虚拟局域网(Virtual Local Area Network或简写VLAN, V-LAN)是一种建构于局域网交换技术(LAN Switch)的网络管理的技术,网管人员可以借此通过控制交换机有效分派出入局域网的数据包到正确的出入端口,达到对不同实体局域网中的设备进行逻辑分群(Grouping)管理,并降低局域网内大量数据流通时,因无用数据包过多导致雍塞的问题,以及提升局域网的信息安全保障。
为实现交换机以太网的广播隔离,一种理想的解决方案就是采用虚拟局域网技术。这种对连接到第2层交换机端口的网络用户的逻辑分段技术实现非常灵活,它可以不受用户物理位置限制,根据用户需求进行VLAN划分;可在一个交换机上实现,也可跨交换机实现;可以根据网络用户的位置、作用、部门或根据使用的应用程序、上层协议或者以太网连接端口硬件地址来进行划分。
一个VLAN相当于OSI模型第2层的广播域,它能将广播控制在一个VLAN内部。而不同 VLAN 之间或 VLAN 与 LAN / WAN 的数据通信必须通过第3层(网络层)完成。否则,即便是同一交换机上的连接端口,假如它们不处于同一个VLAN,正常情况下也无法进行数据通信,特例是由于某著名厂商生产的交换机带有VLAN穿越漏洞,外来数据包以广播进到该交换机时,它仍然会流入所有连至交换机上的电脑,而导致信息可能外泄的潜藏风险。
为了解决上述信息安全议题,1995年IEEE 802委员会发表了 802.1Q VLAN 技术的实现标准与讯框结构,希望能通过设置逻辑地址(TPID、TCI),对实体局域网区隔成独立虚拟网段,以规范数据包广播时的最大范围。
VLAN可以为网络提供以下作用:
限制网络上的广播,将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
VLAN的运作原理与实现方式
1.物理层(physical layer)
直接以交换机上的端口做为划分 VLAN 的基础。这个方式的优点是简单与直观,因此,运用这种设置 VLAN 的情况十分普遍。但因为是实体层的设置,所以比较适合在规模不大的组织。
2.数据链路层(data link layer)
以每台主机的 MAC地址做为划分 VLAN 的基础。方法是先创建一个比较复杂的数据库,通常为某网络设备的MAC地址与VLAN的映射关系数据库。当该网络设备连接到端口后,交换机会向VMPS(VLAN管理策略服务器)来请求这个数据库。找到相应映射关系,完成端口到VLAN的分配。这个方式的优点是即使电脑在实体上的位置不同,也不影响 VLAN的运作。但缺点是网管人员必须在交换机中设置组织内每一台设备MAC地址与 VLAN 间的映射关系数据库。因此,这种设置策略的管理复杂度会随着越来越多的设备、与实体位置的群落、和不同工作任务需要而增加。
3.网络层(network layer)
以每台设备的IP地址做为划分 VLAN 的基础,以子网视为 VLAN 设置的依据。
这个方式的优点是当网管人员已经将内部网段做好规划与分配的情况下,将可大辐降低网管人员规划并设置 VLANs
iis7站长之家的复杂度。但缺点是原本传统交换机不需要对讯框作任何处理,但在这个机制下,交换机不但必须剖析讯框,还必须进一步取出 Source IP与 Destination IP进行比对,连带降低交换机接收与分派数据包的效率。
VLAN之间的通信的4种方式
(1)MAC地址静态登记方式。MAC地址静态登记方式是预先在VLAN交换机中设置好一张地址列表,这张表含有工作站的MAC地址JLAN交换机的端口号、VLANID等信息,当工作站第一次在网络上发广播包时,交换机就将这张表的内容一一对应起来,并对其他交换机广播。这种方式的缺点在于,网络管理员要不断修改和维护MAC地址静态条目列表;且大量的MAC地址静态条目列表的广播信息易导致主干网络拥塞。
(2)帧标签方式。帧标签方式采用的是标签(tag)技术,即在每个数据包都加上一个标签,用来标明数据包属于哪个VLAN,这样,VLAN交换机就能够将来自不同VLAN的数据流复用到相同的VLAN交换机上。这种方式存在一个问题,即每个数据包加上标签,使得网络的负载也相应增加了。
(3)虚连接方式。网络用户A和B第一次通信时,发送地址解析(ARP)广播包,VLAN交换机将学习到的MAC和所连接的VLAN交换机的端口号保存到动态条目MAC地址列表中,当A和B有数据要传时,VLAN交换机从其端口收到的数据包中识别出目的MAC地址,查动态条目MAC地址列表,得到目的站点所在的VLAN交换机端口,这样两个端口间就建立起一条虚连接,数据包就可从源端口转发到目的端口。数据包一旦转发完毕,虚连接即被撤销。这种方式使带宽资源得到了很好利用,提高了VLAN交换机效率。
(4)路由方式。在按IP划分的VLAN中,很容易实现路由,即将交换功能和路由功能融合在VLAN交换机中。这种方式既达到了作为VLAN控制广播风暴的最基本目的,又不需要外接路由器。但这种方式对VLAN成员之间的通信速度不是很理想。
