VLAN技术探究
时间:2020-12-10 08:07:08 来源:柠檬阅读网 本文已影响 人 
(1.内蒙古自治区教学仪器设备供应中心,内蒙古 呼和浩特 010010;2.内蒙 古农业大学,内蒙古 呼和浩特 010018)
摘 要:文章阐述了虚拟局域网(Virtual Local Area Ne t-work,VLAN)技术的概念,分析了VLAN的优点,并对其实现原理、划分方式和规划原则进行 了论述,以期给网络管理带来方便。
关键词:VLAN;
虚拟局域网;
广播域
中图分类号:TP393 文献标识码:A 文章编号:[HT K]1007—6921(2009)06—0096—02
传统局域网由于规模小、应用范围有限使得网络仅仅限于交换模式的状态,在这种网络模式 中局域网(LAN)通常由HUB、网桥、交换机等网络设备连接同一网段内的所有节点形成,对 于网络结构的划分也仅仅是采用物理网段的划分的方法,将各节点按照它们的物理连接自然 地划分到各个广播域。处于同一局域网内的网络节点间可以直接通信,而处于不同局域网之 间的通信则必须通过路由器才能实现。随着网络的不断扩展,接入设备逐渐增多,网络结构 也日趋复杂,这样的网络模式从效率和安全性的角度来考虑都是有所欠缺的。首先一个广播 域内的设备增加,那么在这个广播域内设备的广播频率便会相对增加。广播频率的提高,对 设备的效率会有很大的影响,因为每一个设备都必须中断其CPU正在处理的业务,来处理收 到的广播包,以决定是否需要对包内的数据作进一步处理,这种中断降低了CPU处理正常业 务的效率,增长了完成这些业务的时间,这时广播不仅消耗了带宽,而且也降低了用户工作 站的处理效率。信息流很大的时候,就容易形成广播风暴,甚至造成网络的瘫痪。其次,按 照物理连接将身份、需求各不相同的用户机械地划分到相同的用户组(广播域)中,网管很 难限制对本地网络中一个或多个特别设备的接入,不仅带来安全隐患而且限制了网络的灵活 性。针对已有的局域网合理划分广播域则需要进行虚拟网络(VLAN)设置。
1 VLAN的概念
VLAN(Virtual Local Area Network,虚拟局域网)技术的出现,主要是为解决以太网的广 播问题和加强安全性而提出的。这种技术可以把一个物理网络根据用途、工作组、应用等划 分成多个逻辑的LAN ——VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LA N内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个 VLAN内。具体地说,VL AN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN ),它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不 同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。每一个VLAN都包含一组有着 相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑的而不是 物理的划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作 站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN 中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流 也不会相互转发。VLAN隔离了广播风暴,同时也隔离了各个不同的VLAN之间的通讯,所以不 同的VLAN之间的通讯是需要有路由来完成的。
2 VLAN的优点
2.1 限制广播域
广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
2.2 增强局域网的安全性
不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内 的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或 三层交换机等三层网络设备。
2.3 灵活构建虚拟工作组
用VLAN可以划分不同的用户到不同的工作组,同一工作组 的用户也不必局限于某一固定的物理范围内,网络构建和维护更方便灵活。
3 VLAN实现原理
当VLAN交换机从工作站接收到数据后,会对数据的部分内容进行检查,并与一个VLAN配置数 据库(该数据库含有静态配置的或者动态学习而得到的MAC地址等信息)中的内容进行比较 后,确定〖CM(22〗数据去向,如果数据要发往一个VLAN设备(VLAN-aware),一个标记(Tag)或者V LAN标识就被加到这个数据上,根据VLAN标识和目的地址,VLAN交换机就可以将该数据转发 到同一VLAN上适当的目的地,如果数据发往非VLAN设备(VLAN-unaware),则VLAN交换机发 送不带VLAN标识的数据。
4 VLAN 的划分方式
4.1 根据端口来划分VLAN
