更新时间:2023-08-15 18:27
虚拟局域网(Virtual Local Area Network,VLAN),是一组逻辑上的设备和用户,在实际应用的过程中,不会受到物理位置的限制性影响,可以按照不同功能合理组织、相互通信,置于同一网段之内。虚拟局域网属于全新的技术,主要是OIS参考模型中进行第二层和第三层的工作,每个虚拟局域网均能作为广播域。在网络信息平台中,二层网络可以分成很多广播域,每个广播域中均对应某个用户组,且一般情况下不同的广播域是被隔离的。在第三层的路由器中,则能够实现最终的通信目的。虚拟局域网与传统的局域网相比,更加灵活。
虚拟局域网技术,属于现代化信息技术的延伸产品技术。比较主流的虚拟组网技术方案是创建基于SD-WAN技术的虚拟局域网,其具有统一管理与监控,高安全性以及智能链路控制的特性。
虚拟局域网的实际应用过程中可以避免网络传输产生的堵塞问题,有效地规避广播风险,实现广播风险的屏蔽,在分段化网络下实现科学处理。虚拟局域网技术在中国各个领域已取得广泛应用,也取得了良好的效果。
IEEE于1999年颁布了用于标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
交换技术的发展,也加快了新的交换技术(VLAN)的应用速度。通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。在共享网络中,一个物理的网段就是一个广播域。而在交换网络中,广播域可以是有一组任意选定的第二层网络地址(MAC地址)组成的虚拟网段。这样,网络中工作组的划分可以突破共享网络中的地理位置限制,而完全根据管理功能来划分。这种基于工作流的分组模式,大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站,不论它们实际与哪个交换机连接,它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只有VLAN中的成员才能听到,而不会传输到其他的VLAN中去,这样可以很好的控制不必要的广播风暴的产生。同时,若没有路由的话,不同VLAN之间不能相互通讯,这样增加了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。交换机是根据工作站的MAC地址来划分VLAN的。所以,用户可以自由的在企业网络中移动办公,不论他在何处接入交换网络,他都可以与VLAN内其他用户自如通讯。
VLAN网络可以是有混合的网络类型设备组成,比如:10M以太网、100M以太网、令牌网、FDDI、CDDI等等,可以是工作站、服务器、集线器、网络上行主干等等。
物理位置不同的多个主机如果划分属于同一个VLAN,则这些主机之间可以相互通信。物理位置相同的多个主机如果属于不同的VLAN,则这些主机之间不能直接通信。VLAN通常在交换机或路由器上实现,在以太网帧中增加VLAN标签来给以太网帧分类,具有相同VLAN标签的以太网帧在同一个广播域中传送。
VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
VLAN(Virtual Local Area Network,虚拟局域网)的目的主要包含以下两方面。
首先,从路由器的层次上阐述VLAN的目的。
第一,192.168.1.2/30和192.168.2.6/30都属于不同的网段,必须要通过路由器才能进行访问,凡是不同网段间要互相访问,都必须通过路由器。
第二,VLAN本质就是指一个网段,之所以叫做虚拟的局域网,是因为它是在虚拟的路由器的接口下创建的网段。
比如一个路由器只有一个用于终端连接的端口(当然这种情况基本不可能发生,只不过简化举例),这个端口被分配了192.168.1.1/24的地址。然而由于公司有两个部门,一个销售部,一个企划部,每个部门要求单独成为一个子网,有单独的服务器。那么当然可以划分为192.168.1.0--127/25、192.168.1.128--255/25。但是路由器的物理端口只应该可以分配一个IP地址,那怎样来区分不同网段了?这就可以在这个物理端口下,创建两个子接口---逻辑接口实现。
比如逻辑接口F0/0.1就分配IP地址192.168.1.1/25,用于销售部,而F0/0.2就分配IP地址192.168.1.129/25,用于企划部。这样就等于用一个物理端口却实现了两个逻辑接口的功能,这样就将原本只能划分一个网段的情形,扩展到了可以划分2个或者更多个网段的情形。这些网段因为是在逻辑接口下创建的,所以称之为虚拟局域网VLAN。
其次,从交换机的层次上阐述VLAN的目的。
在现实中,由于很多原因必须划分出不同网段。比如就简单的只有销售部和企划部两个网段。那么可以简单的将销售部全部接入一个交换机,然后接入路由器的一个端口,把企划部全部接入一个交换机,然后接入一个路由器端口。这种情况是LAN。然而正如上面所说,如果路由器就一个用于终端的接口,那么这两个交换机就必须接入这同一个路由器的接口,这个时候,如果还想保持原来的网段的划分,那么就必须使用路由器的子接口,创建VLAN.
