虚拟局域网子网的划分.doc

VLAN子网的划分除了通过子网掩码进行子网划分的方法外，在企业网络中还应用着一种新型的子网划分方法，那就是VLAN。VLAN子网划分方法较子网掩码子网划分方法来说更加灵活，功能更强。但它需要专门的设备，那就是支持VLAN技术的交换机(包括第二三层交换机)。7.1 VLAN简介VLAN(Virtual Local Area Network，虚拟局域网是对连接到第二层三层交换机端口的网络用户进行逻辑分段，实际上就是划分不同的子网。但要注意的是，此种子网划分方法不受网络用户的物理位置、IP地址、甚至所用协议等因素限制，而只根据用户的需求进行分段，当然这个需求也是有条件的，本节后面将介绍。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网同样能够解决局域网中的冲突域、广播域和带宽问题。而且这种子网划分方式相对前面介绍的子网掩码划分方式更加灵活，更加适用，主要表现在如下几个方面。 * 可独立划分。这种子网划分方式可以仅对需要保护的部门或用户划分到独立的VLAN 子网中，对不必要的仍可使用原来的网络，无需改变配置。这一点采用改变子网掩码划分子网的方式就做不到了。 * 不会减少IP地址资源。因为这种予网划分方式不是通过改变子网掩码的方式进行， 所以网络中的网络地址和广播地址不会改变，也不会因子网的划分而致使一头一尾的两个子网IP地址不能用，所以网络中的可用IP地址不会因此而有任何减少。 * 划分方式灵活。既可以根据部门，也可以根据所用的通信协议、IP地址和交换机端口等进行划分。而且这里的子网定义和划分与物理位置和网络的物理连接是没有任何必然联系的。网络管理员可以根据不同的需要，通过相应的网络软件灵活的建立和配置虚拟网，并为每个虚拟网分配它所需要的带宽。传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费宝贵的带宽资源，而且广播对网络性能的影响随着广播域的增大而迅速增强。此时唯一的途径就是重新划分网络，把单一结构的大网划分成相互逻辑独立的小网，如图7-2所示。VLAN子网划分方式的技术基础还是来源于普通的交换网络，在交换网络产生以前，企业网络往往都是基于集线器一路由器结构的。在这种网络中，各网络用户共享同一带宽，所以通常被称之为“共享网络”。而自交换机技术出现以后，集线器技术就受到极大的挑战，因为无论是网络性能，还是在网络组建灵活性等方面，交换机技术都较集线器技术有了极大地提高。更为可贵的是，在采用交换机的网络中，各设备都有自己的LAN，带宽并不是共享的，通常称之为“交换网络”。将网络分段的机制内置到交换网络中就形成了本节所要介绍的VLAN网络。VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN子网内部。划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。同时，由于不同VLAN子网问不可直接通信，必须借助于位于OSI参考模型的第三层(网络层)的路由器或者第三层交换机来实现的，所以在一定程度上提高了各子网间的网络安全。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN和第三层四层的交换结合使用能够为网络提供较好的安全措施。综合起来，我们可以这样理解VLAN。 * 单一VLAN子网实际上是一个单一广播域。 * 任一用户发出的信息只被定义在同一域中的其他用户接收。 * 路由器或第三层交换机可以控制着VLAN域间的通信，可以灵活配置不同的用户访问权限，只对确实需要的一方或双方开放访问权限，可以确保关键子网的安全。典型VLAN网络结构如图7-3所示。 图7-2划分多个网段示例图7-3典型VLAN网络结构随着VLAN技术的日益完善，VLAN技术在大中型企业网络中得到越来越多的应用，己成为网络灵活分段和提高网络安全的重要方法。72 VLAN的划分方式前面我们说到，用户可以根据自己的需要来选择不同的VLAN子网划分方式，但这并不是说用户可以不受限制地提出了网划分需求，要受到VLAN技术本身所支持的划分方式限制。目前来说，常见的主要有以下五种VLAN子网划分方式，用户只能选择其中的一种。 1按端口划分这种划分方式就是将交换机中的某些端口定义为一个单独的区域，从而形成一个VLAN子网。同一VLAN子网中的计算机属于同一个网段，不同VLAN之间进行通信需要通过路由器或者三层交换机进行通信。基于端口的划分方式是最简单也是最常用的。它的优点是配置起来非常方便，而且有许多二层交换机都支持这一技术，所以实现起来成本较低，配置也非常简单。这种划分方式适用于网络环境比较固定的情况。不足之处是不够灵活，当一台计算机需要从一个端口移动到另一个新的端口，而新端口与旧端口不属于同一个VLAN时，要修改端口的VLAN设置，或在用户计算机上重新配置网络地址，这样才能加入到新的VLAN中。否则，这台计算机将无法进行网络通信。注意：这种划分方式在第一代VLAN技术中只允许将虚拟网限制在了一台交换机上，而不能分布在几台交换机上。