熱點(diǎn)推薦：融合通信 一呼百應 呼叫中心 嵌入式 錄音儀 華為 CCSMS

首頁(yè) > 投稿專(zhuān)欄 > 最新來(lái)稿 > VLAN技術(shù)介紹

VLAN技術(shù)介紹

作者：來(lái)源：評論：0 　點(diǎn)擊：

一、VLAN基礎
VLAN（Virtual Local Area Network）的中文名為"虛擬局域網(wǎng)"，注意不是"VPN"（虛擬專(zhuān)用網(wǎng)）。VLAN是一種將局域網(wǎng)設備從邏輯上劃分（注意，不是從物理上劃分）成一個(gè)個(gè)網(wǎng)段，從而實(shí)現虛擬工作組的新興數據交換技術(shù)。這一新興技術(shù)主要應用于交換機和路由器中，但主流應用還是在交換機之中。但又不是所有交換機都具有此功能，只有VLAN協(xié)議的第三層以上交換機才具有此功能。
IEEE于1999年頒布了用以標準化VLAN實(shí)現方案的802.1Q協(xié)議標準草案。VLAN技術(shù)的出現，使得管理員根據實(shí)際應用需求，把同一物理局域網(wǎng)內的不同用戶(hù)邏輯地劃分成不同的廣播域，每一個(gè)VLAN都包含一組有著(zhù)相同需求的計算機工作站，與物理上形成的LAN有著(zhù)相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個(gè)VLAN內的各個(gè)工作站沒(méi)有限制在同一個(gè)物理范圍中，即這些工作站可以在不同物理LAN網(wǎng)段。由VLAN的特點(diǎn)可知，一個(gè)VLAN內部的廣播和單播流量都不會(huì )轉發(fā)到其他VLAN中，從而有助于控制流量、減少設備投資、簡(jiǎn)化網(wǎng)絡(luò )管理、提高網(wǎng)絡(luò )的安全性。
交換技術(shù)的發(fā)展，也加快了新的交換技術(shù)（VLAN）的應用速度。通過(guò)將企業(yè)網(wǎng)絡(luò )劃分為虛擬網(wǎng)絡(luò )VLAN網(wǎng)段，可以強化網(wǎng)絡(luò )管理和網(wǎng)絡(luò )安全，控制不必要的數據廣播。在共享網(wǎng)絡(luò )中，一個(gè)物理的網(wǎng)段就是一個(gè)廣播域。而在交換網(wǎng)絡(luò )中，廣播域可以是有一組任意選定的第二層網(wǎng)絡(luò )地址（MAC地址）組成的虛擬網(wǎng)段。這樣，網(wǎng)絡(luò )中工作組的劃分可以突破共享網(wǎng)絡(luò )中的地理位置限制，而完全根據管理功能來(lái)劃分。這種基于工作流的分組模式，大大提高了網(wǎng)絡(luò )規劃和重組的管理功能。在同一個(gè)VLAN中的工作站，不論它們實(shí)際與哪個(gè)交換機連接，它們之間的通訊就好象在獨立的交換機上一樣。同一個(gè)VLAN中的廣播只有VLAN中的成員才能聽(tīng)到，而不會(huì )傳輸到其他的VLAN中去，這樣可以很好的控制不必要的廣播風(fēng)暴的產(chǎn)生。同時(shí)，若沒(méi)有路由的話(huà)，不同VLAN之間不能相互通訊，這樣增加了企業(yè)網(wǎng)絡(luò )中不同部門(mén)之間的安全性。網(wǎng)絡(luò )管理員可以通過(guò)配置VLAN之間的路由來(lái)全面管理企業(yè)內部不同管理單元之間的信息互訪(fǎng)。交換機是根據用戶(hù)工作站的MAC地址來(lái)劃分VLAN的。所以，用戶(hù)可以自由的在企業(yè)網(wǎng)絡(luò )中移動(dòng)辦公，不論他在何處接入交換網(wǎng)絡(luò )，他都可以與VLAN內其他用戶(hù)自如通訊。
VLAN網(wǎng)絡(luò )可以是有混合的網(wǎng)絡(luò )類(lèi)型設備組成，比如：10M以太網(wǎng)、100M以太網(wǎng)、令牌網(wǎng)、FDDI、CDDI等等，可以是工作站、服務(wù)器、集線(xiàn)器、網(wǎng)絡(luò )上行主干等等。
VLAN除了能將網(wǎng)絡(luò )劃分為多個(gè)廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò )的拓撲結構變得非常靈活的優(yōu)點(diǎn)外，還可以用于控制網(wǎng)絡(luò )中不同部門(mén)、不同站點(diǎn)之間的互相訪(fǎng)問(wèn)。VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎上增加了VLAN頭，用VLAN ID把用戶(hù)劃分為更小的工作組，限制不同工作組間的用戶(hù)互訪(fǎng)，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò )。

