虛擬局域網(Virtual Local Area Network,VLAN),是一組邏輯上的設備和用戶,在實際應用的過程中,不會受到物理位置的限制性影響,可以按照不同功能合理組織、相互通信,置于同一網段之內。虛擬局域網屬于全新的技術,主要是OIS參考模型中進行第二層和第三層的工作,每個虛擬局域網均能作為廣播域。在網絡信息平臺中,二層網絡可以分成很多廣播域,每個廣播域中均對應某個用戶組,且一般情況下不同的廣播域是被隔離的。在第三層的路由器中,則能夠實現最終的通信目的。虛擬局域網與傳統的局域網相比,更加靈活。
虛擬局域網技術,屬于現代化信息技術的延伸產品技術。比較主流的虛擬組網技術方案是創建基于SD-WAN技術的虛擬局域網,其具有統一管理與監控,高安全性以及智能鏈路控制的特性。
虛擬局域網的實際應用過程中可以避免網絡傳輸產生的堵塞問題,有效地規避廣播風險,實現廣播風險的屏蔽,在分段化網絡下實現科學處理。虛擬局域網技術在中國各個領域已取得廣泛應用,也取得了良好的效果。
概述
IEEE于1999年頒布了用于標準化VLAN實現方案的802.1Q協議標準草案。VLAN技術的出現,使得管理員根據實際應用需求,把同一物理局域網內的不同用戶邏輯地劃分成不同的廣播域,每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。由于它是從邏輯上劃分,而不是從物理上劃分,所以同一個VLAN內的各個工作站沒有限制在同一個物理范圍中,即這些工作站可以在不同物理LAN網段。由VLAN的特點可知,一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中,從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。
交換技術的發展,也加快了新的交換技術(VLAN)的應用速度。通過將企業網絡劃分為虛擬網絡VLAN網段,可以強化網絡管理和網絡安全,控制不必要的數據廣播。在共享網絡中,一個物理的網段就是一個廣播域。而在交換網絡中,廣播域可以是有一組任意選定的第二層網絡地址(MAC地址)組成的虛擬網段。這樣,網絡中工作組的劃分可以突破共享網絡中的地理位置限制,而完全根據管理功能來劃分。這種基于工作流的分組模式,大大提高了網絡規劃和重組的管理功能。在同一個VLAN中的工作站,不論它們實際與哪個交換機連接,它們之間的通訊就好象在獨立的交換機上一樣。同一個VLAN中的廣播只有VLAN中的成員才能聽到,而不會傳輸到其他的VLAN中去,這樣可以很好的控制不必要的廣播風暴的產生。同時,若沒有路由的話,不同VLAN之間不能相互通訊,這樣增加了企業網絡中不同部門之間的安全性。網絡管理員可以通過配置VLAN之間的路由來全面管理企業內部不同管理單元之間的信息互訪。交換機是根據工作站的MAC地址來劃分VLAN的。所以,用戶可以自由的在企業網絡中移動辦公,不論他在何處接入交換網絡,他都可以與VLAN內其他用戶自如通訊。
VLAN網絡可以是有混合的網絡類型設備組成,比如:10M以太網、100M以太網、令牌網、FDDI、CDDI等等,可以是工作站、服務器、集線器、網絡上行主干等等。
物理位置不同的多個主機如果劃分屬于同一個VLAN,則這些主機之間可以相互通信。物理位置相同的多個主機如果屬于不同的VLAN,則這些主機之間不能直接通信。VLAN通常在交換機或路由器上實現,在以太網幀中增加VLAN標簽來給以太網幀分類,具有相同VLAN標簽的以太網幀在同一個廣播域中傳送。
VLAN是為解決以太網的廣播問題和安全性而提出的一種協議,它在以太網幀的基礎上增加了VLAN頭,用VLAN ID把用戶劃分為更小的工作組,限制不同工作組間的用戶互訪,每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍,并能夠形成虛擬工作組,動態管理網絡。
目的
VLAN(Virtual Local Area Network,虛擬局域網)的目的主要包含以下兩方面。
首先,從路由器的層次上闡述VLAN的目的。
第一,192.168.1.2/30和192.168.2.6/30都屬于不同的網段,必須要通過路由器才能進行訪問,凡是不同網段間要互相訪問,都必須通過路由器。
第二,VLAN本質就是指一個網段,之所以叫做虛擬的局域網,是因為它是在虛擬的路由器的接口下創建的網段。
比如一個路由器只有一個用于終端連接的端口(當然這種情況基本不可能發生,只不過簡化舉例),這個端口被分配了192.168.1.1/24的地址。然而由于公司有兩個部門,一個銷售部,一個企劃部,每個部門要求單獨成為一個子網,有單獨的服務器。那么當然可以劃分為192.168.1.0--127/25、192.168.1.128--255/25。但是路由器的物理端口只應該可以分配一個IP地址,那怎樣來區分不同網段了?這就可以在這個物理端口下,創建兩個子接口---邏輯接口實現。
比如邏輯接口F0/0.1就分配IP地址192.168.1.1/25,用于銷售部,而F0/0.2就分配IP地址192.168.1.129/25,用于企劃部。這樣就等于用一個物理端口卻實現了兩個邏輯接口的功能,這樣就將原本只能劃分一個網段的情形,擴展到了可以劃分2個或者更多個網段的情形。這些網段因為是在邏輯接口下創建的,所以稱之為虛擬局域網VLAN。
其次,從交換機的層次上闡述VLAN的目的。
在現實中,由于很多原因必須劃分出不同網段。比如就簡單的只有銷售部和企劃部兩個網段。那么可以簡單的將銷售部全部接入一個交換機,然后接入路由器的一個端口,把企劃部全部接入一個交換機,然后接入一個路由器端口。這種情況是LAN。然而正如上面所說,如果路由器就一個用于終端的接口,那么這兩個交換機就必須接入這同一個路由器的接口,這個時候,如果還想保持原來的網段的劃分,那么就必須使用路由器的子接口,創建VLAN.
