Vlan(精选12篇)
Vlan 篇1
摘要:对VLAN技术进行了剖析,阐述了VLAN技术在组建局域网中的作用、划分方式及VLAN中配置的常用技术。
关键词:计算机网络,VLAN技术,局域网
1 引言
随着计算机网络应用的不断普及,人们的工作与日常生活与计算机网络的关系越来越密切。而局域网的扩展也非常迅猛,在日常生活中的各个场所都有局域网的身影。其中VLAN技术,在各个局域网中,不断地展示着自己的独特作用。为此,将对VLAN技术在局域网中起到的作用、划分方式及VLAN配置中的常用技术进行分析研究。
2 定义及作用
2.1 定义
VLAN是Virtual Local Area Network的缩写,即虚拟局域网,是网络设备上连接的不受物理位置限制的用户的一个逻辑组。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。
2.2 划分VLAN的作用
VLAN技术之所以会在计算机网络中,应用如此广泛,是因为划分VLAN对计算机网络有以下的作用:
2.2.1 有效地控制网络广播
VLAN作为一种网络分段技术,可将广播风暴限制在—个VLAN内部,避免影响其他网段。与传统局域网相比,VLAN能够更加有效地利用带宽。在VLAN中,网络被逻辑地分割成广播域,由一个VLAN成员所发送的信息帧或数据包仅在具有相同VLAN号的成员之间传送,而不是向网上的所有工作站发送。所以能大大减少广播信息对网络带宽的占用,有效地避免广播风暴的产生。
2.2.2 提高网络安全性
将整个网络划分成一个个互相独立的广播组是一种有效而又易于管理的增强网络安全性的方法。可以通过将不同的部门、不同数据敏感度的计算机用户,划分到不同的VLAN中,禁止那些没有得到许可的用户加入到某个VLAN中,从而降低泄露机密信息的可能性。这样VLAN就提供一道安全性防火墙,以控制用户对网络资源的访问,控制广播组的大小和构成,并借助于网管软件在发生非法入侵时通知管理人员。
2.2.3 便于管理
使用VLAN可以有效地降低网络管理的成本,提高网络管理效率。使用VLAN管理程序可对整个网络进行集中管理,能够更容易地实现网络的管理性。用户可以根据业务需要快速组建和调整VLAN。借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN一样方便、灵活、有效。
3 VLAN的划分
3.1 根据端口
这种划分方式是最基本、最常用的一种划分方式。利用把指定交换机的某些端口设定为某个VLAN成员的形式,来实现VLAN的划分。也可以把多个不同的交换机的端口,划分给相同的VLAN。其缺点就是对移动用户的管理很不方便。但由于这类划分方式配置过程比较简单、容易配置实现,因此,目前该类划分方式还是最常用的一种VLAN划分法。
3.2 根据MAC地址
这种划分VLAN的方法是通过指定每个局域网中的主机的MAC地址归属某个VLAN的形式来划分。这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN。这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,当局域网中某个主机的网卡更换时,VLAN也必须重新配置。因此,此类划分方式一般适用小局域网。
3.3 根据网络层
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的。其优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,并且不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量;其缺点就是效率低。
3.4 根据IP组播
IP组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
3.5 基于策略的VLAN
基于策略组成的VLAN能实现多种分配方法,这是最灵活的VLAN划分方法,具有自动配置的能力,能够把相关的用户连成一体,在逻辑划分上称为“关系网络”。包括VLAN交换机端口、MAC地址、IP地址等。网络管理员可根据实际的需求来决定选择采用哪种类型的VLAN。
3.6 按用户定义、非用户授权
基于用户定义、非用户授权来划分VLAN,是指为了适应特别的VLAN网络,根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可以加入一个VLAN。
4 常用技术
4.1 VTP技术
VTP(VLAN Trunking Protocol)是VLAN中继协议,也被称为虚拟局域网干道协议。VTP负责在VTP域内同步VLAN信息,这样就不必在每个交换上配置相同的VLAN信息。VTP还提供一种映射方案,以便通信流能跨越混合介质的骨干。VTP模式有3种:服务器模式(Server)、客户机模式(Client)、透明模式(Transparent)。
VTP的作用是简化网络中VLAN配置与管理。例如:当局域网中有很多交换机时,每个交换机又同时有很多vlan的时候,每台交换机一一创建vlan是非常麻烦的。此时,可以使用VTP协议,把一台交换机配置成VTP Server,其余交换机配置成VTP Client,这样他们可以自动学习到Server上的VLAN信息。这样还能保持了VLAN配置的统一性。
假设配置一台交换机为VTP Server,则命令如下:
switch(config)#vtp mode server
4.2 STP技术
STP(Spanning Tree Protocol)是生成树协议的英文缩写。该协议可应用于环路网络,通过一定的算法实现路径冗余,同时将环路网络修剪成无环路的树型网络,从而避免报文在环路网络中的增生和无限循环。该协议的原理是按照树的结构来构造网络拓扑,消除网络中的环路,避免由于环路的存在而造成广播风暴问题。启用STP的命令如下:
Switch(Config)#spanning-tree
4.3 VLAN Trunk技术
Trunk是VLAN中的中继端口,其作用是让连接在不同交换机上的相同VLAN中的主机互通。
例如:当局域网中有多台交换机时,并且它们都有配置相应的VLAN,此时如果要让处于不同交换机上的相同VLAN中(默认VLAN1除外)的主机能够相互通信的话,那么这些交换机之间的连接端口必须设置为Trunk模式。
Trunk的配置方法比较简单,例如,要把锐捷RG-S3760的三层交换机的12号端口的工作模式设置为Trunk模式,那么它的配置如下:
Switch(config)#intface f0/12
Switch(config-if)#switchport mode trunk
Switch(config-if)#no shutdown
由于跨交换机的相同VLAN的通信,在局域网管理当中有很重要的作用,能够使得网络管理更加地便捷,因此,配置Trunk在VLAN配置中是非常常用的一种配置。
5 结语
VLAN技术的使用不仅有利于提高网络的安全性和防止广播风暴的产生,而且还可以提高网络管理运行效率。在局域网建设中,VLAN技术已成为一种不可或缺的存在。研究VLAN技术,有利于计算机网络的建设与发展,因此,对VLAN技术的研究具有很大的实际应用价值。
参考文献
[1](美)特南鲍姆.计算机网络.潘爱民,译.4版.北京:清华大学出版社,2008.
[2]雷震甲.网络工程师教程.3版.北京:清华大学出版社,2009.
[3]翟冰,等.VLAN技术探究[D].内蒙古科技与经济,2009.
