最新VLAN概述.docx
《最新VLAN概述.docx》由会员分享,可在线阅读,更多相关《最新VLAN概述.docx(18页珍藏版)》请在冰豆网上搜索。
最新VLAN概述
VLAN概述
1VLAN概述
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。
一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。
虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
VLAN在交换机上的实现方法,可以大致划分为4类:
1、基于端口划分的VLAN
这种划分VLAN的方法是根据以太网交换机的端口来划分,比如QuidwayS3526的1~4端口为VLAN10,5~17为VLAN20,18~24为VLAN30,当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机1的1~6端口和交换机2的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最广泛的方法,IEEE802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。
这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。
它的缺点是如果VLANA的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。
2、基于MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。
这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。
而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。
另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。
3、基于网络层划分VLAN
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。
它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF等路由协议,而是根据生成树算法进行桥交换,
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网祯头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。
当然,这与各个厂商的实现方法有关。
4、根据IP组播划分VLAN
IP组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
鉴于当前业界VLAN发展的趋势,考虑到各种VLAN划分方式的优缺点,为了最大程度上地满足用户在具体使用过程中需求,减轻用户在VLAN的具体使用和维护中的工作量,QuidwayS系列交换机采用根据端口来划分VLAN的方法。
因为VLAN技术与局域网技术息息相关,所以在介绍VLAN之前,我们首先来了解一下局域网的有关知识。
局域网(LAN)通常被定义为一个单独的广播域,主要使用Hub,网桥,或交换机等网络设备连接同一网段内的所有节点。
同处一个局域网之内的网络节点之间可以不通过网络路由器直接进行通信;而处于不同局域网段内的设备之间的通信则必须经过网络路由器。
图一所示为使用路由器构建的典型的局域网环境。
图一所示网络中,通过使用路由器划分出不同的局域网段。
其中,位于圆形区域之内的部分就是一个个相互独立的局域网段。
为了便于在本文中进行说明,我们为不同的网段进行了编号。
需要注意的一点就是,每一个局域网所连接的路由器接口都属于该局域网广播域的一部分。
随着网络的不断扩展,接入设备逐渐增多,网络结构日趋复杂,必须使用更多的路由器才能将不同的用户划分到各自的广播域中,在不同的局域网之间提供网络互连。
这样做的一个缺陷就是随着网络中路由器数量的增多,网络时延逐渐加长,从而导致网络数据传输速度的下降。
这主要是因为数据在从一处局域网传递到另一处局域网时,必须经过路由器的路由操作,路由器根据数据包中的相应信息确定数据包的目标地址,然后再选择合适的路径转发出去。
VLAN,又称虚拟局域网,是由位于不同物理局域网段的设备组成。
虽然VLAN所连接的设备来自不同的网段,但是相互之间可以进行直接通信,好像处于同一网段中一样,由此得名虚拟局域网。
相比较传统的局域网布局,VLAN技术更加灵活。
为了创建虚拟网络,需要对已有的网络拓扑结构进行相应的调整。
还是连接相同的网络终端,通过如图所示的交换网络提供了同样的网络连接。
虽然图二所示的网络比起图一所示网络在速度和网络时延方面都有了很大的改进和提高,但是同样存在一些不足。
其中,最突出的一点就是现在所有的网络节点都处于同一个广播域内,大大增加了网络中所有设备之间的数据流量。
随着网络的不断扩充,很有可能出现广播风暴,导致整个网络无法使用。
VLAN是英文VirtualLocalAreaNetwork的缩写,即虚拟局域网。
