使用条件
VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。
类别划分
VLAN的实现方法,可以大致划分为六类:
基于端口划分的VLANn
基于MAC地址划分VLAN
基于网络层协议划分VLANn
根据IP组播划分VLANn
按策略划分VLANn
按用户定义、非用户授权划分VLAN
根据端口
许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。
根据MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停地配置。
根据网络层
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
根据IP组播
IP组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
基于规则
也称为基于策略的VLAN。这是最灵活的VLAN划分方法,具有自动配置的能力,能够把相关的用户连成一体,在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则(或属性),那么当一个站点加入网络中时,将会被“感知”,并被自己地包含进正确的VLAN中。同时,对站点的移动和改变也可自动识别和跟踪。
采用这种方法,整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN,这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时,交换机中软件自动检查进入交换机端口的广播信息的IP源地址,然后软件自动将这个端口分配给一个由IP子网映射成的VLAN。
以上划分VLAN的方式中,基于端口的VLAN端口方式建立在物理层上;MAC方式建立在数据链路层上;网络层和IP广播方式建立在第三层上。
优点
1、限制广播域。广播域被限制在一个VLAN内,节省了带宽,提高了网络处理能力。
2、增强局域网的安全性。不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
3、灵活构建虚拟工作组。用VLAN可以划分不同的用户到不同的工作组,同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便灵活。
特点
1、分段性,可根据部门,功能和项目来划分成不同的网段;
2、灵活性,组成VLAN的用户不用考虑物物理位置,同一个VLAN也可以跨越多个交换机;
3、安全性,通过广播域的分隔,使每个逻辑的VLAN就象一个独立的物理桥,提高了网络的性能和安全,但不同的VLAN间的通讯需要经过路由器来连接。
标准
对VLAN的标准,我们只是介绍两种比较通用的标准,当然也有一些公司具有自己的标准,比如Cisco公司的ISL标准,虽然不是一种大众化的标准,但是由于CiscoCatalyst交换机的大量使用,ISL也成为一种不是标准的标准了。
802.10VLAN标准
在1995年,Cisco公司提倡使用IEEE802.10协议。在此之前,IEEE802.10曾经在全球范围内作为VLAN安全性的同一规范。Cisco公司试图采用优化后的802.10帧格式在网络上传输FramTagging模式中所必须的VLAN标签。然而,大多数802委员会的成员都反对推广802.10。因为,该协议是基于FrameTagging方式的。
802.1Q
在1996年3月,IEEE802.1Internetworking委员会结束了对VLAN初期标准的修订工作。新出台的标准进一步完善了VLAN的体系结构,统一了Fram-eTagging方式中不同厂商的标签格式,并制定了VLAN标准在未来一段时间内的发展方向,形成的802.1Q的标准在业界获得了广泛的推广。它成为VLAN史上的一块里程碑。802.1Q的出现打破了虚拟网依赖于单一厂商的僵局,从一个侧面推动了VLAN的迅速发展。另外,来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。
CiscoISL标签
ISL(Inter-SwitchLink)是Cisco公司的专有封装方式,因此只能在Cisco的设备上支持。ISL是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接的端口配置ISL封装,即可跨越交换机进行整个网络的VLAN分配和配置。
发展趋势
