早在1999年6月,VLAN的技术标准IEEE 802.1Q就由IEEE成员正式颁布实施,最早的VLNA技术由Cisco在1996年提出。随着近几年的发展,VLAN技术得到了广泛的支持,广泛应用于大大小小的企业网络中,并且已经成为最流行的以太局域网技术。本文将介绍计算机最常见的技术应用之一VLANs技术,并通过实例简要介绍中小型局域网中VLAN的配置方法。
首先是VLAN基金会
VLAN(虚拟局域网)的中文名字是‘虚拟局域网’。注意不是‘VPN’(虚拟专用网)。VLAN是一种新的数据技术,将局域网设备在逻辑上(注意,不是物理上)划分成网段,从而实现虚拟工作组。这项新技术主要用于交换机和交换机,但主流应用仍在交换机。但是,并不是所有的交换机都有这个功能。只有VLAN第三层以上的交换机才有这个功能,从相应交换机的说明就可以知道。
1999年,IEEE颁布了802.1Q标准草案来规范VLAN的实现方案。随着VLAN技术的出现,管理员根据实际应用需求,将同一物理局域网中的不同用户逻辑上划分到不同的广播域中。每个VLAN包含一组具有相同要求的计算机工作站,并且与物理形成的局域网具有相同的从属关系。因为是逻辑划分,而不是物理划分,所以同一个VLAN中的工作站不局限于同一个物理范围,也就是说这些工作站可以在不同的物理局域网段。根据VLAN的特点,一个VLAN中的广播和单播流量不会转发到其他VLAN,有助于控制流量,减少设备投资,简化网络管理,提高网络性能。
交换技术的发展也加速了新交换技术的应用(VLAN)。通过将企业网络划分为虚拟网络VLAN段,可以加强网络管理和网络,并控制不必要的数据广播。在共享网络中,物理网段是一个广播域。在交换网络中,广播域可以是由一组随机选择的第2层网络地址(mac地址)组成的虚拟网段。这样,网络中工作组的划分就可以突破共享网络中的地理位置限制,完全按照管理职能来划分。这种基于工作流的分组模式极大地提高了网络计划与重组的管理功能。同一VLAN中的工作站,无论它们实际连接到哪台交换机,都可以像在独立的交换机上一样相互通信。同一个VLAN内的广播只能被VLAN的成员听到,不会传输到其他VLAN,可以很好的控制不必要的广播风暴的产生。同时,如果不这样,不同的VLAN就不能相互通信,这就增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业中不同管理单元之间的信息交换。根据用户工作站的MAC地址,交换机被分为VLAN。因此,用户可以自己在企业网络中工作,并且无论他在哪里接入交换网络,他都可以与VLAN中的其他用户自由通信。
VLAN可以由混合网络类型的设备组成,如10M以太网、100M以太网、令牌网、FDDI、CDDI等。可以是工作站、集线器、网络上行主干等。
VLAN的优点除了可以将网络划分为多个广播域,从而有效控制广播风暴的发生,使网络的拓扑结构非常灵活之外,还可以用来控制网络中不同部门、不同站点之间的相互访问。
VLAN的提出是为了解决以太网的广播问题和安全性。它在以太网帧的基础上增加了VLAN头,用VLAN ID将用户划分成更小的工作组,并限制用户在不同工作组之间的相互访问。每个工作组都是一个虚拟局域网。虚拟局域网的优点是可以限制广播范围,可以组成虚拟工作组来动态管理网络。
二、VLAN除法
VLAN在交换机上的实现方法大致可以分为六类:
1.基于港口划分的VLAN
这是最常用的VLAN除法,也是应用最广、最有效的。目前,大多数采用VLAN协议的交换机都提供这种VLAN配置方法。这种VLAN划分方法基于以太网交换机的交换端口。它将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干组,每组形成一个虚拟网络,相当于一个独立的VLAN交换机。
当不同部门需要相互访问时,可以通过路由器转发,配合基于MAC地址的端口过滤。设置MAC地址集,该地址集可以在到站点的访问路径上离站点最近的交换机、路由交换机或路由器的相应端口上传递。这可以防止非法入侵者从内部窃取IP地址,并从其他可访问的接入点入侵。
从这种划分方法本身我们可以看出,这种划分方法的优点是定义VLAN成员非常简单,只要将所有端口定义为对应的VLAN组即可。适用于任何规模的网络。它的缺点是,如果用户离开原来的端口,到达一个新交换机的端口,就必须重新定义。
