关于VLAN(虚拟局域网)
文章目錄
- 關于VLAN
- 為什么需要虛擬局域網VLAN
- VLAN劃分機制
- VLAN的優點
- 基于端口的靜態VLAN劃分
- Access端口
- Trunk端口
- 華為交換機私有的Hybrid端口類型
- 其余VLAN劃分方式
- 基于MAC地址劃分VLAN
- 基于子網劃分VLAN
- 基于協議劃分VLAN
- 基于策略(MAC地址、IP地址、接口)劃分VLAN
- 三層交換技術
- 三層交換機和二層交換機
- 三層交換技術
關于VLAN
為什么需要虛擬局域網VLAN
使用一個或多個以太網交換機互連起來的交換式以太網,其所有站點都屬于同一個廣播域;隨著交換式以太網規模的擴大,廣播域相應擴大。巨大的廣播域會帶來很多弊端:
- 廣播風暴(浪費網絡資源和各主機的CPU資源)
- 難以管理和維護
- 潛在的安全問題
網絡中會頻繁出現廣播信息,比如TCP/IP協議棧中的很多協議會用到廣播:
- 地址解析協議ARP(已知IP地址,找出其相應的MAC地址)
- 路由信息協議RIP(一種小型的內部路由協議)
- 動態主機配置協議DHCP(用于自動配置IP地址)
為了分割廣播域,虛擬局域網VLAN技術應運而生。利用以太網交換機可以很方便地實現VLAN,將局域網內的設備劃分成與物理位置無關的邏輯組的技術,這些邏輯組具有某些共同的需求。
IEEE 802.1Q 對虛擬局域網 VLAN 的定義: 虛擬局域網 VLAN 是由一些局域網網段構成的與物理位置無關的邏輯組,而這些網段具有某些共同的需求。每一個 VLAN 的幀都有一個明確的標識符,指明發送這個幀的計算機是屬于哪一個 VLAN。同一個VLAN內部可以廣播通信,不同VLAN不可以廣播通信
VLAN劃分機制
vlan的劃分方式分為靜態vlan劃分和動態vlan劃分兩種。其中,動態vlan劃分方法又包括基于MAC地址、基于互聯網協議、基于IP組播、基于策略等多種方法。本文主要介紹最常用的基于端口的靜態vlan劃分,然后補充講解其它的VLAN劃分方式。
VLAN的優點
提高安全性:沒有劃分VLAN前,交換機端口連接下的所有主機都處于一個LAN中,即一個廣播域中,實現ARP中間人攻擊非常簡單。劃分了VLAN之后,縮小了ARP攻擊的范圍。
提高性能:不劃分VLAN,整個交換機都處于一個廣播域,隨便一臺PC發送的廣播報文都能傳送整個廣域播,占用了很多帶寬(引起廣播風暴)。劃分了VLAN,縮小的廣播域的大小,縮小了廣播報文能夠到達的范圍。
網絡管理簡單、直觀 。對于采用VLAN技術的網絡來說,一個VLAN可以根據部門職能、對象組或者應用將不同地理位置的網絡用戶劃分為一個邏輯網段。在不改動網絡物理連接的情況下可以任意地將工作站在工作組或子網之間移動。
基于端口的靜態VLAN劃分
虛擬局域網VLAN技術是在交換機上實現的,需要交換機能夠實現以下功能:
- 能夠處理帶有VLAN標記的幀——IEEE 802.1 Q幀(對于用戶主機是不可見的)
- 交換機的各端口可以支持不同的端口類型,不同端口類型的端口對幀的處理方式有所不同。
交換機的端口類型有以下三種: Access、Trunk、Hybird。交換機各端口的缺省VLAN ID:在思科交換機上稱為Native VLAN;在華為交換機上稱為Port VLAN ID,即端口VLAN ID,簡記為PVID。
Access端口
用于交換機與用戶計算機的互聯,Access端口只能屬于一個VLAN。Access端口的PVID值與端口所屬VLAN的ID相同(默認為1)。
接收處理方法:一般只接受“未打標簽"的普通以太網MAC幀。根據接收幀的端口的PVID給幀“打標簽”,即插入4字節VLAN標記字段,字段中的VID取值與端口的PVID取值相同。
發送處理方法:若幀中的VID與端口的PVID相同,則“去標簽”并轉發該幀,否則不轉發。
Trunk端口
一般用于交換機之間或交換機與路由器之間的互連。Trunk端口可以屬于多個VLAN,用戶可以設置Trunk端口的PVID值,默認情況下,Trunk端口的PVID值為1。
發送處理方法:對VID等于PVID的幀,“去標簽”再轉發;對VID不等于PVID的幀,直接發出。
接收處理方法:接收“未打標簽”的幀,根據接收幀的端口的PVID給幀“打標簽”,即插入4字節VLAN標記字段,字段中的VID取值與端口的PVID取值相等。對于有VID標簽的包,若VID在允許之列,進入;否則丟棄。
PS:互連的Trunki端口的PVID值不等,可能會造成轉發錯誤!
