什么是
VLAN
VLAN
(
Virtual Local Area Network
)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个
VLAN
组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。
组建
VLAN
的条件
VLAN
是建立在物理网络基础上的一种逻辑子网,因此建立
VLAN
需要相应的支持
VLAN
技术的网络设备。当网络中的不同
VLAN
间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。
划分
VLAN
的基本策略
从技术角度讲,
VLAN
的划分可依据不同原则,一般有以下三种划分方法:
1
、基于端口的
VLAN
划分
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
2
、基于
MAC
地址的
VLAN
划分
MAC
地址其实就是指网卡的标识符,每一块网卡的
MAC
地址都是惟一且固化在网卡上的。
MAC
地址由
12
位
16
进制数表示,前
8
位为厂商标识,后
4
位为网卡标识。网络管理员可按
MAC
地址把一些站点划分为一个逻辑子网。
3
、基于路由的
VLAN
划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。该方式允许一个
VLAN
跨越多个交换机,或一个端口位于多个
VLAN
中。
就目前来说,对于
VLAN
的划分主要采取上述第
1
、
3
种方式,第
2
种方式为辅助性的方案。
使用
VLAN
优点
使用
VLAN
具有以下优点:
1
、控制广播风暴
一个
VLAN
就是一个逻辑广播域,通过对
VLAN
的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。
2
、提高网络整体安全性
通过路由访问列表和
MAC
地址分配等
VLAN
划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同
VLAN
,从而提高交换式网络的整体性能和安全性。
3
、网络管理简单、直观
对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用
VLAN
技术的网络来说,一个
VLAN
可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,
VLAN
提供了网段和机构的弹性组合机制。
三层交换技术
传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了
VLAN
以后的网络中,逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上,不同
VLAN
之间的通信数据量是很大的,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量的不断增大,路由器将不堪重负,路由器将成为整个网络运行的瓶颈。
在这种情况下,出现了第三层交换技术,它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后,会产生一个
MAC
地址与
IP
地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。
在以三层交换机为核心的千兆网络中,为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性,可采用
VLAN
技术进行虚拟网络划分。
VLAN
子网隔离了广播风暴,对一些重要部门实施了安全保护;且当某一部门物理位置发生变化时,只需对交换机进行设置,就可以实现网络的重组,非常方便、快捷,同时节约了成本。
VLAN
技术简单谈
局域网的发展是
VLAN
产生的基础,所以在介绍
VLAN
之前,我们先来了解一下局域网的有关知识。
局域网( LAN )通常是一个单独的广播域,主要由 Hub 、网桥或 交换 机等 网络设备 连接同一网段内的所有节点形成。处于同一个局域网之内的网络节点之间可以直接通信,而处于不同局域网段的设备之间的通信则必须经过 路由 器才能通信。图 1 所示即为使用路由器构建的典型的局域网环境。
随着网络的不断扩展,接入设备逐渐增多,网络结构也日趋复杂,必须使用更多的路由器才能将不同的用户划分到各自的广播域中,在不同的局域网之间提供网络互联。
但这样做存在两个缺陷:
首先,随着网络中路由器数量的增多,网络时延逐渐加长,从而导致网络数据传输速度的下降。这主要是因为数据在从一个局域网传递到另一个局域网时,必须经过路由器的路由操作 : 路由器根据数据包中的相应信息确定数据包的目标地址,然后再选择合适的路径转发出去。
其次,用户是按照它们的物理连接被自然地划分到不同的用户组(广播域)中。这种分割方式并不是根据工作组中所有用户的共同需要和带宽的需求来进行的。因此,尽管不同的工作组或部门对带宽的需求有很大的差异,但它们却被机械地划分到同一个广播域中争用相同的带宽。
VLAN 的定义及特点
虚拟局域网 VLAN 是一组逻辑上的设备和用户,这些设备和用户并不受物理网段的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。 VLAN 是一种比较新的技术,工作在 OSI 参考模型的第 2 层和第 3 层,一个 VLAN 就是一个广播域, VLAN 之间的通信是通过第 3 层的路由器来完成的。与传统的局域网技术相比较, VLAN 技术更加灵活,它具有以下优点:
● 网络设备 的移动、添加和修改的管理开销减少 ;
● 可以控制广播活动 ;
● 可提高网络的 安全 性。
VLAN 的分类
定义 VLAN 成员的方法有很多,由此也就分成了几种不同类型的 VLAN 。
1. 基于端口的 VLAN
基于端口的 VLAN 的划分是最简单、有效的 VLAN 划分方法,它按照局域网 交换 机端口来定义 VLAN 成员。 VLAN 从逻辑上把局域网交换机的端口划分开来,从而把终端系统划分为不同的部分,各部分相对独立,在功能上模拟了传统的局域网。基于端口的 VLAN 又分为在单交换机端口和多交换机端口定义 VLAN 两种情况:
(1) 单交换机端口定义 VLAN
如图 2 所示,交换机的 1 、 2 、 6 、 7 、 8 端口组成 VLAN1 , 3 、 4 、 5 端口组成了 VLAN2 。这种 VLAN 只支持一个交换机。
(2) 多交换机端口定义 VLAN
如图 3 所示,交换机 1 的 1 、 2 、 3 端口和交换机 2 的 4 、 5 、 6 端口组成 VLAN1 ,交换机 1 的 4 、 5 、 6 、 7 、 8 端口和交换机 2 的 1 、 2 、 3 、 7 、 8 端口组成 VLAN2 。
基于端口的 VLAN 的划分简单、有效,但其缺点是当用户从一个端口移动到另一个端口时,网络管理员必须对 VLAN 成员进行重新配置。
2. 基于 MAC 地址的 VLAN
基于 MAC 地址的 VLAN 是用终端系统的 MAC 地址定义的 VLAN 。 MAC 地址其实就是指网卡的标识符,每一块网卡的 MAC 地址都是惟一的。这种方法允许工作站移动到网络的其他物理网段,而自动保持原来的 VLAN 成员资格。在网络规模较小时,该方案可以说是一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大管理的难度。
3. 基于路由的 VLAN
路由 协议 工作在 7 层 协议 的第 3 层 — 网络层,比如基于 IP 和 IPX 的路由 协议 ,这类设备包括路由器和路由交换机。该方式允许一个 VLAN 跨越多个交换机,或一个端口位于多个 VLAN 中。
4. 基于策略的 VLAN
基于策略的 VLAN 的划分是一种比较有效而直接的方式,主要取决于在 VLAN 的划分中所采用的策略。
局域网( LAN )通常是一个单独的广播域,主要由 Hub 、网桥或 交换 机等 网络设备 连接同一网段内的所有节点形成。处于同一个局域网之内的网络节点之间可以直接通信,而处于不同局域网段的设备之间的通信则必须经过 路由 器才能通信。图 1 所示即为使用路由器构建的典型的局域网环境。
随着网络的不断扩展,接入设备逐渐增多,网络结构也日趋复杂,必须使用更多的路由器才能将不同的用户划分到各自的广播域中,在不同的局域网之间提供网络互联。
但这样做存在两个缺陷:
首先,随着网络中路由器数量的增多,网络时延逐渐加长,从而导致网络数据传输速度的下降。这主要是因为数据在从一个局域网传递到另一个局域网时,必须经过路由器的路由操作 : 路由器根据数据包中的相应信息确定数据包的目标地址,然后再选择合适的路径转发出去。
其次,用户是按照它们的物理连接被自然地划分到不同的用户组(广播域)中。这种分割方式并不是根据工作组中所有用户的共同需要和带宽的需求来进行的。因此,尽管不同的工作组或部门对带宽的需求有很大的差异,但它们却被机械地划分到同一个广播域中争用相同的带宽。
VLAN 的定义及特点
虚拟局域网 VLAN 是一组逻辑上的设备和用户,这些设备和用户并不受物理网段的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。 VLAN 是一种比较新的技术,工作在 OSI 参考模型的第 2 层和第 3 层,一个 VLAN 就是一个广播域, VLAN 之间的通信是通过第 3 层的路由器来完成的。与传统的局域网技术相比较, VLAN 技术更加灵活,它具有以下优点:
● 网络设备 的移动、添加和修改的管理开销减少 ;
● 可以控制广播活动 ;
● 可提高网络的 安全 性。
VLAN 的分类
定义 VLAN 成员的方法有很多,由此也就分成了几种不同类型的 VLAN 。
1. 基于端口的 VLAN
基于端口的 VLAN 的划分是最简单、有效的 VLAN 划分方法,它按照局域网 交换 机端口来定义 VLAN 成员。 VLAN 从逻辑上把局域网交换机的端口划分开来,从而把终端系统划分为不同的部分,各部分相对独立,在功能上模拟了传统的局域网。基于端口的 VLAN 又分为在单交换机端口和多交换机端口定义 VLAN 两种情况:
(1) 单交换机端口定义 VLAN
如图 2 所示,交换机的 1 、 2 、 6 、 7 、 8 端口组成 VLAN1 , 3 、 4 、 5 端口组成了 VLAN2 。这种 VLAN 只支持一个交换机。
(2) 多交换机端口定义 VLAN
如图 3 所示,交换机 1 的 1 、 2 、 3 端口和交换机 2 的 4 、 5 、 6 端口组成 VLAN1 ,交换机 1 的 4 、 5 、 6 、 7 、 8 端口和交换机 2 的 1 、 2 、 3 、 7 、 8 端口组成 VLAN2 。
基于端口的 VLAN 的划分简单、有效,但其缺点是当用户从一个端口移动到另一个端口时,网络管理员必须对 VLAN 成员进行重新配置。
2. 基于 MAC 地址的 VLAN
基于 MAC 地址的 VLAN 是用终端系统的 MAC 地址定义的 VLAN 。 MAC 地址其实就是指网卡的标识符,每一块网卡的 MAC 地址都是惟一的。这种方法允许工作站移动到网络的其他物理网段,而自动保持原来的 VLAN 成员资格。在网络规模较小时,该方案可以说是一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大管理的难度。
3. 基于路由的 VLAN
路由 协议 工作在 7 层 协议 的第 3 层 — 网络层,比如基于 IP 和 IPX 的路由 协议 ,这类设备包括路由器和路由交换机。该方式允许一个 VLAN 跨越多个交换机,或一个端口位于多个 VLAN 中。
4. 基于策略的 VLAN
基于策略的 VLAN 的划分是一种比较有效而直接的方式,主要取决于在 VLAN 的划分中所采用的策略。
VLAN 的定义及划分实例
VLAN
的定义:
究竟什么是 VLAN 呢 ? VLAN ( Virtual Local Area Network )即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。 IEEE 于 1999 年颁布了用以标准化 VLAN 实现方案的 802.1Q协议 标准草案。
VLAN 技术允许网络管理者将一个物理的 LAN 逻辑地划分成不同的广播域(或称虚拟 LAN ,即 VLAN ),每一个 VLAN 都包含一组有着相同需求的计算机工作站,与物理上形成的 LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个 VLAN 内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理 LAN 网段。一个 VLAN 内部的广播和单播流量都不会转发到其他 VLAN 中,即使是两台计算机有着同样的网段,但是它们却没有相同的 VLAN 号,它们各自的广播流也不会相互转发 , 从而有助于控制流量、减少设备投资、简化网络管理、提高网络的 安全 性。
VLAN 是为解决以太网的广播问题和 安全 性而提出的,它在以太网帧的基础上增加了 VLAN 头,用 VLAN ID 把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
既然 VLAN 隔离了广播风暴,同时也隔离了各个不同的 VLAN 之间的通讯,所以不同的 VLAN 之间的通讯是需要有 路由 来完成的。
VLAN 的划分
1. 根据端口来划分 VLAN
许多 VLAN 厂商都利用 交换 机的端口来划分 VLAN 成员。被设定的端口都在同一个广播域中。例如,一个 交换 机的 1 , 2 , 3 , 4 , 5 端口被定义为虚拟网 AAA ,同一交换机的 6 , 7 , 8 端口组成虚拟网 BBB 。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。
第二代端口 VLAN 技术允许跨越多个交换机的多个不同端口划分 VLAN ,不同交换机上的若干个端口可以组成同一个虚拟网。
以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分 VLAN 的方式仍然是最常用的一种方式。
2. 根据 MAC 地址划分 VLAN
