虚拟局域网要点.docx

该【虚拟局域网要点 】是由【书生教育】上传分享，文档一共【20】页，该文档可以免费在线阅读，需要了解更多关于【虚拟局域网要点 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。虚拟局域网虚拟局域网VLAN(work )的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。但又不是所有交换机都具有此功能,只有VLAN协议的第三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。 。VLAN技术的出现,使得管理员根据Vlan网卡Intel82573实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。交换技术的发展,也加快了新的交换技术(VLAN)的应用速度。通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。在共享网络中,一个物理的网段就是一个广播域。而在交换网络中,广播域可以是有一组任意选定的第二层网络地址(MAC地址)组成的虚拟网段。这样,网络中工作组的划分可以突破共享网络中的地理位置限制,而完全根据管理功能来划分。这种基于工作流的分组模式,大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站,不论它们实际与哪个交换机连接,它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到,而不会传输到其他的VLAN中去,这样可以很好的控制不必要的广播风暴的产生。同时,若没有路由的话,不同VLAN之间不能相互通讯,这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据交换机的端口来划分 VLAN的。所以,用户可以自由的在企业网络中移动办公,不论他在何处接入交换网络,他都可以与 VLAN内其他用户自如通讯。VLAN网络可以是有混合的网络类型设备组成,比如: 10M以太网、100M以太网、令牌网、FDDI、CDDI等等,可以是工作站、服务器、集线器、网络上行主干等等。VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。编辑本段 VLAN的目的VLAN(work,虚拟局域网)的目的非常的多。通过认识VLAN的本质,将可以了解到其用处究竟在哪些地方。第一,要知道 和 都属于不同的网段, 都必须要通过路由器才能进行访问,凡是不同网段间要互相访问,都必须通过路由器。第二,VLAN本质就是指一个网段,之所以叫做虚拟的局域网,是因为它是在虚拟的路由器的接口下创建的网段。下面,给予说明。比如一个路由器只有一个用于终端连接的端口(当然这种情况基本不可能发生,只不过简化举例),这个端口被分配了的地址。然而由于公司有两个部门,一个销售部,一个企划部,每个部门要求单独成为一个子网,有单独的服务器。那么当然可以划分为、 。但是路由器的物理端口只应该可以分配一个 IP地址,那怎样来区分不同网段了?这就可以在这个物理端口下,创建两个子接口 ---逻辑接口实现。比如逻辑接口 F0/ 就分配IP地址 ,用于销售部,而 F0/ 就分配IP地址 ,用于企划部。这样就等于用一个物理端口确实现了两个逻辑接口的功能,这样就将原本只能划分一个网段的情形,扩展到了可以划分2个或者更多个网段的情形。这些网段因为是在逻辑接口下创建的,所以称之为虚拟局域网VLAN。这是在路由器的层次上阐述了 VLAN的目的。第三,将在交换机的层次上阐述 VLAN的目的。在现实中,由于很多原因必须划分出不同网段。 比如就简单的只有销售部和企划部两个网段。那么可以简单的将销售部全部接入一个交换机, 然后接入路由器的一个端口,把企划部全部接入一个交换机,然后接入一个路由器端口。这种情况是 ,如果路由器就一个用于终端的接口, 那么这两个交换机就必须接入这同一个路由器的接口,这个时候,如果还想保持原来的网段的划分,那么就必须使用路由器的子接口,创建 ,比如两个交换机,如果你想要每个交换机上的端口都分别属于不同的网段,那么你有几个网段,就提供几个路由器的接口,这个时候,虽然在路由器的物理接口上可以定义这个接口可以连接哪个网段, 但是在交换机的层次上,它并不能区分哪个端口属于哪个网段,那么唯一实现能区分的方法,就是划分 VLAN,使用了 VLAN就能区分出某个交换机端口的终端是属于哪个网段的。综上,当一个交换机上的所有端口中有至少一个端口属于不同网段的时候, 当路由器的一个物理端口要连接 2个或者以上的网段的时候,就是 VLAN发挥作用的时候,这就是VLAN的目的。编辑本段 VLAN的优点广播风暴防范限制网络上的广播, 将网络划分为多个 VLAN可减少参与广播风暴的设备数量。 LAN分段可以防止广播风暴波及整个网络。 VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用 VLAN,可以将某个交换端口或用户赋于某一个特定的 VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个 VLAN中的广播不会送到 VLAN之外。同样,相邻的端口不会收到其他 VLAN产生的广 播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。安全增强局域网的安全性,含有敏感数据的用户组可与网络的其余部分隔离, 从而降低泄露机密信息的可能性。 不同VLAN内的报文在传输时是相互隔离的,即一个 VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。成本降低成本高昂的网络升级需求减少, 现有带宽和上行链路的利用率更高, 因此可节约成本。性能提高将第二层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并提高性能。提高IT员工效率VLAN为网络管理带来了方便,因为有相似网络需求的用户将共享同一个 VLAN。应用管理VLAN将用户和网络设备聚合到一起,以支持商业需求或地域上的需求。通过职能划分,项目管理或特殊应用的处理都变得十分方便,例如可以轻松管理教师的电子教学开发平台。