VLAN技術介紹及其在企業網路中應用(轉)

VLAN技術介紹及其在企業網路中應用(轉)[@more@]

　　VLAN（虛擬區域網）是對連線到的第二層交換機埠的網路使用者的邏輯分段，不受網路使用者的物理位置限制而根據使用者需求進行網路分段。一個VLAN可以在一個交換機或者跨交換機實現。VLAN可以根據網路使用者的位置、作用、部門或者根據網路使用者所使用的應用程式和協議來進行分組。基於交換機的虛擬區域網能夠為區域網解決衝突域、廣播域、頻寬問題。

　　傳統的共享介質的乙太網和交換式的乙太網中，所有的使用者在同一個廣播域中，會引起網路效能的下降，浪費可貴的頻寬；而且對廣播風暴的控制和網路安全只能在第三層的路由器上實現。

　　VLAN相當於OSI參考模型的第二層的廣播域，能夠將廣播風暴控制在一個VLAN內部，劃分VLAN後，由於廣播域的縮小，網路中廣播包消耗頻寬所佔的比例大大降低，網路的效能得到顯著的提高。不同的VLAN之間的資料傳輸是透過第三層（網路層）的路由來實現的，因此使用VLAN技術，結合資料鏈路層和網路層的交換裝置可搭建安全可靠的網路。網路管理員透過控制交換機的每一個埠來控制網路使用者對網路資源的訪問，同時VLAN和第三層第四層的交換結合使用能夠為網路提供較好的安全措施。 隨著VLAN技術的日益完善，VLAN技術越來越多的應用在交換乙太網中，成為網路靈活分段和提高網路安全的方法。

　　一、VLAN的劃分方式

　　VLAN的劃分方式很重要，在設計和建設VLAN，實現VLAN應用時，首先要決定如何劃分VLAN，即依據什麼標準來組織VLAN成員。下面介紹5種常見的劃分方式，不同的劃分方式代表不同的VLAN實現型別。

　　1、按埠劃分VLAN

　　將交換機中的某些埠定義為一個單獨的區域，從而形成一個VLAN。同一VLAN中的計算機屬於同一個網段，不同VLAN之間進行通訊需要透過路由器。基於埠的VLAN的優點是配置起來非常方便，只要在交換機上進行相關的設定就可以了，適用於網路環境比較固定的情況。不足之處是不夠靈活，當一臺計算機需要從一個埠移動到另一個新的埠，而新埠與舊埠不屬於同一個VLAN時，要修改埠的VLAN設定，或在使用者計算機上重新配置網路地址，這樣才能加入到新的VLAN中。否則，這臺計算機將無法進行網路通訊。

　　基於埠的劃分方式是最簡單也是最常用的。採用這種方式，將屬於不同交換機埠的物理網段分在一個VLAN中，透過網路管理軟體，根據VLAN識別符號將不同的埠分到相應的分組（VLAN）中。例如，一個交換機的1、2、6、7埠被定義為VLAN A，同一交換機的3、4、5埠組成VLAN 8，如圖1所示。這樣劃分，允許各埠之間的通訊，並允許共享型網路的升級。遺憾的是，這種劃分模式將虛擬網限制在了一臺交換機上。

　　第二代埠VLAN技術允許跨越多個交換機的多個不同埠劃分VLAN，不同交換機上的若干個埠可以組成同一個VLAN。分配到同一個VLAN的各網段上的所有站點都在同一個廣播域中，可以直接通訊；不同VLAN地點間的通訊則透過路由器或三層交換機。

　　交換機埠來劃分VLAN，其配置過程簡單明瞭。迄今為止，這仍然是最常用的一種方式，但是這種方式不允許多個VLAN共享一個物理網段或交換機埠。如果某一個使用者從一個埠所在的VLAN移動到另一個埠所在的VLAN，網路管理員需要重新進行配置，這對於擁有眾多移動使用者的網路來說是不可想象的。

　　2、按MAC地址劃分VLAN

　　每塊網路卡都有一個獨一無二的硬體實體地址，這個地址就是MAC地址，俗稱為“網路卡號”。在Windows中可用“ipconfig/all”命令來檢視這一地址。

　　MAC地址是連線在網路中的每個裝置網路卡的實體地址，由IEEE控制，全球找不到兩塊具有相同MAC地址的網路卡。MAC地址屬於資料鏈路層，以此作為劃分VLAN的依據，能很好地獨立於網路層上的各種應用。如圖2所示，用此種方式構成的VLAN就是一些MAC地址的集合，它解決了網路處理站點的移動問題。對於連線於交換機埠的工作站來說，在它們初始化時，相應的交換機要在VLAN的管理資訊庫中檢查MAC地址，從而動態地匹配該埠到相應的VLAN中。

　　按MAC地址劃分的VLAN允許網路使用者從一個物理位置移動到另一個物理位置，並且自動保留其所屬VLAN網段的成員身份。同時，這種方式獨立於網路的高層協議（如TCP/IP、IP和IPX等）。從某種意義上講，利用MAC地址定義VLAN可以看成是一種基於使用者的網路劃分手段。

