《虚拟局域网——vlan》由会员分享,可在线阅读,更多相关《虚拟局域网——vlan(31页珍藏版)》请在金锄头文库上搜索。
1、虚拟局域网VLAN*1一 问题的引入有很多企业在发展的初期,人员较少 ,因此对网 络的要求也不高,而且为了节约成本,很多企 业网都采用了通过路由器实现分段的简单结构 。在这样的网络下,每一个局域网上的广播数 据包都可以被该段上的所有设备收到,而无论 这些设备是否需要。随着企业规模的不断扩大 ,特别是多媒体在企业局域网中的应用,使每 个部门内部的数据传输量非常大。此外,由于 公司发展中的需要,使得一个部门的员工不能 相对集中办公。更重要的是,公司的财务部门 需要越来越高的安全性,不能和其他的部门混 用一个以太网段,以防止数据窃听。Date21 存在的问题n广播问题大量的数据广播给了没必要接受这些
2、数 据的终端。网络中存在过多的数据。n安全性问题把数据传送给了本不应该接受这些数据 的终端,存在安全隐患。n管理问题终端的移动会造成管理的负担Date32 问题的解决途径n利用交换机通过VLAN (Virtual Local Area Network)技术分割广播 域,划分不同的逻辑局域网以解决上述 存在的问题。Date4二 什么是VLANVLAN(Virtual Local Area Network)又 称虚拟局域网,是指在交换局域网的基 础上,采用网络管理软件构建的可跨越 不同网段、不同网络的端到端的逻辑网 络。一个VLAN组成一个逻辑子网,即 一个逻辑广播域,它可以覆盖多个网络 设备,允
3、许处于不同地理位置的网络用 户加入到一个逻辑子网中。Date5三 划分VLAN的基本策略n基于端口的VLAN划分n基于MAC地址的VLAN划分n基于子网的VLAN划分n基于用户的VLAN划分Date61 基于端口的VLAN划分基于端口的VLAN的划分是最简单、有效 的VLAN划分方法(目前定义VLAN的最 广泛的方法),它按照局域网交换机端 口来定义VLAN成员。VLAN从逻辑上把 局域网交换机的端口划分开来,从而把 终端系统划分为不同的部分,各部分相 对独立,在功能上模拟了传统的局域网 。基于端口的VLAN又分为在单交换机 端口和多交换机端口定义VLAN两种情 况: Date7单交换机端口定
4、义VLAN 如图所示,交换机的1、2、6、7、8端口组 成VLAN1,3、4、5端口组成了VLAN2。这种 VLAN只支持一个交换机。Date8多交换机端口定义VLAN 如图所示,交换机1的1、2、3端口和交换机2的4、5 、6端口组成VLAN1,交换机1的4、5、6、7、8端 口和交换机2的1、2、3、7、8端口组成VLAN2。 Date92基于MAC地址的VLAN划分基于MAC地址的VLAN,就是通过查询并记录 端口所连计算机上网卡的MAC地址来决定端 口的所属。假定有一个MAC地址“A”被交换 机设定为属于VLAN10,那么不论MAC地址 为“A”的这台计算机连在交换机哪个端口, 该端口
5、都会被划分到VLAN10中去。计算机 连在端口1时,端口1属于VLAN10;而计算 机连在端口2时,则是端口2属于VLAN10。 (如下图) Date10Date113基于子网的VLAN划分基于子网的VLAN,则是通过所连计算机的IP 地址,来决定端口所属VLAN的。不像基于 MAC地址的VLAN,即使计算机因为交换了 网卡或是其他原因导致MAC地址改变,只 要它的IP地址不变,就仍可以加入原先设 定的VLAN(如下图)Date12Date134基于用户的VLAN划分基于用户的VLAN,则是根据交换机各端口所 连的计算机上当前登录的用户,来决定该端 口属于哪个VLAN。这里的用户识别信息, 一
