一、VLAN基礎(chǔ)
VLAN(Virtual Local Area Network)的中文名為"虛擬局域網(wǎng)",注意不是"VPN"(虛擬專用網(wǎng))。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分(注意,不是從物理上劃分)成一個(gè)個(gè)網(wǎng)段,從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機(jī)和路由器中,但主流應(yīng)用還是在交換機(jī)之中。但又不是所有交換機(jī)都具有此功能,只有VLAN協(xié)議的第三層以上交換機(jī)才具有此功能。
IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。VLAN技術(shù)的出現(xiàn),使得管理員根據(jù)實(shí)際應(yīng)用需求,把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域,每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站,與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分,而不是從物理上劃分,所以同一個(gè)VLAN內(nèi)的各個(gè)工作站沒(méi)有限制在同一個(gè)物理范圍中,即這些工作站可以在不同物理LAN網(wǎng)段。由VLAN的特點(diǎn)可知,一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中,從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。
交換技術(shù)的發(fā)展,也加快了新的交換技術(shù)(VLAN)的應(yīng)用速度。通過(guò)將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段,可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全,控制不必要的數(shù)據(jù)廣播。在共享網(wǎng)絡(luò)中,一個(gè)物理的網(wǎng)段就是一個(gè)廣播域。而在交換網(wǎng)絡(luò)中,廣播域可以是有一組任意選定的第二層網(wǎng)絡(luò)地址(MAC地址)組成的虛擬網(wǎng)段。這樣,網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制,而完全根據(jù)管理功能來(lái)劃分。這種基于工作流的分組模式,大大提高了網(wǎng)絡(luò)規(guī)劃和重組的管理功能。在同一個(gè)VLAN中的工作站,不論它們實(shí)際與哪個(gè)交換機(jī)連接,它們之間的通訊就好象在獨(dú)立的交換機(jī)上一樣。同一個(gè)VLAN中的廣播只有VLAN中的成員才能聽(tīng)到,而不會(huì)傳輸?shù)狡渌腣LAN中去,這樣可以很好的控制不必要的廣播風(fēng)暴的產(chǎn)生。同時(shí),若沒(méi)有路由的話,不同VLAN之間不能相互通訊,這樣增加了企業(yè)網(wǎng)絡(luò)中不同部門之間的安全性。網(wǎng)絡(luò)管理員可以通過(guò)配置VLAN之間的路由來(lái)全面管理企業(yè)內(nèi)部不同管理單元之間的信息互訪。交換機(jī)是根據(jù)用戶工作站的MAC地址來(lái)劃分VLAN的。所以,用戶可以自由的在企業(yè)網(wǎng)絡(luò)中移動(dòng)辦公,不論他在何處接入交換網(wǎng)絡(luò),他都可以與VLAN內(nèi)其他用戶自如通訊。
VLAN網(wǎng)絡(luò)可以是有混合的網(wǎng)絡(luò)類型設(shè)備組成,比如:10M以太網(wǎng)、100M以太網(wǎng)、令牌網(wǎng)、FDDI、CDDI等等,可以是工作站、服務(wù)器、集線器、網(wǎng)絡(luò)上行主干等等。
VLAN除了能將網(wǎng)絡(luò)劃分為多個(gè)廣播域,從而有效地控制廣播風(fēng)暴的發(fā)生,以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外,還可以用于控制網(wǎng)絡(luò)中不同部門、不同站點(diǎn)之間的互相訪問(wèn)。VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的一種協(xié)議,它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭,用VLAN ID把用戶劃分為更小的工作組,限制不同工作組間的用戶互訪,每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍,并能夠形成虛擬工作組,動(dòng)態(tài)管理網(wǎng)絡(luò)。
二、VLAN的劃分方法
VLAN在交換機(jī)上的實(shí)現(xiàn)方法,可以大致劃分為六類:
1. 基于端口劃分的VLAN
