虚拟局域网(VLAN)是指允许网络中的站点根据需要灵活地加入到不同的逻辑子网中,而不管它们的物理位置如何的一种网络技术。基于交换式以太网的虚拟局域网在交换式以太网中,利用VLAN技术可以将交换机所连接的物理网络划分为多个逻辑子网。也就是说,虚拟局域网中的站点发出的广播包只会转发给属于同一个VLAN的站点。在交换式以太网中哈尔滨股票配资,每个站点可以属于不同的虚拟局域网。组成虚拟局域网的站点不受物理位置的限制,它们可以挂接在同一个交换机上,也可以挂接在不同的交换机上。虚拟局域网技术使得网络拓扑非常灵活,例如不同楼层的用户或者不同部门的用户可以根据需要加入不同的虚拟局域网。划分虚拟局域网主要有三个考虑因素:第一是基于网络性能的考虑,对于大型网络,一般采用广播协议。当网络规模很大时,互联网上就会出现大量的广播信息,这会使网络性能恶化,甚至形成广播风暴,造成网络拥塞。那么我们该怎么做呢?我们可以通过将网络划分为许多虚拟局域网来减少整个网络中广播数据包的传输。由于广播信息不会跨VLAN,因此可以将广播限制在各个虚拟网络范围内。从技术上讲,它减少了广播域,提高了网络的传输效率,从而提高了网络性能。
第二是基于安全性的考虑。由于虚拟网络不能直接通信,而必须通过路由器转发,因此它为高级安全控制提供了可能,增强了网络的安全性。在大型网络中,如大型集团公司贵阳股票配资,有财务部、采购部、客户部,它们之间的数据是保密的,它们之间只能提供接口数据,其他数据都是保密的。我们可以通过划分虚拟局域网来隔离不同的部门。第三是基于组织结构的考虑。同一个部门的人员分散在不同的物理位置,比如某集团公司的财务部在各个子公司都有分支机构,但都归财务部管理。虽然这些数据是保密的,但需要统一结算的时候,可以跨地域(也就是跨交换机)设立在同一个虚拟局域网中,实现数据的安全和共享。使用虚拟局域网有以下好处:抑制网络上的广播风暴;增加网络安全性;集中管理和控制。基于交换式以太网的虚拟局域网的实现方式主要有三种:基于端口的虚拟局域网、基于MAC地址(网卡硬件地址)的虚拟局域网、基于IP地址的虚拟局域网。 (1)基于端口的VLAN 基于端口的VLAN是最实用的VLAN,它保持了最常见、最常用的VLAN成员定义方式,配置起来相当直观、简单。只要局域网内的站点有相同的网络地址,不同的VLAN之间需要通过路由器进行通信。这种VLAN的缺点是不灵活。
例如,当网络站点从一个端口移动到另一个新端口时,如果新端口与旧端口不属于同一个虚拟局域网,则用户必须重新配置该站点的网络地址,否则该站点将无法在网络上通信。在基于端口的虚拟局域网中,每个交换机端口可以属于一个或多个虚拟局域网组,这种虚拟局域网比较适合连接服务器。 (2)基于MAC地址的虚拟局域网在基于MAC地址的虚拟局域网中,当有新站点加入网络时,交换机会跟踪站点的MAC地址和交换机端口,并根据需要将其分配给某一虚拟局域网。不管站点在网络中如何移动,其MAC地址都是不变的,因此用户不需要重新配置网络地址。这种虚拟局域网技术的缺点是,当有站点加入网络时,需要对交换机进行相对复杂的手动配置,以确定该站点属于哪个虚拟局域网。 (3)基于IP地址的虚拟局域网在基于IP地址的虚拟局域网中,新站点加入网络时不需要进行过多的配置。交换机根据各个站点的网络地址自动将它们划分为不同的虚拟局域网,在三种虚拟局域网实现技术中,基于IP地址的虚拟局域网智能化程度最高,实现起来也最复杂。
使用VLAN的优点 使用VLAN有以下优点: 1.控制广播风暴 VLAN是一个逻辑上的广播域,通过创建VLAN,可以隔离广播,缩小广播范围,控制广播风暴的产生。 2.提高网络整体的安全性 通过路由访问列表、MAC地址分配等VLAN划分原则,可以控制用户的访问权限和逻辑网段大小台湾股票配资,将不同的用户组划分到不同的VLAN中,从而提高交换网络的整体性能和安全性。 3.网络管理简便直观 对于交换式以太网,如果将网段重新分配给某些用户,网络管理员需要重新调整网络系统的物理结构,甚至增加网络设备,增加了网络管理的工作量。对于使用VLAN技术的网络,VLAN可以按照部门职能、对象组或应用将不同地理位置的网络用户划分到一个逻辑网段中,工作站可以在工作组或子网之间随意移动,而不必改变网络的物理连接。虚拟网络技术的使用大大减轻了网络管理维护的负担,降低了网络维护成本。在交换网络中,VLAN为网段和组织提供了灵活的组合机制,传统的三层交换技术的路由器在网络中具有路由转发、防火墙、广播隔离等功能。在划分了VLAN的网络中,逻辑上划分的不同网段之间的通信仍然需要经过路由器的转发。由于局域网上不同VLAN之间的通信数据量非常大太原股票配资,如果路由器需要对每个数据包都进行一次路由,随着网络上数据量的不断增大,路由器将不堪重负,成为整个网络运行的瓶颈。
