虚拟局域网
虚拟局域网是局域网向用户提供的一种服务,虚拟局域网是用户和局域网资源的一种逻辑组合,而交换式局域网技术是实现虚拟局域网的基础。
一.虚拟局域网的基本概念
虚拟局域网(virtual LAN=VLAN)建立在交换技术的基础上。如果将局域网中的节点按工作性质和需要划分生成若干个“逻辑工作组”,则一个逻辑工作组就是一组网络。
传统的局域网中的工作组通常在同一个网段上,多个工作组之间通过实现互联的网桥或者路由器来交换数据。当一个逻辑工作组的结点要转移到另一个逻辑工作组时,就需要将结点计算机从一个网段撤出,并将其连接到另外一个网段上,这时甚至需要重新进行布线。因此,逻辑工作组的组成受结点所在网段的物理位置限制。
虚拟局域网是建立在以太网交换机的基础之上的,它以软件的方式来实现逻辑工作组的划分与管理,逻辑工作组中的结点组成不受物理位置的限制。同一个逻辑工作组的成员不一定连接在同一个网段上,他们可以连接在同一个以太网交换机上,也可以连接在不同的以太网交换机上,只要这些交换机之间实现互联就可以。当一个结点从一个逻辑工作组转移到另外一个逻辑工作组的话,只要用软件的方式实现逻辑工作组的划分与管理,这样就不需要改变它在局域网网络中的物理位置。同一个逻辑工作组的结点可以分布在不同的物理桥段上,但它们之间的通信就像是在同一个网段之上。因此,VLAN是通过软件的方法,逻辑地而不是物理地将结点划分在一个个网段。IEEE于1999年公布了关于VLAN的802.1Q标准。
虚拟局域网限制了接收广播信息的工作站数,从而可以避免广播风暴的发生。
如果不同的VLAN之间要彼此通信,这时必须要经过路由器(或者三层交换机)为VLAN之间做路由。这是因为路由器是工作在三层的设备,它不管数据帧从哪一个VLAN来的,它只是按照数据包中IP包头里封装的源IP地址和目的IP地址为数据包进行路由,这样数据包便可到达交换机1,由交换机1负责把数据包转发给工作站B1。所以虚拟局域网之间的路由就是子网间的路由。因此,一个虚拟局域网对应一个广播域,对应一个逻辑子网。
二:虚拟局域网的分类
- 静态VLAN
静态VLAN也被称为基于端口的VLAN或者以端口为中心的VLAN。这种方式是通过交换机的操作系统软件来划分交换机的某一个端口属于某一个VLAN,所以应用这种VLAN时,网络管理员需要在交换机上一个端口一个端口地配置哪些端口属于哪个VLAN。
Cisco的交换机上都有一个默认的VLAN,即VLAN1,这个VLAN也是Cisco交换机的管理VLAN。很多管理信息都是经过这个VLAN信息传递的。。一台交换机如果还没有进行配置,那么交换机上的所有端口都默认属于VLAN1。VLAN1是不能被删除的。在配置交换机的时候,可以把端口从这个VLAN中转配到其他VLAN中.
静态VLAN可以被安全,简单的配置。但是,静态VLAN的缺点是:当用户从一个端口移动到另一个端口时,网络管理员必须对局域网重新进行配置。
- 动态VLAN
动态VLAN(VLAN)是通过使用网管软件分配主机的MAC地址的方式建立VLAN的。使用动态VLAN的用户建立VALN是基于MAC地址的。当一个工作站连接到交换机上时,它会询问数据库它属于哪一个VLAN,而网管软件会根据主机的MAC地址将它分配到相应的VLAN中。
动态VLAN的优点是:由于工作站的MAC地址是与硬件相关的地址,因此它允许工作站移动到网络中的其他物理网段。由于工作站的MAC地址不会发生改变,因此工作站将自动保持它在VLAN中的地位。但是由于这种方式需要一定的网管软件,因此增加了网络建设的成本,所以一般在很大规模网络中才会使用动态VLAN,小规模的网络还是使用静态VLAN比较划算。
- 基于协议的VLAN
基于协议的VLAN是根据子网的不同来划分VLAN的,工作方式上类似动态VLAN,只不过是基于逻辑地址(如IP地址的)。
由于在实施DHCP的网络中使用该类VLAN有问题,因此基于协议的VLAN很少使用。
三:干道和VTP
干道(Trunk)是VLAN在交换机之间通信所采用的技术,同时它也是交换机与路由器之间实现VLAN间路由的技术。
交换机之间没有采用干道协议的话,那么交换机的端口资源就会被过多的占用。干道技术正是为了解决这一个问题而提出的,它可以绑定多条虚拟链路在一条实际的物理量线路上,以允许交换机之间的多个VLAN之间可以传递数据流量。