Vlan 篇2
1、外层VLAN 划分:
VLAN1 ~ VLAN99: 用作网络设备的管理、互联
DOT1Q VLAN;
VLAN100~VLAN699:QINQ 业务VLAN;(用于LAN 接入方 式的PPPOE 用户)
VLAN700~VLAN999:专线静态IP 方式的用户
VLAN1000~VLAN1099: 用作网络设备的管理VLAN;
VLAN1100~VLAN1699: QINQ 业务VLAN;(用于LAN 接入 方式的PPPOE 用户)
VLAN1700~VLAN1900;专线静态IP 方式的用户
VLAN1901~VLAN1999:NGN 预留
VLAN2000 ~ VLAN2099 ;用作网络设备的管理、互联 DOT1Q VLAN;
VLAN2100 ~ VLAN3999 ; 动态用户VLAN(注: VLAN3100-3999 专用于IP-DSLAM 的QINQ 外层VLAN)
(上网VLAN范围3100-3299、终端管理VLAN3300-3499、VOIP VLAN3500-3699、IPTV VLAN3700-3899)
VLAN4000~VLAN4095;用作组播及IP-TV 业务预留;
2、内层VLAN 划分:
VLAN1~VLAN99: 用作网络设备的管理VLAN;
VLAN100~VLAN699:动态IP 用户;
VLAN700~VLAN849:网吧、IDC 等静态IP 方式的用户 其中vlan799用于全球眼
VLAN850~VLAN899:VPN 用户预留;
VLAN900~VLAN949:作为WLAN 热点识别;
(WIFI 业务使用)
VLAN950~VLAN999:为将来其它业务暂预留;
VLAN1000~VLAN1099: 用作网络设备的管理VLAN;
青云DSLAM管理VLAN 1001 大公路管理VLAN 2001(建议进行修改)
VLAN1100~VLAN1399:网吧、IDC 等静态IP 方式的用户; VLAN1400~VLAN1499:作为VPN 用户预留;
VLAN1500~VLAN1699: 作为WLAN 热点识别;
(WIFI 业务使用)
VLAN1700~VLAN1900: 为将来其它业务暂预留; Vlan1901~VLAN1999: NGN 预留
VLAN2000~VLAN3999: 动态IP 用户、IP-DSLAM 内层(上网VLAN2100、ITMS VLAN 2000-2049、VOIP VLAN 2050-2099、IPTV VLAN 1100-1999)
VLAN4000~VLAN4096: 为将来其它业务暂预留
E8-2 DSLAM VLAN 规划: 业务类别
上网
ITMS
VOIP
IPTV
Vlan 篇3
关键词:VLAN技术;Cisco packet tracer;仿真实验
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)31-7306-02
随着Internet的进一步发展,人们的工作和生活越来越依赖于网络。由于在传统的局域网中,局域网的安装通常会受到地理条件的限制,这严重影响了网络技术的应用范围和发展。而且在具有移动要求的网络组织里,移动用户在远程访问电子邮件服务时,有可能意外连接到未经授权的局域网的网段上,这对网络安全产生了极大的安全隐患和对网络管理的混乱,也会对局域网的管理和维护造成了极大的不便。此外随着局域网内同一网段内网络节点的不断增多,导致广播风暴的几率逐渐增大,网络通信质量逐渐下降,网络安全和维护遭受极大的考验,这使传统的局域网技术已经不能满足人们的需求,因此VLAN技术应运而生。
1 VLAN技术基础
1.1 VLAN技术分类及划分方式
VLAN(Virtual Local Area Network,虚拟局域网)是指在一个物理网段内,进行逻辑的划分,划分成若干个虚拟局域网。VLAN最大的特性是不受物理位置的限制,可以进行灵活的划分。VLAN具备了一个物理网段所具备的特性。相同VLAN内的主机可以互相直接访问,不同VLAN间的主机之间互相访问必须经由路由设备进行转发。广播数据包只可以在
本VLAN内进行传播,不能传输到其他VLAN中[1]。
VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
VLAN的优点:(1) 控制不必要的广播报文的扩散;(2) 提高网络带宽利用率,减少资源浪费;(3) 划分不同的用户组,对组之间的访问进行限制;(4) 增加安全性。
VLAN的划分方式主要有以下几种:(1) 基于端口的VLAN,即明确指定各端口属于哪个VLAN的设定。此方式仍然是目前使用较多的划分VLAN的方式。(2) 基于MAC地址:通过查询并记录端口所连计算机网卡上的MAC地址来决定端口的所属VLAN;(3) 基于网络层的VLAN:通过所连计算机的IP地址来决定端口的所属VLAN;(4) 基于IP主播地址的VLAN:一个主播组就是一个VLAN;(4) 基于用户的VLAN:根据交换机各端口所连的计算机上当前登录的用户来决定该端口属于哪个VLAN[2]。
1.2 VLAN端口
Tag Vlan是基于交换机端口的另外一种类型,主要用于实现跨交换机的相同VLAN内主机之间可以直接访问,同时对于不同VLAN的主机进行隔离。Tag Vlan遵循了IEEE802.1q协议的标准。在利用配置了Tag Vlan的接口进行数据传输时,需要在数据帧内添加4个字节的802.1q标签信息,用于标识该数据帧属于哪个VLAN,以便于对端交换机接收到数据帧后进行准确的过滤。
1) ACCESS端口,UnTagged端口,即接入接口,Access端口只能属于一个VLAN,它发送的帧不带有VALN标签,一般用于连接计算机的端口。
2) Trunk端口,Tag Aware端口,即干道接口,可以允许多个VLAN通过,它发出的帧一般是带有VLAN标签的,一般用于交换机之间连接的端口。
2 利用Cisco packet tracer完成仿真实验
Cisco packet tracer是由Cisco公司发布的一个辅助学习工具,为计算机网络的学习者在设计、配置、排除网络故障等方面提供网络模拟环境。学生可在软件的图形用户界面上直接使用拖曳方法建立网络拓扑,软件中实现的IOS子集允许学生配置设备;并可提供数据包在网络中行进的详细处理过程,观察网络实时运行情况[3]。
2.1 VLAN的划分
假设某企业有两个主要部门:销售部和技术部,其中销售部门的个人计算机系统连接在不同的交换机上,他们之间需要相互进行通信,但为了数据安全起见,销售部和技术部需要进行相互隔离,现要在交换机上做适当配置来实现这一目标。
2.2 VLAN间的路由
在前面,我们将销售部和技术部划分了VLAN进行了隔离,但如果他们之间需要相互访问,我们又可以利用三层交换机的路由功能实现销售部和技术部不同VLAN间路由。在二层交换机上划分VLAN配置Trunk实现不同VLAN的主机接入,在三层交换机上划分VLAN配置Trunk并配置SVI接口实现不同VLAN间路由。
3 VLAN配置过程中可能产生的问题及解决的办法
在VLAN的配置过程中可能会产生VLAN用户隔离不成功,VLAN隔离后不能进行任何通信以及采用VLAN技术后,无法进行设备管理等问题。具体的解决方法就是:首先查看网络拓扑图与实际配置端口是否一致;其次分析数据帧的转发过程,特别是数据包携带的VLAN ID的变化。看看在整个数据帧转发的过程中何时删除TAG标签,何时增加TAG标签,在删除和增加的过程中是否变化过VLAN ID,特别是PVLAN技术存在的时候;最后分析是否VLAN路由是否存在问题。
4 结束语
本文详细介绍了VLAN在Cisco packet tracer仿真环境下的配置,VLAN技术是网络设备管理技术的一个重点,也是网络交换机配置的基础,在校园网、企业网络中应用非常广。通过在仿真环境下的实践,既可以减少实验投入成本,也可以锻炼学生的实际动手能力,积累实践经验,增加理论与实践的结合,培养学生的探索精神和创造性思维。
参考文献:
[1] 杨株. VLAN技术实验的设计与仿真实现研究[J].实验技术与管理,2013,31(3):14-17.
[2] 陈伟川. 基于MAC地址的动态VLAN原理及组网应用[J].计算机与现代化,2007,14(4):107-108.
VLAN技术探讨 篇4
1、组建VLAN的条件
VLAN是建立在物理网络基础上的一种逻辑子网, 因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时, 需要路由的支持, 这时就需要增加路由设备——要实现路由功能, 既可采用路由器, 也可采用三层交换机来完成。
2、VLAN的说明
从本质上讲, 是通过给帧加标识来达到链路层广播域的隔离。目前国际上已对VLAN标记进行了标准化的定义, 即IEEE802.1Q/p, 使不同厂商的支持标准VLAN标记的端口可以实现跨越到多台交换机进行VLAN划分。带802.1q的帧是在标准以太网帧上插入了4个字节的标识。
3、网络中需用VLAN的原因
许多现存的网络依赖第三层转发功能 (如传统的路由器) 来提供一定程度的安全性和存取控制。即使一个多层交换机的第三层转发模块具有能提供完好的安全性和存取控制, 如果不采用VLAN技术, 对一个用户来说, 很容易通过重构他 (她) 的工作站的IP地址从而对与他 (她) 的子网内的网络资源进行利用或破坏, 因为在这种情况下用户是能够由第二层交换核心实现数据交换而不是通过第三层交换模块。
二、VLAN的应用价值
1、减少移动和改变的代价
