VLAN(Virtual Local Area Network)又稱虛擬局域網,是指在交換局域網的基礎上,採用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個VLAN組成一個邏輯子網,即一個邏輯廣播域,它可以覆蓋多個網絡設備,允許處於不同地理位置的網絡用戶加入到一個邏輯子網中。
組建VLAN的條件
VLAN是建立在物理網絡基礎上的一種邏輯子網,因此建立VLAN需要相應的支持VLAN技術的網絡設備。當網絡中的不同VLAN間進行相互通信時,需要路由的支持,這時就需要增加路由設備——要實現路由功能,既可採用路由器,也可採用三層交換機來完成。
劃分VLAN的基本策略
從技術角度講,VLAN的劃分可依據不同原則,一般有以下三種劃分方法:
1、基於端口的VLAN劃分
這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組,這是最簡單、最有效的劃分方法。該方法只需網絡管理員對網絡設備的交換端口進行重新分配即可,不用考慮該端口所連接的設備。
2、基於MAC地址的VLAN劃分
MAC地址其實就是指網卡的標識符,每一塊網卡的MAC地址都是惟一且固化在網卡上的。MAC地址由12位16進制數表示,前8位爲廠商標識,後4位爲網卡標識。網絡管理員可按MAC地址把一些站點劃分爲一個邏輯子網。
3、基於路由的VLAN劃分
路由協議工作在網絡層,相應的工作設備有路由器和路由交換機(即三層交換機)。該方式允許一個VLAN跨越多個交換機,或一個端口位於多個VLAN中。
就目前來說,對於VLAN的劃分主要採取上述第1、3種方式,第2種方式爲輔助性的方案
使用VLAN優點
使用VLAN具有以下優點:
1、控制廣播風暴
一個VLAN就是一個邏輯廣播域,通過對VLAN的創建,隔離了廣播,縮小了廣播範圍,可以控制廣播風暴的產生。
2、提高網絡整體安全性
通過路由訪問列表和MAC地址分配等VLAN劃分原則,可以控制用戶訪問權限和邏輯網段大小,將不同用戶羣劃分在不同VLAN,從而提高交換式網絡的整體性能和安全性。
3、網絡管理簡單、直觀
對於交換式以太網,如果對某些用戶重新進行網段分配,需要網絡管理員對網絡系統的物理結構重新進行調整,甚至需要追加網絡設備,增大網絡管理的工作量。而對於採用VLAN技術的網絡來說,一個VLAN可以根據部門職能、對象組或者應用將不同地理位置的網絡用戶劃分爲一個邏輯網段。在不改動網絡物理連接的情況下可以任意地將工作站在工作組或子網之間移動。利用虛擬網絡技術,大大減輕了網絡管理和維護工作的負擔,降低了網絡維護費用。在一個交換網絡中,VLAN提供了網段和機構的彈性組合機制。
三層交換技術
傳統的路由器在網絡中有路由轉發、防火牆、隔離廣播等作用,而在一個劃分了VLAN以後的網絡中,邏輯上劃分的不同網段之間通信仍然要通過路由器轉發。由於在局域網上,不同VLAN之間的通信數據量是很大的,這樣,如果路由器要對每一個數據包都路由一次,隨着網絡上數據量的不斷增大,路由器將不堪重負,路由器將成爲整個網絡運行的瓶頸。
在這種情況下,出現了第三層交換技術,它是將路由技術與交換技術合二爲一的技術。三層交換機在對第一個數據流進行路由後,會產生一個MAC地址與IP地址的映射表,當同樣的數據流再次通過時,將根據此表直接從二層通過而不是再次路由,從而消除了路由器進行路由選擇而造成網絡的延遲,提高了數據包轉發的效率,消除了路由器可能產生的網絡瓶頸問題。可見,三層交換機集路由與交換於一身,在交換機內部實現了路由,提高了網絡的整體性能。
