交換機VLAN是按照通訊兩端傳輸資訊的需要,用人工或裝置自動完成的方法,把要傳輸的資訊送到符合要求的相應路由上的技術的統稱,下文僅供大家學習瞭解。
交換機VLAN(VirtualLocal Area Network)的中文名為"虛擬區域網",注意不是"VPN"(虛擬專用網)。VLAN是一種將區域網裝置從邏輯上劃分(注意,不是從物理上劃分)成一個個網段,從而實現虛擬工作組的新興資料交換技術。
這一新興技術主要應用於交換機和路由器中,但主流應用還是在交換機之中。但又不是所有交換機都具有此功能,只有VLAN協議的第三層以上交換機才具有此功能,這一點可以檢視相應交換機的說明書即可得知。
IEEE於1999年頒佈了用以標準化VLAN實現方案的802.1Q協議標準草案。VLAN技術的出現,使得管理員根據實際應用需求,把同一物理區域網內的不同使用者邏輯地劃分成不同的廣播域,每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。
由於它是從邏輯上劃分,而不是從物理上劃分,所以同一個VLAN內的各個工作站沒有限制在同一個物理範圍中,即這些工作站可以在不同物理LAN網段。由VLAN的特點可知,一個交換機VLAN內部的廣播和單播流量都不會轉發到其他VLAN中,從而有助於控制流量、減少裝置投資、簡化網路管理、提高網路的安全性。
交換技術的發展,也加快了新的交換技術(VLAN)的應用速度。通過將企業網路劃分為虛擬網路VLAN網段,可以強化網路管理和網路安全,控制不必要的資料廣播。在共享網路中,一個物理的網段就是一個廣播域。而在交換網路中,廣播域可以是有一組任意選定的第二層網路地址(MAC地址)組成的虛擬網段。這樣,網路中工作組的劃分可以突破共享網路中的地理位置限制,而完全根據管理功能來劃分。這種基於工作流的分組模式,大大提高了網路規劃和重組的管理功能。在同一個VLAN中的工作站,不論它們實際與哪個交換機連線,它們之間的通訊就好象在獨立的交換機上一樣。同一個VLAN中的廣播只有VLAN中的成員才能聽到,而不會傳輸到其他的 VLAN中去,這樣可以很好的控制不必要的廣播風暴的產生。同時,若沒有路由的話,不同VLAN之間不能相互通訊,這樣增加了企業網路中不同部門之間的安全性。網路管理員可以通過配置VLAN之間的路由來全面管理企業內部不同管理單元之間的資訊互訪。
交換機是根據使用者工作站的MAC地址來劃分VLAN的。所以,使用者可以自由的在企業網路中移動辦公,不論他在何處接入交換網路,他都可以與VLAN內其他使用者自如通訊。VLAN網路可以是有混合的網路型別裝置組成,比如:10M乙太網、100M乙太網、令牌網、FDDI、CDDI等等,可以是工作站、伺服器、集線器、網路上行主幹等等。VLAN除了能將網路劃分為多個廣播域,從而有效地控制廣播風暴的發生,以及使網路的拓撲結構變得非常靈活的優點外,還可以用於控制網路中不同部門、不同站點之間的互相訪問。
交換機VLAN是為解決乙太網的廣播問題和安全性而提出的一種協議,它在乙太網幀的基礎上增加了VLAN頭,用VLAN ID把使用者劃分為更小的工作組,限制不同工作組間的使用者互訪,每個工作組就是一個虛擬區域網。虛擬區域網的好處是可以限制廣播範圍,並能夠形成虛擬工作組,動態管理網路。
這是最常應用的一種VLAN劃分方法,應用也最為廣泛、最有效,目前絕大多數VLAN協議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據乙太網交換機的交換埠來劃分的,它是將VLAN交換機上的物理埠和VLAN交換機內部的PVC(永久虛電路)埠分成若干個組,每個組構成一個虛擬網,相當於一個獨立的VLAN交換機。
對於不同部門需要互訪時,可通過路由器轉發,並配合基於MAC地址的埠過濾。對某站點的訪問路徑上最靠近該站點的交換機、路由交換機或路由器的相應埠上,設定可通過的MAC地址集。
這樣就可以防止非法入侵者從內部盜用IP地址從其他可接入點入侵的可能。從這種劃分方法本身我們可以看出,這種劃分的方法的優點是定義VLAN成員時非常簡單,只要將所有的埠都定義為相應的VLAN組即可。適合於任何大小的網路。它的缺點是如果某使用者離開了原來的埠,到了一個新的交換機的某個埠,必須重新定義。這種劃分交換機VLAN的方法是根據每個主機的MAC地址來劃分,即對每個MAC地址的主機都配置他屬於哪個組,它實現的機制就是每一塊網絡卡都對應唯一的MAC地址,VLAN交換機跟蹤屬於VLAN MAC的地址。這種方式的VLAN允許網路使用者從一個物理位置移動到另一個物理位置時,自動保留其所屬VLAN的成員身份。由這種劃分的機制可以看出,這種VLAN的劃分方法的最大優點就是當用戶物理位置移動時,即從一個交換機換到其他的交換機時,VLAN不用重新配置,因為它是基於使用者,而不是基於交換機的埠。這種方法的缺點是初始化時,所有的使用者都必須進行配置,如果有幾百個甚至上千個使用者的話,配置是非常累的,所以這種劃分方法通常適用於小型區域網。而且這種劃分的方法也導致了交換機執行效率的降低。
因為在每一個交換機的埠都可能存在很多個VLAN組的成員,儲存了許多使用者的MAC地址,查詢起來相當不容易。另外,對於使用膝上型電腦的使用者來說,他們的網絡卡可能經常更換,這樣VLAN就必須經常配置。