這是最常應(yīng)用的一種VLAN劃分方法,應(yīng)用也最為廣泛、最有效,目前絕大多數(shù)VLAN協(xié)議的交換機(jī)都提供這種VLAN配置方法。這種劃分VLAN的方法是根據(jù)以太網(wǎng)交換機(jī)的交換端口來(lái)劃分的,它是將VLAN交換機(jī)上的物理端口和VLAN交換機(jī)內(nèi)部的PVC(永久虛電路)端口分成若干個(gè)組,每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng),相當(dāng)于一個(gè)獨(dú)立的VLAN交換機(jī)。
對(duì)于不同部門需要互訪時(shí),可通過(guò)路由器轉(zhuǎn)發(fā),并配合基于MAC地址的端口過(guò)濾。對(duì)某站點(diǎn)的訪問(wèn)路徑上最靠近該站點(diǎn)的交換機(jī)、路由交換機(jī)或路由器的相應(yīng)端口上,設(shè)定可通過(guò)的MAC地址集。這樣就可以防止非法入侵者從內(nèi)部盜用IP地址從其他可接入點(diǎn)入侵的可能。
從這種劃分方法本身我們可以看出,這種劃分的方法的優(yōu)點(diǎn)是定義VLAN成員時(shí)非常簡(jiǎn)單,只要將所有的端口都定義為相應(yīng)的VLAN組即可。適合于任何大小的網(wǎng)絡(luò)。它的缺點(diǎn)是如果某用戶離開(kāi)了原來(lái)的端口,到了一個(gè)新的交換機(jī)的某個(gè)端口,必須重新定義。
2. 基于MAC地址劃分VLAN
這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來(lái)劃分,即對(duì)每個(gè)MAC地址的主機(jī)都配置他屬于哪個(gè)組,它實(shí)現(xiàn)的機(jī)制就是每一塊網(wǎng)卡都對(duì)應(yīng)唯一的MAC地址,VLAN交換機(jī)跟蹤屬于VLAN MAC的地址。這種方式的VLAN允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置時(shí),自動(dòng)保留其所屬VLAN的成員身份。
由這種劃分的機(jī)制可以看出,這種VLAN的劃分方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí),即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí),VLAN不用重新配置,因?yàn)樗腔谟脩,而不是基于交換機(jī)的端口。這種方法的缺點(diǎn)是初始化時(shí),所有的用戶都必須進(jìn)行配置,如果有幾百個(gè)甚至上千個(gè)用戶的話,配置是非常累的,所以這種劃分方法通常適用于小型局域網(wǎng)。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低,因?yàn)樵诿恳粋(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員,保存了許多用戶的MAC地址,查詢起來(lái)相當(dāng)不容易。另外,對(duì)于使用筆記本電腦的用戶來(lái)說(shuō),他們的網(wǎng)卡可能經(jīng)常更換,這樣VLAN就必須經(jīng)常配置。
3. 基于網(wǎng)絡(luò)層協(xié)議劃分VLAN
VLAN按網(wǎng)絡(luò)層協(xié)議來(lái)劃分,可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議來(lái)組成的VLAN,可使廣播域跨越多個(gè)VLAN交換機(jī)。這對(duì)于希望針對(duì)具體應(yīng)用和服務(wù)來(lái)組織用戶的網(wǎng)絡(luò)管理員來(lái)說(shuō)是非常具有吸引力的。而且,用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動(dòng),但其VLAN成員身份仍然保留不變。
這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了,不需要重新配置所屬的VLAN,而且可以根據(jù)協(xié)議類型來(lái)劃分VLAN,這對(duì)網(wǎng)絡(luò)管理者來(lái)說(shuō)很重要,還有,這種方法不需要附加的幀標(biāo)簽來(lái)識(shí)別VLAN,這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點(diǎn)是效率低,因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的(相對(duì)于前面兩種方法),一般的交換機(jī)芯片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)禎頭,但要讓芯片能檢查IP幀頭,需要更高的技術(shù),同時(shí)也更費(fèi)時(shí)。當(dāng)然,這與各個(gè)廠商的實(shí)現(xiàn)方法有關(guān)。
4. 根據(jù)IP組播劃分VLAN