6、般是计算机操作系统登录的用户,比如可 以是Windows域中使用的用户名。这些用户 名信息,属于OSI第四层以上的信息。 Date14策略小结VLAN的划分策略基本可分为静态VLAN和动态VLAN 。其中基于子网的VLAN和基于用户的VLAN有可 能是网络设备厂商使用独有的协议实现的,不同 厂商的设备之间互联有可能出现兼容性问题。Date15各种策略的比较n基于端口的VLAN划分优点:简单,容易实现,从一个端口发 出的广播,直接发送到虚拟局域网内的其 他端口,也便于直接监控。缺点:使用不够灵活,当用户从一个端 口移动到另一个端口的时候网络管理员必 须重新配置虚拟局域网成员(这一点可以 通过灵活
7、的网络管理软件来弥补 )。 Date162.基于MAC地址的VLAN划分优点:交换机对终端的MAC地址和交换机端口 进行跟踪,在新终端入网时根据已经定义的虚 拟局域网MAC对应表将其划归至某一个虚拟 局域网,而无论该终端在网络中怎样移动,由 于其MAC地址保持不变,故不需进行虚拟局域 网的重新配置。这种方式减少了日常维护工作 量。缺点:所有的终端必须被明确的分配在一个具 体的虚拟局域网,任何时候增加终端或者更换 网卡,都要对虚拟局域网数据库调整,以实现 对该终端的动态跟踪。Date173.基于子网的VLAN划分优点:用户的物理位置改变,不需要重新配 置所属的VLAN,而且可以根据协议类型来划
8、分VLAN,并且这种方法不需要附加的帧标签 来识别VLAN,这样可以减少网络的通信量。 缺点:效率低,因为检查每一个数据包的网 络层地址是需要消耗处理时间(相对于前面两 种方法),一般的交换机芯片都可以自动检查 网络上数据包的以太网帧头,但要让芯片能 检查IP帧头,需要更高的技术,同时也更费 时(与各厂商的实现方法有关)。Date184.基于用户的VLAN划分 属于OSI第四层以上的信息,决定端口所属 VLAN时利用的信息在OSI中的层面越高, 就越适于构建灵活多变的网络。Date19四 VLAN的标准对VLAN的标准,我们只是介绍两种比较通用的标 准,当然也有一些公司具有自己的标准,比如 C
9、isco公司的ISL标准,虽然不是一种大众化的标准 ,但是由于Cisco Catalyst交换机的大量使用,ISL 也成为一种不是标准的标准了。 802.10VLAN标准 在1995年,Cisco公司提倡使用IEEE802.10协 议。在此之前,IEEE802.10曾经在全球范围内作 为VLAN安全性的同一规范。Cisco公司试图采用优 化后的802.10帧格式在网络上传输FrameTagging( 帧标签)模式中所必须的VLAN标签。然而,大多数 802委员会的成员都反对推广802.10。因为,该协 议是基于FrameTagging方式的。 Date20 802.1Q 在1996年3月,IE
10、EE802.1Internetworking委员会结 束了对VLAN初期标准的修订工作。新出台的标准进一步 完善了VLAN的体系结构,统一了FrameTagging方式中 不同厂商的标签格式,并制定了VLAN标准在未来一段时 间内的发展方向,形成的802.1Q的标准在业界获得了广 泛的推广。它成为VLAN史上的一块里程碑。802.1Q的 出现打破了虚拟网依赖于单一厂商的僵局,从一个侧面 推动了VLAN的迅速发展。另外,来自市场的压力使各大 网络厂商立刻将新标准融合到他们各自的产品中。 Cisco ISL 标签ISL(Inter-Switch Link)是Cisco公司的专有封装方 式,因此只能
11、在Cisco的设备上支持。ISL是一个在交换 机之间、交换机与路由器之间及交换机与服务器之间传 递多个VLAN信息及VLAN数据流的协议,通过在交换机 直接的端口配置ISL封装,即可跨越交换机进行整个网络 的VLAN分配和配置。 Date21五 VLAN发展趋势 目前在宽带网络中实现的VLAN基本上能满足广大网络用户的 需求,但网络性能、网络流量控制、网络通信优先级控制等 还有待提高。VTP(VLAN Trunking Protocol虚拟局域网干道 协议 )技术、STP(Spanning Tree Protocol 生成树协议)技术 ,基于三层交换的VLAN技术等在VLAN使用中存在网络效率
