虛擬區域網VLAN
虛擬區域網
虛擬區域網是區域網向用戶提供的一種服務,虛擬區域網是使用者和區域網資源的一種邏輯組合,而交換式區域網技術是實現虛擬區域網的基礎。
一.虛擬區域網的基本概念
虛擬區域網(virtual LAN=VLAN)建立在交換技術的基礎上。如果將區域網中的節點按工作性質和需要劃分生成若干個“邏輯工作組”,則一個邏輯工作組就是一組網路。
傳統的區域網中的工作組通常在同一個網段上,多個工作組之間通過實現互聯的網橋或者路由器來交換資料。當一個邏輯工作組的結點要轉移到另一個邏輯工作組時,就需要將結點計算機從一個網段撤出,並將其連線到另外一個網段上,這時甚至需要重新進行佈線。因此,邏輯工作組的組成受結點所在網段的物理位置限制。
虛擬區域網是建立在乙太網交換機的基礎之上的,它以軟體的方式來實現邏輯工作組的劃分與管理,邏輯工作組中的結點組成不受物理位置的限制。同一個邏輯工作組的成員不一定連線在同一個網段上,他們可以連線在同一個乙太網交換機上,也可以連線在不同的乙太網交換機上,只要這些交換機之間實現互聯就可以。當一個結點從一個邏輯工作組轉移到另外一個邏輯工作組的話,只要用軟體的方式實現邏輯工作組的劃分與管理,這樣就不需要改變它在區域網網路中的物理位置。同一個邏輯工作組的結點可以分佈在不同的物理橋段上,但它們之間的通訊就像是在同一個網段之上。因此,VLAN是通過軟體的方法,邏輯地而不是物理地將結點劃分在一個個網段。IEEE於1999年公佈了關於VLAN的802.1Q標準。
虛擬區域網限制了接收廣播資訊的工作站數,從而可以避免廣播風暴的發生。
如果不同的VLAN之間要彼此通訊,這時必須要經過路由器(或者三層交換機)為VLAN之間做路由。這是因為路由器是工作在三層的裝置,它不管資料幀從哪一個VLAN來的,它只是按照資料包中IP包頭裡封裝的源IP地址和目的IP地址為資料包進行路由,這樣資料包便可到達交換機1,由交換機1負責把資料包轉發給工作站B1。所以虛擬區域網之間的路由就是子網間的路由。因此,一個虛擬區域網對應一個廣播域,對應一個邏輯子網。
二:虛擬區域網的分類
- 靜態VLAN
靜態VLAN也被稱為
Cisco的交換機上都有一個預設的VLAN,即VLAN1,這個VLAN也是Cisco交換機的管理VLAN。很多管理資訊都是經過這個VLAN資訊傳遞的。。一臺交換機如果還沒有進行配置,那麼交換機上的所有埠都預設屬於VLAN1。VLAN1是不能被刪除的。在配置交換機的時候,可以把埠從這個VLAN中轉配到其他VLAN中.
靜態VLAN可以被安全,簡單的配置。但是,靜態VLAN的缺點是:當用戶從一個埠移動到另一個埠時,網路管理員必須對區域網重新進行配置。
- 動態VLAN
動態VLAN(VLAN)是通過使用網管軟體分配主機的MAC地址的方式建立VLAN的。使用動態VLAN的使用者建立VALN是基於MAC地址的。當一個工作站連線到交換機上時,它會詢問資料庫它屬於哪一個VLAN,而網管軟體會根據主機的MAC地址將它分配到相應的VLAN中。
動態VLAN的優點是:由於工作站的MAC地址是與硬體相關的地址,因此它允許工作站移動到網路中的其他物理網段。由於工作站的MAC地址不會發生改變,因此工作站將自動保持它在VLAN中的地位。但是由於這種方式需要一定的網管軟體,因此增加了網路建設的成本,所以一般在很大規模網路中才會使用動態VLAN,小規模的網路還是使用靜態VLAN比較划算。
- 基於協議的VLAN
基於協議的VLAN是根據子網的不同來劃分VLAN的,工作方式上類似動態VLAN,只不過是基於邏輯地址(如IP地址的)。
由於在實施DHCP的網路中使用該類VLAN有問題,因此基於協議的VLAN很少使用。
三:幹道和VTP
幹道(Trunk)是VLAN在交換機之間通訊所採用的技術,同時它也是交換機與路由器之間實現VLAN間路由的技術。
交換機之間沒有采用幹道協議的話,那麼交換機的埠資源就會被過多的佔用。幹道技術正是為了解決這一個問題而提出的,它可以繫結多條虛擬鏈路在一條實際的物理量線路上,以允許交換機之間的多個VLAN之間可以傳遞資料流量。