IP 組播實(shí)際上也是一種VLAN的定義,即認(rèn)為一個(gè)IP組播組就是一個(gè)VLAN。這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng),因此這種方法具有更大的靈活性,而且也很容易通過(guò)路由器進(jìn)行擴(kuò)展,主要適合于不在同一地理范圍的局域網(wǎng)用戶組成一個(gè)VLAN,不適合局域網(wǎng),主要是效率不高。
5. 按策略劃分VLAN
基于策略組成的VLAN能實(shí)現(xiàn)多種分配方法,包括VLAN交換機(jī)端口、MAC地址、IP地址、網(wǎng)絡(luò)層協(xié)議等。網(wǎng)絡(luò)管理人員可根據(jù)自己的管理模式和本單位的需求來(lái)決定選擇哪種類型的VLAN 。
6. 按用戶定義、非用戶授權(quán)劃分VLAN
基于用戶定義、非用戶授權(quán)來(lái)劃分VLAN,是指為了適應(yīng)特別的VLAN網(wǎng)絡(luò),根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來(lái)定義和設(shè)計(jì)VLAN,而且可以讓非VLAN群體用戶訪問(wèn)VLAN,
三、VLAN的運(yùn)作原理與實(shí)作方式
物理層(physical layer)
直接以交換機(jī)上的埠做為劃分VLAN 的基礎(chǔ)。這個(gè)方式的優(yōu)點(diǎn)是簡(jiǎn)單與直觀,因此,運(yùn)用這種設(shè)定VLAN 的情況十分普遍。但因?yàn)槭菍?shí)體層的設(shè)定,所以比較適合在規(guī)模不大的組織。
數(shù)據(jù)鏈路層(data link layer)
以每臺(tái)主機(jī)的MAC地址做為劃分VLAN 的基礎(chǔ)。方法是先建立一個(gè)比較復(fù)雜的數(shù)據(jù)庫(kù),通常為某網(wǎng)絡(luò)設(shè)備的MAC地址與VLAN的映射關(guān)系數(shù)據(jù)庫(kù)。當(dāng)該網(wǎng)絡(luò)設(shè)備連接到端口后,交換機(jī)會(huì)向VMPS(VLAN管理策略服務(wù)器)來(lái)請(qǐng)求這個(gè)數(shù)據(jù)庫(kù)。找到相應(yīng)映射關(guān)系,完成端口到VLAN的分配。
這個(gè)方式的優(yōu)點(diǎn)是即使計(jì)算機(jī)在實(shí)體上的位置不同,也不影響VLAN的運(yùn)作。但缺點(diǎn)是網(wǎng)管人員必須在交換機(jī)中設(shè)定組織內(nèi)每一臺(tái)設(shè)備MAC地址與VLAN 間的映射關(guān)系數(shù)據(jù)庫(kù)。因此,這種設(shè)定策略的管理復(fù)雜度會(huì)隨著越來(lái)越多的設(shè)備、與實(shí)體位置的群落、和不同工作任務(wù)需要而增加。
網(wǎng)絡(luò)層(network layer)
以每臺(tái)設(shè)備的IP地址做為劃分VLAN 的基礎(chǔ),以子網(wǎng)絡(luò)視為VLAN 設(shè)定的依據(jù)。這個(gè)方式的優(yōu)點(diǎn)是當(dāng)網(wǎng)管人員已經(jīng)將內(nèi)部網(wǎng)段做好規(guī)劃與分配的情況下,將可大輻降低網(wǎng)管人員規(guī)劃并設(shè)定VLANs 架構(gòu)的復(fù)雜度。但缺點(diǎn)是原本傳統(tǒng)交換機(jī)不需要對(duì)訊框作任何處理,但在這個(gè)機(jī)制下,交換機(jī)不但必須剖析訊框,還必須進(jìn)一步取出Source IP與Destination IP進(jìn)行比對(duì),連帶降低交換機(jī)接收與分派封包的效率。但是需要提供用戶密碼,在得到VLAN管理的認(rèn)證后才可以加入一個(gè)VLAN。
四、VLAN通信
VLAN交換機(jī)必須有一種方式來(lái)了解VLAN的成員關(guān)系,即要讓交換機(jī)知道哪一個(gè)工作站屬于哪一個(gè)VLAN。一般地,基于VLAN交換機(jī)端口或者工作站的MAC地址來(lái)組建的VLAN,其VLAN成員是以直接的形式與其他成員聯(lián)系的;基于三層如按IP來(lái)組建的VLAN,其VLAN成員是以間接的形式與其他成員聯(lián)系的。目前VLAN之間的通信主要采取如下4種方式。
(1)MAC地址靜態(tài)登記方式。MAC地址靜態(tài)登記方式是預(yù)先在VLAN交換機(jī)中設(shè)置好一張地址列表,這張表含有工作站的MAC地址JLAN交換機(jī)的端口號(hào)、VLANID等信息,當(dāng)工作站第一次在網(wǎng)絡(luò)上發(fā)廣播包時(shí),交換機(jī)就將這張表的內(nèi)容一一對(duì)應(yīng)起來(lái),并對(duì)其他交換機(jī)廣播。這種方式的缺點(diǎn)在于,網(wǎng)絡(luò)管理員要不斷修改和維護(hù)MAC地址靜態(tài)條目列表;且大量的MAC地址靜態(tài)條目列表的廣播信息易導(dǎo)致主干網(wǎng)絡(luò)擁塞。