在以三層交換機爲核心的千兆網絡中,爲保證不同職能部門管理的方便性和安全性以及整個網絡運行的穩定性,可採用VLAN技術進行虛擬網絡劃分。VLAN子網隔離了廣播風暴,對一些重要部門實施了安全保護;且當某一部門物理位置發生變化時,只需對交換機進行設置,就可以實現網絡的重組,非常方便、快捷,同時節約了成本。
虛擬網是指在物理網絡基礎架構上,利用交換機和路由器的功能,配置網絡的邏輯拓撲結構,從而允許網絡管理員任意地將一個局域網內的任何數量網段聚合成一個用戶組
有很多企業在發展的初期,人員較少 ,因此對網絡的要求也不高,而且爲了節約成本,很多企業網都採用了通過路由器實現分段的簡單結構(圖1)。在這樣的網絡下,每一個局域網上的廣播數據包都可以被該段上的所有設備收到,而無論這些設備是否需要。隨着企業規模的不斷擴大,特別是多媒體在企業局域網中的應用,使每個部門內部的數據傳輸量非常大。此外,由於公司發展中一些遺留下來的問題,使得一個部門的員工不能相對集中辦公。更重要的是,公司的財務部門需要越來越高的安全性,不能和其他的部門混用一個以太網段,以防止數據竊聽。這些新問題需要更靈活地配置局域網,因此就產生了虛擬局域網(Virtual LAN)技術。
虛擬網是指在物理網絡基礎架構上,利用交換機和路由器的功能,配置網絡的邏輯拓撲結構,從而允許網絡管理員任意地將一個局域網內的任何數量網段聚合成一個用戶組,就好像它們是一個單獨的局域網。近期虛擬網(VLAN)迅速倔起,併成爲最具生命力的組網技術之一。(圖2)
虛擬局域網的特點
在使用帶寬、靈活性、性能等方面,虛擬局域網(VLAN)都顯示出很大優勢。虛擬局域網的使用能夠方便地進行用戶的增加、刪除、移動等工作,提高網絡管理的效率。他具有以下特點:
1、靈活的、軟定義的、邊界獨立於物理媒質的設備羣。VLAN概念的引入,使交換機承擔了網絡的分段工作,而不再使用路由器來完成。通過使用VLAN,能夠把原來一個物理的局域網劃分成很多個邏輯意義上的子網,而不必考慮具體的物理位置,每一個VLAN都可以對應於一個邏輯單位,如部門、車間和項目組等。
2、廣播流量被限制在軟定義的邊界內、提高了網絡的安全性。由於在相同VLAN內的主機間傳送的數據不會影響到其他VLAN上的主機,因此減少了數據竊聽的可能性,極大地增強了網絡的安全性。
3、在同一個虛擬局域網成員之間提供低延遲、線速的通信。能夠在網絡內劃分網段或者微網段,提高網絡分組的靈活性。VLAN技術通過把網絡分成邏輯上的不同廣播域,使網絡上傳送的包只在與位於同一個VLAN的端口之間交換。這樣就限制了某個局域網只與同一個VLAN的其它局域網互相連,避免浪費帶寬,從而消除了傳統的橋接/交換網絡的固有缺陷——包經常被傳送到並不需要它的局域網中。這也改善了網絡配置規模的靈活性,尤其是在支持廣播/多播協議和應用程序的局域網環境中,會遭遇到如潮水般湧來的包。而在 VLAN結構中,可以輕鬆地拒絕其他VLAN的包,從而大大減少網絡流量。
虛擬局域網的分類
虛擬局域網是一種軟技術,如何分類,將決定此技術在網絡中能否發揮到預期作用,下面將介紹虛擬局域網的分類以及特性。常見的虛擬局域網分類有三種:基於端口、基於硬件MAC地址、基於網絡層。
