简介
IEEE于1999年颁布了用于标准化V
LAN实现方案的802.1Q协议
标准草案。
VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户
逻辑地划分成不同的
广播域,每一个VLAN都包含一组有着相同需求的
计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN
网段。由VLAN的特点可知,一个VLAN内部的广播和
单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少
设备投资、简化网络管理、提高网络的安全性。
交换技术的发展,也加快了新的交换技术(VLAN)的应用速度。通过将企业网络划分为
虚拟网络VLAN
网段,可以强化
网络管理和
网络安全,控制不必要的
数据广播。在共享网络中,一个物理的
网段就是一个
广播域。而在交换网络中,
广播域可以是有一组任意选定的第二层
网络地址(
MAC地址)组成的
虚拟网段。这样,网络中工作组的划分可以突破共享网络中的地理位置限制,而完全根据
管理功能来划分。这种基于
工作流的分组模式,大大提高了
网络规划和重组的管理功能。在同一个VLAN中的工作站,不论它们实际与哪个交换机连接,它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到,而不会传输到其他的VLAN中去,这样可以很好的控制不必要的
广播风暴的产生。同时,若没有路由的话,不同VLAN之间不能相互通讯,这样增加了企业网络中不同部门之间的安全性。
网络管理员可以通过配置VLAN之间的路由来
全面管理企业内部不同
管理单元之间的信息互访。交换机是根据工作站的MAC地址来划分VLAN的。所以,用户可以自由的在企业网络中
移动办公,不论他在何处接入交换网络,他都可以与VLAN内其他用户自由通讯。
VLAN网络可以是有混合的
网络类型设备组成,比如:10M
以太网、100M以太网、
令牌网、
FDDI、
CDDI等等,可以是工作站、服务器、
集线器、网络上行主干等。
VLAN除了能将网络划分为多个
广播域,从而有效地控制
广播风暴的发生,以及使网络的
拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。
物理位置不同的多个主机如果划分属于同一个VLAN,则这些主机之间可以相互通信。物理位置相同的多个主机如果属于不同的VLAN,则这些主机之间不能直接通信。VLAN通常在交换机或路由器上实现,在以太网帧中增加VLAN标签来给以太网帧分类,具有相同VLAN标签的以太网帧在同一个广播域中传送。
VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用
VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成
虚拟工作组,
动态管理网络。
虚拟局域网的目的
VLAN(Virtual Local Area Network,虚拟
局域网)的目的非常的多。通过认识VLAN的本质,将可以了解到其用处究竟在哪些地方。
1、要知道192.168.1.2/30和192.168.2.6/30都属于不同的
网段,都必须要通过路由器才能进行访问,凡是不同网段间要互相访问,都必须通过路由器。
2、VLAN本质就是指一个
网段,之所以叫做虚拟的局域网,是因为它是在虚拟的路由器的接口下创建的网段。
下面,给予说明。比如一个路由器只有一个用于终端连接的端口(当然这种情况基本
不可能发生,只不过简化举例),这个端口被分配了192.168.1.1/24的地址。然而由于公司有两个部门,一个
销售部,一个
企划部,每个部门要求单独成为一个子网,有单独的服务器。那么当然可以划分为192.168.1.0--127/25、192.168.1.128--255/25。但是路由器的物理端口只应该可以分配一个IP地址,那怎样来区分不同
网段了?这就可以在这个物理端口下,创建两个子接口---
逻辑接口实现。
比如
逻辑接口F0/0.1就分配IP地址192.168.1.1/25,用于销售部,而F0/0.2就分配IP地址192.168.1.129/25,用于企划部。这样就等于用一个物理端口却实现了两个
逻辑接口的功能,这样就将原本只能划分一个
网段的情形,扩展到了可以划分2个或者更多个网段的情形。这些
网段因为是在
逻辑接口下创建的,所以称之为虚拟局域网VLAN。这是在路由器的层次上阐述了VLAN的目的。
3、将在交换机的层次上阐述VLAN的目的。
在现实中,由于很多原因必须划分出不同
网段。比如就简单的只有销售部和企划部两个
网段。那么可以简单的将销售部全部接入一个交换机,然后
接入路由器的一个端口,把企划部全部接入一个交换机,然后接入一个路由器端口。这种情况是LAN。然而正如上面所说,如果路由器就一个用于终端的接口,那么这两个交换机就必须接入这同一个路由器的接口,这个时候,如果还想保持原来的
网段的划分,那么就必须使用路由器的
子接口,创建VLAN。
同样,比如两个交换机,如果你想要每个交换机上的端口都分别属于不同的
网段,那么你有几个网段,就提供几个路由器的接口,这个时候,虽然在路由器的
物理接口上可以定义这个接口可以连接哪个网段,但是在交换机的层次上,它并不能区分哪个端口属于哪个网段,那么唯一实现能区分的方法,就是划分VLAN,使用了VLAN就能区分出某个交换机端口的终端是属于哪个网段的。
综上,当一个交换机上的所有端口中有至少一个端口属于不同
网段的时候,当路由器的一个物理端口要连接2个或者以上的网段的时候,就是VLAN发挥作用的时候,这就是VLAN的目的。
优势
广播风暴防范
限制网络上的广播,将网络划分为多个VLAN可减少参与
广播风暴的设备数量。VLAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制,防止
交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋予某一个特定的VLAN组,该VLAN组可以在一个交换网中或
跨接多个交换机,在一个VLAN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
安全
增强局域网的安全性’含有
敏感数据的
用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其他VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或
三层交换机等三层设备。
成本降低
成本高昂的网络升级需求减少,现有带宽和
上行链路的
利用率更高,因而可节约成本。
性能提高
将第二层
平面网络划分为多个逻辑工作组(
广播域)可以减少网络上不必要的流量并提高性能。
提高人员工作效率
VLAN为
