文档介绍:VLAN技术在企业网络中的应用
一、VLAN技术的简介
VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。
传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。
VLAN相当于OSI参考模型的第二层的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。随着VLAN技术的日益完善,VLAN技术越来越多的应用在交换以太网中,成为网络灵活分段和提高网络安全的方法。
二、VLAN的划分方式
VLAN的划分方式很重要,在设计和建设VLAN,实现VLAN应用时,首先要决定如何划分VLAN,即依据什么标准来组织VLAN成员。下面介绍5种常见的划分方式,不同的划分方式代表不同的VLAN实现类型。
1、按端口划分VLAN
将交换机中的某些端口定义为一个单独的区域,从而形成一个VLAN。同一VLAN中的计算机属于同一个网段,不同VLAN之间进行通信需要通过路由器。基于端口的VLAN的优点是配置起来非常方便,只要在交换机上进行相关的设置就可以了,适用于网络环境比较固定的情况。不足之处是不够灵活,当一台计算机需要从一个端口移动到另一个新的端口,而新端口与旧端口不属于同一个VLAN时,要修改端口的VLAN设置,或在用户计算机上重新配置网络地址,这样才能加入到新的VLAN中。否则,这台计算机将无法进行网络通信。
基于端口的划分方式是最简单也是最常用的。采用这种方式,将属于不同交换机端口的物理网段分在一个VLAN中,通过网络管理软件,根据VLAN标识符将不同的端口分到相应的分组(VLAN)中。例如,一个交换机的1、2、6、7端口被定义为VLAN A,同一交换机的3、4、5端口组成VLAN 8,如图1所示。这样划分,允许各端口之间的通信,并允许共享型网络的升级。遗憾的是,这种划分模式将虚拟网限制在了一台交换机上。
第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个VLAN。分配到同一个VLAN的各网段上的所有站点都在同一个广播域中,可以直接通信;不同VLAN地点间的通信则通过路由器或三层交换机。
按交换机端口来划分VLAN,其配置过程简单明了。迄今为止,这仍然是最常用的一种方式,但是这种方式不允许多个VLAN共享一个物理网段或交换机端口。如果某一个用户从一个端口所在的VLAN移动到另一个端口所在的VLAN,网络管理员需要重新进行配置,这对于拥有众多移动用户的网络来说是不可想象的。
2、按MAC地址划分VLAN
每块网卡都有一个独一无二的硬件物理地址,这个地址就是MAC地址,俗称为"网卡号"。在Windows中可用"ipconfig/all"命令来查看这一地址。
MAC地址是连接在网络中的每个设备网卡的物理地址,由IEEE控制,全球找不到两块具有相同MAC地址的网卡。MAC地址属于数据链路层,以此作为划分VLAN的依据,能很好地独立于网络层上的各种应用。如图2所示,用此种方式构成的VLAN就是一些MAC地址的集合,它解决了网络处理站点的移动问题。对于连接于交换机端口的工作站来说,在它们初始化时,相应的交换机要在VLAN的管理信息库中检查MAC地址,从而动态地匹配该端口到相应的VLAN中。
按MAC地址划分的VLAN允许网络用户从一个物理位置移动到另一个物理位置,并且自动保留其所属VLAN网段的成员身份。同时,这种方式独立于网络的高层协议(如TCP/IP、IP和IPX等)。从某种意义上讲,利用MAC地址定义VLAN可以看成是一种基于用户的网络划分手段。
这种方法的一个缺点是所有的用户必须被明确地分配给一个VLAN。在这种初始化工作完成之后,对用户的自动跟踪才成为可能。在一个拥有大量节点的大型网络中,如果要求管理员将每个用户都一一划分到某一个VLAN,实在是太困难了。
3、基于网络层划分VL