虚拟局域网技术与应用

1、虚拟局域网技术与应用摘要：在交换式以太网中，交换机通过广播，就可以根据各计算机反馈的信息建立并维护地址表，就可将局域网中的数据转发到目的端口。但随网络内的计算机数量的增多，局域网中需要广播的数据会急剧增加，严重影响网络的工作效率。为了分隔大的广播域，最有效的方法就是将一个完整的网络划分为多个能够隔离广播的子网络，这就是虚拟局域网VLAN的划分技术。本文主要阐述了划分虚拟局域网的方式以及具体的配置方法。关键词：虚拟局域网;VLAN;交换机;划分;广播风暴;Trunk1 引言任何一种技术都不会无缘无故的产生，那么虚拟局域网（VLAN，Virtual Local Area Network）技术被开发

2、的原因是什么呢？主要就是为了防止局域网内产生广播效应。作为发现未知设备的主要手段，广播在网络中起着非常重要的作用。然而，随着网络内计算机数量的增多，广播包的数量也会急剧增加，当广播包的数量占到通讯总量的30%时，网络的传输效率将会明显下降。所以，当局域网内的计算机达到一定数量后，通常采用划分VLAN的方式将网络分隔开来，将一个大的广播域划分为若干个小的广播域，从而减小广播效应造成的损害。2 虚拟局域网的概述在IEEE802.1Q标准中对虚拟局域网VLAN是这样定义的：虚拟局域网VLAN是由一些局域网网段构成的与物理位置无关的逻辑组，而这些网段具有某些共同的需求。每一个VLAN的帧都有一个明确的

3、标识符，指明发送这个帧的工作站是属于哪一个VLAN。利用以太网交换机可以方便地实现虚拟局域网VLAN。这里要指出，虚拟局域网其实只是局域网给用户提供的一种服务，而并不是一种新型局域网。虚拟局域网(VLAN，Virtual Local Area Network)是存在于计算机物理网络中的逻辑网络，可以根据业务功能、用户组及网络应用的不同组织和建立，与用户的物理位置没有关系。3 虚拟局域网的实现技术VLAN支持三种划分组网方式：基于端口的VLAN、基于 MAC地址的VLAN和基于网络层的VLAN。基于端口的VLAN，按照交换机的端口进行分组划分，每一组定义为一个VLAN。基于交换机端口的VLAN分

4、组可以在一台交换机上，也可以跨越多台交换机。其优点是简单易实现，从一个端口发送的信息，直接传送到VLAN内的其他端口，便于直接监控；缺点是使用不够灵活，当任一VLAN成员设备发生物理位置的变化时，都必须重新设置。这个缺点可以通过灵活的网络管理软件弥补。基于MAC地址的VLAN，按照设备的MAC地址进行分组划分，每一组定义为一个VLAN。分组可以在一台交换机上，也可以跨越多台交换机。这种划分方式的优点是减少了网络管理员重新配置VLAN的日常维护工作量，缺点在于所有的入网设备都必须事先被明确划分到某个VLAN中，任何时候增加设备或者更换网卡，网络管理员都必须对VLAN数据库进行维护。 基于网络层的

5、VLAN，也称为基于策略的VLAN，使用网络层协议或网络层地址来确定VLAN成员。例如可以使用IP子网段进行VLAN划分。利用网络层划分VLAN的优点，在于用户的入网设备不但可以在网络中自由移动而不用重新配置，还可以减少由于协议转换而造成的网络通信延迟。但是它对网络主干设备要求较高，不是所有主干设备都支持这种方式。同时管理员还必须面对IP盗用问题。使用支持VLAN技术的交换机建网时，通常需要考虑的问题是在网络中应该如何定义 VLAN；在跨越多台交换机时使用哪种方法提供VLAN成员间的信息交流最方便；对VLAN配置自动化到何种程度最理想；不同VLAN间进行通信时哪种方法最经济有效。4 虚拟局域网

6、应用实例4.1网络拓扑结构中心交换机为Cisco Catalyst 4006-S3，Supervisor Engine III G引擎位于第1插槽，用于实现三层交换；1块24口1000Base-T模块位于第2插槽，用于连接网络服务器；1块6端口1000Base-X模块位于第3插槽，用于连接6台骨干交换机。一台交换机采用Cisco Catalyst 3550-24-EMI，并安装1块1000Base-X GBIC千兆模块。其他交换机采用Cisco Catalyst 3550-24-SMI，也安装1块1000Base-X GBIC千兆模块。除了Catalyst 3550-24-EMI划分为3个VL

