VLAN除了能将
网络划分为多个
广播域,从而有效地控制
广播风暴的发生,以及使网络的
拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。
物理位置不同的多个主机如果划分属于同一个VLAN,则这些主机之间可以相互通信。物理位置相同的多个主机如果属于不同的VLAN,则这些主机之间不能直接通信。VLAN通常在交换机或路由器上实现,在以太网帧中增加VLAN标签来给以太网帧分类,具有相同VLAN标签的以太网帧在同一个广播域中传送。
VLAN是为解决以太网的
广播问题和
安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制
广播范围,并能够形成虚拟工作组,
动态管理网络。
目的
VLAN(Virtual Local Area Network,虚拟局域网)的目的非常的多。通过认识VLAN的本质,将可以了解到其用处究竟在哪些地方。
第一,要知道192.168.1.2/30和192.168.2.6/30都属于不同的
网段,都必须要通过
路由器才能进行访问,凡是不同网段间要互相访问,都必须通过路由器。
第二,VLAN本质就是指一个
网段,之所以叫做虚拟的局域网,是因为它是在虚拟的
路由器的接口下创建的网段。
下面,给予说明。比如一个
路由器只有一个用于
终端连接的端口(当然这种情况基本不可能发生,只不过简化举例),这个端口被分配了192.168.1.1/24的地址。然而由于公司有两个部门,一个销售部,一个企划部,每个部门要求单独成为一个子网,有单独的服务器。那么当然可以划分为192.168.1.0--127/25、192.168.1.128--255/25。但是
路由器的物理端口只应该可以分配一个IP地址,那怎样来区分不同
网段了?这就可以在这个物理端口下,创建两个子接口---
逻辑接口实现。
比如
逻辑接口F0/0.1就分配IP地址192.168.1.1/25,用于销售部,而F0/0.2就分配IP地址192.168.1.129/25,用于企划部。这样就等于用一个物理端口却实现了两个
逻辑接口的功能,这样就将原本只能划分一个
网段的情形,扩展到了可以划分2个或者更多个网段的情形。这些
网段因为是在
逻辑接口下创建的,所以称之为虚拟局域网VLAN。
在现实中,由于很多原因必须划分出不同
网段。比如就简单的只有销售部和企划部两个
网段。那么可以简单的将销售部全部接入一个交换机,然后
接入路由器的一个端口,把企划部全部接入一个
交换机,然后接入一个
路由器端口。这种情况是LAN。然而正如上面所说,如果
路由器就一个用于
终端的接口,那么这两个
交换机就必须接入这同一个
路由器的接口,这个时候,如果还想保持原来的
网段的划分,那么就必须使用路由器的
子接口,创建VLAN.
同样,比如两个
交换机,如果你想要每个交换机上的端口都分别属于不同的
网段,那么你有几个网段,就提供几个
路由器的接口,这个时候,虽然在路由器的物理接口上可以
定义这个接口可以连接哪个网段,但是在交换机的层次上,它并不能区分哪个端口属于哪个网段,那么唯一实现能区分的方法,就是划分VLAN,使用了VLAN就能区分出某个交换机端口的
终端是属于哪个网段的。
综上,当一个
交换机上的所有端口中有至少一个端口属于不同
网段的时候,当
路由器的一个物理端口要连接2个或者以上的网段的时候,就是VLAN发挥作用的时候,这就是VLAN的目的。
优点
限制
网络上的
广播,将网络划分为多个VLAN可减少参与
广播风暴的设备数量。LAN分段可以防止
广播风暴波及整个
网络。VLAN可以提供建立
防火墙的机制,防止交换
网络的过量
广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个
交换机,在一个VLAN中的
广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广 播。这样可以减少
广播流量,释放
带宽给用户应用,减少广播的产生。
安全
增强局域网的安全性,含有敏感数据的用户组可与
网络的其余部分隔离,从而降低泄露机密信息的可能性。不同VLAN内的
报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过
路由器或
三层交换机等三层设备。
成本高昂的
网络升级需求减少,现有
带宽和上行链路的利用率更高,因此可节约成本。
将第二层平面
网络划分为多个逻辑工作组(
广播域)可以减少网络上不必要的流量并提高
性能。
VLAN为网络管理带来了方便,因为有相似网络需求的用户将共享同一个VLAN。
VLAN 将用户和
网络设备聚合到一起,以支持商业需求或地域上的需求。通过职能划分,项目管理或特殊应用的处理都变得十分方便,例如可以轻松管理教师的电子教学开发平台。此外,也很容易确定升级
网络服务的影响范围。
灵活性
借助VLAN技术,能将不同地点、不同
网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。
组建
VLAN是建立在物理
网络基础上的一种逻辑
子网,因此建立VLAN需要相应的支持VLAN技术的
网络设备。当
网络中的不同VLAN间进行相互通信时,需要
路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用
路由器,也可采用
