vlan的意義、劃分

1、 交換機(jī)VLAN的定義、意義以及劃分方式 什么是VLAN    虛擬網(wǎng)技術(shù)（VLAN，Virtual Local Area Network）的誕生主要源于廣播。廣播在網(wǎng)絡(luò)中起著非常重要的作用，如發(fā)現(xiàn)新設(shè)備、調(diào)整網(wǎng)絡(luò)路徑、IP地址租賃等等，許多網(wǎng)絡(luò)協(xié)議都要用到廣播，如。然而，隨著網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)數(shù)量的增多，廣播包的數(shù)量也會(huì)急劇增加，當(dāng)廣播包的數(shù)量占到通訊總量的30%時(shí)，網(wǎng)絡(luò)的傳輸效率將會(huì)明顯下降。所以，當(dāng)局域網(wǎng)內(nèi)的計(jì)算機(jī)達(dá)到一定數(shù)量后（通常限制在150200臺(tái)以?xún)?nèi)），通常采用劃分VLAN的方式將網(wǎng)絡(luò)分隔開(kāi)來(lái)，將一個(gè)大的廣播域劃分為若干個(gè)小的

2、廣播域，以減小廣播可能造成的損害。    如何分隔大的廣播域呢？最簡(jiǎn)單的方案就是物理分隔，即將一個(gè)完整的網(wǎng)絡(luò)物理地分隔成兩個(gè)或多個(gè)子網(wǎng)絡(luò)，然后，再通過(guò)一個(gè)能夠隔離廣播的路由設(shè)備將彼此連接起來(lái)。除了物理分隔的方法之外，就是在交換機(jī)上采用邏輯分隔的方式，將一個(gè)大的局域網(wǎng)劃分為若干個(gè)小的虛擬子網(wǎng)（如圖2所示），即VLAN，從而使每一個(gè)子網(wǎng)都成為一個(gè)單獨(dú)的廣播域，子網(wǎng)之間進(jìn)行通信必須通過(guò)三層設(shè)備。當(dāng)VLAN在交換機(jī)上劃分后，不同VLAN間的設(shè)備就如同是被物理地分割。也就是說(shuō)，連接到同一交換機(jī)、然而處于不同VLAN的設(shè)備，就如同被物理地連接到兩個(gè)位于不同網(wǎng)段的交換

3、機(jī)上一樣，彼此之間的通信一定要經(jīng)過(guò)路由設(shè)備，否則，他們之間將無(wú)法得知對(duì)方的存在，將無(wú)法進(jìn)行任何通信?雖然劃分VLAN的方式有許多種，但是，使用最多的仍然是基于端口的VLAN。不同廠商的交換機(jī)大多支持以下幾種VLAN的劃分方式：    1. 基于端口的VLAN    基于端口的VLAN是最常使用的劃分VLAN的方式，幾乎被所有的交換機(jī)所支持。所謂基于端口的VLAN，是指由網(wǎng)絡(luò)管理員使用網(wǎng)管軟件或直接設(shè)置交換機(jī)，將某些端口直接地、強(qiáng)制性地分配給某個(gè)VLAN。除非網(wǎng)管人員重新設(shè)置，否則，這些端口將一直保持對(duì)該VLAN的從

4、屬性，即屬于該VLAN，因此，這種劃分方式也稱(chēng)為靜態(tài)VLAN。這種方法雖然在網(wǎng)絡(luò)管理員進(jìn)行VLAN劃分操作時(shí)會(huì)比較麻煩，但相對(duì)安全，并且容易配置和維護(hù)。同時(shí)，由于不同VLAN間的端口不能直接相互通訊，因此，每個(gè)VLAN都有自己獨(dú)立的生成樹(shù)。此外，交換機(jī)之間在不同VLAN中可以有多個(gè)并行鏈路，以提高VLAN內(nèi)部的交換速率，增加交換機(jī)之間的帶寬。    需要注意的是，不僅可以將同一交換機(jī)的不同端口劃分為同一VLAN，而且還可以設(shè)置跨越交換機(jī)的VLAN（如圖3所示），即將不同交換機(jī)的不同端口劃分至同一VLAN，這就完全解決了位于不同物理位置、連接至不同交換機(jī)中