7、AN外，Catalyst 3550-24-SMI均只划分1个VLAN，所有服务器划分为一个VLAN，如下图所示。图1 网络拓扑结构图4.2 网络基本情况分析由于所有Catalyst 3550-24-SMI交换机都是一个独立的VLAN，因此，必须先在这些交换机上创建VLAN（VLAN1VLAN3），并将所有端口都指定至该VLAN。然后，再在Catalyst 4006中心交换机相应端口上分别创建VLAN。Catalyst 4006的1000Base-X端口分别与各Catalyst 3550-24-SMI的1000Base-X端口连接。由于在Catalyst 3550-24-EMI上划分了2个不同的

8、VLAN（VLAN4和VLAN5），而这两个VLAN都需借助一条1000Base-X链路实现与中心交换机Catalyst 4006的GigabitEthernet3/1端口连接，因此必须在Catalyst 4006与Catalyst 3550-24-EMI之间创建一个VLAN。所有服务器均连接至中心交换机Catalyst 4006 的1000Base-T模块上，并单独成为一个VLAN（VLAN6VLAN8），因此，也必须为这些服务器创建相应的VLAN。4.3 VLAN的具体配置实现Catalyst 3550-24-SMI交换机上均为独立的VLAN，其主要配置如下（1）创建VLANSwitch1

9、>enableSwitch1#vlan databaseSwitch1(vlan)#vlan 1Switch1(vlan)#exitAPPLY completed.其他VLAN的创建如此配置。（2）将相应端口划分至VLANSwitch1#config terminalEnter configuration commands, one per line. End with CNTL/Z.Switch1(config)#interface fastEthernet 0/0Switch1(config-if)#shutdownSwitch1(config-if)#switch access v

10、lan 1Switch1(config-if)#no shutdownSwitch1(config-if)#exit其他端口的划分如此配置。由于在Catalyst 3550-24-EMI上划分了2个不同的VLAN，因此需要在Catalyst 3550-24-EMI上创建Trunk。（1）创建VLAN的方法如上所示；（2）划分VLAN的方法如上所示；（3）创建Trunk与中心交换机Catalyst 4006相连的GigabitEthernet5/1端口需要创建TrunkSwitch4#config terminalEnter configuration commands, one per lin

11、e. End with CNTL/Z.Switch4(config)#interface GigabitEthernet 5/1Switch4(config-if)#shutdownSwitch4(config-if)#switchport mode trunkSwitch4(config-if)#switchport trunk allowed vlan add 4Switch1(config-if)#no shutdownSwitch1(config-if)#exit对应于Catalyst 3550-24-SMI交换机和Catalyst 3550-24-EMI交换机的相应VLAN创建VLA

12、N，并在与Catalyst 3550-24-EMI交换机相连的GigabitEthernet3/1上创建Trunk。其配置的过程同上，这里不再累述。5 结论分析由于所有的广播都只在本虚拟局域网VLAN内进行，而不再扩散到其他VLAN上，所以将大大减少广播对网络带宽的占用，提高带宽传输效率，并可有效地避免广播风暴的产生。由于交换机只能在同一VLAN内的端口之间交换数据，不同VLAN的端口不能直接相互访问。因此，通过划分VLAN，就可以在物理上防止某些非授权用户访问敏感数据，提高了网络的安全性。由于网络管理员可以通过网管软件，查到VLAN间和VLAN内通信的数据报的细目分类信息，以及应用数据报的细

13、目分类信息，而这些信息对于确定路由系统，和经常遭到访问的服务器的最佳配置十分有用。通过划分VLAN，可以使网络管理变得更简单、更轻松、更有效。参考文献：1 黄世权. Trunk和VLAN技术在大型校园网中的综合运用J安徽大学学报(自然科学版), 2006,(02) .2 梁玮栗. VLAN的几种配置方法J计算机与网络, 2005,(11) .3 汪华斌. VLAN和访问控制技术的应用研究J电脑开发与应用, 2008,(02) .摘 要: 文章阐述了虚拟局域网 (V irtua l L o ca l A rea N et - w o rk , VLAN ) 技术的概念, 分析了VLAN 的优点,

