《虚拟局域网的工作原理》由会员分享,可在线阅读,更多相关《虚拟局域网的工作原理(3页珍藏版)》请在金锄头文库上搜索。
1、虚拟局域网的工作原理VLAN (Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的 基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网 络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络 设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。有一个重要 问题不可回避:VLAN之间如何通信?显然不能再通过第2层交换机。那样的话, 广播域又合并到一起了,其必经之路是路由器。这样的结果是,本来企图通过 VLAN的划分,来使用交换机代替路由器组建大型网络,以提高网络的性能,可 是又回到路由器上来了,这就是VLAN的一大矛
2、盾。目前,VLAN之间的通讯大多是通过中心路由器完成的。这也是保证VLAN 组网灵活性的惟一办法。所有的VLAN都经过中心路由器(当然可以配置备份 的中心路由器),也就是所有的广播都经过中心路由器,这样中心路由器就承受 了更大的压力。当VLAN之间的通讯量较大时,中心路由器就成了网络的瓶颈, 并且一旦中心路由器失效,所有VLAN之间的通讯将无法进行。这是VLAN存 在的另一个矛盾多个VLAN可不可以处于同一个网段中。这个的答案是可以的。无论按照何 种VLAN划分方法,多个VLAN完全可以处于同一个网段中。多VLAN通信问 题,如果多VLAN处于同一个网段中(可以想象一个A类地址),他们之间显然
3、 在二层是不能通信的,这个就是VLAN隔离。要使这些VLAN能够进行通信, 必须为这些VLAN建立路由。VLAN,是英文Virtual Local Area Network的缩写,中文名为”虚拟局域网”, VLAN是一种将局域网(LAN)设备从逻辑上划分(注意,不是从物理上划分) 成一个个网段(或者 说是更小的局域网LAN),从而实现虚拟工作组(单元) 的数据交换技术。VLAN这一新兴技术主要应用于交换机和路由器中,但目前 主流应用还是在交换机之中。不过不是所有交换机都具有此功能,只有三层以 上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。VLAN 的好处主要有三个:(1)端口
4、的分隔。即便在同一个交换机上,处于不同VLAN的端口也是不能通信 的。这样一个物理的交换机可以当作多个逻辑的交换机使用。(2)网络的安全。不同VLAN不能直接通信,杜绝了广播信息的不安全性。(3)灵活的管理。更改用户所属的网络不必换端口和连线,只更改软件配置就可 以了。VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网 内的不同用户逻 辑地划分成不同的广播域,每一个VLAN都包含一组有着相同 需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑 上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在 同一个物理范围中,即这些工作站可以在不同物理L
5、AN网段。由VLAN的特 点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而 有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN 除了能将网络划 分为多个广播域,从而有效地控制广播风暴的发生,以及使网 络的拓扑结构变得非常灵活 的优点外,还可以用于控制网络中不同部门、不同 站点之间的互相访问。VLAN在交换机上的实现方法,可以大致划分为六类:1. 基于端口的VLAN这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大 多数VLAN协 议的交换机都提供这种VLAN配置方法。这种划分VLAN的方 法是根据以太网交换机的交换端口来划分的,它是
6、将VLAN交换机上的物理端 口和VLAN交换机内部的PVC (永久虚电路)端口分成若干个组,每个组构成 一个虚拟网,相当于一个独立的VLAN交换机。对于不同部门需要互访时,可 通过路由器转发,并配合基于MAC地址的端口过滤。对某站点的访问路径上最 靠近该站点的交换机、路由交换机或路由器的相应端口上,设定可通 过的MAC 地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的 可能。从这种划分方法本身我们可以看出,这种划分的方法的优点是定义 VLAN成员时非常简 单,只要将所有的端口都定义为相应的VLAN组即可。适 合于任何大小的网络。它的缺点是如果某用户离开了原来的端口,到了一
7、个新 的交换机的某个端口,必须重新定义。2. 基于MAC地址的VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC 地址的主机都配 置他属于哪个组,它实现的机制就是每一块网卡都对应唯一的 MAC地址,VLAN交换机跟踪属 于VLAN MAC的地址。这种方式的VLAN 允许网络用户从一个物理位置移动到另一个物理位置时,自动保留其所属VLAN 的成员身份。由这种划分的机制可以看出,这种VLAN的划分方法的最大优点 就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用 重新配置,因为它是基于用户,而 不是基于交换机的端口。这种方法的缺点是 初始化时,所有
8、的用户都必须进行配置,如果 有几百个甚至上千个用户的话, 配置是非常累的,所以这种划分方法通常适用于小型局域网。而且这种划分的 方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都 可能存在 很多个VLAN组的成员,保存了许多用户的MAC地址,查询起来相当不容易。 另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样VLAN 就必须经常配置。3. 基于网络层协议的VLANVLAN按网络层协议来划分,可分为IP、IPX、DECnet、AppleTalk、Banyan 等VLAN网络。这种按网络层协议来组成的VLAN,可使广播域跨越多个VLAN 交换机。这对于希望针对具 体应用
9、和服务来组织用户的网络管理员来说是非常具有吸引力的。而且,用户可 以在网络内部自由移动,但其VLAN成员身份仍然保留不变。这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且 可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方 法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。这种方法 的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的 (相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以 太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然, 这与各个厂商的实现方法有关。4. 根据IP组
10、播的VLANIP组播实际上也是一种 VLAN的定义,即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的 灵活性,而且也很容易通过路由器进行扩展,主要适合于不在同一地理范围的 局域网用户组成一个VLAN,不适合局域网,主要是效率不高。5. 按策略划分的VLAN基于策略组成的VLAN能实现多种分配方法,包括VLAN交换机端口、MAC 地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位 的需求来决定选择哪种类型的VLAN。6. 按用户定义、非用户授权划分的VLAN基于用户定义、非用户授权来划分VLAN,是指为了适应特别的VLAN网络, 根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群 体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可 以加入一个VLAN。