这种划分 VLAN 的方法是根据每个主机的 MAC 地址来划分,即对每个 MAC 地址的主机都配置它属于哪个组。这种划分 VLAN 方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时, VLAN 不用重新配置,所以,可以认为这种根据 MAC 地址的划分方法是基于用户的 VLAN ,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个 VLAN 组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样, VLAN 就必须不停地配置。
3. 根据网络层划分 VLAN
这种划分 VLAN 的方法是根据每个主机的网络层地址或 协议 类型 ( 如果支持多 协议) 划分的,虽然这种划分方法是根据网络地址,比如 IP 地址,但它不是路由,与网络层的路由毫无关系。
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的 VLAN ,而且可以根据协议类型来划分 VLAN ,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别 VLAN ,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的 ( 相对于前面两种方法 ) ,一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查 IP 帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
4. 根据 IP 组播划分 VLAN
IP 组播实际上也是一种 VLAN 的定义,即认为一个组播组就是一个 VLAN ,这种划分的方法将 VLAN 扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
5. 基于规则的 VLAN
也称为基于策略的 VLAN 。这是最灵活的 VLAN 划分方法,具有自动配置的能力,能够把相关的用户连成一体,在逻辑划分上称为 “ 关系网络 ” 。网络管理员只需在网管软件中确定划分 VLAN 的规则(或属性),那么当一个站点加入网络中时,将会被 “ 感知 ” ,并被自己地包含进正确的 VLAN 中。同时,对站点的移动和改变也可自动识别和跟踪。
采用这种方法,整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的 VLAN ,这在交换机与共享式 Hub 共存的环境中显得尤为重要。自动配置 VLAN 时,交换机中软件自动检查进入交换机端口的广播信息的 IP 源地址,然后软件自动将这个端口分配给一个由 IP 子网映射成的 VLAN 。
* 以上划分 VLAN 的方式中,基于端口的 VLAN 端口方式建立在物理层上; MAC 方式建立在数据链路层上;网络层和 IP 广播方式建立在第三层上。
VLAN 的标准
对 VLAN 的标准,我们只是介绍两种比较通用的标准,当然也有一些公司具有自己的标准,比如 Cisco 公司的 ISL 标准,虽然不是一种大众化的标准,但是由于 Cisco Catalyst 交换机的大量使用, ISL 也成为一种不是标准的标准了。
· 802.10VLAN 标准
在 1995 年, Cisco 公司提倡使用 IEEE802.10 协议。在此之前, IEEE802.10 曾经在全球范围内作为 VLAN 安全性的同一规范。 Cisco 公司试图采用优化后的 802.10 帧格式在网络上传输 FramTagging 模式中所必须的 VLAN 标签。然而,大多数 802 委员会的成员都反对推广 802.10 。因为,该协议是基于 FrameTagging 方式的。
· 802.1Q
在 1996 年 3 月, IEEE802.1Internetworking 委员会结束了对 VLAN 初期标准的修订工作。新出台的标准进一步完善了 VLAN 的体系结构,统一了 Fram-eTagging 方式中不同厂商的标签格式,并制定了 VLAN 标准在未来一段时间内的发展方向,形成的 802.1Q 的标准在业界获得了广泛的推广。它成为 VLAN 史上的一块里程碑。 802.1Q 的出现打破了虚拟网依赖于单一厂商的僵局,从一个侧面推动了 VLAN 的迅速发展。另外,来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。
· Cisco ISL 标签
ISL ( Inter-Switch Link) 是 Cisco 公司的专有封装方式,因此只能在 Cisco 的设备上支持。 ISL 是一个在交换机之间、交换机与路由器之间及交换机与 服务器 之间传递多个 VLAN 信息及 VLAN 数据流的协议,通过在交换机直接的端口配置 ISL 封装,即可跨越交换机进行整个网络的 VLAN 分配和配置。
公司内部进行 VLAN 的划分实例
对于每个公司而言都有自己不同的需求,下面我们给出一个典型的公司的 VLAN 的实例,这样也可以成为我们以后为公司划分 VLAN 的依据。
某公司现在有工程部、销售部、财务部。 VLAN 的划分:工程部 VLAN10 ,销售部 VLAN20 ,财务部 VLAN30 ,并且各部门还可以相互通讯。现有设备如下 :Cisco 3640 路由器, Cisco Catalyst 2924 交换机一台,二级交换机若干台。
交换机配置文件中的部分代码如下:
......
!
interface vlan10
ip address 192.168.0.1
!
interface vlan20
ip address 192.168.1.1
!
interface vlan30
ip address 192.168.2.1
!
......
路由器配置文件中的部分代码如下:
......
interface FastEthernet 1/0.1
encapsulation isl 10
ip address 192.168.0.2
!
interface FastEthernet 1/0.2
encapsulation isl 20
ip address 192.168.1.2
!
interface FastEthernet 1/0.3
encapsulation isl 30
ip address 192.168.2.2
!
......
!
router rip
network 192.168.0.0
!
......
究竟什么是 VLAN 呢 ? VLAN ( Virtual Local Area Network )即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。 IEEE 于 1999 年颁布了用以标准化 VLAN 实现方案的 802.1Q协议 标准草案。
VLAN 技术允许网络管理者将一个物理的 LAN 逻辑地划分成不同的广播域(或称虚拟 LAN ,即 VLAN ),每一个 VLAN 都包含一组有着相同需求的计算机工作站,与物理上形成的 LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个 VLAN 内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理 LAN 网段。一个 VLAN 内部的广播和单播流量都不会转发到其他 VLAN 中,即使是两台计算机有着同样的网段,但是它们却没有相同的 VLAN 号,它们各自的广播流也不会相互转发 , 从而有助于控制流量、减少设备投资、简化网络管理、提高网络的 安全 性。
VLAN 是为解决以太网的广播问题和 安全 性而提出的,它在以太网帧的基础上增加了 VLAN 头,用 VLAN ID 把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
既然 VLAN 隔离了广播风暴,同时也隔离了各个不同的 VLAN 之间的通讯,所以不同的 VLAN 之间的通讯是需要有 路由 来完成的。
VLAN 的划分
1. 根据端口来划分 VLAN
许多 VLAN 厂商都利用 交换 机的端口来划分 VLAN 成员。被设定的端口都在同一个广播域中。例如,一个 交换 机的 1 , 2 , 3 , 4 , 5 端口被定义为虚拟网 AAA ,同一交换机的 6 , 7 , 8 端口组成虚拟网 BBB 。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。
第二代端口 VLAN 技术允许跨越多个交换机的多个不同端口划分 VLAN ,不同交换机上的若干个端口可以组成同一个虚拟网。
以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分 VLAN 的方式仍然是最常用的一种方式。
2. 根据 MAC 地址划分 VLAN
这种划分 VLAN 的方法是根据每个主机的 MAC 地址来划分,即对每个 MAC 地址的主机都配置它属于哪个组。这种划分 VLAN 方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时, VLAN 不用重新配置,所以,可以认为这种根据 MAC 地址的划分方法是基于用户的 VLAN ,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个 VLAN 组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样, VLAN 就必须不停地配置。
3. 根据网络层划分 VLAN
这种划分 VLAN 的方法是根据每个主机的网络层地址或 协议 类型 ( 如果支持多 协议) 划分的,虽然这种划分方法是根据网络地址,比如 IP 地址,但它不是路由,与网络层的路由毫无关系。
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的 VLAN ,而且可以根据协议类型来划分 VLAN ,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别 VLAN ,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的 ( 相对于前面两种方法 ) ,一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查 IP 帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
4. 根据 IP 组播划分 VLAN
IP 组播实际上也是一种 VLAN 的定义,即认为一个组播组就是一个 VLAN ,这种划分的方法将 VLAN 扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
5. 基于规则的 VLAN
也称为基于策略的 VLAN 。这是最灵活的 VLAN 划分方法,具有自动配置的能力,能够把相关的用户连成一体,在逻辑划分上称为 “ 关系网络 ” 。网络管理员只需在网管软件中确定划分 VLAN 的规则(或属性),那么当一个站点加入网络中时,将会被 “ 感知 ” ,并被自己地包含进正确的 VLAN 中。同时,对站点的移动和改变也可自动识别和跟踪。
采用这种方法,整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的 VLAN ,这在交换机与共享式 Hub 共存的环境中显得尤为重要。自动配置 VLAN 时,交换机中软件自动检查进入交换机端口的广播信息的 IP 源地址,然后软件自动将这个端口分配给一个由 IP 子网映射成的 VLAN 。
* 以上划分 VLAN 的方式中,基于端口的 VLAN 端口方式建立在物理层上; MAC 方式建立在数据链路层上;网络层和 IP 广播方式建立在第三层上。
VLAN 的标准
对 VLAN 的标准,我们只是介绍两种比较通用的标准,当然也有一些公司具有自己的标准,比如 Cisco 公司的 ISL 标准,虽然不是一种大众化的标准,但是由于 Cisco Catalyst 交换机的大量使用, ISL 也成为一种不是标准的标准了。
· 802.10VLAN 标准
在 1995 年, Cisco 公司提倡使用 IEEE802.10 协议。在此之前, IEEE802.10 曾经在全球范围内作为 VLAN 安全性的同一规范。 Cisco 公司试图采用优化后的 802.10 帧格式在网络上传输 FramTagging 模式中所必须的 VLAN 标签。然而,大多数 802 委员会的成员都反对推广 802.10 。因为,该协议是基于 FrameTagging 方式的。
· 802.1Q
在 1996 年 3 月, IEEE802.1Internetworking 委员会结束了对 VLAN 初期标准的修订工作。新出台的标准进一步完善了 VLAN 的体系结构,统一了 Fram-eTagging 方式中不同厂商的标签格式,并制定了 VLAN 标准在未来一段时间内的发展方向,形成的 802.1Q 的标准在业界获得了广泛的推广。它成为 VLAN 史上的一块里程碑。 802.1Q 的出现打破了虚拟网依赖于单一厂商的僵局,从一个侧面推动了 VLAN 的迅速发展。另外,来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。
· Cisco ISL 标签
ISL ( Inter-Switch Link) 是 Cisco 公司的专有封装方式,因此只能在 Cisco 的设备上支持。 ISL 是一个在交换机之间、交换机与路由器之间及交换机与 服务器 之间传递多个 VLAN 信息及 VLAN 数据流的协议,通过在交换机直接的端口配置 ISL 封装,即可跨越交换机进行整个网络的 VLAN 分配和配置。
公司内部进行 VLAN 的划分实例
对于每个公司而言都有自己不同的需求,下面我们给出一个典型的公司的 VLAN 的实例,这样也可以成为我们以后为公司划分 VLAN 的依据。
某公司现在有工程部、销售部、财务部。 VLAN 的划分:工程部 VLAN10 ,销售部 VLAN20 ,财务部 VLAN30 ,并且各部门还可以相互通讯。现有设备如下 :Cisco 3640 路由器, Cisco Catalyst 2924 交换机一台,二级交换机若干台。
交换机配置文件中的部分代码如下:
......
