使用條件
VLAN是建立在物理網絡基礎上的一種邏輯子網,因此建立VLAN需要相應的支持VLAN技術的網絡設備。當網絡中的不同VLAN間進行相互通信時,需要路由的支持,這時就需要增加路由設備——要實現路由功能,既可采用路由器,也可采用三層交換機來完成。
類别劃分
VLAN的實現方法,可以大緻劃分為六類:
基于端口劃分的VLANn
基于MAC地址劃分VLAN
基于網絡層協議劃分VLANn
根據IP組播劃分VLANn
按策略劃分VLANn
按用戶定義、非用戶授權劃分VLAN
根據端口
許多VLAN廠商都利用交換機的端口來劃分VLAN成員。被設定的端口都在同一個廣播域中。例如,一個交換機的1,2,3,4,5端口被定義為虛拟網AAA,同一交換機的6,7,8端口組成虛拟網BBB。這樣做允許各端口之間的通訊,并允許共享型網絡的升級。但是,這種劃分模式将虛拟網限制在了一台交換機上。第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分VLAN,不同交換機上的若幹個端口可以組成同一個虛拟網。交換機端口來劃分網絡成員,其配置過程簡單明了。因此,從目前來看,這種根據端口來劃分VLAN的方式仍然是最常用的一種方式。
根據MAC地址劃分VLAN
這種劃分VLAN的方法是根據每個主機的MAC地址來劃分,即對每個MAC地址的主機都配置它屬于哪個組。這種劃分VLAN方法的最大優點就是當用戶物理位置移動時,即從一個交換機換到其他的交換機時,VLAN不用重新配置,所以,可以認為這種根據MAC地址的劃分方法是基于用戶的VLAN,這種方法的缺點是初始化時,所有的用戶都必須進行配置,如果有幾百個甚至上千個用戶的話,配置是非常累的。而且這種劃分的方法也導緻了交換機執行效率的降低,因為在每一個交換機的端口都可能存在很多個VLAN組的成員,這樣就無法限制廣播包了。另外,對于使用筆記本電腦的用戶來說,他們的網卡可能經常更換,這樣,VLAN就必須不停地配置。
根據網絡層
這種劃分VLAN的方法是根據每個主機的網絡層地址或協議類型(如果支持多協議)劃分的,雖然這種劃分方法是根據網絡地址,比如IP地址,但它不是路由,與網絡層的路由毫無關系。這種方法的優點是用戶的物理位置改變了,不需要重新配置所屬的VLAN,而且可以根據協議類型來劃分VLAN,這對網絡管理者來說很重要,還有,這種方法不需要附加的幀标簽來識别VLAN,這樣可以減少網絡的通信量。這種方法的缺點是效率低,因為檢查每一個數據包的網絡層地址是需要消耗處理時間的(相對于前面兩種方法),一般的交換機芯片都可以自動檢查網絡上數據包的以太網幀頭,但要讓芯片能檢查IP幀頭,需要更高的技術,同時也更費時。當然,這與各個廠商的實現方法有關。
根據IP組播
IP組播實際上也是一種VLAN的定義,即認為一個組播組就是一個VLAN,這種劃分的方法将VLAN擴大到了廣域網,因此這種方法具有更大的靈活性,而且也很容易通過路由器進行擴展,當然這種方法不适合局域網,主要是效率不高。
基于規則
也稱為基于策略的VLAN。這是最靈活的VLAN劃分方法,具有自動配置的能力,能夠把相關的用戶連成一體,在邏輯劃分上稱為“關系網絡”。網絡管理員隻需在網管軟件中确定劃分VLAN的規則(或屬性),那麼當一個站點加入網絡中時,将會被“感知”,并被自己地包含進正确的VLAN中。同時,對站點的移動和改變也可自動識别和跟蹤。
采用這種方法,整個網絡可以非常方便地通過路由器擴展網絡規模。有的産品還支持一個端口上的主機分别屬于不同的VLAN,這在交換機與共享式Hub共存的環境中顯得尤為重要。自動配置VLAN時,交換機中軟件自動檢查進入交換機端口的廣播信息的IP源地址,然後軟件自動将這個端口分配給一個由IP子網映射成的VLAN。
