《虚拟局域网技术的研究》由会员分享,可在线阅读,更多相关《虚拟局域网技术的研究(5页珍藏版)》请在金锄头文库上搜索。
1、虚拟局域网技术的研究李宁(平顶山工业职业技术学院 平顶山467001 )摘要:虚拟局域网VLAN (Virtual Local Area Network)是在局域网交换机里采用网络管 理软件所构建的可跨越不同位置的端到端逻辑网络,文章阐述了 VLAN概念、形成原因、 技术研究及实现方法。关键词:VLAN,广播域,MAC地址,IP组播The Research Of Technology About Virtual Local Area NetworkLining(Pingdingshan Institute of Industry Technology, Pingdingshan, 467001
2、)Abstract: VLAN is a logic network of end to end which adopted administrative software to construct and can crossover different location. In the paper explained the important concepts of VLANx technique research and the implement method in detailKeywords : VLAN, Broadcasting Netcasting, MAC Address,
3、 IP Multicate Broadcasting0引言虚拟局域网VLAX (Virtual Local Area Network),是将局域网内的设备逻辑地而不是 物理地划分成一个个网段从而实现虚拟工作组的一门新兴技术。VLAN建立在局域网交换机 的基础之上,是局域交换网的灵魂。通过VLAN用户能方便地在网络中移动和快捷地纽建宽带 网络,而无需改变任何硬件和通信线路,网络管理员能肯接从逻辑上对用户和网络资源进行 分配,而不必考虑物理连接方式。VLAN充分体现了现代网络技术高速、灵活、管理简便和 扩展容量的重要特征,具有VLAN功能已经成为衡量局域网交换机的一项重要指标,网络的 虚拟化也成为
4、未來网络发展的趋势。VLAN是对连接到的第二层交换机端口的网络用户,不受具物理位直的限制而根据用户 需求进行的网络分段;一个VLAN可以在一个交换机或者跨交换机实现,VLAN可以根据网络 用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。VLA与 普通局域网从原理上讲没冇什么不同,但从用户使用和网络管理的角度来看,VLAN与普通 局域网最基本的差界体现在:VLAN并不局限于某一网络或物理范围,VLAN中的用八可以位 于一个园区的任意位置,甚至位于不同的国家。IEEE于1999年颁布了用以标准化VLAN实 现方案的802. 1Q协议标准草案。1 广播域技术(Broadcas
5、ting Domin Technique)广播域是指广播帧(F1标MAC地址全部为1)所能传递到的范围,即能够直接通信的范 围。严格来讲,广播帧(Broadcasting Frame) x多播帧(Multicast Frame)和目标不明的 单播帧(Unknown Unicast Frame)都能在同一个广播域中畅行无阻。一个广播域可能会影 响到网络鉴体的传输性能,详见图lo交换机3口交换机2广播帧会传 播到网络中 的每一台主 机,并对每 一台计算机 的CPU造成 负担交换机1交换机4V 口交换机3图2广播帧在网络中的传播图1是由5台二层交换机(交换机15)连接了大量客户机构成的网络,计算机A
6、需 要与计算机B通信。在基于以太网的通信中,必须在数据帧(data Frame)中指定目标MAC 地址才能正常通信,因此计算机A必须先广播“ARP请求(ARP Request)信息”,来尝试 获取计算机B的MAC地址。交换机1收到广播帧(ARP请求)后,会将它转发给除接收端口外的其他所有端口,也 就出现了信息泛滥;接着,交换机2收到广播帧后也是如此;交换机3、4、5也会有同样情 况出现,这就导致ARP请求会被转发到同一网络中的所有客户机上。这个ARP请求原木是为了获得计算机B的MAC地址而发出的,即只要计算机B能收到即 达到要求。但事实上,数据帧却传遍整个网络,使所有的计算机都收到了它。导致的
7、结果是: 广播信息消耗了网络整体的带宽;收到广播信息的计算机需要消耗一部分CPU时间來对它进 行处理,造成了网络带宽和CPU运算能力的大量无谓消耗。在实际情况中,广播帧会非常频 繁地出现,利用TCP/IP协议栈通信时,除了前而出现的ARP外,述有可能需要发岀DHCP、 RIP、NetBEUI等很多其他类型的广播信息。如果整个网络只有一个广播域,那么一旦发出广播信息,就会传遍整个网络,并且对网 络中的主机带來额外的负担,这就提出了划分广播域的必要。分割广播域时,一般都是使用路由器,使用路市器后,可以以路由器上的网络接口(LAN Interface)为单位分割广播域;但路由器上不会有太多的网络接口
8、,其数目多在14个左 右;而且使用路由器分割广播域的话,所能分割的个数完全取决于路由器的网络接口个数, 使得用户无法自由地根据实际需耍分割广播域。与路由器相比,二层交换机一般带有多个网络接口,如果能使用它分割广播域,无疑运 丿IJ的灵活性会大大提高,用于在二层交换机上分割广播域的技术,就是VLAN。通过利用VLAN, 我们可以自由设计广播域的构成,提高网络设计的自由度。2 VLAN技术VLAN具有以下优点:控制网络的广播风暴:采用VLAN技术,可将某个交换端口划 到某个VLAN中,而一个VLAN的广播风暴不会影响其它VLAN的性能。确保网络安全:共 亨式局域网之所以很难保证网络的安全性,是因为