即所说的动态管理网络, 也就是当一个用户从一个位置移动到另一个位, 置是, 他的网络属性不需要重新配置, 而是动态的完成, 这种动态管理网络给网络管理者和使用者都带来了极大的好处, 一个用户, 无论他到哪里, 他都能不做任何修改地接入网络, 这种前景是非常美好的。当然, 并不是所有的ALAN定义方法都能做到这一点。
2、虚拟工作组
在电子ALAN的最具雄心的目标就是建立虚拟工作组模型, 例如, 在校园网中.同一个系的就好象在同一个LAN上一样, 很容易的互相访问, 交流信息, 同时, 有的广播包也都限制在该虚拟LAN上, 而不影响其他VLAN的人。一个人如果从一个办公地点换到另外一个地点, 面他仍然在该系, 那么, 他的配置无须改变, 同时, 如果一个人虽然办公地点没有变, 但他换了一个系, 只需网络管理者那配置一下就行了。
3、限制广播包
按照802.1D透明网桥的算法, 如果一个数据包找不到路由.那么交换机就会将该数据包向所有的其他端口发送, 这就是桥的广播方式的转发, 这种的结果, 毫无疑问极大的浪费了带宽, 如果配置了VLAN, 那么, 当一个数据包没有路由时, 交换机只会将此数据包发送到所有属于该VLAN的其他端口而不是所有的交换机的端口, 这样, 就将数据包限制到了一个VLAN内, 在一定程度上可以节省带宽。
4、安全性
由于在LAN上经常传送一些保密的、关键性的数据, 以保密的方式提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成凡中不同的广播组, 网络管理员限制了VLAN中用户的数量, 禁止未经允许而访问VIAN中的应用。交换端口可以基于应用类型和访问特权来进行分组, 被限制的应用程序和资源一般置于安全性VLAN中。
三、VLAN的分类
1、基于端口的VLAN
基于交换端口的VLAN这种方式是把LAN交换机的某些端口的集合, 作为VLAN的成员。这些集合有时只在单个LAN交换机上, 有时则跨越多台LAN交换机。虚拟局域网的管理应用程序, 根据交换机端口的标识ID, 将不同的端口分到对应的分组中, 分配到一个VLAN的各个端口上的所有站点都在一个广播域中, 它们相互可以通信, 不同的VLAN站点之间进行通信需经过路由器来进行。
2、基于MAC地址的VLAN
由于只有网卡才分配有MAC地址.因此按MAC地址来划分VLAN实际上是将某些工作站和服务器划属于某个VLAN。事实上, 该VLAN是一些MAC地址的集合。当设备移动时, VLAN能够自动识别。网络管理需要管理和配置设备的MAC地址, 显然当网络规模很大, 设备很多时, 会给管理带来难度。这种划分的也导致了交换机的执行效率降低, 因为在一个交换机的端口可能存在多个VLAN组的成员, 这样就无法限制广播包了。
3、基于第3层的VLAN
基于网络层的VLAN它是利用网络层的业务属性来自动生成VLAN, 用不同的路由协议的站点分在相对应的VLAN中。IP子网1为第1个VLANIP子网2第2个VLAN, IPX子网l为第3个VLAN……依此类推。
4、基于策略的VLAN
跨交换机实现VLAN 篇5
跨交换机实现VLAN
[背景描述]
假设某公司有两个部门分别是:销售部、技术部、其中销售部的个人计算机系统连接在不同的交换机上,两个部门之间需要相互进行通信,但为了数据安全起见,销售部和技术部需要进行相互隔离,要在交换机上做适当的配置来现实这个目标,
[实验拓扑]
实验的拓扑图:
[实验设备]
三层交换机一台
三层交换机一台
[预备知识]
交换机的基本配置方法、VLAN的工作原理和配置方法、TRUNK的工作原理和配置方法。
[实验步骤]
步骤一 配置两台交换机的主机名
switch#configure terminal
switch(config)#hostname s3550
switch#config terminal
switch(config)#hostname s2950
步骤二 在三层交换机上划分VLAN添加端口
s3550(config)#vlan 10
s3550(config)#name xiaoshou
s3550(config)#vlan 20
s3550(config)#name jishu
s3550(config)#interface fastethernet 0/6
s3550(config-if)#switchport access vlan 10
s3550(config)#interface fastethernet 0/11
s3550(config-if)#switchport access vlan 20
s3550(config)#interface f 0/1
s3550(config-if)#switchport mode trunk
s3550(config)#interface vlan 10
s3550(config-if)#ip address 192.168.1.1 255.255.255.0
s3550(config-if)#no shutdown
s3550(config)#interface vlan 20
s3550(config-if)#ip address 192.168.2.1 255.255.255.0
s3550(config-if)#no shutdown
步骤三 在二层交换机上划分VLAN添加端口
S2950(config)#vlan 10
s2950(config)#name xiaoshou
s2950(config)#interface fastethernet 0/6
s2950(config-if)#switchport access vlan 10
s2950(config)#interface fastethernet 0/1
s2950(config-if)#switchport mode trunk
步骤四 测试PC3访问PC1如图所示:
步骤五 测试PC3访问PC2如图所示:
本文出自 “划过一片天空” 博客
★ 为什么我们需要三层交换机网络知识
★ 配置例程:华为交换机vlan方案说明及代码
★ Windows中轻松实现红外线通信支持
★ 用C或者C++语言实现SOCKET通信
★ 移动通信大客户个体分析系统的设计和实现
Vlan 篇6
关键词:IP子网;VLAN;交换机;路由
中图分类号:TP393文献标识码:A文章编号:1007-9599 (2013) 05-0000-02
1认识局域网中IP子网划分
现在使用的IP为IPV4格式,我们可以使用的是其中A类、B类、C类。这地址都用来表示主机地址,为了延伸使用IP地址资源,特别是私有IP地址资源,所以要应用子网这一特征来改善IP地址紧缺的问题。IP地址由网络和主机两部分地址组成,将IP地址中原来主机地址部分取出几位分用来表示所属的子网(子网号),从而在原来的一个网络中分成了不同的子网,再由主机利用子网掩码加以甄别,在相互通信时确定属于哪一个子网。每一个子网就是一个相对独立的逻辑子网(网段),不同子网内主机不能通信,只有在之网间路由器设定路由的情况下才可以通信。
例如:有一个公司C类地址段192.168.1.0/24要划分给三个部门
子网划分:
子网财务部市场部技术部
主機地址192.168.1.1~192.168.1.62192.168.1.65~192.168.1.126192.168.1.129~192.168.1.190
子网掩码255.255.255.192255.255.255.192255.255.255.192
网络地址192.168.1.0192.168.1.64192.168.1.128
广播地址192.168.1.63192.168.1.127192.168.1.191
从以上例中我们可以看出:划分IP子网的最初目的是充分应用现有私有IP地址资源,但随着应用的推广,也可以利用子网划分将主机用户逻辑分组同时阻断子网(部门)间主机的通信,这样就可以隔离广播,形成较小广播域、减少冲突和网络开销,从而可以使主机在子网内部的通信更加安全。再有,IP子网划分也利于网络组建时分层结构的实现,也有利于网络管理员对网络内部主机IP地址的分配,进一步对网络实施有效管理。最后,划分子网还有利于链路聚合。
2认识局域网中交换机VLAN划分
VLAN是在局域网内将网络从逻辑上划分成若干个不同的广播域,从而实现相对独立的虚拟工作组的技术,或者说是交换式局域网提供给用户的一种服务。一个VLAN就是一个广播域,与用户主机的物理位置没有关系。一个VLAN看不到另一个VLAN的存在,即同一个VLAN主机可以Ping通;不同VLAN的主机不能Ping通。
VLAN技术的出现,使得管理员能按管理、工作、重要性需求,把原来一个物理局域网(LAN)内的不同主机从逻辑上划分成不同的广播域(虚拟局域网,即VALN),每一个VLAN一般由一组有着工作性质和重要性相近的主机组成,与原局域网在功能上有着相同的属性。由于它是在逻辑上划分,而不涉及物理上改动,所以设定在同一个VLAN内的各个主机可以不限定在同一个物理范围中,即这些主机有可能在不同物理局域网网段。由VLAN的特点决定,一个VLAN内部的广播和单播流都只会在内部进行,不会在VLAN间扩散,从而能够有效减少网络流量、简化网络管理、提高网络的相对安全性。它在广播抑制、安全性、动态组网等方面具有原本一个物理LAN无法比拟的优越特性。
3两种方法对比
3.1相同之处。能够隔离广播域。一个VLAN或一个IP子网都是一个自己独立的逻辑广播域,通过创建VLAN或划分子网都可以有效减少了广播范围,从而隔离了不必要的广播,缩小了广播范围,也就可以控制广播风暴的产生。
