【什麽是vlan】
vlan是英文virtual local area network的縮寫,即虛擬局域網。vlan是對連接到的第二層交換機端口的網絡用戶的邏輯分段,不受網絡用戶的物理位置限製而根據用戶需求進行網絡分段。一個vlan可以在一個交換機或者跨交換機實現。vlan可以根據網絡用戶的位置、作用、部門或者根據網絡用戶所使用的應用程序和協議來進行分組。基於交換機的虛擬局域網能夠為局域網解决衝突域、廣播域、帶寬問題。一方面,vlan建立在局域網交換機的基礎之上;另一方面,vlan是局域交換網的靈魂。這是因為通過 vlan用戶能方便地在網絡中移動和快捷地組建寬帶網絡,而無需改變任何硬件和通信綫路。這樣,網絡管理員就能從邏輯上對用戶和網絡資源進行分配,而無需考慮物理連接方式。 vlan充分體現了現代網絡技術的重要特徵:高速、靈活、管理簡便和擴展容易。是否具有vlan功能是衡量局域網交換機的一項重要指標。網絡的虛擬化是未來網絡發展的潮流。vlan與普通局域網從原理上講沒有什麽不同,但從用戶使用和網絡管理的角度來看,vlan與普通局域網最基本的差異體現在:vlan並不局限於某一網絡或物理範圍,vlan中的用戶可以位於一個園區的任意位置,甚至位於不同的國傢。
傳統的共享介質的以太網和交換式的以太網中,所有的用戶在同一個廣播域中,會引起網絡性能的下降,浪費可貴的帶寬;而且對廣播風暴的控製和網絡安全衹能在第三層的路由器上實現。
vlan相當於osi參考模型的第二層的廣播域,能夠將廣播風暴控製在一個vlan內部,劃分vlan後,由於廣播域的縮小,網絡中廣播包消耗帶寬所占的比例大大降低,網絡的性能得到顯著的提高。不同的vlan之間的數據傳輸是通過第三層(網絡層)的路由來實現的,因此使用vlan技術,結合數據鏈路層和網絡層的交換設備可搭建安全可靠的網絡。網絡管理員通過控製交換機的每一個端口來控製網絡用戶對網絡資源的訪問,同時vlan和第三層第四層的交換結合使用能夠為網絡提供較好的安全措施。
另外,vlan具有靈活性和可擴張性等特點,方便於網絡維護和管理,這兩個特點正是現代局域網設計必須實現的兩個基本目標, 在局域網中有效利用虛擬局域網技術能夠提高網絡運行效率.
【vlan 的優點】
--增加了網絡的連接靈活性:
藉助vlan技術,能將不同地點、不同網絡、不同用戶組合在一起,形成一個虛擬的網絡環境 ,就像使用本地lan一樣方便、
靈活、有效。vlan可以降低移動或變更工作站地理位置的管 理費用,特別是一些業務情況有經常性變動的公司使用了vlan後,
這部分管理費用大大降低。
--控製網絡上的安全
vlan可以提供建立防火墻的機製,防止交換網絡的過量廣播。使用vlan,可以將某個交換端口或用戶賦於某一個特定的vlan
組,該vlan組可以在一個交換網中或跨接多個交換機, 在一個vlan中的廣播不會送到vlan之外。同樣,相鄰的端口不會收到
其他vlan産生的廣 播。這樣可以減少廣播流量,釋放帶寬給用戶應用,減少廣播的産生
--增加網絡的安全性
因為一個vlan就是一個單獨的廣播域,vlan之間相互隔離,這大大提高了網絡的利用率,確保了網絡的安全保密性。人們在
lan上經常傳送一些保密的、關鍵性的數據。保密的數據應 提供訪問控製等安全手段。一個有效和容易實現的方法是將網絡
分段成幾個不同的廣播組, 網絡管理員限製了vlan中用戶的數量,禁止未經允許而訪問vlan中的應用。交換端口可以基於應
用類型和訪問特權來進行分組,被限製的應用程序和資源一般置於安全性vlan中。
【vlan的分類】
基於端口的vlan:
基於端口的vlan是劃分虛擬局域網最簡單也是最有效的方法,這實際上是某些交換端口的集合,網絡管理員
衹需要管理和配置交換端口,而不管交換端口連接什麽設備。
基於mac地址的vlan:
由於衹有網卡才分配有mac地址,因此按mac地址來劃分vlan實際上是將某些工作站和服務器劃屬於某個vlan。
事實上,該vlan是一些mac地址的集合。當設備移動時,
vlan能夠自動識別。網絡管理需要管理和配置設備的mac地址,顯然當網絡規模很大,設備很多時,會給管理帶來難度。
基於第3層的vlan:
基於第3層的vlan是采用在路由器中常用的方法:ip子網和ipx網絡號等。其中,局域網交換機允許一個子網
擴展到多個局域網交換端口,甚至允許一個端口對應於多個子網。
基於策略的vlan:
基於策略的vlan是一種比較靈活有效的vlan劃分方法。該方法的核心是采用什麽樣的策略?目前,常用的策略