二、VLAN的劃分方法
VLAN在交換機上的實(shí)現方法，可以大致劃分為六類(lèi):
1. 基于端口劃分的VLAN
這是最常應用的一種VLAN劃分方法，應用也最為廣泛、最有效，目前絕大多數VLAN協(xié)議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據以太網(wǎng)交換機的交換端口來(lái)劃分的，它是將VLAN交換機上的物理端口和VLAN交換機內部的PVC（永久虛電路）端口分成若干個(gè)組，每個(gè)組構成一個(gè)虛擬網(wǎng)，相當于一個(gè)獨立的VLAN交換機。
對于不同部門(mén)需要互訪(fǎng)時(shí)，可通過(guò)路由器轉發(fā)，并配合基于MAC地址的端口過(guò)濾。對某站點(diǎn)的訪(fǎng)問(wèn)路徑上最靠近該站點(diǎn)的交換機、路由交換機或路由器的相應端口上，設定可通過(guò)的MAC地址集。這樣就可以防止非法入侵者從內部盜用IP地址從其他可接入點(diǎn)入侵的可能。
從這種劃分方法本身我們可以看出，這種劃分的方法的優(yōu)點(diǎn)是定義VLAN成員時(shí)非常簡(jiǎn)單，只要將所有的端口都定義為相應的VLAN組即可。適合于任何大小的網(wǎng)絡(luò )。它的缺點(diǎn)是如果某用戶(hù)離開(kāi)了原來(lái)的端口，到了一個(gè)新的交換機的某個(gè)端口，必須重新定義。

2. 基于MAC地址劃分VLAN
這種劃分VLAN的方法是根據每個(gè)主機的MAC地址來(lái)劃分，即對每個(gè)MAC地址的主機都配置他屬于哪個(gè)組，它實(shí)現的機制就是每一塊網(wǎng)卡都對應唯一的MAC地址，VLAN交換機跟蹤屬于VLAN MAC的地址。這種方式的VLAN允許網(wǎng)絡(luò )用戶(hù)從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置時(shí)，自動(dòng)保留其所屬VLAN的成員身份。
由這種劃分的機制可以看出，這種VLAN的劃分方法的最大優(yōu)點(diǎn)就是當用戶(hù)物理位置移動(dòng)時(shí)，即從一個(gè)交換機換到其他的交換機時(shí)，VLAN不用重新配置，因為它是基于用戶(hù)，而不是基于交換機的端口。這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶(hù)都必須進(jìn)行配置，如果有幾百個(gè)甚至上千個(gè)用戶(hù)的話(huà)，配置是非常累的，所以這種劃分方法通常適用于小型局域網(wǎng)。而且這種劃分的方法也導致了交換機執行效率的降低，因為在每一個(gè)交換機的端口都可能存在很多個(gè)VLAN組的成員，保存了許多用戶(hù)的MAC地址，查詢(xún)起來(lái)相當不容易。另外，對于使用筆記本電腦的用戶(hù)來(lái)說(shuō)，他們的網(wǎng)卡可能經(jīng)常更換，這樣VLAN就必須經(jīng)常配置。

3. 基于網(wǎng)絡(luò )層協(xié)議劃分VLAN
VLAN按網(wǎng)絡(luò )層協(xié)議來(lái)劃分，可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò )。這種按網(wǎng)絡(luò )層協(xié)議來(lái)組成的VLAN，可使廣播域跨越多個(gè)VLAN交換機。這對于希望針對具體應用和服務(wù)來(lái)組織用戶(hù)的網(wǎng)絡(luò )管理員來(lái)說(shuō)是非常具有吸引力的。而且，用戶(hù)可以在網(wǎng)絡(luò )內部自由移動(dòng)，但其VLAN成員身份仍然保留不變。
這種方法的優(yōu)點(diǎn)是用戶(hù)的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據協(xié)議類(lèi)型來(lái)劃分VLAN，這對網(wǎng)絡(luò )管理者來(lái)說(shuō)很重要，還有，這種方法不需要附加的幀標簽來(lái)識別VLAN，這樣可以減少網(wǎng)絡(luò )的通信量。這種方法的缺點(diǎn)是效率低，因為檢查每一個(gè)數據包的網(wǎng)絡(luò )層地址是需要消耗處理時(shí)間的(相對于前面兩種方法)，一般的交換機芯片都可以自動(dòng)檢查網(wǎng)絡(luò )上數據包的以太網(wǎng)禎頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時(shí)也更費時(shí)。當然，這與各個(gè)廠(chǎng)商的實(shí)現方法有關(guān)。

