VLAN全名為“Virtual LAN”,中文意思為“虛擬區域網路”,是連接到的第二層交換器連接埠的網路使用者的邏輯分段,不受網路使用者的實體位置限製而根據用戶需求進行網路分段。 VLAN可以根據網路使用者的位置、角色、部門或根據網路使用者所使用的應用程式和協定來進行分組。基於交換器的虛擬區域網路能夠為區域網路解決衝突域、廣播域、頻寬問題。
本教學操作環境:windows7系統、Dell G3電腦。
什麼是VLAN?
VLAN(Virtual LAN),翻譯成中文是“虛擬區域網路”,是連接到的第二層交換器連接埠的網路使用者的邏輯分段,不受網路使用者的實體位置限製而根據使用者需求進行網路分段。一個VLAN可以在一個交換器或跨交換器實現。 VLAN可以根據網路使用者的位置、角色、部門或根據網路使用者所使用的應用程式和協定來進行分組。基於交換器的虛擬區域網路能夠為區域網路解決衝突域、廣播域、頻寬問題。
傳統的共享媒體的乙太網路和交換式的乙太網路中,所有的使用者在同一個廣播域中,會造成網路效能的下降,浪費可貴的頻寬;而且對廣播風暴的控制和網路安全只能在第三層的路由器上實現。
VLAN相當於OSI參考模型的第二層的廣播域,能夠將廣播風暴控制在一個VLAN內部,劃分VLAN後,由於廣播域的縮小,網路中廣播封包消耗頻寬所佔的比例大大降低,網路的效能得到顯著的提升。不同的VLAN之間的資料傳輸是透過第三層(網路層)的路由來實現的,因此使用VLAN技術,結合資料鏈結層和網路層的交換設備可建立安全可靠的網路。網路管理員透過控制交換器的每個連接埠來控製網路使用者對網路資源的訪問,同時VLAN和第三層第四層的交換結合使用能夠為網路提供較好的安全措施。
另外,VLAN具有靈活性和可擴張性等特點,方便於網路維護和管理,這兩個特點正是現代區域網路設計必須實現的兩個基本目標,在區域網路中有效利用虛擬區域網技術能夠提高網路運作效率。
優點
限制網路上的廣播,將網路劃分為多個VLAN可減少參與廣播風暴的設備數量。 VLAN分段可以防止廣播風暴波及整個網路。 VLAN可以提供建立防火牆的機制,防止交換網路的過量廣播。使用VLAN,可以將某個交換埠或使用者賦予某一個特定的VLAN群組,該VLAN群組可以在一個交換網路或跨接多個交換機,在一個VLAN中的廣播不會送到VLAN之外。同樣,相鄰的連接埠不會收到其他VLAN產生的廣播。這樣可以減少廣播流量,釋放頻寬給用戶應用,減少廣播的產生。
增強區域網路的安全性'含有敏感資料的使用者群組可與網路的其餘部分隔離,從而降低洩漏機密資訊的可能性。不同VLAN內的封包在傳輸時是互相隔離的,也就是一個VLAN內的使用者不能和其他VLAN內的使用者直接通信,如果不同VLAN要進行通信,則需要透過路由器或三層交換器等三層設備。
#成本高昂的網路升級需求減少,現有頻寬和上行鏈路的利用率更高,因而可節省成本。
#將第二層平面網路分割成多個邏輯工作組(廣播域)可以減少網路上不必要的流量並提高效能。
#VLAN為網路管理帶來了方便,因為有相似網路需求的用戶將共享同一個VLAN。
#VLAN將使用者和網路設備聚合在一起,以支援商業需求或地域上的需求。透過職能劃分,專案管理或特殊應用的處理都變得十分方便,例如可以輕鬆管理教師的電子教學開發平台。此外,也很容易確定升級網路服務的影響範圍。
借助VLAN技術,能將不同地點、不同網路、不同使用者組合在一起,形成一個虛擬的網路環境,就像使用本地VLAN一樣方便、靈活、有效。 VLAN可以降低行動或變更工作站地理位置的管理費用,特別是一些業務狀況有經常性變動的公司使用了VLAN後,這部分管理費用大大降低。
劃分依據
以連接埠分割VLAN