　　這種方法的一個缺點是所有的使用者必須被明確地分配給一個VLAN。在這種初始化工作完成之後，對使用者的自動跟蹤才成為可能。在一個擁有大量節點的大型網路中，如果要求管理員將每個使用者都一一劃分到某一個VLAN，實在是太困難了。

　　3、基於網路層劃分VLAN

　　可以基於網路層來劃分VLAN，有兩種方案，一種按協議（如果網路中存在多協議）來劃分，如上圖3所示；另一種是按網路層地址（最常見的是TCP/IP中的子網段地址）來劃分，如圖4所示。

　　建立VLAN也可使用與管理路由相同的策略。根據IP子網、IPX網路號及其他協議劃分VLAN。同一協議的工作站劃分為一個VLAN，交換機檢查廣播幀的以太幀標題域，檢視其協議型別，若已存在該協議的VLAN，則加入源埠，否則，建立—個新的VLAN。這種方式構成的VLAN，不但大大減少了人工配置VLAN的工作量，同時保證了使用者自由地增加、移動和修改。不同VLAN網段上的站點可屬於同一VLAN，在不同VLAN上的站點也可在同一物理網段上。

　　利用網路層定義VLAN缺點也是有的。與利用MAC地址的形式相比，基於網路層的VLAN需要分析各種協議的地址格式並進行相應的轉換。因此，使用網路層資訊來定義VLAN的交換機要比使用資料鏈路層資訊的交換機在速度上佔劣勢。

　　4、基於IP廣播組劃分

　　可將任何屬於同一IP廣播組的計算機劃分到同一VLAN。當IP包廣播到網路上時，它將被傳送到一組IP地址的受託者那裡。該組被明確定義了的廣播組是在網路執行中動態生成的。任何一個工作站都有機會成為某一個廣播組的成員，只要它對該廣播組的廣播確認資訊給予肯定的回答。所有加入同一個廣播組的工作站被視為同一個VLAN的成員，他們的這種成員身份可根據實際需求保留一定的時間。因此，利用IP廣播域來劃分VLAN的方法給使用者帶來了巨大的靈活性和可延展性。在這種方式下，整個網路可以非常方便地透過路由器擴充套件網路規模。

　　5、基於規則的VLAN

　　也稱為基於策略的VLAN。這是最靈活的VLAN劃分方法，具有自動配置的能力，能夠把相關的使用者連成一體，在邏輯劃分上稱為“關係網路”。網路管理員只需在網管軟體中確定劃分VLAN的規則（或屬性），那麼當一個站點加入網路中時，將會被“感知”，並被自動地包含進正確的VLAN中。同時，對站點的移動和改變也可自動識別和跟蹤。

　　採用這種方式，整個網路可以非常方便地透過路由器擴充套件網路規模。有的產品還支援一個埠上的主機分別屬於不同的VLAN，這在交換機與共享式Hub共存的環境中顯得尤為重要。自動配置VLAN時，交換機中軟體自動檢查進入交換機埠的廣播資訊的IP源地址，然後軟體自動將這個埠分配給一個由IP子網對映成的VLAN。

　　二、VLAN的優點

　　VLAN的優點主要體現在以下3個方面：

　　1、控制廣播風暴

　　網路管理必須解決因大量廣播資訊帶來頻寬消耗的問題。VLAN作為一種網路分段技術，可將廣播風暴限制在一個VLAN內部，避免影響其他網段。與傳統區域網相比，VLAN能夠更加有效地利用頻寬。在VLAN中，網路被邏輯地分割成廣播域，由VLAN成員所傳送的資訊幀或資料包僅在VLAN內的成員之間傳送，而不是向網上的所有工作站傳送。這樣可減少主幹網的流量，提高網路速度。

　　2、增強網路的安全性

　　共享式LAN上的廣播必然會產生安全性問題，因為網路上的所有使用者都能監測到流經的業務，使用者只要插入任一活動埠就可訪問網段上的廣播包。採用VLAN提供的安全機制，可以限制特定使用者的訪問，控制廣播組的大小和位置，甚至鎖定網路成員的MAC地址，這樣，就限制了未經安全許可的使用者和網路成員對網路的使用。

　　3、增強網路管理

　　採用VLAN技術，使用VLAN管理程式可對整個網路進行集中管理，能夠更容易地實現網路的管理性。使用者可以根據業務需要快速組建和調整VLAN。當鏈路擁擠時，利用管理程式能夠重新分配業務。管理程式還能夠提供有關工作組的業務量、廣播行為以及統計特性等的詳盡報告。對於網路管理員來說，所有這些網路配置和管理工作都是透明的。VLAN變動時，使用者無需瞭解網路的接線情況和協議是如何重新設定的。

　　VLAN還能減少因網路成員變化所帶來的開銷。在新增、刪除和行動網路成員時，不用重新佈線，也不用直接對成員進行配置。若採用傳統區域網技術，那麼當網路達到一定規模時，此類開銷往往會成為管理員的沉重負擔。