三层交换机来完成,同时还严格限制了
用户数量。
标准
按端口划分VLAN
许多VLAN厂商都利用
交换机的端口来划分VLAN成员。被设定的端口都在同一个
广播域中。例如,一个
交换机的1,2,3,4,5端口被
定义为
虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型
网络的升级。但是,这种划分模式将
虚拟网限制在了一台
交换机上。
第二代端口VLAN技术允许跨越多个
交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个
虚拟网。
以
交换机端口来划分
网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。
按MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个
交换机换到其他的
交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行
效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制
广播包了。另外,对于使用笔记本电脑的用户来说,他们的
网卡可能经常更换,这样,VLAN就必须不停地配置。
按网络层划分
这种划分VLAN的方法是根据每个
主机的
网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据
网络地址,比如IP地址,但它不是
路由,与网络层的路由毫无关系。
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对
网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个
数据包的
网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的
交换机芯片都可以自动检查网络上数据包的
以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
按IP组播划分
IP
组播实际上也是一种VLAN的
定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了
广域网,因此这种方法具有更大的灵活性,而且也很容易通过
路由器进行扩展,当然这种方法不适合局域网,主要是
效率不高。
基于规则的
也称为基于策略的VLAN。这是最灵活的VLAN划分方法,具有自动
配置的能力,能够把相关的用户连成一体,在逻辑划分上称为“关系
网络”。网络管理员只需在
网管软件中确定划分VLAN的规则(或属性),那么当一个站点加入网络中时,将会被“感知”,并被自动地包含进正确的VLAN中。同时,对站点的移动和改变也可自动识别和跟踪。
采用这种方法,整个
网络可以非常方便地通过
路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN,这在
交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时,
交换机中
软件自动检查进入
交换机端口的
广播信息的IP源地址,然后软件自动将这个端口分配给一个由
IP子网映射成的VLAN。
按用户划分
基于用户
定义、非用户授权来划分VLAN,是指为了适应特别的VLAN
网络,根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可以加入一个VLAN。
以上划分VLAN的方式中,基于端口的VLAN端口方式建立在
物理层上;
MAC方式建立在
数据链路层上;网络层和IP
广播方式建立在第三层上。
对VLAN的标准,我们只是介绍两种比较通用的标准,当然也有一些公司具有自己的标准,比如Cisco公司的ISL标准,虽然不是一种大众化的标准,但是由于Cisco Catalyst
交换机的大量使用,ISL也成为一种不是标准的标准了。
· 802.10标准
在1995年,
Cisco公司提倡使用IEEE802.10协议。在此之前,IEEE802.10曾经在全球范围内作为VLAN安全性的同一规范。Cisco公司试图采用优化后的802.10帧格式在
网络上传输FramTagging模式中所必须的VLAN标签。然而,大多数802委员会的成员都反对推广802.10。因为,该协议是基于FrameTagging方式的。
· 802.1Q
在1996年3月,IEEE802.1Internetworking委员会结束了对VLAN初期标准的修订工作。新出台的标准进一步完善了VLAN的
体系结构,统一了Frame-Tagging方式中不同厂商的标签格式,并制定了VLAN标准在未来一段时间内的发展方向,形成的802.1Q的标准在业界获得了广泛的推广。它成为VLAN史上的一块里程碑。802.1Q的出现打破了
虚拟网依赖于单一厂商的僵局,从一个侧面推动了VLAN的迅速发展。另外,来自市场的压力使各大
网络厂商立刻将新标准融合到他们各自的产品中。
现在使用最广泛的VLAN协议标准是 IEEE 802.1Q,许多厂家的交换机/路由器产品都支持IEEE 802.1Q标准。
IEEE 802.1Q标准的VLAN帧格式