5、的用戶如何使之處于同一VLAN的難題。例如，在一個(gè)擁有數(shù)百臺(tái)計(jì)算機(jī)的校園網(wǎng)中，為了提高網(wǎng)絡(luò)傳輸效率，可以將所有用戶劃分為行政和教學(xué)兩個(gè)VLAN。雖然各學(xué)院、系、教研室位于不同的建筑物內(nèi)，連接至不同的交換機(jī)，但仍然能夠根據(jù)其連接的端口將其劃分至同一VLAN。需要注意的是，如果交換機(jī)某端口連接至一個(gè)集線器，那么，該集線器以及其連接的所有計(jì)算機(jī)都將屬于該端口的VLAN。    2. 基于MAC的VLAN    所謂基于MAC的VLAN，是指借助智能管理軟件根據(jù)MAC地址來(lái)劃分VLAN。該劃分方式一般用在每一交換機(jī)端口只連

6、接一個(gè)終端的情況。也就是說(shuō)，當(dāng)端口連接至集線器或交換機(jī)時(shí)，該種劃分方式并不適用。端口借助網(wǎng)絡(luò)包的MAC地址、邏輯地址或協(xié)議類(lèi)型來(lái)確定其VLAN的從屬，將端口劃分至不同VLAN。當(dāng)一網(wǎng)絡(luò)節(jié)點(diǎn)剛連接到交換機(jī)時(shí)，此時(shí)交換機(jī)端口尚未分配，于是，交換機(jī)通過(guò)讀取網(wǎng)絡(luò)節(jié)點(diǎn)的MAC地址，動(dòng)態(tài)地將該端口劃入某個(gè)虛擬網(wǎng)。一旦網(wǎng)管人員配置好后，用戶的計(jì)算機(jī)就可以隨意改變其連接的交換機(jī)端口，而不會(huì)由此而改變自己的VLAN。當(dāng)網(wǎng)絡(luò)中出現(xiàn)未定義的MAC地址，交換機(jī)可以按照預(yù)先設(shè)定的方式向網(wǎng)管人員報(bào)警，再由網(wǎng)管人員作相應(yīng)的處理。例如，網(wǎng)絡(luò)管理員有一臺(tái)筆記本電腦，由于工作性質(zhì)的關(guān)系，他需要經(jīng)常到各部門(mén)聯(lián)機(jī)工作。當(dāng)該筆記本電腦

7、從端口A移動(dòng)到端口B時(shí)，交換機(jī)能夠自動(dòng)識(shí)別經(jīng)過(guò)端口B的源MAC地址，自動(dòng)把端口A從當(dāng)前VLAN中刪除，而把端口B定義到當(dāng)前VLAN中。這種定義方法的優(yōu)點(diǎn)是當(dāng)終端在交換式網(wǎng)絡(luò)中移動(dòng)時(shí)，不必重新定義虛擬網(wǎng)，交換機(jī)能夠自動(dòng)進(jìn)行識(shí)別和定義。因此，基于MAC的VLAN也稱(chēng)為動(dòng)態(tài)VLAN。由于MAC地址具有世界唯一性，因此，該VLAN劃分方式的安全性也較高。3. 基于IP的VLAN    所謂基于IP的VALN，是指根據(jù)IP地址來(lái)劃分的VLAN。交換機(jī)屬OSI第二層，因此，普通交換機(jī)不能識(shí)別幀中的網(wǎng)絡(luò)層報(bào)文，但隨著第三層交換機(jī)的出現(xiàn)，將第二層的交換功能和第三層的路由

8、功能結(jié)合在一起，從而使交換機(jī)也能夠識(shí)別網(wǎng)絡(luò)層報(bào)文，可以使用報(bào)文中的IP地址來(lái)定義VLAN。因此，當(dāng)某一用戶設(shè)置有多個(gè)IP地址時(shí)，或該端口連接到的集線器中擁有多個(gè)TCP/IP用戶時(shí)，通過(guò)基于IP的VLAN，該用戶或該端口就可以同時(shí)訪問(wèn)多個(gè)虛擬網(wǎng)。在該模式下，位于不同VLAN的多個(gè)部門(mén)（每種業(yè)務(wù)設(shè)置成一個(gè)虛擬網(wǎng)）均可同時(shí)訪問(wèn)同一臺(tái)網(wǎng)絡(luò)服務(wù)器，也可以同時(shí)訪問(wèn)多個(gè)虛擬網(wǎng)的資源，還可讓多個(gè)虛擬網(wǎng)間的連接只需一個(gè)路由端口即可完成。這種定義方法的優(yōu)點(diǎn)是當(dāng)某一終端使用的網(wǎng)絡(luò)層協(xié)議或IP地址改變時(shí)，交換機(jī)能夠自動(dòng)識(shí)別，重新定義VLAN，不需要管理員干預(yù)。但由于IP地址可以人為地、不受約束地自由設(shè)置，因此，使用該