都能相对的提高网络安全性。VLAN间或子网间的通信的都要通过路由器对路由设定来进行,VLAN或子网内部通信将被路由器隔离,路由器在这里就是起到网络与网络之间的连接作用。由路由中的访问控制列表来控制用户访问权限,从而有效的提高网络的安全性。
还能减少冲突,提高网络整体性能。通过VLAN划分或划分IP子网都可以控制各个逻辑网络(广播域)大小,将不同用户划分在不同的VLAN或子网中,从而就通过能减少冲突来提高网络的整体性能。
3.2不同之处。VLAN划分和IP子网都可以分割逻辑网段,但按OSI体系层次分析,虚拟局域网(VLAN)是在第二层(数据链路层)实施的分隔;IP子网是在第三层(网络层)实施的分隔。IP子网这种划分是对使用TCP/IP协议进行通信的主机才有效,对于使用其他协议(如IPX)进行通信的主机就无能为力了。还有也可以通过改动自己的IP来跳到不同子网中。但不同VLAN中的主机,如果没有到达其他VLAN的路由,无论是否更改地址或协议,都无法与其他VLAN中的主机通信。
主机成员所处网络物理位置不同。对应用VLAN技术的网络来说,VLAN的组建不依赖于地理位置的封闭性,一个VLAN可以将不同地理位置的网络主机用户划分为一个逻辑网段;对于IP子网中主机成员只能来自一个物理网络。而VLAN相对于IP子网提供了更灵活的组织方式。
管理方法不同。对采用VLAN技术的网络来说,在不改动网络物理连接结构的情况下可以任意地将工作站在虚拟逻辑网络之间移动。只需要更改交换机中VLAN设置,这样就减轻了网络管理和维护工作的负担。对IP子网来说,如果对某些主机重新划分IP子网,就有可能需要网络管理员对其主机所处物理位置和相对结构重新进行调整,甚至需要变动网络设备来实现,这样就增大网络管理的工作量。
4IP子网与VLAN的应用
在实际网络应用中,IP子网与VLAN相互配使用,会使网络设计更加合理;更加方便;能更加完善。子网与VLAN的组合以及路由配置可能有以下情境。
情境1:整个网络全部采用IP子网结构,不使用VLAN,合适同一类用户处于同一物理网段情况下可以采用此方案。每个子网具有相同的网络号,子网间通信需要路由。这种方式比较适合于学样中机房管理。
情境2:整个网络全部采用VLAN结构,通过路由方式互联,尽管可以使用IP协议,但不划分IP子网,整个计算机网络属于一个IP网络,其中主机的IP地址网络号是相同的。此时网络中VLAN间通信使用路由,IP子网的作用可以由VLAN来承担。这种方式比较适合于企事业单位各部门主机办公管理。
情境3:网络中同时划分IP子网和VLAN,但是让VLAN和IP子网一一对应,即一个IP子网的成员都属于一个VLAN。此时,VLAN之间的路由与子网之间的路由重合。这种划分方法功较能重合,不具有实际可操作性。
情境4:网络中同一VLAN的成员再次划分成若干个子网。这种方案适合主机用户物理位置不同但需求相近时采用。先把网络按需要划分成几个VLAN组成,再在某些VLAN中划分子网,这次划分子网更能便于网络设计、IP地址分配和链路聚合。
5结论
通过上面分析IP子网与交换机VLAN划分特点和它们共存的几种方式看,IP子网和VLAN的关系相连,它们既有相同之处又有区别,在共存的情况下应该合理地处理好它们之间的关系。第四种情境,在IP子网内再划分VLAN的作法是合理的,这样做体现了IP子网和VLAN的作用,具有实际应用的价值。
参考文献:
[1]张国清.网络设备配置与调试[M].北京:电子工业出版社,2009
[2]张选波,王东.设备调试与网络优化[M].北京:科学出版社,2009
[3]赵正红,李红.计算机网络技术[M].北京:科学出版社,2010
VLAN间路由的研究 篇7
虚拟局域网 (VLAN-Virtual Local Area Network) , 是在交换式局域网基础上, 依靠逻辑设定将原来物理上互联的一个局域网络划分为多个虚拟网段, 即在逻辑上把两层交换机划分为若干个LAN (广播域) , 将广播帧限制在一组指定的端口上, 不必在物理上重新配置任何端口, 真正实现了网络用户与它们的物理位置无关。它以其能有效控制广播风暴、简化网络管理, 提高网络安全得到了广泛应用。
2 VLAN间通信
使用VLAN把一个网络隔离成多个广播域后, 也就相当于在物理上隔离了各个VLAN之间的任何流量, 因此分属于不同VLAN的用户不能互相访问, 需要使用路由设备来完成, 通过路由将报文从一个VLAN转发到另外一个VLAN。常见的解决VLAN间互通有三种方案:
2.1 每个VLAN一个物理连接
在二层交换机上配置VLAN, 每一个VLAN使用一条独占的物理连接连接到路由器的一个接口上。这样, 为每个VLAN分配一个独立的路由器接口, VLAN间的数据通信通过路由器进行三层路由, 就可以实现VLAN之间相互通信, 管理简单。但是也是最浪费资源的一种方法, 交换机上每增加一个VLAN, 不仅需要消耗路由器接口和交换机上的访问链接, 还需要新增加一条网线, 网络扩展难度大。
2.2 使用VLAN Trunking
随着VLAN技术的发展, 为了解决物理接口需求过大的问题, 出现了另一种路由器——单臂路由器, 用于实现VLAN间通信的三层网络设备路由器, 它只需要一个以太网接口, 通过创建子接口可以承担所有VLAN的网关, 从而在不同的VLAN间转发数据。
如图1所示, 二层交换机上和路由器上配置它们之间相连的端口使用VLAN Trunking, 使多个VLAN共享同一条物理链路连接到路由器。这样, 路由器仅仅提供一个以太网接口, 而在该接口下提供三个子接口分别作为3个VLAN用户的缺省网关, 当VLAN 10的用户需要与其他VLAN的用户进行通信时, 该用户只需将数据包发送给缺省网关, 缺省网关修改数据帧的VLAN标签后再发送至目的主机所在VLAN, 即完成了VLAN间的通信。
2.3 交换和路由的集成——三层交换机
二层交换机和路由器在功能上的集成构成了三层交换机, 提高了网络的集成度, 增强了转发性能, 在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能。如图2。三层交换机在转发数据包时, 效率上有很大的提高, 因为它采用了一次路由多次交换的转发技术。即同一数据流 (VLAN通信) , 只需要分析首个数据包的IP地址信息, 进行路由查找等等, 完成第一个数据包的转发后, 三层交换机会在二层上建立快速转发映射, 当同一数据流的下一个数据包到达时, 直接按照快速转发映射进行转发。从而省略了绝大部分的数据包三层包头信息的分析处理, 提高转发效率。
3 VLAN间路由配置举例
如图3所示, 实现两个部门间的通信, 通过第三种方案的配置步骤:
⑴创建VLAN, 并指定所属端口。
⑶给主机配置默认网关, 将默认网关指向所在VLAN在三层交换机上的接口的地址。然后在主机上访问网络上已经配置好的部分, 测试配置的网络是否已经正常连通。
⑷若有多台交换机 (路由器) , 需要配置动态路由协议或者静态路由。
参考文献
[1]华为3Com技术有限公司, 编著.华为3Com网络学院教程[M].北京:清华大学出版社.2004-07.
论VLAN技术的具体应用 篇8
早期局域网技术可以追溯到上个世纪的七十年代,经过几十年的发展,如今的交换式局域网技术已经完全淘汰了当初的共享型局域网技术,原因是共享型局域网当中的所有主机都处在同一个冲突域和广播域,冲突带来的后果是网络利用率不高,因为设备间不可以同时转发数据,必须要相互“竞争”,为了避免这种“争抢”,局域网中引入了CSMA/CD这种介质访问控制技术;广播带来的危害是广播风暴,事实上,“广播”仅仅是网络的工作方式而已,其本身并没有问题,但如果不加以控制,任其出现,那就会形成所谓的“广播风暴”,这会大大降低网络的性能,不仅造成网络的拥塞,还会白白浪费设备的资源,带来不可低估的严重后果。
目前,局域网中最常用的设备是交换机,交换机不仅有传统的二层交换机,还有三层交换机,但不管是哪一种设备,其本质上都是不隔离广播的,可以这样理解,交换机的所有端口都默认处在同一个广播域。前面我们提到如果广播太多势必会造成广播风暴,影响网络的性能,那如何隔离广播呢?我们可以通过一个例子来说明这一点:集线器是物理层设备,它不知道什么是冲突,什么是广播,所以连接在它上面的设备就都处在同一个冲突和广播域之中;交换机前面介绍过,数据链路层设备,隔离冲突域,但不隔离广播域;路由器是网络层设备,它即隔离冲突域又隔离广播域。现在看来,可以隔离广播域的只有路由器了,但使用路由器来隔离广播其成本过于昂贵,而且路由器上的端口数量有限,转发性能也比较低,因此,选用路由器来隔离广播不是解决问题的最佳方法。正是基于这样的原因,在需求之下产生了虚拟局域网技术,即VLAN技术,它的出现及时地解决了利用交换机隔离广播的问题。
2 VLAN的基本概念
VLAN(Virtual Local Area Network)又叫虚拟局域网,是当前使用较为广泛的局域网技术,利用它可以很好的隔离广播,而不需要额外的增加成本和设备。一般认为,一个VLAN就是一个广播域,一个VLAN就是一个子网,VLAN内的PC之间相互通信,互不干扰,VLAN间的PC由于其隔离广播的特性默认是不能直接通信的,但可以通过配置使其可以通信,这样看来VLAN的引入带来了某种灵活性,在隔离广播的同时可以使某些VLAN间的PC可以通信。
VLAN技术主要有以下几点优势,首先也是最主要的特点是隔离广播,广播无法跨越VLAN的边界;其次,VLAN具有安全性,不同VLAN间的客户不可以通信;第三,可以根据企业组织架构需求将处于不同楼宇间的用户组成一个虚拟的工作组,不必受其地理位置的影响;最后,VLAN内部如果出现广播风暴,其影响范围也仅仅局限在改VLAN内部,不会波及其他的VLAN。
