浅谈网络时代虚拟局域网技术.doc

浅谈网络时代虚拟局域网技术摘要：文章对虚拟局域网（Virtual Local Area Network）做出简单介绍。从现有网络安全问题入手，介绍了这种常用的网络管理方式，并详细介绍了虚拟局域网的优点、分类、实现、简单配置、通讯、管理等多方面的问题。 关键词：网络安全；虚拟局域网；广播风暴 中图分类号：TP393.1 文献标识码：A 文章编号：1006—8937（2012）23—0089—02 1 虚拟局域网简介 虚拟局域网（Virtual Local Area Network）即我们常说的VLAN，是指在局域网交换的基础上构建的可跨越不同网段的逻辑网络。是通过把局域网中的网络设备逻辑地划分成多个不同的网段从而实现多个不同的逻辑工作组的一种技术。一般常用的网络设备如交换机只能减少网络中的冲突域，对广播域则无能为力，随着计算机的不断普及以及网络的飞速发展，局域网的规模越来越大，广播域也就随之不断增大，给局域网的性能带来很大的影响。 虚拟局域网给出了一种让交换机也来减少广播通信量的方法。VLAN将物理的局域网逻辑地划分成不同的广播域，每一个域中的计算机都有着相同的工作需求，它与物理上形成的局域网有着相同的属性。一个逻辑广播域，可以包括多个网络设备，可以处于不同地理位置。在一个虚拟局域网中广播和单播流量都不会转发到其他虚拟局域网中，从而可以强化网络管理、减少广播风暴、减少设备投资、提高网络性能。 2 VLAN的优点 ①控制网络的广播风暴。按照802.1D透明网桥的算法，当一数据包找不到路由出口的时候，就会以桥模式的方式转发出去。即交换机就会将该数据包向网段内所有其他端口发送。这样极大的浪费了带宽。采用VLAN技术，可将交换机的某个端口划到某个具体的VLAN中，当一数据包找不到路由出口的时候，而交换机只向同属于这个VLAN内的机器端口发送广播包而不是所有端口。这样数据包就被限制在一个VLAN内。一个VLAN的广播风暴不会影响其它VLAN的性能。 ②确保网络安全。由于在一般的网络中，用户只要能够接入网络设备就能访问网络。所以我们通常使用的共享式局域网很难保证网络的安全。而通过划分VLAN，就可以做到允许指定的用户并且可以限制个别用户的访问，甚至可以限定接入设备的MAC地址，所以通过使用VLAN技术能够大大增强网络的安全性和可靠性。VLAN间的数据在二层间是不能通信的。这样，一个VLAN内的数据包是不能发送到另一个VLAN内。这就确保了一个VLAN内的信息不会被其他VLAN上用户窃听，实现了信息的保密。 ③简化网络管理。借助于VLAN技术网络管理员能轻松管理整个网络。VLAN的划分是逻辑的而不是物理的，网络管理员只需设置几条命令，就能按照需求建立起VLAN网络。当用户的工作位置发生变动时，或用户的职责发生变更时可以非常方便的把用户移如新的VLAN中，减少了移动和改变的代价。 3 VLAN的分类 通常而言，VLAN的分类简单来说有以下几种： ①基于端口的VLAN。基于端口的划分VLAN的方法是在日常工作中划分虚拟局域网最常用、最有效的方法。最初的虚拟局域网的实现就是按照交换机的端口来确定VLAN内的成员。这样一个VLAN内的所有成员实际上也就是符合某种条件的所有交换机端口的集合。在行进网络管理中，我们只需要在交换机上规划好端口的用途，从而配置好交换机的端口。并不用在意这些交换机端口连接什么设备、下面的设备走的什么路由。这种配置方法是目前最常用的方法，而且配置起来也非常的简单。它的不足和局限性是当配置好的接入用户当工作属性发生变化需要更改所属VLAN时，需要在本身的交换机端口上重新配置此端口的虚拟局域网属性。 ②基于MAC地址的VLAN。由于MAC地址具有唯一性，每个网卡有固定且唯一的MAC地址。因此按不同的MAC地址来划分VLAN也是常用的划分VLAN的方法。这种划分方式本质上就是将具体的服务器、工作站甚至终端用户通过固定的网卡划分到具体的某个VLAN中。按照这种虚拟局域网划分的方法，VLAN中就是有着特定需求的用户的MAC地址的集合。当用户设备在网络中位置发生变化时，该网络设备能够自动保持它原有的虚拟局域网成员的资格。基于MAC地址的VLAN划分方式可以被看作是基于用户的虚拟局域网。这种划分方式的缺点是要求在配置在某个虚拟局域网中，所有的网络接入用户都必须行进初始配置。在初始配置生效之后，用户的虚拟局域网自动跟踪才能够实现。显而易见，在网络规模不断增长、用户数量不断增加的今天，这种配置方式会给网络管理带来很大的难度，对网络的扩展性支持的不是很好。 ③基于第3层的VLAN。基于第3层的VLAN配置方式通常是采用在路由器中常用的方法。在确定虚拟局域网成员时考虑协议类型或网络层地址。但这并