VLAN总结
VLAN可以将分散在网络中不同物理位置的设备划归到同一个逻辑组中,逻辑组中的节点不受物理位置限制,同一逻辑组中的节点不一定要连接在同一个物理网段上,它们可以连接在同一个交换机上,也可以连接在不同的交换机上,只要这些交换机互联就可以。
VLAN将网络划分成多个广播域,只在同一个VLAN中广播数据包。VLAN是通过在网络中的各台交换机上创建的,端口被划分到VLAN中,不同VLAN之间的成员通信需要路由器或借助三层交换机来实现,在VLAN中的主机上还必须配置可路由的网络地址即网关地址。
以juniper为例,交换机mac地址映射表包含VLAN,MAC address,Type,Age,Interfaces五项内容,除了mac,interfaces还新增了vlan关键内容。这样在Vlan中的主机通信时,根据目标mac和vlan来寻找同一个vlan中待匹配的端口interface,进行转发数据帧。这样就有效的隔离了广播数据的范围。而MAC-端口interface映射表的表项内容大部分是自动学习获得。
VLAN概念
VLAN是一个在物理网络上根据用途、工作组、应用等来逻辑划分的局域网络,一个逻辑工作组,与用户的物理位置没有关系。虚拟局域网的一组结点可以位于不同的物理网络上,但是它们不受所在物理位置的束缚,相互之间通信就像在同一个局域网中。VLAN中的网络用户是通过VLAN交换机来通信的。一个VLAN中的成员看不到另一个VLAN中的成员。
VLAN特征
同一个VLAN中的所有成员共同拥有一个VLANID,组成一个虚拟局域网络;同一个VLAN中的成员均能收到同一个VLAN中的其他成员发来的广播包,但收不到其他VLAN中成员发来的广播包;不同VLAN成员之间不可直接通信,需要通过路由支持才能通信,而同一VLAN中的成员通过VLAN交换机可以直接通信,不需路由支持。
VLAN特性
VLAN的特性是:控制通信活动,隔离广播,便于工作组优化组合,VLAN中的成员只要拥有一个VLANID就可以不受物理位置的限制,随意移动工作站的位置;增加网络的安全性,VLAN交换机就是一道道屏风,只有具备VLAN成员资格的分组数据才能通过,这比用计算机服务器做防火墙要安全得多;网络带宽得到充分利用,网络性能大大提高。
VLAN技术的优点
1、降低移动和变更的管理成本
在学校里,由于教学人员的变更比较频繁,当把一台计算机从一个子网转移到另一个子网,如果使用了VLAN,迁移的工作只是在交换机上重新定义VLAN即可,尤其是采用网卡的MAC地址来划分VLAN时,交换机能够自动跟踪该终端的MAC地址,并自动将其纳如定义的VLAN中,对于网络管理而言,可以轻松完成变更。假若使用物理手段划分子网,这种迁移所耗费的精力和时间相当可观的。
2、控制广播
由于不同的VLAN都是一个独立的广播域,而广播只能在本地VLAN内进行,从而大大减少了广播对网络带宽的占用,提高了带宽传输效率,并可以有效地避免广播风暴的产生。
3、增强网络的安全性
由于交换机只能在同一VLAN内的端口之间交换数据,不同VLAN的端口不能直接访问,因此,通过划分VLAN可以提高网络的安全性。
4、网络监督和管理的自动化
网络管理员可以通过网管软件可以查询VLAN间和VLAN内通信的数据包的分类信息,以及应用数据包的分类信息,这些信息可以确定路由系统和经常访问的服务器的最佳配置十分有用。通过划分VLAN可以使网络管理变的更加简单、有效。
VLAN实现的途径简介
1、基于端口的VLAN,就是将交换机中的若干个端口定义为一个VLAN,同一个VLAN中的计算机具有相同的网络地址,不同VLAN之间进行通讯需要通过三层路由协议。采用这种方式的VLAN在工作过程中,把一个网络节点迁移时,如果新旧端口不在一个VLAN内,则用户必须对该端口重新设置。对于不同年级、科室互相访问时,可以通过路由器转发,并配合MAC地址的端口过滤,就可以防止非法入侵和IP地址的盗用问题。