華為交換機私有的Hybrid端口類型
Hybird是華為交換機接口上默認的接口類型,既可用于交換機之間或交換機與路由器之間的互連,也可用于交換機與用戶計算機之間的互連。Hybird端口可以屬于多個VLAN,用戶可以設置Hybird端口的PVID值,默認情況下為1。
發送處理方法:查看幀的VID是否在端口的“去標簽”列表中,若存在則為去標簽再轉發;若不存在則直接轉發(主機無法處理IEEE 802.1 Q幀,會丟棄)。
接收處理方法:接收“未打標簽”的幀,根據接收幀的端口的PVID給幀“打標簽”,即插入4字節VLAN標記字段,字段中的VID取值與端口的PVID取值相等。接收“已打標簽的幀”。
基于端口劃分的VLAN缺點是靈活性不好。例如當一個網絡站點從一個端口移動到另外一個新的端口時,如果新端口與舊端口不屬于同一個虛擬局域網,則用戶必須對該站點重新進行網絡地址配置,否則,該站點將無法進行網絡通信。
其余VLAN劃分方式
基于MAC地址劃分VLAN
實現:網絡管理員預先配置MAC地址和VLAN ID映射關系表,當交換機收到的是Untagged幀時,就依據該表給數據幀添加指定VLAN的Tag。然后數據幀將在指定VLAN中傳輸。
優點:不管計算機連接到交換機的哪個接口,如果交換機從一個位置移動到另一個位置,連接的端口從一個換到另一個,只要計算機的MAC地址不變(計算機使用的網卡不變),它將仍屬于原VLAN的成員,不需網絡管理員對交換機軟件進行重新配置。
缺點:如果網絡規模比較大,則網絡管理員初始的配置工作量相當大,并且用戶更換網卡后,網絡管理員也需要對VLAN的配置進行相應的改變。
適用于位置經常移動但網卡不經常更換的小型網絡,如移動PC。
基于子網劃分VLAN
實現:根據數據幀中的源IP地址和子網掩碼來劃分VLAN。網絡管理員預先配置IP地址和VLAN ID映射關系表,當交換機收到的是Untagged幀,就依據該表給數據幀添加指定VLAN的Tag。然后數據幀將在指定VLAN中傳輸。IP劃分vlan只能在hybrid端口上劃分。
優點:當用戶的物理位置發生改變,不需要重新配置VLAN。可以減少網絡通信量,可使廣播域跨越多個交換機。
缺點:網絡中的用戶分布需要有規律,且多個用戶在同一個網段。
適用于對安全需求不高、對移動性和簡易管理需求較高的場景中。比如,一臺PC配置多個IP地址分別訪問不同網段的服務器,以及PC切換IP地址后要求VLAN自動切換等場景。
基于協議劃分VLAN
實現:根據數據幀所屬的協議(族)類型及封裝格式來劃分VLAN。網絡管理員預先配置以太網幀中的協議域和VLAN ID的映射關系表,如果收到的是Untagged幀,就依據該表給數據幀添加指定VLAN的Tag。然后數據幀將在指定VLAN中傳輸。
優點:將網絡中提供的服務類型與VLAN相綁定,方便管理和維護。
缺點:需要對網絡中所有的協議類型和VLAN ID的映射關系表進行初始配置。需要分析各種協議的格式并進行相應的轉換,消耗交換機較多的資源,速度上稍具劣勢。
適用于需要同時運行多協議的網絡。
基于策略(MAC地址、IP地址、接口)劃分VLAN
實現:根據配置的策略劃分VLAN,能實現多種組合的劃分方式,包括接口、MAC地址、IP地址等。網絡管理員預先配置策略,如果收到的是Untagged幀,且匹配配置的策略時,給數據幀添加指定VLAN的Tag。然后數據幀將在指定VLAN中傳輸。
優點:安全性高,VLAN劃分后,用戶不能改變IP地址或MAC地址。網絡管理人員可根據自己的管理模式或需求選擇劃分方式。