9、方式劃分VLAN也會(huì)帶來(lái)安全上的隱患。    4. 基于組播的VLAN    組播作為一點(diǎn)對(duì)多點(diǎn)的通信，是節(jié)省網(wǎng)絡(luò)帶寬的有效方法之一。在多媒體應(yīng)用中，當(dāng)需要將一個(gè)節(jié)點(diǎn)的多媒體信號(hào)傳送到多個(gè)節(jié)點(diǎn)時(shí)，無(wú)論是采用重復(fù)點(diǎn)對(duì)點(diǎn)通信方式，還是采用廣播的方式，都會(huì)嚴(yán)重浪費(fèi)網(wǎng)絡(luò)帶寬，而只有組播才是最好的選擇。組播能夠使一個(gè)或多個(gè)發(fā)送者將幀發(fā)送給組地址，而不是單個(gè)主機(jī)。其中，那些希望參加某一特定組的接收者，需要將含有組地址的IGMP“加入消息”發(fā)送給最鄰近的路由器，然后，路由器使用多點(diǎn)廣播路由協(xié)議（例如DVMRP、PIM等）建立從源

10、到所有接收者的分發(fā)樹(shù)。接收者在任何時(shí)候都可以動(dòng)態(tài)地參加或離開(kāi)某個(gè)多點(diǎn)廣播組。支持IP多點(diǎn)廣播的應(yīng)用包括：音頻/視頻會(huì)議、“push”技術(shù)（如股票行情、運(yùn)動(dòng)記分、報(bào)文）和虛擬現(xiàn)實(shí)游戲?；诮M播的VLAN，就是動(dòng)態(tài)地把那些需要同時(shí)通信的端口定義到一個(gè)VLAN中，并在VLAN中用廣播的方法解決點(diǎn)對(duì)多點(diǎn)通信的問(wèn)題。VLAN的重要意義    VLAN中的成員與其物理位置無(wú)關(guān)，既可連接至同一臺(tái)交換機(jī)，也可連接至不同交換機(jī)。     降低移動(dòng)和變更的管理成本    使用VLAN，當(dāng)需要把一

11、臺(tái)計(jì)算機(jī)從一個(gè)子網(wǎng)轉(zhuǎn)移到另一個(gè)子網(wǎng)時(shí)，只需在交換機(jī)上重新定義一下VLAN成員即可。尤其是在采用MAC地址動(dòng)態(tài)劃分VLAN時(shí)，當(dāng)用戶將計(jì)算機(jī)從一個(gè)交換機(jī)端口移動(dòng)到另一個(gè)交換機(jī)端口，由于其網(wǎng)卡的MAC地址并不改變，所以，交換機(jī)能夠自動(dòng)跟蹤該終端的MAC地址，并自動(dòng)將其納入定義的VLAN中。     控制廣播    由于所有的廣播都只在本VLAN內(nèi)進(jìn)行，而不再擴(kuò)散到其他VLAN上，所以，把校園網(wǎng)絡(luò)適當(dāng)?shù)貏澐殖扇舾奢^小的VLAN，將大大減少?gòu)V播對(duì)網(wǎng)絡(luò)帶寬的占用，從而提高網(wǎng)絡(luò)傳輸效率，并有效地避免廣播風(fēng)暴的產(chǎn)生以及在整個(gè)網(wǎng)絡(luò)