2、基于MAC地址的VLAN,这种VLAN一旦划分完成,无论节点在网络上怎样移动,由于MAC地址保持不变,因此不需要重新配置。但是如果新增加节点的话,需要对交换机进行复杂的配置,以确定该节点属于哪一个VLAN。
3、基于IP地址的VLAN,新增加节点时,无须进行太多配置,交换机根据IP地址会自动将其划分到不同的VLAN。这中VLAN智能化最高,实现最复杂。一旦离开该VLAN,原IP地址将不可用,从而防止了非法用户通过修改IP地址来越权使用资源。
交换式以太网VLAN
从技术角度来讲,VLAN既可以在交换式以太网中实现,也可以在ATM骨干网中实现,比较起来,在ATM环境中实现VLAN技术相对来说要困难些。
交换式以大网VLAN,基于交换式以太网的VLAN采用的是帧交换(FrameSwitch)技术,其工作机制是:当以太网交换机从一个端口收到数据帧后,对数据帧中包含的MAC(媒体存取控制)地址进行分析并利用交换机中的端口-MAC地址映射表将数据帧转发至相应端口。
VLAN实现原理
当VLAN交换机从工作站接收到数据后,会对数据的部分内容进行检查,并与一个VLAN配置数据库(该数据库含有静态配置的或者动态学习而得到的MAC地址等信息)中的内容进行比较后,确定数据去向,如果数据要发往一个VLAN设备(VLAN-aware),一个标记(Tag)或者VLAN标识就被加到这个数据上,根据VLAN标识和目的地址,VLAN交换机就可以将该数据转发到同一VLAN上适当的目的地;如果数据发往非VLAN设备(VLAN-unaware),则VLAN交换机发送不带VLAN标识的数据。
VLAN通信
VLAN交换机必须有一种方式来了解VLAN的成员关系,即要让交换机知道哪一个工作站属于哪一个VLAN。一般地,基于VLAN交换机端口或者工作站的MAC地址来组建的VLAN,其VLAN成员是以直接的形式与其他成员联系的;基于三层如按IP来组建的VLAN,其VLAN成员是以间接的形式与其他成员联系的。目前VLAN之间的通信主要采取如下4种方式。
MAC地址静态登记方式。MAC地址静态登记方式是预先在VLAN交换机中设置好一张地址列表,这张表含有工作站的MAC地址VLAN交换机的端口号、VLANID等信息,当工作站第一次在网络上发广播包时,交换机就将这张表的内容一一对应起来,并对其他交换机广播。这种方式的缺点在于,网络管理员要不断修改和维护MAC地址静态条目列表;且大量的MAC地址静态条目列表的广播信息易导致主干网络拥塞。
帧标签方式。帧标签方式采用的是标签(tag)技术,即在每个数据包都加上一个标签,用来标明数据包属于哪个VLAN,这样,VLAN交换机就能够将来自不同VLAN的数据流复用到相同的VLAN交换机上。这种方式存在一个问题,即每个数据包加上标签,使得网络的负载也相应增加了。
虚连接方式。网络用户A和B第一次通信时,发送地址解析(ARP)广播包,VLAN交换机将学习到的MAC和所连接的VLAN交换机的端口号保存到动态条目MAC地址列表中,当A和B有数据要传时,VLAN交换机从其端口收到的数据包中识别出目的MAC地址,查动态条目MAC地址列表,得到目的站点所在的VLAN交换机端口,这样两个端口间就建立起一条虚连接,数据包就可从源端口转发到目的端口。数据包一旦转发完毕,虚连接即被撤销。这种方式使带宽资源得到了很好利用,提高了VLAN交换机效率。
路由方式。在按IP划分的VLAN中,很容易实现路由,即将交换功能和路由功能融合在VLAN交换机中。这种方式既达到了作为VLAN控制广播风暴的最基本目的,又不需要外接路由器。但这种方式对VLAN成员之间的通信速度不是很理想。
VLAN交换机的互联
接入链路。接入链路(AccessLink)是用来将非VLAN标识的工作站或者非VLAN成员资格的VLAN设备接入一个VLAN交换机端口的一个LAN网段。它不能承载标记数据。
