VLAN(Virtual Local Area Network)的中文名爲"虛擬局域網"。
虛擬局域網(VLAN)是一組邏輯上的設備和用戶,這些設備和用戶並不受物理位置的限制,可以根據功能、部門及應用等因素將它們組織起來,相互之間的通信就好像它們在同一個網段中一樣,由此得名虛擬局域網。VLAN是一種比較新的技術,工作在OSI參考模型的第2層和第3層,一個VLAN就是一個廣播域,VLAN之間的通信是通過第3層的路由器來完成的。與傳統的局域網技術相比較,VLAN技術更加靈活,它具有以下優點: 網絡設備的移動、添加和修改的管理開銷減少;可以控制廣播活動;可提高網絡的安全性。
在計算機網絡中,一個二層網絡可以被劃分爲多個不同的廣播域,一個廣播域對應了一個特定的用戶組,默認情況下這些不同的廣播域是相互隔離的。不同的廣播域之間想要通信,需要通過一個或多個路由器。這樣的一個廣播域就稱爲VLAN。
組建
VLAN是建立在物理網絡基礎上的一種邏輯子網,因此建立VLAN需要相應的支持VLAN技術的網絡設備。當網絡中的不同VLAN間進行相互通信時,需要路由的支持,這時就需要增加路由設備——要實現路由功能,既可採用路由器,也可採用三層交換機來完成,同時還嚴格限制了用戶數量。
標準
按端口劃分VLAN
許多VLAN廠商都利用交換機的端口來劃分VLAN成員。被設定的端口都在同一個廣播域中。例如,一個交換機的1,2,3,4,5端口被定義爲虛擬網AAA,同一交換機的6,7,8端口組成虛擬網BBB。這樣做允許各端口之間的通訊,並允許共享型網絡的升級。但是,這種劃分模式將虛擬網限制在了一臺交換機上。
第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分VLAN,不同交換機上的若干個端口可以組成同一個虛擬網。
以交換機端口來劃分網絡成員,其配置過程簡單明瞭。因此,從目前來看,這種根據端口來劃分VLAN的方式仍然是最常用的一種方式。
按MAC地址劃分VLAN
這種劃分VLAN的方法是根據每個主機的MAC地址來劃分,即對每個MAC地址的主機都配置它屬於哪個組。這種劃分VLAN方法的最大優點就是當用戶物理位置移動時,即從一個交換機換到其他的交換機時,VLAN不用重新配置,所以,可以認爲這種根據MAC地址的劃分方法是基於用戶的VLAN,這種方法的缺點是初始化時,所有的用戶都必須進行配置,如果有幾百個甚至上千個用戶的話,配置是非常累的。而且這種劃分的方法也導致了交換機執行效率的降低,因爲在每一個交換機的端口都可能存在很多個VLAN組的成員,這樣就無法限制廣播包了。另外,對於使用筆記本電腦的用戶來說,他們的網卡可能經常更換,這樣,VLAN就必須不停地配置。
按網絡層劃分
這種劃分VLAN的方法是根據每個主機的網絡層地址或協議類型(如果支持多協議)劃分的,雖然這種劃分方法是根據網絡地址,比如IP地址,但它不是路由,與網絡層的路由毫無關係。
這種方法的優點是用戶的物理位置改變了,不需要重新配置所屬的VLAN,而且可以根據協議類型來劃分VLAN,這對網絡管理者來說很重要,還有,這種方法不需要附加的幀標籤來識別VLAN,這樣可以減少網絡的通信量。
這種方法的缺點是效率低,因爲檢查每一個數據包的網絡層地址是需要消耗處理時間的(相對於前面兩種方法),一般的交換機芯片都可以自動檢查網絡上數據包的以太網幀頭,但要讓芯片能檢查IP幀頭,需要更高的技術,同時也更費時。當然,這與各個廠商的實現方法有關。
按IP組播劃分
IP組播實際上也是一種VLAN的定義,即認爲一個組播組就是一個VLAN,這種劃分的方法將VLAN擴大到了廣域網,因此這種方法具有更大的靈活性,而且也很容易通過路由器進行擴展,當然這種方法不適合局域網,主要是效率不高。
基於規則的
也稱爲基於策略的VLAN。這是最靈活的VLAN劃分方法,具有自動配置的能力,能夠把相關的用戶連成一體,在邏輯劃分上稱爲“關係網絡”。網絡管理員只需在網管軟件中確定劃分VLAN的規則(或屬性),那麼當一個站點加入網絡中時,將會被“感知”,並被自動地包含進正確的VLAN中。同時,對站點的移動和改變也可自動識別和跟蹤。