14、 并对其实现原理、 划分方式和规划原则进行了论述, 以期给网络管理带来方便。关键词: VLAN ; 虚拟局域网; 广播域传统局域网由于规模小、 应用范围有限使得网络仅仅限于交换模式的状态, 在这种网络模式中局域网 (LAN ) 通常由HU B、网桥、交换机等网络设备连接同一网段内的所有节点形成, 对于网络结构的划分也仅仅是采用物理网段的划分的方法, 将各节点按照它们的物理连接自然地划分到各个广播域处于同一局域网内的网络节点间可以直接通信, 而处于不同局域网之间的通信则必须通过路由器才能实现。随着网络的不断扩展, 接入设备逐渐增多网络结构也日趋复杂, 这样的网络模式从效率和安全性的角度来考虑都是

15、有所欠缺的。 首先一个广播域内的设备增加, 那么在这个广播域内设备的广播频率便会相对增加。 广播频率的提高, 对设备的效率会有很大的影响, 因为每一个设备都必须中断其CPU 正在处理的业务, 来处理收到的广播包, 以决定是否需要对包内的数据作进一步处理, 这种中断降低了 CPU 处理正常业务的效率, 增长了完成这些业务的时间, 这时广播不仅消耗了带宽, 而且也降低了用户工作站的处理效率。 信息流很大的时候, 就容易形成广播风暴, 甚至造成网络的瘫痪。 其次, 按照物理连接将身份、需求各不相同的用户机械地划分到相同的用户组 ( 广播域 ) 中, 网管很难限制对本地网络中一个或多个特别设备的接入,

16、 不仅带来安全隐患而且限制了网络的灵活性。 针对已有的局域网合理划分广播域则需要进行虚拟网络(VLAN ) 设置。1 VLAN 的概念VLAN (V irtua l L o ca l A rea N etw o rk , 虚 拟 局域网) 技术的出现, 主要是为解决以太网的广播问题和加强安全性而提出的。 这种技术可以把一个物理网络根据用途、工作组、 应用等划分成多个逻辑的LAN VLAN , 每 个 VLAN 是 一 个 广 播 域,VLAN 内的主机间通信就和在一个LAN 内一样,而VLAN 间则不能直接互通, 这样, 广播报文被限制在一个 VLAN 内。具体地说, VLAN 技术允许网络管

17、理者将一个物理的LAN 逻辑地划分成不同的广播域 ( 或称虚拟LAN , 即VLAN ) , 它在以太网帧的 基础上增加了VLAN 头, 用VLAN D把用户划分为更小的工作组, 限制不同工作组间的用户二层互 访, 每个工作组就是一个虚拟局域网。 每一个VLAN 都包含一组有着相同需求的计算机工作站,与物理上形成的LAN 有着相同的属性。 但由于它是逻辑的而不是物理的划分, 所以同一个VLAN 内的各个工作站无须被放置在同一个物理空间里, 即这些工作站不一定属于同一个物理LAN 网段。 一个VLAN 内部的广播和单播流量都不会转发到其他VLAN 中, 即使是两台计算机有着同样的网段, 但是它们

18、却没有相同的VLAN 号, 它们各自的广播流也不会相互转发。VLAN 隔离了广播风暴, 同时也隔离了各个不同的VLAN 之间的通讯, 所以不同的VLAN 之间的通讯是需要有路由来完成的。2 VLAN 的优点2 1 限制广播域.广播域被限制在一个VLAN 内, 节省了带宽,提高了网络处理能力。2 2 增强局域网的安全性.不同VLAN 内的报文在传输时是相互隔离的,即 一个VLAN 内的用户不能和其它VLAN 内的用户直接通信, 如果不同VLAN 要进行通信, 则需要通过路由器或三层交换机等三层网络设备。2 3 灵活构建虚拟工作组.用VLAN 可以划分不同的用户到不同的工作组, 同一工作组的用户也

19、不必局限于某一固定的物理范围内, 网络构建和维护更方便灵活。3 VLAN 实现原理当VLAN 交换机从工作站接收到数据后, 会对数据的部分内容进行检查, 并与一个VLAN 配置数据库 ( 该数据库含有静态配置的或者动态学习而得到的M A C 地址等信息) 中的内容进行比较后, 确定数 据 去 向 , 如 果 数 据 要 发 往 一 个VLAN 设 备(VLAN - aw a re ) , 一个标记 ( T ag ) 或者VLAN 标识就被加到这个数据上, 根据VLAN 标识和目的地址, VLAN 交 换 机 就 可 以 将 该 数 据 转 发 到 同 一VLAN 上适当的目的地, 如果数据发往

