如何划分VLAN

小乔

1 概述
VLAN是英文Virtual Local Area Network的简称，又叫虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。VLAN是为解决以太网的广播问题和安全性而提出的，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中。即使是处在同一网段的两台计算机，如果不在同一VLAN中，它们各自的广播流也不会被转发至对端。
划分VLAN有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。关于VLAN的划分方法众说纷纭，可以从本质上将其分为两种：基于端口划分、基于报文内容划分。

2 VLAN的划分方式
2.1   基于端口划分VLAN
2.1.1  按端口划分VLAN
按端口划分VLAN是最基本的VLAN划分方式。管理员给交换设备的每个端口配置不同的PVID（Port Default VLAN ID，端口缺省VLAN ID），将端口分配到不同的VLAN中，终端用户接入的VLAN只和接入端口相关。这种划分方式的优点是定义VLAN成员时非常简单方便；缺点是终端用户物理位置移动时，接入端口变更就可能需要重新进行VLAN配置。
2.1.2  Super VLAN
Super VLAN是VLAN划分的一种方式，又称为VLAN Aggregation（VLAN聚合）。由于在Super VLAN中，终端接入的VLAN只和接入端口相关，本质上也属于基于端口划分VLAN。锐捷网络的交换机产品大都支持Super VLAN技术。
在普通VLAN中，一个普通VLAN对应一个子网网段，采用一个IP地址作为网关实现跨VLAN的三层通信。
而Super VLAN技术，将普通VLAN配置为Sub VLAN并聚合为一个Super VLAN，仅为Super VLAN分配一个IP地址作为网关，从而实现跨VLAN三层通信。如此既节省地址，又方便网络管理。
2.1.3  Private VLAN
除了Super VLAN技术以外，Private VLAN（私有VLAN，简称PVLAN）技术由于终端接入的VLAN只和接入端口相关，本质上也属于基于端口划分VLAN。锐捷网络的交换机产品大都支持Private VLAN技术。
Private VLAN将一个VLAN的二层广播域划分成多个子域，形成双层VLAN结构。外层叫Primary VLAN（主VLAN），内层叫Secondary VLAN（辅助VLAN），主VLAN和辅助VLAN是一对多的关系。此技术用于提高运营商能支持的用户数，减少IP地址的浪费。
2.2   基于报文内容划分VLAN
2.2.1  基于MAC地址划分VLAN
1.  MAC VLAN
相比于基于端口划分VLAN的方式，基于报文内容划分的方式会更加灵活。例如MAC VLAN技术，通过识别报文中携带的MAC地址信息，根据终端的MAC地址将终端划分到对应的VLAN。它的主要优势是当用户终端设备的物理位置发生移动，接入位置从一台设备换到另一台设备时，不需要重新配置用户所在端口的VLAN；不同的终端在同一个接入端口接入，可以根据MAC地址的不同，被划分到不同VLAN中。
2.  Voice VLAN
随着技术的日益发展，IP电话应用越来越广泛。因为丢包和时延对通话质量的影响很大，用户对语音的质量降低，比对数据或者视频的质量降低更为敏感，因此在带宽有限的情况下，就需要优先保证语音数据的质量，从而保障通话质量。Voice VLAN技术通过报文源MAC地址中的OUI字段识别语音数据（语音报文的源MAC地址中包含了语音设备厂商的OUI信息），将数据流和语音流分别限制在数据VLAN和Voice VLAN中，从而保证语音通话与业务报文互不影响，提高通话质量。
2.2.2  基于报文协议类型划分VLAN
除了通过报文中的MAC地址信息进行VLAN划分以外，还可以通过报文协议类型进行VLAN划分，例如Protocol VLAN技术就是一种基于报文协议类型的VLAN分类技术。当设备从端口接收到不携带VLAN ID的报文时，可以根据用户设定的规则，将与规则匹配成功的报文自动分发到相应的VLAN中传输。
Protocol VLAN技术分为两类：子网VLAN和协议VLAN。
1.  子网VLAN
基于报文的源IP地址及子网掩码进行VLAN分类的技术，简称子网VLAN。
子网VLAN的优势主要在于用户的物理位置发生改变时，不需要重新配置VLAN。比如在某共享办公区域中，用户的IP地址是固定的，但是接入端口是不固定的。为了控制用户访问网络资源的权限，可以根据用户IP地址将用户划分到不同VLAN中。
2.  协议VLAN
基于报文类型和以太网类型进行VLAN分类的技术，简称协议VLAN。
协议VLAN的优势主要在于将网络中提供的服务类与VLAN进行了绑定，方便进行管理和维护。

3 如何选择VLAN的划分方式
3.1   基于网络大小
基于MAC地址划分VLAN的方式在初始化时，需要配置所有终端用户的MAC地址信息，通常只适用于小型的局域网。其他几种VLAN划分方式适用于任何大小的网络。
3.2   基于网络速率
基于报文内容划分VLAN的方式由于需要检查核验报文中的MAC地址、以太网帧头、IP帧头等信息，导致数据传输交换的效率有所降低，对速率要求较高的大型网络中，不建议选择该类型的VLAN划分方式。
3.3   基于应用场景需求
3.3.1  移动性
基于端口划分VLAN的方式，在终端设备位置移动更换接入端口时可能需要重新配置，通常适用于位置比较固定的网络。对于位置经常移动的网络，更推荐使用基于报文内容划分VLAN的方式，其中基于MAC地址划分VLAN的方式只适用于经常移动位置但不经常更换网卡的使用场景。
3.3.2  安全性
基于报文的源IP地址及子网掩码进行VLAN划分的子网VLAN，由于将指定子网划分到指定VLAN，导致用户规律性的分布，多个用户处于同一网段，在遭受网络攻击时安全性较低。
3.3.3  协议复杂性
随着互联网的发展，网络中运行的协议也越来越繁杂，为了方便管理和维护网络中的不同服务类型的报文，可采用基于报文类型和以太网类型进行VLAN划分的协议VLAN，将网络中不同服务类型的报文划分到不同VLAN中进行传输。

4 总结
VLAN的各种划分方式各有优劣，需要根据实际的网络需求进行选择，也可以选择多种进行混合运用。通过合适的VLAN划分方式，将一个规模较大的广播域在逻辑上划分成若干个不同的、规模较小的广播域，由此可以有效地提升网络的安全性，同时减少垃圾流量，节约网络资源。

mawr1985