自考局域網組網工程聽課筆記第八章

第8章 虛擬局域網
    虛擬局域網的產生
    在LAN交換技術中，虛擬局域網是一種迅速發(fā)展的技術。此種技術的核心是通過路由和交換設備在網絡的物理拓撲結構基礎上建立一個邏輯網絡，以使得網絡中任意幾個LAN段或（和）單站能夠組合成一個邏輯上的局域網。
    在20世紀90年代初，具有多端口的路由器開始取代網橋，以達到在第三層對網絡進行分段的目的，并實現對廣播數據的抑制。在此種只使用路由器的網絡中，網段和廣播域是一一對應的。在一個網段，也即一個廣播域中通常只包含有30—100個用戶。
    在引入交換技術之后，人們可以在第二層上將網絡劃分成更小的分段，這樣做的好處是各網段的帶寬將得以提高，而網絡中路由器可以集中力量作好廣播數據的抑制工作。此時一個廣播城可以跨越多個交換的網段，從而使得在一個廣播域中提供對500個甚至更多的用戶的支持也不再是什么困難的事。而VLAN則代表著—種不用路由器對廣播數據進行抑制的解決方案。
    在VLAN中，對廣播數據的抑制將由交換器完成。此時每一個物理網段可以僅包含一個用戶，而一個廣播域中則可以具有多達1000個以上的用戶。另外VLAN還可以跟蹤各個工作站物理位置的變動，使之在移動位置之后不需要對其網絡地址重新進行手工配置。
    在本章中我們將討論VLAN的特點、結構、實現機制、功能以及將來發(fā)展的情況。
    8.1 概 述
    8.1.1 什么是VLAN
    要對VLAN下一個確切的定義可能是一件比較困難的事，因各廠商有不同的VLAN解決方案，但可以這樣認為，VLAN基本上可以看成是一個廣播域。說的具體一點，一個VLAN可以看成是一組客戶工作站的集合。這些工作站不必處于同一個物理網絡上，它們可以不受地理位置的限制像處于同一個LAN上那樣進行通信和信息交換。
    如圖8.1所示，即為VLAN的一個例子。
    在整個網絡結構中，劃分了三個VLAN，分別為工程VLAN、市場VLAN及財會VLAN，每一個VLAN包括了相應的客戶站?？梢哉J為一個VLAN實際上是邏輯上的網段。
    此種邏輯上的網段給LAN的管理、安全性以及廣播數據的抑制帶來諸多的益處。現VLAN需要具備以下若干條件：
    具有能夠將所連接的客戶站進行邏輯分段的高性能交換機。
    在網上傳輸VLAN信息的通信協(xié)議。
    進行VLAN間通信的第三層路由解決方案。
    同已安裝的LAN系統(tǒng)能夠實現VLAN的兼容性和互操作性。
    提供具有集中控制、配置和流量管理功能的網管方案。
    虛擬局域網需要解決的問題：在實現VLAN的過程中有許多需要解決，但為關鍵的是如下幾個問題：
    如何在整個網絡范圍內定義務VLAN中的成員，即VLAN劃分方法。
    如何在多個交換設備之間傳遞VLAN成員信息
    VLAN的配置問題如何解決
    VLAN之間的通信如何進行
    這些問題如何解決將影響到某個VLAN實現是否能夠有效地滿足用戶和網絡管理的要求。由于VLAN都是在交換網絡環(huán)境中實現的。在此種網絡環(huán)境中核心的問題是交換設備。交換設備是各客戶工作站連人交換網絡的入口點，它可以提供對用戶、端口、以及邏輯地址進行分組以構成VLAN的能力。
    當前LAN交換設備在物理上一般都安裝在共享式的分段HUB和位于主干網的路由器之間，它將在VLAN的分段及實現低延遲的報文轉發(fā)方面起到至關重要的作用。總的來說，VLAN交換設備除了能夠顯著地提高網絡的性能和專用帶寬外，同時它還具有完成VLAN的劃分所必需的能力。
    8.2 建立虛擬局域網的交換技術
    8.2.1 端口交換
    端口交換或稱配置交換，初的方式是把端口經過手工配置到一個或若干個通過背板連接的共享HUB上，可以形成若干個獨立的由端口組合的共享媒體段，每一個連接到端口上的用戶被分配到其中一個段上。（端口連接的配置可人為確定）
    近年來發(fā)展成為一種稱為端口交換（Port Switch）的設備，在一個或幾個通過背板連接的端口交換器上，通過軟硬件的控制和管理，交換器上的所在端口劃分成若干個共享式的互相獨立的VLAN.
