第五章 虚拟局域网
第一节 虚拟局域网
5.1.1 VLAN问题的引出
同一局域网(LAN)段内所有节点,通常被定义为一个单独的广播域。不同局域网(LAN)段内的所有节点之间的通信,则必须经过网络路由器。
斗破苍穹之虚空破
图5.1 LAN广播域的拓扑结构
如图5.1所示网络中,使用路由器划分出不同的局域网段。位于圆形区域之内的部分就是一个个相互独立的局域网段。每一个局域网所连接的路由器接口都属于该局域网广播域的一部分。
随着网络的不断扩展,接入设备逐渐增多,网络结构日趋复杂,必须使用更多的路由器才能将不同的用户划分到各自的广播域中,在不同的局域网之间提供网络互连。这样做的一个缺陷就是随着网络中路由器数量的增多,网络时延逐渐加长,从而导致网络数据传输速度的下降。
为了有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性,设计了802.1Q协议,即VLAN。
5.1.2 VLAN的基本概念
VLAN(Virtual Local Area Network)即虚拟局域网,是一种允许网络管理者,将一个物理的局域网设备LAN,逻辑地(而不是物理地)划分成不同的广播域(或称虚拟LAN,即VL
AN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
有哪些好听的歌 图5.2 LAN与VLAN的结构
由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN四年级上册数学期末试卷及答案2014网段,如图5.2所示。一个VLAN
内部的广播流量(CSMA/CD)都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制他的广播范围,形成虚拟工作组,动态管理网络。不同工作组间的用户不能实现二层互访,每个工作组就是一个虚拟局域网。
对连接到2层交换机端口的网络用户,逻辑分段技术实现非常灵活,它不受用户物理位置限制。根据用户需求进行网络分段;即可在一个交换机上实现,也可跨交换机实现;可以根据网络用户的位置、作用、部门或根据使用的应用程序或协议来进行分组,如图5.3所示。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域和带宽等问题。
图5.3 按照业务流划分VLAN
一个VLAN相当于OSI模型第2层的广播域,它能将广播风暴控制在一个VLAN内部。而不同VLAN之间的数据通讯必须通过第3层(网络层)的路由来完成。否则,即便是同一交换机上的端口,假如它们不处于一个VLAN则绝对无法进行数据通讯。
VLAN充分体现了现代网络技术的重要特征:高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。
5.1.3 VLAN的分类
VLAN在交换机上的实现方法,可以大致划分为4类:
1、 基于端口划分的VLAN
这种划分VLAN的方法是根据以太网交换机的端口来划分。交换机1的1、3、4端口为VLAN 10,2为VLAN 20,5为VLAN 30;交换机2的1端口为VLAN 10,2、3、5为VLAN 20,4为VLAN 30;交换机3的2端口为VLAN 10,3为VLAN 20,1、4、5为VLAN 30。如图5.4所示。
1、 基于端口划分的VLAN
这种划分VLAN的方法是根据以太网交换机的端口来划分。交换机1的1、3、4端口为VLAN 10,2为VLAN 20,5为VLAN 30;交换机2的1端口为VLAN 10,2、3、5为VLAN 20,4为VLAN 30;交换机3的2端口为VLAN 10,3为VLAN 20,1、4、5为VLAN 30。如图5.4所示。
这些属于同一VLAN的端口可以不连续,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最广泛的方法,IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。
这种划分方法的优点是,定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。
图5.4 基于端口划分的VLAN
2、基于MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置。可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置,如图5.5所示。
图5.5 基于MAC地址划分VLAN
3新年祝福语短信、基于网络层划分VLAN