同樣,比如兩個交換機,如果你想要每個交換機上的端口都分別屬于不同的網段,那么你有幾個網段,就提供幾個路由器的接口,這個時候,雖然在路由器的物理接口上可以定義這個接口可以連接哪個網段,但是在交換機的層次上,它并不能區分哪個端口屬于哪個網段,那么唯一實現能區分的方法,就是劃分VLAN,使用了VLAN就能區分出某個交換機端口的終端是屬于哪個網段的。
綜上,當一個交換機上的所有端口中有至少一個端口屬于不同網段的時候,當路由器的一個物理端口要連接2個或者以上的網段的時候,就是VLAN發揮作用的時候,這就是VLAN的目的。
協議和標準
目前最廣泛使用的VLAN協議標準是IEEE802.1Q,在源MAC地址和以太網絡類型Ethertype域之間增加了4個字節,VLAN幀結構見圖,其中:TPID為標簽協議字段,值為0x8100,為802.1Q標記幀。TCI為標簽控制信息字段?包括用戶優先級、規范格式字段和VLAN ID。
PCP:定義用戶優先級。
CFI:規范格式字段,在以太網交換機中,CFI總被設置為0。
VID:VLAN標識是對VLAN的12位識別字段,VID=0用于識別幀優先級。4095(FFF)作為預留值,所以VLAN配置的最大可能值為4094。
優點
(1)減少廣播風暴,VLAN能將網絡劃分為多個廣播域,減少參與廣播風暴的設備數量,從而有效地控制廣播風暴的發生,防止廣播風暴波及整個網絡。
(2)增強網絡安全,VLAN可以將含有敏感數據的用戶組與網絡的其余部分隔離,從而降低泄露機密信息的可能性。不同VLAN內的報文在傳輸時是相互隔離的,即一個VLAN內的用戶不能和其他VLAN內的用戶直接通信,如果不同VLAN要進行通信,則需要通過路由器或三層交換機等三層設備。
(3)提高通信性能,VLAN可以減少網絡上不必要的流量,節省了帶寬,從而提高了網絡處理能力。
(4)靈活組網,簡化運維VLAN能將不同地點、不同網絡、不同用戶組合在一起,形成一個虛擬的網絡環境。就像使用本地LAN一樣方便、靈活、有效,網絡構建和維護更方便靈活,降低網絡運行管理費用。
分類
(1)根據端口來劃分VLAN,按網絡端口來劃分VLAN配置過程簡單,允許跨越多個交換機,缺點是靈活性差。
(2)根據MAC地址劃分VLAN,根據每個主機的MAC地址來劃分,最大優點就是當用戶物理位置移動時,VLAN不用重新配置,但難應用在大規模VLAN中。
(3)根據網絡層劃分VLAN,根據每個主機的網絡層地址或協議類型劃分,比如IP地址,但它不是路由,與網絡層的路由無關。優點是用戶的物理位置改變了,不需要重新配置所屬的VLAN,缺點是效率低,類似還有根據IP組播劃分VLAN的方法。
(4)基于規則的VLAN,基于策略組成的VLAN能實現多種分配方法,包括VLAN交換機端口、MAC地址、IP 地址、網絡層協議等。當一個站點加入網絡中時,被自動地包含進相應的VLAN中,同時對站點的移動和改變也可自動識別和跟蹤,是最靈活的VLAN劃分方法,其他還有按用戶定義、非用戶授權劃分VLAN的方法。
組建條件
VLAN是建立在物理網絡基礎上的一種邏輯子網,因此建立VLAN需要相應的支持VLAN技術的網絡設備。當網絡中的不同VLAN間進行相互通信時,需要路由的支持,這時就需要增加路由設備——要實現路由功能,既可采用路由器,也可采用三層交換機來完成,同時還嚴格限制了用戶數量。
通信
盡管大約有80%的通信流量發生在VLAN內,但仍然有大約20%的通信流量要跨越不同的VLAN。目前,解決VLAN之間的通信主要采用路由器技術。
VLAN之間通信一般采用兩種路由策略,即集中式路由和分布式路由,或由VLAN本身的訪問控制技術。
(1)集中式路由
集中式路由策略是指所有VLAN都通過一個中心路由器實現互聯。對于同一交換機(一般指二層交換機)上的兩個端口,如果它們屬于兩個不同的VLAN,盡管它們在同一交換機上,在數據交換時也要通過中心路由器來選擇路由。