採用這種方法,整個網絡可以非常方便地通過路由器擴展網絡規模。有的產品還支持一個端口上的主機分別屬於不同的VLAN,這在交換機與共享式Hub共存的環境中顯得尤爲重要。自動配置VLAN時,交換機中軟件自動檢查進入交換機端口的廣播信息的IP源地址,然後軟件自動將這個端口分配給一個由IP子網映射成的VLAN。
按用戶劃分
基於用戶定義、非用戶授權來劃分VLAN,是指爲了適應特別的VLAN網絡,根據具體的網絡用戶的特別要求來定義和設計VLAN,而且可以讓非VLAN羣體用戶訪問VLAN,但是需要提供用戶密碼,在得到VLAN管理的認證後纔可以加入一個VLAN。
以上劃分VLAN的方式中,基於端口的VLAN端口方式建立在物理層上;MAC方式建立在數據鏈路層上;網絡層和IP廣播方式建立在第三層上。
對VLAN的標準,我們只是介紹兩種比較通用的標準,當然也有一些公司具有自己的標準,比如Cisco公司的ISL標準,雖然不是一種大衆化的標準,但是由於Cisco Catalyst交換機的大量使用,ISL也成爲一種不是標準的標準了。
· 802.10標準
在1995年,Cisco公司提倡使用IEEE802.10協議。在此之前,IEEE802.10曾經在全球範圍內作爲VLAN安全性的同一規範。Cisco公司試圖採用優化後的802.10幀格式在網絡上傳輸FramTagging模式中所必須的VLAN標籤。然而,大多數802委員會的成員都反對推廣802.10。因爲,該協議是基於FrameTagging方式的。
· 802.1Q
在1996年3月,IEEE802.1Internetworking委員會結束了對VLAN初期標準的修訂工作。新出臺的標準進一步完善了VLAN的體系結構,統一了Frame-Tagging方式中不同廠商的標籤格式,並制定了VLAN標準在未來一段時間內的發展方向,形成的802.1Q的標準在業界獲得了廣泛的推廣。它成爲VLAN史上的一塊里程碑。802.1Q的出現打破了虛擬網依賴於單一廠商的僵局,從一個側面推動了VLAN的迅速發展。另外,來自市場的壓力使各大網絡廠商立刻將新標準融合到他們各自的產品中。
802.1Q幀格式:
現在使用最廣泛的VLAN協議標準是 IEEE 802.1Q,許多廠家的交換機/路由器產品都支持IEEE 802.1Q標準。
IEEE 802.1Q標準的VLAN幀格式
IEEE 802.1Q標準的VLAN幀格式
802.1Q Tag的長度是4 bytes,它位於以太網幀中源MAC地址和長度/類型之間。802.1Q Tag包含4個字段。
Type:長度爲2 bytes,表示幀類型,802.1Q tag幀中Type字段取固定值0x8100,如果不支持802.1Q的設備收到802.1Q幀,則將其丟棄。
PRI:priority字段,長度爲3 bit,表示 以太網幀的優先級,取值範圍是0~7,數值越大,優先級越高。當交換機/路由器發生傳輸擁塞時,優先發送優先級高的數據幀。
CFI:Canonical Format Indicator,長度爲1bit,表示MAC地址是否是經典格式。CFI爲0說明是經典格式,CFI爲1表示爲非經典格式。該字段用於區分以太網幀、FDDI幀和令牌環網幀,在以太網幀中,CFI取值爲0。
VID:VLAN ID,長度爲12 bit,取值範圍是0~4095,其中0和4095是保留值,不能給用戶使用。
· Cisco ISL 標籤
ISL(Inter-Switch Link)是Cisco公司的專有封裝方式,因此只能在Cisco的設備上支持。ISL是一個在交換機之間、交換機與路由器之間及交換機與服務器之間傳遞多個VLAN信息及VLAN數據流的協議,通過在交換機直接的端口配置ISL封裝,即可跨越交換機進行整個網絡的VLAN分配和配置。
劃分策略
從技術角度講,VLAN的劃分可依據不同原則,一般有以下三種劃分方法:
基於端口
這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組,這是最簡單、最有效的劃分方法。該方法只需網絡管理員對網絡設備的交換端口進行重新分配即可,不用考慮該端口所連接的設備。