而在第二代VLAN技术中，则突破了这一限制，同一按端口划分的VLAN子网可以分布在多台交换机上。采用这种划分方式，将属于不同交换机端口的物理网段分在一个VLAN中，通过网络管理软件，根据VLAN标识符将不同的端口分到相应的分组(VLAN)中。在第二代VLAN技术支持下，不同交换机的端口都可划分为同一VLAN子网中，更加灵活，更加实用了。例如同一学院的系办公室、教研室位于不同的楼宇中，连接的是不同的交换机，但仍然可以根据连接的端口将它们定义为同一个VLAN中。图7-4所示的是在一个网络中将第一个交换机的210号端口和第二台交换机的110号端口划分为同一个VLAN子网f在此标记为VLANl)；而将第一个交换机的1 l22号端口和第二个交换机的1520号端口划分在另一个VLAN子网中(在此标记为VLAN2)的结构。图7-4基于端口的VLAN不图基于端口方式划分VLAN子网虽然简单，但这种方式也有它固有的不足，那就是不允许多个VLAN共享一个物理网段或交换机端口，也就是一个端口只能属于一个VLAN子网中。而且，如果某一个用户从一个端口所在的VLAN移动到另一个端口所在的VLAN，网络管理员需要重新进行配置，管理起来比较麻烦。按MAC地址划分VLAN每块网卡都有一个唯一的硬件物理地址，那就是MAC地址。MAC地址是连接在网络中的每个设备网卡的物理地址，由IEEE控制，虽然说MAC地址可以在网络中虚拟修改，但在同一网络中仍不允许存在同一MAC地址号的网卡设备，否则最终会只允许一个正常工作，所以无论如何，在同一网络中每个正常工作中的网卡MAC地址都是唯一的。MAC地址属于数据链路层，以此作为划分VLAN的依据，能很好地独立于网络层上的各种应用。按MAC地址定义的VLAN有其特有的优势。因为MAC地址是捆绑在网卡上的，所以这种形式的VLAN允许网络用户从一个物理位置移动到另一个物理位置，并且自动保留其所属虚拟网段的成员身份。同时，这种方式独立于网络的高层协议(如TCPIP，IP，IPX等)。因此，从某种意义上讲，利用MAC地址定义VLAN子网可以看成是一种基于用户的网络划分手段。用此种方式构成的VLAN实际上就是一些MAC地址的集合，它解决了网络处理站点的移动问题。对于连接于交换机端口的工作站来说，在它们初始化时，相应的交换机要在VLAN的管理信息库中检查MAC地址，从而动态地匹配该端口到相应的VLAN中。这种方法的一个缺点是所有的用户必须被明确地分配给一个VLAN，而且只有在完成初始化配置工作后，设备才会实现对用户的自动跟踪。这样在一个拥有大量节点的大型网络中，如果要求管理员将每个用户都一一划分到某一个VLAN，并完成所有初始化配置，其工作量是可想而知的。2 基于网络层划分VLAN基于网络层来划分VLAN可以有两种方案：一种基于通信协议(如果网络中存在多协议)来划分；另一种是基于网络层地址(最常见的是TCPIP中的子网段地址)来划分。如果是基于协议来划分，则VLAN子网可以划分为IP子网、IPX子网、AppleTalk子网或者其他协议VLAN等，当然这通常只有大型网络中才可能存在。在这种划分方式中，同一协议的工作站被划分为一个VLAN，交换机检查广播帧的以太帧标题域，查看其协议类型，若己存在该协议的VLAN，则加入源端口，否则，创建一个新的VLAN。由此可看出，这种VLAN划分方式具有非常智能性，不但大大减少了人工配置VLAN的工作量，同时保证了用户自由地增加、移动和修改。不同VLAN网段上的站点可属于同一VLAN，在不同VLAN上的站点也可在同一物理网段上。如果采用基于网络层地址来划分的话，通常是根据网络中的IP子网掩码、IPX网络号来划分的。同样它也具有以上采用网络协议划分VLAN子网的智能性，交换机会自动检查每个设备的IP子网掩码或者IPX网络号，然后自动划分。以上这种基于网络层来划分VLAN的方式具有以下两个主要优势：首先，网络用户可以在网络内部自由移动而不用重新配置自己的工作站，尤其是使用TCPIP的用户；其次，这种类型的VLAN网络可以减少由于协议转换而造成的网络延迟。而且同一交换机端口可以被划分到多个VLAN子网中。当然除了优势以外，同样具有自身的一些不足。与基于MAC地址划分VLAN方式相比，基于网络层的VLAN需要分析各种协议的地址格式并进行相应的转换，这要消耗交换机设备较多的资源，因此在速度上稍具劣势。3 基于IP广播组划分基于这种VLAN划分方式可将任何属于同一IP广播组的计算机划分到同一VLAN。任何一个工作站都有机会成为某一个广播组的成员，只要它对该广播组的广播确认信息给予肯定的回答。所有加入同一个广播组的工作站被视为同一个虚拟网的成员。然而，他们的这种成员身份可根据实际需求保留一定的时间。因此，利用IP广播域来划分虚拟网的方法给使用者带来了巨大的灵活性和可延展性。而且，在这种方式下，整个网络可以非常方便地通过路由器扩展网络规模。4 基于策略的VLAN策略的VLAN是最灵活的VLAN划分方式。这种方式具有自动配置的能力，能够把相关的用户连成一体，在逻辑划分上称为“关系网络“。网络管理员只需在网管软件中确定划分VL