扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:zdnet安全频道 来源:论坛整理 2008年12月10日
关键字: VLAN
VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。
传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。
VLAN相当于OSI参考模型的第二层的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。 随着VLAN技术的日益完善,VLAN技术越来越多的应用在交换以太网中,成为网络灵活分段和提高网络安全的方法。
一、VLAN的划分方式
VLAN的划分方式很重要,在设计和建设VLAN,实现VLAN应用时,首先要决定如何划分VLAN,即依据什么标准来组织VLAN成员。下面介绍5种常见的划分方式,不同的划分方式代表不同的VLAN实现类型。
1、按端口划分VLAN
将交换机中的某些端口定义为一个单独的区域,从而形成一个VLAN。同一VLAN中的计算机属于同一个网段,不同VLAN之间进行通信需要通过路由器。基于端口的VLAN的优点是配置起来非常方便,只要在交换机上进行相关的设置就可以了,适用于网络环境比较固定的情况。不足之处是不够灵活,当一台计算机需要从一个端口移动到另一个新的端口,而新端口与旧端口不属于同一个VLAN时,要修改端口的VLAN设置,或在用户计算机上重新配置网络地址,这样才能加入到新的VLAN中。否则,这台计算机将无法进行网络通信。
基于端口的划分方式是最简单也是最常用的。采用这种方式,将属于不同交换机端口的物理网段分在一个VLAN中,通过网络管理软件,根据VLAN标识符将不同的端口分到相应的分组(VLAN)中。例如,一个交换机的1、2、6、7端口被定义为VLAN A,同一交换机的3、4、5端口组成VLAN 8,如图1所示。这样划分,允许各端口之间的通信,并允许共享型网络的升级。遗憾的是,这种划分模式将虚拟网限制在了一台交换机上。
图1
第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个VLAN。分配到同一个VLAN的各网段上的所有站点都在同一个广播域中,可以直接通信;不同VLAN地点间的通信则通过路由器或三层交换机。
交换机端口来划分VLAN,其配置过程简单明了。迄今为止,这仍然是最常用的一种方式,但是这种方式不允许多个VLAN共享一个物理网段或交换机端口。如果某一个用户从一个端口所在的VLAN移动到另一个端口所在的VLAN,网络管理员需要重新进行配置,这对于拥有众多移动用户的网络来说是不可想象的。
2、按MAC地址划分VLAN
每块网卡都有一个独一无二的硬件物理地址,这个地址就是MAC地址,俗称为“网卡号”。在Windows中可用“ipconfig/all”命令来查看这一地址。
MAC地址是连接在网络中的每个设备网卡的物理地址,由IEEE控制,全球找不到两块具有相同MAC地址的网卡。MAC地址属于数据链路层,以此作为划分VLAN的依据,能很好地独立于网络层上的各种应用。如图2所示,用此种方式构成的VLAN就是一些MAC地址的集合,它解决了网络处理站点的移动问题。对于连接于交换机端口的工作站来说,在它们初始化时,相应的交换机要在VLAN的管理信息库中检查MAC地址,从而动态地匹配该端口到相应的VLAN中。
图2
按MAC地址划分的VLAN允许网络用户从一个物理位置移动到另一个物理位置,并且自动保留其所属VLAN网段的成员身份。同时,这种方式独立于网络的高层协议(如TCP/IP、IP和IPX等)。从某种意义上讲,利用MAC地址定义VLAN可以看成是一种基于用户的网络划分手段。
这种方法的一个缺点是所有的用户必须被明确地分配给一个VLAN。在这种初始化工作完成之后,对用户的自动跟踪才成为可能。在一个拥有大量节点的大型网络中,如果要求管理员将每个用户都一一划分到某一个VLAN,实在是太困难了。