!
interface vlan10
ip address 192.168.0.1
!
interface vlan20
ip address 192.168.1.1
!
interface vlan30
ip address 192.168.2.1
!
......
路由器配置文件中的部分代码如下:
......
interface FastEthernet 1/0.1
encapsulation isl 10
ip address 192.168.0.2
!
interface FastEthernet 1/0.2
encapsulation isl 20
ip address 192.168.1.2
!
interface FastEthernet 1/0.3
encapsulation isl 30
ip address 192.168.2.2
!
......
!
router rip
network 192.168.0.0
!
......
VLAN
技术白皮书
关键词
VLAN , VLAN 聚合, PVLAN , GVRP , VTP
1 VLAN 概述
VLAN ( Virtual Local Area Network )即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。 IEEE 于 1999 年颁布了用以标准化 VLAN 实现方案的 802.1Q协议 标准草案。
VLAN 技术允许网络管理者将一个物理的 LAN 逻辑地划分成不同的广播域(或称虚拟 LAN ,即 VLAN ),每一个 VLAN 都包含一组有着相同需求的计算机工作站,与物理上形成的 LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个 VLAN 内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理 LAN 网段。一个 VLAN 内部的广播和单播流量都不会转发到其他 VLAN 中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的 安全 性。
VLAN 是为解决以太网的广播问题和 安全 性而提出的一种 协议 ,它在以太网帧的基础上增加了 VLAN 头,用 VLAN ID 把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
VLAN 在 交换 机上的实现方法,可以大致划分为 4 类 :
1 、 基于端口划分的 VLAN
这种划分 VLAN 的方法是根据以太网 交换 机的端口来划分,比如 Quidway S3526 的 1~4 端口为 VLAN 10 , 5~17 为 VLAN 20 , 18~24 为 VLAN 30 ,当然,这些属于同一 VLAN 的端口可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机 1 的 1~6 端口和交换机 2 的 1~4 端口为同一 VLAN ,即同一 VLAN 可以跨越数个以太网交换机,根据端口划分是目前定义 VLAN 的最广泛的方法, IEEE 802.1Q 规定了依据以太网交换机的端口来划分 VLAN 的国际标准。
这种划分的方法的优点是定义 VLAN 成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果 VLAN A 的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。
2 、基于 MAC 地址划分 VLAN
这种划分 VLAN 的方法是根据每个主机的 MAC 地址来划分,即对每个 MAC 地址的主机都配置他属于哪个组。这种划分 VLAN 的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时, VLAN 不用重新配置,所以,可以认为这种根据 MAC 地址的划分方法是基于用户的 VLAN ,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个 VLAN 组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样, VLAN 就必须不停的配置。
3 、基于网络层划分 VLAN
这种划分 VLAN 的方法是根据每个主机的网络层地址或 协议 类型 ( 如果支持多协议 ) 划分的,虽然这种划分方法是根据网络地址,比如 IP 地址,但它不是 路由 ,与网络层的路由毫无关系。它虽然查看每个数据包的 IP 地址,但由于不是路由,所以,没有 RIP , OSPF 等路由协议,而是根据生成树算法进行桥交换,
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的 VLAN ,而且可以根据协议类型来划分 VLAN ,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别 VLAN ,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的 ( 相对于前面两种方法 ) ,一般的交换机芯片都可以自动检查网络上数据包的以太网祯头,但要让芯片能检查 IP 帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
4 、根据 IP 组播划分 VLAN
IP 组播实际上也是一种 VLAN 的定义,即认为一个组播组就是一个 VLAN ,这种划分的方法将 VLAN 扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
鉴于当前业界 VLAN 发展的趋势,考虑到各种 VLAN 划分方式的优缺点,为了最大程度上地满足用户在具体使用过程中需求,减轻用户在 VLAN 的具体使用和维护中的工作量, Quidway S 系列交换机采用根据端口来划分 VLAN 的方法。
VLAN , VLAN 聚合, PVLAN , GVRP , VTP
1 VLAN 概述
VLAN ( Virtual Local Area Network )即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。 IEEE 于 1999 年颁布了用以标准化 VLAN 实现方案的 802.1Q协议 标准草案。
VLAN 技术允许网络管理者将一个物理的 LAN 逻辑地划分成不同的广播域(或称虚拟 LAN ,即 VLAN ),每一个 VLAN 都包含一组有着相同需求的计算机工作站,与物理上形成的 LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个 VLAN 内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理 LAN 网段。一个 VLAN 内部的广播和单播流量都不会转发到其他 VLAN 中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的 安全 性。
VLAN 是为解决以太网的广播问题和 安全 性而提出的一种 协议 ,它在以太网帧的基础上增加了 VLAN 头,用 VLAN ID 把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
VLAN 在 交换 机上的实现方法,可以大致划分为 4 类 :
1 、 基于端口划分的 VLAN
这种划分 VLAN 的方法是根据以太网 交换 机的端口来划分,比如 Quidway S3526 的 1~4 端口为 VLAN 10 , 5~17 为 VLAN 20 , 18~24 为 VLAN 30 ,当然,这些属于同一 VLAN 的端口可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机 1 的 1~6 端口和交换机 2 的 1~4 端口为同一 VLAN ,即同一 VLAN 可以跨越数个以太网交换机,根据端口划分是目前定义 VLAN 的最广泛的方法, IEEE 802.1Q 规定了依据以太网交换机的端口来划分 VLAN 的国际标准。
这种划分的方法的优点是定义 VLAN 成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果 VLAN A 的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。
2 、基于 MAC 地址划分 VLAN
这种划分 VLAN 的方法是根据每个主机的 MAC 地址来划分,即对每个 MAC 地址的主机都配置他属于哪个组。这种划分 VLAN 的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时, VLAN 不用重新配置,所以,可以认为这种根据 MAC 地址的划分方法是基于用户的 VLAN ,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个 VLAN 组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样, VLAN 就必须不停的配置。
3 、基于网络层划分 VLAN
这种划分 VLAN 的方法是根据每个主机的网络层地址或 协议 类型 ( 如果支持多协议 ) 划分的,虽然这种划分方法是根据网络地址,比如 IP 地址,但它不是 路由 ,与网络层的路由毫无关系。它虽然查看每个数据包的 IP 地址,但由于不是路由,所以,没有 RIP , OSPF 等路由协议,而是根据生成树算法进行桥交换,
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的 VLAN ,而且可以根据协议类型来划分 VLAN ,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别 VLAN ,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的 ( 相对于前面两种方法 ) ,一般的交换机芯片都可以自动检查网络上数据包的以太网祯头,但要让芯片能检查 IP 帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
4 、根据 IP 组播划分 VLAN
IP 组播实际上也是一种 VLAN 的定义,即认为一个组播组就是一个 VLAN ,这种划分的方法将 VLAN 扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
鉴于当前业界 VLAN 发展的趋势,考虑到各种 VLAN 划分方式的优缺点,为了最大程度上地满足用户在具体使用过程中需求,减轻用户在 VLAN 的具体使用和维护中的工作量, Quidway S 系列交换机采用根据端口来划分 VLAN 的方法。
虚拟局域网入门
(
上
)
有很多企业在发展的初期,人员较少
,因此对网络的要求也不高,而且为了节约成本,很多企业网都采用了通过
路由
器实现分段的简单结构(图
1
)。在这样的网络下,每一个局域网上的广播数据包都可以被该段上的所有设备收到,而无论这些设备是否需要。随着企业规模的不断扩大,特别是多媒体在企业局域网中的应用,使每个部门内部的数据传输量非常大。此外,由于公司发展中一些遗留下来的问题,使得一个部门的员工不能相对集中办公。更重要的是,公司的财务部门需要越来越高的