    端口交換方式的特點有二：
    一是端口用戶組成小規(guī)模的VLAN非常靈活；
    二是在全局交換網絡上，端口交換能夠為全局VLAN提供有效的、靈活的前端配置端口組合的功能。
    8.2.2 幀交換（第二層交換）
    LAN（Ethernet，Token Ring或FDDI）交換器（機）每一個端口上提供一個獨立的共享媒體端口，在此端口上可以接共享HUB也可以接單獨的一個客戶站。在一個端口上接收到的幀正確地轉發(fā)到輸出端口上，在尋找路徑和轉發(fā)時，幀是不會被破壞的。
    （1）對于廣播幀來說，可以轉發(fā)到交換器上的所有端口。
    （2）虛擬化后，一個交換器或者互聯(lián)的若干交換器上的每個端口可以被分配給任何VLAN，即在網絡系統(tǒng)中形成若干個VLAN.
    幀交換方式的特點是比端口交換增加了有效的帶寬，LAN交換器上每個端口用戶具有獨占帶寬（例10Mbps，100Mbps）的性能，交換器間互聯(lián)的速率可達數百兆甚至千兆位傳輸率。服務器和高速客戶站可以直接連到交換器端口上。
    目前，絕大多數廠家的LAN交換器（機）均按幀交換方式來實現VLAN的交換，Ethernet交換器與端口交換器組合應用，使用戶加入VLAN更靈活。
    8.2.3 信元交換
    ATM交換機上實現信元交換，一個或者多個互聯(lián)的ATM交換機組成網絡的核心系統(tǒng)，類似于幀交換（需查交換表），所不同的是從ATM交換機端口上接收到信元后，正確地轉發(fā)到輸出端口。
    8.3 劃分虛擬局域網的方法
    常用的VLAN劃分方法如下：
    8.3.1 按交換端口號
    將交換設備端口進行分組來劃分VLAN，如圖8.3所示。交換器1與交換器2上端口 1、2、3、8與1、7、8所連接的客戶站構成VLANA.而相應的端口4、5、6、7與4、5、6所連接的客戶站構成VLANB.
    在初的實現中，VLAN是不能跨越交換設備的。后來進一步的發(fā)展使得VLAN可以跨越多個交換設備。
    按端口號劃分VLAN仍然是構造VLAN的一個常用的方法。而且此種方法也確實是比較簡單并且非常有效。但僅靠端口分組而定義VLAN將無法使得同一個物理分段（或交換端口）同時參與到多個VLAN中，而且更要緊的是當一個客戶站從一個端口移至另一個端口時，網管人員將不得不對VLAN成員進行重新配置。
    8.3.2 按MAC地址
    這種方法的特點是由網管人員指定屬于同一個VLAN中的各客戶站的MAC地址。
    用MAC地址進行VLAN成員的定義既有優(yōu)點也有缺點。由于MAC地址是固化在網卡中的，故移至網絡中另外一個地方時它將仍然保持其原先的VLAN成員身份而無需網管人員對之進行重新的配置，從這個意義講，用MAC地址定義的VLAN可以看成是基于用戶的VLAN.
    但這種方法也有許多不足之處，首先所有的用戶在初都必須被配置到（手工方式）至少一個VLAN中，只有在此種手工配置之后方可實現對VLAN成員的自動跟蹤。但在大型的網絡中完成初始的配置并不是一件容易的事。
    8.3.3 按第三層協(xié)議
    基于第三層協(xié)議的VLAN實現在決定VLAN成員身份時主要是考慮協(xié)議類型（支持多協(xié)議的情況下）或網絡層地址（如TCP／IP網絡的子網地址）。此種類型的VLAN劃分需要將子網地址映射到VLAN，交換設備則根據子網地址而將各機器的MAC地址同一個VLAN聯(lián)系起來。交換設備將決定不同網絡端口上連接的機器屬于同一個VLAN.
