四資工 1A 李宗育
虛擬區域網路
「虛擬網路」(Virtual LAN, 簡稱 VLAN) 就是「邏輯網路」 (Logical LAN),
是指利用特定的技術將實際上並不一定連結在一起的工作站以邏輯的方式連結 起來,使得這些工作站彼此之間通訊的行為和將它們實際連結在一起時一樣。所 謂「虛擬橋接網路」(Virtual Bridged LAN, 簡稱 VBLAN) 就是指在橋接網路 上提供虛擬網路的服務。如圖16-1 所示,橋接網路中包含三個橋接器,同時也 包含三個虛擬網路:VLAN A, VLAN B, 及 VLAN C。本章將介紹虛擬網路的 相關技術, IEEE 802.1Q 所制訂的虛擬區域網路標準, 以及探討市面上之虛擬網 路產品與服務實例。
虛擬網路的特性如下:
工作站之群組具彈性。工作站可以動態的加入或退出某一個虛擬網路。也就 是說,虛擬網路的組成成員可以機動調整,增加規畫上的彈性。
虛擬網路是一個獨立的廣播網域 (broadcast domain)。我們已經知道一個 橋接網路本身就是一個廣播網域。也就是說,任何工作站送出的廣播訊框都會被 廣播至所有連結的區域網路中。不只是廣播訊框,群播訊框 (multicast frames) 也是一樣的會被廣播至所有連結的區域網路中。這是因為一個群組的成員可能散 佈於網路的許多地方,而橋接器沒有記錄這些成員的位置。因此當橋接器收到一 筆群播訊框時,只好無條件的將此訊框在擴張樹上轉送,不能作過濾的動作,以 避免群組的某些成員沒有收到此群播訊框。但是這種作法卻也造成網路頻寬資源 的浪費。因為即使不包含任何該群組成員的區域網路也會收到其群播訊框。如果 廣播或群播訊框佔的比例較大,則更可能會影響橋接網路的正常運作。虛擬網路 可以有效的解決這個問題。所謂虛擬網路是一個獨立的廣播網域就是指虛擬網路 中的任何工作站送出的廣播或群播訊框都只會被廣播給該虛擬網路的所有成員,
不會送給其他虛擬網路。達成此功能的唯一辦法就是讓橋接器能知道並且記錄各
四資工 1A 李宗育
個虛擬網路成員的實際分佈情形。
虛擬網路具防火牆效果。這是指屬於不同虛擬網路間的工作站彼此之間不可 以直接通訊。如有必要通訊,必須經過路徑器的轉送。由於虛擬網路是一個獨立 的廣播網域,因此其運作的模式與傳統的IP 子網路 (IP Subnet) 相同。IP 子網 路也是一個獨立的廣播網域,而且 IP 子網路彼此之間不能直接通訊,必須透過 路徑器的轉送。路徑器事實上就是扮演防火牆的角色。
虛擬網路適用於所有IEEE 802 計畫下的連結設備與區域網路型態。連結設 備 除 了 一 般 的 集 線 器 (Hubs) 與 橋 接 器 外 , 也 包 含 越 趨 重 要 的 交 換 器 (Switches)。區域網路型態則可包含 Ethernet, Token-Ring, FDDI, Token-bus, Fast Ethernet, Gigabit Ethernet, 等等,甚至連 IEEE 802.11 無線區域網路也可 以。
每一個虛擬網路有一個辨識碼 (Virtual LAN ID, 簡稱 VLAN ID 或 VID)。
由於橋接網路上可以同時存在許多個虛擬網路,因此必須有辨識碼才能辨認訊框 是屬於哪一個虛擬網路
具虛擬網路功能的橋接器必須能與傳統之橋接器等設備共存。
具虛擬網路功能的橋接器在其虛擬網路功能未啟動前,必須提供「隨插即用」
(plug-and-play)服務。傳統的橋接器本來就具備有隨插即用的功能。因此,
在未設定虛擬網路架構及成員之前,其行為應該和傳統的橋接器一樣。
