所謂「虛擬網路」(Virtual LAN, 簡稱VLAN) 就是「邏輯網路」 (Logical LAN),是指利用特定的技術將實際上並不一定連結在一起的工作站以邏輯的方式連結起來,使得這些工作站彼此之間通訊的行為和將它們實際連結在一起時一樣。所謂「虛擬橋接網路」(Virtual Bridged LAN, 簡稱VBLAN) 就是指在橋接網路上提供虛擬網路的服務。如圖16-1所示,橋接網路中包含三個橋接器,同時也包含三個虛擬網路:VLAN A, VLAN B, 及VLAN C。本章將介紹虛擬網路的相關技術, IEEE 802.1Q所制訂的虛擬區域網路標準, 以及探討市面上之虛擬網路產品與服務實例。
虛擬網路的特性如下:
工作站之群組具彈性。工作站可以動態的加入或退出某一個虛擬網路。也就是說,虛擬網路的組成成員可以機動調整,增加規畫上的彈性。
虛擬網路是一個獨立的廣播網域 (broadcast domain)。我們已經知道一個橋接網路本身就是一個廣播網域。也就是說,任何工作站送出的廣播訊框都會被廣播至所有連結的區域網路中。不只是廣播訊框,群播訊框 (multicast frames) 也是一樣的會被廣播至所有連結的區域網路中。這是因為一個群組的成員可能散佈於網路的許多地方,而橋接器沒有記錄這些成員的位置。因此當橋接器收到一筆群播訊框時,只好無條件的將此訊框在擴張樹上轉送,不能作過濾的動作,以避免群組的某些成員沒有收到此群播訊框。但是這種作法卻也造成網路頻寬資源的浪費。因為即使不包含任何該群組成員的區域網路也會收到其群播訊框。如果廣播或群播訊框佔的比例較大,則更可能會影響橋接網路的正常運作。虛擬網路可以有效的解決這個問題。所謂虛擬網路是一個獨立的廣播網域就是指虛擬網路中的任何工作站送出的廣播或群播訊框都只會被廣播給該虛擬網路的所有成員,不會送給其他虛擬網路。達成此功能的唯一辦法就是讓橋接器能知道並且記錄各個虛擬網路成員的實際分佈情形。
虛擬網路具防火牆效果。這是指屬於不同虛擬網路間的工作站彼此之間不可以直接通訊。如有必要通訊,必須經過路徑器的轉送。由於虛擬網路是一個獨立的廣播網域,因此其運作的模式與傳統的IP子網路 (IP Subnet) 相同。IP子網路也是一個獨立的廣播網域,而且IP子網路彼此之間不能直接通訊,必須透過路徑器的轉送。路徑器事實上就是扮演防火牆的角色。
虛擬網路適用於所有IEEE 802計畫下的連結設備與區域網路型態。連結設備除了一般的集線器 (Hubs) 與橋接器外,也包含越趨重要的交換器 (Switches)。區域網路型態則可包含Ethernet, Token-Ring, FDDI, Token-bus, Fast Ethernet, Gigabit Ethernet, 等等,甚至連IEEE 802.11無線區域網路也可以。
每一個虛擬網路有一個辨識碼 (Virtual LAN ID, 簡稱VLAN ID或VID)。由於橋接網路上可以同時存在許多個虛擬網路,因此必須有辨識碼才能辨認訊框是屬於哪一個虛擬網路。
具虛擬網路功能的橋接器必須能與傳統之橋接器等設備共存。
具虛擬網路功能的橋接器在其虛擬網路功能未啟動前,必須提供「隨插即用」(plug-and-play)服務。傳統的橋接器本來就具備有隨插即用的功能。因此,在未設定虛擬網路架構及成員之前,其行為應該和傳統的橋接器一樣。
圖16-1 虛擬網路範例
發展虛擬網路技術的主要動能有四個:
支援虛擬組織的需求,
簡化網路管理的程序,
提昇網路資源的使用效率,
加強網路安全
所謂「虛擬組織」 (virtual organization) 通常是指沒有牆壁的組織, 也就是可以機動的將組織裏的成員依工作需要組成任務小組而不必管這些成員的實際位置。在虛擬網路技術發展之前,達成虛擬組織功能的主要方式是靠傳真,電話及電子郵件等工具。利用這些工具虛擬組織的成員已經可以互相溝通而不必知道彼此之間的位置。事實上這些工具目前還是最常用的溝通工具。不過虛擬網路卻提供一種方法可針對某些專案需求而規劃出用戶與伺服器專屬的子網路。經由虛擬網路,成員可以很容易的加入或退出專案計劃,而成員間也可以共用計劃之資料庫。
使用支援虛擬網路功能的設備可以減少網路行政管理上的成本,尤其是當網路設備需添加,移除,或更動時。例如假設因為任務上的需要,將使用工作站的雇員由原來隸屬的工程部門重新安排至行政部門的一個虛擬工作小組。經由虛擬網路管理的軟體,我們可以很快的將此規畫設定完成,而不必實際去搬動工作站,重佈網路線,或其他相關異動。事實上,這個動作對具有虛擬網路功能的管理軟體來說,幾乎就像是在Windows軟體中使用一個 「拖放」 (Drag-and-Drop) 動作般簡單,只要幾秒鐘就可以完成。
頻寬使用更有效率是因為虛擬網路將整個網路規畫為許多個廣播網域 。一旦虛擬網路形成之後,成員所傳送的訊框就只會在規畫屬於此虛擬網路的交換器埠之間進行交換,不會流至其他網路中。即使傳送的是廣播或群播訊框,也只會讓該虛擬網路中的其他成員接收,不會流至其他虛擬網路。較常見的廣播訊框如Novell公司之「服務通告通訊協定」(Service Advertisement Protocol, SAP)。網路伺服器會每隔60秒鐘利用此通訊協定送出一個通告表示伺服器的存在及其所提供的服務。另外如IPv6通訊協定中的路徑器也會定期的送出「路徑器通告訊息」 (Router Advertisement Message) 給網路中的IPv6工作站,表示路徑器的存在與其所提供的IPv6網址。虛擬網路可以避免廣播氾濫,因此可以提高頻寬使用效率。
虛擬網路雖然不是,也不能算是,一種安全設備,但卻可以提高網路通訊的安全性。主要原因還是將通訊範圍限定在廣播網域之內。其他虛擬網路的工作站由於竊聽機會減少,因此相對的也提高了通訊的安全性