2 虛擬局域網(wǎng)技術(shù)的特點(diǎn)
    基于VLAN的校園網(wǎng)與普通校園網(wǎng)相比具有以下特點(diǎn)：
    (1)管理簡(jiǎn)單節(jié)點(diǎn)的增加、移動(dòng)及其他變化都通過(guò)管理控制臺(tái)快速便捷處理，而無(wú)需到布線(xiàn)室進(jìn)行調(diào)整。
    (2)性能提高通過(guò)限制整個(gè)網(wǎng)絡(luò)的節(jié)點(diǎn)對(duì)節(jié)點(diǎn)通信和廣播通信，虛擬子網(wǎng)可以節(jié)約帶寬，從而降低成本。
    (3)網(wǎng)絡(luò)安全性好虛擬子網(wǎng)創(chuàng)造虛擬邊界，它只能通過(guò)路由器跨越，因此需要時(shí)，基于路由器的標(biāo)準(zhǔn)安全措施可用于限制對(duì)每個(gè)虛擬子網(wǎng)的訪(fǎng)問(wèn)。

3 VLAN的劃分方式
3．1 基于端口劃分的VLAN
    以網(wǎng)絡(luò)設(shè)備的端口所屬的具體VLAN的標(biāo)準(zhǔn)劃分VLAN。例如，在一個(gè)8端口的網(wǎng)橋中，端口1、2、4、7屬于VLAN1．而端口3、5、6、8屬于VLAN2。則與這些端口相連的設(shè)備所及其收發(fā)的數(shù)據(jù)幀相應(yīng)地也分屬于VLAN1和VLAN2。這種劃分方法的優(yōu)點(diǎn)是定義VLAN成員非常簡(jiǎn)單，指定所有端口即可；而其缺點(diǎn)是不允許用戶(hù)隨便移動(dòng)。如果屬于某個(gè)VLAN的用戶(hù)離開(kāi)原來(lái)端口，到達(dá)一個(gè)新網(wǎng)絡(luò)設(shè)備的某端口，那么網(wǎng)絡(luò)管理者必須重新定義該VLAN。
3．2 基于MAC地址劃分VLAN
    以計(jì)算機(jī)工作站網(wǎng)卡的MAC地址劃分VLAN。這種劃分方法的最大優(yōu)點(diǎn)就是由于一個(gè)MAC地址唯一對(duì)應(yīng)一塊計(jì)算機(jī)網(wǎng)卡，因此當(dāng)某個(gè)計(jì)算機(jī)工作站物理位置改變時(shí)，即從一臺(tái)交換機(jī)轉(zhuǎn)移到另一臺(tái)交換機(jī)時(shí)，無(wú)需重新配置VLAN。
3．3 基于網(wǎng)絡(luò)層協(xié)議類(lèi)型劃分VLAN
    如果網(wǎng)絡(luò)支持多網(wǎng)絡(luò)層協(xié)議，那么根據(jù)數(shù)據(jù)幀頭中的網(wǎng)絡(luò)層協(xié)議類(lèi)型字段也可劃分VLAN，這對(duì)網(wǎng)絡(luò)管理者來(lái)說(shuō)非常重要，同時(shí)這種方法無(wú)需附加幀標(biāo)簽識(shí)別VLAN，這樣可減少網(wǎng)絡(luò)通信量。
3．4 基于網(wǎng)絡(luò)層子網(wǎng)地址劃分VLAN
    根據(jù)數(shù)據(jù)報(bào)文頭中的網(wǎng)絡(luò)層子網(wǎng)地址劃分VLAN。雖然這種劃分方法根據(jù)第3層信息即網(wǎng)絡(luò)地址(如IP地址)，但與網(wǎng)絡(luò)層的路由功能沒(méi)有關(guān)系。它只是查看每個(gè)數(shù)據(jù)報(bào)文的網(wǎng)絡(luò)層地址。并根據(jù)過(guò)濾數(shù)據(jù)庫(kù)中事先定義好的信息決定其歸屬于哪個(gè)VLAN，然后再根據(jù)生成樹(shù)算法進(jìn)行橋交換，并不牽涉任何路由操作。這種方法的優(yōu)點(diǎn)是，當(dāng)某個(gè)計(jì)算機(jī)工作站物理位置改變時(shí)，即從一臺(tái)交換機(jī)轉(zhuǎn)移到其他交換機(jī)．無(wú)需重新配置VLAN。但其缺點(diǎn)是效率低，因?yàn)橄鄬?duì)于第1、2層VLAN的實(shí)現(xiàn)技術(shù)，檢查每一個(gè)數(shù)據(jù)報(bào)文的網(wǎng)絡(luò)層地址是很費(fèi)時(shí)間的。一般交換機(jī)芯片具有更大的靈活性，而且也易于通過(guò)路由器進(jìn)行擴(kuò)展；而其缺點(diǎn)是不適合LAN，效率低。

