《浅述VLAN技术及其应用2》由会员分享,可在线阅读,更多相关《浅述VLAN技术及其应用2(9页珍藏版)》请在金锄头文库上搜索。
1、浅述VLAN技术及其应用一、 什么是VLANJ技术二、何组建VLAN三、VLAN的应用引言计算机网络技术的发展史日新月异,新技术,新知识层出不穷。从传统的以太网发展到快速以太网和千兆以太网也不过几年的时将,其发展势头十分迅速。而现在较大规模的网络建设,都是以千兆三层交换机为核心的所谓“千兆主干跑,百兆到桌面”的主流网络模型。VLAN技术也是网络建设中所采用的新兴技术之一。VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地址而不是物理地址划分成一个网域,从而实现虚拟工作组的新兴技术。IEEE1999年颁布了用以标准化VLAN实现方案的8
2、02.10协议标准草案。VLAN建立在局域网交换机的基础之上,网路管理员能从逻辑上对用户和网络资源进行分配,而无须考虑物理连接方式。VLAN充分体现了现代网络技术的主要特征:高速、灵活、管理简便和扩展容易。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中,是交换技术的主要组成部分,也是交换机的主要进步之一,是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络虚拟化已成为未来网络发展的主流。第一章 什么是虚拟局域网1.VLAN概述VLAN与普通局域网从原理上讲没有什么不同,但从用户使用和网络管理的角度来看VLAN与普通局域网最基本的差异体现在:VLAN并不局限于某一网络或
3、物理范围,VLAN中的用户可以位于不同地点、不同网络、甚至不同的国家。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟VLAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。2.VLAN产生的背景在局域网领域中,传统的以太网技术一直占据着主流技术,
4、但随着网络的不断扩大和应用的不断深入,其弊端也逐渐显现出来,网络运行速率低,这主要是由于其自身的缺点造成的。以太网的工作原理是利用二进制位形成的一个字节组合成的一帧一帧的数据在导线中进行传播。首先。以太网网段上需要进行数据传送的节点对导线进行监听,这个过程称为CSMA/CD(Carrier Sense Multiple Access With Collision Detection带有冲突监测的载波侦听多址访问)的载波侦听。如果,这时有另外的节点正在传送数据,监听节点将不得不等待,直到传送节点的传送任务结束,如果其时恰好有两个工作站同时准备传送数据,以太网网段将发出“冲突”信号。这时以太网网段
5、上的任何节点都要等冲突结束后才能够传送数据。也就是说在CSMA/CD方式下,在一个时间段,只有一个节点能够在导线上传送数据。而转发以太网数据帧的联网设备是集线器,它是一层设备,传输效率比较低。冲突的产生降低了以太网的带宽,而且这种情况是不可避免的。所以,当导线上的节点越来越多后,冲突的数量将会增加。显而易见得解决办法是限制以太网上的节点,对网络进行物理分段,从而减少网络上的冲突。另外一种导致网络降低运行速度的原因:广播。广播存在于所有网络上,如果不对他们进行适当的控制,它们便会充斥于整个网络,产生大量的网络通信。广播不仅消耗了带宽,而且也降低了用户工作站的处理效率。例如使用了TCP/IP协议的
6、网络操作系统就要使用广播从IP地址中解析MAC地址,还要使用广播通过RIP和IGRP协议进行宣告。所以,广播也是不可避免的。有很多企业在发展初的期,人员较少,因此对网络的要求也不高,而且为了节约成本,很多企业都采用了通过路由器实现分段的简单结构。在这样的网络下,每一个局域网上的广播数据包都可以被该段上的所有设备收到,而无视这些设备是否需要。随着企业规模的不断扩大,特别是多媒体在企业局域网中的应用,使每个部门内部的数据传输量非常大。此外,由于公司发展中一些遗留下来的问题,使得一个部门的员工不能相对集中办公,更重要的是,公司的财务部门需要越来越高的安全性,不能和其他的部门混用一个一台网段,以防止数
7、据窃听。如果要分割广播域时,一般都必须使用路由器。使用路由器后,可以以路由器上的网络接口为单位分割广播域。但是,通常情况下路由器不会有太多的网络接口,其数目多在1-4个左右。使用路由分割广播域的话,所能分割的个数完全取决于路由器的接口个数,使得用户无法自由地根据实际需要分割广播域。与路由器相比,交换机一般带有多个接口。因此如果能使用它分割广播域,那么无疑运用上的灵活性会大大提高。用于在交换机上分割广播域的技术,就是VLAN。通过利用VLAN,我们可以自由设计广播域的构成,提高网络设计的自由度。因此,在这样的背景下,就产生了虚拟局域网那个(Virtual Lan)技术。3.VLAN的优点3.1控
8、制网络的广播风暴采用VLAN技术,可以将某个交换端口或用户赋予某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,而一个VLAN的广播风暴不会影响其它VLAN性能。同样,相邻的端口不后收到其他VLAN产生的广播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。3.2确保网络安全共享式局域网之所以很难保证网络的安全性,是因为只要用户插入一个活动端口,就能访问网络。人们在LAN上经常传送一些保密的、关键性的数据。人们在LAN上传送一些保密的、关键性的数据。如何保护这些这些数据不被非法窃取,一个有效和容易实现的方法是将网络分段成几个不同的VLAN,一个VLAN就是一个单
