VLAN技術白皮書

VLAN技術白皮書 關鍵詞 VLAN，VLAN聚合，PVLAN， GVRP，VTP 1 VLAN概述 VLAN（Virtual Local Area Network）即虛拟區域網路，是一種通過将區域網路内的裝置邏輯地而不是實體地劃分成一個個網段進而實作虛拟工作組的新興技術。IEEE于1999年頒布了用以标準化VLAN實作方案的802.1Q協定标準草案。 VLAN技術允許網絡管理者将一個實體的LAN邏輯地劃分成不同的廣播域（或稱虛拟LAN，即VLAN），每一個VLAN都包含一組有着相同需求的計算機工作站，與實體上形成的LAN有着相同的屬性。但由于它是邏輯地而不是實體地劃分，是以同一個VLAN内的各個工作站無須被放置在同一個實體空間裡，即這些工作站不一定屬于同一個實體LAN網段。一個VLAN内部的廣播和單點傳播流量都不會轉發到其他VLAN中，進而有助于控制流量、減少裝置投資、簡化網絡管理、提高網絡的安全性。 VLAN是為解決以太網的廣播問題和安全性而提出的一種協定，它在以太網幀的基礎上增加了VLAN頭，用VLAN ID把使用者劃分為更小的工作組，限制不同工作組間的使用者二層互訪，每個工作組就是一個虛拟區域網路。虛拟區域網路的好處是可以限制廣播範圍，并能夠形成虛拟工作組，動态管理網絡。 VLAN在交換機上的實作方法，可以大緻劃分為4類: 1、 基于端口劃分的VLAN 這種劃分VLAN的方法是根據以太網交換機的端口來劃分，比如Quidway S3526的1~4端口為VLAN 10，5~17為VLAN 20，18~24為VLAN 30，當然，這些屬于同一VLAN的端口可以不連續，如何配置，由管理者決定，如果有多個交換機，例如，可以指定交換機 1 的1~6端口和交換機 2 的1~4端口為同一VLAN，即同一VLAN可以跨越數個以太網交換機，根據端口劃分是目前定義VLAN的最廣泛的方法，IEEE 802.1Q規定了依據以太網交換機的端口來劃分VLAN的國際标準。 這種劃分的方法的優點是定義VLAN成員時非常簡單，隻要将所有的端口都指定義一下就可以了。它的缺點是如果VLAN A的使用者離開了原來的端口，到了一個新的交換機的某個端口，那麼就必須重新定義。 2、基于MAC位址劃分VLAN 這種劃分VLAN的方法是根據每個主機的MAC位址來劃分，即對每個MAC位址的主機都配置他屬于哪個組。這種劃分VLAN的方法的最大優點就是當使用者實體位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，是以，可以認為這種根據MAC位址的劃分方法是基于使用者的VLAN，這種方法的缺點是初始化時，所有的使用者都必須進行配置，如果有幾百個甚至上千個使用者的話，配置是非常累的。而且這種劃分的方法也導緻了交換機執行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。另外，對于使用筆記本電腦的使用者來說，他們的網卡可能經常更換，這樣，VLAN就必須不停的配置。 3、基于網絡層劃分VLAN 這種劃分VLAN的方法是根據每個主機的網絡層位址或協定類型(如果支援多協定)劃分的，雖然這種劃分方法是根據網絡位址，比如IP位址，但它不是路由，與網絡層的路由毫無關系。它雖然檢視每個資料包的IP位址，但由于不是路由，是以，沒有RIP，OSPF等路由協定，而是根據生成樹算法進行橋交換， 這種方法的優點是使用者的實體位置改變了，不需要重新配置所屬的VLAN，而且可以根據協定類型來劃分VLAN，這對網絡管理者來說很重要，還有，這種方法不需要附加的幀标簽來識别VLAN，這樣可以減少網絡的通信量。 這種方法的缺點是效率低，因為檢查每一個資料包的網絡層位址是需要消耗處理時間的(相對于前面兩種方法)，一般的交換機晶片都可以自動檢查網絡上資料包的以太網祯頭，但要讓晶片能檢查IP幀頭，需要更高的技術，同時也更費時。當然，這與各個廠商的實作方法有關。 4、根據IP多點傳播劃分VLAN IP 多點傳播實際上也是一種VLAN的定義，即認為一個多點傳播組就是一個VLAN，這種劃分的方法将VLAN擴大到了廣域網，是以這種方法具有更大的靈活性，而且也很容易通過路由器進行擴充，當然這種方法不适合區域網路，主要是效率不高。 鑒于目前業界VLAN發展的趨勢，考慮到各種VLAN劃分方式的優缺點，為了最大程度上地滿足使用者在具體使用過程中需求，減輕使用者在VLAN的具體使用和維護中的工作量，Quidway S系列交換機采用根據端口來劃分VLAN的方法。 VLAN技術簡介 因為VLAN技術與區域網路技術息息相關，是以在介紹VLAN之前，我們首先來了解一下區域網路的有關知識。 