這種方式的優點是簡單明了,邏輯清晰。缺點是由于路由器的轉發速度受限,會加大網絡時延,容易發生擁塞現象。因此,這就要求中心路由器提供很高的處理能力和故障容許度特性。
(2)分布式路由
分布式路由策略是將路由選擇功能適當地分布在帶有路由功能的交換機上(指三層交換機),同一交換機上的不同VLAN可以直接實現互通,這種路由方式的優點是具有極高的路由速度和良好的可伸縮性。
常見應用
Port vlan與Tag vlan
port vlan 基于端口的VLAN,處于同一VLAN端口之間才能相互通信。
tag vlan 基于IEEE 802.1Q(vlan標準),用VID(vlan id)來劃分不同的VLAN
基于端口的VLAN優缺點
基于端口的VLAN,簡單的講就是交換機的一個端口就是一個虛擬局域網,凡是連接在這個端口上的主機屬于同個虛擬局域網之中。基于端口的VLAN的優點為:由于一個端口就是一個獨立的局域網。所以,當數據在網絡中傳輸的時候,交換機就不會把數據包轉發給其他的端口,如果用戶需要將數據發送到其他的虛擬局域網中,就需要先由交換機發往路由器再由路由器發往其他端口;同時以端口為中心的VLAN中完全由用戶自由支配端口,無形之中就更利于管理。但是美中不足的是以端口為中心的VLAN,當用戶位置改變時,往往也伴隨著用戶位置的改變而對網線也要進行遷移。如果不會經常移動客戶機的話,采用這一方式倒也不錯。
靜態VLAN的優缺點
可以說靜態VLAN與基于端口的VLAN有一絲相似之處,用戶可在交換機上讓一個或多個交換機端口形成一個略大一些的虛擬局域網。從一定意義上講靜態虛擬局域網在某些程度上彌補了基于端口的虛擬局域網的缺點。缺陷方面,靜態VLAN雖說是可以使多個端口的設置成一個虛擬局域網,假如兩個不同端口、不同虛擬局域網的人員聚到一起協商一些事情,這時候問題就出現了,因為端口及虛擬局域網的不一致往往就會直接導致某一個虛擬局域網的人員就不能正常的訪問他原先所在的VLAN之中(靜態虛擬局域網的端口在同一時間只能屬于同一個虛擬局域網),這樣就需要網絡管理人員隨時配合及時修改該線路上的端口。
動態VLAN的優缺點
與上面兩種虛擬局域網的組成方式相比動態的虛擬局域網的優點真的是太多了。首先它適用于當前的無線局域網技術,其次,當用戶有需要時對工作基點進行移動時完全不用擔心在靜態虛擬局域網與基于端口的虛擬局域網出現的一些問題在動態的虛擬局域網中出現,因為動態的虛擬局域網在建立初期已經由網絡管理員將整個網絡中的所有MAC地址全部輸入到了路由器之中,同時如何由路由器通過MAC地址來自動區分每一臺電腦屬于那一個虛擬局域網,之后將這臺電腦連接到對應的虛擬局域網之中。說起缺點,動態的虛擬局域網的缺點跟本談不上缺點,只是在VLAN建立初期,網絡管理人員需將所有機器的MAC進行登記之后劃分出MAC所對應的機器的不同權限(虛擬局域網)即可。
發展趨勢
在寬帶網絡中實現的VLAN基本上能滿足廣大網絡用戶的需求,但其網絡性能、網絡流量控制、網絡通信優先級控制等還有待提高。VTP技術、STP技術,基于三層交換的VLAN技術等在VLAN使用中存在網絡效率的瓶頸問題,這主要是IEEE802.1Q、IEEE802.1D協議的不完善所致,IEEE正在制定和完善IEEE802.1S(Multiple Spanning Trees)和IEEE802.1W(Rapid Reconfiguration of Spanning Tree)來改善VLAN的性能。采用IEEE802.3z和IEEE802.3ab協議,并結合使用RISC(精簡指令集計算)處理器或者網絡處理器而研制的吉位VLAN交換機在網絡流量等方面采取了相應的措施,大大提高了VLAN網絡的性能。IEEE802.1P協議提出了COS(Class of Service)標準,這使網絡通信優先級控制機制有了參考。
參考資料 >