VLAN隔离技术的应用

轩辕十四

    在同一个VLAN中的工作站，不论它们实际与哪个交换机连接，它们之间的通讯就好像在独立的集线器上一样。同一个VLAN中的广播只有VLAN中的成员才能听到，而不会传输到其他的 VLAN中去，这样可以很好的控制不必要的广播风暴的产生。同时，若没有路由的话，不同VLAN之间不能相互通讯，这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分VLAN的。所以，用户可以自由的在企业网络中移动办公，不论他在何处接入交换网络，他都可以与VLAN内其他用户自如通讯。


    VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

    VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN 中，从而有助于控制流量、企业中的VLAN减少设备投资、简化网络管理、提高网络的安全性。


    VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用 VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。

    VLAN（虚拟局域网）隔离技术是一种一方面为了避免当一个网 络系统的设备数量增加到一定规模后，大量的广播报文消耗大量的网络带宽，从而影响有效数据的传递；另一方面确保部分安全性比较敏感的部门不被随意访问浏览而采用的划分相互隔离子网的方法。目前，基于VLAN隔离技术的访问控制方法在一些中小型企业和校园网中得到广泛的应用。

    VLAN是一个独立的设备或者用户的逻辑组，是一个独立的逻辑网络，单独的广播域。通过VLAN隔离技术，可以把一个网络系统中众多的网络设备分成若干个虚拟的工作组，组和组之间的网络设备在二层上相互隔离，形成不同的广播域，将广播流量限制在不同的广播域。由于VLAN技术是基于二层和三层之间的隔离，可以将不同的网络用户与网络资源进行分组并通过支持VLAN技术的交换机隔离不同组内网络设备间的数据交换来达到网络安全的目的。该方式允许同一VLAN上的用户互相通信，而处于不同VLAN的用户之间在数据链路层上是断开的，只能通过三层路由器才能访问。

    在安全性方面，VLAN隔离技术可以保证物理设备之间的隔离，但是对于同一台服务器，只能做到同时向多个VLAN组全面开放或者是只向某个VLAN组开放，而不能针对个别用户进行限制。在实际应用中，一台服务器担当多种服务器角色，同时为多个VLAN组用户提供不同的服务，这也带来一定的安全隐患。比如：一台市场部电子商务服务器，存储有客户数据，同时它也是一台财务部数据库服务器，存储有财务数据，这样该服务器就同时需要向市场人员和财务人员开放，单纯的采用VLAN技术就无法避免市场人员查看财务数据（当然，这种隐患可以通过其它辅助手段解决）。


    现今VLAN技术经过多年的发展有了广泛的使用，VLAN的划分方法也不再是只能根据交换机的物理端口来划分。现在VLAN一般的划分方法有三种：1.基于端口划分。由管理员指定静态端口属于哪个VLAN。2.基于MAC地址划分。是按照每一个连接到交换机设备的物理地址定义MAC成员。3.基于第三成协议类型或者地址划分。包括根据网络地址划分，根据不同网络协议(TCP/IP、IPX、DECNET)划分等等。

    因为VLAN技术与局域网技术息息相关，所以在介绍VLAN之前，了解局域网的知识是有必要的。局域网（LAN）通常被定义为一个单独的广播域，主要使用Hub，网桥，或交换机等网络设备连接同一网段内的所有节点。同处一个局域网之内的网络节点之间可以不通过网络路由器直接进行通信；而处于不同局域网段内的设备之间的通信则必须经过网络路由器。