20、非VLAN 设备 (VLAN - unaw a re ) , 则VLAN 交换机发送不带VLAN 标识的数据。4 VLAN 的划分方式4 1 根据端口来划分VLAN以 网络设备在交换机上的端口来划分VLAN成员, 被设定的端口都在同一个广播域中。 例如, 一个交换机的1, 2, 3, 4, 5 端口被定义为 VLAN 1, 同一交换机的6, 7, 8 端口组成VLAN 2。根据端口划分是目前定义 VLAN 的最常用的方法, IEEE 802 1Q协议标准草案中对如何根据交换机的端口来划分VLAN 给出了明确的规定。这种划分方法的优点和缺点都很明显: 优点是定义VLAN 成员时非常简单, 只要将

21、所有的端口都指定一下就可以了; 缺点是不允许用户随便移动, 如果属于某个VLAN 的用户离开了原来的端口, 到了一个新的网络设备的某个端口, 那么网络管理者就必须重新定义VLAN 。4 2 根据M A C 地址划分VLAN以 计算机工作站网卡的 MAC 地址来划分VLAN 。 这种划分方法的最大优点就是由于一个M A C 地址唯一对应一块计算机网卡, 所以当某个计算机工作站物理位置改变时、 即从一台交换机转移到另一台交换机时, 不需要重新配置VLAN ; 而缺点是所有的VLAN 成员必须事先定义, 在有数以百计乃至千计用户的网络中, 这并不是一件轻松的事。而且这种划分方法也导致了交换机执行效率

22、的降低, 因为交换机的每一个端口都可能连接许多不同VLAN 组的成员, 这样就无法限制广播报文了。 另外, 对于使用笔记本电脑的用户来说, 他们的网卡可能经常更换, VLAN 就必须不停的配置。4 3 根据网络层划分VLAN这种划分VLAN 的方法是根据每个主机的网络层地址或协议类型划分的, 如 IP 地址。 虽然这种划分方法是根据网络地址, 但它不是网络层的路由，它只是查看每个数据报文的网络层地址, 并根据过滤数据库中事先定义好的信息决定其归属于哪个VLAN ,然后再根据生成树算法进行交换, 并不牵涉任何路由操作。 这种方法的优点是用户的物理位置改变了, 并不需要重新配置所属的VLAN ,

23、而且可以根据协议类型来划分VLAN , 这对网络管理者来说很重要, 同时这种方法不需要附加的帧标签来识别VLAN , 这样可以减少网络的通信量。这种方法的缺点是效率低, 因为检查每一个数据包的网络层地址是需要消耗处理时间的 ( 相对于前面两种方法) , 一般的交换机芯片都可以自动检查网络上数据包的以太网帧头, 但要让芯片能检查 IP 帧头, 需要更高的技术, 同时也更费时。4 4 根据 IP 组播划分VLANIP 组播实际上也是一种VLAN 的定义, 即认为一 个 组 播 就 是 一 个 VLAN , 这 种 划 分 的 方 法 将VLAN 扩大到了广域网, 因此这种方法具有更大的灵活性, 而

24、且也很容易通过路由器进行扩展, 当然这种方法不适合局域网, 主要是效率不高。4 5 基于规则的VLAN .也称为基于策略的VLAN。 基于策略组成的VLAN 能实现多种分配方法, 包括VLAN 交换机端口、 MAC地址、IP 地址、网络层协议等。 网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 。这是最灵活的VLAN 划分方法, 具有自动配置的能力, 能够把相关的用户连成一体, 在逻辑划分上称为 “关系网络”网络管理员只需在网管软件中确定划分VLAN 的规则 ( 或属性) , 那么当一个工作站加入网络中时, 将会被感知, 并被包含 进正确的VLAN 中。 同时, 对站点的移动和改变也可自动识别和跟踪。 采用这种方法, 整个网络可以非常方便地通过路由器扩展网络规模。 有的产品还支持一个端口上的主机分别属于不同的VLAN , 这在交换机与共