虚拟局域网
(VLAN)
,是指网络中的站点不拘泥于所处的物理位置,而可以根据需要灵活地加入不同的逻辑子网中的一种网络技术。
基于交换式以太网的虚拟局域网在交换式以太网中,利用 VLAN 技术,可以将由交换机连接成的物理网络划分成多个逻辑子网。也就是说,一个虚拟局域网中的站点所发送的广播数据包将仅转发至属于同一 VLAN 的站点。
在交换式以太网中,各站点可以分别属于不同的虚拟局域网。构成虚拟局域网的站点不拘泥于所处的物理位置,它们既可以挂接在同一个交换机中,也可以挂接在不同的交换机中。虚拟局域网技术使得网络的拓扑结构变得非常灵活,例如位于不同楼层的用户或者不同部门的用户可以根据需要加入不同的虚拟局域网。
划分虚拟局域网主要出于三种考虑:
第一是基于网络性能的考虑。对于大型网络,现在常用的 Windows NetBEUI 是广播协议,当网络规模很大时,网上的广播信息会很多,会使网络性能恶化,甚至形成广播风暴,引起网络堵塞。那怎么办呢 ? 可以通过划分很多虚拟局域网而减少整个网络范围内广播包的传输,因为广播信息是不会跨过 VLAN 的,可以把广播限制在各个虚拟网的范围内,用术语讲就是缩小了广播域,提高了网络的传输效率,从而提高网络性能。
第二是基于安全性的考虑。因为各虚拟网之间不能直接进行通讯,而必须通过路由器转发,为高级的安全控制提供了可能,增强了网络的安全性。在大规模的网络,比如说大的集团公司,有财务部、采购部和客户部等,它们之间的数据是保密的,相互之间只能提供接口数据,其它数据是保密的。我们可以通过划分虚拟局域网对不同部门进行隔离。
第三是基于组织结构上考虑。同一部门的人员分散在不同的物理地点,比如集团公司的财务部在各子公司均有分部,但都属于财务部管理,虽然这些数据都是要保密的,但需统一结算时,就可以跨地域 ( 也就是跨交换机 ) 将其设在同一虚拟局域网之中,实现数据安全和共享。采用虚拟局域网有如下优势:抑制网络上的广播风暴;增加网络的安全性;集中化的管理控制。
基于交换式的以太网要实现虚拟局域网主要有三种途径:基于端口的虚拟局域网、基于 MAC 地址 ( 网卡的硬件地址 ) 的虚拟局域网和基于 IP 地址的虚拟局域网。
(1) 基于端口的虚拟局域网
基于端口的虚拟局域网是最实用的虚拟局域网,它保持了最普通常用的虚拟局域网成员定义方法,配置也相当直观简单,就局域网中的站点具有相同的网络地址,不同的虚拟局域网之间进行通信需要通过路由器。采用这种方式的虚拟局域网其不足之处是灵活性不好。例如,当一个网络站点从一个端口移动到另外一个新的端口时,如果新端口与旧端口不属于同一个虚拟局域网,则用户必须对该站点重新进行网络地址配置,否则,该站点将无法进行网络通信。在基于端口的虚拟局域网中,每个交换端口可以属于一个或多个虚拟局域网组,比较适用于连接服务器。
(2) 基于 MAC 地址的虚拟局域网
在基于 MAC 地址的虚拟局域网中,交换机对站点的 MAC 地址和交换机端口进行跟踪,在新站点入网时根据需要将其划归至某一个虚拟局域网,而无论该站点在网络中怎样移动,由于其 MAC 地址保持不变,因此用户不需要进行网络地址的重新配置。这种虚拟局域网技术的不足之处是在站点入网时,需要对交换机进行比较复杂的手工配置,以确定该站点属于哪一个虚拟局域网。
(3) 基于 IP 地址的虚拟局域网
在基于 IP 地址的虚拟局域网中,新站点在入网时无需进行太多配置,交换机则根据各站点网络地址自动将其划分成不同的虚拟局域网。在三种虚拟局域网的实现技术中,基于 IP 地址的虚拟局域网智能化程度最高,实现起来也最复杂。 VLAN
(4). 根据 IP 组播划分 VLAN
IP 组播实际上也是一种 VLAN 的定义,即认为一个组播组就是一个 VLAN ,这种划分的方法将 VLAN 扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
(5). 基于规则的 VLAN