安全
性,不能和其他的部门混用一个以太网段,以防止数据窃听。这些新问题需要更灵活地配置局域网,因此就产生了虚拟局域网(
Virtual LAN
)技术。
虚拟网是指在物理网络基础架构上,利用 交换 机和路由器的功能,配置网络的逻辑拓扑结构,从而允许网络管理员任意地将一个局域网内的任何数量网段聚合成一个用户组,就好像它们是一个单独的局域网。近期虚拟网( VLAN )迅速倔起,并成为最具生命力的组网技术之一。(图 2 )
图 2
虚拟局域网的特点
在使用带宽、灵活性、性能等方面,虚拟局域网( VLAN )都显示出很大优势。虚拟局域网的使用能够方便地进行用户的增加、删除、移动等工作,提高网络管理的效率。他具有以下特点:
1 、灵活的、软定义的、边界独立于物理媒质的设备群。 VLAN 概念的引入,使 交换 机承担了网络的分段工作,而不再使用路由器来完成。通过使用 VLAN ,能够把原来一个物理的局域网划分成很多个逻辑意义上的子网,而不必考虑具体的物理位置,每一个 VLAN 都可以对应于一个逻辑单位,如部门、车间和项目组等。
2 、广播流量被限制在软定义的边界内、提高了网络的 安全 性。由于在相同 VLAN 内的主机间传送的数据不会影响到其他 VLAN 上的主机,因此减少了数据窃听的可能性,极大地增强了网络的安全性。
3 、在同一个虚拟局域网成员之间提供低延迟、线速的通信。能够在网络内划分网段或者微网段,提高网络分组的灵活性。 VLAN 技术通过把网络分成逻辑上的不同广播域,使网络上传送的包只在与位于同一个 VLAN 的端口之间交换。这样就限制了某个局域网只与同一个 VLAN 的其它局域网互相连,避免浪费带宽,从而消除了传统的桥接/交换网络的固有缺陷 —— 包经常被传送到并不需要它的局域网中。这也改善了网络配置规模的灵活性,尤其是在支持广播/多播 协议 和应用程序的局域网环境中,会遭遇到如潮水般涌来的包。而在 VLAN 结构中,可以轻松地拒绝其他 VLAN 的包,从而大大减少网络流量。
虚拟局域网的分类
虚拟局域网是一种软技术,如何分类,将决定此技术在网络中能否发挥到预期作用,下面将介绍虚拟局域网的分类以及特性。常见的虚拟局域网分类有三种:基于端口、基于硬件 MAC 地址、基于网络层。
1 、 基于端口
基于端口的虚拟局域网划分是比较流行和最早的划分方式,其特点是将交换机按照端口进行分组,每一组定义为一个虚拟局域网。这些交换机端口分组可以在一台交换机上也可以跨越几个交换机(例如,1号交换机的端口 1 和 2 以及 2 号交换机的端口 4 、 5 、 6 和 7 上的最终工作站组成了虚拟局域网 A ;而 1 号交换机的端口 3 、 4 、 5 、 6 、 7 和 8 加上 2 号交换机的端口 1 、 2 、 3 和 8 上的最终工作站组成了虚拟局域网 B )。
图 3
端口分组目前是定义虚拟局域网成员最常用的方法,而且配置也相当直截了当。纯粹用端口分组来定义虚拟局域网不会容许多个虚拟局域网包含同一个实际网段(或交换机端口)。其特点是一个虚拟局域网的各个端口上的所有终端都在一个广播域中,它们相互可以通信,不同的虚拟局域网之间进行通信需经过路由来进行。这种虚拟局域网划分方式的优点在于简单,容易实现,从一个端口发出的广播,直接发送到虚拟局域网内的其他端口,也便于直接监控。但是,用端口定义虚拟局域网的主要局限性是:使用不够灵活,当用户从一个端口移动到另一个端口的时候网络管理员必须重新配置虚拟局域网成员。不过这一点可以通过灵活的网络管理软件来弥补。
2 、基于硬件 MAC 地址层
基于硬件 MAC 地址层地址的虚拟局域网具有不同的优点和缺点。由于硬件地址层的地址是硬连接到工作站的网络界面卡( NIC )上的,所以基于硬件地址层地址的的虚拟局域网使网络管理者能够把网络上的工作站移动到不同的实际位置,而且可以让这台工作站自动地保持它原有的虚拟局域网成员资格。按照这种方式,由硬件地址层地址定义的虚拟局域网可以被视为基于用户的虚拟局域网。
这种方式的虚拟局域网,交换机对终端的 MAC 地址和交换机端口进行跟踪,在新终端入网时根据已经定义的虚拟局域网 ——MAC 对应表将其划归至某一个虚拟局域网,而无论该终端在网络中怎样移动,由于其 MAC 地址保持不变,故不需进行虚拟局域网的重新配置。这种划分方式减少了网络管理员的日常维护工作量,不足之处在于所有的终端必须被明确的分配在一个具体的虚拟局域网,任何时候增加终端或者更换网卡,都要对虚拟局域网数据库调整,以实现对该终端的动态跟踪。
基于硬件地址层地址的虚拟局域网解决方案的缺点之一是要求所有的用户必须初始配置在至少一个虚拟局域网中。在这次初始手工配置之后,用户的自动跟踪才有可能实现,而且取决于特定的供应商解决方案。然而,这种不得不在一开始先用人工配置虚拟局域网的方法,其缺点在一个非常大的网络中变得非常明显:几千个用户必须逐个地分配到各自特定的虚拟局域网中。某些供应商已经减少了初始手工配置基于硬件地址的虚拟局域网的繁重任务,它们采用根据网络的当前状态生成虚拟局域网的工具,也就是说为每一个子网生成一个基于硬件地址的虚拟局域网。
3 、基于网络层
基于网络层的虚拟局域网划分也叫做基于策略( POLICY )的划分,是这几种划分方式中最高级也是最为复杂的。基于网络层的虚拟局域网使用 协议 (如果网络中存在多 协议 的话)或网络层地址(如 TCP/IP 中的子网段地址)来确定网络成员。利用网络层定义虚拟网有以下几点优势。第一,这种方式可以按传输协议划分网段。其次,用户可以在网络内部自由移动而不用重新配置自己的工作站。第三,这种类型的虚拟网可以减少由于协议转换而造成的网络延迟。这种方式看起来是最为理想的方式,但是在采用这种划分之前,要明确两件事情:一是 IP 盗用,二是对设备要求较高,不是所有设备都支持这种方式。
VLAN 经典诠释
虚拟网是指在物理网络基础架构上,利用 交换 机和路由器的功能,配置网络的逻辑拓扑结构,从而允许网络管理员任意地将一个局域网内的任何数量网段聚合成一个用户组,就好像它们是一个单独的局域网。近期虚拟网( VLAN )迅速倔起,并成为最具生命力的组网技术之一。(图 2 )
图 2
虚拟局域网的特点
在使用带宽、灵活性、性能等方面,虚拟局域网( VLAN )都显示出很大优势。虚拟局域网的使用能够方便地进行用户的增加、删除、移动等工作,提高网络管理的效率。他具有以下特点:
1 、灵活的、软定义的、边界独立于物理媒质的设备群。 VLAN 概念的引入,使 交换 机承担了网络的分段工作,而不再使用路由器来完成。通过使用 VLAN ,能够把原来一个物理的局域网划分成很多个逻辑意义上的子网,而不必考虑具体的物理位置,每一个 VLAN 都可以对应于一个逻辑单位,如部门、车间和项目组等。
2 、广播流量被限制在软定义的边界内、提高了网络的 安全 性。由于在相同 VLAN 内的主机间传送的数据不会影响到其他 VLAN 上的主机,因此减少了数据窃听的可能性,极大地增强了网络的安全性。
3 、在同一个虚拟局域网成员之间提供低延迟、线速的通信。能够在网络内划分网段或者微网段,提高网络分组的灵活性。 VLAN 技术通过把网络分成逻辑上的不同广播域,使网络上传送的包只在与位于同一个 VLAN 的端口之间交换。这样就限制了某个局域网只与同一个 VLAN 的其它局域网互相连,避免浪费带宽,从而消除了传统的桥接/交换网络的固有缺陷 —— 包经常被传送到并不需要它的局域网中。这也改善了网络配置规模的灵活性,尤其是在支持广播/多播 协议 和应用程序的局域网环境中,会遭遇到如潮水般涌来的包。而在 VLAN 结构中,可以轻松地拒绝其他 VLAN 的包,从而大大减少网络流量。
虚拟局域网的分类
虚拟局域网是一种软技术,如何分类,将决定此技术在网络中能否发挥到预期作用,下面将介绍虚拟局域网的分类以及特性。常见的虚拟局域网分类有三种:基于端口、基于硬件 MAC 地址、基于网络层。
1 、 基于端口
基于端口的虚拟局域网划分是比较流行和最早的划分方式,其特点是将交换机按照端口进行分组,每一组定义为一个虚拟局域网。这些交换机端口分组可以在一台交换机上也可以跨越几个交换机(例如,1号交换机的端口 1 和 2 以及 2 号交换机的端口 4 、 5 、 6 和 7 上的最终工作站组成了虚拟局域网 A ;而 1 号交换机的端口 3 、 4 、 5 、 6 、 7 和 8 加上 2 号交换机的端口 1 、 2 、 3 和 8 上的最终工作站组成了虚拟局域网 B )。
图 3
端口分组目前是定义虚拟局域网成员最常用的方法,而且配置也相当直截了当。纯粹用端口分组来定义虚拟局域网不会容许多个虚拟局域网包含同一个实际网段(或交换机端口)。其特点是一个虚拟局域网的各个端口上的所有终端都在一个广播域中,它们相互可以通信,不同的虚拟局域网之间进行通信需经过路由来进行。这种虚拟局域网划分方式的优点在于简单,容易实现,从一个端口发出的广播,直接发送到虚拟局域网内的其他端口,也便于直接监控。但是,用端口定义虚拟局域网的主要局限性是:使用不够灵活,当用户从一个端口移动到另一个端口的时候网络管理员必须重新配置虚拟局域网成员。不过这一点可以通过灵活的网络管理软件来弥补。
2 、基于硬件 MAC 地址层
基于硬件 MAC 地址层地址的虚拟局域网具有不同的优点和缺点。由于硬件地址层的地址是硬连接到工作站的网络界面卡( NIC )上的,所以基于硬件地址层地址的的虚拟局域网使网络管理者能够把网络上的工作站移动到不同的实际位置,而且可以让这台工作站自动地保持它原有的虚拟局域网成员资格。按照这种方式,由硬件地址层地址定义的虚拟局域网可以被视为基于用户的虚拟局域网。
这种方式的虚拟局域网,交换机对终端的 MAC 地址和交换机端口进行跟踪,在新终端入网时根据已经定义的虚拟局域网 ——MAC 对应表将其划归至某一个虚拟局域网,而无论该终端在网络中怎样移动,由于其 MAC 地址保持不变,故不需进行虚拟局域网的重新配置。这种划分方式减少了网络管理员的日常维护工作量,不足之处在于所有的终端必须被明确的分配在一个具体的虚拟局域网,任何时候增加终端或者更换网卡,都要对虚拟局域网数据库调整,以实现对该终端的动态跟踪。
基于硬件地址层地址的虚拟局域网解决方案的缺点之一是要求所有的用户必须初始配置在至少一个虚拟局域网中。在这次初始手工配置之后,用户的自动跟踪才有可能实现,而且取决于特定的供应商解决方案。然而,这种不得不在一开始先用人工配置虚拟局域网的方法,其缺点在一个非常大的网络中变得非常明显:几千个用户必须逐个地分配到各自特定的虚拟局域网中。某些供应商已经减少了初始手工配置基于硬件地址的虚拟局域网的繁重任务,它们采用根据网络的当前状态生成虚拟局域网的工具,也就是说为每一个子网生成一个基于硬件地址的虚拟局域网。
3 、基于网络层
基于网络层的虚拟局域网划分也叫做基于策略( POLICY )的划分,是这几种划分方式中最高级也是最为复杂的。基于网络层的虚拟局域网使用 协议 (如果网络中存在多 协议 的话)或网络层地址(如 TCP/IP 中的子网段地址)来确定网络成员。利用网络层定义虚拟网有以下几点优势。第一,这种方式可以按传输协议划分网段。其次,用户可以在网络内部自由移动而不用重新配置自己的工作站。第三,这种类型的虚拟网可以减少由于协议转换而造成的网络延迟。这种方式看起来是最为理想的方式,但是在采用这种划分之前,要明确两件事情:一是 IP 盗用,二是对设备要求较高,不是所有设备都支持这种方式。
VLAN 经典诠释
什么是
VLAN
?