一方面,VLAN建立在局域网交换机的基础之上;另一方面,VLAN是局域交换网的灵魂。
这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络,而无需改变任何硬件和通信线路。
这样,网络管理员就能从逻辑上对用户和网络资源进行分配,而无需考虑物理连接方式。
VLAN充分体现了现代网络技术的重要特征:
高速、灵活、管理简便和扩展容易。
是否具有VLAN功能是衡量局域网交换机的一项重要指标。
网络的虚拟化是未来网络发展的潮流。
VLAN与普通局域网从原理上讲没有什么不同,但从用户使用和网络管理的角度来看,VLAN与普通局域网最基本的差异体现在:
VLAN并不局限于某一网络或物理范围,VLAN中的用户可以位于一个园区的任意位置,甚至位于不同的国家。
VLAN具有以下优点:
控制网络的广播风暴
采用VLAN技术,可将某个交换端口划到某个VLAN中,而一个VLAN的广播风暴不会影响其它VLAN的性能。
确保网络安全
共享式局域网之所以很难保证网络的安全性,是因为只要用户插入一个活动端口,就能访问网络。
而VLAN能限制个别用户的访问,控制广播组的大小和位置,甚至能锁定某台设备的MAC地址,因此VLAN能确保网络的安全性。
简化网络管理
网络管理员能借助于VLAN技术轻松管理整个网络。
例如需要为完成某个项目建立一个工作组网络,其成员可能遍及全国或全世界,此时,网络管理员只需设置几条命令,就能在几分钟内建立该项目的VLAN网络,其成员使用VLAN网络,就像在本地使用局域网一样。
VLAN的分类主要有以下几种:
基于端口的VLAN
基于端口的VLAN是划分虚拟局域网最简单也是最有效的方法,这实际上是某些交换端口的集合,网络管理员只需要管理和配置交换端口,而不管交换端口连接什么设备。
基于MAC地址的VLAN
由于只有网卡才分配有MAC地址,因此按MAC地址来划分VLAN实际上是将某些工作站和服务器划属于某个VLAN。
事实上,该VLAN是一些MAC地址的集合。
当设备移动时,VLAN能够自动识别。
网络管理需要管理和配置设备的MAC地址,显然当网络规模很大,设备很多时,会给管理带来难度。
基于第3层的VLAN
基于第3层的VLAN是采用在路由器中常用的方法:
IP子网和IPX网络号等。
其中,局域网交换机允许一个子网扩展到多个局域网交换端口,甚至允许一个端口对应于多个子网。
基于策略的VLAN
基于策略的VLAN是一种比较灵活有效的VLAN划分方法。
该方法的核心是采用什么样的策略?
目前,常用的策略有(与厂商设备的支持有关):
按MAC地址
按IP地址
按以太网协议类型
按网络的应用等
在企业网络刚刚兴起之时,由于企业网络规模小、应用范围的局限性、对Internet接入的认识程度、网络安全及管理的贫乏等原因,使得企业网仅仅限于交换模式的状态。
交换技术主要有两种方式:
基于以太网的帧交换和基于ATM的信元交换,LAN交换机的每一个端口均为自己独立的碰撞域,但同时对于所有处于一个IP网段或IPX网段的网络设备来说,却同在一个广播域中,当工作站的数量较多、信息流很大的时候,就容易形成广播风暴,甚者造成网络的瘫痪。
在采用交换技术的网络模式中,对于网络结构的划分采用的仅仅是物理网段的划分的手段。
这样的网络结构从效率和安全性的角度来考虑都是有所欠缺的,而且在很大程度上限制了网络的灵活性,如果需要将一个广播域分开,那么就需要另外购买交换机并且要人工重新布线。
由此,需要进行虚拟网络(VLAN)设置。
在一个规模较大的企业中,其下属有多个二级单位,在各单位的孤立网络进行互连时,出于对不同职能部门的管理、安全和整体网络的稳定运行,我们进行了VLAN的划分。
第一步子网分析
该网络系统由三部分组成:
公司、二级单位1、二级单位2,初始为三部分各自独立,未形成统一的网络环境,故各网络系统的运行采用的是以交换技术为主的方式。
三网主干均采用的是千兆以太网技术,起点的高定位为企业的信息应用带来了高速、稳定、符合国际标准的网络平台。
公司中心交换机采用的是Cisco的Catalyst6506,带有三层路由的引擎使得企业网具有将来升级的能力;同时各二级单位的中心交换机采用的亦是Cisco的Catalyst4006;各二级、三级交换机则采用的是Cisco的Catalyst3500系列,主要因为Catalyst3500系列交换机的高性能和可堆叠能力。
现三部分应公司的要求联网,网络的互连仍采用千兆带宽,但因三网均采用了千兆以太网技术,为了不在主干形成瓶颈,因此各子网的互连采用Trunk技术,即双千兆技术,使网络带宽达到4G
技术资料
VLAN的实现
VLAN是英文VirtualLocalAreaNetwork的缩写,即虚拟局域网。
VLAN允许处于不同地理位置的网络用户加入一个逻辑子网中,共享一个广播域。
通过对VLAN的创建可以控制广播风暴的产生,从而提高交换式网络的整体性能和安全性。
VLAN对于网络用户来说是完全透明的,用户感觉不到使用中与交换式网络有任何的差别,但对于网络管理人员则有很大的不同,因为这主要取决于VLAN的几点优势:
对网络中的广播风暴的控制;
提高网络的整体安全性,通过路由访问列表、MAC地址分配等VLAN划分原则,可以控制用户的访问权限和逻辑网段的大小;
网络管理的简单、直观。
而对于VLAN的划分则有以下四种策略:
1.基于端口的VLAN