网络管理带来了方便,因为有相似网络需求的用户将共享同一个VLAN。
简化项目管理或应用管理
VLAN将用户和
网络设备聚合到一起,以支持商业需求或地域上的需求。通过职能划分,
项目管理或特殊应用的处理都变得十分方便,例如可以轻松管理教师的电子教学
开发平台。此外,也很容易确定升级
网络服务的影响范围。
增加了网络连接的灵活性
借助
VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的
网络环境,就像使用本地VLAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站
地理位置的
管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。
组建条件
路由和访问控制列表实现VLAN间访问控制
VLAN是建立在物理网络基础上的一种逻辑
子网,因此建立VLAN需要相应的支持VLAN技术的
网络设备。当网络中的不同VLAN间进行相互通信时,可以采用路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用
三层交换机来完成。
采用VLAN技术本身来构造访问控制
VLAN技术本身是
以太网技术、其本身可以支持直接采用VLAN构造访问控制,并不需要借用路由,就可以实现完整的以太网网络的VLAN逻辑拓扑和VLAN间
访问控制的设计,使得IT系统可以运行在其专用虚拟局域网上,实现IT系统的可靠隔离,同时,实现IT系统的安全的
访问控制。
划分依据
按端口划分VLAN
许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个
广播域中。例如,一个交换机的1,2,3,4,5端口被定义为
虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将
虚拟网限制在了一台交换机上。
第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个
虚拟网。
以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。
按MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的
MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的
划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制
广播包了。另外,对于使用
笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停地配置。
按网络层划分
这种划分VLAN的方法是根据每个主机的
网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据
网络地址,比如
IP地址,但它不是路由,与
网络层的路由毫无关系。
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对
网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个
数据包的
网络层地址是需要消耗
处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的
以太网帧头,但要让芯片能检查
IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
按IP组播划分
IP组播实际上也是一种VLAN的定义,即认为一个
组播组就是一个VLAN,这种划分的方法将VLAN扩大到了
广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
基于规则的VLAN
也称为基于策略的VLAN。这是最灵活的VLAN划分方法,具有自动配置的能力,能够把相关的用户连成一体,在
逻辑划分上称为“关系网络”。
网络管理员只需在网管软件中确定划分VLAN的规则(或属性),那么当一个站点加入网络中时,将会被“感知”,并被自动地包含进正确的VLAN中。同时,对站点的移动和改变也可
自动识别和跟踪。
采用这种方法,整个网络可以非常方便地通过路由器扩展
网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN,这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时,交换机中软件自动检查进入交换机端口的广播信息的IP源地址,然后软件自动将这个端口分配给一个由
IP子网映射成的VLAN。
按用户定义、非用户授权划分
基于用户定义、非用户授权来划分VLAN,是指为了适应特别的VLAN网络,根据具体的
网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可以加入一个VLAN。
以上划分VLAN的方式中,基于端口的VLAN端口方式建立在
物理层上;MAC方式建立在
数据链路层上;网络层和IP广播方式建立在第三层上。
虚拟局域网标准
(1) IEEE 802.1Q
IEEE 802. 1Q是IEEE 802委员会制定的VLAN标准。是否支持IEEE 802. 1Q标准,是衡量LAN交换机的重要指标之一。目前,新一代的LAN交换机都支持IEEE 802. 1Q,而较早的设备则不支持。
ISL(Inter Switch Link)协议是由Cisco开发的,它支持实现跨多个交换机的VLAN。该协议使用10bit
寻址技术,
数据包只传送到那些具有相同10bit地址的交换机和链路上,由此来进行逻辑分组,控制交换机和路由器之间广播和传输的流量。
VLAN之间的通信
尽管大约有80%的
通信流量发生在VLAN内,但仍然有大约20%的通信流量要跨越不同的VLAN。目前,解决VLAN之间的通信主要采用
路由器技术。
VLAN之间通信一般采用两种
路由策略,即集中式路由和分布式路由,或由VLAN本身的
访问控制技术。
(1)集中式路由
集中式路由策略是指所有VLAN都通过一个
中心路由器实现互联。对于同一交换机(一般指
二层交换机)上的两个端口,如果它们属于两个不同的VLAN,尽管它们在同一交换机上,在
数据交换时也要通过中心路由器来选择路由。
这种方式的优点是简单明了,逻辑清晰。缺点是由于路由器的转发速度受限,会加大网络
时延,容易发生拥塞现象。因此,这就要求中心路由器提供很高的处理能力和容错特性。
(2)分布式路由
分布式路由策略是将
路由选择功能适当地分布在带有路由功能的交换机上(指
三层交换机),同一交换机上的不同VLAN可以直接实现互通,这种
路由方式的优点是具有极高的路由速度和良好的
可伸缩性。