虚拟局域网技术
1.虚拟局域网的由来
局域网的发展是虚拟局域网的基础,局域网(LAN)通常是一个单独的广播域,主要由网桥或交换机等网络设备连接同一网段内的所有节点形成。处于同一个局域网之内的网络节点之间可以直接通信,而处于不同局域网段的设备之间的通信则必须经过路由器才能通信。
随着网络的不断扩展,接入设备逐渐增多,网络结构也日趋复杂,必须使用更多的路由器才能将不同的用户划分到各自的广播域中,在不同的局域网之间提供网络互联,但这样做存在两个缺陷:
·随着网络中路由器数量的增多,网络延时逐渐加长,从而导致网络数据传输速度的下降。
·用户是按照它们的物理连接被自然地划分到不同的用户组(广播域)中。这种分割方式并不是根据工作组中所有用户的共同需要和带宽的需求来进行的。因此,尽管不同的工作组或部门对带宽的需求有很大的差异,但它们却被机械地划分到同一个广播域中争用相同的带宽。
另外,局域网中广播和组播流量被发送到每台主机会带来大量的网络流量,处于某些安全因素需要禁止任意站之间的通信。
为了解决大型多用途交换网络运行中的问题,IEEE提出了虚拟局域网(VLAN)的概念。
2.虚拟局域网定义
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
在计算机网络中,一个二层网络可以被划分为多个不同的广播域,一个广播域对应了一个特定的用户组,默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要通信,需要通过一个或多个路由器。这样的一个广播域就称为VLAN。
3.虚拟局域网工作原理
虚拟局域网的主要思想是:所有计算机组成一个大的物理局域网,即传统局域网;将所有计算机设备按照功能和需求划分为若干组,每组划分为一个逻辑网段,每个逻辑网段是1个虚拟局域网;一个传统局域网可划分为多个逻辑网段,即多个VLAN;VLAN中的站点是通过软件定义而不是硬件定义;站点可在多个VLAN之间移动;一个VLAN中的广播信息可以被该VLAN中的站点接收,该VLAN之外的站点接收不到该广播信息,因此VLAN和传统局域网一样可以隔离广播信息;连接在不同交换机上的站点可以使用VLAN技术组成一个或多个VLAN;VLAN中的站点之间通信时就像传统局域网一样;VLAN之间的相互通信必通过网络层协议实现,不能直接相互通信。
采用VLAN技术可以很容易地解决前面提出的问题。例如,某个单位拥有财物、开发和办公三个部门,出于安全和管理方面的考虑,希望每个部门的计算机可以无障碍通信,部门之间的通信则需要进行控制。由于地理位置和设备限制,办公、开发和财物部门的共用相同交换机,建成为一个传统局域网。
4.划分标准
工作站到VLAN的映射有几种方法。通过端口、基于MAC地址是常见的划分标准。
4.1 按端口划分
通过端口分配VLAN是许多VLAN厂商常采用的划分方法。交换机端口被分成不同的VLAN(例如一个交换机有6个端口,将其中三个划为一个VLAN,另外三个划为另一个VLAN),则端口所连接的站就被分配在一个特定的VLAN中,成为这个VLAN中的成员。这种划分方式简单明了,允许共享网络的升级,但这种划分模式将VLAN限制在了交换机上。
4.2 按IP地址划分
IP地址中有一类组播地址,这类地址是天然的VLAN,因为组播地址符合VLAN的大体定义.但按IP地址划分的方法效率不高。
4.3 按MAC地址划分
基于MAC地址的VLAN中,交换机使用表将一个站的MAC地址映射到一个VLAN,即对每个MAC地址的主机都划分到一个特定组中。这种划分VLAN方法的最大优点是当用户的物理位置改变(如从一个交换机换到其他交换机)时,VLAN不用重新配置。但这么划分的缺点是,这需要为每一个用户配置VLAN,当VLAN中的用户数量增多且由于某些原因MAC地址需要变化时,都要重新配置VLAN,这会让VLAN变得难以管理。
5.虚拟局域网的作用
