|
|
|
VLAN中的网络用户是通过LAN交换机来通信的,一个VLAN中的成员看不到另一个VLAN中的成员。同一个VLAN中的所有成员共同拥有一个VLAN ID,组成一个虚拟局域网络。同一个VLAN中的成员均能收到同一个VLAN中的其他成员发来的广播包,但收不到其他VLAN中成员发来的广播包。不同VLAN成员之间不可直接通信,需要通过路由支持才能通信,而同一VLAN中的成员通过VLAN交换机可以直接通信,不需路由支持。
|
|
|
|
|
|
|
|
(1)提高管理效率:减少网络中站点的移动、增加和改变所带来的工作量,可以大大简化网络配置和调试工作。
|
|
|
|
(2)控制广播数据:VLAN内成员共享广播域,VLAN间的广播被隔离,这样可以提高网络的传输效率,VLAN利用了交换网络的高速性能。
|
|
|
|
(3)增强网络的安全性:广播可以将数据传向每一个站点,通过将网络划分为一个个互相独立的VLAN,对成员进行分组限制广播,并可根据MAC地址、应用类型、协议类型等限制成员或计算机对网络资源的访问。
|
|
|
|
(4)实现虚拟工作组:按应用或功能组建虚拟工作组。
|
|
|
|
|
|
VLAN划分方法指的是在一个VLAN中包含哪些站点(包括服务器和客户站)。VLAN划分的方法如下。
|
|
|
|
(1)按交换端口号划分。将交换设备端口进行分组来划分VLAN。例如,一个交换设备上的端口1,2,5,7所连接的客户工作站可以构成VLAN A,而端口3,4,6,8则构成VLANB等。在最初的实现中,VLAN是不能跨越交换设备的,后来进一步的发展使得VLAN可以跨越多个交换设备。
|
|
|
|
目前,按端口号划分VLAN仍然是构造VLAN的一个最常用的方法。这种方法比较简单并且非常有效。但仅靠端口分组而定义VLAN将无法使得同一个物理分段(或交换端口)同时参与到多个VLAN中,而且更重要的是当一个客户站从一个端口移至另一个端口时,网管人员将不得不对VLAN成员进行重新配置。
|
|
|
|
(2)按MAC地址划分。这种方法由网管人员指定属于同一个VLAN中的各客户站的MAC地址。用MAC地址进行VLAN成员的定义既有优点也有缺点。由于MAC地址是固化在网卡中的,故移至网络中另外一个地方时将仍然保持其原先的VLAN成员身份而无须网管人员对之进行重新的配置,从这个意义上讲,用MAC地址定义的VLAN可以被看成是基于用户的VLAN。另外,在这种方式中,同一个MAC地址可以处于多个VLAN中。
|
|
|
|
这种方法的缺点是所有的用户在最初都必须被配置到(手工方式)至少一个VLAN中,只有在这种手工配置之后方可实现对VLAN成员的自动跟踪。
|
|
|
|
(3)按第三层协议划分。在决定VLAN成员身份时,主要考虑协议类型(支持多协议的情况下)或网络层地址(如TCP/IP网络的子网地址)。这种类型的VLAN划分需要将子网地址映射到VLAN,交换设备则根据子网地址而将各机器的MAC地址同一个VLAN联系起来。交换设备将决定不同网络端口上连接的机器属于同一个VLAN。
|
|
|
|
在第三层定义VLAN有许多的优点。首先,可以根据协议类型进行VLAN的划分,这对于那些基于服务或基于应用VLAN策略的网管人员无疑是极具吸引力的。其次,用户可以自由地移动他们的机器而无须对网络地址进行重新配置。再次,在第三层上定义VLAN将不再需要报文标识,从而可以消除因在交换设备之间传递VLAN成员信息而花费的开销。
|
|
|
|
与前两种方法相比,在第三层上定义VLAN的方法的最大缺点就是性能问题。对报文中的网络地址进行检查将比对帧中的MAC地址进行检查开销更大。正是由于这个原因,使用第三层信息进行VLAN划分的交换设备一般都比使用第二层信息的交换设备更慢。但第三层交换机的出现,大大改善了VLAN成员间的通信效率。
|
|
|
|
在第三层上所定义的VLAN对于TCP/IP特别有效,但对于其他一些协议如IPX或Apple则要差一些,并且对于那些不可进行路由选择的一些协议,如NetBIOS,在第三层上实现VLAN划分将特别困难,因为使用这种协议的机器是无法互相区分的,因此也就无法将其定义成某个网络层VLAN的一员。
