淺談VLAN技術(shù)

2019-11-04 20:43:32

字體：大中小

供稿：網(wǎng)友

　　目前，廣域網(wǎng)和局域網(wǎng)技術(shù)得到廣泛推廣和應(yīng)用。尤其是局域網(wǎng)技術(shù)發(fā)展更快，從傳統(tǒng)LAN到交換LAN，再發(fā)展到虛擬LAN即VLAN（Virtual Local Area Networks）。VLAN技術(shù)較傳統(tǒng)LAN技術(shù)前進了一大步，讓我們在遼闊的信息領(lǐng)域中擁有屬于自己的空間。
　　
　　1．VLAN概念
　　
　　　　VLAN是一個在物理網(wǎng)絡(luò)上根據(jù)用途，工作組、應(yīng)用等來邏輯劃分的局域網(wǎng)絡(luò)，是一個廣播域，與用戶的物理位置沒有關(guān)系。VLAN中的網(wǎng)絡(luò)用戶是通過LAN交換機來通信的。一個VLAN中的成員看不到另一個VLAN中的成員。
　　
　　2．VLAN特征
　　
　　　　同一個VLAN中的所有成員共同擁有一個VLAN ID，組成一個虛擬局域網(wǎng)絡(luò)；同一個VLAN中的成員均能收到同一個VLAN中的其他成員發(fā)來的廣播包，但收不到其他VLAN中成員發(fā)來的廣播包；不同VLAN成員之間不可直接通信，需要通過路由支持才能通信，而同一VLAN中的成員通過VLAN交換機可以直接通信，不需路由支持。
　　
　　3．VLAN特征
　　
　　　　VLAN的特性是：控制通信活動，隔離廣播數(shù)據(jù)順化網(wǎng)絡(luò)治理，便于工作組優(yōu)化組合，VLAN中的成員只要擁有一個VLAN ID就可以不受物理位置的限制，隨意移動工作站的位置；增加網(wǎng)絡(luò)的安全性，VLAN交換機就是一道道屏風(fēng)，只有具備VLAN成員資格的分組數(shù)據(jù)才能通過，這比用計算機服務(wù)器做防火墻要安全得多；網(wǎng)絡(luò)帶寬得到充分利用，網(wǎng)絡(luò)性能大大提高。
　　
　　4．交換式以太網(wǎng)VLAN和ATM VLAN
　　
　　　　從技術(shù)角度來講，VLAN既可以在交換式以太網(wǎng)中實現(xiàn)，也可以在ATM骨干網(wǎng)中實現(xiàn)，比較起來，在ATM環(huán)境中實現(xiàn)VLAN技術(shù)相對來說要困難些。
　　
　　　　（1）交換式以大網(wǎng)VLAN，基于交換式以太網(wǎng)的VLAN采用的是幀交換（Frame Switch）技術(shù)，其工作機制是：當以太網(wǎng)交換機從一個端口收到數(shù)據(jù)幀后，對數(shù)據(jù)幀中包含的MAC（媒體存取控制）地址進行分析姘利用交換機中的端口-MAC地址映射表將數(shù)據(jù)幀轉(zhuǎn)發(fā)至相應(yīng)端口。
　　
　　　　（2）ATM VLAN。基于ATM的VLAN采用的是信元交換（Cell Switch）技術(shù)，信元交換技術(shù)主要是指ATM技術(shù)，工作機制是：當ATM交換機從一個端口收到數(shù)據(jù)包后，采用53字節(jié)的定長信元（Cell）進行封裝處理，其中有5個字節(jié)是信無頭，含有目的地址等信息。在交換時，全部以信元進行交換。ATM是局域網(wǎng)和廣域網(wǎng)的公共基礎(chǔ)技術(shù)，結(jié)合了線路交換和存儲轉(zhuǎn)發(fā)兩種數(shù)據(jù)交換形式，采用底層交換和光纖傳輸?shù)燃夹g(shù)，具有從幾兆到數(shù)百兆甚至上千兆的網(wǎng)絡(luò)帶寬，能充分滿足數(shù)據(jù)、語音及視頻等傳輸?shù)母黝愋枨螅浅］p易組建各種應(yīng)用的城域網(wǎng)，并有服務(wù)質(zhì)量（QoS）保證。在ATM上實現(xiàn)VLAN技術(shù)實在是再好不過的了。
　　
　　5．VLAN實現(xiàn)原理
　　
　　　　當VLAN交換機從工作站接收到數(shù)據(jù)后，會對數(shù)據(jù)的部分內(nèi)容進行檢查，并與一個VLAN配置數(shù)據(jù)庫（該數(shù)據(jù)庫含有靜態(tài)配置的或者動態(tài)學(xué)習(xí)而得到的MAC地址等信息）中的內(nèi)容進行比較后，確定數(shù)據(jù)去向，假如數(shù)據(jù)要發(fā)往一個VLAN設(shè)備（VLAN-aware），一個標記（Tag）或者VLAN標識就被加到這個數(shù)據(jù)上，根據(jù)VLAN標識和目的地址，VLAN交換機就可以將該數(shù)據(jù)轉(zhuǎn)發(fā)到同一VLAN上適當?shù)哪康牡兀患偃鐢?shù)據(jù)發(fā)往非VLAN設(shè)備（VLAN-unaware），則VLAN交換機發(fā)送不帶VLAN標識的數(shù)據(jù)。