3、基于网络层划分VLAN
图3
可以基于网络层来划分VLAN,有两种方案,一种按协议(如果网络中存在多协议)来划分,如上图3所示;另一种是按网络层地址(最常见的是TCP/IP中的子网段地址)来划分,如图4所示。
图4
建立VLAN也可使用与管理路由相同的策略。根据IP子网、IPX网络号及其他协议划分VLAN。同一协议的工作站划分为一个VLAN,交换机检查广播帧的以太帧标题域,查看其协议类型,若已存在该协议的VLAN,则加入源端口,否则,创建—个新的VLAN。这种方式构成的VLAN,不但大大减少了人工配置VLAN的工作量,同时保证了用户自由地增加、移动和修改。不同VLAN网段上的站点可属于同一VLAN,在不同VLAN上的站点也可在同一物理网段上。
利用网络层定义VLAN缺点也是有的。与利用MAC地址的形式相比,基于网络层的VLAN需要分析各种协议的地址格式并进行相应的转换。因此,使用网络层信息来定义VLAN的交换机要比使用数据链路层信息的交换机在速度上占劣势。
4、基于IP广播组划分
可将任何属于同一IP广播组的计算机划分到同一VLAN。当IP包广播到网络上时,它将被传送到一组IP地址的受托者那里。该组被明确定义了的广播组是在网络运行中动态生成的。任何一个工作站都有机会成为某一个广播组的成员,只要它对该广播组的广播确认信息给予肯定的回答。所有加入同一个广播组的工作站被视为同一个VLAN的成员,他们的这种成员身份可根据实际需求保留一定的时间。因此,利用IP广播域来划分VLAN的方法给用户带来了巨大的灵活性和可延展性。在这种方式下,整个网络可以非常方便地通过路由器扩展网络规模。
5、基于规则的VLAN
也称为基于策略的VLAN。这是最灵活的VLAN划分方法,具有自动配置的能力,能够把相关的用户连成一体,在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则(或属性),那么当一个站点加入网络中时,将会被“感知”,并被自动地包含进正确的VLAN中。同时,对站点的移动和改变也可自动识别和跟踪。
采用这种方式,整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN,这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时,交换机中软件自动检查进入交换机端口的广播信息的IP源地址,然后软件自动将这个端口分配给一个由IP子网映射成的VLAN。
二、VLAN的优点
VLAN的优点主要体现在以下3个方面:
1、控制广播风暴
网络管理必须解决因大量广播信息带来带宽消耗的问题。VLAN作为一种网络分段技术,可将广播风暴限制在一个VLAN内部,避免影响其他网段。与传统局域网相比,VLAN能够更加有效地利用带宽。在VLAN中,网络被逻辑地分割成广播域,由VLAN成员所发送的信息帧或数据包仅在VLAN内的成员之间传送,而不是向网上的所有工作站发送。这样可减少主干网的流量,提高网络速度。
2、增强网络的安全性
共享式LAN上的广播必然会产生安全性问题,因为网络上的所有用户都能监测到流经的业务,用户只要插入任一活动端口就可访问网段上的广播包。采用VLAN提供的安全机制,可以限制特定用户的访问,控制广播组的大小和位置,甚至锁定网络成员的MAC地址,这样,就限制了未经安全许可的用户和网络成员对网络的使用。
3、增强网络管理
采用VLAN技术,使用VLAN管理程序可对整个网络进行集中管理,能够更容易地实现网络的管理性。用户可以根据业务需要快速组建和调整VLAN。当链路拥挤时,利用管理程序能够重新分配业务。管理程序还能够提供有关工作组的业务量、广播行为以及统计特性等的详尽报告。对于网络管理员来说,所有这些网络配置和管理工作都是透明的。VLAN变动时,用户无需了解网络的接线情况和协议是如何重新设置的。
