VLAN間路由（VLAN內通信）

　　在三層交換機內部數據究竟是怎樣傳播的呢？基本上，它和使用匯聚鏈路連接路由器與交換機時的情形相同。

　　假設有如下圖所示的4臺計算機與三層交換機互聯。當使用路由器連接時，一般需要在LAN接口上設置對應各VLAN的子接口;而三層交換機則是在內部生成“VLAN接口”（VLAN Interface）。VLAN接口，是用于各VLAN收發數據的接口。（注：在Cisco的Catalyst系列交換機上，VLAN Interface被稱為SVI——Switched Virtual Interface）

　　為了與使用路由器進行VLAN間路由對比，讓我們同樣來考慮一下計算機A與計算機B之間通信時的情況。首先是目標地址為B的數據幀被發到交換機;通過檢索同一VLAN的MAC地址列表發現計算機B連在交換機的端口2上;因此將數據幀轉發給端口2。

　　● 使用三層交換機進行VLAN間路由（VLAN間通信）

　　接下來設想一下計算機A與計算機C間通信時的情形。針對目標IP地址，計算機A可以判斷出通信對象不屬于同一個網絡，因此向默認網關發送數據（Frame 1）。

　　交換機通過檢索MAC地址列表后，經由內部匯聚鏈接，將數據幀轉發給路由模塊。在通過內部匯聚鏈路時，數據幀被附加了屬于紅色VLAN的VLAN識別信息（Frame 2）。

　　路由模塊在收到數據幀時，先由數據幀附加的VLAN識別信息分辨出它屬于紅色VLAN，據此判斷由紅色VLAN接口負責接收并進行路由處理。因為目標網絡192.168.2.0/24是直連路由器的網絡、且對應藍色VLAN;因此，接下來就會從藍色VLAN接口經由內部匯聚鏈路轉發回交換模塊。在通過匯聚鏈路時，這次數據幀被附加上屬于藍色VLAN的識別信息（Frame 3）。

　　交換機收到這個幀后，檢索藍色VLAN的MAC地址列表，確認需要將它轉發給端口3。由于端口3是通常的訪問鏈接，因此轉發前會先將VLAN識別信息去除（Frame 4）。最終，計算機C成功地收到交換機轉發來的數據幀。

　　整體的流程，與使用外部路由器時的情況十分相似——都需要經過“發送方→交換模塊→路由模塊→交換模塊→接收方”。

　　加速VLAN間通信的手段

　　1.流（Flow）

　　根據到此為止的學習，我們已經知道VLAN間路由，必須經過外部的路由器或是三層交換機的內置路由模塊。但是，有時并不是所有的數據都需要經過路由器（或路由模塊）。

　　例如，使用FTP（File Transfer Protocol）傳輸容量為數MB以上的較大的文件時，由于MTU的限制，IP協議會將數據分割成小塊后傳輸、并在接收方重新組合。這些被分割的數據，“發送的目標”是完全相同的。發送目標相同，也就意味著同樣的目標IP地址、目標端口號（注：特別強調一下，這里指的是TCP/UDP端口）。自然，源IP地址、源端口號也應該相同。這樣一連串的數據流被稱為“流”（Flow）。

