论文部分内容阅读
【摘要】 在网络管理中,VLAN是一种迅速发展且被广泛应用的技术,它具有控制网络广播风暴、增强网络安全性、便于网络维护和管理等优点,在企业网络中发挥着巨大作用。文章主要介绍了在网络管理中如何实现VLAN以及VLAN的优点。
【关键词】虚拟局域网VLAN端口交换机
中图分类号: TN711文献标识码:A 文章编号:
1 什么是VLAN
VLAN(VirtualLocalAreaNetwork)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中,从而实現虚拟工作组(单元)的数据交换技术。
2 组建VLAN的条件
VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成,但目前主流应用还是在交换机之中。不过不是所有交换机都具有此功能,只有三层以上交换机才具有此功能。
3 VLAN在交换机上的实现方法
划分VLAN是通过使用软件在整个网络范围内定义VLAN成员实现的,目前在企业局域网中常用的划分可以大致划分为六类:
第一,基于端口的VLAN。这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。所谓基于端口的VLAN是根据以太网交换机的交换端口来划分的,就是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。
对于不同部门需要互访时,可通过路由器转发,并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上,设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。
从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口,到了一个新的交换机的某个端口,必须重新定义。
第二,基于MAC地址的VLAN
所谓基于MAC地址的VLAN,是指借助智能管理软件根据MAC地址来划分VLAN。这种VLAN一旦划分完成,无论节点在网络上怎样移动,由于MAC地址保持不变,因此不需要重新配置,此划分方式被称为动态的VLAN。分配给动态VLAN的端口被激活后,交换机就缓存初始帧的源MAC地址,便向一个称为VMPS(VLAN管理策略服务器)的外部服务器发出请求,VMPS中包含一个文本文件,文件中存有进行VLAN映射的MAC地址。交换机对这个文件进行下载,然后对文件中的MAC地址进行校验。如果在文件列表中找到MAC地址,交换机就将端口分配给列表中的VLAN。如果列表中没有MAC地址,交换机就将端口分配给默认的VLAN。如果在列表中没有MAC地址,而且也没有定义默认的VLAN,端口不会被激活。
由这种划分的机制可以看出,这种VLAN的划分方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,因为它是基于用户,而不是基于交换机的端口。这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的,所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,保存了许多用户的MAC地址,查询起来相当不容易。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样VLAN就必须经常配置。
第三,基于网络层协议的VLAN
VLAN按网络层协议来划分,可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN,可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且,用户可以在网络内部自由移动,但其VLAN成员身份仍然保留不变。
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
第四,根据IP组播的VLAN
IP 组播实际上也是一种VLAN的定义,即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,主要适合于不在同一地理范围的局域网用户组成一个VLAN,不适合局域网,主要是效率不高。
第五,按策略划分的VLAN
基于策略组成的VLAN能实现多种分配方法,包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 。
第六、按用户定义、非用户授权划分的VLAN
基于用户定义、非用户授权来划分VLAN,是指为了适应特别的VLAN网络,根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可以加入一个VLAN
4 使用VLAN的优点
在实际的网络管理中,广泛应用VLAN,VLAN有以下几个方面的优点。
第一,减少网络管理成本。对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以在一个交换机或者跨交换机实现。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。
第二,控制广播活动。目前企业局域网的规模、功能、资源等不断增加,同在一个广播域中,当工作站数量增多和信息流量增大时,容易形成“广播风暴”,严重影响了网络运行速度。在虚拟局域网中,由于所有的广播只在本VLAN内进行,而不再扩散到其他VLAN上,所以将大大减少广播对网络带宽的占用,并可有效地避免广播风暴的产生。
第三,增强网络安全性。VLAN的一个重要好处就是提高了网络安全性。在企业局域网中,面临的最大问题就是网络中各种资源数据的安全问题。如企业的财务部和经理办公室的计算机不能让其他部门的计算机访问,就可以利用VLAN把它们单独隔离出来。因此,通过划分VLAN,就可以在物理上防止某些非授权用户访问敏感数据,从而确保了网络的安全和保密性。
5、结束语
VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。利用VLAN技术,有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。
参考文献