    但應注意此處對于第三層信息的使用并不構成路由功能。我們不應將其同網絡層路由混淆起來。
    因為在交換設備使用報文的IP地址決定VLAN成員身份時并沒有進行任何路由計算，也沒有使用任何路由協(xié)議。交換設備只是根據生成樹算法在其各端口之間進行幀的轉發(fā)。因此從這個意義上講，任一VLAN內部的連接仍然是一種平板式的橋接拓撲結構。
    第三層定義VLAN的優(yōu)點：
    首先，我們可以根據協(xié)議類型進行VLAN的劃分，這對于那些對基于服務或基于應用VLAN策略的網管人員無疑是極具吸引力的。
    其次，用戶可以自由地移動我們的機器而無須對網絡地址進行重新配置。
    在第三層上所定義的VLAN對于TCP／IP特別有效，但對于其它一些協(xié)議如IPX、DECnet或Apple則要差一些，并且對于那些不可進行路由選擇的一些協(xié)議，如Netbios，在第三層上實現VLAN劃分將特別困難，因為使用此種協(xié)議的機器是無法互相區(qū)分的，因此也就無法將其定義成某個網絡層VLAN的一員。
    總之，各種劃分方式側重點不同，所達到的效果就不盡相同。目前在網絡產品中融合多種劃分VLAN的方法，以便根據實際情況尋找合適的途徑；同時，隨著管理軟件的發(fā)展，VLAN的劃分逐漸趨向于動態(tài)化。
    8.3.4 多重屬性的VLAN
    大多數情況下，人們可以同時為不同的工作組工作，即同時屬于多個VLAN.一個好的虛擬網策略不能強迫用戶一定要屬于某個虛擬網而且只能是這一個，這樣設計的虛擬網缺乏靈活性和擴展性。
    舉例：VLAN中組員的多重屬性。
    如某一公司的投標小組，小組里面需有銷售人員、市場人員及工程技術人員，他們分別負責投標的不同任務并協(xié)同工作，而這些人員原來又分別屬于銷售部、市場部、工程部的不同虛擬網絡。
    （垂直領導與橫向聯(lián)合共有）。
    因而，實際上他們組成了一個臨時的投標虛擬網。這時，他們既可分別訪問他們原屬的網絡，又可同時在投標VLAN中互相交流信息，這就是VLAN中組員的多重屬性。
    一個用戶同時具有多個VLAN成員資格雖然是很有必要的，但這意味著工作組的安全性下降，并可能導致可伸縮性的下降。
    8.4 虛擬局域網互聯(lián)方式
    總的要求：靈活、高效。
    一般情況下網絡環(huán)境中的VLAN實現了網絡流量的分割。
    在大型網絡中，VLAN內數據的高速交換同VLAN間數據傳輸的有效路由和交換這兩者的集成正變得越來越具有吸引力。
    互聯(lián)的各種不同的路由方案具有很大的差別，每一種都有其各自的優(yōu)點和不足，并且將對網絡的總體結構產生影響。而且路由也并不是解決VLAN間通信技術的惟一方法。 同選擇一種VLAN解決方案會遇到的其它一些重要問題一樣，解決VLAN間通信的選擇也取決于用戶特定的應用需求及總的網絡結構，其中為關鍵的問題是要達到較高程度的靈活性。
    目前基本上有五種不同的VLAN路由模式：
    邊界路由。
    “獨臂”路由器
    路由服務器/路由客戶機。
    ATM上的多協(xié)議（MPOA）路由。
    第三層交換。
    下面我們將具體討論各種不同模式的工作方式及其各自的優(yōu)缺點。
    課堂筆記（第8章）2
    8.4.1 邊界路由
    邊界路由指的是將路由功能包含在位于主干網絡邊界的每一個LAN交換設備中，此時，VLAN間的報文將由交換設備內在的路由能力進行處理，從而無需再將其傳送至某個外部的路由器上，數據的轉發(fā)延遲因而也將得以降低。
    此種路由方式的主要優(yōu)點：在于不像集中式路由那樣會因中央路由站點的崩潰而導致整個網絡的癱瘓。