2.基于MAC地址的VLAN划分
这种VLAN划分的方法是基于每台主机的MAC地址,即每台MAC地址的主机被配置为属于哪个组。其实现机制是每个网卡对应一个唯一的MAC地址,VLAN交换机跟踪属于VLAN MAC的地址。这种VLAN允许网络用户在从一个物理位置移动到另一个物理位置时自动保留他们的VLAN成员身份。
从这个划分机制可以看出,这种VLAN划分方法最大的优点是当用户的物理位置移动时,也就是从一台交换机移动到另一台交换机时,VLAN不需要重新配置,因为它是基于用户的,而不是基于交换机的端口。这种方法的缺点是所有用户都必须在初始化时进行配置。如果有几百个甚至上千个用户,配置是很累的,所以这种划分方式通常适用于小型局域网。而且这种划分方式也导致了交换机执行效率的降低,因为每个交换机端口可能有很多VLAN组的成员,保存了很多用户的MAC地址,不容易查询。此外,对于使用笔记本电脑的用户来说,他们的网卡可能会经常更换,因此VLAN必须经常配置。
3.基于网络层协议的VLAN划分
根据VLAN网络层协议,可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种由网络层协议组成的VLAN可以使广域广播跨越多个VLAN交换机。这对于想要为特定应用和服务组织用户的网络管理员来说非常有吸引力。此外,用户可以在网络内自由移动,但他们的VLAN会员身份保持不变。
这种方法的好处是用户的物理位置发生了变化,不需要重新配置用户所属的VLAN,并且可以根据协议类型划分VLAN,这对于网管来说非常重要。此外,该方法不需要额外的帧标签来识别VLANs,从而减少了网络流量。这种方法的缺点是效率低,因为检查每个包的网络层地址需要处理时间(与前两种方法相比)。一般来说,交换芯片可以自动检查网络上数据包的以太网头,但这需要更高的技术,芯片检查ip头需要更多的时间。当然,这和各个厂商的实现方式有关。
4.根据IP组播划分VLAN
IP组播实际上是VLAN的一个定义,即一个IP组播组被认为是一个VLAN。这种划分方法将VLAN扩展到广域网,因此这种方法具有更大的灵活性,可以很容易地通过路由器进行扩展。主要适合不在同一地理区域的局域网用户组成VLAN,不适合局域网,主要是效率不高。
5.根据政策划分VLAN
基于策略组合的VLAN可以实现多种分配方式,包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可以根据自己的管理模式和自身需求决定选择哪种类型的VLAN。
6.VLAN根据用户定义和非用户授权来划分
基于用户定义和非用户授权划分VLAN,是指为了适应特殊的VLAN网络,根据特定网络用户的特殊要求来定义和设计VLAN,非VLAN集团用户可以访问VLAN,但需要提供用户密码,经过VLAN管理层认证后才能加入一个VLAN。
第三,VLAN的优势
任何新技术要想得到广泛的支持和应用,必然有一些关键的优势,VLAN技术也是如此。其优势主要体现在以下几个方面:
1.增加了网络连接的灵活性。
借助VLAN技术,可以将不同的地方、不同的网络、不同的用户组合起来,形成一个虚拟的网络环境,像使用局域网一样方便、灵活、有效。VLAN可以降低移动或改变工作站地理位置的管理成本,尤其是一些经营状况变化频繁的公司使用VLAN后,这部分管理成本大大降低。
2.控制网络上的广播
VLAN可以提供一种既定的机制来防止交换网络中的过度广播。通过VLAN,可以将交换机端口或用户分配到特定的VLAN组,该组可以在一个交换机网络中或跨多个交换机,VLAN中的广播不会发送到VLAN之外。类似地,相邻端口也不会收到其他VLAN生成的组播。这可以减少广播流量,为用户应用程序释放带宽,并减少广播的生成。
3.提高网络的安全性
由于VLAN是一个独立的广播域,VLAN之间相互隔离,大大提高了网络的利用率,保证了网络的安全性和保密性。人们经常在局域网上传输一些机密和重要的数据。应为机密数据提供访问控制和其他安全措施。一种简单有效的方法是将网络分成几个不同的广播组。网络管理员限制VLAN的用户数量,并禁止未经授权访问VLAN的应用程序。可以根据应用程序类型和访问权限对交换机端口进行分组,受限的应用程序和资源通常放在安全VLAN中。