VLAN ( Virtual LAN ),翻译成中文是 “ 虚拟局域网 ” 。 LAN 可以是由少数几台家用计算机构成的网络,也可以是数以百计的计算机构成的企业网络。 VLAN 所指的 LAN 特指使用路由器分割的网络 —— 也就是广播域。
在此让我们先复习一下广播域的概念。广播域,指的是广播帧(目标 MAC 地址全部为 1 )所能传递到的范围,亦即能够直接通信的范围。严格地说,并不仅仅是广播帧,多播帧( Multicast Frame )和目标不明的单播帧( Unknown Unicast Frame )也能在同一个广播域中畅行无阻。
本来,二层交换机只能构建单一的广播域,不过使用 VLAN 功能后,它能够将网络分割成多个广播域。
未分割广播域时 ……
那么,为什么需要分割广播域呢?那是因为,如果仅有一个广播域,有可能会影响到网络整体的传输性能。具体原因,请参看附图加深理解。
VLAN ( Virtual LAN ),翻译成中文是 “ 虚拟局域网 ” 。 LAN 可以是由少数几台家用计算机构成的网络,也可以是数以百计的计算机构成的企业网络。 VLAN 所指的 LAN 特指使用路由器分割的网络 —— 也就是广播域。
在此让我们先复习一下广播域的概念。广播域,指的是广播帧(目标 MAC 地址全部为 1 )所能传递到的范围,亦即能够直接通信的范围。严格地说,并不仅仅是广播帧,多播帧( Multicast Frame )和目标不明的单播帧( Unknown Unicast Frame )也能在同一个广播域中畅行无阻。
本来,二层交换机只能构建单一的广播域,不过使用 VLAN 功能后,它能够将网络分割成多个广播域。
未分割广播域时 ……
那么,为什么需要分割广播域呢?那是因为,如果仅有一个广播域,有可能会影响到网络整体的传输性能。具体原因,请参看附图加深理解。
图中,是一个由 5 台二层交换机(交换机 1 ~ 5 )连接了大量客户机构成的网络。假设这时,计算机 A 需要与计算机 B 通信。在基于以太网的通信中,必须在数据帧中指定目标 MAC 地址才能正常通信,因此计算机 A 必须先广播 “ARP 请求( ARP Request )信息 ” ,来尝试获取计算机 B 的 MAC 地址。
交换机 1 收到广播帧( ARP 请求)后,会将它转发给除接收端口外的其他所有端口,也就是 Flooding 了。接着,交换机 2 收到广播帧后也会 Flooding 。交换机 3 、 4 、 5 也还会 Flooding 。最终 ARP 请求会被转发到同一网络中的所有客户机上
请大家注意一下,这个 ARP 请求原本是为了获得计算机 B 的 MAC 地址而发出的。也就是说:只要计算机 B 能收到就万事大吉了。可是事实上,数据帧却传遍整个网络,导致所有的计算机都收到了它。如此一来,一方面广播信息消耗了网络整体的带宽,另一方面,收到广播信息的计算机还要消耗一部分 CPU 时间来对它进行处理。造成了网络带宽和 CPU 运算能力的大量无谓消耗。
广播信息是那么经常发出的吗?
读到这里,您也许会问:广播信息真是那么频繁出现的吗?
答案是:是的!实际上广播帧会非常频繁地出现。利用 TCP/IP 协议栈通信时,除了前面出现的 ARP 外,还有可能需要发出 DHCP 、 RIP 等很多其他类型的广播信息。
ARP 广播,是在需要与其他主机通信时发出的。当客户机请求 DHCP 服务器分配 IP 地址时
,就必须发出 DHCP 的广播。而使用 RIP 作为路由协议时,每隔 30 秒路由器都会对邻近的其他路由器广播一次路由信息。 RIP 以外的其他路由协议使用多播传输路由信息,这也会被交换机转发( Flooding )。除了 TCP/IP 以外, NetBEUI 、 IPX 和 Apple Talk 等协议也经常需要用到广播。例如在 Windows 下双击打开 “ 网络计算机 ” 时就会发出广播(多播)信息。( Windows XP 除外 …… )
总之,广播就在我们身边。下面是一些常见的广播通信:
l.ARP 请求:建立 IP 地址和 MAC 地址的映射关系。
2.RIP :一种路由协议。
3.DHCP :用于自动设定 IP 地址的协议。
4.NetBEUI : Windows 下使用的网络协议。
5.IPX : Novell Netware 使用的网络协议。
6.Apple Talk :苹果公司的 Macintosh 计算机使用的网络协议。
如果整个网络只有一个广播域,那么一旦发出广播信息,就会传遍整个网络,并且对网络中的主机带来额外的负担。因此,在设计 LAN 时,需要注意如何才能有效地分割广播域。
广播域的分割与 VLAN 的必要性
分割广播域时,一般都必须使用到路由器。使用路由器后,可以以路由器上的网络接口( LAN Interface )为单位分割广播域。
但是,通常情况下路由器上不会有太多的网络接口,其数目多在 1 ~ 4 个左右。随着宽带连接的普及,宽带路由器(或者叫 IP 共享器)变得较为常见,但是需要注意的是,它们上面虽然带着多个(一般为 4 个左右)连接 LAN 一侧的网络接口,但那实际上是路由器内置的交换机,并不能分割广播域。
况且使用路由器分割广播域的话,所能分割的个数完全取决于路由器的网络接口个数,使得用户无法自由地根据实际需要分割广播域。
与路由器相比,二层交换机一般带有多个网络接口。因此如果能使用它分割广播域,那么无疑运用上的灵活性会大大提高。
用于在二层交换机上分割广播域的技术,就是 VLAN 。通过利用 VLAN ,我们可以自由设计广播域的构成,提高网络设计的自由度
VLAN 的访问链接
交换机的端口
交换机的端口,可以分为以下两种:
l. 访问链接( Access Link )
2. 汇聚链接( Trunk Link )
接下来就让我们来依次学习这两种不同端口的特征。这一讲,首先学习 “ 访问链接 ” 。
访问链接
访问链接,指的是 “ 只属于一个 VLAN ,且仅向该 VLAN 转发数据帧 ” 的端口。在大多数情况下,访问链接所连的是客户机。
通常设置 VLAN 的顺序是:
l. 生成 VLAN
2. 设定访问链接(决定各端口属于哪一个 VLAN )
设定访问链接的手法,可以是事先固定的、也可以是根据所连的计算机而动态改变设定。前者被称为 “ 静态 VLAN” 、后者自然就是 “ 动态 VLAN” 了。
静态 VLAN
静态 VLAN 又被称为基于端口的 VLAN ( Port Based VLAN )。顾名思义,就是明确指定各端口属于哪个 VLAN 的设定方法。
由于需要一个个端口地指定,因此当网络中的计算机数目超过一定数字(比如数百台)后,设定操作就会变得烦杂无比。并且,客户机每次变更所连端口,都必须同时更改该端口所属 VLAN 的设定 —— 这显然不适合那些需要频繁改变拓补结构的网络。
动态 VLAN
另一方面,动态 VLAN 则是根据每个端口所连的计算机,随时改变端口所属的 VLAN 。这就可以避免上述的更改设定之类的操作。动态 VLAN 可以大致分为 3 类:
l. 基于 MAC 地址的 VLAN ( MAC Based VLAN )
2. 基于子网的 VLAN ( Subnet Based VLAN )
3. 基于用户的 VLAN ( User Based VLAN )
其间的差异,主要在于根据 OSI 参照模型哪一层的信息决定端口所属的 VLAN 。
基于 MAC 地址的 VLAN ,就是通过查询并记录端口所连计算机上网卡的 MAC 地址来决定端口的所属。假定有一个 MAC 地址 “A” 被交换机设定为属于 VLAN“10” ,那么不论 MAC 地址为 “A” 的这台计算机连在交换机哪个端口,该端口都会被划分到 VLAN10 中去。计算机连在端口 1 时,端口 1 属于 VLAN10 ;而计算机连在端口 2 时,则是端口 2 属于 VLAN10 。
由于是基于 MAC 地址决定所属 VLAN 的,因此可以理解为这是一种在 OSI 的第二层设定访问链接的办法。
但是,基于 MAC 地址的 VLAN ,在设定时必须调查所连接的所有计算机的 MAC 地址并加以登录。而且如果计算机交换了网卡,还是需要更改设定。
基于子网的 VLAN ,则是通过所连计算机的 IP 地址,来决定端口所属 VLAN 的。不像基于 MAC 地址的 VLAN ,即使计算机因为交换了网卡或是其他原因导致 MAC 地址改变,只要它的 IP 地址不变,就仍可以加入原先设定的 VLAN
因此,与基于 MAC 地址的 VLAN 相比,能够更为简便地改变网络结构。 IP 地址是 OSI 参照模型中第三层的信息,所以我们可以理解为基于子网的 VLAN 是一种在 OSI 的第三层设定访问链接的方法。
基于用户的 VLAN ,则是根据交换机各端口所连的计算机上当前登录的用户,来决定该端口属于哪个 VLAN 。这里的用户识别信息,一般是计算机操作系统登录的用户,比如可以是 Windows 域中使用的用户名。这些用户名信息,属于 OSI 第四层以上的信息。
总的来说,决定端口所属 VLAN 时利用的信息在 OSI 中的层面越高,就越适于构建灵活多变的网络。
访问链接的总结
综上所述,设定访问链接的手法有静态 VLAN 和动态 VLAN 两种,其中动态 VLAN 又可以继续细分成几个小类。
其中基于子网的 VLAN 和基于用户的 VLAN 有可能是网络设备厂商使用独有的协议实现的,不同厂商的设备之间互联有可能出现兼容性问题;因此在选择交换机时,一定要注意事先确认。
下表总结了静态 VLAN 和动态 VLAN 的相关信息
浅谈
VLAN
技术
目前,广域网和局域网技术得到广泛推广和应用。尤其是局域网技术发展更快,从传统LAN到交换,再发展到虚拟LAN即VLAN(Virtual Local Area Networks)。VLAN技术较传统LAN技术前进了一大步,让我们在辽阔的信息领域中拥有属于自己的空间。LAN
1.VLAN概念
VLAN是一个在物理网络上根据用途,工作组、应用等来逻辑划分的局域网络,是一个广播域,与用户的物理位置没有关系。VLAN中的网络用户是通过LAN交换机来通信的。一个VLAN中的成员看不到另一个VLAN中的成员。
2.VLAN特征
同一个VLAN中的所有成员共同拥有一个VLAN ID,组成一个虚拟局域网络;同一个VLAN中的成员均能收到同一个VLAN中的其他成员发来的广播包,但收不到其他VLAN中成员发来的广播包;不同VLAN成员之间不可直接通信,需要通过路由支持才能通信,而同一VLAN中的成员通过VLAN交换机可以直接通信,不需路由支持。
3.VLAN特征
VLAN的特性是:控制通信活动,隔离广播数据顺化网络管理,便于工作组优化组合,VLAN中的成员只要拥有一个VLAN ID就可以不受物理位置的限制,随意移动工作站的位置;增加网络的安全性,VLAN交换机就是一道道屏风,只有具备VLAN成员资格的分组数据才能通过,这比用计算机服务器做防火墙要安全得多;网络带宽得到充分利用,网络性能大大提高。
4.交换式以太网VLAN和ATM VLAN
从技术角度来讲,VLAN既可以在交换式以太网中实现,也可以在ATM骨干网中实现,比较起来,在ATM环境中实现VLAN技术相对来说要困难些。
