电脑技术学习

VLAN(虚拟局域网)技术简介

dn001

2.3 基于策略划分

基于策略的VLAN划分是一种比较有效而直接的方式,能实现多种分配方法,包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN,这主要取决于在VLAN的划分中所采用的策略。

2.4 基于网络协议划分

按照网络层协议可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议组成的VLAN,可使广播域跨越多个VLAN交换机。对于希望针对具体应用和服务来组织用户的网络管理员来说,是非常具有吸引力的;而且用户可以在网络内部自由移动,但其VLAN成员身份仍然可以保留不变。这种方式的不足之处在于广播域跨越多个VLAN交换机,容易造成某些VLAN站点数目过多,产生大量的广播包,从而使VLAN交换机的效率降低。

2.5 基于IP/IPX划分

基于IP子网的VLAN可按照IPv4和IPv6方式来划分。每个VLAN都是和一段独立的IP网段相对应,这种方式有利于在VLAN交换机内部实现路由,也有利于与动态主机配置(DHCP)技术结合起来,而且用户可以移动工作站而不需要重新配置网络地址,便于网络管理。该方式的主要缺点在于效率要比第二层差,因为查看三层IP地址比查看MAC地址所消耗的时间多。

2.6 按用户定义、非用户授权划分

基于用户定义、非用户授权来划分VLAN,是指为了适应特别的VLAN网络、特别用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,得到VLAN管理的认证后才可以加入一个VLAN。

3、VLAN的通信方式

3.1 MAC地址静态登记通信方式

MAC地址静态登记方式是预先在VLAN交换机中设置好一张地址列表,这张列表含有工作站的MAC地址、VLAN交换机的端口号、VLANID等信息。当VLAN交换机从工作站接收到数据后,会对数据的内容进行检查,在与VLAN静态配置数据库中的内容进行比较后,确定数据发往去向,并对其他交换机进行广播。这种方式的缺点在于网络管理员需要不断地修改和维护MAC地址静态条目列表,且大量的MAC地址静态条目列表的广播信息容易导致主干网络拥塞。

3.2 帧标签通信方式

帧标签通信方式采用标签(Tag)技术,即给每个数据包都加上一个标签,用来标明数据包属于哪个VLAN。这样,VLAN交换机就能够将来自不同VLAN的数据流复用到相同的VLAN交换机上。这种方式的缺点是每个数据包需加上标签,从而使网络的负载相应增加。

3.3 虚连接通信方式

虚连接通信方式是指网络中用户A与B在第一次通信时,发送地址解析(ARP)广播包。VLAN交换机将MAC和所连接的VLAN交换机的端口号保存到动态条目MAC地址列表中,当A和B有数据要传送时,VLAN交换机从其端口收到的数据包中识别出目的MAC地址,查看动态条目MAC地址列表,得到目的站点所在的VLAN交换机端口。这样,两个端口间就建立起一条虚连接,数据包就可以从源端口转发到目的端口。数据包一旦转发完毕,虚连接即被撤销。这种方式能使带宽资源得到很好利用,提高了VLAN交换机效率。

3.4 路由通信方式

在按IP划分的VLAN中,很容易实现路由,即将交换功能和路由功能融合在VLAN交换机中。这种方式既可达到作为VLAN控制广播风暴的最基本的目的,又不需要外接路由器;但缺点是VLAN成员之间的通信速度不是很理想。

4、VLAN技术的应用前景

虚拟网络技术打破了地理环境的制约,在不改动网络物理连接的情况下可以任意将工作站在工作组或子网之间移动,将工作站组成逻辑工作组或虚拟子网,提高信息系统的运作性能,均衡网络数据流量,合理利用硬件及信息资源。而且,虚拟网络技术大大减轻了网络管理和维护工作的负担,降低了网络维护费用,因此具有广阔的发展前景。

4.1 增加了网络连接的灵活性

网络管理员对于网络上的工作站,可以按业务功能分组而不必按地理位置分组。VLAN可以降低移动工作站地理位置的管理费,特别对于一些业务经常变动的公司。

4.2 可控制网络上的广播风暴

随着网络向交换结构的转变,人们失去了路由器提供的防火墙功能。这样,广播风暴将发送到每一个交换端口,这就是常说的整个网络是一个广播域。使用交换网络的优势是可以提供低延时和高吞吐量。

VLAN可以提供建立防火墙的机制,防止交换网络的过量广播风暴。VLAN可以将某个交换端口或用户赋予某一个特定的VLAIq组,该组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播风暴不会发送到VLAN之外。同样,相邻的端口也不会收到其他VLAN产生的广播风暴。

4.3 提高了网络的安全性

人们在LAN上经常传送一些保密性、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分成几个不同的广播组,网络管理员限制VLAN中用户的数量,禁止未经允许而访问VLAN的应用。交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。

4.4 加强了集中化的管理控制

通过集中化的VLAN管理程序,网络管理员可以确定VLAN组,分配特定用户和交换端口给这些VLAN组,设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,跨越交换机配置VLAN通信,监控交通流量和VLAN使用的网络带宽。这些能力可有效地提高网络管理程序的可控性、灵活性和监视功能,减少管理费用。