以上劃分VLAN的方式中,基于端口的VLAN端口方式建立在物理層上;MAC方式建立在數據鍊路層上;網絡層和IP廣播方式建立在第三層上。
優點
1、限制廣播域。廣播域被限制在一個VLAN内,節省了帶寬,提高了網絡處理能力。
2、增強局域網的安全性。不同VLAN内的報文在傳輸時是相互隔離的,即一個VLAN内的用戶不能和其它VLAN内的用戶直接通信,如果不同VLAN要進行通信,則需要通過路由器或三層交換機等三層設備。
3、靈活構建虛拟工作組。用VLAN可以劃分不同的用戶到不同的工作組,同一工作組的用戶也不必局限于某一固定的物理範圍,網絡構建和維護更方便靈活。
特點
1、分段性,可根據部門,功能和項目來劃分成不同的網段;
2、靈活性,組成VLAN的用戶不用考慮物物理位置,同一個VLAN也可以跨越多個交換機;
3、安全性,通過廣播域的分隔,使每個邏輯的VLAN就象一個獨立的物理橋,提高了網絡的性能和安全,但不同的VLAN間的通訊需要經過路由器來連接。
标準
對VLAN的标準,我們隻是介紹兩種比較通用的标準,當然也有一些公司具有自己的标準,比如Cisco公司的ISL标準,雖然不是一種大衆化的标準,但是由于CiscoCatalyst交換機的大量使用,ISL也成為一種不是标準的标準了。
802.10VLAN标準
在1995年,Cisco公司提倡使用IEEE802.10協議。在此之前,IEEE802.10曾經在全球範圍内作為VLAN安全性的同一規範。Cisco公司試圖采用優化後的802.10幀格式在網絡上傳輸FramTagging模式中所必須的VLAN标簽。然而,大多數802委員會的成員都反對推廣802.10。因為,該協議是基于FrameTagging方式的。
802.1Q
在1996年3月,IEEE802.1Internetworking委員會結束了對VLAN初期标準的修訂工作。新出台的标準進一步完善了VLAN的體系結構,統一了Fram-eTagging方式中不同廠商的标簽格式,并制定了VLAN标準在未來一段時間内的發展方向,形成的802.1Q的标準在業界獲得了廣泛的推廣。它成為VLAN史上的一塊裡程碑。802.1Q的出現打破了虛拟網依賴于單一廠商的僵局,從一個側面推動了VLAN的迅速發展。另外,來自市場的壓力使各大網絡廠商立刻将新标準融合到他們各自的産品中。
CiscoISL标簽
ISL(Inter-SwitchLink)是Cisco公司的專有封裝方式,因此隻能在Cisco的設備上支持。ISL是一個在交換機之間、交換機與路由器之間及交換機與服務器之間傳遞多個VLAN信息及VLAN數據流的協議,通過在交換機直接的端口配置ISL封裝,即可跨越交換機進行整個網絡的VLAN分配和配置。
發展趨勢
目前在寬帶網絡中實現的VLAN基本上能滿足廣大網絡用戶的需求,但其網絡性能、網絡流量控制、網絡通信優先級控制等還有待提高。前面所提到的VTP技術、STP技術,基于三層交換的VLAN技術等在VLAN使用中存在網絡效率的瓶頸問題,這主要是IEEE802.1Q、IEEE802.1D協議的不完善所緻,IEEE正在制定和完善IEEE802.1S(MultipleSpanningTrees)和IEEE802.1W(RapidReconfigurationofSpanningTree)來改善VLAN的性能。采用IEEE802.3z和IEEE802.3ab協議,并結合使用RISC(精簡指令集計算)處理器或者網絡處理器而研制的吉位VLAN交換機在網絡流量等方面采取了相應的措施,大大提高了VLAN網絡的性能。IEEE802.1P協議提出了COS(ClassofService)标準,這使網絡通信優先級控制機制有了參考。
有關資訊
