VLAN是什麼?如何劃分VLAN?如何實現VLAN?VLAN有什麼好處? VLAN可能用到的三層交換技術
1. VLAN是什麼?
VLAN是虛擬局域網,是指網絡中的站點不拘泥於所處的物理位置,而可以根據需要靈活地加入不同的邏輯子網中的一種網絡技術。
基於交換式以太網的虛擬局域網在交換式以太網中,利用VLAN技術,可以將由交換機連接成的物理網絡劃分成多個邏輯子網。也就是說,一個虛擬局域網中的站點所發送的廣播數據包將僅轉發至屬於同一VLAN的站點。
在交換式以太網中,各站點可以分別屬於不同的虛擬局域網。構成虛擬局域網的站點不拘泥於所處的物理位置,它們既可以掛接在同一個交換機中,也可以掛接在不同的交換機中。虛擬局域網技術使得網絡的拓撲結構變得非常靈活,例如位於不同樓層的用戶或者不同部門的用戶可以根據需要加入不同的虛擬局域網。
2. 爲什麼需要劃分VLAN?
劃分虛擬局域網主要出於三種考慮:
第一是基於網絡性能的考慮。對於大型網絡,現在常用的Windows NetBEUI是廣播協議,當網絡規模很大時,網上的廣播信息會很多,會使網絡性能惡化,甚至形成廣播風暴,引起網絡堵塞。那怎麼辦呢?可以通過劃分很多虛擬局域網而減少整個網絡範圍內廣播包的傳輸,因爲廣播信息是不會跨過VLAN的,可以把廣播限制在各個虛擬網的範圍內,用術語講就是縮小了廣播域,提高了網絡的傳輸效率,從而提高網絡性能。
第二是基於安全性的考慮。因爲各虛擬網之間不能直接進行通訊,而必須通過路由器轉發,爲高級的安全控制提供了可能,增強了網絡的安全性。在大規模的網絡,比如說大的集團公司,有財務部、採購部和客戶部等,它們之間的數據是保密的,相互之間只能提供接口數據,其它數據是保密的。我們可以通過劃分虛擬局域網對不同部門進行隔離。
第三是基於組織結構上考慮。同一部門的人員分散在不同的物理地點,比如集團公司的財務部在各子公司均有分部,但都屬於財務部管理,雖然這些數據都是要保密的,但需統一結算時,就可以跨地域(也就是跨交換機)將其設在同一虛擬局域網之中,實現數據安全和共享。採用虛擬局域網有如下優勢:抑制網絡上的廣播風暴;增加網絡的安全性;集中化的管理控制。
3. 如何實現VLAN?
基於交換式的以太網要實現虛擬局域網主要有三種途徑:基於端口的虛擬局域網、基於MAC地址(網卡的硬件地址)的虛擬局域網和基於IP地址的虛擬局域網。
(1)基於端口的虛擬局域網(建立在物理層上)
- 好處:基於端口的虛擬局域網是最實用的虛擬局域網,它保持了最普通常用的虛擬局域網成員定義方法,配置也相當直觀簡單,就局域網中的站點具有相同的網絡地址,不同的虛擬局域網之間進行通信需要通過路由器。
- 不足:靈活性不好。例如,當一個網絡站點從一個端口移動到另外一個新的端口時,如果新端口與舊端口不屬於同一個虛擬局域網,則用戶必須對該站點重新進行網絡地址配置,否則,該站點將無法進行網絡通信。
在基於端口的虛擬局域網中,每個交換端口可以屬於一個或多個虛擬局域網組,比較適用於連接服務器。
(2) 基於MAC地址的虛擬局域網(建立在數據鏈路層上)
- 好處:在基於MAC地址的虛擬局域網中,交換機對站點的MAC地址和交換機端口進行跟蹤,在新站點入網時根據需要將其劃歸至某一個虛擬局域網,而無論該站點在網絡中怎樣移動,由於其MAC地址保持不變,因此用戶不需要進行網絡地址的重新配置。
- 不足:站點入網時,需要對交換機進行比較複雜的手工配置,以確定該站點屬於哪一個虛擬局域網。
(3)基於IP地址的虛擬局域網(建立在網絡層上)
- 好處:在基於IP地址的虛擬局域網中,新站點在入網時無需進行太多配置,交換機則根據各站點網絡地址自動將其劃分成不同的虛擬局域網。
- 不足:在三種虛擬局域網的實現技術中,基於IP地址的虛擬局域網智能化程度最高,實現起來也最複雜。
*常用的劃分方法是將端口和IP地址結合來劃分VLAN,某幾個端口爲一個VLAN,併爲該VLAN配置IP地址,那麼該VLAN中的計算機就以這個地址爲網關,其它VLAN則不能與該VLAN處於同一子網。
(4)根據IP組播劃分VLAN (建立在網絡層上)