在这种情况下,第三层交换技术就应运而生了,这是将路由技术与交换技术相结合的技术。三层交换机在对第一个数据流进行路由后,会生成一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,会根据这个表直接从第二层通过,而不需要再进行一次路由,从而消除了路由器的路由选择带来的网络时延,提高了数据包转发的效率,同时也消除了路由器可能造成的网络瓶颈问题。可见,三层交换机集路由与交换于一体,在交换机内部实现路由,提高了网络的整体性能。在以三层交换机为核心的千兆网络中,为保证不同职能部门管理的便捷性和安全性以及整个网络运行的稳定性,可以采用VLAN技术进行虚拟的网络划分,通过VLAN子网隔离广播风暴,对一些重要部门实施安全防护;而当某个部门的物理位置发生变化时,只需要简单设置交换机就可以重新组建网络,非常方便快捷,节省成本。交换机的作用交换机的优点在于可以隔离冲突域,每个端口都是一个冲突域,因此当一台计算机单独连接到一个端口时,这台计算机不会和其他计算机发生冲突,也就是带宽是独享的。交换机能做到这一点的关键是它内部的总线带宽足够大,在全双工状态下可以满足所有端口的带宽需求,并且通过类似电话交换机的机制保护不同的数据包不到达目的地。HUB与交换机可以比喻为单排街道与高速公路。
IP广播属于OSI第三层,基于TCP/IP协议,它的产生和原理这里就不讨论了,可以看TCP/IP协议方面的书籍。交换机不能隔离广播,就如同HUB不能隔离冲突域一样,因为它工作在OSI第二层,不能分析IP包。但是我们可以使用路由器来隔离广播域,路由器的每一个端口都可以看作是一个广播域,一个端口发出的广播是不能传到另一个端口的(特殊设置除外)。因此在大规模、多机环境下,可以使用路由器来隔离广播。
我们言归正传,通常情况下,广播只能通过划分子网的方式来隔离,但是VLAN的出现打破了这个规则,用二层来解决三层的问题,虽然很奇怪,但是已经有人做到了。VLAN的中文名为虚拟局域网,它的作用就是把物理上互联的网络在逻辑上划分成多个互不相干的网络,这些网络之间不能互相通信,就好像它们之间没有连接一样,所以广播是被隔离的。VLAN的实现原理很简单,通过交换机的控制,交换机只会把某个VLAN成员发送的数据包发送给同一VLAN内的其他成员,而不会发送给VLAN成员以外的计算机。使用VLAN的目的不仅仅是为了隔离广播,还可以应用在安全和管理上。比如,重要部门可以通过VLAN与其他部门隔离,即使它们在同一个网络内,也可以保证它们之间不互相通信,保证了重要部门的数据安全。 VLAN也可以根据不同的部门、人员、岗位来划分,并给每个部门赋予不同的权限进行管理。划分VLAN的方法有很多种,我们可以按照IP地址来划分,也可以按照端口来划分西安股票配资,也可以按照MAC地址来划分,还可以按照协议来划分。常见的划分方法是将端口和IP地址结合起来划分VLAN。有些端口是一个VLAN,为这个VLAN配置IP地址,那么这个VLAN内的计算机就以这个地址作为网关,其他VLAN不能和这个VLAN在同一个子网中。如果两台交换机都有同一个VLAN内的计算机怎么办?我们可以通过VLAN Trunk来解决。如果交换机1的VLAN1内的机器要访问交换机2的VLAN1内的机器,我们可以将两台交换机的级联口设置为Trunk口。这样,交换机从级联口发出数据包时,就会在数据包里打上一个标记(TAG),这样其他交换机就能识别这个数据包是属于哪个VLAN的了。这样,其他交换机在收到这样的数据包后,只会将数据包转发到标签中指定的VLAN,从而完成跨交换机的VLAN内部数据传输。VLAN Trunk目前有两个标准,ISL和802.1q,前者是Cisco的专有技术,后者是IEEE的国际标准,除了Cisco对两者都支持外,其他厂商都只支持后者。
文章原创于金源网络科技有限公司:http://haimianbeibei.com/