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF等路由协议,而是根据生成树算法进行桥交换。这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量,如图5.6所示。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网祯头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。
图5.6 基于网络层划分VLAN
4、根据IP组播划分VLAN
IP组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
IP组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
5.1.4 VLAN的优点
1、动态管理网络:当一个用户从一个位置移动到另一个位置,他的网络属性不需要重新配置而是动态的完成。这种动态管理网络,给网络管理者和使用者都带来了极大的好处。一个用户无论他到哪里,他都能不做任何修改地接入网络,减少移动和改变的代价。当然,这种前景是非常美好的,并不是所有的VLAN定义方法都能做到这一点。
2、虚拟工作组VLAN:在校园网中,同一个系就好象在同一个LAN上一样,很容易的互相访问,交流信息同时,所有的广播包也都限制在该虚拟LAN上,而不影响其他VLAN的人。一个人如果从一个办公地点换到另外一个地点而他仍然在该系,那么他的配置无须改变。同时,如果一个人虽然办公地点没有变,但他换了一个系,那么只需网络管理者配置一下就行了。当然,建立一个动态的组织环境,还需要管理等方面的支持。
3、限制广播包:按照802.1D透明网桥的算法,如果一个数据包不到路由,交换机就会将该数据包向所有其他端口发送,这就是桥的广播方式的转发,其结果毫无疑问极大的浪费了带宽。如果配置了VLAN,当一个数据包没有路由时,交换机只会将此数据包发送到所有属于该VLAN的其他端口,而不是所有的交换机端口。这样,就将数据包限制到了一个VLAN内,在一定程度上可以节省带宽。
4、安全性:由于配置了VLAN后,一个VLAN的数据包不会发送到另一个VLAN。其他VLAN用户的网络上,是收不到任何该VLAN的数据包,从而确保了该VLAN的信息,不会被其他VLAN的人窃听。从而实现了信息的保密。
理论上VLAN可以扩展到WAN上,但这是不明智的做法。因为VLAN允许广播包发送出去,它没有很好的路由算法,经常是以广播的形式转发数据包,毫无疑问极大地浪费了WAN的宝贵带宽。所以说,将基于端口的MAC地址和网络地址的VLAN扩展到WAN是不合理的。而基于多播的VLAN概念则可以灵活有效的扩展到WAN。以太网交换机实现的都是基于端口的VLAN,个别的会实现基于MAC地址和网络层地址的VLAN。
5.1.5 [编辑]VLAN的相关术语
1、静态VLAN:通过将端口强制性分配给某一VLAN来进行工作。
折纸盒子2、动态VLAN:必须先建立一个比较复杂的数据库,为网络设备的MAC地址与VLAN幼儿教师年度个人总结的映射关系数据库。当该网络设备连接到端口后,交换机会向VMPS(VLAN管理策略服务器)来请求这个数据库。到相应映射关系,完成端口到VLAN的分配。
3、Trunk:在虚拟局域网技术中,主干“Trunk”一词,用来描述连接多个虚拟局域网的链接。每个局域网都由一个被插入到它们所发送数据的标签“Tag”进行标识。这些主干(Trunk)只能工作在有标签(Tag)标注的设备之间,而且这些设备必须能够支持虚拟网络技术,所以主干(Trunk)被通常是连接路由器或交换机的,而不是连接端口的,如图5.7所示。
图5.7一条链路传输多个VLAN的数据流
5.1.6 VLAN和IEEE 802.1Q
VLAN是一个广播域,其中的成员利用 LAN交换进行通信,仿佛共享同一物理网段一样。在VLAN中,划分在同一广播域中的成员并没有任何物理或地理上的限制,它们可以连接
到一个交换网络中的不同交换机上。广播分组、未知分组及成员之间的数据分组都被限定在VLAN之内。对VLAN的另一个定义是,它能够使单一的交换结构被划分成多个小的广播域。加入一个VLAN所基于的标准可以是任意数量的、不同的因素。
图5.8 虚拟LAN
通常这些因素包括:物理端口、MAC地址、3层单点地址、组播地址、若干数量的不同策略,如每天中的时间、应用及MAC地址等。
VLAN的概念在图5.8中说明,VLAN的成员在物理上可以连接到相同或不同的交换机上。
把LAN交换用作传输的载体,使得同一个VLAN中的成员能够以实际线路速率或以接近实际线路速率进行低延迟的通信。成员资格控制、拓扑独立性以及高速的LAN内部连接技术等,都为VLAN提供了许多优越性:
1、成员的添加、移去和修改,都可能对网络管理员造成操作和维护上的负担。在一个动态定义的VLAN中,成员资格是由一些客户参数(如地址等)来确定的,因此大大简化配置的任务。一个客户可以从一个交换机端口移动到另一个交换机端口上,但保持在相同的VLAN上。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论