此外,也很容易确定升级网络服务的影响范围。增加网络连接的灵活性借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地 LAN一样方便、灵活、有效。 VLAN可以降低移动或变更工作站地理位置的管 理费用,特别是一些业务情况有经常性变动的公司使用了 VLAN后,这部分管理费用大大降低。编辑本段组建 VLAN的条件VLAN是建立在物理网络基础上的一种逻辑子网,因此建立 VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同 VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成,同时还严格限制了用户数量。编辑本段 VLAN的划分根据端口来划分 VLAN许多VLAN厂商都利用交换机的端口来划分 VLAN成员。被设定的端口都在同一个广播域中。例如,一个交换机的 1,2,3,4,5端口被定义为虚拟网 AAA,同一交换机的6,7,8端口组成虚拟网 BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。根据MAC地址划分 VLAN这种划分 VLAN的方法是根据每个主机的 MAC地址来划分,即对每个 MAC地址的主机都配置它属于哪个组。这种划分 VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时, VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的 VLAN,这种方法的缺点是初始化时, 所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样, VLAN就必须不停地配置。根据网络层划分 VLAN这种划分 VLAN的方法是根据每个主机的网络层地址或协议类型 (如果支持多协议划分的,虽然这种划分方法是根据网络地址,比如 IP地址,但它不是路由,与网络层的路由毫无关系。这种方法的优点是用户的物理位置改变了,不需要重新配置所属的 VLAN,而且可以根据协议类型来划分 VLAN,这对网络管理者来说很重要,还有,这种方法不需要附)加的帧标签来识别 VLAN,这样可以减少网络的通信量。这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。根据IP组播划分 VLANIP 组播实际上也是一种 VLAN的定义,即认为一个组播组就是一个 VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。基于规则的 VLAN也称为基于策略的VLAN。这是最灵活的VLAN划分方法,具有自动配置的能力,能够把相关的用户连成一体,在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则(或属性),那么当一个站点加入网络中时,将会被“感知”,并被自动地包含进正确的VLAN中。同时,对站点的移动和改变也可自动识别和跟踪。采用这种方法, 整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的 VLAN,这在交换机与共享式 Hub共存的环境中显得尤为重要。自动配置 VLAN时,交换机中软件自动检查进入交换机端口的广播信息的IP源地址,然后软件自动将这个端口分配给一个由 IP子网映射成的 VLAN。按用户划分 VLAN基于用户定义、非用户授权来划分 VLAN,是指为了适应特别的 VLAN网络,根据具体的网络用户的特别要求来定义和设计 VLAN,而且可以让非 VLAN群体用户访问 VLAN,但是需要提供用户密码,在得到 VLAN管理的认证后才可以加入一个 VLAN。以上划分VLAN的方式中,基于端口的VLAN端口方式建立在物理层上;MAC方式建立在数据链路层上;网络层和 IP广播方式建立在第三层上。编辑本段 VLAN的标准对VLAN的标准,我们只是介绍两种比较通用的标准,当然也有一些公司具有自己的标准,比如Cisco公司的ISL标准,虽然不是一种大众化的标准,但是由于CiscoCatalyst交换机的大量使用,ISL也成为一种不是标准的标准了。,。在此之前, VLAN安全性的同一规范。 Cisco公司试图采用优化后的 FramTagging模式中所必须的 VLAN标签。然而,大多数 802委员会的成员都反对推广 。因为,该协议是基于 FrameTagging方式的。·, 委员会结束了对 VLAN初期标准的修订工作。新出台的标准进一步完善了 VLAN的体系结构,统一了 Frame-Tagging 方式中不同厂商的标签格式, 并制定了 VLAN标准在未来一段时间内的发展方向, 。它成为 VLAN史上的一块里程碑。 ,从一个侧面推动了 VLAN的迅速发展。另外,来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。:·CiscoISL标签ISL(Inter-SwitchLink)是Cisco公司的专有封装方式,因此只能在Cisco的设备上支持。ISL是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接的端口配置 ISL封装,即可跨越交换机进行整个网络的 VLAN分配和配置。编辑本段划分 VLAN的基本策略从技术角度讲, VLAN的划分可依据不同原则,一般有以下三种划分方法:基于端口这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。最有基于MAC地址MAC地址其实就是指网卡的标识符,每一块网卡的 MAC地址都是唯一且固化在网卡上的。MAC地址由12位16进制数表示,前 6位为网卡的厂商标识( OUI),后6位为网卡标识(NIC)。网络管理员可按 MAC地址把一些站点划分为一个逻辑子网。基于路由路由协议工作在网络层, 相应的工作设备有路由器和路由交换机 (即三层交换机) 。该方式允许一个 VLAN跨越多个交换机,或一个端口位于多个 VLAN中。就目前来说,对于 VLAN的划分主要采取上述第 1、3种方式,第 2种方式为辅助性的方案。编辑本段 VLAN技术简单谈局域网的发展是VLAN产生的基础,所以在介绍VLAN之前,我们先来了解一下局域网的有关知识。