(1)交换式以大网VLAN,基于交换式以太网的VLAN采用的是帧交换(Frame Switch)技术,其工作机制是:当以太网交换机从一个端口收到数据帧后,对数据帧中包含的MAC(媒体存取控制)地址进行分析姘利用交换机中的端口-MAC地址映射表将数据帧转发至相应端口。
(2)ATM VLAN.基于ATM的VLAN采用的是信元交换(Cell Switch)技术,信元交换技术主要是指ATM技术,工作机制是:当ATM交换机从一个端口收到数据包后,采用53字节的定长信元(Cell)进行封装处理,其中有5个字节是信无头,含有目的地址等信息。在交换时,全部以信元进行交换。ATM是局域网和广域网的公共基础技术,结合了线路交换和存储转发两种数据交换形式,采用底层交换和光纤传输等技术,具有从几兆到数百兆甚至上千兆的网络带宽,能充分满足数据、语音及视频等传输的各类需求,非常容易组建各种应用的城域网,并有服务质量(QoS)保证。在ATM上实现VLAN技术实在是再好不过的了。
5.VLAN实现原理
当VLAN交换机从工作站接收到数据后,会对数据的部分内容进行检查,并与一个VLAN配置数据库(该数据库含有静态配置的或者动态学习而得到的MAC地址等信息)中的内容进行比较后,确定数据去向,如果数据要发往一个VLAN设备(VLAN-aware),一个标记(Tag)或者VLAN标识就被加到这个数据上,根据VLAN标识和目的地址,VLAN交换机就可以将该数据转发到同一VLAN上适当的目的地;如果数据发往非VLAN设备(VLAN-unaware),则VLAN交换机发送不带VLAN标识的数据。
6.VLAN类型
加入一个VLAN所依据的标准是多种多样的,可以按以下方案加入VLAN.
(1)按端口划分。将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。这种按网络端口来划分VLAN网络成员的配置过程简单明了,因此,它是最常用的一种方式。其主要缺点在于不允许用户移动,一旦用户移动到一个新的位置,网络管理员必须配置新的VLAN.
(2)按MAC地址划分。VLAN工作基于工作站的MAC地址,VLAN交换机跟踪属于VLAN MAC的地址,从某种意义上说,这是一种基于用户的网络划分手段,因为MAC在工作站的网卡(NIC)上。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时,自动保留其所属VLAN的成员身份,但这种方式要求网络管理员将每个用户都一一划分在某个VLAN中,在一个大规模的VLAN中,这就有些困难;再者,笔记本电脑没有网卡,因而,当笔记本电脑移动到另一个站时,VLAN需要重新配置。
(3)按网络协议划分。VLAN按网络层协议来划分,可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN,可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的,而且,用户可以在网络内部自由移动,但其VLAN成员身份仍然保留不变。这种方式不足之处在于,可使广播域跨越多个VLAN交换机,容易造成某些VLAN站点数目较多,产生大量的广播包,使VLAN交换机的效率降低。
(4)按IP/IPX划分。基于IP子网的VLAN,可按照IPv4和IPv6方式来划分VLAN.其每个VLAN都是和一段独立的IP网段相对应的,将IP的广播组和VLAN的碰撞域一对一地结合起来。这种方式有利于在VLAN交换机内部实现路由,也有利于将动态主机配置(DHCP)技术结合起来,而且,用户可以移动工作站而不需要重新配置网络地址,便于网络管理。其主要缺点在于效率要比第二层差,因为查看三层IP地址比查看MAC地址所消耗的时间多。基于IPX的VLAN,也是按照OSI(开放系统互连)模型的第三层地址来设计的。
(5)按策略划分。基于策略组成的VLAN能实现多种分配方法,包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN.
(6)按用户定义、非用户授权划分。基于用户定义、非用户授权来划分VLAN,是指为了适应特别的VLAN网络,特别的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,得到VLAN管理的认证后才可以加入一个VLAN.
7.VLAN
通信
VLAN交换机必须有一种方式来了解VLAN的成员关系,即要让交换机知道哪一个工作站属于哪一个VLAN.一般地,基于VLAN交换机端口或者工作站的MAC地址来组建的VLAN,其VLAN成员是以直接的形式与其他成员联系的;基于三层如按IP来组建的VLAN,其VLAN成员是以间接的形式与其他成员联系的。目前VLAN之间的通信主要采取如下4种方式。
(1)MAC地址静态登记方式。MAC地址静态登记方式是预先在VLAN交换机中设置好一张地址列表,这张表含有工作站的MAC地址JLAN交换机的端口号、VLAN ID等信息,当工作站第一次在网络上发广播包时,交换机就将这张表的内容一一对应起来,并对其他交换机广播。这种方式的缺点在于,网络管理员要不断修改和维护MAC地址静态条目列表;且大量的MAC地址静态条目列表的广播信息易导致主干网络拥塞。
(2)帧标签方式。帧标签方式采用的是标签(tag)技术,即在每个数据包都加上一个标签,用来标明数据包属于哪个VLAN,这样,VLAN交换机就能够将来自不同VLAN的数据流复用到相同的VLAN交换机上。这种方式存在一个问题,即每个数据包加上标签,使得网络的负载也相应增加了。
(3)虚连接方式。网络用户A和B第一次通信时,发送地址解析(ARP)广播包,VLAN交换机将学习到的MAC和所连接的VLAN交换机的端口号保存到动态条目MAC地址列表中,当A和日有数据要传时,VLAN交换机从其端口收到的数据包中识别出目的MAC地址,查动态条目MAC地址列表,得到目的站点所在的VLAN交换机端口,这样两个端口间就建立起一条虚连接,数据包就可从源端口转发到目的端口。数据包一旦转发完毕,虚连接即被撤销。这种方式使带宽资源得到了很好利用,提高了VLAN交换机效率。
(4)路由方式。在按IP划分的VLAN中,很容易实现路由,即将交换功能和路由功能融合在VLAN交换机中。这种方式既达到了作为VLAN控制广播风暴的最基本目的,又不需要外接路由器。但这种方式对VLAN成员之间的通信速度不是很理想。
8.VLAN交换机的互联
(1)接入链路。接入链路(Access Link)是用来将非VLAN标识的工作站或者非VLAN成员资格的VLAN设备接入一个VLAN交换机端口的一个LAN网段。它不能承载标记数据。
(2)中继链路。中继链路(Trunk Link)是只承载标记数据(即具有VLAN ID标签的数据包)的干线链路,只能支持那些理解VLAN帧格式和VLAN成员资格的VLAN设备。中继链路最通常的实现就是连接两个VLAN交换机的链路。与中继链路紧密相关的技术就是链路聚合(Trunking)技术,该技术采用VTP(VLAN Trunking Protoco1)协议,即在物理上每台VLAN交换机的多个物理端口是独立的,多条链路是平行的,采用VTP技术处理以后,逻辑上VLAN交换机的多个物理端口为一个逻辑端口,多条物理链路为一条逻辑链路。这样,VLAN交换机上使用生成树协议STP(Spanning Tree Protocol)就不会将物理上的多条平行链路构成的环路中止掉,而且,带有VLAN ID标签的数据流可以在多条链路上同时进行传输共享,实现数据流的高效快速平衡传输。
(3)混合链路。混合链路(Hybrid Link)是接入链路和中继链路混合所组成的链路,即连接VLAN-aware设备和VLAN-unaware设备的链路。这种链路可以同时承载标记数据和非标记数据。
9.VLAN的可靠性和可扩展性
(1)可靠性。VLAN的可靠性是指无论一个VLAN中的广播信息和数据是处在一个VLAN设备中,还是处在多个VLAN设备中,亦或处在具有动态VLAN成员资格的网络环境中,都能准确地转发到目的地。为了实现VLAN的可靠性,需要有下面两个协议来保证:GMRP(GroupMulticastRegistrationProtocol,组多点转发注册协议)和GVRP(GARPVLANRegistrationProtocol,通用属性注册协议VLAN注册协议)。GMRP允许组播在单个VLAN中发送而不影响其他VLAN;GVRP是GARP(GenericAttributeRegistrationProtocol)协议的一个应用,它使动态配置成为可能。
(2)可扩展性。VLAN的可扩展性是指在一个VLAN中,在一定范围内,可让多个节点VLAN交换机接进来,VLAN的成员可以逐步扩大。在拓扑结构逐步扩大后,各个VLAN节点交换机就有可能组成环路,或者两个VLAN节点交换机之间有两条或多条平行通路也可能使广播包和数据流形成环路,这时,启用STP就可以解决问题。STP可以保证VLAN进行拓扑扩展,保证两个VLAN节点交换机之间只有一条最短的有效路径。
10.VLAN发展趋势
目前在宽带网络中实现的VLAN基本上能满足广大网络用户的需求,但其网络性能、网络流量控制、网络通信优先级控制等还有待提高。前面所提到的VTP技术、STP技术,基于三层交换的VLAN技术等在VLAN使用中存在网络效率的瓶颈问题,这主要是IEEE802.1Q、IEEE802.1D协议的不完善所致,IEEE正在制定和完善IEEE802.1S(MultipleSpanningTrees)和IEEE802.1W(RapidReconfigurationofSpanningTree)来改善VLAN的性能。采用IEEE802.3z和IEEE802.3ab协议,并结合使用RISC(精简指令集计算)处理器或者网络处理器而研制的吉位VLAN交换机在网络流量等方面采取了相应的措施,大大提高了VLAN网络的性能。IEEE802.1P协议提出了COS(ClassofService)标准,这使网络通信优先级控制机制有了参考。
VLAN
划分篇
--
关于
VLAN
的几种划分
其实
VLAN
即虚拟局域网(
Virtual Local Area Network
的缩写),是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
VLAN
是为解决以太网的广播问题和
安全
性而提出的,它在以太网帧的基础上增加了
VLAN
头,用
VLAN ID
把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
VLAN 技术允许网络管理者将一个物理的 LAN 逻辑地划分成不同的广播域即 VLAN ,每一个 VLAN 都包含一组有着相同需求的计算机工作站,与物理上形成的 LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个 VLAN 内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理 LAN 网段。一个 VLAN 内部的广播和单播流量都不会转发到其他 VLAN 中,即使是两台计算机有着同样的网段,但是它们却没有相同的 VLAN 号,它们各自的广播流也不会相互转发 , 从而有助于控制流量、减少设备投资、简化网络管理、提高网络的 安全 性。