VLAN网络可以是有混合的网络类型设备组成,比如:10M以太网、100M以太网、令牌网、FDDI、CDDI等等,可以是工作站、服务器、集线器、网络上行主干等等。
VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。
物理位置不同的多个主机如果划分属于同一个VLAN,则这些主机之间可以相互通信。物理位置相同的多个主机如果属于不同的VLAN,则这些主机之间不能直接通信。VLAN通常在交换机或路由器上实现,在以太网帧中增加VLAN标签来给以太网帧分类,具有相同VLAN标签的以太网帧在同一个广播域中传送。
VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
6.虚拟局域网的应用
随着网络硬件性能的不断提高和成本的不断降低,目前新建立的局域网基本上都采用了性能先进的快速以太网或千兆网技术,其核心交换机采用三层交换机。而这种新型的交换机正好能很好地支持VLAN技术,这为企业部署VLAN网络提供了前提基础。目前,VLAN技术的应用主要是在一些较大型网络中,如大中型企业网络、行政机关网和大学校园网,当然这些用户VLAN网络的目的各不相同,下面简要介绍几种。
6.1组建部门局域网
很多企业往往已经拥有一个相当规模的局域网,但是现在企业内部因为保密或者其他原因,要求各业务部门或者课题组独立成为一个局域网,各业务部门或者课题组的人员不一定是在同一个办公地点,各网络之间不允许互相访问。根据这种情况,可以有几种解决方法,包括前面介绍的通过改变子网掩码的方式划分子网,但是采用VLAN技术可能是最好,也是最方便的。
采用VLAN,要做的工作主要是收集各部门或者课题组的人员组成、所在位置、与交换机连接的端口等信息。根据部门数量对交换机进行配置,创建VLAN,设置中继,最后在一个公用的局域网内部划分出若干个虚拟的局域网,同时减少了局域网内的广播,提高了网络传输性能。这样的VLAN还可灵活地根据不断变化的实际需要增加、改变和删除VLAN子网。
这一应用还特别适用于政府网络,可以把政府机构的各部门通过VLAN网络连接起来,既可以做到相互独立,又可以满足各相关部门之间的资源共享。
6.2组建校园网
在校园网中VLAN已被广泛采用。在隔离网络风暴提高网络性能方面,有极好的性能价格比,使得它具有替代高端路由器的趋势。在校园网中,除了以专线方式接入Intemet必需路由器之外,一般应尽量少用高端路由器,因为高端路由器的价格太高,并且在校园网中使用也不能发挥其强大的功能。在VLAN子网间可采用基于三层交换的交换机来完成路由功能,这样不仅提高了其性能价格比,更重要的是还增加了网络带宽,提高了网络性能。
在安全保密方面,VIAN技术可以发挥其强大的作用。比如,对于学校的财务部门或其他涉及保密信息的部门,可使用VLAN技术将这些部门的信息节点划分在不同的VLAN中。通过权限设置对该VLAN的访问权限,由于其信息传输只限制在VLAN内部,所以可防止大部分以网络监听为手段的入侵。
6.3设置共享资源
在一些大型写字楼或商业建筑(酒店、展览中心等)中,经常存在这样的现象;大楼出租给各个单位,并且大楼内部已经构建好了局域网,为入驻企业或客户提供了网络平台,并通过共同的出口访问Intemet或者大楼内部的综合信息服务器。由于大楼的网络平台是统一的,因此使用的客户不但有物业管理人员,还有其他不同单位的客户。在这样一个共享的网络环境下,解决不同企业或单位对网络的需求的同时,还要保证各企业间信息的独立性。此时,虚拟局域网就是一个很好的解决方案。
大厦的系统管理员可以为入驻企业创建独立的VLAN,保证企业内部的互相访问和企业间信息的独立,然后利用中继技术,将提供接入服务的代理服务器或者路由器所对应的局域网接口配置成为中继模式,实现共享接入。这种配置方式还有一个好处,就是可以根据需要设置中继的访问许可,灵活地允许或者拒绝某个VLAN的访问。