基於MAC地址
MAC地址其實就是指網卡的標識符,每一塊網卡的MAC地址都是唯一且固化在網卡上的。MAC地址是由6個字節的16進制數(48位)表示,前3個字節(24位)爲網卡的廠商標識(OUI),後3個字節(24位)爲網卡標識(NIC)。網絡管理員可按MAC地址把一些站點劃分爲一個邏輯子網。
基於路由
路由協議工作在網絡層,相應的工作設備有路由器和路由交換機(即三層交換機)。對於VLAN的劃分主要採取上述第1、3種方式,第2種方式爲輔助性的方案。
常見應用
Port vlan與Tag vlan
port vlan 基於端口的VLAN,處於同一VLAN端口之間才能相互通信。
tag vlan 基於IEEE 802.1Q(vlan標準),用VID(vlan id)來劃分不同的VLAN
基於端口的VLAN優缺點
基於端口的VLAN,簡單的講就是交換機的一個端口就是一個虛擬局域網,凡是連接在這個端口上的主機屬於同個虛擬局域網之中。基於端口的VLAN的優點爲:由於一個端口就是一個獨立的局域網。所以,當數據在網絡中傳輸的時候,交換機就不會把數據包轉發給其他的端口,如果用戶需要將數據發送到其他的虛擬局域網中,就需要先由交換機發往路由器再由路由器發往其他端口;同時以端口爲中心的VLAN中完全由用戶自由支配端口,無形之中就更利於管理。但是美中不足的是以端口爲中心的VLAN,當用戶位置改變時,往往也伴隨着用戶位置的改變而對網線也要進行遷移。如果不會經常移動客戶機的話,採用這一方式倒也不錯。
靜態VLAN的優缺點
可以說靜態VLAN與基於端口的VLAN有一絲相似之處,用戶可在交換機上讓一個或多個交換機端口形成一個略大一些的虛擬局域網。從一定意義上講靜態虛擬局域網在某些程度上彌補了基於端口的虛擬局域網的缺點。缺陷方面,靜態VLAN雖說是可以使多個端口的設置成一個虛擬局域網,假如兩個不同端口、不同虛擬局域網的人員聚到一起協商一些事情,這時候問題就出現了,因爲端口及虛擬局域網的不一致往往就會直接導致某一個虛擬局域網的人員就不能正常的訪問他原先所在的VLAN之中(靜態虛擬局域網的端口在同一時間只能屬於同一個虛擬局域網),這樣就需要網絡管理人員隨時配合及時修改該線路上的端口。
動態VLAN的優缺點
與上面兩種虛擬局域網的組成方式相比動態的虛擬局域網的優點真的是太多了。首先它適用於當前的無線局域網技術,其次,當用戶有需要時對工作基點進行移動時完全不用擔心在靜態虛擬局域網與基於端口的虛擬局域網出現的一些問題在動態的虛擬局域網中出現,因爲動態的虛擬局域網在建立初期已經由網絡管理員將整個網絡中的所有MAC地址全部輸入到了路由器之中,同時如何由路由器通過MAC地址來自動區分每一臺電腦屬於那一個虛擬局域網,之後將這臺電腦連接到對應的虛擬局域網之中。說起缺點,動態的虛擬局域網的缺點跟本談不上缺點,只是在VLAN建立初期,網絡管理人員需將所有機器的MAC進行登記之後劃分出MAC所對應的機器的不同權限(虛擬局域網)即可。
發展趨勢
在寬帶網絡中實現的VLAN基本上能滿足廣大網絡用戶的需求,但其網絡性能、網絡流量控制、網絡通信優先級控制等還有待提高。前面所提到的VTP技術、STP技術,基於三層交換的VLAN技術等在VLAN使用中存在網絡效率的瓶頸問題,這主要是IEEE802.1Q、IEEE802.1D協議的不完善所致,IEEE正在制定和完善IEEE802.1S(Multiple Spanning Trees)和IEEE802.1W(Rapid Reconfiguration of Spanning Tree)來改善VLAN的性能。採用IEEE802.3z和IEEE802.3ab協議,並結合使用RISC(精簡指令集計算)處理器或者網絡處理器而研製的吉位VLAN交換機在網絡流量等方面採取了相應的措施,大大提高了VLAN網絡的性能。IEEE802.1P協議提出了COS(Class of Service)標準,這使網絡通信優先級控制機制有了參考。