也称为基于策略的 VLAN 。这是最灵活的 VLAN 划分方法,具有自动配置的能力,能够把相关的用户连成一体,在逻辑划分上称为 “ 关系网络 ” 。网络管理员只需在网管软件中确定划分 VLAN 的规则(或属性),那么当一个站点加入网络中时,将会被 “ 感知 ” ,并被自己地包含进正确的 VLAN 中。同时,对站点的移动和改变也可自动识别和跟踪。
采用这种方法,整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的 VLAN ,这在交换机与共享式 Hub 共存的环境中显得尤为重要。自动配置 VLAN 时,交换机中软件自动检查进入交换机端口的广播信息的 IP 源地址,然后软件自动将这个端口分配给一个由 IP 子网映射成的 VLAN 。
* 以上划分 VLAN 的方式中,基于端口的 VLAN 端口方式建立在物理层上; MAC 方式建立在数据链路层上;网络层和 IP 广播方式建立在第三层上。
使用 VLAN 优点
使用 VLAN 具有以下优点:
1 、控制广播风暴
一个 VLAN 就是一个逻辑广播域,通过对 VLAN 的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。
2 、提高网络整体安全性
通过路由访问列表和 MAC 地址分配等 VLAN 划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同 VLAN ,从而提高交换式网络的整体性能和安全性。
3 、网络管理简单、直观
对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用 VLAN 技术的网络来说,一个 VLAN 可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中, VLAN 提供了网段和机构的弹性组合机制。
三层交换技术
传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了 VLAN 以后的网络中,逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上,不同 VLAN 之间的通信数据量是很大的,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量的不断增大,路由器将不堪重负,路由器将成为整个网络运行的瓶颈。
在这种情况下,出现了第三层交换技术,它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后,会产生一个 MAC 地址与 IP 地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。
在以三层交换机为核心的千兆网络中,为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性,可采用 VLAN 技术进行虚拟网络划分。 VLAN 子网隔离了广播风暴,对一些重要部门实施了安全保护;且当某一部门物理位置发生变化时,只需对交换机进行设置,就可以实现网络的重组,非常方便、快捷,同时节约了成本。
交换机充当的角色
交换机的好处在于其可以隔离冲突域,每个端口就是一个冲突域,因此在一个端口单独接计算机的时候,该计算机是不会与其它计算机产生冲突的,也就是带宽是独享的,交换机能做到这一点关键在于其内部的总线带宽是足够大的,可以满足所有端口的全双工状态下的带宽需求,并且通过类似电话交换机的机制保护不同的数据包能够到达目的地,可以把 HUB 和交换机比喻成单排街道与高速公路。
IP 广播是属于 OSI 的第三层,是基于 TCP/IP 协议的,其产生和原理这里就不多讲了,大家可以看看 TCP/IP 协议方面的书籍。交换机是无法隔离广播的,就像 HUB 无法隔离冲突域一样,因为其是工作在 OSI 第二层的,无法分析 IP 包,但我们可以使用路由器来隔离广播域,路由器的每个端口可以看成是一个广播域,一个端口的广播无法传到另外一个端口(特殊设置除外),因此在规模较大,机器较多的情况下我们可以使用路由器来隔离广播。
下面开始归入正题。