以网络设备在交换机上的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例 如,一个交换机的1,2,3,4,5端口被定义为 VLAN1,同一交换机的6,7,8端口组成VLAN 2。根据端口划分是目前定义 VLAN的最常用的方法,IEEE 802.1Q协议标准草案中对如何根 据交换机的端口来划分VLAN给出了明确的规定。这种划分方法的优点和缺点都很明显:优点 是定义VLAN成员时非常简单,只要将所有的端口都指定一下就可以了;
缺点是不允许用户随 便移动,如果属于某个VLAN的用户离开了原来的端口,到了一个新的网络设备的某个端口, 那么网络管理者就必须重新定义VLAN。
4.2 根据MAC地址划分VLAN
以计算机工作站网卡的MAC地址来划分VLAN。这种划分方法的最大优点就是由于一个MAC地址 唯一对应一块计算机网卡,所以当某个计算机工作站物理位置改变时、即从一台交换机转移 到另一台交换机时,不需要重新配置VLAN;
而缺点是所有的VLAN成员必须事先定义,在有数 以百计乃至千计用户的网络中,这并不是一件轻松的事。而且这种划分方法也导致了交换机 执行效率的降低,因为交换机的每一个端口都可能连接许多不同VLAN组的成员,这样就无法 限制广播报文了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,VLAN 就必须不停的配置。
4.3 根据网络层划分VLAN
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型划分的,如IP地址。虽然这种 划分方法是根据网络地址,但它不是网络层的路由,它只是查看每个数据报文的网络层地址 ,并根据过滤数据库中事先定义好的信息决定其归属于哪个VLAN,然后再根据生成树算法进 行交换,并不牵涉任何路由操作。这种方法的优点是用户的物理位置改变了,并不需要重新 配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,同时这 种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。这种方法的缺点是效 率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法), 一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头, 需要更高的技术,同时也更费时。
4.4 根据IP组播划分VLAN
IP 组播实际上也是一种VLAN的定义,即认为一个组播就是一个VLAN,这种划分的方法将VLA N扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展, 当然这种方法不适合局域网,主要是效率不高。
4.5 基于规则的VLAN
也称为基于策略的VLAN。基于策略组成的VLAN能实现多种分配方法,包括VLAN交换机端口、 MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来 决定选择哪种类型的VLAN。这是最灵活的VLAN划分方法,具有自动配置的能力,能够把相关 的用户连成一体,在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分 VLAN的规则(或属性),那么当一个工作站加入网络中时,将会被感知,并被包含进正确的 VLAN中。同时,对站点的移动和改变也可自动识别和跟踪。采用这种方法,整个网络可以非 常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN ,这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时,交换机中软件自 动检查进入交换机端口的广播信息的 IP源地址,然后软件自动将这个端口分配给一个由IP 子网映射成的VLAN。
5 VLAN的规划原则
规划一个健康的VLAN要根据实际情况,首先确定使用VLAN的目的,需要在脑海中有最优化性 能的目标,如前文所述使用VLAN可以控制广播域的范围、增强网络安全、集中网络资源管理 ,当设计一个VLAN 的时候,这些原因都需要仔细地研究、各有侧重。其次保持最小的VLAN 数目,避免创建过多的不需要的VLAN,虽然交换机本身可以支持上千个VLAN,但每增加一个 VLAN就会给路由器和网络其他设备带来额外的开销。再者使用VLAN要尽量减少路由跳数,为 了把帧从一个VLAN传递到另一个,必须用一个3层设备进行路由。这个设备可以是一个传统 的路由器,或者是一个3层交换机。从发送者到接收者,路由器每增加一跳都会增加帧的延 迟时间,这有可能造成一个性能瓶颈。设计VLAN时应该是把某个设备所需要的资源尽可能放 到与该设备相同的VLAN中,使VLAN在保证物理层上的硬件集中的同时,也保证服务逻辑上更 靠近用户,使用户设备直接通过交换网络接入资源,而不需要通过路由器。VLAN实际配置过 程通常是在交换机中进行,具体的配置由于设备的不同会存在操作上的差异,可以详细参看 二层或三层交换机的配置说明,一般都会有相应的配置介绍。
6 结语
在计算机网络建设中,合理地进行VLAN划分,还需要认真研究实际情况,考虑网络设备性能 、网络规模、网络运行、管理、安全和升级等诸方面因素,形成一套合理、适当的地址分配 和VLAN 规划方案,这将会大大提高网络的整体性能,给网络管理带来许多方便。