VLAN还能减少因网络成员变化所带来的开销。在添加、删除和移动网络成员时,不用重新布线,也不用直接对成员进行配置。若采用传统局域网技术,那么当网络达到一定规模时,此类开销往往会成为管理员的沉重负担。
三、VLAN技术在企业网络中应用
随着网络硬件性能的不断提高和成本的不断降低,目前新建立的局域网基本上都采用了性能先进的快速以太网或千兆网技术,其核心交换机采用三层交换机,它能很好地支持VLAN技术,这对简化局域网的管理、保证局域网的高速可靠运行起到了非常重要的作用。可以说,VLAN的应用几乎覆盖学校、机关和企事业单位等各种应用网络的地方。
1、VLAN的应用领域
目前VLAN的应用主要集中在两大领域。
企业网和校园网。
一般将第三层交换机用在网络的核心层,用第三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN。这样网络结构相对简单,节点数相对较少,不需要较多的控制功能,并且成本较低。
宽带网建设中社区的中心和多个社区的汇聚层
在目前火爆的宽带网络建设中,第三层交换机一般被放置在小区的中心和多个小区的汇聚层,第三层交换机的出现动摇了企业路由器的地位。正如路由器统治广域网一样,第三层交换机将在今后主宰局域网己成为不争的事实。
2、VLAN的典型应用
由于VLAN具有比较明显的优势,因此在各种网络中都得到了很好的应用。下面就根据不同的案例来分析VLAN的应用情况。
利用VLAN组建部门局域网
很多企业往往已经拥有一个相当规模的局域网,但是现在企业内部因为保密或者其他原因,要求各业务部门或者课题组独立成为一个局域网,各业务部门或者课题组的人员不一定是在同一个办公地点,各网络之间不允许互相访问。根据这种情况,可以有几种解决方法,但是VLAN可能是最好的。采用VLAN,要做的工作主要是收集各部门或者课题组的人员组成、所在位置、与交换机连接的端口等信息。根据部门数量对交换机进行配置,创建VLAN,设置中继,最后,在一个公用的局域网内部划分出若干个虚拟的局域网,同时减少了局域网内的广播,提高了网络传输性能。这样的VLAN可以根据需要增加、改变和删除。
利用VLAN组建校园网
在校园网中VLAN已被广泛采用。在隔离网络风暴提高网络性能方面,有极好的性能价格比,使得它具有替代高端路由器的趋势。在校园网中,除了以专线方式接入Internet必需路由器之外,一般应尽量少用高端路由器,因为高端路由器的价格太高,并且在校园网中使用也不能发挥其强大的功能。为了提高网络性能价格比,可采用基于三层交换的交换机来完成路由功能,这样不仅提高了其性能价格比,更重要的是还增加了网络带宽,提高了网络性能。
在安全保密方面,VIAN技术可以发挥其强大的作用。比如,对于学校的财务部门或其他涉及保密信息的部门,可使用VLAN技术将这些部门的信息节点划分在不同的VLAN中。通过权限设置对该VLAN的访问权限,由于其信息传输只限制在VLAN内部,所以可防止大部分以网络监听为手段的入侵。
利用VLAN设置共享资源
在一些大型写字楼或商业建筑(酒店、展览中心等)中,经常存在这样的现象;大楼出 租给各个单位,并且大楼内部已经构建好了局域网,为入驻企业或客户提供了网络平台,并通过共同的出口访问Internet或者大楼内部的综合信息服务器。由于大楼的网络平台是统一的,因此使用的客户不但有物业管理人员,还有其他不同单位的客户。在这样一个共享的网络环境下,解决不同企业或单位对网络的需求的同时,还要保证各企业间信息的独立性。
这种情况下,虚拟局域网提供了很好的解决方案。大厦的系统管理员可以为入驻企业创建独立的VLAN,保证企业内部的互相访问和企业间信息的独立,然后利用中继技术,将提供接入服务的代理服务器或者路由器所对应的局域网接口配置成为中继模式,实现共享接入。这种配置方式还有一个好处,就是可以根据需要设置中继的访问许可,灵活地允许或者拒绝某个VLAN的访问。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者