通常,只有通过划分子网才可以隔离广播,但是 VLAN 的出现打破了这个定律,用二层的东西解决三层的问题很是奇怪,但是的确做到了。 VLAN 中文叫做虚拟局域网,它的作用就是将物理上互连的网络在逻辑上划分为多个互不相干的网络,这些网络之间是无法通讯的,就好像互相之间没有连接一样,因此广播也就隔离开了。
VLAN 的实现原理非常简单,通过交换机的控制,某一 VLAN 成员发出的数据包交换机只发个同一 VLAN 的其它成员,而不会发给该 VLAN 成员以外的计算机。
使用 VLAN 的目的不仅仅是隔离广播,还有安全和管理等方面的应用,例如将重要部门与其它部门通过 VLAN 隔离,即使同在一个网络也可以保证他们不能互相通讯,确保重要部门的数据安全;也可以按照不同的部门、人员,位置划分 VLAN ,分别赋给不同的权限来进行管理。
VLAN 的划分有很多种,我们可以按照 IP 地址来划分,按照端口来划分、按照 MAC 地址划分或者按照协议来划分,常用的划分方法是将端口和 IP 地址结合来划分 VLAN ,某几个端口为一个 VLAN ,并为该 VLAN 配置 IP 地址,那么该 VLAN 中的计算机就以这个地址为网关,其它 VLAN 则不能与该 VLAN 处于同一子网。
如果两台交换机都有同一 VLAN 的计算机,怎么办呢,我们可以通过 VLAN Trunk 来解决。
如果交换机 1 的 VLAN1 中的机器要访问交换机 2 的 VLAN1 中的机器,我们可以把两台交换机的级联端口设置为 Trunk 端口,这样,当交换机把数据包从级联口发出去的时候,会在数据包中做一个标记( TAG ),以使其它交换机识别该数据包属于哪一个 VLAN ,这样,其它交换机收到这样一个数据包后,只会将该数据包转发到标记中指定的 VLAN ,从而完成了跨越交换机的 VLAN 内部数据传输。 VLAN Trunk 目前有两种标准, ISL 和 802.1q ,前者是 Cisco 专有技术,后者则是 IEEE 的国际标准,除了 Cisco 两者都支持外,其它厂商都只支持后者。
基于交换式以太网的虚拟局域网在交换式以太网中,利用 VLAN 技术,可以将由交换机连接成的物理网络划分成多个逻辑子网。也就是说,一个虚拟局域网中的站点所发送的广播数据包将仅转发至属于同一 VLAN 的站点。
在交换式以太网中,各站点可以分别属于不同的虚拟局域网。构成虚拟局域网的站点不拘泥于所处的物理位置,它们既可以挂接在同一个交换机中,也可以挂接在不同的交换机中。虚拟局域网技术使得网络的拓扑结构变得非常灵活,例如位于不同楼层的用户或者不同部门的用户可以根据需要加入不同的虚拟局域网。
划分虚拟局域网主要出于三种考虑:
第一是基于网络性能的考虑。对于大型网络,现在常用的 Windows NetBEUI 是广播协议,当网络规模很大时,网上的广播信息会很多,会使网络性能恶化,甚至形成广播风暴,引起网络堵塞。那怎么办呢 ? 可以通过划分很多虚拟局域网而减少整个网络范围内广播包的传输,因为广播信息是不会跨过 VLAN 的,可以把广播限制在各个虚拟网的范围内,用术语讲就是缩小了广播域,提高了网络的传输效率,从而提高网络性能。
第二是基于安全性的考虑。因为各虚拟网之间不能直接进行通讯,而必须通过路由器转发,为高级的安全控制提供了可能,增强了网络的安全性。在大规模的网络,比如说大的集团公司,有财务部、采购部和客户部等,它们之间的数据是保密的,相互之间只能提供接口数据,其它数据是保密的。我们可以通过划分虚拟局域网对不同部门进行隔离。
第三是基于组织结构上考虑。同一部门的人员分散在不同的物理地点,比如集团公司的财务部在各子公司均有分部,但都属于财务部管理,虽然这些数据都是要保密的,但需统一结算时,就可以跨地域 ( 也就是跨交换机 ) 将其设在同一虚拟局域网之中,实现数据安全和共享。采用虚拟局域网有如下优势:抑制网络上的广播风暴;增加网络的安全性;集中化的管理控制。
基于交换式的以太网要实现虚拟局域网主要有三种途径:基于端口的虚拟局域网、基于 MAC 地址 ( 网卡的硬件地址 ) 的虚拟局域网和基于 IP 地址的虚拟局域网。