基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。
该方法只需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可。
而不用考虑该端口所连接的设备是什么。
2.基于MAC地址的VLAN
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一的。
基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。
在网络规模较小时,该方案亦不失为一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大管理的难度。
3.基于路由的VLAN
路由协议工作在七层协议的第三层:
网络层,即基于IP和IPX协议的转发。
这类设备包括路由器和路由交换机。
该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
4.基于策略的VLAN
基于策略的VLAN的划分是一种比较有效而直接的方式。
这主要取决于在VLAN的划分中所采用的策略。
就目前来说,对于VLAN的划分主要采用1、3两种模式,对于方案2则为辅助性的方案。
VLAN的划分设计之后,再所涉及的就是VLAN划分的最后一步:
VLAN间的互连。
在以前对VLAN的划分主要是通过路由器来实现的,但随着网络规模的扩大、信息量的增加,路由器无论是从端口数还是系统性能上来说都已经不堪负荷,因此逐渐形成了产生网络瓶颈的主要原因。
而在现在,因为有了基于交换机上的三层路由的能力,在上述两点已经得到合理地解决。
150英尺的范围时,这种情况很容易发生。
在宿舍、教室和管理机构中,利用Cisco和Enterasys混合的可堆叠交换器来连接到无线接入点。
克服了一些交叉厂商的VLAN配置问题之后,现在可以在校园的任意地方漫游,无论是连接到Cisco还是Enterasys交换器上,都可以保持连接在同一VLAN上。
VLAN管理
VLAN不仅可用于安全和网络管理,对于混合型网络的管理来说,它同样不失为一个有益的工具。
有人利用Enterasys公司的SmartSwitch可堆叠交换器和SmartSwitchRouter主干网交换器来在整个子网上建立VLAN,这些子网是运行多种协议的。
医疗数据库建立在VAX小型机上,这种应用运行于遗留的DECnet协议之上。
DECnet的确使用了大量的广播流量,可将这些流量置于其自己的VLAN上,因而DECnet数据流只能够到达一定的网段。
NetWare4.11服务器在网络上运行的情况与此类似。
它只为Novell服务器及用户创建独立的IPXVLAN,这使多数基于IP和WindowsNT/2000服务器的网络不会陷入IPX和DECnet流量的海洋中。
隔离VoIP流量进入VLAN也成为3Com、Cisco、Alcatel、Nortel和Avaya等IP电话厂商的一个标准推荐。
所有这些厂商的交换器和IPPBX设备都支持802.1Q技术,这就隔离了IP语音流进入其自己的VLAN。
厂商和用户都认为,在其虚拟段保持语音可能是非常有用的,作为一个隔离语音流的方法,它可以达到故障诊断的目的。
如果有大流量的广播或大的文件下载,它也能确保语音质量不会下降。
虚拟局域网(VLAN)的出现打破了传统网络的许多固有观念,使网络结构变得灵活、方便、随心所欲。
VLAN就是不考虑用户的物理位置而根据功能、应用等因素将用户逻辑上划分为一个个功能相对独立的工作组,每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。
同一个VLAN中的成员都共享广播,而不同VLAN之间广播信息是相互隔离的。
这样,将整个网络分割成多个不同的广播域。
传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了VLAN以后的网络中,逻辑上划分的不同网段之间通信仍然要通过路由器转发。
由于在局域网上,不同VLAN之间的通信数据量是很大的,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量的不断增大,路由器将不堪重负,路由器将成为整个网络的瓶颈。
在这种情况下,出现了第三层交换技术,通俗地讲,就是将路由技术与交换技术合二为一的技术。
路由器在对第一个数据流进行路由后,将会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。
配置VLAN
(1)VLAN的工作模式:
静态VLAN:
管理员针对交换机端口指定VLAN。
动态VLAN:
通过设置VMPS(VLANMembershipPolicyServer),包含了一个MAC地址与VLAN号的映射表,当数据帧到达交换机后,交换机会查询VMPS获得相应MAC地址的VLANID。
(2)ISL标签:
ISL(Inter-SwitchLink)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接相连的端口配置ISL封装,即可跨越交换机进行整个网络的VLAN分配和进行配置。
VLAN封装的国际标准为IEEE802.1Q。
(3)VTP(VLANTrunkingProtocol):