    主要的不利之處在于：相對于統(tǒng)一路由功能的集中式管理而言，邊界路由需要對多個物理設備行管理。另外此種方式可能比由一個集中式路由器和多個較便宜的邊界路由器組成的集中式方案在價格上要貴一些。
    8.4.2 “獨臂”路由器
    采用“獨臂”路由器的網絡方案因能消除主干網上集中式處理和高延遲的路由功能而越來越受廣泛的關注。
    要求：
    大部分報文在VLAN內傳輸；
    少量的報文通過路由器進行傳輸。
    這種路由器一般接在主干網上的一個交換設備上，以使得網絡中的大部分報文在通過主干網時無需通過路由器進行處理，而且此種方式配置和管理起來也比較方便。此種路由模式由圖8.4所示。
    優(yōu)點：我們可以看到同一個VLAN內的報文將用不著通過路由器而直接在交換設備間進行高速傳輸。
    這種路由方式的不足之處在于它仍然是一種集中式的路由策略，因此在主干網上一般均設置有多個冗余“獨臂”路由器，但如果網絡中VLAN之間的數據傳輸量比較大，那么在路由器處將形成瓶頸。
    8.4.3 ATM上的多協(xié)議路由（MPOA）
    人們現在正在致力于將路由服務器的方法標準化。ATM論壇的MPOA標準工作組正在進行的工作就是此種努力中的一個代表。
    MPOA的目的是給可能屬于不同路由子網的多個用ATM網絡連接的設備提供直接的虛擬連接。也就是說，MPOA將使得多個屬于不同E—LAN（仿真局域網）的站點通過ATM網絡直接進行通信，而用不著經過一個中間的路由器。其中ELAN可以看成為另一種的VLAN，它是在ATM網絡環(huán)境下用LANEmulation（模仿）標準建立起來的。
    8.4.4 第三層交換技術
    在第三層交換技術的章節(jié)中，已經詳細地討論了各種技術的原理和特點，有的技術方案本身就是一個帶有路由功能的交換器。特別是基于智能可編程ASIC技術的第三層交換器，它既包括了第二層和第三層的交換功能，而且還具備路由尋址功能。因此利用它來作為網絡的主干交換器，既可以根據多種方法來定義VLAN成員，繼后配置VLAN，又能不附加其它路由設備來實現VLAN之間的通信。不論從網絡結構還是降低網絡傳輸延遲來說，用第三層交換技術不失是一個很好的選擇。
    8.5 虛擬局域網標準（IEEE 802.1Q）
    虛擬局域網標準（IEEE 802.1Q）的建立：
    近幾年來，在實現VLAN的過程中，各廠家紛紛推出自己的技術和相應的產品，但往往這些技術和產品所遵循的協(xié)議和標準是不相同的，致使各廠家的VLAN產品自成系統(tǒng)，互不兼容。妨礙了VLAN技術和市場的進一步發(fā)展。
    目前第三層上實現的VLAN往往是基于Internet TCP／IP的組播技術及相應的協(xié)議，其中涉及的技術和協(xié)議如下：
    IP組播地址確定。
    IGMP.
    MVONE（Intemet Multicast Backbone）。
    DVMRP（Distance Vector Multieast Routing Protoc01）。
    標準協(xié)議：
    而在MAC層上VLAN實現的標準有代表性則為IEEE 802.1Q.
    1996年3月IEEE 802.1 Internetworking小組完成了制定VLAN標準而進行的初步調查工作，解決了三大問題，即VLAN的體系結構、幀標記的標準格式以及VLAN標準化未來發(fā)展方向。特別是幀標記的標準化格式使用了802.1Q標準。
    幀格式標準化后，各廠家可以迅速將其融入到它們生產的交換機產品中，目前所有的主要廠商，其中包括3C0M，Bay，IBM以及Cisco都表示支持802.1Q.