(2)幀標(biāo)簽方式。幀標(biāo)簽方式采用的是標(biāo)簽(tag)技術(shù),即在每個(gè)數(shù)據(jù)包都加上一個(gè)標(biāo)簽,用來(lái)標(biāo)明數(shù)據(jù)包屬于哪個(gè)VLAN,這樣,VLAN交換機(jī)就能夠?qū)?lái)自不同VLAN的數(shù)據(jù)流復(fù)用到相同的VLAN交換機(jī)上。這種方式存在一個(gè)問(wèn)題,即每個(gè)數(shù)據(jù)包加上標(biāo)簽,使得網(wǎng)絡(luò)的負(fù)載也相應(yīng)增加了。
(3)虛連接方式。網(wǎng)絡(luò)用戶A和B第一次通信時(shí),發(fā)送地址解析(ARP)廣播包,VLAN交換機(jī)將學(xué)習(xí)到的MAC和所連接的VLAN交換機(jī)的端口號(hào)保存到動(dòng)態(tài)條目MAC地址列表中,當(dāng)A和B有數(shù)據(jù)要傳時(shí),VLAN交換機(jī)從其端口收到的數(shù)據(jù)包中識(shí)別出目的MAC地址,查動(dòng)態(tài)條目MAC地址列表,得到目的站點(diǎn)所在的VLAN交換機(jī)端口,這樣兩個(gè)端口間就建立起一條虛連接,數(shù)據(jù)包就可從源端口轉(zhuǎn)發(fā)到目的端口。數(shù)據(jù)包一旦轉(zhuǎn)發(fā)完畢,虛連接即被撤銷。這種方式使帶寬資源得到了很好利用,提高了VLAN交換機(jī)效率。
(4)路由方式。在按IP劃分的VLAN中,很容易實(shí)現(xiàn)路由,即將交換功能和路由功能融合在VLAN交換機(jī)中。這種方式既達(dá)到了作為VLAN控制廣播風(fēng)暴的最基本目的,又不需要外接路由器。但這種方式對(duì)VLAN成員之間的通信速度不是很理想。
五、VLAN的優(yōu)越性
任何新技術(shù)要得到廣泛支持和應(yīng)用,肯定存在一些關(guān)鍵優(yōu)勢(shì),VLAN技術(shù)也一樣,它的優(yōu)勢(shì)主要體現(xiàn)在以下幾個(gè)方面:
1. 增加了網(wǎng)絡(luò)連接的靈活性
借助VLAN技術(shù),能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起,形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境 ,就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動(dòng)或變更工作站地理位置的管 理費(fèi)用,特別是一些業(yè)務(wù)情況有經(jīng)常性變動(dòng)的公司使用了VLAN后,這部分管理費(fèi)用大大降低。
2. 控制網(wǎng)絡(luò)上的廣播
VLAN可以提供建立防火墻的機(jī)制,防止交換網(wǎng)絡(luò)的過(guò)量廣播。使用VLAN,可以將某個(gè)交換端口或用戶賦于某一個(gè)特定的VLAN組,該VLAN組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機(jī), 在一個(gè)VLAN中的廣播不會(huì)送到VLAN之外。同樣,相鄰的端口不會(huì)收到其他VLAN產(chǎn)生的廣 播。這樣可以減少?gòu)V播流量,釋放帶寬給用戶應(yīng)用,減少?gòu)V播的產(chǎn)生。
3. 增加網(wǎng)絡(luò)的安全性
因?yàn)橐粋(gè)VLAN就是一個(gè)單獨(dú)的廣播域,VLAN之間相互隔離,這大大提高了網(wǎng)絡(luò)的利用率,確保了網(wǎng)絡(luò)的安全保密性。人們?cè)贚AN上經(jīng)常傳送一些保密的、關(guān)鍵性的數(shù)據(jù)。保密的數(shù)據(jù)應(yīng) 提供訪問(wèn)控制等安全手段。一個(gè)有效和容易實(shí)現(xiàn)的方法是將網(wǎng)絡(luò)分段成幾個(gè)不同的廣播組, 網(wǎng)絡(luò)管理員限制了VLAN中用戶的數(shù)量,禁止未經(jīng)允許而訪問(wèn)VLAN中的應(yīng)用。交換端口可以基 于應(yīng)用類型和訪問(wèn)特權(quán)來(lái)進(jìn)行分組,被限制的應(yīng)用程序和資源一般置于安全性VLAN中。
六、交換機(jī)的端口工作模式
交換機(jī)的端口工作模式通?梢苑譃槿N,它們分別為Access模式、Multi模式、Trunk模式。允許多個(gè)vlan的是multi模式,而不是trunk模式。Access模式的交換端口往往只能屬于1個(gè)VLAN,通常用于連接普通計(jì)算機(jī)的端口;Trunk模式的交換端口可以屬于多個(gè)VLAN,能夠發(fā)送和接收多個(gè)VLAN的數(shù)據(jù)報(bào)文,通常使用在交換機(jī)之間的級(jí)聯(lián)端口上;multi模式的交換端口可以屬于多個(gè)VLAN,能夠發(fā)送和接受多個(gè)VLAN的數(shù)據(jù)報(bào)文,可以用于交換機(jī)之間的連接,也可以用于連接普通計(jì)算機(jī)的端口,所以access和trunk沒(méi)有可比性。三種模式的交換端口能夠共同使用在相同的一臺(tái)交換機(jī)中,不過(guò)Trunk模式的交換端口和multi模式的交換端口相互之間不能直接切換,往往只能先將交換端口設(shè)置為Access模式,之后再設(shè)置為其他模式。