12、 的瓶颈问题,这主要是IEEE802.1Q、IEEE802.1D协议的不 完善所致,IEEE正在制定和完善IEEE802.1S( MultipleSpanningTrees)和IEEE802.1W( RapidReconfigurationofSpanningTree)来改善VLAN的性能 。采用IEEE802.3z和IEEE802.3ab协议,并结合使用RISC( 精简指令集计算)处理器或者网络处理器而研制的吉位 VLAN交换机在网络流量等方面采取了相应的措施,大大提 高了VLAN网络的性能。IEEE802.1P协议提出了COS( ClassofService)标准,这使网络通信优先级控制机
13、制有了 参考。 Date22ARP协议(address resolution Protocol)基本功能:在以太网协议中规定,同一局域网 中的一台主机要和另一台主机进行直接通信 ,必须要知道目标主机的MAC地址。而在 TCP/IP协议栈中,网络层和传输层只关心目 标主机的IP地址。这就导致在以太网中使用 IP协议时,数据链路层的以太网协议接到上 层IP协议提供的数据中,只包含目的主机的 IP地址。于是需要一种方法,根据目的主机 的IP地址,获得其MAC地址。这就是ARP协 议要做的事情。所谓地址解析(address resolution)就是主机在发送帧前将目标IP 地址转换成目标MAC地址的
14、过程。 Date23ARP协议(address resolution Protocol) 工作原理:1 发送主机发送一个本地的RARP广播,在此广播包中 ,声明自己的MAC地址并且请求任何收到此请求的 RARP服务器分配一个IP地址; 2 本地网段上的RARP服务器收到此请求后,检查其 RARP列表,查找该MAC地址对应的IP地址; 3 如果存在,RARP服务器就给源主机发送一个响应数 据包并将此IP地址提供给对方主机使用; 4 如果不存在,RARP服务器对此不做任何的响应; 5 源主机收到从RARP服务器的响应信息,就利用得到 的IP地址进行通讯;如果一直没有收到RARP服务器的 响应信息,
15、表示初始化失败。 6如果在第1-3中被ARP病毒攻击,则服务器做出的反 映就会被占用,源主机同样得不到RARP服务器的响应 信息,此时并不是服务器没有响应而是服务器返回的源 主机的IP被占用。 (ARP命令)Date24广播域 广播域(Broadcast Domain)是指网段上所 有设备的集合。这些设备收听送往那个 网段的所有广播;网络中能接收任一设 备发出的广播帧的所有设备的集合;广 播域是基于第二层(链路层);广播域 就是说如果站点发出一个广播信号后能 接收到这个信号的范围。通常来说一个 局域网就是一个广播域。 Date25广播风暴所谓广播风暴(Broadcast Storm),简 单的
16、讲,当广播数据充斥网络无法处理 ,并占用大量网络带宽,导致正常业务 不能运行,甚至彻底瘫痪,这就发生了 “广播风暴”。一个数据帧或 包被传输到 本地网段 (由广播域定义)上的每个节点 就是广播;由于网络拓扑的设计和连接 问题,或其他原因导致广播在网段内大 量复制,传播数据帧,导致网络性能下 降,甚至网络瘫痪,这就是广播风暴。 Date26交换局域网交换式局域网所有站点都连接到一个交换式集 线器或局域网交换机上。 交换式集线器或局 域网交换机具有交换功能,它们的特点是: 所有端口平时都不连通,当工作站需要通信 时,交换式集线器或局域网交换机能同时连 通许多端口,使 每一对端口都能像独占通信 媒体那样无冲突的传输数据,通信完成后断 开连接。由于消除了公共的通信媒体,每个 站点独自使用一条链路,不存在冲突问题, 可以提 高用户的平均数据传输速率,即容量 得以扩大。 Date27MAC地址 MAC(Medium/Media Access Control)地址,或 称为 MAC位址、硬件地址,用来定义网络设备的 位置,由48比特长,12位的16进制数字
