■小知识
关于VLAN
VLAN(Virtual Local Area Network,虚拟局域网)是指在交换局域网的基础上,采用网络治理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,答应处于不同地理位置的网络用户加入到一个逻辑子网中。
为什么需要VLAN技术
1. 提高网络的安全性
先举一个例子:假设校园内有两个不同安全要求的科室:财务室和微机房,我们往往会提出非凡的要求——微机房和财务室的网络必须隔离,以免财务数据泄漏。在不使用VLAN技术的情况下,我们需要两个相互独立的交换机来连接两个网络,这样就会造成资源的浪费。而VLAN技术的出现,就很好地解决了这类问题。在一台交换机上划分VLAN以后,不同VLAN的之间将不能直接通信,通信流量被控制在VLAN中,VLAN间的通信必须通过三层设备(路由器)。我们可以在路由器上设置访问控制,从而很好地提高了网络的安全性。
2. 控制网络广播
局域网的整个网络是广播域,这意味着只要有一台计算机发送广播,该广播就会送到每一个交换机接口,即使你的交换机是级联的。假如网络内的计算机数量较多,广播将消耗极大的网络带宽。但是假如在交换机上划分VLAN,那么一个VLAN内的广播将不会发送到其他VLAN,相应地提高了带宽的利用率。
3. 方便网络治理
在整个局域网中,VLAN用户假如移动位置,我们不需要重新布线和调试,只要在交换机上重新分配相应端口到该VLAN就可以了。
VLAN的种类划分
1. 基于端口的VLAN
可以直接静态地将交换机端口划分给不同的VLAN,例如端口1~10分配给VLAN1,端口11~20分配给VLAN2,端口20~23分配给VLAN3。治理员只配置端口的归属,不用关心端口到底连接什么设备。但是每个端口只能属于一个VLAN。
说明:采用这种方式时,治理员必须了解客户端的位置,假如客户端移动,交换机端口必须重设。
2. 基于MAC地址的VLAN
交换机内存有一个VLAN与MAC地址的关系表,交换机可以随时获取网卡的MAC地址,并根据地址的不同将它们分配到不同的VLAN。
说明:这种方式属于动态治理,治理员不用关心客户端所处的拓扑位置,但需要了解所有客户端的MAC地址并逐一配置。用户更换网卡后,交换机配置也需要做相应的修改。
图1 交换端口1~3划分给VLAN1,端口5~6划分给VLAN2,那么财务网络和机房网络将不能通信。
图1
图2 最简单的VLAN间路由。假如路由器支持Vlan Trunking技术,可以只使用一条线路来连接路由器和交换机,称为“单臂路由”。
图2
图3 广播都被封闭在VLAN的范围内而不会相互干扰。
图3
图4 两台交换机都划分了三个VLAN,那么就需要用三根数据线进行连接。假如VLAN划分很多,对交换机的端口是极大的浪费。
图4
图5 两台交换机间只使用了一条数据线,只占用两个端口就可以传送三个VLAN的数据
图5
3. 基于三层的VLAN
基于三层的VLAN一般有两种,其一可以根据不同的协议组成不同的VLAN,其二可以根据不同的网络地址段组成不同的VLAN。以IP为例,可以设置192.168.0.X,掩码255.255.255.0为VLAN1,设置192.168.1.X,掩码255.255.255.0为VLAN2。
说明:这种VLAN功能最强大,但是必须工作在三层,设备价格比较高。
Trunk技术的使用
因为VLAN可以看做相互隔离的网络,那么两台划分了VLAN的交换机之间的通信就必须注重。例如,交换机A和交换机B上都划分了VLAN1、VLAN2和VLAN3,那么交换机是怎么进行数据交换的呢?假如没有使用非凡技术,我们只能用网线连接每一个VLAN,而解决这一问题的技术就是Vlan Trunking,它可以让任何VLAN的信息从同一条线路通过。
作为最常使用的局域网技术之一,VLAN的应用可以使我们的校园网更加稳固和高效。