干道可以在一条物理线路上让来自多个VLAN的数据通过,不过交换机是如何识别这些从一个端口来的多个VLAN帧呢?这就需要标记的概念了。
为了实现在一条单一的物理线路上传递多个VLAN的数据帧的目的,每一个通过干道的数据帧都要被标记上VLAN ID,以使接收这个数据帧的交换机知道这个数据帧是由属于哪一个VLAN的主机发出的。
802.1Q是IEEE制定的干道标记标准,它会在数据帧准备通过干道时候,在数据帧头插入4B的VLAN标记(Tag)以标识数据帧来自哪个VLAN。
VLAN标记字段的长度为4B,插入在以太网MAC帧的源地址字段和类型字段之间,VLAN标记的前两个字节总是设置为0X8100,称为IEEE的802.1Q标记类型。当数据链路层检测到MAC帧的源地址字段之后的两个字节的长度的值是0X8100时,就知道现在插入了4B的VLAN标记,于是就接着检查后面2B的内容。在后面两个字节中,前3位是用户优先级字段,接着的一位是规范格式指示符,最后的12位是该虚拟局域网VLAN标识符VID(VLAN ID),它唯一地标识了这个以太网是属于哪一个VLAN。
由于用于VLAN的以太网帧的首部增加了4B,因此,以太网的最大长度从原来的1518B(1500B的数据加上18B的首部和尾部)变为了1522B。
由于VLAN在整个交换网络中是统一的,因此可以完全的在一台交换机上配置好VLAN以后,用某种方法使得其他交换机自动地学习到这些VLAN的配置,然后再由交换机所在地的权限比较低的管理员把交换机的端口分配到这些被学习到的VLAN中去。这种交换机自动学习VLAN配置的方法,就是VLAN干道协议(VTP)。
VTP一般应用在网络规模比较大,交换机管理比较分散的时候,这样可以简化管理员的操作。一个VTP域由一台或多台互联的共享同一个VTP域名称的设备组成,一台交换机只能属于一个VTP域。在一个VTP域中一个重要的概念,就是交换机的模式,它决定着交换机能不能建立VLAN以及共享VLAN信息。
交换机有3种VTP模式,即服务器模式(Server Mode),客户端模式(Client Mode),和透明模式(Transparent Mode)。
- 服务器模式
服务器模式的交换机可以添加,修改,删除VLAN及修改VLAN的参数,它的作用将影响整个VTP域。服务器模式交换机会对VLAN操作进行保存,同时向自己所连接的所有干道链路发送VTP信息,在整个VTP域通告这些对VLAN的操作。
服务器模式的交换机也会侦听网络中的VTP信息,一旦有对于VLAN的新的改动发生(在其他的服务器模式的交换机所做的改动),该交换机也会同步该变化,即更新自己维护的VLAN信息,同时转发表示该变化的VTP信息。在一个VTP域中,服务器模式的交换机可以有多台,并且交换机的模式一般为服务器模式。一般地,一个VTP域内整个网络中设置一个VTP服务器。一个网络须建立一个VTP域,一个交换机只能参加一个VTP域,域内的每个交换机必须使用相同的域名。
一个新的交换机启动后,默认设置为VLAN1.
- 客户端模式
客户端模式的交换机不能添加,修改,删除VLAN及修改VLAN的参数,他只能学习服务器模式的交换机对VTP域中的VLAN的添加,修改,删除信息,并且把该信息向自己所有的干道链路发送,管理员可以在客户端模式的交换机上把端口分配在给学习到的VLAN,并且一般把网络中分散的无法集中管理的交换机配置成客户端模式,以免有人恶意修改VLAN信息造成整个VTP域中VTP信息的混乱。
在服务器模式或客户端模式下VTP信息宣告每5分钟进行一次。
- 透明模式
透明模式的交换机也可以添加,修改,删除VLAN及修改VLAN的参数,但是它不会把这些信息向VTP域中其他交换机转发,透明模式的交换机可以转发从其他的交换机发送的VTP信息,使得整个VTP域的VLAN信息可以经过它向其他的交换机进行传递,但是这种透明的模式的交换机本身不会学习整个VTP域的VLAN信息,他不会使自己维护的VLAN信息与整个VTP域的VLAN信息同步。
VLAN的优点
VLAN的优点主要体现在如下几个方面
- 方便网络用户进行管理。
- 提供更好的安全性。
- 改善网络的服务质量。