12、的蔓延。     支持多媒體技術(shù)和高效組播控制    組播技術(shù)是支持多媒體應(yīng)用的有效手段，在交換機(jī)中用組播組動(dòng)態(tài)定義VLAN，并自動(dòng)把組播報(bào)文只復(fù)制給同一VLAN中的終端，大大提高了多媒體數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性，更有效地使用了帶寬，降低了網(wǎng)絡(luò)因擁擠而阻塞的可能性。     增強(qiáng)安全性    由于交換機(jī)只能在同一VLAN內(nèi)的端口之間交換數(shù)據(jù)，不同VLAN的端口不能直接相互訪問(wèn)。同時(shí)，可以在Trunk（中繼）中設(shè)置允許訪問(wèn)的VLAN，從而限制未經(jīng)

13、允許的VLAN訪問(wèn)，保證VLAN只被授權(quán)的用戶訪問(wèn)。因此，通過(guò)劃分VLAN，可以有效地提高網(wǎng)絡(luò)安全性，防止某些非授權(quán)用戶對(duì)敏感數(shù)據(jù)的訪問(wèn)。     網(wǎng)絡(luò)監(jiān)督和管理的自動(dòng)化    由于可以通過(guò)網(wǎng)管軟件查看VLAN間和VLAN內(nèi)的各類(lèi)通信信息，而這些信息對(duì)于確定網(wǎng)絡(luò)拓樸與路由，以及設(shè)置服務(wù)器的位置都十分有用。通過(guò)劃分VLAN，可以使網(wǎng)絡(luò)管理變得更簡(jiǎn)單、更輕松、更有效。實(shí)現(xiàn)VLAN需要的設(shè)備    若欲在校園網(wǎng)絡(luò)中實(shí)現(xiàn)VLAN，首先需要支持VLAN的交換機(jī)。當(dāng)然，并不要求所有的交換

14、機(jī)都支持VLAN，但是，網(wǎng)絡(luò)內(nèi)必須至少有一臺(tái)交換機(jī)支持VLAN，否則，VLAN的劃分就是不可能的。在選擇支持VLAN的設(shè)置時(shí)，應(yīng)當(dāng)注意以下幾個(gè)方面的問(wèn)題：    第一，中心交換機(jī)必須支持VLAN，并且擁有三層交換功能。由于VLAN之間的通訊必須借助三層設(shè)備才能實(shí)現(xiàn)，因此，如果沒(méi)有三層設(shè)備，VLAN的劃分將失去其原有的意義。原因很簡(jiǎn)單，我們的目的不是阻隔通信，而是試圖使通信變得更快捷、更安全。若欲實(shí)現(xiàn)VLAN間的無(wú)阻塞線速傳輸，就必須采用集網(wǎng)橋和路由于一身的三層交換機(jī)，而不能采用傳輸?shù)穆酚善?。否則，VLAN間的傳輸將成為制約網(wǎng)絡(luò)效率的瓶頸。 &#

15、160;  第二，若欲在一臺(tái)交換機(jī)上劃分兩個(gè)或兩個(gè)以上的VLAN，那么，該交換機(jī)也必須支持VLAN劃分功能。如果交換機(jī)上只有一個(gè)VLAN，那么，完全可以將該VLAN劃分在第三層交換機(jī)或所級(jí)聯(lián)交換機(jī)的端口上。但是，如果若欲在交換機(jī)劃分兩個(gè)以上的VLAN，那么，該交換機(jī)就必須是可網(wǎng)管的，而且必須支持VLAN。    第三，網(wǎng)絡(luò)內(nèi)所有劃分有VLAN的交換機(jī)必須支持同一種VLAN和中繼協(xié)議，即IEEE 802.1Q和802.3ad網(wǎng)絡(luò)協(xié)議。否則，將無(wú)法實(shí)現(xiàn)VLAN在不同交換機(jī)之間的跨越。    第四，應(yīng)當(dāng)盡量采用同一品牌的交換機(jī)，以保證產(chǎn)品和技術(shù)的兼容性，并可采用同一網(wǎng)絡(luò)管理軟件，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理，簡(jiǎn)化網(wǎng)絡(luò)配置操作。盡管不同廠商都執(zhí)行相同的國(guó)際標(biāo)準(zhǔn)和協(xié)議，但同時(shí)也大量采有獨(dú)特的協(xié)議和技術(shù)（如Cisco的ISL），因此，在交換機(jī)間實(shí)現(xiàn)VLAN中繼時(shí)，會(huì)遇到許多困難，產(chǎn)生許多