    IEEE802.1Q目前還是標準草案，該標準草案是基于IEEE 802.1D和IEEE802.1p等標準，定義了基于MAC層橋接局域網（Bridged LAN）實現VLAN的方法。
    在802.1Q中定義了兩種類型的幀標記：
    隱式的幀標記（Implicittagging）：隱式的幀標記表示幀所屬的VLAN信息并未被明顯地標記，該幀屬于哪一個VLAN，缺省地由網橋的接收端口號或幀中data域的信息決定。
    顯式的幀標記。（Explicit、tagging）：顯式的幀標記表示幀所屬哪一個VLAN由網橋（LAN交換器）所加的標記（VID）顯式地決定。
    形成以太網顯式的幀標記包括以下幾個步驟：
    在以太網幀中插入VLAN頭部。頭部插在DA（目的地址）和SA（源地址）之后。
    重新計算FCS（幀檢驗）
    VLAN頭部包括（4字節(jié)）如下信息域：
    VPID（VLAN Protocol Identifier），2字節(jié)，它表明此幀已按802.1Q協(xié)議顯式標記。
    VCI（VLAN Control Information），2字節(jié)，它由以下幾部分組成： （見圖8.5）
    a.User-priority（用戶優(yōu)先）它允許VLAN幀在那些不具備表示用戶優(yōu)先權的網段（如Ethernet）攜
    帶用戶優(yōu)先權信息；
    b.TR-encap它置位時（=1）表示該幀data域中攜帶的是未經翻譯和封裝的TokenRing幀；
    c.VID（VLAN Identifier）它表明此幀屬于哪一個VLAN.
    8.6 虛擬局域網的功能
    上面我們討論了VLAN的技術特點，人們發(fā)展VLAN技術的一個主要原因是減少在網絡中的站點發(fā)生移動、增加和修改時增加管理開銷，同時解決因數據的廣播而引起的一些性能問題。
    主要優(yōu)點：
    效率高；如同在一個局域網中。
    易管理；在VLAN中變動方便。
    減小對路由的需求；
    安全性更高。
    我們將發(fā)現上面所討論的VLAN技術確實能夠達到上述目的，同時還可以實現其它一些引人注意功能。例如安全性、對廣播數據的更好的管理和控制，網絡的微分段、負載分擔等等。下面我們將這些問題進行詳細的討論。
    提高管理效率
    網絡中站點的移動、增加和改變是讓網管人員頭疼的問題之一，同時也是網絡維護過程中相對來說開銷比較大的一部分。因為此時一般都需要重新進行布線，并且?guī)缀跛械恼军c移動都伴隨著地址的重新分配以及對交換器和路由器重新配置。
    VLAN為控制上述修改而提供了有效的手段，同時對交換器和路由器重新進行配置的開銷將得以減少。當某個VLAN中的一個用戶從一個地點移動至另一個地點時，只要他們仍舊保持在同一個VIAN中并且能夠連接到一個交換端口上。那么無需對他們的網絡地址進行修改。多只是需要將此交換端口重新配置到相應的VLAN中。此種方式將極大地簡化配置和調試工作，這對于目前大量使用的配線間技術是一個很大的改進。并且此時路由器的配置可以保持不變。
    廣播數據的控制、站點的移動、增加和修改、以及網絡資源訪問權限的設置都是集中式管理的一般性功能。VLAN通信為此種管理方式大開了方便之門，因為在VLAN解決方案中一般都帶有可集中配置管理和監(jiān)控的VLAN管理軟件。
    控制廣播數據
    廣播數據是在每一個網絡中都會出現的。此種數據量的多少主要取決于應用的類型、服務器的類型、邏輯分段的數目、以及這些網絡資源是如何使用的。
    廣播風暴的預防：
    目前各種Group Ware應用將會產生大量的廣播數據，網絡設備的故障也可能會導致廣播數據的大量出現。如果管理得不好的話，廣播數據將嚴重地損害網絡的性能并可能導致整個網絡的崩潰。
    因此網管人員必須采取措施對因廣播數據而可能導致的問題加以預防。