中继链路。中继链路(TrunkLink)是只承载标记数据(即具有VLANID标签的数据包)的干线链路,只能支持那些理解VLAN帧格式和VLAN成员资格的VLAN设备。中继链路最通常的实现就是连接两个VLAN交换机的链路。与中继链路紧密相关的技术就是链路聚合(Trunking)技术,该技术采用VTP(VLANTrunkingProtoco1)协议,即在物理上每台VLAN交换机的多个物理端口是独立的,多条链路是平行的,采用VTP技术处理以后,逻辑上VLAN交换机的多个物理端口为一个逻辑端口,多条物理链路为一条逻辑链路。这样,VLAN交换机上使用生成树协议STP(SpanningTreeProtocol)就不会将物理上的多条平行链路构成的环路中止掉,而且,带有VLANID标签的数据流可以在多条链路上同时进行传输共享,实现数据流的高效快速平衡传输。
混合链路。混合链路(HybridLink)是接入链路和中继链路混合所组成的链路,即连接VLAN-aware设备和VLAN-unaware设备的链路。这种链路可以同时承载标记数据和非标记数据。
VLAN的可靠性和可扩展性
可靠性。VLAN的可靠性是指无论一个VLAN中的广播信息和数据是处在一个VLAN设备中,还是处在多个VLAN设备中,亦或处在具有动态VLAN成员资格的网络环境中,都能准确地转发到目的地。为了实现VLAN的可靠性,需要有下面两个协议来保证:GMRP(GroupMulticastRegistrationProtocol,组多点转发注册协议)和GVRP(GARPVLANRegistrationProtocol,通用属性注册协议VLAN注册协议)。GMRP允许组播在单个VLAN中发送而不影响其他VLAN;GVRP是GARP(GenericAttributeRegistrationProtocol)协议的一个应用,它使动态配置成为可能。
可扩展性。VLAN的可扩展性是指在一个VLAN中,在一定范围内,可让多个节点VLAN交换机接进来,VLAN的成员可以逐步扩大。在拓扑结构逐步扩大后,各个VLAN节点交换机就有可能组成环路,或者两个VLAN节点交换机之间有两条或多条平行通路也可能使广播包和数据流形成环路,这时,启用STP就可以解决问题。STP可以保证VLAN进行拓扑扩展,保证两个VLAN节点交换机之间只有一条最短的有效路径。
VLAN发展趋势
目前在宽带网络中实现的VLAN基本上能满足广大网络用户的需求,但其网络性能、网络流量控制、网络通信优先级控制等还有待提高。前面所提到的VTP技术、STP技术,基于三层交换的VLAN技术等在VLAN使用中存在网络效率的瓶颈问题,这主要是IEEE802.1Q、IEEE802.1D协议的不完善所致,IEEE正在制定和完善IEEE802.1S(MultipleSpanningTrees)和IEEE802.1W(RapidReconfigurationofSpanningTree)来改善VLAN的性能。采用IEEE802.3z和IEEE802.3ab协议,并结合使用RISC(精简指令集计算)处理器或者网络处理器而研制的吉位VLAN交换机在网络流量等方面采取了相应的措施,大大提高了VLAN网络的性能。IEEE802.1P协议提出了COS(ClassofService)标准,这使网络通信优先级控制机制有了参考。
附件:
华为DP200007 VLAN技术原理.ppt
神州数码DCRS-7608三层交换机校园网Vlan配置实例
参考来源:
http://cisco.chinaitlab.com/special/vlanguanli/Index.html
http://cisco.chinaitlab.com/VLan/734131.html(VLAN技术原理概述)
http://net.it168.com/pl/2007-06-05/20070605062901.shtml
http://www.wildlee.org/2010_09_1028.html(VLAN协议原理分析)
http://www.itale.cn/archives/2010/2/20100218151606.html(三层交换机工作原理)
http://www.itale.cn/archives/2010/2/20100218155646.html(三层交换机常见配置命令简介)