區域網路（LAN）通常被定義為一個單獨的廣播域，主要使用Hub，網橋，或交換機等網絡裝置連接配接同一網段内的所有節點。同處一個區域網路之内的網絡節點之間可以不通過網絡路由器直接進行通信；而處于不同區域網路段内的裝置之間的通信則必須經過網絡路由器。 圖一所示為使用路由器建構的典型的區域網路環境。 圖一所示網絡中，通過使用路由器劃分出不同的區域網路段。其中，位于圓形區域之内的部分就是一個個互相獨立的區域網路段。為了便于在本文中進行說明，我們為不同的網段進行了編号。需要注意的一點就是，每一個區域網路所連接配接的路由器接口都屬于該區域網路廣播域的一部分。 随着網絡的不斷擴充，接入裝置逐漸增多，網絡結構日趨複雜，必須使用更多的路由器才能将不同的使用者劃分到各自的廣播域中，在不同的區域網路之間提供網絡互連。 這樣做的一個缺陷就是随着網絡中路由器數量的增多，網絡時延逐漸加長，進而導緻網絡資料傳輸速度的下降。這主要是因為資料在從一處區域網路傳遞到另一處區域網路時，必須經過路由器的路由操作，路由器根據資料包中的相應資訊确定資料包的目标位址，然後再選擇合适的路徑轉發出去。 VLAN，又稱虛拟區域網路，是由位于不同實體區域網路段的裝置組成。雖然VLAN所連接配接的裝置來自不同的網段，但是互相之間可以進行直接通信，好像處于同一網段中一樣，由此得名虛拟區域網路。相比較傳統的區域網路布局，VLAN技術更加靈活。為了建立虛拟網絡，需要對已有的網絡拓撲結構進行相應的調整。 還是連接配接相同的網絡終端，通過如圖所示的交換網絡提供了同樣的網絡連接配接。雖然圖二所示的網絡比起圖一所示網絡在速度和網絡時延方面都有了很大的改進和提高，但是同樣存在一些不足。其中，最突出的一點就是現在所有的網絡節點都處于同一個廣播域内，大大增加了網絡中所有裝置之間的資料流量。随着網絡的不斷擴充，很有可能出現廣播風暴，導緻整個網絡無法使用。 VLAN技術入門 VLAN是英文Virtual Local Area Network的縮寫，即虛拟區域網路。一方面，VLAN建立在區域網路交換機的基礎之上；另一方面，VLAN是局域交換網的靈魂。這是因為通過VLAN使用者能友善地在網絡中移動和快捷地組建寬帶網絡，而無需改變任何硬體和通信線路。這樣，網絡管理者就能從邏輯上對使用者和網絡資源進行配置設定，而無需考慮實體連接配接方式。 VLAN充分展現了現代網絡技術的重要特征：高速、靈活、管理簡便和擴充容易。是否具有VLAN功能是衡量區域網路交換機的一項重要名額。網絡的虛拟化是未來網絡發展的潮流。 VLAN與普通區域網路從原理上講沒有什麼不同，但從使用者使用和網絡管理的角度來看，VLAN與普通區域網路最基本的差異展現在：VLAN并不局限于某一網絡或實體範圍，VLAN中的使用者可以位于一個園區的任意位置，甚至位于不同的國家。 VLAN具有以下優點： 控制網絡的廣播風暴 采用VLAN技術，可将某個交換端口劃到某個VLAN中，而一個VLAN的廣播風暴不會影響其它VLAN的性能。 確定網絡安全 共享式區域網路之是以很難保證網絡的安全性，是因為隻要使用者插入一個活動端口，就能通路網絡。而VLAN能限制個别使用者的通路，控制廣播組的大小和位置，甚至能鎖定某台裝置的MAC位址，是以VLAN能確定網絡的安全性。 簡化網絡管理 網絡管理者能借助于VLAN技術輕松管理整個網絡。例如需要為完成某個項目建立一個工作組網絡，其成員可能遍及全國或全世界，此時，網絡管理者隻需設定幾條指令，就能在幾分鐘内建立該項目的VLAN網絡，其成員使用VLAN網絡，就像在本地使用區域網路一樣。 VLAN的分類主要有以下幾種： 基于端口的VLAN 基于端口的VLAN是劃分虛拟區域網路最簡單也是最有效的方法，這實際上是某些交換端口的集合，網絡管理者隻需要管理和配置交換端口，而不管交換端口連接配接什麼裝置。 基于MAC位址的VLAN 由于隻有網卡才配置設定有MAC位址，是以按MAC位址來劃分VLAN實際上是将某些工作站和伺服器劃屬于某個VLAN。事實上，該VLAN是一些MAC位址的集合。當裝置移動時，VLAN能夠自動識别。網絡管理需要管理和配置裝置的MAC位址，顯然當網絡規模很大，裝置很多時，會給管理帶來難度。 基于第3層的VLAN 基于第3層的VLAN是采用在路由器中常用的方法：IP子網和IPX網絡号等。其中，區域網路交換機允許一個子網擴充到多個區域網路交換端口，甚至允許一個端口對應于多個子網。 基于政策的VLAN 基于政策的VLAN是一種比較靈活有效的VLAN劃分方法。該方法的核心是采用什麼樣的政策？目前，常用的政策有（與廠商裝置的支援有關）： 按MAC位址 按IP位址 按以太網協定類型 按網絡的應用等 。