原文源自:http://www.cnblogs.com/sunada2005/articles/2666902.html
一、VLAN是什么
VLAN是虚拟局域网,是指网络中的站点不拘泥与所处的物理位置,而可以根据需要灵活地加入不同的逻辑子网中的一种网络技术。
基于交换式以太网的虚拟局域网在交换式以太网中,利用VLAN技术,可以将由交换机连接成的物理网络划分成多个逻辑子网。也就是说,一个虚拟局域网中的站点所发送的广播数据包将仅转发至属于同一VLAN的站点。
在交换式以太网中,各站点可以分别属于不同的虚拟局域网。构成虚拟局域网的站点不拘泥于所处的物理位置,他们既可以挂接在同一个交换机中,也可以挂接在不同的交换机中。虚拟局域网技术使得网络的拓扑结构变得非常灵活,例如位于不同楼层的用户或者不同部门的用户可以根据需要加入不同的虚拟局域网。
二、为什么需要划分VLAN
划分虚拟局域网主要出于三种考虑:
第一是基于网络性能的考虑。对于大型网络,现在常用的Windows NetBEUI是广播协议,当网络规模很大时,网上的广播信息会很多,会使网络性能恶化,甚至形成广播风暴,引起网络堵塞。那怎么办呢?可以通过划分很多虚拟局域网而减少整个网络范围内广播包的传输,因为广播信息是不会跨过VLAN的,可以把广播限制在各个虚拟网的范围内,用术语讲就是缩小了广播域,提高了网络的传输效率,从而提高网络性能。
第二是基于安全性的考虑。因为各虚拟网之间不能直接进行通讯,而必须通过路由器转发,为高级的安全控制提供了可能,增强了网络的安全性。在大规模的网络,比如说大的集团公司,有财务部、采购部和客户部等,它们之间的数据是保密的,相互之间只能提供接口数据,其它数据是保密的。我们可以通过划分虚拟局域网对不同部门进行隔离。
第三是基于组织结构上考虑。同一部门的人员分散在不同的物理地点,比如集团公司的财务部在各子公司均有分部,但都属于财务部管理,虽然这些数据都是要保密的,但需统一结算时,就可以跨地域(也就是跨交换机)将其设在同一虚拟局域网之中,实现数据安全和共享。采用虚拟局域网有如下优势:抑制网络上的广播风暴;增加网络的安全性;集中化的管理控制。
三、如何实现VLAN
基于交换式的以太网要实现虚拟局域网主要有三种途径:基于端口的虚拟局域网、基于MAC地址(网卡的硬件地址)的虚拟局域网和基于IP地址的虚拟局域网。
(1)基于端口的虚拟局域网(建立在物理层上)
好处:基于端口的虚拟局域网是最实用的虚拟局域网,它保持了最普通常用的虚拟局域网成员定义方法,配置也相当直观简单,就局域网中的站点具有相同的网络地址,不同的虚拟局域网之间进行通信需要通过路由器。
不足:灵活性不好。例如,当一个网络站点从一个端口移动到另外一个新的端口时,如果新端口与旧端口不属于同一个虚拟局域网,则用户必须对该站点重新进行网络地址配置,否则,该站点将无法进行网络通信。
在基于端口的虚拟局域网中,每个交换端口可以属于一个或多个虚拟局域网组,比较适用于连接服务器。
(2) 基于MAC地址的虚拟局域网(建立在数据链路层上)
好处:在基于MAC地址的虚拟局域网中,交换机对站点的MAC地址和交换机端口进行跟踪,在新站点入网时根据需要将其划归至某一个虚拟局域网,而无论该站点在网络中怎样移动,由于其MAC地址保持不变,因此用户不需要进行网络地址的重新配置。
不足:站点入网时,需要对交换机进行比较复杂的手工配置,以确定该站点属于哪一个虚拟局域网。
(3)基于IP地址的虚拟局域网(建立在网络层上)
好处:在基于IP地址的虚拟局域网中,新站点在入网时无需进行太多配置,交换机则根据各站点网络地址自动将其划分成不同的虚拟局域网。
不足:在三种虚拟局域网的实现技术中,基于IP地址的虚拟局域网智能化程度最高,实现起来也最复杂。
*常用的划分方法是将端口和IP地址结合来划分VLAN,某几个端口为一个VLAN,并为该VLAN配置IP地址,那么该VLAN中的计算机就以这个地址为网关,其它VLAN则不能与该VLAN处于同一子网。
四、使用VLAN的优点
(1) 控制广播风暴
一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。
(2) 提高网络整体安全性
通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。 例如将重要部门与其它部门通过VLAN隔离,即使同在一个网络也可以保证他们不能互相通讯,确保重要部门的数据安全;也可以按照不同的部门、人员,位置划分VLAN,分别赋给不同的权限来进行管理。
(3) 网络管理简单、直观
对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。
五、三层交换技术
传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了VLAN以后的网络中,逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上,不同VLAN之间的通信数据量是很大的,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量的不断增大,路由器将不堪重负,路由器将成为整个网络运行的瓶颈。
在这种情况下,出现了第三层交换技术,它是将路由技术与交换技术合二为一的技术。三层交换机再对第一个数据流进行路由后,会产生一个MAC地址和IP地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择二造成网络的延迟,提高了数据包转发的效率。消除了路由器可能产生的网络瓶颈问题。可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。
在以三层交换机为核心的千兆网络中,为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性,可采用VLAN技术进行虚拟网络划分。VLAN子网隔离了广播风暴,对一些重要部门实施了安全保护;且当某一部门物理位置发生变化时,只需对交换机进行设置,就可以实现网络的重组,非常方便、快捷,同时节约了成本。
扫一扫
8410
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