1. 根据端口来划分 VLAN
许多 VLAN 厂商都利用 交换 机的端口来划分 VLAN 成员。被设定的端口都在同一个广播域中。例如,一个 交换 机的 1 , 2 , 3 , 4 , 5 端口被定义为虚拟网 AAA ,同一交换机的 6 , 7 , 8 端口组成虚拟网 BBB 。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。
第二代端口 VLAN 技术允许跨越多个交换机的多个不同端口划分 VLAN ,不同交换机上的若干个端口可以组成同一个虚拟网。
以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分 VLAN 的方式仍然是最常用的一种方式。
2. 根据 MAC 地址划分 VLAN
这种划分 VLAN 的方法是根据每个主机的 MAC 地址来划分,即对每个 MAC 地址的主机都配置它属于哪个组。这种划分 VLAN 方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时, VLAN 不用重新配置,所以,可以认为这种根据 MAC 地址的划分方法是基于用户的 VLAN ,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个 VLAN 组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样, VLAN 就必须不停地配置。
3. 根据网络层划分 VLAN
这种划分 VLAN 的方法是根据每个主机的网络层地址或 协议 类型 ( 如果支持多 协议) 划分的,虽然这种划分方法是根据网络地址,比如 IP 地址,但它不是 路由 ,与网络层的路由毫无关系。
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的 VLAN ,而且可以根据 协议 类型来划分 VLAN ,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别 VLAN ,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的 ( 相对于前面两种方法 ) ,一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查 IP 帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
4. 根据 IP 组播划分 VLAN
IP 组播实际上也是一种 VLAN 的定义,即认为一个组播组就是一个 VLAN ,这种划分的方法将 VLAN 扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
VLAN 技术允许网络管理者将一个物理的 LAN 逻辑地划分成不同的广播域即 VLAN ,每一个 VLAN 都包含一组有着相同需求的计算机工作站,与物理上形成的 LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个 VLAN 内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理 LAN 网段。一个 VLAN 内部的广播和单播流量都不会转发到其他 VLAN 中,即使是两台计算机有着同样的网段,但是它们却没有相同的 VLAN 号,它们各自的广播流也不会相互转发 , 从而有助于控制流量、减少设备投资、简化网络管理、提高网络的 安全 性。
1. 根据端口来划分 VLAN
许多 VLAN 厂商都利用 交换 机的端口来划分 VLAN 成员。被设定的端口都在同一个广播域中。例如,一个 交换 机的 1 , 2 , 3 , 4 , 5 端口被定义为虚拟网 AAA ,同一交换机的 6 , 7 , 8 端口组成虚拟网 BBB 。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。
第二代端口 VLAN 技术允许跨越多个交换机的多个不同端口划分 VLAN ,不同交换机上的若干个端口可以组成同一个虚拟网。
以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分 VLAN 的方式仍然是最常用的一种方式。
2. 根据 MAC 地址划分 VLAN
这种划分 VLAN 的方法是根据每个主机的 MAC 地址来划分,即对每个 MAC 地址的主机都配置它属于哪个组。这种划分 VLAN 方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时, VLAN 不用重新配置,所以,可以认为这种根据 MAC 地址的划分方法是基于用户的 VLAN ,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个 VLAN 组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样, VLAN 就必须不停地配置。
3. 根据网络层划分 VLAN
这种划分 VLAN 的方法是根据每个主机的网络层地址或 协议 类型 ( 如果支持多 协议) 划分的,虽然这种划分方法是根据网络地址,比如 IP 地址,但它不是 路由 ,与网络层的路由毫无关系。
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的 VLAN ,而且可以根据 协议 类型来划分 VLAN ,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别 VLAN ,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的 ( 相对于前面两种方法 ) ,一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查 IP 帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
4. 根据 IP 组播划分 VLAN
IP 组播实际上也是一种 VLAN 的定义,即认为一个组播组就是一个 VLAN ,这种划分的方法将 VLAN 扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
VLAN
技术入门
VLAN
是英文
Virtual Local Area Network
的缩写,即虚拟局域网。一方面,
VLAN
建立在局域网
交换
机的基础之上;另一方面,
VLAN
是局域
交换
网的灵魂。这是因为通过
VLAN
用户能方便地在网络中移动和快捷地组建宽带网络,而无需改变任何硬件和通信线路。这样,网络管理员就能从逻辑上对用户和网络资源进行分配,而无需考虑物理连接方式。
VLAN
充分体现了现代网络技术的重要特征:高速、灵活、管理简便和扩展容易。是否具有
VLAN
功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。
VLAN 与普通局域网从原理上讲没有什么不同,但从用户使用和网络管理的角度来看, VLAN 与普通局域网最基本的差异体现在: VLAN 并不局限于某一网络或物理范围, VLAN 中的用户可以位于一个园区的任意位置,甚至位于不同的国家。
VLAN 具有以下优点:
控制网络的广播风暴
采用 VLAN 技术,可将某个交换端口划到某个 VLAN 中,而一个 VLAN 的广播风暴不会影响其它 VLAN 的性能。
确保网络 安全
共享式局域网之所以很难保证网络的 安全 性,是因为只要用户插入一个活动端口,就能访问网络。而 VLAN 能限制个别用户的访问,控制广播组的大小和位置,甚至能锁定某台设备的 MAC 地址,因此 VLAN 能确保网络的安全性。
简化网络管理
网络管理员能借助于 VLAN 技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络,其成员可能遍及全国或全世界,此时,网络管理员只需设置几条命令,就能在几分钟内建立该项目的 VLAN 网络,其成员使用 VLAN 网络,就像在本地使用局域网一样。 VLAN 的分类主要有以下几种:
基于端口的 VLAN
基于端口的 VLAN 是划分虚拟局域网最简单也是最有效的方法,这实际上是某些交换端口的集合,网络管理员只需要管理和配置交换端口,而不管交换端口连接什么设备。
基于 MAC 地址的 VLAN
由于只有网卡才分配有 MAC 地址,因此按 MAC 地址来划分 VLAN 实际上是将某些工作站和 服务器 划属于某个 VLAN 。事实上,该 VLAN 是一些 MAC 地址的集合。当设备移动时, VLAN 能够自动识别。网络管理需要管理和配置设备的 MAC 地址,显然当网络规模很大,设备很多时,会给管理带来难度。
基于第 3 层的 VLAN
基于第 3 层的 VLAN 是采用在 路由 器中常用的方法: IP 子网和 IPX 网络号等。其中,局域网交换机允许一个子网扩展到多个局域网交换端口,甚至允许一个端口对应于多个子网。
基于策略的 VLAN
基于策略的 VLAN 是一种比较灵活有效的 VLAN 划分方法。该方法的核心是采用什么样的策略?目前,常用的策略有(与厂商设备的支持有关):
按 MAC 地址
按 IP 地址
按以太网 协议 类型
按网络的应用等
VLAN 与普通局域网从原理上讲没有什么不同,但从用户使用和网络管理的角度来看, VLAN 与普通局域网最基本的差异体现在: VLAN 并不局限于某一网络或物理范围, VLAN 中的用户可以位于一个园区的任意位置,甚至位于不同的国家。
VLAN 具有以下优点:
控制网络的广播风暴
采用 VLAN 技术,可将某个交换端口划到某个 VLAN 中,而一个 VLAN 的广播风暴不会影响其它 VLAN 的性能。
确保网络 安全
共享式局域网之所以很难保证网络的 安全 性,是因为只要用户插入一个活动端口,就能访问网络。而 VLAN 能限制个别用户的访问,控制广播组的大小和位置,甚至能锁定某台设备的 MAC 地址,因此 VLAN 能确保网络的安全性。
简化网络管理
网络管理员能借助于 VLAN 技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络,其成员可能遍及全国或全世界,此时,网络管理员只需设置几条命令,就能在几分钟内建立该项目的 VLAN 网络,其成员使用 VLAN 网络,就像在本地使用局域网一样。 VLAN 的分类主要有以下几种:
基于端口的 VLAN
基于端口的 VLAN 是划分虚拟局域网最简单也是最有效的方法,这实际上是某些交换端口的集合,网络管理员只需要管理和配置交换端口,而不管交换端口连接什么设备。