　　只要將流最初的數據正確地路由以后，后繼的數據理應也會被同樣地路由。

　　據此，后繼的數據不再需要路由器進行路由處理;通過省略反復進行的路由操作，可以進一步提高VLAN間路由的速度。

　　2.加速VLAN間路由的機制

　　接下來，讓我們具體考慮一下該如何使用三層交換機進行高速VLAN間路由。

　　首先，整個流的第一塊數據，照常由交換機轉發→路由器路由→再次由交換機轉發到目標所連端口。這時，將第一塊數據路由的結果記錄到緩存里保存下來。需要記錄的信息有：

　　（1）目標IP地址

　　（2）源IP地址

　　（3）目標TCP/UDP端口號

　　（4）源TCP/UDP端口號

　　（5）接收端口號（交換機）

　　（6）轉發端口號（交換機）

　　（7）轉發目標MAC地址

　　等等。

　　同一個流的第二塊以后的數據到達交換機后，直接通過查詢先前保存在緩存中的信息查出“轉發端口號”后就可以轉發給目標所連端口了。

　　這樣一來，就不需要再一次次經由內部路由模塊中繼，而僅憑交換機內部的緩存信息就足以判斷應該轉發的端口。

　　這時，交換機會對數據幀進行由路由器中繼時相似的處理，例如改寫MAC地址、IP包頭中的TTL和Check Sum校驗碼信息等。

　　通過在交換機上緩存路由結果，實現了以纜線速度（Wired Speed）接收發送方傳輸來數據的數據、并且能夠全速路由、轉發給接收方。

　　需要注意的是，類似的加速VLAN間路由的手法多由各廠商獨有的技術所實現，并且該功能的稱謂也因廠商而異。例如，在Cisco的Catalyst系列交換機上，這種功能被稱為“多層交換”（Multi Layer Switching）。另外，除了三層交換機的內部路由模塊，外部路由器中的某些機型也支持類似的高速VLAN間路由機制。

　　傳統型路由器存在的意義

　　1.路由器的必要性

　　三層交換機的價格，在問世之初非常昂貴，但是現在它們的價格已經下降了許多。目前國外一些廉價機型的售價，折合成人民幣后僅為一萬多元，而且還在繼續下降中。

　　既然三層交換機能夠提供比傳統型路由器更為高速的路由處理，那么網絡中還有使用路由器的必要嗎？

　　答案是：“是”。

　　使用路由器的必要性，主要表現在以下幾個方面：

　　（1）用于與WAN連接

　　三層交換機終究是“交換機”。也就是說，絕大多數機型只配有LAN（以太網）接口。在少數高端交換機上也有用于連接WAN的串行接口或是ATM接口，但在大多數情況下，連接WAN還是需要用到路由器。

　　（2）保證網絡安全

　　在三層交換機上，通過數據包過濾也能確保一定程度的網絡安全。但是使用路由器所提供的各種網絡安全功能，用戶可以構建更為安全可靠的網絡。

　　路由器提供的網絡安全功能中，除了最基本的數據包過濾功能外，還能基于IPSec構建VPN（VirtualPrivate Network）、利用RADIUS進行用戶認證等等。

　　（3）支持除TCP/IP以外的異構網絡架構

　　盡管TCP/IP已經成為當前網絡協議架構的主流，但還有不少網絡利用Novell Netware下的IPX/SPX或Macintosh下的AppleTalk等網絡協議。三層交換機中，除了部分高端機型外基本上還只支持TCP/IP。因此，在需要使用除TCP/IP之外其他網絡協議的環境下，路由器還是必不可少的。

　　注：在少數高端交換機上，也能支持上述路由器的功能。例如Cisco的Catalyst 6500系列，就可以選擇與WAN連接的接口模塊;還有可選的基于IPSec實現VPN的模塊;并且也能支持TCP/IP以外的其他網絡協議。

　　2.路由器和交換機配合構建LAN的實例

　　下面讓我們來看一個路由器和交換機搭配構建LAN的實例。

　　利用在各樓層配置的二層交換機定義VLAN，連接TCP/IP客戶計算機。各樓層間的VLAN間通信，利用三層交換機的高速路由加以實現。如果網絡環境要求高可靠性，還可以考慮冗余配置三層交換機。

　　與WAN的連接，則通過帶有各種網絡接口的路由器進行。并且，通過路由器的數據包過濾和VPN等功能實現網絡安全。此外，使用路由器還能支持Novell Netware等TCP/IP之外的網絡。

　　只有在充分掌握了二層、三層交換機以及傳統路由器的基礎上，才能做到物競其用，構筑出高效率、高性價比的網絡。

　　使用VLAN設計局域網

　　1.使用VLAN設計局域網的特點

　　通過使用VLAN構建局域網，用戶能夠不受物理鏈路的限制而自由地分割廣播域。

　　另外，通過先前提到的路由器與三層交換機提供的VLAN間路由，能夠適應靈活多變的網絡構成。

　　但是，由于利用VLAN容易導致網絡構成復雜化，因此也會造成整個網絡的組成難以把握。

　　可以這樣說，在利用VLAN時，除了有“網絡構成靈活多變”這個優點外，還搭配著“網絡構成復雜化”這個缺點。

　　下面，就讓我們來看看具體的實例。

　　2.不使用VLAN的局域網中網絡構成的改變

　　假設有如圖所示的由1臺路由器、2臺交換機構成的“不使用VLAN構建”的網絡。

　　圖中的路由器，帶有2個LAN接口。左側的網絡是192.168.1.0/24，右側是192.168.2.0/24。

　　現在如果想將192.168.1.0/24這個網絡上的計算機A轉移到192.168.2.0/24上去，就需要改變物理連接、將A接到右側的交換機上。

　　并且，當需要新增一個地址為192.168.3.0/24的網絡時，還要在路由器上再占用一個LAN接口并添置一臺交換機。而由于這臺路由器上只帶了2個LAN接口，因此為了新增網絡還必須將路由器升級為帶有3個以上LAN接口的產品。

