老周部落 发表于 2012-11-12 20:28:03

VLAN技术 简介

  摘要 首先介绍了VLAN的实现原理、主要功能以及主要特征;然后对VLAN的类型进行划分;接着介绍了VLAN的通信方式;最后针对VLAN的功能特点做了展望。

  虚拟局域网(Virtual Local Area Network,VLAN)是一种近年来在计算机通信领域内逐渐发展起来的一种网络技术。VLAN是将局域网内的设备逻辑地而不是物理地划分成网段,从而实现虚拟工作组的一种技术。它在广播抑制、动态组网等方面具有其他网络无法比拟的优越性,因此得到了长足的发展。

  1、VLAN的实现原理与主要特征

  1.1 VLAN的实现原理

  VLAN的实现原理是:当VLAN交换机从工作站接收到数据后,将对数据的部分内容进行检查,并与一个VLAN配置数据库(该数据库含有静态配置的或者动态学习而得到的MAC地址等信息)中的内容进行比较,然后确定数据去向。如果数据要发往一个VLAN设备(VLAN-aware),则给这个数据加上一个标记(Tag)或者VLAN标识,根据VLAN标识和目的地址,VLAN交换机就可以将该数据转发到同一VLAN上适当的目的地;如果数据发往非VLAN设备(VLAN-unaware),则VLAN交换机发送不带VLAN标识的数据。

  1.2 VLAN的主要功能

  在一个有多个二级单位的企业内与各孤立网络进行互联时,出于对不同职能部门的管理、安全和整体网络稳定运行的考虑,需要对各个网络进行既独立又统一的管理,此时就要用到VLAN。

  1.2.1 广播抑制功能

  为了防止大量用户发送消息时形成广播风暴,避免造成整个网络性能下降甚至瘫痪,虚拟网技术将广播域按需要分成更小的、各自独立的VLAN。这样能够使网络中广播包在消耗带宽中所占的比例大大降低,从而使网络性能得到显著提高。

  1.2.2 动态网络功能

  在虚拟环境下,某一个VLAN成员与该VLAN仅仅是逻辑上的关系,而与地理位置无关。因此,可以很方便地加入或撤除VLAN,克服了使用传统路由器隔离广播信息的方法所带来的问题。

  1.2.3 网络安全功能

  根据安全需要,虚拟技术可以将不同层次的用户群划分为不同的VLAN,对不同用户之间的通信进行限制。虚拟网之间的通信是通过路由技术实现的。它能够使双方不知道彼此具体的MAC地址,从而消除通信双方直接连接的可能性,使网络安全性得到很大提高,还可以通过路由技术的包过滤等功能来进一步提高网络安全性。

  1.3 VLAN的主要特征

  VLAN具有以下主要特征:

  (1)所有成员组成一个VLAN。同一个VLAN中的所有成员共同组成一个“独立于物理位置而具有相同逻辑的广播域”,共享一个VLAN标志(VLAN ID),组成一个虚拟局域网络。
  (2)成员间收发广播包的特点是同一个VLAN中的所有成员均能收到由同一个VLAN中的其他成员发送来的每一个广播包,但收不到其他VLAN中成员发来的广播包。
  (3)成员间通信的特点是同一个VLAN中的所有成员之间的通信,通过VLAN交换机可以直接进行,不需路由支持;不同VLAN成员之间不能直接通信,无论采用传统路由器方式还是虚拟路由方式,均需要通过路由支持才能进行。
  (4)便于工作组优化组合。控制通信活动,隔离广播数据顺化网络管理,方便工作组优化组合。VLAN中的成员只要拥有一个VLAN ID,就可以不受物理位置的限制,随意移动工作站的位置。
  (5)网络安全性强。通过路由访问列表、MAC地址分配等VLAN划分原则,可以控制用户的访问权限和逻辑网段的大小。VLAN交换机就像是一道道“屏风”,只有具备VLAN成员资格的分组数据才能通过,这比用计算机服务器做防火墙要安全得多,增加了网络的安全性,提高了网络的整体安全能力。
  (6)网络性能高。网络带宽得到充分利用,网络性能大大提高。
  (7)网络管理简单、直观。

  2、VLAN的划分类型

  2.1 基于端口划分

  将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。该方法简单、有效,是最常用的一种方式,网络管理员针对网络设备的交换端口,将其进行重新分配组合在不同的逻辑网段中即可,而不用考虑该端口所连接的是什么设备。该方法的主要缺点在于不允许用户移动,一旦用户移动到一个新的位置,网络管理员必须要配置新的VLAN。

  2.2 基于MAC地址划分

  MAC地址就是指网卡(NIC)的标识符,每一块网卡的MAC地址都是惟一的。从某种意义上说,这是一种基于用户的网络划分手段,基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN组合。在网络规模较小时,该方案不失为一个好方法,但随着网络规模的扩大以及网络设备、用户的增加,会在很大程度上加大管理的难度。这种方式的VLAN划分允许网络用户从一个物理位置移动到另一个物理位置时,自动保留其所属VLAN的成员身份。但这种方式要求网络管理员须将每个用户都一一划分在某个VLAN中,这在一个大规模的VLAN中会存在一些困难;另外,由于笔记本电脑没有网卡,因而当笔记本电脑移动到另一个站时,VLAN需要重新配置。