(1) 基于端口的虚拟局域网
基于端口的虚拟局域网是最实用的虚拟局域网,它保持了最普通常用的虚拟局域网成员定义方法,配置也相当直观简单,就局域网中的站点具有相同的网络地址,不同的虚拟局域网之间进行通信需要通过路由器。采用这种方式的虚拟局域网其不足之处是灵活性不好。例如,当一个网络站点从一个端口移动到另外一个新的端口时,如果新端口与旧端口不属于同一个虚拟局域网,则用户必须对该站点重新进行网络地址配置,否则,该站点将无法进行网络通信。在基于端口的虚拟局域网中,每个交换端口可以属于一个或多个虚拟局域网组,比较适用于连接服务器。
(2) 基于 MAC 地址的虚拟局域网
在基于 MAC 地址的虚拟局域网中,交换机对站点的 MAC 地址和交换机端口进行跟踪,在新站点入网时根据需要将其划归至某一个虚拟局域网,而无论该站点在网络中怎样移动,由于其 MAC 地址保持不变,因此用户不需要进行网络地址的重新配置。这种虚拟局域网技术的不足之处是在站点入网时,需要对交换机进行比较复杂的手工配置,以确定该站点属于哪一个虚拟局域网。
(3) 基于 IP 地址的虚拟局域网
在基于 IP 地址的虚拟局域网中,新站点在入网时无需进行太多配置,交换机则根据各站点网络地址自动将其划分成不同的虚拟局域网。在三种虚拟局域网的实现技术中,基于 IP 地址的虚拟局域网智能化程度最高,实现起来也最复杂。 VLAN
(4). 根据 IP 组播划分 VLAN
IP 组播实际上也是一种 VLAN 的定义,即认为一个组播组就是一个 VLAN ,这种划分的方法将 VLAN 扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
(5). 基于规则的 VLAN
也称为基于策略的 VLAN 。这是最灵活的 VLAN 划分方法,具有自动配置的能力,能够把相关的用户连成一体,在逻辑划分上称为 “ 关系网络 ” 。网络管理员只需在网管软件中确定划分 VLAN 的规则(或属性),那么当一个站点加入网络中时,将会被 “ 感知 ” ,并被自己地包含进正确的 VLAN 中。同时,对站点的移动和改变也可自动识别和跟踪。
采用这种方法,整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的 VLAN ,这在交换机与共享式 Hub 共存的环境中显得尤为重要。自动配置 VLAN 时,交换机中软件自动检查进入交换机端口的广播信息的 IP 源地址,然后软件自动将这个端口分配给一个由 IP 子网映射成的 VLAN 。
* 以上划分 VLAN 的方式中,基于端口的 VLAN 端口方式建立在物理层上; MAC 方式建立在数据链路层上;网络层和 IP 广播方式建立在第三层上。
使用 VLAN 优点
使用 VLAN 具有以下优点:
1 、控制广播风暴
一个 VLAN 就是一个逻辑广播域,通过对 VLAN 的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。
2 、提高网络整体安全性
通过路由访问列表和 MAC 地址分配等 VLAN 划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同 VLAN ,从而提高交换式网络的整体性能和安全性。
3 、网络管理简单、直观
对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用 VLAN 技术的网络来说,一个 VLAN 可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中, VLAN 提供了网段和机构的弹性组合机制。
三层交换技术
传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了 VLAN 以后的网络中,逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上,不同 VLAN 之间的通信数据量是很大的,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量的不断增大,路由器将不堪重负,路由器将成为整个网络运行的瓶颈。