4 VLAN之間的通信
    使用路由器實(shí)現(xiàn)VLAN間通信時(shí)，路由器與交換機(jī)的連接方式有兩種。第一種是通過(guò)路由器的不同物理接口與交換機(jī)上的每個(gè)VLAN分別連接；第二種是通過(guò)路由器的邏輯子接口與交換機(jī)的各個(gè)VLAN連接。專(zhuān)用VALN將端口分為混雜端口、隔離端口和群體端口3類(lèi)，只有混雜端口能夠與路由器或三層交換機(jī)連接。對(duì)應(yīng)混雜端口的VLAN稱(chēng)為Pri-mary VLAN，它可以和映射到混雜端口的所有隔離VLAN(Isolated VLAN)的端口及群體VLAN(Community VLAN)的端口進(jìn)行通信。Community VLAN的端口除可和PrimaryVLAN通信外，內(nèi)部端口問(wèn)也可相互通信。Isolated VLAN內(nèi)的端口只能和Primary VLAN的端口通信，內(nèi)部端口間是互相隔離的。以下給出不同VLAN之間相互通信的實(shí)現(xiàn)。
4．1 單臂路由器連接虛擬局域網(wǎng)
    在校園內(nèi)部網(wǎng)絡(luò)中劃分VLAN，當(dāng)VLAN之間有部分主機(jī)需要通信，但交換機(jī)不支持三層交換。這時(shí)可采用一臺(tái)支持802．1Q的路由器實(shí)現(xiàn)VLAN的互通。只需在以太網(wǎng)端口上建立子接口，并分配IP地址作為該VLAN的網(wǎng)關(guān)，同時(shí)啟動(dòng)802．10協(xié)議即可。
    如圖1所示，單臂路由器是指使用路由器的一個(gè)端口連接多個(gè)VLAN，實(shí)現(xiàn)方法是配置多個(gè)邏輯子接口。路由器與交換機(jī)之間通過(guò)外部線(xiàn)路連接，該外部線(xiàn)路只有一條。但在邏輯上是分開(kāi)的，需要路由的數(shù)據(jù)包通過(guò)該線(xiàn)路到達(dá)路由器，經(jīng)路由后再通過(guò)此線(xiàn)路返回交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。因此。該拓?fù)浞绞椒Q(chēng)為單臂路由，即：包從某一個(gè)口進(jìn)去，則就從該口出來(lái)。

4．2 用三層交換機(jī)實(shí)現(xiàn)不同VLAN之間主機(jī)通信
    三層交換機(jī)，本質(zhì)上就是帶有路由功能的二層交換機(jī)。第3層交換機(jī)是將第2層交換機(jī)和第3層路由器兩者的優(yōu)勢(shì)有機(jī)而智能化地結(jié)合，可在各個(gè)層次提供線(xiàn)速性能。這種集成化的結(jié)構(gòu)還引進(jìn)策略管理屬性。在一臺(tái)三層交換機(jī)內(nèi)，分別設(shè)置交換機(jī)模塊和路由器模塊；而內(nèi)置的路由模塊與交換模塊類(lèi)似，也使用ASIC硬件處理路由。其具體配置如圖2三層交換機(jī)實(shí)現(xiàn)VLAN間通信拓?fù)鋵?shí)例所示。

    SW3550具體配置如下：

5 結(jié)束語(yǔ)
    VLAN作為一種新型網(wǎng)絡(luò)技術(shù)，能夠?yàn)榻鉀Q網(wǎng)絡(luò)站點(diǎn)的靈活配置和網(wǎng)絡(luò)安全性等問(wèn)題提供良好手段。雖然VLAN技術(shù)目前還存在諸如技術(shù)標(biāo)準(zhǔn)的統(tǒng)一、VLAN管理的開(kāi)銷(xiāo)和VALN配置自動(dòng)化等問(wèn)題，然而隨著技術(shù)的進(jìn)步。這些問(wèn)題將逐步得到解決，VLAN技術(shù)廣泛應(yīng)用于網(wǎng)絡(luò)建設(shè)，從而為提高網(wǎng)絡(luò)的工作效率發(fā)揮更大作用。隨著校園網(wǎng)絡(luò)的規(guī)模不斷擴(kuò)大和發(fā)展，也使得VLAN技術(shù)在校園網(wǎng)得更廣泛應(yīng)用。