許多VLAN廠商都利用交換器的端口來劃分VLAN成員。被設定的連接埠都在同一個廣播域中。例如,一個交換器的1,2,3,4,5埠被定義為虛擬網路AAA,同一交換器的6,7,8埠組成虛擬網路BBB。這樣做允許各端口之間的通訊,並允許共享型網路的升級。但是,這種劃分模式將虛擬網路限制在了一台交換器上。
第二代埠VLAN技術允許跨越多個交換器的多個不同連接埠分割VLAN,不同交換器上的若干個連接埠可以組成同一個虛擬網路。
以交換器連接埠來分割網路成員,其設定過程簡單明了。因此,從目前來看,這種根據連接埠來劃分VLAN的方式仍然是最常用的一種方式。
以MAC位址劃分VLAN
這種劃分VLAN的方法是根據每個主機的MAC位址來劃分,也就是對每個MAC位址的主機都配置它屬於哪一組。這種劃分VLAN方法的最大優點就是當用戶實體位置移動時,也就是從一個交換器換到其他的交換器時,VLAN不用重新配置,所以,可以認為這種根據MAC位址的劃分方法是基於用戶的VLAN,這種方法的缺點是初始化時,所有的使用者都必須進行配置,如果有幾百個甚至上千個使用者的話,配置是非常累的。而且這種劃分的方法也導致了交換器執行效率的降低,因為在每個交換器的連接埠都可能存在很多個VLAN群組的成員,這樣就無法限制廣播包了。另外,對於使用筆記型電腦的使用者來說,他們的網路卡可能經常更換,這樣,VLAN必須不停地設定。
按網路層劃分
這種劃分VLAN的方法是根據每個主機的網路層位址或協定類型(如果支援多重協定)劃分的,雖然這種劃分方法是根據網路位址,例如IP位址,但它不是路由,與網路層的路由毫無關係。
這種方法的優點是使用者的實體位置改變了,不需要重新配置所屬的VLAN,而且可以根據協定類型來劃分VLAN,這對網路管理者來說很重要,還有,這種方法不需要附加的訊框標籤來識別VLAN,這樣可以減少網路的通訊量。
這種方法的缺點是效率低,因為檢查每一個封包的網路層位址是需要消耗處理時間的(相對於前面兩種方法),一般的交換器晶片都可以自動檢查網路上資料包的乙太網路幀頭,但要讓晶片能檢查IP幀頭,需要更高的技術,同時也更費時。當然,這與各個廠商的實作方法有關。
以IP群播分割
IP群播其實也是一種VLAN的定義,也就是認為一個群播群組就是一個VLAN,這種分割的方法將VLAN擴大到了廣域網,因此這種方法具有更大的靈活性,而且也很容易透過路由器進行擴展,當然這種方法不適合區域網,主要是效率不高。
基於規則的VLAN
也稱為基於政策的VLAN。這是最靈活的VLAN劃分方法,具有自動配置的能力,能夠把相關的使用者連成一體,在邏輯劃分上稱為「關係網絡」。網路管理員只需在網管軟體中確定劃分VLAN的規則(或屬性),那麼當一個站點加入網路時,將會被“感知”,並被自動地包含在正確的VLAN中。同時,對站點的移動和改變也可自動識別和追蹤。
採用這種方法,整個網路可以非常方便地透過路由器擴展網路規模。有的產品也支援一個連接埠上的主機分別屬於不同的VLAN,這在交換器與共享式Hub共存的環境中顯得特別重要。自動設定VLAN時,交換器中軟體會自動檢查進入交換器連接埠的廣播訊息的IP來源位址,然後軟體自動將這個連接埠指派給由IP子網路對應成的VLAN。
以使用者定義、非使用者授權劃分
基於使用者定義、非使用者授權來劃分VLAN,是指為了適應特別的VLAN網絡,根據具體的網絡使用者的特別要求來定義和設計VLAN,而且可以讓非VLAN群體使用者存取VLAN,但需要提供使用者密碼,並且在得到VLAN管理的認證後才可以加入一個VLAN。
以上劃分VLAN的方式中,以連接埠為基礎的VLAN連接埠方式建立在實體層上;MAC方式建立在資料鏈結層上;網路層和IP廣播方式建立在第三層上。
更多相關知識,請造訪常見問題欄位!
以上是什麼是vlan的詳細內容。更多資訊請關注PHP中文網其他相關文章!