802.1Q Tag的长度是4 bytes,它位于以太网帧中源MAC地址和长度/类型之间。802.1Q Tag包含4个字段。
Type:长度为2 bytes,表示帧类型,802.1Q tag帧中Type字段取固定值0x8100,如果不支持802.1Q的设备收到802.1Q帧,则将其丢弃。
PRI:priority字段,长度为3 bit,表示 以太网帧的优先级,取值范围是0~7,数值越大,优先级越高。当交换机/路由器发生传输拥塞时,优先发送优先级高的数据帧。
CFI:Canonical Format Indicator,长度为1bit,表示MAC地址是否是经典格式。CFI为0说明是经典格式,CFI为1表示为非经典格式。该字段用于区分以太网帧、FDDI帧和令牌环网帧,在以太网帧中,CFI取值为0。
VID:VLAN ID,长度为12 bit,取值范围是0~4095,其中0和4095是保留值,不能给用户使用。
· Cisco ISL 标签
ISL(Inter-Switch Link)是Cisco公司的专有
封装方式,因此只能在
Cisco的设备上支持。ISL是一个在
交换机之间、交换机与
路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接的端口配置ISL封装,即可跨越交换机进行整个
网络的VLAN分配和配置。
划分策略
从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:
基于端口
这种划分是把一个或多个
交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对
网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
基于MAC地址
MAC地址其实就是指
网卡的
标识符,每一块网卡的MAC地址都是唯一且固化在网卡上的。MAC地址是由6个字节的16进制数(48位)表示,前3个字节(24位)为
网卡的厂商标识(OUI),后3个字节(24位)为网卡标识(NIC)。
网络管理员可按MAC地址把一些站点划分为一个逻辑
子网。
基于路由
技术
局域网的发展是VLAN产生的基础,所以在介绍VLAN之前,我们先来了解一下局域网的有关知识。
但这样做存在两个缺陷:
首先,随着
网络中
路由器数量的增多,
网络延时逐渐加长,从而导致
网络数据传输速度的下降。这主要是因为数据在从一个局域网传递到另一个局域网时,必须经过
路由器的路由操作:路由器根据
数据包中的相应信息确定数据包的目标地址,然后再选择合适的路径转发出去。
其次,用户是按照它们的物理连接被自然地划分到不同的用户组(
广播域)中。这种分割方式并不是根据
工作组中所有用户的共同需要和
带宽的需求来进行的。因此,尽管不同的工作组或部门对
带宽的需求有很大的差异,但它们却被机械地划分到同一个
广播域中争用相同的带宽。
分类
定义VLAN成员的方法有很多,由此也就分成了几种不同类型的VLAN。
基于端口的VLAN
基于端口的VLAN的划分是最简单、有效的VLAN划分方法,它按照
局域网交换机端口来
定义VLAN成员。VLAN从逻辑上把局域网
交换机的端口划分开来,从而把
终端系统划分为不同的部分,各部分相对独立,在功能上模拟了传统的局域网。基于端口的VLAN又分为在单
交换机端口和多交换机端口定义VLAN两种情况:
多交换机端口定义VLAN
如图3所示,
交换机1的1、2、3端口和交换机2的4、5、6端口组成VLAN1,交换机1的4、5、6、7、8端口和交换机2的1、2、3、7、8端口组成VLAN2。
单交换机端口定义VLAN
如图2所示,交换机的1、2、6、7、8端口组成VLAN1,3、4、5端口组成了VLAN2。这种VLAN只支持一个交换机。
基于端口的VLAN的划分简单、有效,但其缺点是当用户从一个端口移动到另一个端口时,
网络管理员必须对VLAN成员进行重新配置。
基于MAC地址的VLAN
基于MAC地址的VLAN是用终端系统的MAC地址
定义的VLAN。MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一的。这种方法允许工作站移动到
网络的其他物理
网段,而自动保持原来的VLAN成员资格。在
网络规模较小时,该方案可以说是一个好的方法,但随着网络规模的扩大,
网络设备、用户的增加,则会在很大程度上加大管理的难度。
基于路由的VLAN
路由协议工作在7层协议的第3层—网络层,比如基于IP和IPX的路由协议,这类设备包括
路由器和路由交换机。在按IP划分的VLAN中,很容易实现
路由,即将交换功能和路由功能融合在VLAN交换机中。这种方式既达到了作为VLAN控制
广播风暴的最基本
目的,又不需要外接
路由器。但这种方式对VLAN成员之间的通信速度不是很理想。
基于策略的VLAN
基于策略的VLAN的划分是一种比较有效而直接的方式,主要取决于在VLAN的划分中所采用的策略。
常见应用
Port vlan与Tag vlan
port vlan 基于端口的VLAN,处于同一VLAN端口之间才能相互通信。
tag vlan 基于IEEE 802.1Q(vlan标准),用VID(vlan id)来划分不同的VLAN
基于端口的VLAN优缺点
基于端口的VLAN,简单的讲就是
交换机的一个端口就是一个虚拟局域网,凡是连接在这个端口上的
主机属于同个虚拟局域网之中。基于端口的VLAN的优点为:由于一个端口就是一个独立的局域网。所以,当数据在