|
|
|
|
(4)IP组播VLAN。在这种方法中,各站点可以自由地动态决定(通过编程的方法)参加到哪一个或哪一些IP组播组中。一个IP组播组实际上是用一个D类地址表示的,当向一个组播组发送一个IP报文时,此报文将被传送到此组中的各个站点处。从这个意义上讲,可以将一个IP组播组看成是一个VLAN。但此VLAN中的各个成员都只具有临时性的特点。由IP组播定义VLAN的动态特性可以达到很高的灵活性,并且借助于路由器,这种VLAN可以很容易地扩展到整个WAN上。
|
|
|
|
(5)基于策略的VLAN。基于策略的方法允许网络管理员使用任何VLAN策略的组合来创建满足其需求的VLAN。通过上面列出的VLAN策略把设备指定给VLAN,当一个策略被指定到一个交换机时,该策略就在整个网络上应用,而设备被置入VLAN中。从设备发出的帧总是经过重新计算,以使VLAN成员身份能随着设备产生的流量类型而改变。
|
|
|
|
基于策略的VLAN可以使用上面提到的任何一种划分VLAN的方法,并可以把不同方法组合成一种新的策略来划分VLAN。
|
|
|
|
(6)按用户定义、非用户授权划分。基于用户定义、非用户授权来划分VLAN是指为了适应特别的VLAN网络,根据特殊的网络用户的特殊要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可以加入一个VLAN。
|
|
|
|
在上述6种划分方法中,各方法的侧重点不同,所达到的效果也不尽相同。目前在网络产品中融合多种划分VLAN的方法,以便根据实际情况寻找最合适的途径。同时,随着管理软件的发展,VLAN的划分逐渐趋向于动态化。
|
|
|
|
|
|
当VLAN交换机从工作站接收到数据后,会对数据的部分内容进行检查,并与一个VLAN配置数据库(该数据库含有静态配置的或动态学习而得到的MAC地址等信息)中的内容进行比较后,确定数据去向。如果数据要发往一个VLAN设备,一个标签或VLAN标识就被加到这个数据上,根据VLAN标识和目的地址,VLAN交换机就可以将该数据转发到同一VLAN上适当的目的地;如果数据发往非VLAN设备,则VLAN交换机发送不带VLAN标识的数据。
|
|
|
|
|
|
(1)MAC地址静态登记方式。MAC地址静态登记方式是预先在VLAN交换机中设置一张地址列表,这张表含有工作站的MAC地址及VLAN交换机的端口号、VLAN ID等信息,当工作站第一次在网络上发广播包时,交换机就将这张表的内容一一对应起来,并对其他交换机广播。这种方式的缺点在于,网络管理员要不断修改和维护MAC地址静态条目列表,且大量的MAC地址静态条目列表的广播信息容易导致主干网络拥塞。
|
|
|
|
(2)帧标签方式。帧标签方式采用的是标签技术,即给每个数据包都加上一个标签,用来标明数据包属于哪个VLAN。这样,VLAN交换机就能够将来自不同VLAN的数据流复用到相同的VLAN交换机上。帧标签方式给每个数据包加上标签,使得网络的负载也相应增加了。
|
|
|
|
(3)虚连接方式。网络用户A和B第一次通信时,发送ARP广播包,VLAN交换机将学习到的MAC和所连接的VLAN交换机的端口号保存到动态条目MAC地址列表中,当A有数据要传送时,VLAN交换机从其端口收到的数据包中识别出目的MAC地址,查询动态条目MAC地址列表,得到目的站点所在的VLAN交换机端口,这样两个端口间就建立起一条虚连接,数据包就可从源端口转发到目的端口。数据包一旦转发完毕,虚连接即被撤销。这种方式使带宽资源得到了很好利用,提高了VLAN交换机效率。
|
|
|
|
(4)路由方式。在按IP划分的VLAN中,很容易实现路由,即将交换功能和路由功能融合在VLAN交换机中。这种方式既达到了控制广播风暴的最基本目的,又不需要外接路由器,但这种方式对VLAN成员之间的通信速度不是很理想。
|
|
|