    早期使用的有效的措施是用防火墻對網絡進行適當的分段，以防止因某個網段出現問題而使整個網絡受到影響。這種功能一般可借助于路由器來實現。
    當交換型體系結構在網絡中大量使用時，廣播數據（第二層數據）將被傳送到各個交換端口那里。
    此種結構通常被稱作是“平板式”的網絡，整個網絡構成一個廣播域。
    平板式交換型網絡的優(yōu)點是它給用戶提供了非常低的傳輸延遲和非常高的數據傳輸率，但廣播數據卻將被傳送到所有的交換設備、端口、主干網連接和用戶那里，大量地浪費網絡資源特別是寶貴的廣域網資源。為減少此種不利影響，在網絡中還得加上一定數量的路由器以對網絡進行分段。一旦使用了路由器，傳輸延遲將會隨之而增加，從而喪失交換型網絡的優(yōu)點。
    VLAN的主要好處之一是支持VLAN的交換設備也可以有效地對廣播數據進行控制，某VLAN中的廣播數據將只是被復制到那些連接有此VLAN的某個成員的交換端口上，在除此而外的那些端口上將不會出現這些數據。這實際上是為在交換型網絡中建立起同路由器功能類似的防火墻提供了一種有效的手段。
    但同使用路由器的解決方案相比，VLAN技術有幾個顯著的優(yōu)點是路由器所無法具備的。
    （1）首先是性能上的問題，使用路由器大的問題是傳輸延遲比較高，而在VLAN結構中大部分數據都是借助于交換而傳輸的，只是在VLAN間的數據才要經過路由器的處理。在配置得比較好的VLAN結構中，VLAN間的數據量將比較少，因而總的網絡性能將不會受到太大的影響。
    （2）其次路由器的配置和管理更為復雜，減少網絡中路由器的數量可以降低網絡的維護和管理開銷。另外同路由器端口比較起來，交換端口的價格要便宜一些，這使得我們可以用比較少的費用而獲得比較好的效果。
    （3）網管人員可以非常方便地通過多種手段對廣播域的大小進行控制。
    例如限制在同一個VLAN中的交換端口的數目以及連接這些端口上的用戶的數目等。一般來說，VLAN中的用戶數越少，此VLAN中的廣播數據對于網絡中其它用戶的影響將越小。另外可以基于所用的應用類型及這些應用所產生的廣播數據量的大小進行VLAN的劃分。共享同一個會產生大量廣播數據的應用程序的那些用戶可以劃分到同一個VLAN中，同時網管人員也可以將此應用分布到整個網絡上。
    增強網絡安全性
    目前共享型的LAN已經大量地安裝在各行各業(yè)中，這會導致一個嚴重的問題就是如何對數據進行保密，共享型LAN的一個大的不足就是易于受到入侵。因為只要把機器接人到一個端口中就可以收到相應網段上的所有數據。廣播域越大，此種危險也將越大，除非是HUB本身具有安全控制功能。
    增強網絡安全性的一種有效和易于管理的方法是將整個網絡劃分成一個個互相獨立的廣播組（VLAN）。（相關的用戶連接在一起，保證了數據的安全）。
    另外網管人員可以限制某個VLAN中的用戶的數量，并且可以禁止那些沒有得到許可的用戶加入到某個VLAN中。按照此種方式，VLAN可以提供一道安全性防火墻，以控制用戶對于網絡資源的訪問，控制廣播組的大小和構成，并且可借助于網管軟件在發(fā)生非法入侵時及時通知管理人員。
    實現此種類型的分段相對來說還是比較簡單的。例如我們可以根據應用類型和訪問權限對交換端口進行分組，那些受限的應用和資源一般均被放到一個VLAN中。試圖侵入某個VLAN中的非法用戶將被網管軟件標記出來。
    通過使用路由器訪問表還可以使安全性得到更進一步的增強。這對于VLAN間的數據傳輸特別有用。在此種安全性的VLAN上，路由器將根據在交換設備和路由器中的配置而限制對于某些VLAN中數據的訪問。此種限制可以根據站點的地址、應用類型、協(xié)議類型、甚至時間等加以設置。
    減少站點的移動和改變開銷
    對于為什么要使用VLAN，提得多的是VLAN可以減少處理用戶站點的移動和改變所帶來的開銷。
    由于這些開銷一般來說都比較大，因此VLAN方案也越來越引人注目。事實上VLAN方案也確實能實現這一目的。
