VLAN技术2.docVIP

VLAN技术 1. VLAN的定义? VLAN（Virtual Local Area Network，VLAN）即虚拟局域网 2. VLAN的实现原理与主要特征 2.1 VLAN的实现原理是 VLAN的实现原理是：当VLAN交换机从工作站接收到数据后，将对数据的部分内容进行检查，并与一个VLAN配置数据库（该数据库含有静态配置的或者动态学习而得到的MAC地址等信息）中的内容进行比较，然后确定数据去向。如果数据要发往一个VLAN设备（VLAN-aware），则给这个数据加上一个标记（Tag）或者VLAN标识，根据VLAN标识和目的地址，VLAN交换机就可以将该数据转发到同一VLAN上适当的目的地；如果数据发往非VLAN设备（VLAN-unaware），则VLAN交换机发送不带VLAN标识的数据。 2.2 VLAN的主要功能 2.2.1　广播抑制功能 为了防止大量用户发送消息时形成广播风暴，避免造成整个网络性能下降甚至瘫痪，虚拟网技术将广播域按需要分成更小的、各自独立的VLAN。这样能够使网络中广播包在消耗带宽中所占的比例大大降低，从而使网络性能得到显著提高。 2.2.2　动态网络功能 在虚拟环境下，某一个VLAN成员与该VLAN仅仅是逻辑上的关系，而与地理位置无关。因此，可以很方便地加入或撤除VLAN，克服了使用传统路由器隔离广播信息的方法所带来的问题。 2.2.3　网络安全功能 根据安全需要，虚拟技术可以将不同层次的用户群划分为不同的VLAN，对不同用户之间的通信进行限制。虚拟网之间的通信是通过路由技术实现的。它能够使双方不知道彼此具体的MAC地址，从而消除通信双方直接连接的可能性，使网络安全性得到很大提高，还可以通过路由技术的包过滤等功能来进一步提高网络安全性 2.3　VLAN的主要特征 （1）所有成员组成一个VLAN。同一个VLAN中的所有成员共同组成一个“独立于物理位置而具有相同逻辑的广播域”，共享一个VLAN标志（VLAN ID），组成一个虚拟局域网络。 （2）成员间收发广播包的特点是同一个VLAN中的所有成员均能收到由同一个VLAN中的其他成员发送来的每一个广播包，但收不到其他VLAN中成员发来的广播包。 （3）成员间通信的特点是同一个VLAN中的所有成员之间的通信，通过VLAN交换机可以直接进行，不需路由支持；不同VLAN成员之间不能直接通信，无论采用传统路由器方式还是虚拟路由方式，均需要通过路由支持才能进行。 （4）便于工作组优化组合。控制通信活动，隔离广播数据顺化网络管理，方便工作组优化组合。VLAN中的成员只要拥有一个VLAN ID，就可以不受物理位置的限制，随意移动工作站的位置。 （5）网络安全性强。通过路由访问列表、MAC地址分配等VLAN划分原则，可以控制用户的访问权限和逻辑网段的大小。VLAN交换机就像是一道道“屏风”，只有具备VLAN成员资格的分组数据才能通过，这比用计算机服务器做防火墙要安全得多，增加了网络的安全性，提高了网络的整体安全能力。 （6）网络性能高。网络带宽得到充分利用，网络性能大大提高。 （7）网络管理简单、直观。 3、VLAN的划分类型 3.1　基于端口划分 将VLAN交换机上的物理端口和VLAN交换机内部的PVC（永久虚电路）端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。该方法简单、有效，是最常用的一种方式，网络管理员针对网络设备的交换端口，将其进行重新分配组合在不同的逻辑网段中即可，而不用考虑该端口所连接的是什么设备。该方法的主要缺点在于不允许用户移动，一旦用户移动到一个新的位置，网络管理员必须要配置新的VLAN。 3.2　基于MAC地址划分 MAC地址就是指网卡（NIC）的标识符，每一块网卡的MAC地址都是惟一的。从某种意义上说，这是一种基于用户的网络划分手段，基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN组合。在网络规模较小时，该方案不失为一个好方法，但随着网络规模的扩大以及网络设备、用户的增加，会在很大程度上加大管理的难度。这种方式的VLAN划分允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。但这种方式要求网络管理员须将每个用户都一一划分在某个VLAN中，这在一个大规模的VLAN中会存在一些困难；另外，由于笔记本电脑没有网卡，因而当笔记本电脑移动到另一个站时，VLAN需要重新配置。 3.3　基于策略划分 基于策略的VLAN划分是一