  2.3 基于策略划分

  基于策略的VLAN划分是一种比较有效而直接的方式,能实现多种分配方法,包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN,这主要取决于在VLAN的划分中所采用的策略。

  2.4 基于网络协议划分

  按照网络层协议可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议组成的VLAN,可使广播域跨越多个VLAN交换机。对于希望针对具体应用和服务来组织用户的网络管理员来说,是非常具有吸引力的;而且用户可以在网络内部自由移动,但其VLAN成员身份仍然可以保留不变。这种方式的不足之处在于广播域跨越多个VLAN交换机,容易造成某些VLAN站点数目过多,产生大量的广播包,从而使VLAN交换机的效率降低。

  2.5 基于IP/IPX划分
  基于IP子网的VLAN可按照IPv4和IPv6方式来划分。每个VLAN都是和一段独立的IP网段相对应,这种方式有利于在VLAN交换机内部实现路由,也有利于与动态主机配置(DHCP)技术结合起来,而且用户可以移动工作站而不需要重新配置网络地址,便于网络管理。该方式的主要缺点在于效率要比第二层差,因为查看三层IP地址比查看MAC地址所消耗的时间多。

  2.6 按用户定义、非用户授权划分

  基于用户定义、非用户授权来划分VLAN,是指为了适应特别的VLAN网络、特别用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,得到VLAN管理的认证后才可以加入一个VLAN。
  3、VLAN的通信方式

  3.1 MAC地址静态登记通信方式

  MAC地址静态登记方式是预先在VLAN交换机中设置好一张地址列表,这张列表含有工作站的MAC地址、VLAN交换机的端口号、VLAN ID等信息。当VLAN交换机从工作站接收到数据后,会对数据的内容进行检查,在与VLAN静态配置数据库中的内容进行比较后,确定数据发往去向,并对其他交换机进行广播。这种方式的缺点在于网络管理员需要不断地修改和维护MAC地址静态条目列表,且大量的MAC地址静态条目列表的广播信息容易导致主干网络拥塞。

  3.2 帧标签通信方式

  帧标签通信方式采用标签(Tag)技术,即给每个数据包都加上一个标签,用来标明数据包属于哪个VLAN。这样,VLAN交换机就能够将来自不同VLAN的数据流复用到相同的VLAN交换机上。这种方式的缺点是每个数据包需加上标签,从而使网络的负载相应增加。

  3.3 虚连接通信方式

  虚连接通信方式是指网络中用户A与B在第一次通信时,发送地址解析(ARP)广播包。VLAN交换机将MAC和所连接的VLAN交换机的端口号保存到动态条目MAC地址列表中,当A和B有数据要传送时,VLAN交换机从其端口收到的数据包中识别出目的MAC地址,查看动态条目MAC地址列表,得到目的站点所在的VLAN交换机端口。这样,两个端口间就建立起一条虚连接,数据包就可以从源端口转发到目的端口。数据包一旦转发完毕,虚连接即被撤销。这种方式能使带宽资源得到很好利用,提高了VLAN交换机效率。

  3.4 路由通信方式

  在按IP划分的VLAN中,很容易实现路由,即将交换功能和路由功能融合在VLAN交换机中。这种方式既可达到作为VLAN控制广播风暴的最基本的目的,又不需要外接路由器;但缺点是VLAN成员之间的通信速度不是很理想。

  4、VLAN技术的应用前景

  虚拟网络技术打破了地理环境的制约,在不改动网络物理连接的情况下可以任意将工作站在工作组或子网之间移动,将工作站组成逻辑工作组或虚拟子网,提高信息系统的运作性能,均衡网络数据流量,合理利用硬件及信息资源。而且,虚拟网络技术大大减轻了网络管理和维护工作的负担,降低了网络维护费用,因此具有广阔的发展前景。

  4.1 增加了网络连接的灵活性

  网络管理员对于网络上的工作站,可以按业务功能分组而不必按地理位置分组。VLAN可以降低移动工作站地理位置的管理费,特别对于一些业务经常变动的公司。

  4.2 可控制网络上的广播风暴

  随着网络向交换结构的转变,人们失去了路由器提供的防火墙功能。这样,广播风暴将发送到每一个交换端口,这就是常说的整个网络是一个广播域。使用交换网络的优势是可以提供低延时和高吞吐量。

  VLAN可以提供建立防火墙的机制,防止交换网络的过量广播风暴。VLAN可以将某个交换端口或用户赋予某一个特定的VLAIq组,该组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播风暴不会发送到VLAN之外。同样,相邻的端口也不会收到其他VLAN产生的广播风暴。

  4.3 提高了网络的安全性

  人们在LAN上经常传送一些保密性、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分成几个不同的广播组,网络管理员限制VLAN中用户的数量,禁止未经允许而访问VLAN的应用。交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。

  4.4 加强了集中化的管理控制

  通过集中化的VLAN管理程序,网络管理员可以确定VLAN组,分配特定用户和交换端口给这些VLAN组,设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,跨越交换机配置VLAN通信,监控交通流量和VLAN使用的网络带宽。这些能力可有效地提高网络管理程序的可控性、灵活性和监视功能,减少管理费用。
页: [1]
查看完整版本: VLAN技术 简介