2.3 虚拟局域网（VLAN）基础

传统的局域网存在广播风暴和小区宽带用户隔离的问题。为了解决这两个问题，提出了VLAN技术。

传统的局域网使用的是集线器（Hub），Hub只有一根总线，一根总线就是一个冲突域。所以传统的局域网是一个扁平的网络，一个局域网属于同一个冲突域。任何一台主机发出的报文都会被同一冲突域中的所有其他机器接收到。后来，组网时使用二层交换机代替集线器，每个端口可以看成是一根单独的总线，冲突域缩小到每个端口，使得网络发送单播报文的效率大大提高，极大地提高了二层网络的性能。但是假如一台主机发出广播报文，设备仍然可以接收到该广播信息，通常把广播报文所能传输的范围称为广播域，交换机在传递广播报文的时候依然要将广播报文复制多份，发送到网络的各个角落。随着网络规模的扩大，网络中的广播报文越来越多，广播报文占用的网络资源越来越多，严重影响网络性能，这就是所谓的广播风暴问题，最坏情况下，广播风暴可以使整个网络瘫痪。

此外，随着Internet的快速发展，许多小区构建了自己的小区宽带网络，用户通过LAN直接接入Internet。在这种LAN接入方式中，应该考虑的一个重要问题就是用户之间的隔离问题。由于在局域网环境中，接入到局域网的用户都处于同一个广播域中，也就是一个用户在通过局域网进行通信时，发出的广播信息同样能够被其他用户监听到。在一般的局域网网络环境下，当接入到同一LAN的不同用户处于互相信任的关系时，这种情况并不会产生严重的安全问题。但是，一般情况下，接入到同一LAN的各个用户之间都互不相干，即他们之间不存在互相信任的基础。因此，接入到LAN中的用户一般都不希望自己网络的通信信息被其他用户所获得。这时，就要求在实现LAN的接入中，充分考虑各个接入用户的隔离问题。

由于工作原理本身的限制，传统二层交换机对广播风暴和用户隔离问题无能为力。为了提高网络的效率，一般需要将网络进行分段，把一个大的广播域划分成几个小的广播域。

VLAN是将一个物理上互联的局域网交换网络划分为逻辑上相互隔离的虚拟局域网络。一个VLAN在逻辑上等价于一个广播域，如图2-4所示。

VLAN技术的出现打破了传统网络的许多固有观念，使网络结构变得灵活、方便。在局域网交换技术中，虚拟局域网是一种迅速发展的技术。此种技术的核心是通过路由和交换设备，在网络的物理拓扑结构基础上建立一个逻辑网络，以使得网络中任意几个LAN段或单站能够组合成一个逻辑上的局域网。LAN交换设备给用户提供了非常好的网络分段能力、极低的报文转发延迟以及很高的传输带宽。LAN交换设备能够将整个网络逻辑分成许多虚拟工作组。此种逻辑上被划分的虚拟工作组通常就被称为虚拟局域网。近年来，各大主要的LAN设备厂商均在其交换LAN方案中集成虚拟局域网技术。

在引入交换技术之后，人们可以在第2层上将网络划分成更小的分段。这样做的好处是各网段的带宽将得以提高，而网络中的路由器可以集中力量做好广播数据的隔离工作。此时一个广播域可以跨越多个交换的网段，从而使得在一个广播域中提供对500个甚至更多用户的支持也不再是什么困难的事。但是，大量的交换设备将网络分成越来越多的网段并不能降低对于广播数据隔离的要求。在这种网络中仍然要使用路由器，而一个广播域通常只能包含100～500个用户。

VLAN代表着一种不用路由器对广播数据进行隔离的解决方案。在VLAN中，对广播数据的隔离将由交换机完成。此时，每一个物理网段可以仅包含一个用户，而一个广播域中则可以具有多达1000个以上的用户。另外，VLAN还可以跟踪各个工作站物理位置的变动，使之在移动位置之后不需要对其网络地址重新进行手工配置。VLAN一方面建立在局域网交换机（如以太网交换机、ATM交换机等）的基础之上；另一方面，VLAN是局域交换网的灵魂。VLAN充分体现了现代网络技术的重要特征，即高速、灵活、管理简便和容易扩展。