VLAN(虛拟局域網)通過為子網提供數據鍊路連接來抽象出局域網的概念。一個或多個網絡交換機可支持多個獨立的VLAN,從而創建子網的第2層數據鍊路,通常由一個或多個以太網交換機組成。nnVLAN(虛拟局域網)通過為子網提供數據鍊路連接來抽象出局域網(LAN)的概念。一個或多個網絡交換機可以支持多個獨立的 VLAN,從而創建子網的第 2 層(數據鍊路)實現。VLAN 與廣播域相關聯。它通常由一個或多個以太網交換機組成。nnVLAN 使網絡管理員可以輕松劃分單個交換網絡,以滿足其系統的功能和安全要求,而無需運行新電纜或對其當前網絡基礎架構進行重大更改。 端口交換機上的(接口)可以分配給一個或多個 VLAN,從而可以将系統劃分為邏輯組 – 基于與之關聯的部門 – 并建立有關如何允許單獨組中的系統與每個系統進行通信的規則其他。這些組的範圍可以從簡單實用(一個 VLAN 中的計算機可以看到該 VLAN 上的打印機,但該 VLAN 之外的計算機不能)到複雜和合法的(例如,零售銀行部門中的計算機無法與計算機中的計算機交互)交易部門)。nn每個 VLAN 為連接到配置了相同 VLAN ID 的交換機端口的所有主機提供數據鍊路訪問。VLAN 标記是以太網報頭中的 12 位字段,可為每個交換域提供最多 4,096 個 VLAN。VLAN 标記在 IEEE(電氣和電子工程師協會)802.1Q 中标準化,通常稱為 Dot1Q。nn從連接的主機收到未标記的幀時,使用 802.1Q 格式将該接口上配置的 VLAN ID 标記添加到數據鍊路幀頭。然後将 802.1Q 幀轉發到目的地。每個交換機使用該标記将每個 VLAN 的流量與其他 VLAN 分開,僅在配置 VLAN 的情況下轉發。交換機之間的中繼鍊路(如下所述)處理多個 VLAN,使用标簽将它們隔離開來。當幀到達目标交換機端口時,在将幀傳輸到目标設備之前删除 VLAN 标記。nn可以使用中繼配置在單個端口上配置多個 VLAN ,其中通過端口發送的每個幀都使用 VLAN ID 進行标記,如上所述。相鄰設備的接口可能位于另一台交換機上或支持 802.1Q 标記的主機上,需要支持中繼模式配置才能發送和接收帶标記的幀。任何未标記的以太網幀都分配給默認 VLAN,可以在交換機配置中指定。nn當啟用 VLAN 的交換機從連接的主機收到未标記的以太網幀時,它會添加分配給入口接口的 VLAN 标記。幀将使用目标 MAC 地址(媒體訪問控制地址)轉發到主機端口。廣播,未知單播和多播(BUM 流量)被轉發到 VLAN 中的所有端口。當先前未知的主機回複未知的單播幀時,交換機将學習該主機的位置,并且不會泛洪尋址到該主機的後續幀。nn交換機轉發表通過兩種機制保持最新。首先,定期從轉發表中删除舊的轉發條目,通常是可配置的計時器。其次,任何拓撲更改都會導緻轉發表刷新計時器減少,從而觸發刷新。nn生成樹協議(STP)用于在每個第 2 層域中的交換機之間創建無環路拓撲。可以使用每 VLAN STP 實例,如果多個 VLAN 之間的拓撲相同,則可以使用不同的第 2 層拓撲或多實例 STP(MISTP)來減少 STP 開銷。STP 阻止可能産生轉發環路的鍊路轉發,從選定的根交換機創建生成樹。這種阻塞意味着一些鍊路将不會用于轉發,直到網絡的另一部分發生故障導緻 STP 使鍊路成為活動轉發路徑的一部分。nnVLAN 的缺點
n每個交換域 4,096 個 VLAN 的限制給大型主機提供商帶來了問題,這些提供商通常需要為每個客戶分配數十或數百個 VLAN。為了解決此限制,其他協議(如 VXLAN (虛拟可擴展 LAN),NVGRE (使用通用路由封裝的網絡虛拟化)和 Geneve)支持更大的标簽以及在第 3 層(網絡)數據包内隧道第 2 層幀的能力。nn最後,VLAN 之間的數據通信由路由器執行。現代交換機通常包含路由功能,稱為第 3 層交換機。