在这种情况下,出现了第三层交换技术,它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后,会产生一个 MAC 地址与 IP 地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。
在以三层交换机为核心的千兆网络中,为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性,可采用 VLAN 技术进行虚拟网络划分。 VLAN 子网隔离了广播风暴,对一些重要部门实施了安全保护;且当某一部门物理位置发生变化时,只需对交换机进行设置,就可以实现网络的重组,非常方便、快捷,同时节约了成本。
交换机充当的角色
交换机的好处在于其可以隔离冲突域,每个端口就是一个冲突域,因此在一个端口单独接计算机的时候,该计算机是不会与其它计算机产生冲突的,也就是带宽是独享的,交换机能做到这一点关键在于其内部的总线带宽是足够大的,可以满足所有端口的全双工状态下的带宽需求,并且通过类似电话交换机的机制保护不同的数据包能够到达目的地,可以把 HUB 和交换机比喻成单排街道与高速公路。
IP 广播是属于 OSI 的第三层,是基于 TCP/IP 协议的,其产生和原理这里就不多讲了,大家可以看看 TCP/IP 协议方面的书籍。交换机是无法隔离广播的,就像 HUB 无法隔离冲突域一样,因为其是工作在 OSI 第二层的,无法分析 IP 包,但我们可以使用路由器来隔离广播域,路由器的每个端口可以看成是一个广播域,一个端口的广播无法传到另外一个端口(特殊设置除外),因此在规模较大,机器较多的情况下我们可以使用路由器来隔离广播。
下面开始归入正题。
通常,只有通过划分子网才可以隔离广播,但是 VLAN 的出现打破了这个定律,用二层的东西解决三层的问题很是奇怪,但是的确做到了。 VLAN 中文叫做虚拟局域网,它的作用就是将物理上互连的网络在逻辑上划分为多个互不相干的网络,这些网络之间是无法通讯的,就好像互相之间没有连接一样,因此广播也就隔离开了。
VLAN 的实现原理非常简单,通过交换机的控制,某一 VLAN 成员发出的数据包交换机只发个同一 VLAN 的其它成员,而不会发给该 VLAN 成员以外的计算机。
使用 VLAN 的目的不仅仅是隔离广播,还有安全和管理等方面的应用,例如将重要部门与其它部门通过 VLAN 隔离,即使同在一个网络也可以保证他们不能互相通讯,确保重要部门的数据安全;也可以按照不同的部门、人员,位置划分 VLAN ,分别赋给不同的权限来进行管理。
VLAN 的划分有很多种,我们可以按照 IP 地址来划分,按照端口来划分、按照 MAC 地址划分或者按照协议来划分,常用的划分方法是将端口和 IP 地址结合来划分 VLAN ,某几个端口为一个 VLAN ,并为该 VLAN 配置 IP 地址,那么该 VLAN 中的计算机就以这个地址为网关,其它 VLAN 则不能与该 VLAN 处于同一子网。
如果两台交换机都有同一 VLAN 的计算机,怎么办呢,我们可以通过 VLAN Trunk 来解决。
如果交换机 1 的 VLAN1 中的机器要访问交换机 2 的 VLAN1 中的机器,我们可以把两台交换机的级联端口设置为 Trunk 端口,这样,当交换机把数据包从级联口发出去的时候,会在数据包中做一个标记( TAG ),以使其它交换机识别该数据包属于哪一个 VLAN ,这样,其它交换机收到这样一个数据包后,只会将该数据包转发到标记中指定的 VLAN ,从而完成了跨越交换机的 VLAN 内部数据传输。 VLAN Trunk 目前有两种标准, ISL 和 802.1q ,前者是 Cisco 专有技术,后者则是 IEEE 的国际标准,除了 Cisco 两者都支持外,其它厂商都只支持后者。
561
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