基于 MAC 地址的 VLAN
由于只有网卡才分配有 MAC 地址,因此按 MAC 地址来划分 VLAN 实际上是将某些工作站和 服务器 划属于某个 VLAN 。事实上,该 VLAN 是一些 MAC 地址的集合。当设备移动时, VLAN 能够自动识别。网络管理需要管理和配置设备的 MAC 地址,显然当网络规模很大,设备很多时,会给管理带来难度。
基于第 3 层的 VLAN
基于第 3 层的 VLAN 是采用在 路由 器中常用的方法: IP 子网和 IPX 网络号等。其中,局域网交换机允许一个子网扩展到多个局域网交换端口,甚至允许一个端口对应于多个子网。
基于策略的 VLAN
基于策略的 VLAN 是一种比较灵活有效的 VLAN 划分方法。该方法的核心是采用什么样的策略?目前,常用的策略有(与厂商设备的支持有关):
按 MAC 地址
按 IP 地址
按以太网 协议 类型
按网络的应用等
虚拟局域网入门
(
下
)
虚拟局域网的应用
由于虚拟局域网具有比较明显的优势,在各种企业中都有了很好的应用。下面就根据不同的案例来分析虚拟局域网的应用情况。
1 、局域网内部的局域网
往往很多企业已经具有一个相当规模的局域网,但是现在企业内部因为保密或者其他原因,要求各业务部门或者课题组独立成为一个局域网,同时,各业务部门或者课题组的人员不一定是在同一个办公地点,各网络之间不允许互相访问。根据这种情况,可以有几种解决方法,但是虚拟局域网解决方法可能是最好的。为了完成上述任务,我们要做的工作是收集各部门或者课题组的人员组成、所在位置、与 交换 机连接的端口等信息。根据部门数量对 交换 机进行配置,创建虚拟局域网,设置中继,最后,在一个公用的局域网内部划分出来若干个虚拟的局域网,同时减少了局域网内的广播,提高了网络传输性能。这样的虚拟局域网可以方便地根据需要增加、改变、删除。
2 、共享访问 —— 访问共同的接入点和 服务器
在一些大型写字楼或商业建筑(酒店、展览中心等),经常存在这样的现象:大楼出租给各个单位,并且大楼内部已经构建好了局域网,提供给入驻企业或客户网络平台,并通过共同的出口访问 Internet 或者大楼内部的综合信息 服务器 。由于大楼的网络平台是统一的,使用的客户有物业管理人员、有其他不同单位的客户。在这样一个共享的网络环境下,解决不同企业或单位对网络的需求的同时,还要保证各企业间信息的独立性。这种情况下,虚拟局域网提供了很好的解决方案。大厦的系统管理员可以为入驻企业创建一个个独立的虚拟局域网,保证企业内部的互相访问和企业间信息的独立,然后利用中继技术,将提供接入服务的代理服务器或者 路由 器所对应的局域网接口配置成为中继模式,实现共享接入。这种配置方式还有一个好处,可以根据需要设置中继的访问许可,灵活地允许或者拒绝某个虚拟局域网的访问。
3 、交叠虚拟局域网
交叠虚拟局域网是在基于端口划分虚拟局域网的基础上提出来的,最早的交换机每一个端口只能同时属于一个虚拟局域网,交叠虚拟局域网允许一个交换机端口同时属于多个虚拟局域网。这种技术可以解决一些突发性的、临时性的虚拟局域网划分。比如在一个科研机构,已经划分了若干个虚拟局域网,但是因为某个科研任务,从各个虚拟局域网里面抽调出来技术人员临时组成课题组,要求课题组内部通信自如,同时各科研人员还要保持和原来的虚拟局域网进行信息交流。如果采用路由和访问列表控制技术,成本会较大,同时会降低网络性能。交叠技术的出现,为这一问题提供了廉价的解决方法;只需要将要加入课题组的人员所对应的交换机端口设置成为支持多个虚拟局域网,然后创建一个新虚拟局域网,将所有人员划分到新虚拟局域网,保持各人员原来所属虚拟局域网不变即可。
图 4
以上简单的介绍了虚拟局域网的主要技术和一些实际应用,希望会给读者带来有益的帮助。随着现代交换技术的发展而出现,并将随着网络的应用得到普及,虚拟局域网将成为众多网络设计、规划和管理人员欢迎和使用的技术。
由于虚拟局域网具有比较明显的优势,在各种企业中都有了很好的应用。下面就根据不同的案例来分析虚拟局域网的应用情况。
1 、局域网内部的局域网
往往很多企业已经具有一个相当规模的局域网,但是现在企业内部因为保密或者其他原因,要求各业务部门或者课题组独立成为一个局域网,同时,各业务部门或者课题组的人员不一定是在同一个办公地点,各网络之间不允许互相访问。根据这种情况,可以有几种解决方法,但是虚拟局域网解决方法可能是最好的。为了完成上述任务,我们要做的工作是收集各部门或者课题组的人员组成、所在位置、与 交换 机连接的端口等信息。根据部门数量对 交换 机进行配置,创建虚拟局域网,设置中继,最后,在一个公用的局域网内部划分出来若干个虚拟的局域网,同时减少了局域网内的广播,提高了网络传输性能。这样的虚拟局域网可以方便地根据需要增加、改变、删除。
2 、共享访问 —— 访问共同的接入点和 服务器
在一些大型写字楼或商业建筑(酒店、展览中心等),经常存在这样的现象:大楼出租给各个单位,并且大楼内部已经构建好了局域网,提供给入驻企业或客户网络平台,并通过共同的出口访问 Internet 或者大楼内部的综合信息 服务器 。由于大楼的网络平台是统一的,使用的客户有物业管理人员、有其他不同单位的客户。在这样一个共享的网络环境下,解决不同企业或单位对网络的需求的同时,还要保证各企业间信息的独立性。这种情况下,虚拟局域网提供了很好的解决方案。大厦的系统管理员可以为入驻企业创建一个个独立的虚拟局域网,保证企业内部的互相访问和企业间信息的独立,然后利用中继技术,将提供接入服务的代理服务器或者 路由 器所对应的局域网接口配置成为中继模式,实现共享接入。这种配置方式还有一个好处,可以根据需要设置中继的访问许可,灵活地允许或者拒绝某个虚拟局域网的访问。
3 、交叠虚拟局域网
交叠虚拟局域网是在基于端口划分虚拟局域网的基础上提出来的,最早的交换机每一个端口只能同时属于一个虚拟局域网,交叠虚拟局域网允许一个交换机端口同时属于多个虚拟局域网。这种技术可以解决一些突发性的、临时性的虚拟局域网划分。比如在一个科研机构,已经划分了若干个虚拟局域网,但是因为某个科研任务,从各个虚拟局域网里面抽调出来技术人员临时组成课题组,要求课题组内部通信自如,同时各科研人员还要保持和原来的虚拟局域网进行信息交流。如果采用路由和访问列表控制技术,成本会较大,同时会降低网络性能。交叠技术的出现,为这一问题提供了廉价的解决方法;只需要将要加入课题组的人员所对应的交换机端口设置成为支持多个虚拟局域网,然后创建一个新虚拟局域网,将所有人员划分到新虚拟局域网,保持各人员原来所属虚拟局域网不变即可。
图 4
以上简单的介绍了虚拟局域网的主要技术和一些实际应用,希望会给读者带来有益的帮助。随着现代交换技术的发展而出现,并将随着网络的应用得到普及,虚拟局域网将成为众多网络设计、规划和管理人员欢迎和使用的技术。
为什么需要
VLAN
顾名思义,远程访问技术首先解决的问题就是地域的局限。用户不再需要处于企业局域网络平台覆盖范围之内,通过局域网接入方式来访问企业网络应用服务。此外,远程访问技术解决的另一个问题是灵活性,不论用户身在何处——在家中,亦或在另一个城市出差,均能够利用远程访问技术接入到企业内部网络平台。
正因为要实现这些目标,远程访问技术必须要使用公共传输媒介。换句话说,企业私有网络平台是无法实现该功能的,尽管目前有某些网络技术可以突破局域网覆盖范围,使传输距离达到数公里甚至数十公里。姑且不谈其建设成本问题,仅仅灵活性一项要求便是私有网络无法满足的。
各种接入层出不穷
由于上述原因,远程访问技术长期以来一直使用一种最为普通、随处可得的传输媒介——PSTN(公用电话网)。利用Modem模拟拨号技术来实现远程连接。利用PSTN进行远程接入,用户只要利用一条电话线和普通的Modem,对于用户来说,一次性投入很小。当然,如果用户想同时获得数据服务和模拟的电话传真服务,就不得不再申请一个号码,因为在这种通讯方式下,数据和模拟通讯均要求独占一个信道。而企业需在局域网边缘设置远程访问接入设备,并配备一定数量的语音中继线路,供远程访问用户拨入。
尽管经历了若干年的发展,PSTN远程拨号接入方式对于大量的远程访问用户来说,只是一种无奈的选择。始终存在的带宽不足、接入速度慢、服务质量差等问题,严重阻碍了远程网络应用的发展。用户的抱怨在与日俱增,远程用户们需要的是快速而又优质的接入方式。尤其随着近年来层出不穷的新兴的网络应用,对网络带宽的要求和对延迟的敏感性越来越高。最高速率为56kbps的PSTN拨号接入方式,已远远无法满足今天的应用需求。
因此,又出现了一些接入技术。从利用电话线作为传输介质的xDSL,到依靠有线电视电缆的Cable Modem,直到城域网Ethernet接入,各种新技术层出不穷,更新换代极快。
xDSL
宽带接入包括ADSL、CDSL、HDSL、IDSL、UDSL等,典型的是ADSL,即不对称数字用户线。ADSL被认为将是一种在21世纪有广阔应用前景的接入技术之一,将代替传统Modem模拟接入方式,成为家庭和小型商务应用的主流接入技术。
Cable Modem
即电缆调制解调器,是在有线电视电缆上将数据进行调制,然后在有线网的某个频率范围内进行传输、接收一方再在同一频率范围内对该已调制的信号进行解调,解析出数据,传递给接收方。其在物理层上的传输机制与电话线上的调制解调器无异,同样也是通过调频或调幅对数据编码。由于有线电视网具有四通八达、共享介质、线路质量较好及多频率带宽的优势,使得通过有线电视网访问Internet成为下一世纪接入技术的发展方向之一。
随着目前城域网建设及信息化小区的普遍推广,以太网作为最成熟、最经济的网络技术在城域网接入这一领域获得广泛使用。凭借其带宽的优势和在服务质量及安全性方面的突破,以太网技术在带宽接入领域具有极强的竞争力。
上述宽带接入技术目前均广泛运用于Internet接入,但是由于其对各自传输介质的依赖性而不能直接运用于企业网远程访问。举例来说,如欲使用ADSL技术实现企业网远程访问,企业必须自己提供端到端电话线路来接入远程用户,而无法使用PSTN公共电话网。这已经完全丧失了远程访问的意义。
×××
适宜远程接入
那么企业网远程访问到底能否利用上述的宽带接入技术呢?答案是肯定的。解决方案就是利用Internet作为传输载体,采用×××技术,实现企业网宽带远程访问。该方案将具有如下主要优点:
高度灵活性
用户不论在家中、在出差途中,或是在其它任何环境中,只要该用户能够接入Internet,便能够安全地接入企业网内部。既不受地域限制,也不受接入方式限制。
高带宽
用户可以选择使用本地服务供应商所能够提供的任何宽带接入技术,不论是ADSL、Cable Modem,还是在信息化小区或酒店中使用以太网接入。
高安全性
所有的流量均经过加密和压缩后在网络中传输,为用户信息提供了最高的安全性保证。今天的加密技术已经发展到即便使用最先进的计算机,也需要花费超过一个世纪的时间才能将其解密。因此,即便您的数据信息在传输过程中存在被窃取的可能,您也完全不必担心企业内部机密会泄露。
转载于:https://blog.51cto.com/gerfalke/804383
423
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