网络中传输的时候,
交换机就不会把
数据包转发给其他的端口,如果用户需要将数据发送到其他的虚拟局域网中,就需要先由交换机发往
路由器再由路由器发往其他端口;同时以端口为中心的VLAN中完全由用户自由支配端口,无形之中就更利于管理。但是美中不足的是以端口为中心的VLAN,当用户位置改变时,往往也伴随着用户位置的改变而对网线也要进行迁移。如果不会经常移动
客户机的话,采用这一方式倒也不错。
静态VLAN的优缺点
可以说
静态VLAN与基于端口的VLAN有一丝相似之处,用户可在
交换机上让一个或多个交换机端口形成一个略大一些的虚拟局域网。从一定意义上讲静态虚拟局域网在某些程度上弥补了基于端口的虚拟局域网的缺点。缺陷方面,静态VLAN虽说是可以使多个端口的设置成一个虚拟局域网,假如两个不同端口、不同虚拟局域网的人员聚到一起协商一些事情,这时候问题就出现了,因为端口及虚拟局域网的不一致往往就会直接导致某一个虚拟局域网的人员就不能正常的访问他原先所在的VLAN之中(静态虚拟局域网的端口在同一时间只能属于同一个虚拟局域网),这样就需要网络管理人员随时配合及时修改该线路上的端口。
动态VLAN的优缺点
与上面两种虚拟局域网的组成方式相比
动态的虚拟局域网的优点真的是太多了。首先它适用于当前的
无线局域网技术,其次,当用户有需要时对工作基点进行移动时完全不用担心在
静态虚拟局域网与基于端口的虚拟局域网出现的一些问题在动态的虚拟局域网中出现,因为动态的虚拟局域网在建立初期已经由
网络管理员将整个网络中的所有MAC地址全部输入到了
路由器之中,同时如何由路由器通过MAC地址来自动区分每一台电脑属于那一个虚拟局域网,之后将这台电脑连接到对应的虚拟局域网之中。说起缺点,动态的虚拟局域网的缺点跟本谈不上缺点,只是在VLAN建立初期,网络管理人员需将所有机器的MAC进行登记之后划分出MAC所对应的机器的不同权限(虚拟局域网)即可。
发展趋势
在
宽带网络中实现的VLAN基本上能满足广大网络用户的需求,但其网络性能、
网络流量控制、
网络通信优先级控制等还有待提高。前面所提到的
VTP技术、
STP技术,基于
三层交换的VLAN技术等在VLAN使用中存在
网络效率的瓶颈问题,这主要是
IEEE802.1Q、IEEE802.1D协议的不完善所致,IEEE正在制定和完善IEEE802.1S(Multiple Spanning Trees)和IEEE802.1W(Rapid Reconfiguration of Spanning Tree)来改善VLAN的性能。采用
IEEE802.3z和IEEE802.3ab协议,并结合使用RISC(
精简指令集计算)处理器或者
网络处理器而研制的吉位VLAN
交换机在网络流量等方面采取了相应的措施,大大提高了VLAN网络的性能。IEEE802.1P协议提出了
COS(Class of Service)标准,这使
网络通信优先级控制机制有了参考。
划分实例
对于每个公司而言都有自己不同的需求,下面我们给出一个典型的公司的VLAN的实例,这样也可以成为我们以后为公司划分VLAN的依据。
某公司有工程部、销售部、财务部。VLAN的划分:工程部VLAN10,销售部VLAN20,财务部VLAN30,并且各部门还可以相互通讯。现有设备如下:Cisco 3640
路由器,Cisco Catalyst 2924
交换机一台,二级交换机若干台。
……
!
interface vlan10
ip address 192.168.0.1
!
interface vlan20
ip address 192.168.1.1
!
interface vlan30
ip address 192.168.2.1
!
……
……
interface FastEthernet 1/0.1
encapsulation isl 10
ip address 192.168.0.2
!
interface FastEthernet 1/0.2
encapsulation isl 20
ip address 192.168.1.2
!
interface FastEthernet 1/0.3
encapsulation isl 30
ip address 192.168.2.2
!
……
!
router rip
network 192.168.0.0
!
交换机的端口工作模式通常可以分为三种,它们分别为Access模式、Multi模式、Trunk模式。允许多个vlan的是multi模式,而不是trunk模式。Access模式的交换端口往往只能属于1个VLAN,通常用于连接普通
计算机的端口;Trunk模式的交换端口可以属于多个VLAN,能够发送和接收多个VLAN的
数据报文,通常使用在
交换机之间的级联端口上;multi模式的交换端口可以属于多个VLAN,能够发送和接受多个VLAN的数据报文,可以用于交换机之间的连接,也可以用于连接普通计算机的端口,所以access和trunk没有可比性。三种模式的交换端口能够共同使用在相同的一台
交换机中,不过Trunk模式的交换端口和multi模式的交换端口相互之间不能直接切换,往往只能先将交换端口设置为Access模式,之后再设置为其他模式。
拓扑试验
实验: 划分VLAN
实验目的
通过本实验,读者可以掌握如下技能:
(1)熟悉VLAN 的创建
实验拓扑
实验拓扑图
互联方式
(4)第三层交换。