- 好處:IP 組播實際上也是一種VLAN的定義,即認爲一個組播組就是一個VLAN,這種劃分的方法將VLAN擴大到了廣域網,因此這種方法具有更大的靈活性,而且也很容易通過路由器進行擴展。
- 不足:這種方法不適合局域網,主要是效率不高。
(5)基於規則的VLAN
這是最靈活的VLAN劃分方法,具有自動配置的能力,能夠把相關的用戶連成一體,在邏輯劃分上稱爲“關係網絡”。網絡管理員只需在網管軟件中確定劃分VLAN的規則(或屬性),那麼當一個站點加入網絡中時,將會被“感知”,並被自己地包含進正確的VLAN中。同時,對站點的移動和改變也可自動識別和跟蹤。採用這種方法,整個網絡可以非常方便地通過路由器擴展網絡規模。有的產品還支持一個端口上的主機分別屬於不同的VLAN,這在交換機與共享式Hub共存的環境中顯得尤爲重要。自動配置VLAN時,交換機中軟件自動檢查進入交換機端口的廣播信息的IP源地址,然後軟件自動將這個端口分配給一個由IP子網映射成的VLAN。
如果兩臺交換機都有同一VLAN的計算機,怎麼辦呢?我們可以通過VLAN Trunk來解決。
如果交換機1的VLAN1中的機器要訪問交換機2的VLAN1中的機器,我們可以把兩臺交換機的級聯端口設置爲Trunk端口,這樣,當交換機把數據包從級聯口發出去的時候,會在數據包中做一個標記(TAG),以使其它交換機識別該數據包屬於哪一個VLAN,這樣,其它交換機收到這樣一個數據包後,只會將該數據包轉發到標記中指定的VLAN,從而完成了跨越交換機的VLAN內部數據傳輸。VLAN Trunk目前有兩種標準,ISL和802.1q,前者是Cisco專有技術,後者則是IEEE的國際標準,除了Cisco兩者都支持外,其它廠商都只支持後者。
4. 使用VLAN的優點
(1) 控制廣播風暴
一個VLAN就是一個邏輯廣播域,通過對VLAN的創建,隔離了廣播,縮小了廣播範圍,可以控制廣播風暴的產生。
(2) 提高網絡整體安全性
通過路由訪問列表和MAC地址分配等VLAN劃分原則,可以控制用戶訪問權限和邏輯網段大小,將不同用戶羣劃分在不同VLAN,從而提高交換式網絡的整體性能和安全性。 例如將重要部門與其它部門通過VLAN隔離,即使同在一個網絡也可以保證他們不能互相通訊,確保重要部門的數據安全;也可以按照不同的部門、人員,位置劃分VLAN,分別賦給不同的權限來進行管理。
(3) 網絡管理簡單、直觀
對於交換式以太網,如果對某些用戶重新進行網段分配,需要網絡管理員對網絡系統的物理結構重新進行調整,甚至需要追加網絡設備,增大網絡管理的工作量。而對於採用VLAN技術的網絡來說,一個VLAN可以根據部門職能、對象組或者應用將不同地理位置的網絡用戶劃分爲一個邏輯網段。在不改動網絡物理連接的情況下可以任意地將工作站在工作組或子網之間移動。利用虛擬網絡技術,大大減輕了網絡管理和維護工作的負擔,降低了網絡維護費用。在一個交換網絡中,VLAN提供了網段和機構的彈性組合機制。
5. 補充知識點
三層交換技術
傳統的路由器在網絡中有路由轉發、防火牆、隔離廣播等作用,而在一個劃分了VLAN以後的網絡中,邏輯上劃分的不同網段之間通信仍然要通過路由器轉發。由於在局域網上,不同VLAN之間的通信數據量是很大的,這樣,如果路由器要對每一個數據包都路由一次,隨着網絡上數據量的不斷增大,路由器將不堪重負,路由器將成爲整個網絡運行的瓶頸。
在這種情況下,出現了第三層交換技術,它是將路由技術與交換技術合二爲一的技術。三層交換機在對第一個數據流進行路由後,會產生一個MAC地址與IP地址的映射表,當同樣的數據流再次通過時,將根據此表直接從二層通過而不是再次路由,從而消除了路由器進行路由選擇而造成網絡的延遲,提高了數據包轉發的效率,消除了路由器可能產生的網絡瓶頸問題。可見,三層交換機集路由與交換於一身,在交換機內部實現了路由,提高了網絡的整體性能。
在以三層交換機爲核心的千兆網絡中,爲保證不同職能部門管理的方便性和安全性以及整個網絡運行的穩定性,可採用VLAN技術進行虛擬網絡劃分。VLAN子網隔離了廣播風暴,對一些重要部門實施了安全保護;且當某一部門物理位置發生變化時,只需對交換機進行設置,就可以實現網絡的重組,非常方便、快捷,同時節約了成本。