缺點:針對每一條策略都需要手工配置。
適用于需求比較復雜的環境。
三層交換技術
根據目前為止學習的知識,我們已經知道兩臺計算機即使連接在同一臺交換機上,只要所屬的VLAN不同就無法直接通信。接下來我們將要學習的就是如何在不同的VLAN間進行路由,使分屬不同VLAN的主機能夠互相通信。
三層交換機和二層交換機
二層交換機工作于OSI模型的二層(數據鏈路層),可以識別數據包中的MAC地址信息,根據MAC地址進行轉發,并將這些MAC地址與對應的端口記錄在自己內部的一個地址表中。
三層交換機位于三層(網絡層),是具有部分路由器功能的交換機。目的是加快大型局域網內部的數據交換,所具有的路由功能也是為這目的服務的,能夠做到一次路由,多次轉發。此外,三層交換機可以執行靜態路由和動態路由。這意味著三層交換機同時具有MAC地址表和IP路由表,并且還處理VLAN內通信以及不同VLAN之間的數據包路由。僅添加靜態路由的交換機稱為弱三層交換機。除路由數據包外,三層交換機還包括一些功能,這些功能需要能夠理解進入交換機的數據的IP地址信息,例如基于IP地址標記VLAN流量,而不是手動配置端口。三層交換機的功率和安全性得到了提高。
二層和三層交換機之間的主要區別在于是否擁有路由功能。選擇二層或者三層交換機取決于網絡需求,對于純二層網絡,二層交換機足以滿足需求;如果需要交換機聚合來訪問多個交換機并進行VLAN間路由,則需要三層交換機。這在網絡拓撲中稱為分布層。
三層交換技術
三層交換技術可以利用路由原理實現不同VLAN間的PC互相通信(一次路由,多次交換),在內部生成“VLAN接口”(VLAN Interface),用于各VLAN收發數據的接口。
為什么不同VLAN間不通過路由就無法通信?
在LAN內的通信,必須在數據幀頭中指定通信目標的MAC地址。而為了獲取MAC地址,TCP/IP協議下使用的是ARP。ARP解析MAC地址的方法,則是通過廣播。計算機分屬不同的VLAN,也就意味著分屬不同的廣播域,如果廣播報文無法到達,那么就無從解析MAC地址,亦即無法直接通信。
三層交換機路由轉發數據的過程
計算機A與計算機C間通信,針對目標IP地址,計算機A可以判斷出通信對象不屬于同一個網絡,因此向默認網關發送數據(Frame 1)。
交換機通過檢索MAC地址列表后,經由內部匯聚鏈接,將數據幀轉發給路由模塊。在通過內部匯聚鏈路時,數據幀被附加了屬于紅色VLAN的VLAN識別信息(Frame 2)。
路由模塊在收到數據幀時,先由數據幀附加的VLAN識別信息分辨出它屬于紅色VLAN,據此判斷由紅色VLAN接口負責接收并進行路由處理。因為目標網絡192.168.2.0/24是直連路由器的網絡、且對應藍色VLAN;因此,接下來就會從藍色VLAN接口經由內部匯聚鏈路轉發回交換模塊。在通過匯聚鏈路時,這次數據幀被附加上屬于藍色VLAN的識別信息(Frame 3)。
交換機收到這個幀后,檢索藍色VLAN的MAC地址列表,確認需要將它轉發給端口3。由于端口3是通常的訪問鏈接,因此轉發前會先將VLAN識別信息去除(Frame 4)。最終,計算機C成功地收到交換機轉發來的數據幀。
參考文獻:
VLAN和子網劃分詳解
配置基于MAC地址的VLAN劃分示例
TCP/IP協議棧-之-三層交換技術
總結
以上是生活随笔為你收集整理的关于VLAN(虚拟局域网)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: C++实现声音文件的播放(OpenAL、
- 下一篇: 计算机设置用户权限的风险,电脑的用户权限