1、 基於端口
基於端口的虛擬局域網劃分是比較流行和最早的劃分方式,其特點是將交換機按照端口進行分組,每一組定義爲一個虛擬局域網。這些交換機端口分組可以在一臺交換機上也可以跨越幾個交換機(例如,1號交換機的端口1和2以及2號交換機的端口4、5、6和7上的最終工作站組成了虛擬局域網A;而1號交換機的端口3、4、5、6、7和8加上2號交換機的端口1、2、3和8上的最終工作站組成了虛擬局域網B)。
端口分組目前是定義虛擬局域網成員最常用的方法,而且配置也相當直截了當。純粹用端口分組來定義虛擬局域網不會容許多個虛擬局域網包含同一個實際網段(或交換機端口)。其特點是一個虛擬局域網的各個端口上的所有終端都在一個廣播域中,它們相互可以通信,不同的虛擬局域網之間進行通信需經過路由來進行。這種虛擬局域網劃分方式的優點在於簡單,容易實現,從一個端口發出的廣播,直接發送到虛擬局域網內的其他端口,也便於直接監控。但是,用端口定義虛擬局域網的主要侷限性是:使用不夠靈活,當用戶從一個端口移動到另一個端口的時候網絡管理員必須重新配置虛擬局域網成員。不過這一點可以通過靈活的網絡管理軟件來彌補。
2 、基於硬件MAC地址層
基於硬件MAC地址層地址的虛擬局域網具有不同的優點和缺點。由於硬件地址層的地址是硬連接到工作站的網絡界面卡(NIC)上的,所以基於硬件地址層地址的的虛擬局域網使網絡管理者能夠把網絡上的工作站移動到不同的實際位置,而且可以讓這臺工作站自動地保持它原有的虛擬局域網成員資格。按照這種方式,由硬件地址層地址定義的虛擬局域網可以被視爲基於用戶的虛擬局域網。
這種方式的虛擬局域網,交換機對終端的MAC地址和交換機端口進行跟蹤,在新終端入網時根據已經定義的虛擬局域網——MAC對應表將其劃歸至某一個虛擬局域網,而無論該終端在網絡中怎樣移動,由於其MAC地址保持不變,故不需進行虛擬局域網的重新配置。這種劃分方式減少了網絡管理員的日常維護工作量,不足之處在於所有的終端必須被明確的分配在一個具體的虛擬局域網,任何時候增加終端或者更換網卡,都要對虛擬局域網數據庫調整,以實現對該終端的動態跟蹤。
基於硬件地址層地址的虛擬局域網解決方案的缺點之一是要求所有的用戶必須初始配置在至少一個虛擬局域網中。在這次初始手工配置之後,用戶的自動跟蹤纔有可能實現,而且取決於特定的供應商解決方案。然而,這種不得不在一開始先用人工配置虛擬局域網的方法,其缺點在一個非常大的網絡中變得非常明顯:幾千個用戶必須逐個地分配到各自特定的虛擬局域網中。某些供應商已經減少了初始手工配置基於硬件地址的虛擬局域網的繁重任務,它們採用根據網絡的當前狀態生成虛擬局域網的工具,也就是說爲每一個子網生成一個基於硬件地址的虛擬局域網。
3 、基於網絡層
基於網絡層的虛擬局域網劃分也叫做基於策略(POLICY)的劃分,是這幾種劃分方式中最高級也是最爲複雜的。基於網絡層的虛擬局域網使用協議(如果網絡中存在多協議的話)或網絡層地址(如TCP/IP中的子網段地址)來確定網絡成員。利用網絡層定義虛擬網有以下幾點優勢。第一,這種方式可以按傳輸協議劃分網段。其次,用戶可以在網絡內部自由移動而不用重新配置自己的工作站。第三,這種類型的虛擬網可以減少由於協議轉換而造成的網絡延遲。這種方式看起來是最爲理想的方式,但是在採用這種劃分之前,要明確兩件事情:一是IP盜用,二是對設備要求較高,不是所有設備都支持這種方式。