[1] 李明忠等编著,《局域网一点通》,人民交通出版社,2003
[2] 张立云,马皓,孙辨华等主编,《计算机网络基础教程》,清华大学出版社.2003
【关键词】虚拟局域网VLAN端口交换机
中图分类号: TN711文献标识码:A 文章编号:
1 什么是VLAN
VLAN(VirtualLocalAreaNetwork)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中,从而实現虚拟工作组(单元)的数据交换技术。
2 组建VLAN的条件
VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成,但目前主流应用还是在交换机之中。不过不是所有交换机都具有此功能,只有三层以上交换机才具有此功能。
3 VLAN在交换机上的实现方法
划分VLAN是通过使用软件在整个网络范围内定义VLAN成员实现的,目前在企业局域网中常用的划分可以大致划分为六类:
第一,基于端口的VLAN。这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。所谓基于端口的VLAN是根据以太网交换机的交换端口来划分的,就是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。
对于不同部门需要互访时,可通过路由器转发,并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上,设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。
从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口,到了一个新的交换机的某个端口,必须重新定义。
第二,基于MAC地址的VLAN
所谓基于MAC地址的VLAN,是指借助智能管理软件根据MAC地址来划分VLAN。这种VLAN一旦划分完成,无论节点在网络上怎样移动,由于MAC地址保持不变,因此不需要重新配置,此划分方式被称为动态的VLAN。分配给动态VLAN的端口被激活后,交换机就缓存初始帧的源MAC地址,便向一个称为VMPS(VLAN管理策略服务器)的外部服务器发出请求,VMPS中包含一个文本文件,文件中存有进行VLAN映射的MAC地址。交换机对这个文件进行下载,然后对文件中的MAC地址进行校验。如果在文件列表中找到MAC地址,交换机就将端口分配给列表中的VLAN。如果列表中没有MAC地址,交换机就将端口分配给默认的VLAN。如果在列表中没有MAC地址,而且也没有定义默认的VLAN,端口不会被激活。
由这种划分的机制可以看出,这种VLAN的划分方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,因为它是基于用户,而不是基于交换机的端口。这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的,所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,保存了许多用户的MAC地址,查询起来相当不容易。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样VLAN就必须经常配置。
第三,基于网络层协议的VLAN
VLAN按网络层协议来划分,可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN,可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且,用户可以在网络内部自由移动,但其VLAN成员身份仍然保留不变。
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
第四,根据IP组播的VLAN
IP 组播实际上也是一种VLAN的定义,即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,主要适合于不在同一地理范围的局域网用户组成一个VLAN,不适合局域网,主要是效率不高。
第五,按策略划分的VLAN
基于策略组成的VLAN能实现多种分配方法,包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 。
第六、按用户定义、非用户授权划分的VLAN
基于用户定义、非用户授权来划分VLAN,是指为了适应特别的VLAN网络,根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可以加入一个VLAN
4 使用VLAN的优点
在实际的网络管理中,广泛应用VLAN,VLAN有以下几个方面的优点。
第一,减少网络管理成本。对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以在一个交换机或者跨交换机实现。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。
第二,控制广播活动。目前企业局域网的规模、功能、资源等不断增加,同在一个广播域中,当工作站数量增多和信息流量增大时,容易形成“广播风暴”,严重影响了网络运行速度。在虚拟局域网中,由于所有的广播只在本VLAN内进行,而不再扩散到其他VLAN上,所以将大大减少广播对网络带宽的占用,并可有效地避免广播风暴的产生。
第三,增强网络安全性。VLAN的一个重要好处就是提高了网络安全性。在企业局域网中,面临的最大问题就是网络中各种资源数据的安全问题。如企业的财务部和经理办公室的计算机不能让其他部门的计算机访问,就可以利用VLAN把它们单独隔离出来。因此,通过划分VLAN,就可以在物理上防止某些非授权用户访问敏感数据,从而确保了网络的安全和保密性。
5、结束语
VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。利用VLAN技术,有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。
参考文献
[1] 李明忠等编著,《局域网一点通》,人民交通出版社,2003
[2] 张立云,马皓,孙辨华等主编,《计算机网络基础教程》,清华大学出版社.2003