它是一个在交换机之间同步及传递VLAN配置信息的协议。
一个VTPServer上的配置将会传递给网络中的所有交换机,VTP通过减少手工配置而支持较大规模的网络。
VTP有三种模式:
Server模式:
允许创建、修改、删除VLAN及其他一些对整个VTP域的配置参数,同步本VTP域中其他交换机传递来的最新的VLAN信息。
Client模式:
在Client模式下,一台交换机不能创建、删除、修改VLAN配置,也不能在NVRAM中存储VLAN配置,但可以同步由本VTP域中其他交换机传递来的VLAN信息。
Transparent模式:
可以进行创建、修改、删除,也可以传递本VTP域中其他交换机送来的VTP广播信息,但并不参与本VTP域的同步和分配,也不将自己的VLAN配置传递给本VTP域中的其他交换机,它的VLAN配置只影响到它自己。
交换机在默认情况下为Server模式。
(4)创建VLAN,默认情况下交换机只有VLAN1,可以通过命令增加所需的VLAN。
(5)将VLAN指定给交换机的各个端口。
默认情况下交换机所有端口均属于VLAN1,可以通过全局命令修改交换机各端口的VLANID,但交换机每个端口只能属于一个VLAN。
配置三层交换
配置MLSP协议,使RP与SE之间可以交换信息。
配置管理端口,MLSP通过这个端口收发RP与SE之间的通信。
针对不同的VLAN分配不同的VLAN网关地址。
启动路由器的路由功能。
根据需要,可以定义VLAN虚网间的访问策略,可通过定义访问列表来实现。
我们知道,传统的局域网Ethernet使用具有冲突检测的载波监听多路访问(CSMA/CD)方法。
在CSMA/CD网络中,节点可以在它们有数据需要发送的任何时候使用网络。
在节点传输数据之前,它进行"监听"以了解网络是否很繁忙。
如果不是,则节点开始传送数据。
如果网络正在使用,则节点等待。
如果两个节点进行监听,没有听到任何东西,而开始同时使用线路,则会出现冲突。
在发送数据时,它如果使用广播地址,那么在此网段上的所有PC都将收到数据包,这样一来如果该网段PC众多,很容易引起广播风暴。
而冲突和广播风暴是影响网络性能的重要因素。
为解决这一问题,引入了虚拟局域网(VLAN的概念。
虚拟网络是在整个网络中通过网络交换设备建立的虚拟工作组。
虚拟网在逻辑上等于OSI模型的第二层的广播域,与具体的物理网及地理位置无关。
虚拟工作组可以包含不同位置的部门和工作组,不必在物理上重新配置任何端口,真正实现了网络用户与它们的物理位置无关。
虚拟网技术把传统的广播域按需要分割成各个独立的子广播域,将广播限制在虚拟工作组中,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。
我们结合下面的图来看看讲下。
图1所表示的是两层楼中的相同性质的部门划分到一个VLAN中,这样,会计的数据不会向市场的机器上广播,也不会和市场的机器发生数据冲突。
所以VLAN有效的分割了冲突域和广播域。
我们可以在交换机的某个端口上定义VLAN,所有连接到这个特定端口的终端都是虚拟网络的一部分,并且整个网络可以支持多个VLAN。
VLAN通过建立网络防火墙使不必要的数据流量减至最少,隔离各个VLAN间的传输和可能出现的问题,使网络吞吐量大大增加,减少了网络延迟。
在虚拟网络环境中,可以通过划分不同的虚拟网络来控制处于同一物理网段中的用户之间的通信。
这样一来有效的实现了数据的保密工作,而且配置起来并不麻烦,网络管理员可以逻辑上重新配置网络,迅速、简单、有效地平衡负载流量,轻松自如地增加、删除和修改用户,而不必从物理上调整网络配置。
既然VLAN有那么多的优点,我们为什么不了解它从而把VLAN技术应用到我们的现实网络管理中去呢。
好的让我们通过实际的在Catalyst1900交换机上来配置静态VLAN的例子来看看如何在交换机上配置VLAN。
图1在Catalyst1900上的两个VLAN
设置好超级终端,连接上1900交换机后(可以参考《1900系列以太网交换机快速入门指南》或其他的CISCO参考资料),会出现如下的主配置界面:
-------------------------------------------------
1user(s)nowactiveonManagementConsole.
UserInterfaceMenu
[M]Menus
[K]CommandLine
[I]IPConfiguration
EnterSelection:
我们简单介绍下,这儿显示了三个选项,[M]Menus是主菜单,主要是交换机的初始配置和监控交换机的运行状况。
[K]CommandLine是命令行,很象路由器里面用命令来配置和监控路由器一样,主要是通过命令来操作。
[I]IPConfiguration是配置IP地址、子网掩码和默认网管的一个选项。
这是第一次连上交换机显示的界面,如果你已经配置好了IPConfiguration,那么下次登陆的时候将没有这个选项。
因为用命令配置简洁明了,清晰易懂,所以我们通过[K]CommandLine来实现VLAN的配置的。
设置好超级终端,连接上1900交换机后(可以参考《1900系列以太网交换机快速入门指南》或其他的CISCO参考资料),会出现如下的主配置界面:
-----------------------------------------------
升级会员 