　　
　　6．VLAN類型
　　
　　　　加入一個VLAN所依據(jù)的標準是多種多樣的，可以按以下方案加入VLAN。
　　
　　　　（1）按端口劃分。將VLAN交換機上的物理端口和VLAN交換機內(nèi)部的PVC（永久虛電路）端口分成若干個組，每個組構(gòu)成一個虛擬網(wǎng)，相當于一個獨立的VLAN交換機。這種按網(wǎng)絡(luò)端口來劃分VLAN網(wǎng)絡(luò)成員的配置過程簡單明了，因此，它是最常用的一種方式。其主要缺點在于不答應(yīng)用戶移動，一旦用戶移動到一個新的位置，網(wǎng)絡(luò)治理員必須配置新的VLAN。
　　
　　　　（2）按MAC地址劃分。VLAN工作基于工作站的MAC地址，VLAN交換機跟蹤屬于VLAN MAC的地址，從某種意義上說，這是一種基于用戶的網(wǎng)絡(luò)劃分手段，因為MAC在工作站的網(wǎng)卡（NIC）上。這種方式的VLAN答應(yīng)網(wǎng)絡(luò)用戶從一個物理位置移動到另一個物理位置時，自動保留其所屬VLAN的成員身份，但這種方式要求網(wǎng)絡(luò)治理員將每個用戶都一一劃分在某個VLAN中，在一個大規(guī)模的VLAN中，這就有些困難；再者，筆記本電腦沒有網(wǎng)卡，因而，當筆記本電腦移動到另一個站時，VLAN需要重新配置。
　　
　　　　（3）按網(wǎng)絡(luò)協(xié)議劃分。VLAN按網(wǎng)絡(luò)層協(xié)議來劃分，可分為ip、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議來組成的VLAN，可使廣播域跨越多個VLAN交換機。這對于希望針對具體應(yīng)用和服務(wù)來組織用戶的網(wǎng)絡(luò)治理員來說是非常具有吸引力的，而且，用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動，但其VLAN成員身份仍然保留不變。這種方式不足之處在于，可使廣播域跨越多個VLAN交換機，輕易造成某些VLAN站點數(shù)目較多，產(chǎn)生大量的廣播包，使VLAN交換機的效率降低。
　　
　　　　（4）按IP／IPX劃分。基于IP子網(wǎng)的VLAN，可按照IPv4和IPv6方式來劃分VLAN。其每個VLAN都是和一段獨立的IP網(wǎng)段相對應(yīng)的，將IP的廣播組和VLAN的碰撞域一對一地結(jié)合起來。這種方式有利于在VLAN交換機內(nèi)部實現(xiàn)路由，也有利于將動態(tài)主機配置（DHCP）技術(shù)結(jié)合起來，而且，用戶可以移動工作站而不需要重新配置網(wǎng)絡(luò)地址，便于網(wǎng)絡(luò)治理。其主要缺點在于效率要比第二層差，因為查看三層IP地址比查看MAC地址所消耗的時間多。基于IPX的VLAN，也是按照OSI（開放系統(tǒng)互連）模型的第三層地址來設(shè)計的。
　　
　　　　（5）按策略劃分。基于策略組成的VLAN能實現(xiàn)多種分配方法，包括VLAN交換機端口、MAC地址、IP地址、網(wǎng)絡(luò)層協(xié)議等。網(wǎng)絡(luò)治理人員可根據(jù)自己的治理模式和本單位的需求來決定選擇哪種類型的VLAN。
　　
　　　　（6）按用戶定義、非用戶授權(quán)劃分。基于用戶定義、非用戶授權(quán)來劃分VLAN，是指為了適應(yīng)非凡的VLAN網(wǎng)絡(luò)，非凡的網(wǎng)絡(luò)用戶的非凡要求來定義和設(shè)計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，得到VLAN治理的認證后才可以加入一個VLAN。
　　
　　7．VLAN通信
　　
　　　　VLAN交換機必須有一種方式來了解VLAN的成員關(guān)系，即要讓交換機知道哪一個工作站屬于哪一個VLAN。一般地，基于VLAN交換機端口或者工作站的MAC地址來組建的VLAN，其VLAN成員是以直接的形式與其他成員聯(lián)系的；基于三層如按IP來組建的VLAN，其VLAN成員是以間接的形式與其他成員聯(lián)系的。目前VLAN之間的通信主要采取如下4種方式。
　　