目前在宽带网络中实现的VLAN基本上能满足广大网络用户的需求,但其网络性能、网络流量控制、网络通信优先级控制等还有待提高。前面所提到的VTP技术、STP技术,基于三层交换的VLAN技术等在VLAN使用中存在网络效率的瓶颈问题,这主要是IEEE802.1Q、IEEE802.1D协议的不完善所致,IEEE正在制定和完善IEEE802.1S(MultipleSpanningTrees)和IEEE802.1W(RapidReconfigurationofSpanningTree)来改善VLAN的性能。采用IEEE802.3z和IEEE802.3ab协议,并结合使用RISC(精简指令集计算)处理器或者网络处理器而研制的吉位VLAN交换机在网络流量等方面采取了相应的措施,大大提高了VLAN网络的性能。IEEE802.1P协议提出了COS(ClassofService)标准,这使网络通信优先级控制机制有了参考。
有关资讯
VLAN(虚拟局域网)通过为子网提供数据链路连接来抽象出局域网的概念。一个或多个网络交换机可支持多个独立的VLAN,从而创建子网的第2层数据链路,通常由一个或多个以太网交换机组成。nnVLAN(虚拟局域网)通过为子网提供数据链路连接来抽象出局域网(LAN)的概念。一个或多个网络交换机可以支持多个独立的 VLAN,从而创建子网的第 2 层(数据链路)实现。VLAN 与广播域相关联。它通常由一个或多个以太网交换机组成。nnVLAN 使网络管理员可以轻松划分单个交换网络,以满足其系统的功能和安全要求,而无需运行新电缆或对其当前网络基础架构进行重大更改。 端口交换机上的(接口)可以分配给一个或多个 VLAN,从而可以将系统划分为逻辑组 – 基于与之关联的部门 – 并建立有关如何允许单独组中的系统与每个系统进行通信的规则其他。这些组的范围可以从简单实用(一个 VLAN 中的计算机可以看到该 VLAN 上的打印机,但该 VLAN 之外的计算机不能)到复杂和合法的(例如,零售银行部门中的计算机无法与计算机中的计算机交互)交易部门)。nn每个 VLAN 为连接到配置了相同 VLAN ID 的交换机端口的所有主机提供数据链路访问。VLAN 标记是以太网报头中的 12 位字段,可为每个交换域提供最多 4,096 个 VLAN。VLAN 标记在 IEEE(电气和电子工程师协会)802.1Q 中标准化,通常称为 Dot1Q。nn从连接的主机收到未标记的帧时,使用 802.1Q 格式将该接口上配置的 VLAN ID 标记添加到数据链路帧头。然后将 802.1Q 帧转发到目的地。每个交换机使用该标记将每个 VLAN 的流量与其他 VLAN 分开,仅在配置 VLAN 的情况下转发。交换机之间的中继链路(如下所述)处理多个 VLAN,使用标签将它们隔离开来。当帧到达目标交换机端口时,在将帧传输到目标设备之前删除 VLAN 标记。nn可以使用中继配置在单个端口上配置多个 VLAN ,其中通过端口发送的每个帧都使用 VLAN ID 进行标记,如上所述。相邻设备的接口可能位于另一台交换机上或支持 802.1Q 标记的主机上,需要支持中继模式配置才能发送和接收带标记的帧。任何未标记的以太网帧都分配给默认 VLAN,可以在交换机配置中指定。nn当启用 VLAN 的交换机从连接的主机收到未标记的以太网帧时,它会添加分配给入口接口的 VLAN 标记。帧将使用目标 MAC 地址(媒体访问控制地址)转发到主机端口。广播,未知单播和多播(BUM 流量)被转发到 VLAN 中的所有端口。当先前未知的主机回复未知的单播帧时,交换机将学习该主机的位置,并且不会泛洪寻址到该主机的后续帧。nn交换机转发表通过两种机制保持最新。首先,定期从转发表中删除旧的转发条目,通常是可配置的计时器。其次,任何拓扑更改都会导致转发表刷新计时器减少,从而触发刷新。nn生成树协议(STP)用于在每个第 2 层域中的交换机之间创建无环路拓扑。可以使用每 VLAN STP 实例,如果多个 VLAN 之间的拓扑相同,则可以使用不同的第 2 层拓扑或多实例 STP(MISTP)来减少 STP 开销。STP 阻止可能产生转发环路的链路转发,从选定的根交换机创建生成树。这种阻塞意味着一些链路将不会用于转发,直到网络的另一部分发生故障导致 STP 使链路成为活动转发路径的一部分。nnVLAN 的缺点
n每个交换域 4,096 个 VLAN 的限制给大型主机提供商带来了问题,这些提供商通常需要为每个客户分配数十或数百个 VLAN。为了解决此限制,其他协议(如 VXLAN (虚拟可扩展 LAN),NVGRE (使用通用路由封装的网络虚拟化)和 Geneve)支持更大的标签以及在第 3 层(网络)数据包内隧道第 2 层帧的能力。nn最后,VLAN 之间的数据通信由路由器执行。现代交换机通常包含路由功能,称为第 3 层交换机。