4. 根據IP組播劃分VLAN
IP 組播實(shí)際上也是一種VLAN的定義，即認為一個(gè)IP組播組就是一個(gè)VLAN。這種劃分的方法將VLAN擴大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過(guò)路由器進(jìn)行擴展，主要適合于不在同一地理范圍的局域網(wǎng)用戶(hù)組成一個(gè)VLAN，不適合局域網(wǎng)，主要是效率不高。

5. 按策略劃分VLAN
基于策略組成的VLAN能實(shí)現多種分配方法，包括VLAN交換機端口、MAC地址、IP地址、網(wǎng)絡(luò )層協(xié)議等。網(wǎng)絡(luò )管理人員可根據自己的管理模式和本單位的需求來(lái)決定選擇哪種類(lèi)型的VLAN 。

6. 按用戶(hù)定義、非用戶(hù)授權劃分VLAN
基于用戶(hù)定義、非用戶(hù)授權來(lái)劃分VLAN，是指為了適應特別的VLAN網(wǎng)絡(luò )，根據具體的網(wǎng)絡(luò )用戶(hù)的特別要求來(lái)定義和設計VLAN，而且可以讓非VLAN群體用戶(hù)訪(fǎng)問(wèn)VLAN，

三、VLAN的運作原理與實(shí)作方式
物理層（physical layer）
直接以交換機上的埠做為劃分VLAN 的基礎。這個(gè)方式的優(yōu)點(diǎn)是簡(jiǎn)單與直觀(guān)，因此，運用這種設定VLAN 的情況十分普遍。但因為是實(shí)體層的設定，所以比較適合在規模不大的組織。

數據鏈路層（data link layer）
以每臺主機的MAC地址做為劃分VLAN 的基礎。方法是先建立一個(gè)比較復雜的數據庫，通常為某網(wǎng)絡(luò )設備的MAC地址與VLAN的映射關(guān)系數據庫。當該網(wǎng)絡(luò )設備連接到端口后，交換機會(huì )向VMPS（VLAN管理策略服務(wù)器）來(lái)請求這個(gè)數據庫。找到相應映射關(guān)系，完成端口到VLAN的分配。
這個(gè)方式的優(yōu)點(diǎn)是即使計算機在實(shí)體上的位置不同，也不影響VLAN的運作。但缺點(diǎn)是網(wǎng)管人員必須在交換機中設定組織內每一臺設備MAC地址與VLAN 間的映射關(guān)系數據庫。因此，這種設定策略的管理復雜度會(huì )隨著(zhù)越來(lái)越多的設備、與實(shí)體位置的群落、和不同工作任務(wù)需要而增加。

網(wǎng)絡(luò )層（network layer）
以每臺設備的IP地址做為劃分VLAN 的基礎，以子網(wǎng)絡(luò )視為VLAN 設定的依據。這個(gè)方式的優(yōu)點(diǎn)是當網(wǎng)管人員已經(jīng)將內部網(wǎng)段做好規劃與分配的情況下，將可大輻降低網(wǎng)管人員規劃并設定VLANs 架構的復雜度。但缺點(diǎn)是原本傳統交換機不需要對訊框作任何處理，但在這個(gè)機制下，交換機不但必須剖析訊框，還必須進(jìn)一步取出Source IP與Destination IP進(jìn)行比對，連帶降低交換機接收與分派封包的效率。但是需要提供用戶(hù)密碼，在得到VLAN管理的認證后才可以加入一個(gè)VLAN。

四、VLAN通信
VLAN交換機必須有一種方式來(lái)了解VLAN的成員關(guān)系，即要讓交換機知道哪一個(gè)工作站屬于哪一個(gè)VLAN。一般地，基于VLAN交換機端口或者工作站的MAC地址來(lái)組建的VLAN，其VLAN成員是以直接的形式與其他成員聯(lián)系的；基于三層如按IP來(lái)組建的VLAN，其VLAN成員是以間接的形式與其他成員聯(lián)系的。目前VLAN之間的通信主要采取如下4種方式。
（1）MAC地址靜態(tài)登記方式。MAC地址靜態(tài)登記方式是預先在VLAN交換機中設置好一張地址列表，這張表含有工作站的MAC地址JLAN交換機的端口號、VLANID等信息，當工作站第一次在網(wǎng)絡(luò )上發(fā)廣播包時(shí)，交換機就將這張表的內容一一對應起來(lái)，并對其他交換機廣播。這種方式的缺點(diǎn)在于，網(wǎng)絡(luò )管理員要不斷修改和維護MAC地址靜態(tài)條目列表；且大量的MAC地址靜態(tài)條目列表的廣播信息易導致主干網(wǎng)絡(luò )擁塞。
（2）幀標簽方式。幀標簽方式采用的是標簽（tag）技術(shù)，即在每個(gè)數據包都加上一個(gè)標簽，用來(lái)標明數據包屬于哪個(gè)VLAN，這樣，VLAN交換機就能夠將來(lái)自不同VLAN的數據流復用到相同的VLAN交換機上。這種方式存在一個(gè)問(wèn)題，即每個(gè)數據包加上標簽，使得網(wǎng)絡(luò )的負載也相應增加了。
（3）虛連接方式。網(wǎng)絡(luò )用戶(hù)A和B第一次通信時(shí)，發(fā)送地址解析（ARP）廣播包，VLAN交換機將學(xué)習到的MAC和所連接的VLAN交換機的端口號保存到動(dòng)態(tài)條目MAC地址列表中，當A和B有數據要傳時(shí)，VLAN交換機從其端口收到的數據包中識別出目的MAC地址，查動(dòng)態(tài)條目MAC地址列表，得到目的站點(diǎn)所在的VLAN交換機端口，這樣兩個(gè)端口間就建立起一條虛連接，數據包就可從源端口轉發(fā)到目的端口。數據包一旦轉發(fā)完畢，虛連接即被撤銷(xiāo)。這種方式使帶寬資源得到了很好利用，提高了VLAN交換機效率。
（4）路由方式。在按IP劃分的VLAN中，很容易實(shí)現路由，即將交換功能和路由功能融合在VLAN交換機中。這種方式既達到了作為VLAN控制廣播風(fēng)暴的最基本目的，又不需要外接路由器。但這種方式對VLAN成員之間的通信速度不是很理想。