3 VLAN的基本类型
VLAN的类型主要有以下四种:
第一种类型是基于端口的VLAN,这是最简单的一种VLAN,配置和管理都比较简单,默认情况下,交换机上有一个VLAN1,所有的端口都处于VLAN1,只要将端口划入相应的VLAN下就可以实现不同VLAN间的隔离,本文主要探讨基于端口的VLAN技术。
第二种类型是基于MAC地址的VLAN,交换机维护着一张VLAN映射表,里面记录着VLAN与MAC地址的对应关系,交换机通过MAC地址来确定PC所属的VLAN,并且只有相同VLAN内的PC才可以通信。这种VLAN技术的特点是用户的物理位置是不受限制的,无论用户处在企业网络的什么位置,只要PC的MAC地址不变,那么所属的VLAN就不变。
第三种类型是基于子网的VLAN,一个子网对应一个VLAN,但工程实践中很少使用,在此不做过多介绍。
第四种类型是基于协议的VLAN,交换机根据数据帧中上层封装的协议将其划分到不同的VLAN,上层协议主要是指IP协议和IPX协议。目前网络层的主要协议就是IP协议,因此这种划分方式在工程中也几乎也用不到。
4 VLAN的标签格式
目前,VLAN标签格式有两种,一种是公认标准802.1Q;一种是思科私有标准ISL,但不管是哪一种标准都是用来给数据帧打标签的,用于标识数据帧所属的VLAN。IEEE 802.1Q是VLAN的正式标准,在传统的以太网数据帧基础上(源MAC地址字段和协议类型字段之间)增加了4个字节的802.1Q标签,如下图所示:
从上图中我们可以看出,VLAN标签里包括了2Bytes的标签协议标识符(TPID)、3bits的PRI和1bit的CFI,最重要的VID占12bits,最多可支持4096个VLAN。
5 VLAN的接口类型
首先介绍VLAN中的接口类型,即Access口和Trunk口,在华为和华三的设备中还存在一种混合端口,Hybrid接口。Access接口是交换机上用来连接用户主机的接口,它只能是接入链路(Access Link)。Trunk接口是交换机上用来与其他交换机连接的接口,它只能连接干道链路(Trunk Link)。Hybrid接口是交换机上既可以连接用户主机,又可以连接其他交换机的接口。Hybrid接口既可以连接接入链路又可以连接干道链路。
其次介绍一下Access接口是如何接收数据帧的,第一步先判断数据帧是否携带标签,如果否,则打上缺省VLAN的ID;如果是,则进一步判断该帧的VLANID是否和缺省的VLANID相同,如果否,则丢弃;如果是,则接收并进一步处理。Access接口在发送数据帧时是先剥离标签,然后再发送。
再者介绍一下Trunk接口是如何接收数据帧的,第一步先判断数据帧是否携带标签,如果否,则打上缺省VLAN的ID;如果是,则进一步判断是否允许该VLANID通过,如果否,则丢弃,如果是,则接收并进一步处理。Trunk接口在发送数据帧时先判断该数据帧的VLANID是否和缺省VLANID相同,如果否,则保留原有数据帧,如果是,则剥离标签并发送。
最后介绍一下Hybrid接口是如何接收数据帧的,第一步先判断数据帧是否携带标签,如果否,则打上缺省VLAN的ID;如果是,则进一步判断是否允许该VLANID通过,如果否,则丢弃,如果是,则接收并进一步处理。Hybrid接口在发送数据帧时先判断该数据帧是否配置了发送数据帧时要携带的标签,如果否,则剥离标签并发送出去;如果是,则保持原有标签并发送出去。
VLAN的应用场景大致有以下几种形式:单交换机上的VLAN配置;跨交换机上的VLAN配置;不同VLAN间的通信(利用三层交换技术或者单臂路由技术)等等。单交换机的VLAN配置比较简单,在此不再赘述。跨交换机的VLAN配置需要在交换机之间配置Trunk接口,并且配置允许通过的VLAN,默认是所有VLAN都可以通过。如图2所示:
在该方案中,连接LSW1和LSW2的Ethernet0/0/22接口需要配置成Trunk接口,而其他连接PC的接口都配置成Access接口。Trunk链路类型端口可以接收和发送多个VLAN的数据帧,且在接收和发送过程中不对数据帧中的标签进行任何操作。
6 VLAN间通信的配置——利用VLANIF接口
接下来我们使用一个例子来讲解VLAN间是如何通信的,默认情况下,VLAN间是无法通信的,需要利用三层设备才可以实现VLAN间的通信。网络拓扑如图3所示。
VLANIF接口是一种三层的逻辑接口,通过在VLANIF接口上配置IP地址可以实现VLAN间的三层互通。采用如下的思路配置VLAN间通过VLANIF接口通信:
(1)划分VLAN;
(2)配置接口加入VLAN,允许用户所属的VLAN通过当前接口;
(3)创建VLANIF接口并配置IP地址,实现三层互通。
上的配置如下:
最后需要注意的是,用户PC的网关应该设置成其所属VLAN的VLANIF接口IP地址,不然用户PC间将无法通信。配置完成后,VLAN 10内的User1与VLAN 20内的User2就能够相互访问了。
7 结束语
VLAN技术是目前园区网中使用较广的技术,是管理人员必须熟练掌握好的技术。本文着重阐述了VLAN的技术背景,VLAN的类型,VLAN的接口,VLAN标签的格式,以及最后的两个VLAN配置实例,希望本文有助于读者掌握VLAN技术的基本概念,为后续学习打下基础。
摘要:随着企业互联网+意识的觉醒,越来越多的传统线下企业开始将自己的产品和服务转移到互联网这个平台,不断整合自己的线下和线上资源,优化配置,以达到企业前所未有的竞争优势。目前,组建企业网的技术有很多,比如常见的交换技术,如VLAN、STP、端口安全、链路聚合等等;路由技术,比如OSPF、BGP、MPLS VPN等等。该文主要介绍的是VLAN技术,即虚拟局域网技术,包括它的原理和配置,该技术目前被广泛地应用在企业园区网之中,具有相当大的现实意义。
关键词:虚拟局域网,VLAN,三层交换,Dot1Q
参考文献
[1]杨姝.VLAN技术实验的设计与仿真实现研究[J].实验技术与管理,2014.
[2]冯栋柱.基于VLAN技术在高校校园网建设中的应用[J].微计算机信息,2010.
浅谈VLAN技术的工作原理 篇9
VLAN是Virtual Local Area Network的简称,中文称为虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。它可以根据功能、部门及应用等因素将设备和用户组织起来,将它们虚拟成为一组逻辑上的关系,使得这些设备和用户可以不受物理位置的限制,处于一种虚拟局域网之中,它们相互之间的通信就好像它们在同一个网段中一样。
2 VLAN的形成
企业在信息化过程中,局域网中的计算机数量会越来越多,把这些计算机连接起来的局域网会越来越复杂。例如,一家企业的网络结构如图1所示。
如果以太网中的计算机A需要和另一台的计算机B通信,计算机A必须先知道计算机B的MAC地址,以便在发往计算机B的数据帧中填上计算机B的MAC地址,这样双方才能正常通信。计算机A要获取计算机B的MAC地址,可以用过ARP (地址解析协议)来获得。ARP的工作原理是计算机A先发送一个“ARP请求信息(ARP Request)”给交换机,交换机1收到广播帧(ARP请求)后,会将它向交换机1除接收端口外的其他所有端口转发,这样就导致广播泛洪。接着,交换机2收到交换机1转发的广播帧后也会将它转发给交换机2的所有端口,这样交换机2也产生了广播泛洪,同样,交换机3、4、5也还会泛洪。最后的结果是计算机A发送的ARP请求会被转发到同一网络中的所有计算机上。
上述的情况显示:计算机A为了获得计算机B的MAC地址而发出了一个ARP请求,网络上的交换机都向除了接受端口的其他端口都转发了一遍这个ARP请求,导致的情况是,这个ARP请求传遍整个网络。而我们原本期望的理想情形是计算机A发送一个ARP请求,计算机B收到这个ARP请求,然后给计算机A回复一个ARP响应就可以了。可实际上,所有的计算机都收到这个ARP请求,也就是说网络上有多少台计算机,交换机就转发了多少个ARP请求。同样,网络上的其他计算机也会发送ARP请求,如此一来,整个网络会转发大量的ARP广播。这样,一方面,广播信息大量充斥在网络上,交换机需要不停转发许多没必要的ARP请求,严重消耗了网络整体的带宽;另一方面,收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理,造成了计算机CPU运算能力的大量无谓消耗。
上述的计算机网络构成了一个广播域,避免上面的广播泛洪在一个大的局域网中,我们需要把一个广播域划分为多个的更小广播域,从逻辑上把一个大的局域网划分为多个小的局域网。
划分广播域的方法主要有两种,一种是通过路由器划分,另一种是在交换机上划分广播域,这种在交换机上划分广播域的方法就是VLAN技术发展的由来。
最早的在交换机上划分VLAN的技术是在1996年由Cisco公司提出,到了1999年6月,IEEE委员会正式颁布实施了VLAN对应的技术标准IEEE 802.1Q。随着十多年的发展,VLAN技术得到广泛的支持,在大大小小的企业网络中得到广泛应用。
3 VLAN的工作原理
3.1 VLAN如何划分广播域
在二层交换机上分割广播域的技术就是VLAN技术,那么交换机是如何使用VLAN分割广播域的呢?
首先,我们知道在一台未设置任何VLAN的二层交换机上,交换机收到广播帧后,都会将它转发给除接收端口外的所有其他端口。例如,计算机A发送广播信息后,广播帧会被交换机转发给端口2、3、4 (过程如图2所示)。
我们明白了普通交换机的工作原理后,如果在交换机上划分VLAN,我们再来看看VLAN是如何影响广播帧转发的?