同样,比如两个交换机,如果你想要每个交换机上的端口都分别属于不同的网段,那么你有几个网段,就提供几个路由器的接口,这个时候,虽然在路由器的物理接口上可以定义这个接口可以连接哪个网段,但是在交换机的层次上,它并不能区分哪个端口属于哪个网段,那么唯一实现能区分的方法,就是划分VLAN,使用了VLAN就能区分出某个交换机端口的终端是属于哪个网段的。
综上,当一个交换机上的所有端口中有至少一个端口属于不同网段的时候,当路由器的一个物理端口要连接2个或者以上的网段的时候,就是VLAN发挥作用的时候,这就是VLAN的目的。
目前最广泛使用的VLAN协议标准是IEEE802.1Q,在源MAC地址和以太网络类型Ethertype域之间增加了4个字节,VLAN帧结构见图,其中:TPID为标签协议字段,值为0x8100,为802.1Q标记帧。TCI为标签控制信息字段ꎬ包括用户优先级、规范格式字段和VLAN ID。
PCP:定义用户优先级。
CFI:规范格式字段,在以太网交换机中,CFI总被设置为0。
VID:VLAN标识是对VLAN的12位识别字段,VID=0用于识别帧优先级。4095(FFF)作为预留值,所以VLAN配置的最大可能值为4094。
(1)减少广播风暴,VLAN能将网络划分为多个广播域,减少参与广播风暴的设备数量,从而有效地控制广播风暴的发生,防止广播风暴波及整个网络。
(2)增强网络安全,VLAN可以将含有敏感数据的用户组与网络的其余部分隔离,从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其他VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
(3)提高通信性能,VLAN可以减少网络上不必要的流量,节省了带宽,从而提高了网络处理能力。
(4)灵活组网,简化运维VLAN能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境。就像使用本地LAN一样方便、灵活、有效,网络构建和维护更方便灵活,降低网络运行管理费用。
(1)根据端口来划分VLAN,按网络端口来划分VLAN配置过程简单,允许跨越多个交换机,缺点是灵活性差。
(2)根据MAC地址划分VLAN,根据每个主机的MAC地址来划分,最大优点就是当用户物理位置移动时,VLAN不用重新配置,但难应用在大规模VLAN中。
(3)根据网络层划分VLAN,根据每个主机的网络层地址或协议类型划分,比如IP地址,但它不是路由,与网络层的路由无关。优点是用户的物理位置改变了,不需要重新配置所属的VLAN,缺点是效率低,类似还有根据IP组播划分VLAN的方法。
(4)基于规则的VLAN,基于策略组成的VLAN能实现多种分配方法,包括VLAN交换机端口、MAC地址、IP 地址、网络层协议等。当一个站点加入网络中时,被自动地包含进相应的VLAN中,同时对站点的移动和改变也可自动识别和跟踪,是最灵活的VLAN划分方法,其他还有按用户定义、非用户授权划分VLAN的方法。
VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成,同时还严格限制了用户数量。
尽管大约有80%的通信流量发生在VLAN内,但仍然有大约20%的通信流量要跨越不同的VLAN。目前,解决VLAN之间的通信主要采用路由器技术。
VLAN之间通信一般采用两种路由策略,即集中式路由和分布式路由,或由VLAN本身的访问控制技术。
(1)集中式路由
集中式路由策略是指所有VLAN都通过一个中心路由器实现互联。对于同一交换机(一般指二层交换机)上的两个端口,如果它们属于两个不同的VLAN,尽管它们在同一交换机上,在数据交换时也要通过中心路由器来选择路由。
