虚拟局域网(Virtual Local Area Network或简写VLAN, V-LAN)
目录 |
虚拟局域网是一种建构于局域网交换技术(LAN Switch)的网络管理的技术,网管人员可以借此通过控制交换机有效分派出入局域网的数据包到正确的出入端口,达到对不同实体局域网中的设备进行逻辑分群(Grouping)管理,并降低局域网内大量数据流通时,因无用数据包过多导致雍塞的问题,以及提升局域网的信息安全保障。
在大型局域网中,VLAN技术给网络管理员和网络用户都带来了许多好处。归纳起来主要有以下几点:
(1)减少移动和改变的代价,即所说的动态管理网络,也就是当一个用户从一个位置移动到另一个位置时,他的网络属性不需要重新配置,而是动态地完成,这种动态管理网络给网络管理者和使用者都带来了极大的好处。一个用户,无论他到哪里,他都能不作任何修改地接入网络。当然,并不是所有的VLAN定义方法都能做到这一点。
(2)虚拟工作组。使用VLAN的最终目标就是建立虚拟工作组,例如,在企业网中,同一个部门好像在同一个LAN上一样,很容易互相访问、交流信息,同时,所有的广播包也都限制在该虚拟LAN上,而不影响其他VLAN的人。一个人如果从一个办公地点换到另外一个办公地点,而他仍然在该部门,那么,该用户的配置无须改变。同时,如果一个人虽然办公地点没有变,但他更换了部门,那么,只需网络管理员更改一下该用户的配置即可。这个功能的目标就是建立一个动态的组织环境。
(3)VLAN的应用解决了许多大型二层交换网络产生的问题:限制广播包,提高带宽的利用率,有效地解决了广播风暴带来的性能下降问题。一个VLAN形成一个小的广播域,同一个VLAN成员都在由所属VLAN确定的广播域内。那么,当一个数据包没有路由时,交换机只会将此数据包发送到所有属于该VLAN的其他端口,而不是所有的交换机的端V1,这样,就将数据包限制在了一个VLAN内,从而在一定程度上可以节省带宽。
(4)增强通信的安全性。一个VLAN的数据包不会发送到另一个VLAN,这样,其他VLAN用户的网络上收不到任何该VLAN的数据包,这样就确保了该VLAN的信息不会被其他VLAN的人窃听,从而实现了信息的保密。
(5)由于VLAN是从逻辑上对网络进行划分,组网方案灵活,配置管理简单,从而降低了管理维护的成本。
虚拟局域网的主要思想是:所有计算机组成一个大的物理局域网,即传统局域网;将所有计算机设备按照功能和需求划分为若干组,每组划分为一个逻辑网段,每个逻辑网段是1个虚拟局域网;一个传统局域网可划分为多个逻辑网段,即多个VLAN;VLAN中的站点是通过软件定义而不是硬件定义;站点可在多个VLAN之间移动;一个VLAN中的广播信息可以被该VLAN中的站点接收,该VLAN之外的站点接收不到该广播信息,因此VLAN和传统局域网一样可以隔离广播信息;连接在不同交换机上的站点可以使用VLAN技术组成一个或多个VLAN;VLAN中的站点之间通信时就像传统局域网一样;VLAN之间的相互通信必通过网络层协议实现,不能直接相互通信。
采用VLAN技术可以很容易地解决前面提出的问题。例如,某个单位拥有财物、开发和办公三个部门,出于安全和管理方面的考虑,希望每个部门的计算机可以无障碍通信,部门之间的通信则需要进行控制。由于地理位置和设备限制,办公、开发和财物部门的共用相同交换机,建成为一个传统局域网,如图所示。财务机
采用VLAN技术可以容易地实现。根据需求,财物、开发和办公三个部门个分配1个VLAN,把各个部门所属的计算机站点划分到对应的逻辑网段中形成VLAN;VLAN之间不能互相访问,隔离广播信息;因此可以满足该部门的用户需求。
划分虚拟网的方法主要有三种:
(1)基于交换机端口划分基于端口划分虚拟网,就是按交换机端口定义虚拟网成员,每个端口只能属于一个虚拟网,这是一种最通用也是简单的方法。在配置完成后,再为交换机端口分配一个虚拟网,使交换机的端口成为某个虚拟网的成员。
(2)基于MAC地址划分
这种方法是按每个连接到交换机设备的物理地址(即MAC地址)定义虚拟网成员。当一个交换机端口上连接一台集线器,在集线器上又连接了多台设备,而这些设备需要划入不同的虚拟网时,就可以使用这种方法定义虚拟网成员。因为它可以按用户划分,所以也把这种方法称为基于用户的虚拟网划分。在使用基于MAC地址划分时,一个交换机端El有可能属于多个虚拟网,这样端口就能接收多个虚拟网的广播信息。
(3)基于第三层协议类型或地址划分
这种方法允许按照网络层协议类型组成VLAN,也可以按网络地址(如TCP/IP的IP地址)定义虚拟网成员。这种方法的优点是有利于组成基于应用的虚拟网。