    舉例來說，對于IP類型的網絡，當用戶從一個子網移至另一個子網時，一般都需要對其IP地址進行手工修改，而此種修改可能需要花費比較長的時間才能使站點正常工作，而這些時間本來是可以用于其它一些更具有創(chuàng)造性的活動上的。使用VLAN則可以完全消除這些不必要的時間浪費，因VLAN的成員身份同站點所在的地址是無關的，這樣一來站點可以發(fā)生移動而其IP地址和子網成員身份則可以保持不變。
    不足：增加了虛擬連接的管理的開銷。
    但任何事物都是具有兩面性的，VLAN的實現雖然可以降低對于網絡動態(tài)管理的開銷，但VLAN在物理連接的基礎上多出了一個虛擬連接，而對此虛擬連接的管理也是要有一定的開銷的。但只要規(guī)劃得當，總的網絡管理開銷還是可以降低的。
    實現虛擬工作組
    VLAN方案的另一個更為雄偉的目標是要建立起虛擬工作組模型。虛擬工作組指的是當在整個園區(qū)網絡環(huán)境下實現了VLAN之后，同一個部門的所有成員將可以像處于同一個LAN上那樣進行通信，大部分網絡通信將不會傳出此VLAN廣播域。當某個用戶從一個地方移動到另一個地方時，如果他的工作部門不發(fā)生變化（表示它仍在同一個VLAN），那么就用不著對其機器進行重新配置。
    與此類似，如果某個用戶改變了工作部門，他可以不改變其工作地點，而只需網管人員修改一下其VLAN成員身份即可。
    此種功能模型使得我們可以建立起來更為動態(tài)化的組織環(huán)境，以增強向功能交靠的工作組方向演化的趨勢。
    虛擬工作組模型的工作方式是：以某個臨時性的項目為基礎的工作組可以虛擬地連接到同一個VLAN上，這樣此工作組中的人員將用不著改變其工作地點。
    另外這些工作組可以是動態(tài)的，同某個功能有關的工作組相應的VLAN可以在項目的生存期內動態(tài)地創(chuàng)建起來；而在此項目完成之后則可以將此VLAN“拆除”，用戶的地理位置不用發(fā)生任何變化。
    雖然此種操作方式確實是很誘人的，但實際情況是VLAN本身并不能完全實現此種虛擬工作組模型。目前要實現此種模型至少要考慮以下幾個管理和結構方面的問題：
    （1）虛擬工作組的管理：從網絡管理的角度出發(fā)，虛擬工作組的暫時性可能會使得修改VLAN成員身份同修改路由表一樣麻煩（雖然這比移動用戶的工作站可能要省事一些）。而且，從人們的心理角度來講，他們可能更習慣于同他們的同事呆在同一個地方，這對于虛擬工作組的實現無疑是一個大的障礙。
    （2） 80／20規(guī)則的保持：虛擬工作組的VLAN支持通常假設80％以上的網絡通信量是在本VLAN內的而只有不到20％是跨越VLAN之間的或者是遠程的。此即的80／20規(guī)則。
    從理論上講，如果VLAN配置得好的的話，確實是可以做到這一點的。但許多類型的應用卻使人們對于在VLAN 中能否保持這一點產生懷疑，如大量地安裝服務器以及某些類型的網絡應用如E—Mail等都將使80／20規(guī)則失效。（大量的E—Mail是跨越VLAN之間的或者是遠程的）。
    （3）對本地網絡資源的訪問：虛擬工作組可能會遇到的一個問題就是用戶雖然離某個資源（如打印機）很近但卻只能“望洋興嘆”，因為此種資源可能被配置在另外一個不同的VLAN中。當然此種問題可以使得此種共享資源同時是多個VLAN中的成員，但將增加VLAN之間的數據傳輸量。
    集中式服務器Farms：
    服務器Farm指的是將各部門的服務器放到某數據中心，在那里可以進行統(tǒng)一的備份、并提供良好 的供電系統(tǒng)以及合適的操作環(huán)境。此種向服務器Farms演化的趨勢近來正在不斷加快，并且此種趨 勢將繼續(xù)下去以降低管理開銷，但此種結構對于虛擬工作組模型而言是有問題的，大的困難在 于當服務器不具備同時參加到多個VLAN中的能力時。
    此時服務器同某個不在服務器所屬VLAN中的客戶之間的通信必須經過路由器。但如果交換設備本 身具有路由功能，那么在此種情況下網絡的性能將不會受到什么損害。目前已有幾家廠商的產品 支持此種功能。