五、VLAN的優(yōu)越性
任何新技術(shù)要得到廣泛支持和應用，肯定存在一些關(guān)鍵優(yōu)勢，VLAN技術(shù)也一樣，它的優(yōu)勢主要體現在以下幾個(gè)方面：
1. 增加了網(wǎng)絡(luò )連接的靈活性
借助VLAN技術(shù)，能將不同地點(diǎn)、不同網(wǎng)絡(luò )、不同用戶(hù)組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò )環(huán)境，就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動(dòng)或變更工作站地理位置的管理費用，特別是一些業(yè)務(wù)情況有經(jīng)常性變動(dòng)的公司使用了VLAN后，這部分管理費用大大降低。 
2. 控制網(wǎng)絡(luò )上的廣播
VLAN可以提供建立防火墻的機制，防止交換網(wǎng)絡(luò )的過(guò)量廣播。使用VLAN，可以將某個(gè)交換端口或用戶(hù)賦于某一個(gè)特定的VLAN組，該VLAN組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機，在一個(gè)VLAN中的廣播不會(huì )送到VLAN之外。同樣，相鄰的端口不會(huì )收到其他VLAN產(chǎn)生的廣播。這樣可以減少廣播流量，釋放帶寬給用戶(hù)應用，減少廣播的產(chǎn)生。
3. 增加網(wǎng)絡(luò )的安全性
因為一個(gè)VLAN就是一個(gè)單獨的廣播域，VLAN之間相互隔離，這大大提高了網(wǎng)絡(luò )的利用率，確保了網(wǎng)絡(luò )的安全保密性。人們在LAN上經(jīng)常傳送一些保密的、關(guān)鍵性的數據。保密的數據應提供訪(fǎng)問(wèn)控制等安全手段。一個(gè)有效和容易實(shí)現的方法是將網(wǎng)絡(luò )分段成幾個(gè)不同的廣播組，網(wǎng)絡(luò )管理員限制了VLAN中用戶(hù)的數量，禁止未經(jīng)允許而訪(fǎng)問(wèn)VLAN中的應用。交換端口可以基于應用類(lèi)型和訪(fǎng)問(wèn)特權來(lái)進(jìn)行分組，被限制的應用程序和資源一般置于安全性VLAN中。

六、交換機的端口工作模式
　　交換機的端口工作模式通常可以分為三種，它們分別為Access模式、Multi模式、Trunk模式。允許多個(gè)vlan的是multi模式，而不是trunk模式。Access模式的交換端口往往只能屬于1個(gè)VLAN，通常用于連接普通計算機的端口；Trunk模式的交換端口可以屬于多個(gè)VLAN，能夠發(fā)送和接收多個(gè)VLAN的數據報文，通常使用在交換機之間的級聯(lián)端口上；multi模式的交換端口可以屬于多個(gè)VLAN，能夠發(fā)送和接受多個(gè)VLAN的數據報文，可以用于交換機之間的連接，也可以用于連接普通計算機的端口，所以access和trunk沒(méi)有可比性。三種模式的交換端口能夠共同使用在相同的一臺交換機中，不過(guò)Trunk模式的交換端口和multi模式的交換端口相互之間不能直接切換，往往只能先將交換端口設置為Access模式，之后再設置為其他模式。

相關(guān)熱詞搜索： VLAN 技術(shù) 介紹

上一篇:電話(huà)按效付費應用淺析（一）

下一篇:最后一頁(yè)

相關(guān)閱讀：