9、独的广播域,VLAN之间相互隔离,这大大提高了网络的利用率,确保了网络的安全保密性。网络管理员可限制VLAN中用户的数量,禁止未经允许而访问VLAN中的应用。正因为VLAN能限制用户的访问,控制广播组的大小和位置,甚至能锁定某台设备的MAC地址,因此VLAN确保网络的安全性。3.3简化网络管理网络管理员借助于VLAN技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN一样方便、灵活、有效。其成员可能遍及全国或全世界,此时,网络管理员只需设置几条命令,就能在几分钟内建立该项目的VLAN网络,其成员使
10、用VLAN网络,就像在本地使用局域网一样。VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。4.VLAN分类VLAN在交换机上的实现方法,常用的可以大致划分几类:4.1基于端口划分VLAN基于端口划分VLAN,就是按交换机端口定义VLAN成员。这种方式由网络管理员静态指定VLAN到交换机的端口,这些连接端口会维护指定的VLAN设置,直到管理员重新改变它。因此,这种划分VLAN的方法又称为静态VLAN。基于端口划分VLAN的方法非常简单有效、安全、易监控管理,是一种最通用的VLAN划分方法。几乎所有的交换机都支持这种
11、方法。4.2基于MAC地址基于MAC地址划分VLAN是按每个连接到交换机设备的MAC地址(物理地址)定义VLAN成员。由于它可以按终端用户划分VLAN,所以又常把它称为基于用户的VLAN划分方法。这种划分方法常需要一个保存VLAN管理数据库的VLAN配置服务器。当工作站一开始连接到未指定VLAN的交换端口时,交换机会根据终端用户的MAC地址,检查VLAN管理数据库中的MAC地址条目,并且动态地设定连接端口和对应的VLAN设置。相对于基于端口划分VLAN,这种方法可以说是一种动态VLAN划分。在动态VLAN划分中,交换端口可以自动设置VLAN。动态划分的优点是在新增用户或用户移动时,可以减少配线
12、间中的管理工作,但是网络管理员要维护一个正确的VLAN管理数据库。另外,在使用基于MAC地址划分VLAN时,一个交换机端口有可能属于多个VLAN,在一个端口上必须接收多个VLAN的广播信息,势必会造成端口的拥挤。4.3基于第三层协议类型或地址这种方法允许按照网络层协议类型(TCP/IP,IPX,DECNET等)定义VLAN成员,也可以按网络地址(逻辑地址)定义VLAN成员。例如TCP/IP协议的IP地址或子网地址划分VLAN成员。它也是动态VLAN划分的一种方式,只是在交换机动态设定VLAN时,是依据数据报的协议类型或逻辑地址而不是根据MAC地址。基于第三层协议类型或地址划分VLAN,其优点总
13、有利于组成基于应用的VLAN。4.4根据IP广播组划分即认为一个广播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,动态地把那些需要同时通信的端口定义到一个VLAN中,任何一个工作站都有机会成为某一广播组的成员,只要它对该广播组的广播确认信息给予肯定的回答。所有加入同一个广播组的工作站被视为同一个虚拟网的成员。然而,它们的这种成员身份可根据实际需求保留一定的时间。因此,这种方法具有更大的灵活性和可延展性,而且也很容易通过路由器进行扩展。当然这种方法不适合局域网,主要是效率不高。4.5按策略划分VLAN基于策略组成的VLAN能够实现多种分配方法,包括VLAN交换机端1-1、MAC地址
14、、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN。通过VLAN策略把设备指定给VLAN,当一个策略背指定到一个交换机时,该策略就在整个网络上应用,而设备指定给VLAN中。从设备发出的帧总是经过重新计算,以使VLAN成员身份能随着设备的产生的流量类型而改变。基于策略的VLAN可以使用的任一种划分VLAN的方法,并可以把不同方法组合成一个新的策略来划分VLAN。基于策略的VLAN的划分是一种比较直接而有效的方式。4.6按用户定义、非用户授权划分VLAN基于用户定义、非用户授权来划分VLAN,是指为了适应特定的VLAN网络,根据具体的网络用户的特备
15、要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要用户提供密码,在得到VLAN广利认证后才可以加入一个VLAN。目前在网络铲平中任何了多种划分VLAN的方法,以便根据实际情况寻找最适合的途径。同时,随着管理软件的发展,VLAN的划分逐渐趋向于动态化。第二章 虚拟局域网的组建(交换机VLAN的配置) 虚拟局域网的建设一般是基于交换机的VLAN功能,故组建虚拟局域网关键在于交换机VLAN的配置,因此下面主要介绍如何进行交换机VLAN的配置。交换机配置的主要任务是:配置VTP,建立或删除VLAN,为交换机端口分配VLAN和在交换机端口上配置VLAN Trunk。一、 交换机VTP的配置配置VTP的任务主要有两个,一是建立VTP域,二是设置VTP的工作模式。配置VTP需要注意的是,在同一个域的所有交换机,必须运行相同版本的VTP,并具有相同的域名。具体配置方法如下(以Cisco设备为例):1.Catalyst 3500(Cisco IOS系统)(1)配置VTP域名。 步骤一 进入全局配置模式。 Switch-wq-3548 # config t Switch-wq-3548 (config) #步骤二 配置VTP域名。 Switch-wq-3548 (config) # vtp domain hsu (设置VTP域名为hsu)(2)配置工作模式。在全局配