这种方式的优点是简单明了,逻辑清晰。缺点是由于路由器的转发速度受限,会加大网络时延,容易发生拥塞现象。因此,这就要求中心路由器提供很高的处理能力和故障容许度特性。
(2)分布式路由
分布式路由策略是将路由选择功能适当地分布在带有路由功能的交换机上(指三层交换机),同一交换机上的不同VLAN可以直接实现互通,这种路由方式的优点是具有极高的路由速度和良好的可伸缩性。
Port vlan与Tag vlan
port vlan 基于端口的VLAN,处于同一VLAN端口之间才能相互通信。
tag vlan 基于IEEE 802.1Q(vlan标准),用VID(vlan id)来划分不同的VLAN
基于端口的VLAN优缺点
基于端口的VLAN,简单的讲就是交换机的一个端口就是一个虚拟局域网,凡是连接在这个端口上的主机属于同个虚拟局域网之中。基于端口的VLAN的优点为:由于一个端口就是一个独立的局域网。所以,当数据在网络中传输的时候,交换机就不会把数据包转发给其他的端口,如果用户需要将数据发送到其他的虚拟局域网中,就需要先由交换机发往路由器再由路由器发往其他端口;同时以端口为中心的VLAN中完全由用户自由支配端口,无形之中就更利于管理。但是美中不足的是以端口为中心的VLAN,当用户位置改变时,往往也伴随着用户位置的改变而对网线也要进行迁移。如果不会经常移动客户机的话,采用这一方式倒也不错。
静态VLAN的优缺点
可以说静态VLAN与基于端口的VLAN有一丝相似之处,用户可在交换机上让一个或多个交换机端口形成一个略大一些的虚拟局域网。从一定意义上讲静态虚拟局域网在某些程度上弥补了基于端口的虚拟局域网的缺点。缺陷方面,静态VLAN虽说是可以使多个端口的设置成一个虚拟局域网,假如两个不同端口、不同虚拟局域网的人员聚到一起协商一些事情,这时候问题就出现了,因为端口及虚拟局域网的不一致往往就会直接导致某一个虚拟局域网的人员就不能正常的访问他原先所在的VLAN之中(静态虚拟局域网的端口在同一时间只能属于同一个虚拟局域网),这样就需要网络管理人员随时配合及时修改该线路上的端口。
动态VLAN的优缺点
与上面两种虚拟局域网的组成方式相比动态的虚拟局域网的优点真的是太多了。首先它适用于当前的无线局域网技术,其次,当用户有需要时对工作基点进行移动时完全不用担心在静态虚拟局域网与基于端口的虚拟局域网出现的一些问题在动态的虚拟局域网中出现,因为动态的虚拟局域网在建立初期已经由网络管理员将整个网络中的所有MAC地址全部输入到了路由器之中,同时如何由路由器通过MAC地址来自动区分每一台电脑属于那一个虚拟局域网,之后将这台电脑连接到对应的虚拟局域网之中。说起缺点,动态的虚拟局域网的缺点跟本谈不上缺点,只是在VLAN建立初期,网络管理人员需将所有机器的MAC进行登记之后划分出MAC所对应的机器的不同权限(虚拟局域网)即可。
在宽带网络中实现的VLAN基本上能满足广大网络用户的需求,但其网络性能、网络流量控制、网络通信优先级控制等还有待提高。VTP技术、STP技术,基于三层交换的VLAN技术等在VLAN使用中存在网络效率的瓶颈问题,这主要是IEEE802.1Q、IEEE802.1D协议的不完善所致,IEEE正在制定和完善IEEE802.1S(Multiple Spanning Trees)和IEEE802.1W(Rapid Reconfiguration of Spanning Tree)来改善VLAN的性能。采用IEEE802.3z和IEEE802.3ab协议,并结合使用RISC(精简指令集计算)处理器或者网络处理器而研制的吉位VLAN交换机在网络流量等方面采取了相应的措施,大大提高了VLAN网络的性能。IEEE802.1P协议提出了COS(Class of Service)标准,这使网络通信优先级控制机制有了参考。