幹道可以在一條物理線路上讓來自多個VLAN的資料通過,不過交換機是如何識別這些從一個埠來的多個VLAN幀呢?這就需要標記的概念了。
為了實現在一條單一的物理線路上傳遞多個VLAN的資料幀的目的,每一個通過幹道的資料幀都要被標記上VLAN ID,以使接收這個資料幀的交換機知道這個資料幀是由屬於哪一個VLAN的主機發出的。
802.1Q是IEEE制定的幹道標記標準,它會在資料幀準備通過幹道時候,在資料幀頭插入4B的VLAN標記(Tag)以標識資料幀來自哪個VLAN。
VLAN標記欄位的長度為4B,插入在乙太網MAC幀的源地址欄位和型別欄位之間,VLAN標記的前兩個位元組總是設定為0X8100,稱為IEEE的802.1Q標記型別。當資料鏈路層檢測到MAC幀的源地址欄位之後的兩個位元組的長度的值是0X8100時,就知道現在插入了4B的VLAN標記,於是就接著檢查後面2B的內容。在後面兩個位元組中,前3位是使用者優先順序欄位,接著的一位是規範格式指示符,最後的12位是該虛擬區域網VLAN識別符號VID(VLAN ID),它唯一地標識了這個乙太網是屬於哪一個VLAN。
由於用於VLAN的乙太網幀的首部增加了4B,因此,乙太網的最大長度從原來的1518B(1500B的資料加上18B的首部和尾部)變為了1522B。
由於VLAN在整個交換網路中是統一的,因此可以完全的在一臺交換機上配置好VLAN以後,用某種方法使得其他交換機自動地學習到這些VLAN的配置,然後再由交換機所在地的許可權比較低的管理員把交換機的埠分配到這些被學習到的VLAN中去。這種交換機自動學習VLAN配置的方法,就是VLAN幹道協議(VTP)。
VTP一般應用在網路規模比較大,交換機管理比較分散的時候,這樣可以簡化管理員的操作。一個VTP域由一臺或多臺互聯的共享同一個VTP域名稱的裝置組成,一臺交換機只能屬於一個VTP域。在一個VTP域中一個重要的概念,就是交換機的模式,它決定著交換機能不能建立VLAN以及共享VLAN資訊。
交換機有3種VTP模式,即伺服器模式(Server Mode),客戶端模式(Client Mode),和透明模式(Transparent Mode)。
- 伺服器模式
伺服器模式的交換機可以新增,修改,刪除VLAN及修改VLAN的引數,它的作用將影響整個VTP域。伺服器模式交換機會對VLAN操作進行儲存,同時向自己所連線的所有幹道鏈路傳送VTP資訊,在整個VTP域通告這些對VLAN的操作。
伺服器模式的交換機也會偵聽網路中的VTP資訊,一旦有對於VLAN的新的改動發生(在其他的伺服器模式的交換機所做的改動),該交換機也會同步該變化,即更新自己維護的VLAN資訊,同時轉發表示該變化的VTP資訊。在一個VTP域中,伺服器模式的交換機可以有多臺,並且交換機的模式一般為伺服器模式。一般地,一個VTP域內整個網路中設定一個VTP伺服器。一個網路須建立一個VTP域,一個交換機只能參加一個VTP域,域內的每個交換機必須使用相同的域名。
一個新的交換機啟動後,預設設定為VLAN1.
- 客戶端模式
客戶端模式的交換機不能新增,修改,刪除VLAN及修改VLAN的引數,他只能學習伺服器模式的交換機對VTP域中的VLAN的新增,修改,刪除資訊,並且把該資訊向自己所有的幹道鏈路傳送,管理員可以在客戶端模式的交換機上把埠分配在給學習到的VLAN,並且一般把網路中分散的無法集中管理的交換機配置成客戶端模式,以免有人惡意修改VLAN資訊造成整個VTP域中VTP資訊的混亂。
在伺服器模式或客戶端模式下VTP資訊宣告每5分鐘進行一次。
- 透明模式
透明模式的交換機也可以新增,修改,刪除VLAN及修改VLAN的引數,但是它不會把這些資訊向VTP域中其他交換機轉發,透明模式的交換機可以轉發從其他的交換機發送的VTP資訊,使得整個VTP域的VLAN資訊可以經過它向其他的交換機進行傳遞,但是這種透明的模式的交換機本身不會學習整個VTP域的VLAN資訊,他不會使自己維護的VLAN資訊與整個VTP域的VLAN資訊同步。
VLAN的優點
VLAN的優點主要體現在如下幾個方面
- 方便網路使用者進行管理。
- 提供更好的安全性。
- 改善網路的服務質量。