　　　　（1）MAC地址靜態(tài)登記方式。MAC地址靜態(tài)登記方式是預(yù)先在VLAN交換機中設(shè)置好一張地址列表，這張表含有工作站的MAC地址JLAN交換機的端口號、VLAN ID等信息，當工作站第一次在網(wǎng)絡(luò)上發(fā)廣播包時，交換機就將這張表的內(nèi)容一一對應(yīng)起來，并對其他交換機廣播。這種方式的缺點在于，網(wǎng)絡(luò)治理員要不斷修改和維護MAC地址靜態(tài)條目列表；且大量的MAC地址靜態(tài)條目列表的廣播信息易導(dǎo)致主干網(wǎng)絡(luò)擁塞。
　　
　　　　（2）幀標簽方式。幀標簽方式采用的是標簽（tag）技術(shù)，即在每個數(shù)據(jù)包都加上一個標簽，用來標明數(shù)據(jù)包屬于哪個VLAN，這樣，VLAN交換機就能夠?qū)碜圆煌琕LAN的數(shù)據(jù)流復(fù)用到相同的VLAN交換機上。這種方式存在一個問題，即每個數(shù)據(jù)包加上標簽，使得網(wǎng)絡(luò)的負載也相應(yīng)增加了。
　　
　　　　（3）虛連接方式。網(wǎng)絡(luò)用戶A和B第一次通信時，發(fā)送地址解析（ARP）廣播包，VLAN交換機將學(xué)習(xí)到的MAC和所連接的VLAN交換機的端口號保存到動態(tài)條目MAC地址列表中，當A和日有數(shù)據(jù)要傳時，VLAN交換機從其端口收到的數(shù)據(jù)包中識別出目的MAC地址，查動態(tài)條目MAC地址列表，得到目的站點所在的VLAN交換機端口，這樣兩個端口間就建立起一條虛連接，數(shù)據(jù)包就可從源端口轉(zhuǎn)發(fā)到目的端口。數(shù)據(jù)包一旦轉(zhuǎn)發(fā)完畢，虛連接即被撤銷。這種方式使帶寬資源得到了很好利用，提高了VLAN交換機效率。
　　
　　　　（4）路由方式。在按IP劃分的VLAN中，很輕易實現(xiàn)路由，即將交換功能和路由功能融合在VLAN交換機中。這種方式既達到了作為VLAN控制廣播風(fēng)暴的最基本目的，又不需要外接路由器。但這種方式對VLAN成員之間的通信速度不是很理想。
　　
　　8．VLAN交換機的互聯(lián)
　　
　　　　（1）接入鏈路。接入鏈路（access Link）是用來將非VLAN標識的工作站或者非VLAN成員資格的VLAN設(shè)備接入一個VLAN交換機端口的一個LAN網(wǎng)段。它不能承載標記數(shù)據(jù)。
　　
　　　　（2）中繼鏈路。中繼鏈路（Trunk Link）是只承載標記數(shù)據(jù)（即具有VLAN ID標簽的數(shù)據(jù)包）的干線鏈路，只能支持那些理解VLAN幀格式和VLAN成員資格的VLAN設(shè)備。中繼鏈路最通常的實現(xiàn)就是連接兩個VLAN交換機的鏈路。與中繼鏈路緊密相關(guān)的技術(shù)就是鏈路聚合（Trunking）技術(shù)，該技術(shù)采用VTP（VLAN Trunking PRotoco1）協(xié)議，即在物理上每臺VLAN交換機的多個物理端口是獨立的，多條鏈路是平行的，采用VTP技術(shù)處理以后，邏輯上VLAN交換機的多個物理端口為一個邏輯端口，多條物理鏈路為一條邏輯鏈路。這樣，VLAN交換機上使用生成樹協(xié)議STP（Spanning Tree Protocol）就不會將物理上的多條平行鏈路構(gòu)成的環(huán)路中止掉，而且，帶有VLAN ID標簽的數(shù)據(jù)流可以在多條鏈路上同時進行傳輸共享，實現(xiàn)數(shù)據(jù)流的高效快速平衡傳輸。
　　
　　　　（3）混合鏈路。混合鏈路（Hybrid Link）是接入鏈路和中繼鏈路混合所組成的鏈路，即連接VLAN-aware設(shè)備和VLAN-unaware設(shè)備的鏈路。這種鏈路可以同時承載標記數(shù)據(jù)和非標記數(shù)據(jù)。
　　
　　9．VLAN的可靠性和可擴展性
　　
　　　　（1）可靠性。VLAN的可靠性是指無論一個VLAN中的廣播信息和數(shù)據(jù)是處在一個VLAN設(shè)備中，還是處在多個VLAN設(shè)備中，亦或處在具有動態(tài)VLAN成員資格的網(wǎng)絡(luò)環(huán)境中，都能準確地轉(zhuǎn)發(fā)到目的地。為了實現(xiàn)VLAN的可靠性，需要有下面兩個協(xié)議來保證：GMRP（Group Multicast Registration Protocol，組多點轉(zhuǎn)發(fā)注冊

上一篇：Voice VLAN Lab 配置舉例

下一篇：VLAN技術(shù)簡單談