我们首先在交换机上配置生成VLAN1和VLAN2,将端口1和2配置属于VLAN1,端口3和4配置属于VLAN2 (如图3所示)。再从计算机A发出广播帧,交换机从端口1接受到广播帧后,就只会把它转发给同属于一个VLAN1的端口2,而不会转发给属于VLAN2的端口3和4。同样,计算机C发送广播信息到属于VLAN2的端口3时,交换机只会把广播帧转发给其他属于VLAN2的端口4,不会被转发给属于VLAN1的端口4。
就这样,交换机划分VLAN后,广播帧就只在同一个VLAN内转发,而不会在整个交换机内转发。所以,VLAN通过限制广播帧转发的范围分割了广播域。
3.2 VLAN间的通信
VLAN分割了广播域,同一Vlan内的计算机通信可以不受影响,但处于不同VLAN的计算机之间需要通信,那要怎么解决呢?
VLAN是二层协议,VLAN的虚拟或者逻辑属性决定了这些VLAN之间没有物理二层连接,只有逻辑连接,各自彼此独立,相当于一个个独立的二层交换网络一样,在不可能进行二层互访的情况下,我们只能通过三层来解决它们之间的连接问题。
我们知道一个独立的交换网络要与另一个独立交换网络进行三层连接,有两种方式:一种是通过路由,另一种是通过网关。在不同的VLAN间的逻辑连接也有这两种方式。
通过路由方式:不同的VLAN间的访问连接可以理解为两个VLAN间加了一个提供路由功能的设备,这个设备可以是路由器,它通过静态路由或各种路由协议实现,也可以是有三层交换模块的三层交换机,它通过开启IP路由功能实现。
通过网关方式:每个VLAN的那个SVI(交换机虚拟接口),就是对应VLAN成员的网关。为每个交换机虚拟接口配置好IP地址,这个IP地址就是对应VLAN成员的网关IP地址。这种通过交换机虚拟接口进行VLAN间成员互访的基本结构如图4所示,VLAN1的成员与VLAN2中的成员通信都必须通过双方作为各自VLAN成员网关的交换机虚拟接口(SVI)来进行。而每个VLAN内部的成员进行通信都必须通过双方同一个网关的交换机虚拟接口来进行。
那么,当我们来具体分析一下不同方式下VLAN间的通信。
3.2.1 使用路由器来解决VLAN间的通信
网络设备的连接如图5所示,计算机A、B属于红色VLAN1,它们的IP地址分别为192.168.1.1/24和192.168.1.2/24,网关都是192.168.1.100;计算机C、D属于蓝色VLAN2,它们的IP地址分别为192.168.2.1/24和192.168.1.2/24,网关都是192.168.1.200;路由器的两个子接口IP分别设置为192.168.1.100/24和192.168.1.200/24,路由器的MAC地址为R。
让我们来看一下通过路由器,如何让VLAN1中的计算机A与VLAN2中的计算机C之间通信?
计算机A (192.168.1.1/24)从计算机C (192.168.2.1/24)的IP地址得出,它们双方属于不同的网段,所以双方不能直接通信。因此计算机A会向设定的默认网关(192.168.1.100/24)转发数据帧。在发送数据帧之前,需要先发送ARP请求获取路由器的MAC地址,得到路由器的MAC地址R后。接下来,计算机A按图6所示发送数据帧①给交换机(此数据帧①中,目标MAC地址是路由器的地址R,目标地址仍是计算机C的IP地址)。
交换机在端口1上收到数据帧①后,检索MAC地址列表中与端口1属于同一VLAN的表项,由于汇聚链路会被看作属于所有的VLAN,所以路由器的MAC地址R属于交换机的端口6,这样交换机就知道经过端口6转发往目标MAC地址为R的数据帧①。端口6是汇聚链接,因此它接受数据帧后再发送出去会被附加上VLAN标签。端口6收到来自VLAN1的红色数据帧①,然后加上VLAN1的标签信息,变成红色数据帧②后进入汇聚链路,路由器收到数据帧②后,确认其VLAN标签信息,交由负责红色VLAN1的子接口(192.168.1.100/24)接收。接着,根据路由器内部的路由表,判断该向哪里中继。由于目标网络192.168.2.0/24是蓝色VLAN2,且该网络通过子接口与路由器直连,因此只要从负责蓝色VLAN2的子接口转发就可以了。这时,路由器将数据帧②中的目标MAC地址R改写成计算机C的MAC地址,并且由于需要再通过蓝色VLAN2的子接口转发到汇聚链路上,因此需要修改原红色VLAN1的标签信息为蓝色VLAN2的标签信息,修改后变为图中的数据帧③再转发给交换机。交换机收到数据帧③后,根据VLAN2标签信息从交换机MAC地址列表中检索属于VLAN2的表项,找到计算机C属于蓝色VLAN2,连接在交换机的端口3上且端口3为普通的访问链接,因此交换机会将数据帧③去除蓝色VLAN2的标签信息后变成数据帧④,通过端口3转发出去,最终计算机C成功地收到计算机A发来的数据帧。
属于不同VLAN的计算机双方通过路由器进行VLAN间通信时,即使它们都连接在同一台交换机上,也必须经过“发送方→交换机→路由器→交换机→接收方”这样一个流程。
3.2.2 通过三层交换机的网关进行VLAN间的通信
在三层交换机上划分VLAN,配置上网关的IP地址,也可以实现VLAN间的通信。那么,我们来看看在三层交换机划分VLAN后,不同VLAN的计算机之间是如何通信的?
假设如图7所示的4台计算机与三层交换机相连,三层交换机则是在内部生成“VLAN接口”(VLAN nterface),各项配置如图7所标。
我们同样来观察一下属于红色VLAN1的计算机A与属于蓝色VLAN2的计算机C间如何通信?
首先,计算机A通过目标IP地址可以判断出计算机C不属于同一个网络,因此会向交换机的默认网关发送数据(Frame 1)。交换机收到后,检索MAC地址列表,决定经由内部汇聚链接,将数据帧(Frame 1)转发给交换机的路由模块。在发送给路由模块前,数据帧(Frame 1)被打上属于红色VLAN1的VLAN标签信息,变成数据帧(Frame 2)。路由模块在收到数据帧(Frame 2)时,通过数据帧的VLAN标签信息分辨出它属于红色VLAN1,将它交给由红色VLAN1接口接收并进行路由处理。红色VLAN1接口将数据帧(Frame2)转发给直连路由器的蓝色VLAN2接口。蓝色VLAN2接口会数据帧(Frame 2)将经由内部汇聚链路转发回交换机的交换模块。在经过汇聚链路发送前,数据帧(Frame 2)被去掉红色VLAN1的标签信息,重新添加上蓝色VLAN2的标签信息,数据帧(Frame 2)变成数据帧(Frame 3)发给交换机的交换模块。交换模块收到这个数据帧(Frame 3)后,检索蓝色VLAN2的MAC地址列表,确认需要将它转发给端口3,由于端口3是通常的访问链接,因此交换机转发前会先将数据帧(Frame 3)的VLAN标签信息去掉,变成不含任何VLAN信息的普通数据帧(Frame 4)。最终,计算机C成功地收到交换机转发来的数据帧(Frame 4)。整个的工作流程如图8所示。
通过交换机网关的方式进行VLAN间的通信的流程,与使用外部路由器时的情况十分相似,都需要经过“发送方→交换模块→路由模块→交换模块→接收方”。
4 结语
通过使用VLAN构建局域网,用户能够不受物理链路的限制而自由地分割广播域。另外,通过先前提到的路由器与三层交换机提供的VLAN间路由,能够适应灵活多变的网络构成。但是,由于利用VLAN容易导致网络构成复杂化,因此也会造成整个网络的组成难以把握。
参考文献
[1]王达.Cisco/H3c交换机配置与管理完全手册[M].北京:中国水利水电出版社,2012.
[2]雷震甲.网络工程师教程[M].北京:清华大学出版社,2006.
