|
|
|
虚拟局域网(Virtual Local Area Network,VLAN)是由一些主机、交换机或路由器等组成的一个虚拟的局域网。虚拟局域网超越了传统局域网的物理位置局限,终端系统可以分布于网络中不同的地理位置,但都属于同一逻辑广播域。
|
|
|
|
管理员能够很容易地控制不同VLAN间的互相访问能力,可以将同一部门或属于同一访问功能组的用户划分在同一VLAN中,VLAN内的用户之间可以通过交换机或路由器相互连通。网络管理员甚至还可以通过VLAN的安全访问列表来控制不同VLAN之间的访问。
|
|
|
|
目前,实现VLAN的划分有多种方法,可以按照物理端口来划分,也可以按照不同的网络协议如IP、IPX等进行划分,还可以按照MAC地址来划分,有些还可以根据应用类型来划分。具体采用何种划分办法要看用户的具体管理需求和所选用的网络产品。
|
|
|
|
VLAN能够对广播信息进行有效的控制,最大限度地减少对终端工作站、网络服务器和处理关键业务数据的骨干部分的性能影响。采用VLAN还便于管理的更改,而整个网络范围内与用户增加、移动和物理位置变更相关的对管理工作的要求也大为减少。这从很大程度上方便了网络系统的安全访问控制管理。
|
|
|
|
VLAN的划分方式的目的是保证系统的安全性,因此,可以按照系统的安全性来划分VLAN。可以将总部中的服务器系统单独划做一个VLAN,如数据库服务器、电子邮件服务器等。也可以按照机构的设置来划分VLAN,如将领导所在的网络单独作为一个VLAN,其他下级机构分别作为一个VLAN,并且控制领导所在的VLAN与其他VLAN之间的单向信息流向,即允许领导所在的VLAN查看其他VLAN的相关信息,反之则不行。VLAN之内的连接采用交换技术实现,VLAN与VLAN之间则采用路由实现。由于路由控制的能力有限,不能实现VLAN之间的单向信息流动,需要在VLAN之间设置一个防火墙作为安全隔离设备,控制VLAN与VLAN之间的信息交换。
|
|
|
|
通过VLAN运行机制,可以给网络安全带来很多好处,比如信息只到达应该到达的地点,因此可防止大部分基于网络监听的入侵手段;通过VLAN设置的访问控制,也使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是,VLAN技术也带来了新的问题:执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象;基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置;基于MAC的VLAN不能防止MAC欺骗攻击,因此采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口,但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
|
|
|
|
如果一个VLAN跨越多个交换机,则属于同一VLAN的工作站要通过Trunk(干道)线路互相通信。Trunk是一种封装技术,它是一条点到点的链路,主要功能就是仅通过一条链路就可以连接多个交换机,从而扩展已配置的多个VLAN。还可以采用通过Trunk技术和上级交换机级连的方式来扩展端口的数量,达到近似堆叠的功能,节省了网络硬件的成本,从而扩展整个网络。Trunk承载的VLAN范围默认是1~1005,用户可以修改,但必须有一个Trunk协议。使用Trunk时,相邻端口上的协议要一致。
|
|
|
|
|
|
(1)可以在不同的交换机之间连接多个VLAN,可以将VLAN扩展到整个网络中。
|
|
|
|
(2)Trunk可以捆绑任何相关的端口,也可以随时取消设置,这样提供了很高的灵活性。
|
|
|
|
(3)Trunk可以提供负载均衡能力及系统容错能力。由于Trunk实时平衡各个交换机端口和服务器接口的流量,一旦某个端口出现故障,它会自动把故障端口从Trunk组中撤销,进而重新分配各个Trunk端口的流量,从而实现系统容错。
|
|
|