9、只要川户插入一个活动端口,就能访问网 络。而VLAN能限制个别用户的访问,控制广播组的人小和位置,甚至能锁定某台设备的MAC 地址,因此VLAN能确保网络的安全性。简化网络管理:网络管理员能借助于VLAN技术 轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络,其成员可能遍及全国或 全世界,此时,网络管理员只需设置几条命令,就能在几分钟内建立该项冃的VLAN网络, 其成员使用VLAN网络,就像在木地使用局域网一样。2. 1 VLAN的分类1)基于端口划分的VLAN根据以太网交换机的端口划分,比如Quidway S3526的广4端口为VLAN 10, 517为 VLAN 20, 1824
10、为VLAN 30,属于同一 VLAN的端口可以不连续,如何配置,由管理员决定。 如果有多个交换机,例如:可以指定交换机1的广6端口和交换机2的广4端口为同一 VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是忖前定义VLAN的最广泛的 方法。IEEE 802. 1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。基于端口划分的VLAN优点在于定义VLAN成员时非常简单,只要将所有的端口都指定一 下即可。缺点是如果VLAN的用户离开了原來的端口,到一个新的交换机的某个端口,就必 须重新进行定义。2)基于MAC地址划分VLAN根据每个主机的MAC地址划分,即对每个MAC地址的主
11、机都配置他属于哪个组。这种划 分方法的优点是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用 重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN。缺点是初始 化时,所有的用户都必须进行配置,如果有几百个戻至上千个用户的话,配置的工作量很人; 而R这种划分的方法也导致了交换机执行效率降低,因为在每一个交换机的端口都可能存在 很多个VLAN组的成员,这样就无法限制广播包;另外,对于使用笔记本电脑的用户来说, 网卡可能会经常更换,这样,VLAN就必须不停的配置。3)基于网络层划分VLAN根据每个主机的网络层地址或协议类型(如果支持多协议)划分,虽然这种划分方
12、法根据 的是网络地址,比如1P地址,但它不是路由,与网络层的路由毫无关系。在查看每个数据 包的IP地址时,由于不是路由,所以没有RIP, OSPF等路由协议,而是根据生成树算法进 行桥交换。这种方法的优点是一旦川户的物理位置改变,不需要重新配置所属的VLAN,而 且可以根据协议类型來划分VLAN,这对网络管理者來说很重要;具次,这种方法不需耍附 加的帧标签来识别VLAN,这样可以减少网络的通信量。缺点是效率低,因为检査每一个数 据包的网络层地址是盂要消耗处理时间的(相对于前面两种方法),一燉的交换机芯片都可以 H动检查网络上数据包的以太网祯头,但要让芯片能检查IP帧头,需要更高的技术,同时 也
13、更费时,当然这决定于各个厂商的实现方法。4)根据1P组播划分VLANIP组播实际上也是一利LAN的定义,即认为一个组播组就是一个VLAN,这种划分的 方法将VLAN扩大到了广域网,因此这种方法具冇更大的灵活性,而且也很容易通过路由器 进行扩展,但这种方法不适合局域网,主要是效率不高。鉴于当前业界VLAN发展的趋势,考虑到各种VLAN划分方式的优缺点,为了最大程度上 地满足用户在具体使用过程中需求,减轻用户在VLAN的具体使用和维护中的工作量, Quidway S系列交换机采用根据端口来划分VLAN的方法。2. 2通过中继(Trunk)传输VLAN数据VLA可以跨交换机实现,交换机Z间用于传输不
14、同的虚拟局域网数据的级连线称为主 干线或者中继线,主干线或中继线要选用高带宽、高容量的线路。在中继线上传输不同的VLAN的数据时,可使用冇两种方法识別不同的VLAN的数据:帧 过滤和帧标记。帧过滤法根据交换机的过滤表检杳帧的详细信息,每一个交换机要维护复杂 的过滤表,同时対通过主干的每一个帧进行详细检查,这会增加网络延迟时间。目前在VLAN 中这种方法已经不再使用了。IT前使用的是帧标记法,数据帧在中继线上传输的时候,交换 机在帧头的信息中加标记来指定相应的VLAN ID,当帧通过中继以示,去掉标记同时把帧交 换到相应的VLAN端口。帧标记法被IEEE选定为标准化的中继机制。以太网上实现中继可
15、使用两种封装类型:ISL(Inner Switch Link)和IEEE 802. lq。ISL 是CISCO特有的标记方法,而802. lq是一种标准的标记方法,非CISCO的产品也能够支持。 因此,实现中继时候需要把级连交换机的两个端口配置为中继,同时选择相同的封装类型。 2. 3 VLAN中的中继协议和生成树协议VLAN中继协议VTP(VLAN Trunking Protocol)保持在整个交换网络中的对VLAN的删除、 添加、修改等管理的一致性。在同一个VTP域内,VTP通过中继端口在交换机Z间传送VTP 信息,从而使一个VTP域内交换机共享VLAN信息。VLAN牛.成树协议STP(S
16、panning Tree Protocol)是为网络提供路径兀余同时防止产牛环 路的第二层的管理协议。为了使交换网络正常运行,STP网络上的任何两个终端之间只有一 条冇效路径,STP使用生成树算法计算没冇环路的最佳路径,使一些备用路径处于阻塞状态。 人的交换网络中尤其有多个VLAN的时候,适当配置STP很重要。2. 4支持VLAN的防火墙技术支持VLAN的防火墙从支持VLAN的交换机那里获得头部带有802. 1Q标签的数据包,这 些标签将被防火墙展开,用来进行安全规则的检测。到目前为止,802. 1Q标签不仅适用于 以太网,其他类型的网络包括ATM和FDD1同样适用。802. 1Q标签并不能提供身份验证,它只是交换机用来标,忐从特定VLAN来的特定数据包 的一种方式,如同许多年來人们伪造IP源地址一样,VLAN标签同样可以被伪造。最新的L