有(與廠商設備的支持有關):按mac地址, 按ip地址, 按以太網協議類型, 按網絡的應用等
【vlan的應用】
在同一個vlan中的工作站,不論它們實際與哪個交換機連接,它們之間的通訊就好像在獨立的集綫器上一樣。同一個vlan中的廣播衹有vlan中的成員才能聽到,而不會傳輸到其他的 vlan中去,這樣可以很好的控製不必要的廣播風暴的産生。同時,若沒有路由的話,不同vlan之間不能相互通訊,這樣增加了企業網絡中不同部門之間的安全性。網絡管理員可以通過配置vlan之間的路由來全面管理企業內部不同管理單元之間的信息互訪。交換機是根據用戶工作站的mac地址來劃分vlan的。所以,用戶可以自由的在企業網絡中移動辦公,不論他在何處接入交換網絡,他都可以與vlan內其他用戶自如通訊。
vlan(virtual local area network)即虛擬局域網,是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。ieee於1999年頒布了用以標準化vlan實現方案的802.1q協議標準草案。
vlan技術允許網絡管理者將一個物理的lan邏輯地劃分成不同的廣播域(或稱虛擬lan,即vlan),每一個vlan都包含一組有着相同需求的計算機工作站,與物理上形成的lan有着相同的屬性。但由於它是邏輯地而不是物理地劃分,所以同一個vlan內的各個工作站無須被放置在同一個物理空間裏,即這些工作站不一定屬於同一個物理lan網段。一個vlan內部的廣播和單播流量都不會轉發到其他vlan 中,從而有助於控製流量、減少設備投資、簡化網絡管理、提高網絡的安全性。
vlan是為解决以太網的廣播問題和安全性而提出的一種協議,它在以太網幀的基礎上增加了vlan頭,用 vlan id把用戶劃分為更小的工作組,限製不同工作組間的用戶二層互訪,每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限製廣播範圍,並能夠形成虛擬工作組,動態管理網絡。
vlan(虛擬局域網)隔離技術是一種一方面為了避免當一個網絡係統的設備數量增加到一定規模後,大量的廣播報文消耗大量的網絡帶寬,從而影響有效數據的傳遞;另一方面確保部分安全性比較敏感的部門不被隨意訪問瀏覽而采用的劃分相互隔離子網的方法。目前,基於vlan隔離技術的訪問控製方法在一些中小型企業和校園網中得到廣泛的應用。
vlan是一個獨立的設備或者用戶的邏輯組,是一個獨立的邏輯網絡,單獨的廣播域。
通過vlan隔離技術,可以把一個網絡係統中衆多的網絡設備分成若幹個虛擬的工作組,組和組之間的網絡設備在二層上相互隔離,形成不同的廣播域,將廣播流量限製在不同的廣播域。由於vlan技術是基於二層和三層之間的隔離,可以將不同的網絡用戶與網絡資源進行分組並通過支持vlan技術的交換機隔離不同組內網絡設備間的數據交換來達到網絡安全的目的。該方式允許同一vlan上的用戶互相通信,而處於不同vlan的用戶之間在數據鏈路層上是斷開的,衹能通過三層路由器才能訪問。
在安全性方面,vlan隔離技術可以保證物理設備之間的隔離,但是對於同一臺服務器,衹能做到同時嚮多個vlan組全面開放或者是衹嚮某個vlan組開放,而不能針對個別用戶進行限製。在實際應用中,一臺服務器擔當多種服務器角色,同時為多個vlan組用戶提供不同的服務,這也帶來一定的安全隱患。比如:一臺市場部電子商務服務器,存儲有客戶數據,同時它也是一臺財務部數據庫服務器,存儲有財務數據,這樣該服務器就同時需要嚮市場人員和財務人員開放,單純的采用vlan技術就無法避免市場人員查看財務數據(當然,這種隱患可以通過其它輔助手段解决)。
現今vlan技術經過多年的發展有了廣泛的使用,vlan的劃分方法也不再是衹能根據交換機的物理端口來劃分。現在vlan一般的劃分方法有三種:1.基於端口劃分。由管理員指定靜態端口屬於哪個vlan。2.基於mac地址劃分。是按照每一個連接到交換機設備的物理地址定義mac成員。3.基於第三成協議類型或者地址劃分。包括根據網絡地址劃分,根據不同網絡協議(tcp/ip、ipx、decnet)劃分等等。
因為vlan技術與局域網技術息息相關,所以在介紹vlan之前,瞭解局域網的知識是有必要的。局域網(lan)通常被定義為一個單獨的廣播域,主要使用hub,網橋,或交換機等網絡設備連接同一網段內的所有節點。同處一個局域網之內的網絡節點之間可以不通過網絡路由器直接進行通信;而處於不同局域網段內的設備之間的通信則必須經過網絡路由器。 |
|
|