IP子网与VLAN辨析与应用

摘要：ip子网与vlan都属于网络分组技术，两项技术既有相互联系，又有本质区别，在实际应用中各有千秋，本文从IP子网和VLAN的技术入手，归纳了这两项技术相同点和不同点，以及两项技术在实际组网中的应用。

关键词：IP子网；VLAN；技术；比较；应用。

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)08-1pppp-0c

1 IP子网技术及其作用

我们现在使用的IP地址，有A、B、C三类，这三类地址都包含大量的主机地址，为了充分利用IP地址资源，人们引入子网的概念，即将IP地址中原来应该是用来表示主机号的那些位拿出一部分用于表示子网号，从而就是在原来的网络中生成了不同的“子网”。划分子网后一个子网一般对应于一个物理网络，子网之间只能通过路由器通信。IP子网结构如图1。

图1 IP子网结构

划分子网的最初目的是充分利用IP地址资源，不过现在也用于其他用途。首先，利用子网划分将用户分组，隔离不同用户之间的通信，这样既可以隔离广播、隔离冲突、减少了网络开销、也可以使子网内部通信更加安全。第二，利用子网划分有利于网络分层结构设计也有利于IP地址的分配，第三，划分子网有利于链路聚合，减少路由表中的表项的数量。

一个物理网络（如一个或多个由交换机连接的网络上）通常划分一个子网，这是有意义的。但有时一个物理网络的不同组织成员之间需要安全通信，这时，虽然可以在一个物理网络上划分多个子网，但是这种划分的意义不大，因为用户只需要改变自己的IP地址就可以改变自己子网成员地位，使得安全通信的目的不能实现。如果一个组织的成员分布在不同的物理网络上，与其它组织的成员混杂在一起，若不改变网络的物理结构，单纯用划分子网的方法就根本无法实现同一组织成员之间的安全通信。

2 虚拟网及其实现技术

虚拟网是基于交换机而实现的，在交换式以太网中，利用VLAN技术，可以将由交换机连接成的物理网络划分成不同的逻辑工作组，每个逻辑工作组就是一个虚拟网。一个虚拟局域网中的成员所发送的广播数据包将仅转发至属于同一VLAN的其他成员。不同虚拟网成员间的通信必须经过路由器。

在交换式以太网中，同一物理网络的各成员可以分别属于不同的虚拟网。构成虚拟网的成员不拘泥于所处的物理位置，它们既可以挂接在同一个交换机中，也可以挂接在不同的交换机中。虚拟网技术使得网络的拓扑结构变得非常灵活，例如位于不同楼层的用户或者不同部门的用户可以根据需要加入不同的虚拟局域网。基于交换式以太网的VLAN结构如图2所示。

图2 VLAN结构

基于交换式以太网的VLAN主要有三种实现方法：基于端口的VLAN、基于MAC地址的VLAN和基于网络地址的VALN。

基于端口的VLAN就是将交换机中的若干个端口定义为一个VLAN，同一个VLAN中的站点具有相同的网络地址，不同的VLAN之间进行通信需要通过路由器。采用这种方式的VLAN其不足之处是灵活性不好，例如当一个网络站点从一个端口移动到另外一个新的端口时，如果新端口与旧端口不属于同一个VLAN，则用户必须对该站点重新进行网络地址配置，否则，该站点将无法进行网络通信。

在基于MAC地址的VLAN中，交换机对站点的MAC地址和交换机端口进行跟踪，在新站点入网时根据需要将其划归至某一个VLAN，而无论该站点在网络中怎样移动，由于其MAC地址保持不便，因此用户不需要进行网络地址的重新配置。这种VLAN技术的不足之处是在站点入网时，需要对交换机进行比较复杂的手工配置，以确定该站点属于哪一个VLAN。

在基于网络地址的VLAN中，新站点在入网时无需进行太多配置，交换机则根据各站点网络地址自动将其划分成不同的VLAN。在三种VLAN的实现技术中，基于网络地址的VLAN智能化程度最高，实现起来也最复杂。