VLAN之间通信技术探析 篇10
关键词:VLAN,局域网间通信
虚拟局域网(VLAN)技术是交换技术的重要组成部分,它将物理上直接相连的网络从逻辑上,划分成了多个子网,每一个VLAN对应着一个广播域或子网。物理层面它是由一组含有相同逻辑结构及需求,但与物理位置无关的主机,VLAN间相互通信时,就相当于这些主机连在了同一条线缆之上,处于不同VLAN上的主机不能直接进行通信,需要引入路由技术或多层交换技术才可以解决。本文对以上的VLAN间相互通信技术展开探究。
1. VLAN间的通信简析
VLAN是由网络按逻辑分成的各个子网,即一个VLAN对应一个子网,网关为每个VLAN生成相应的子网接口,当各子网的主机间进行通信时,通过之间的网关进行转发,以实现VLAN间的通信,物理上由VLAN间具有路由功能的设备承担。路由设备较早主要由路由器承担,现在的局域网里更多的由带有路由功能的多层交换机——三层交换机(Layer3Swicth)来实现。
2. 路由器实现的VLAN间通信技术分析
2.1 VLAN间路由器通信技术原理
VLAN间路由器通信通过添加“边界路由器”来解决。VLAN间能使用一台路由器时,产生了路由选择的问题,因为传统路由器的每个物理接口只能支持一个子网或广播域,于是当面对众多的VLAN时,传统的路由器就必须通过增加以太网接口,为每个VLAN设置一条物理连接,但路由器以太网接口有限,且价格昂贵,于是必须采用TRUNK连接方式,即在在一条物理链路上传输不同VLAN的数据。其工作过程如下:(1)路由器通过TRUNK链路接收来自各个VLAN的数据包;(2)路由器确定数据包的目的IP地址,确定目的IP地址所在的VLAN,同时使用网络的VLANISL头对数据包封装;(3)路由器把数据包通过和目的VLAN对应的接口进行发送。
2.2 VLAN间路由器通信的局限性
VLAN间路由器通信的局限性是路由器的技术特性决定的,使其无法具有很高的信息吞吐量。对此分析如下:路由器在0SI七层网络模型的第三层——网络层操作,其对于任何一个运行的数据包均须进行“拆包”和“打包”的操作,同时路由器还要完成数据包过滤和压缩、协议转换、计算路由、甚至防火墙等许多工作,这占用于大量的CPU资源。且当流经路由器的流量超过其吞吐能力时,会引起路由器内部拥塞,持续拥塞会使转发的数据包延误,甚至丢失。以上的原因限制了其吞吐量,且其价格昂贵,使其成为网络瓶颈。
因此,路由器存在:数据传输效率低;节点操作的复杂性无法降低;价格昂贵、结构复杂等局限性。
3. 多层交换机实现VLAN间通信
3.1 三层交换技术原理
三层交换(PI交换技术)是相对于传统交换概念而言的,传统的交换技术是在数据链路层(网络模型中的第二层)进行操作,而三层交换技术是在网络模型中的第三层实现数据包的高速转发。一个具有三层交换功能的设备,是一个带有第三层路由功能的第二层交换机,用基于第三层交换的VLAN技术改善局域网,它并不是简单地把路由设备的硬件及软件叠加在局域网交换机上,而是二者的有机结合。
基本的三层交换技术包括报文交换和流交换(FS),报文交换即业务流中的每一个报文都要经过第三层处理,即路由处理,并且业务流转发是基于第三层地址。流交换是分析流中的第一个数据包,以便完成路由处理并基于第三层地址转发该数据包,同时缓存该数据流的路由信息。数据流的后续数据包直接在第二层进行交换而无须第三层处理。通常VLAN间的通信,采用“流交换”技术,以实现“一次路由,多次交换”。
3.2 三层交换的实现
我们以CISCO公司的Catalyst5000/6000系列交换机为例,来探讨多层交换机对VLAN间通信的实现。该交换机包含组件如下:
(1)多层路由处理器(MLS—RP)。其相当设于网络中的路由器,负责处理每个数据流的第一个数据包,协助MLS交换引擎(MLS一SE)在第三层的CAM中建立捷径条目;
(2)多层交换的交换引擎(MLS—SE)。其是处理转发和重写数据包功能的交换实体;
(3)多层交换协议(MLSP)。它是MLS—Rp通告路由变化和VLANS参与MLS接口MAC地址的方法,运行于MLS—SE和MLS—RP之间,进行多层交换功能的启动。
多层交换机实现VLAN间通信过程如下:
第一步:发送MLSPHello信息
多层路由处理器每15秒发送一个MLSPHello包,包内含VLAN标识和MAC地址信息。MLS—SE通过以上信息掌握到路由器的第二层属性。Hello包是周期性发送的,可以保证相关值动态地跟踪网络的变化和实现一定的淘汰机制
第二步:标识候选包
MLS—SE对进入交换机的数据包进行匹配判断,如果MLS缓存中含有与之匹配的捷径条目,则MLS—SE就旁路路由器而直接转发该数据包;若MLS中不含与该数据包相匹配的捷径条目,则MLS—SE将它归为候选包,并在缓存中建立部分捷径。数据包采用传统的第二层交换机处理方式处理,并发往与之相连的路由器接口(网关)。候选包(帧)须满足:目标地址经过MLSP所列的路由器接口的一个MAC地址和不存在捷径条目。
第三步:标识使能包
路由器将数据包从交换机的某个接口转出,并将包封装为VLANZ帧通过ISL链路送回。此时,路由器已经重写第二层帧的帧头。同时,路由器不仅改写了ISL头的VLAN号,而且也修改了两个MAC地址域:源MAC改为路由器出口的MAC地址,目标MAC改为目标主机的MAC地址。这个修改后的数据包称为使能包。
使能包到达交换机交换引擎后,交换引擎根据使能包上目的地MAC地址,知道其往哪个接口转发出去,同时MLS—SE会建立一个捷径条目,该条目含该使能包的第四层协议类型,应用端口源目标IP地址,目标MAC地址,VLANID号,以及到达目的VLAN的交换机端口号等重写数据流中的后续包帧头所需的所有信息
第四步,交换(转发)数据流中的后续包
当后续的数据包送出后,MLS一SE利用数据包中的目标IP地址查找在第三步建立的完整捷径。地址匹配后,MLS一SE利用重写引擎修改帧头信息,然后直接转发给目的主机,而不发给路由器MLS一RP,从而实现了对后续数据包的第二层交换。
4. 结语
虚拟局域网(VLAN)间通信技术由传统路由器向三层交换技术大规模转换,三层交换技术解决了局域网中网段划分之后,网段中的子网必须依赖路由器进行管理的局面;解决了传统路由器低速、复杂所造成的网络瓶颈问题。为VLAN技术的发展和应用创造出更为广阔的空间,两种技术相互结合能为用户提供更优质、廉价的网络服务。
参考文献
[1]仇剑锋, 基于VLAN和三层交换的企业网络安全策略研究.中南大学学位论文, 2007.
Vlan 篇11
关键词:VLAN 体系结构 校园网 网络管理
近些年来,随着计算机技术的迅猛发展,网络硬件的性能得到提高,成本也逐步降低。目前的校园网基本都采用了性能先进的千兆网技术,核心交换机采用三层交换机,它能很好地支持虚拟局域网(VLAN)技术,这对校园网的高速可靠运行起到了非常重要的作用。
同时,随着校园网内计算机、交换机等设备的大量增加,网络数据流量骤然增大,特别是 “网络风暴”和IP的冲突导致校园网络瘫痪,极大地影响了校园网的正常运行。校园网有访问方式多、用户群庞大、网络行为突发性高的特点。为了保证校园网的正常运行和安全,本文针对校园网的特点和传统局域网的缺陷,重点剖析了基于VLAN技术构建安全校园网络的应用。
一、VLAN技术概述
VLAN(Virtual Local Area Network)也就是虚拟局域网,是一种建立在交换技术基础之上的,通过将局域网内的机器设备逻辑地而不是物理地划分成一个个不同的网段,以软件方式实现逻辑工作组的划分与管理的技术。VLAN的作用是使得同一VLAN中的成员间能够互相通信,而不同VLAN之间则是相互隔离的,不同的VLAN如果要通信需要通过必要的路由设备。
二、VLAN的优点
1.增加了网络连接的灵活性
VLAN技术能将不同地点、不同网络、不同用户组合起来,形成一个虚拟的网络环境,就像使用本地网络一样方便、灵活和有效。采用基于MAC,用户的实际地址VLAN技术用户则可不做任何修改,在网上的任意位置都可上网,因为VLAN成员不是捆绑在某固定工作站上的;反过来,位置不发生改变却变更了部门,网络管理员也可以通过改变VLAN成员的方式让用户与VLAN的逻辑关系发生改变。
2.可以控制网络上的广播
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋予某一个特定的VLAN,该VLAN中的多台计算机可以连接在一个交换机上,也可以是跨接在多个交换机上。一个VLAN中的广播不会被传送到另一个VLAN中,从而有效地减少了广播风暴对校园网络的影响。
3.加强了网络的安全性
在局域网中应用VLAN技术可以把互相通信比较频繁的用户划分到同一个VLAN中,这样在同一个工作组中的信息传输只在同一个组内广播,从而减轻了因广播包被截获而引起的信息泄露带来的影响,增强了网络的安全性。
4.网络管理简单、直观
在应用VLAN技术后网络管理员就可以轻松地管理网络,例如学校的各个部门在物理上并不处在同一个位置,在不同的教学楼和办公楼,但是应用了VLAN技术网络管理员就可以在应用了几条指令的同时完成设备在不同物理位置上的相同工作组的配置。