　　3.使用VLAN的局域網中網絡構成的改變

　　接下來再假設有一個由1臺路由器、2臺交換機構成的“使用VLAN”的局域網。交換機與交換機、交換機與路由器之間均為匯聚鏈路;并且假設192.168.1.0/24對應紅色VLAN、192.168.2.0/24對應藍色VLAN。

　　需要將連接在交換機1上192.168.1.0/24這個網段的計算機A轉屬192.168.2.0/24時，無需更改物理布線。只要在交換機上生成藍色VLAN，然后將計算機A所連的端口1加入到藍色VLAN中去，使它成為訪問鏈接即可。

　　然后，根據需要設定計算機A的IP地址、默認網關等信息就可以了。如果IP地址相關的設定是由DHCP獲取的，那么在客戶機方面無需進行任何設定修改，就可以在不同網段間移動。

　　利用VLAN后，我們可以在免于改動任何物理布線的前提下，自由進行網絡的邏輯設計。如果所處的工作環境恰恰需要經常改變網絡布局，那么利用VLAN的優勢就非常明顯了。

　　并且，當需要新增一個地址為192.168.3.0/24的網段時，也只需要在交換機上新建一個對應192.168.3.0/24的VLAN，并將所需的端口加入它的訪問鏈路就可以了。

　　如果網絡環境中還需要利用外部路由器，則只要在路由器的匯聚端口上新增一個子接口的設定就可以完成全部操作，而不需要消耗更多的物理接口（LAN接口）。要使用的是三層交換機內部的路由模塊，則只需要新設一個VLAN接口即可。

　　網絡環境的成長，往往是難以預測的，很可能經常會出現需要分割現有網絡或是增加新網絡的情況。而充分活用VLAN后，就可以輕易地解決這些問題。

　　4.利用VLAN而導致的網絡結構復雜化

　　雖然利用VLAN可以靈活地構建網絡，但是同時，它也帶來了網絡結構復雜化的問題。

　　特別是由于數據流縱橫交錯，一旦發生故障時，準確定位并排除故障會比較困難。

　　為了便于理解數據流向的復雜化，假設有下圖所示的網絡。計算機A向計算機C發送數據時，數據流的整體走向如下：

　　計算機A→交換機1→路由器→交換機1→交換機2→計算機C

　　首先計算機A向交換機1送出數據（①），其后數據被轉發給路由器（②）進行VLAN間路由。路由后的數據，再從匯聚鏈路返回交換機1（③）。由于通信目標計算機C并不直連在交換機1上，因此還需要經過匯聚鏈路轉發到交換機2（④）。在交換機2上，數據最終被轉發到C所連的端口2上，這才完成整個流程（⑤）。

　　在這個例子中，僅由2臺交換機構成網絡，其數據流已經如此復雜，如果構建橫跨多臺交換機的VLAN的話，每個數據流的流向顯然會更加難以把握。

　　5. 網絡的邏輯結構與物理結構

　　為了對應日漸復雜化的數據流，管理員需要從“邏輯結構”與“物理結構”兩方面入手，把握好網絡的現狀。

　　物理結構，指的是從物理層和數據鏈路層觀察到的網絡的現狀，表示了網絡的物理布線形態和VLAN的設定等等。

　　而邏輯結構，則表示從網絡層以上的層面觀察到的網絡結構。下面我們就試著以路由器為中心分析一個IP網絡的邏輯結構。

　　還是先前的那個例子，描繪了布線形態和VLAN設定的“物理結構”如下圖所示。

　　分析這個物理結構并轉換成以路由器為中心的邏輯結構后，會得到如下的邏輯結構圖。當我們需要進行路由或是數據包過濾的設定時，都必須在邏輯結構的基礎上進行。

　　把握這兩種網絡結構圖的區別是十分重要的，特別是在VLAN和三層交換機大行其道的現代企業級網絡當中。