3 IP子网与虚拟网的比较

IP子网和VLAN在功能上有很多相似的地方。

(1)隔离广播。一个IP子网或一个VLAN都是一个逻辑广播域，通过划分子网或创建VLAN都可以隔离了广播，缩小了广播范围，可以控制广播风暴的产生。

(2)提高网络整体安全性。子网间的通信或VLAN间的通信都要通过路由器，子网或VLAN内部通信将被路由器隔离，不同子网或VLAN间的通信可以通过在路由器上建立访问列表，控制用户访问权限。从而提高网络的安全性。

(3)减少冲突，提高网络性能。通过划分IP子网或VLAN可以控制逻辑网段大小，将不同用户群划分在不同的子网或VLAN，从而减少冲突，提高网络的整体性能。

IP子网和VLAN在也有很多不同的地方。

(1)IP子网和VLAN都可以分割网段，但分割层次不同。IP子网是在第三层（网络层）实施的分隔手段，这种分割仅对使用TCP/IP协议进行通信的应用有有效，也就是说，即使两台机器不在同一IP子网，仍可使用其他协议（如IPX）通信，况且各用户如果有权力修改IP地址的话，随时可以改变自己的IP，使自己位于不同子网中。

而虚拟局域网（VLAN）是在第二层（数据链路层）实施的分隔，与协议无关，不同VLAN中的机器，如果没有到达其他VLAN的路由，无论如何更改协议或地址，都仍然无法与其他VLAN中的机器通信。

(2)成员所处位置不同。对于IP子网，成员只能来自同一物理网络。而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。VLAN提供了网段和组织之间的弹性组合机制。

(3)管理工作的复杂性不同。对IP子网来说，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。同样的问题对采用VLAN技术的网络来说，在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。

4 IP子网与VLAN的应用

在实际应用中，两项技术并不是相互排斥的，子网中可以包含VLAN，VLAN中也可以包含子网。合理使用IP子网和VLAN技术，会使网络设计更加合理、管理更加方便，性能更加完善。

子网与VLAN的组合以及路由配置可能有以下情形。

情形1：计算机网络采用全子网结构，不需要划分虚拟网。在同一类用户处于同一物理网段情况下可以采用此方案。每个子网具有相同的网络号，但具有不同的子网号，子网之间通信需要路由。

情形2：计算机网络采用全交换结构，通过桥接方式互联，尽管可以使用IP协议，但不划分IP子网，整个计算机网络属于一个IP网络，其中主机的IP地址网络号是相同的。此时，网络中可以不使用路由器，IP子网的作用可以由VLAN来承担，VLAN之间通信不需要路由。

情形3：同时划分IP子网和VLAN，但是让VLAN和IP子网一一对应，即一个IP子网的成员都属于一个VLAN。此时，VLAN之间的路由与子网之间的路由重合。这种划分方法没有实际意义。

情形4：同一子网的成员属于不同的VLAN。这是在划分子网后对成员进一步分组导致的结果。应用于一个子网内部不同成员间安全通信的场合，可以采用划分VLAN的方法将其中部分成员分到更小的组里面。每个成员具有相同的子网号和子网掩码。此时，不需要为这些VLAN成员指定路由，因为它们已经在一个子网里了。但子网之间需要路由。

情形5：同一VLAN的成员属于不同子网。在具有相同需求的用户分布在不同的物理位置时需要采用此方案，这时，即需要划分子网也需要划分VLAN，划分子网是为了便于网络设计、IP地址分配和链路聚合，划分VLAN是为了满足实现相同需求的用户分布在不同的物理位置时相互安全通信的需要。此时，VALN之间的路由与子网间的路由一致。

情形6：在一个VLAN中划分多个子网，这种方案没有实际意义。

5 结论

通过上面的分析我们可以看到，IP子网和VLAN的关系比较密切，它们既有相同之处又有区别。在IP子网与VLAN共存的情况下，应该合理地处理好它们之间的关系。一般来说，在IP子网内再划分VLAN的作法和把属于不同子网的成员划分一个VLAN的作法是合理的，这样做体现了VLAN的作用。

参考文献：

[1]林瑞初,王宝智.计算机网络工程,清华大学出版社,2005.12.

[2]吴功宜.计算机网络（第2版）.清华大学出版社,2007.3.