利用VLAN技术,大大减轻了网络管理和维护工作的负担,降低了网络维护成本。在一个交换网络中,VLAN提供了很好的网段和机构的弹性组合机制。
三、VLAN的划分方法
根据VLAN在交换机上的实现方式,VLAN分为静态VLAN和动态VLAN两类,动态VLAN又可以分为三种
类型。
1.基于端口的静态VLAN
这是最早的VLAN类型,也是最简单的VLAN,大多数VLAN协议的交换机都提供这种VLAN配置方法。这种基于端口的划分方法的优点是定义VLAN成员非常简单,适合于任何大小的网络,它的缺点是VLAN的定义依赖于交换机的物理端口。
2.基于MAC地址的VLAN
这种方法是根据每个主机的MAC地址来划分VLAN。这种VLAN划分方法的最大优点就是当用户物理位置变动时,交换机会自动查出该端口,并正确指定端口所属的VLAN。这种方法的缺点是初始化时,所有的用户MAC地址都必须进行配置,如果有大量用户的话,定义和维护VLAN较繁琐。所以这种划分方法通常适用于小型局域网。
3.基于网络地址的VLAN
基于网络地址的VLAN是按照交换机连接的网络站点的网络层地址划分VLAN,从而确定交换机端口所属的广播域。其主要缺点在于效率要比基于第二层的VLAN差,因为查看三层IP地址比查看MAC地址所消耗的时间多。在校园网中,基于端口的VLAN比较适合于台式机等固定用户,而对于使用笔记本电脑的移动用户(如教师),基于IP子网的VLAN则具备更好的应用灵活性和简便性。
4.基于用户的VLAN
按用户定义、非用户授权划分VLAN是为了适应特别的VLAN网络。这种划分方法是根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可以加入一个VLAN。
四、VLAN技术在校园网中的应用
1.笔者学校校园网概况
以笔者学校为例,在主校区,校园网以设在综合楼的校园网网络中心为核心,覆盖综合楼办公室在内的其他行政部门,如实习工厂等。采用CISCO 3560 24PS三层交换机作为核心交换机,在其他楼及需要配置网络的场所则配置上二级交换机,以能支持100MBPS、支持VLAN的交换机为主,再连接到各个工作站。核心交换机通过路由连接Internet。从而实现各局域网之间信息的互通,数据的共享,教学上的各种需要以及对外上网。
学校网络的整个范围限制分为内网和外网。从网络安全级别的角度考虑又可将内网分为两大部分:第一部分为重点信息安全保护区,即校园网的重要应用服务器群和重要部门的网络设备和用户;第二部分为普通信息安全区,外网即为校园外部网络区域,也就是与校园网相连的各种专线信息网和Internet。
2.校园网系统规划
根据校园网的具体情况,考虑到网络资源的有限性,为了控制处理校园网的所有信息流量以有效地利用校园网的每一份资源,以及提供良好的安全性,必然要对整个校园网络实现更加方便高效的管理。根据学校具体建筑物分布情况和各部门所处位置,在各栋楼之间都要各自设置最少一个VLAN,以当前情况来看,共需设置5个,VLAN10,……VLAN50,VLAN1为交换机出厂时设置,不可更改,不可删除,只需配置上适当的网络地址,就可以让其他的二级交换机围绕核心交换机来进行互通。如果以后需要继续扩大内部网的规模,在硬件能够拓展的范围内,只需要继续设置相应的VLAN即可。
3.VLAN在校园网中的规划和设置
在整个网络系统集成之前,分配IP地址是很重要的一个环节。可将设备的管理IP地址分配为所在VLAN中的某个地址,为了便于管理,可将内部各子网的网关地址统一设为X.X.X.1,这样只要定义好所属的各网段,就能通过网关连接到核心交换机。
(1)创建VLAN。首先,必须先建立一个VTP管理域,以使它能管理网络上当前的VLAN。在同一管理域中的交换机共享它们的VLAN信息,并且,一个交换机只能参加到一个VTP管理域,不同域中的交换机不能共享VTP信息。
(2)添加VLAN的端口。在划分VLAN时,名称VLAN1为默认,端口也是默认的。所以在交换机划分VLAN端口时,剩余的端口均默认划分到VLAN1中。将端口1,8-24划分为VLAN1,其余端口分别划给VLAN10-VLAN50。
(3)添加VLAN IP地址。将各VLAN口与相对应的IP地址一一配置好。再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址,并且把默认网关设置为该VLAN的接口地址。这样,所有的VLAN也可以互访了。
五、小结
VLAN技术为局域网的建设提供了高度的灵活性和可靠的网络安全管理手段,显示出独特的优点。随着VLAN技术和三层交换技术的发展,必将把局域网的发展带入一个新的阶段。由于校园网络的VLAN划分是作为一个整体结构来设计的,所以为了保持校园网络的高速、畅通、安全,应尽量选择同一个品牌或品牌不同但配合使用起来协调性较好的设备。VLAN技术在校园网内的应用,不但使得校园网络更加安全、快速,并且也减轻了网络管理员的工作负担,保证了各个部门不同的要求和信息的安全,因此,VLAN技术应用在学校局域网内是明智之举。
参考文献 :
[1]王玉慧.VLAN技术的应用[J].中国水运,2004(12).
[2]朱立科.校园网VLAN的划分与通信[N].青岛远洋船员学院学报,2006:72-74.
[3]廖常武,汪刚.校园网组建[M].北京:清华大学出版社,2005.
[4]王达.网管员必读——网络基础[M].北京:电子工业出版社,2004.
[5]曾明,李建军.网络技术精要——建网管网500问[M].北京:电子工业出版社,2003.
(作者单位:汕头市高级技工学校)
社区网VLAN规划与实现 篇12
随着光进铜退、社区网进油区等项目的开展,社区网逐渐呈现出3个比较明显的特点:第一是接入方式多,包括使用以太网交换机、ADSL MODEM、ONU接入。第二是认证方式多,包括PPPOE拨号+RADIUS认证(大部分社区普通用户)认证的方式、IPOE+RADIUS认证(手机、IPAD等终端)、专线静态(办公用户)、专线动态(宾馆、酒店)。第三是多业务综合承载,数据业务、IPTV业务、P2P视频点播、包括其他增值业务等在一张IP网上承载。这给传统的宽带业务网络部署及维护模式带来了极大的挑战。为了有效利用网络资源,网络数据的统一规划、统一部署,精确进行业务和用户识别,就显得尤为重要。
1VLAN规划重要性
油田互联网横跨陕甘宁蒙4省区,覆盖主要作业区及生活基地,作为整个油田的计算机主干网络,服务于油田的主业及从续企业。在早期单业务时代,油田所有办公用户及住宅用户的网络由一张网络提供,网络架构简单,用户数量少,为了快速及方便地为用户开通网络业务,很多用户都分配在同一个VLAN内。而随着用户规模的增加、网络中病毒的泛滥、用户间相互干扰等问题的层出不穷,使增值业务难以开通。账号盗用、账号漫游和资费流失等现象也经常出现。因此,在2009年对计算机主干网进行了改造,将社区网与办公网进行物理分离。
而VLAN作为用户或业务标识的地位已经得到认可。从业务安全性的需要出发,好的VLAN规划可以实现业务的精细化管理,特别是针对互联网业务,可以有效地隔离用户,防止用户间相互影响。同时,防止账号盗用、账号漫游,以及资费流失,也便于对用户进行行为审计等安全操作。从业务质量保证的需要,通过VLAN规划将不同业务分在不同VLAN内,便于网络设备进行Qo S标记,从而在网络传输中保证高优先级业务(如IP语音、STB业务)的质量,提高用户体验,增加对用户的运营粘性。
2VLAN规划与实现
2.1 基本思路
为避免出现资源使用冲突和浪费,VLAN资源应统一管理、统一分配,VLAN数据的部署应遵循实施简单、查询方便、迁移容易的原则。此次规划部署模式为PUPSPV+PSPV,具体方案如下:普通上网业务属于公众业务,本身存在的不安全因素较多,需要实现严格的隔离,使用精细化PUPSPV方式规划部署;IPTV、物业管理等业务其应用终端专用性较强,属于有安全保障的业务,使用PSPV模式,即在一定区域(比如一栋楼)内同一业务使用同一VLAN承载。
2.2 解决方案
由于社区网BAS下挂二层网络包含用户数量众多,网络庞大,完全部署PUPSPV的方式需要结合灵活的QINQ技术使用内、外两层标签来对用户进行定位和识别。下面以EPON网络为例提出以下解决方案(表1)。
用户侧VLAN规划:
用户侧VLAN ID的规划以每PON口为基本单位,其他业务VLAN ID由网络侧VLAN ID分配。不同PON口的PPPOE内层VLAN ID资源可以重复使用。为规避在配置时可能出现的冲突,内层VLAN ID的范围为1 001-2 000,分配序列为从前到后。所有内层VLAN的分配都按照每PON口下每路分光下挂满配的ONU来一次分配。以ONU最大支持24个FE口,第n个ONU对应的VLAN范围:1 001+24×n~1 001+24×(n+1)-1。
3结 语
【Vlan】推荐阅读: