1. 什麼是虛擬區域網(VLAN)
虛擬區域網(VLAN),是指網路中的站點不拘泥於所處的物理位置,而可以根據需要靈活地加入不同的邏輯子網中的一種網路技術。
基於交換式乙太網的虛擬區域網在交換式乙太網中,利用VLAN技術,可以將由交換機連接成的物理網路劃分成多個邏輯子網。也就是說,一個虛擬區域網中的站點所發送的廣播數據包將僅轉發至屬於同一VLAN的站點。
在交換式乙太網中,各站點可以分別屬於不同的虛擬區域網。構成虛擬區域網的站點不拘泥於所處的物理位置,它們既可以掛接在同一個交換機中,也可以掛接在不同的交換機中。虛擬區域網技術使得網路的拓撲結構變得非常靈活,例如位於不同樓層的用戶或者不同部門的用戶可以根據需要加入不同的虛擬區域網。
劃分虛擬區域網主要出於三種考慮:
第一是基於網路性能的考慮。對於大型網路,現在常用的Windows NetBEUI是廣播協議,當網路規模很大時,網上的廣播信息會很多,會使網路性能惡化,甚至形成廣播風暴,引起網路堵塞。那怎麼辦呢?可以通過劃分很多虛擬區域網而減少整個網路范圍內廣播包的傳輸,因為廣播信息是不會跨過VLAN的,可以把廣播限制在各個虛擬網的范圍內,用術語講就是縮小了廣播域,提高了網路的傳輸效率,從而提高網路性能。
第二是基於安全性的考慮。因為各虛擬網之間不能直接進行通訊,而必須通過路由器轉發,為高級的安全控制提供了可能,增強了網路的安全性。在大規模的網路,比如說大的集團公司,有財務部、采購部和客戶部等,它們之間的數據是保密的,相互之間只能提供介面數據,其它數據是保密的。我們可以通過劃分虛擬區域網對不同部門進行隔離。
第三是基於組織結構上考慮。同一部門的人員分散在不同的物理地點,比如集團公司的財務部在各子公司均有分部,但都屬於財務部管理,雖然這些數據都是要保密的,但需統一結算時,就可以跨地域(也就是跨交換機)將其設在同一虛擬區域網之中,實現數據安全和共享。採用虛擬區域網有如下優勢:抑制網路上的廣播風暴;增加網路的安全性;集中化的管理控制。
基於交換式的乙太網要實現虛擬區域網主要有三種途徑:基於埠的虛擬區域網、基於MAC地址(網卡的硬體地址)的虛擬區域網和基於IP地址的虛擬區域網。
(1)基於埠的虛擬區域網
基於埠的虛擬區域網是最實用的虛擬區域網,它保持了最普通常用的虛擬區域網成員定義方法,配置也相當直觀簡單,就區域網中的站點具有相同的網路地址,不同的虛擬區域網之間進行通信需要通過路由器。採用這種方式的虛擬區域網其不足之處是靈活性不好。例如,當一個網路站點從一個埠移動到另外一個新的埠時,如果新埠與舊埠不屬於同一個虛擬區域網,則用戶必須對該站點重新進行網路地址配置,否則,該站點將無法進行網路通信。在基於埠的虛擬區域網中,每個交換埠可以屬於一個或多個虛擬區域網組,比較適用於連接伺服器。
(2) 基於MAC地址的虛擬區域網
在基於MAC地址的虛擬區域網中,交換機對站點的MAC地址和交換機埠進行跟蹤,在新站點入網時根據需要將其劃歸至某一個虛擬區域網,而無論該站點在網路中怎樣移動,由於其MAC地址保持不變,因此用戶不需要進行網路地址的重新配置。這種虛擬區域網技術的不足之處是在站點入網時,需要對交換機進行比較復雜的手工配置,以確定該站點屬於哪一個虛擬區域網。
(3)基於IP地址的虛擬區域網
在基於IP地址的虛擬區域網中,新站點在入網時無需進行太多配置,交換機則根據各站點網路地址自動將其劃分成不同的虛擬區域網。在三種虛擬區域網的實現技術中,基於IP地址的虛擬區域網智能化程度最高,實現起來也最復雜。VLAN
使用VLAN優點
使用VLAN具有以下優點:
1、控制廣播風暴
一個VLAN就是一個邏輯廣播域,通過對VLAN的創建,隔離了廣播,縮小了廣播范圍,可以控制廣播風暴的產生。
2、提高網路整體安全性
通過路由訪問列表和MAC地址分配等VLAN劃分原則,可以控制用戶訪問許可權和邏輯網段大小,將不同用戶群劃分在不同VLAN,從而提高交換式網路的整體性能和安全性。
3、網路管理簡單、直觀
對於交換式乙太網,如果對某些用戶重新進行網段分配,需要網路管理員對網路系統的物理結構重新進行調整,甚至需要追加網路設備,增大網路管理的工作量。而對於採用VLAN技術的網路來說,一個VLAN可以根據部門職能、對象組或者應用將不同地理位置的網路用戶劃分為一個邏輯網段。在不改動網路物理連接的情況下可以任意地將工作站在工作組或子網之間移動。利用虛擬網路技術,大大減輕了網路管理和維護工作的負擔,降低了網路維護費用。在一個交換網路中,VLAN提供了網段和機構的彈性組合機制。
三層交換技術
傳統的路由器在網路中有路由轉發、防火牆、隔離廣播等作用,而在一個劃分了VLAN以後的網路中,邏輯上劃分的不同網段之間通信仍然要通過路由器轉發。由於在區域網上,不同VLAN之間的通信數據量是很大的,這樣,如果路由器要對每一個數據包都路由一次,隨著網路上數據量的不斷增大,路由器將不堪重負,路由器將成為整個網路運行的瓶頸。
在這種情況下,出現了第三層交換技術,它是將路由技術與交換技術合二為一的技術。三層交換機在對第一個數據流進行路由後,會產生一個MAC地址與IP地址的映射表,當同樣的數據流再次通過時,將根據此表直接從二層通過而不是再次路由,從而消除了路由器進行路由選擇而造成網路的延遲,提高了數據包轉發的效率,消除了路由器可能產生的網路瓶頸問題。可見,三層交換機集路由與交換於一身,在交換機內部實現了路由,提高了網路的整體性能。
在以三層交換機為核心的千兆網路中,為保證不同職能部門管理的方便性和安全性以及整個網路運行的穩定性,可採用VLAN技術進行虛擬網路劃分。VLAN子網隔離了廣播風暴,對一些重要部門實施了安全保護;且當某一部門物理位置發生變化時,只需對交換機進行設置,就可以實現網路的重組,非常方便、快捷,同時節約了成本。
交換機充當的角色
交換機的好處在於其可以隔離沖突域,每個埠就是一個沖突域,因此在一個埠單獨接計算機的時候,該計算機是不會與其它計算機產生沖突的,也就是帶寬是獨享的,交換機能做到這一點關鍵在於其內部的匯流排帶寬是足夠大的,可以滿足所有埠的全雙工狀態下的帶寬需求,並且通過類似電話交換機的機制保護不同的數據包能夠到達目的地,可以把HUB和交換機比喻成單排街道與高速公路。
IP廣播是屬於OSI的第三層,是基於TCP/IP協議的,其產生和原理這里就不多講了,大家可以看看TCP/IP協議方面的書籍。交換機是無法隔離廣播的,就像HUB無法隔離沖突域一樣,因為其是工作在OSI第二層的,無法分析IP包,但我們可以使用路由器來隔離廣播域,路由器的每個埠可以看成是一個廣播域,一個埠的廣播無法傳到另外一個埠(特殊設置除外),因此在規模較大,機器較多的情況下我們可以使用路由器來隔離廣播。
下面開始歸入正題。
通常,只有通過劃分子網才可以隔離廣播,但是VLAN的出現打破了這個定律,用二層的東西解決三層的問題很是奇怪,但是的確做到了。VLAN中文叫做虛擬區域網,它的作用就是將物理上互連的網路在邏輯上劃分為多個互不相乾的網路,這些網路之間是無法通訊的,就好像互相之間沒有連接一樣,因此廣播也就隔離開了。
VLAN的實現原理非常簡單,通過交換機的控制,某一VLAN成員發出的數據包交換機只發個同一VLAN的其它成員,而不會發給該VLAN成員以外的計算機。
使用VLAN的目的不僅僅是隔離廣播,還有安全和管理等方面的應用,例如將重要部門與其它部門通過VLAN隔離,即使同在一個網路也可以保證他們不能互相通訊,確保重要部門的數據安全;也可以按照不同的部門、人員,位置劃分VLAN,分別賦給不同的許可權來進行管理。
VLAN的劃分有很多種,我們可以按照IP地址來劃分,按照埠來劃分、按照MAC地址劃分或者按照協議來劃分,常用的劃分方法是將埠和IP地址結合來劃分VLAN,某幾個埠為一個VLAN,並為該VLAN配置IP地址,那麼該VLAN中的計算機就以這個地址為網關,其它VLAN則不能與該VLAN處於同一子網。
如果兩台交換機都有同一VLAN的計算機,怎麼辦呢,我們可以通過VLAN Trunk來解決。
如果交換機1的VLAN1中的機器要訪問交換機2的VLAN1中的機器,我們可以把兩台交換機的級聯埠設置為Trunk埠,這樣,當交換機把數據包從級聯口發出去的時候,會在數據包中做一個標記(TAG),以使其它交換機識別該數據包屬於哪一個VLAN,這樣,其它交換機收到這樣一個數據包後,只會將該數據包轉發到標記中指定的VLAN,從而完成了跨越交換機的VLAN內部數據傳輸。VLAN Trunk目前有兩種標准,ISL和802.1q,前者是Cisco專有技術,後者則是IEEE的國際標准,除了Cisco兩者都支持外,其它廠商都只支持後者。
2. 虛擬區域網怎麼設置
首先你的意思是採用VLAN技術將區域網劃分成若干個虛擬區域網.
你要補充下交換機的品牌,這樣配置命令可以寫出來.
比如核心交換機可以按照需求配置多個VLAN VLAN號1-4096,1最好不用,其他的任意用們建議有規律,比如.
按照樓層來劃分,1樓VLAN 10,2樓VLAN 20 3樓VLAN 30....
按照部門劃分 財務 VLAN 10,生廠 VLAN 20 .....
當然還要配置網管VLAN,建議用個好大的,我習慣用VLAN100或者是VLAN 1000
還要跟路由器級聯的地址,也創建一個VLAN 比如說VLNA200
配置命令.
核心
ena
config t
hostname SW_HEXIN
vlan 10-60,100
exit
int r f0/1 - 22
sw m tr
sw pv 100
exit
int f0/23 - 24
sw pv 200
des link-路由器
exit
int vlan 10
ip add 192.168.10.1 255.255.255.0
int vlan 20
des 1lou
ipadd 192.168.20.1 255.255.255.0
des 2lou
.....
int vlan 100
ip add 192.168.100.1 255.255.255.0
des wangguan
int vlan 200
ip add 192.168.200.1 255.255.255.252
des link-luyouqi
ip route def 192.168.200.2
你可以每個vlan開啟一個DHCP
接入交換機配置,假設第一樓的
conf
hostname SW_1_LOU
vlan 10,100
int r f0/1 -22
sw pv 10
exit
int r f0/23 -24
sw pv 100
sw m tr
des link-hexin
int vlan 100
ip add 192.168.100.10 255.255.255.0
保存
上面的命令是簡寫,按照順序輸入就可以 虛擬區域網
目前,伺服器經常配置虛擬區域網功能。這就意味你可以減少每台伺服器的埠,從而節省時間和金錢。許多反對虛擬區域網概念的人從來沒有成功地利用這個技術的優勢。一旦設置完畢,你就可以部署新的伺服器。除了正常的網路連接之外,不需要為管理網路提供一個專用的交換機。下面介紹一下如何這樣做。
解釋一下虛擬區域網
虛擬區域網就是一台分區的交換機。假設你把一台交換機分為四個虛擬部分,或者把四台或更多的小型交換機組合在一起,每一組都在一個特定的廣播域,這樣,一個虛擬區域網中的設備就看不到其它設備的廣播通訊。組合在一起的類似設備能夠很好地工作,因為你實際上是與每一台交換機上的不同的2層網路通話。
虛擬區域網是非常方便的。你可能正在為你的伺服器管理網路使用一個單獨的虛擬區域網。虛擬區域網通常是考慮到那個網路中沒有路由器而創建的。這就使其他人不能訪問這個網路,除非他們物理上在這個網路中。通常的做法是把一台伺服器連接到這個管理網路和一個正常的子網。這樣,在登錄這個伺服器之後,你就可以訪問這個管理網路。雖然這工作得很好,但是,這還意味著除了伺服器的正常網路介面之外,你的伺服器管理界面還將佔用一個交換機埠(設置在這個管理網路中生存)。
做標記還是不做標記
在說到基本的虛擬區域網概念時(我們不敢肯定大多數伺服器管理員都已經理解這個概念),我們省去了一些重要的細節。這些細節是提供設置虛擬區域網介面必要的背景的遺漏的部分。
伺服器管理員通常不擔心虛擬區域網介面。他們生活在一個虛擬區域網的世界中,但是,他們一般僅僅是一個消費者。你要求你的網路人員在「Windows伺服器虛擬區域網中放置一個交換機埠3/42」,然後,在你准備好之後連接到一台主機。我們假設你還要求在管理虛擬區域網中安裝一個交換機埠3/43。它與虛擬區域網之間基本的消費者關系能夠忽略虛擬區域網的標記,當然,這個標記早晚會成為必要的東西。
網路管理員經常把多台交換機連接在一起。為了讓一台交換機上的全部虛擬區域網通訊順暢,他們創建了一個有802.1q標記的虛擬區域網鏈路。用思科的話說,這稱作這個埠的「干線」模式。要讓它發揮作用,發送交換機必須把乙太網幀包含在一個虛擬區域網標記中。這樣,下一個設備(也就是其它的交換機)就知道這個乙太網幀屬於哪一個虛擬區域網。在入口的地方,接收的交換機將在把這個乙太網幀轉發到正確的虛擬區域網之前剝掉那個虛擬區域網的標記。這個過程需要一點時間。
值得指出的是,這是在硬體中完成的,因此不會影響到性能。支持802.1q的網卡也能這樣做。例如,如果一個連接到你的工作站的交換機埠被設置為一個.1q鏈路,那麼,你的工作站就可以根據它希望的虛擬區域網樣式提供一個網路介面,不用接觸那個交換機。
當設置這些.1q鏈路時,標記方面將發揮作用。有一個本地的(沒有標記的)虛擬區域網概念,允許在收到沒有標記的幀之後「默認」訪問這個虛擬區域網號碼。
虛擬區域網介面設置
第一,你需要認識到交換機和伺服器都是需要設置的。假如這個交換機是採用一個沒有標記的虛擬區域網號碼100設置的,它就允許號碼標記在101至200之間的所有的虛擬區域網通過。
連接到這個交換機埠的任何設備現在都在虛擬區域網100中。如果這個設備(在這個例子中是伺服器)支持802.1q,它就能夠提出一個虛擬100介面,每一個虛擬區域網一個這種介面。或者,這台伺服器僅在編號152的虛擬區域網中提供一個介面。
我們認為,這是大多數人走的路。在你希望正確地設置這個具有802.1q功能的伺服器之前,你必須知道三個信息:
·哪一個交換機埠為你設置為一個802.1q鏈路。
·允許什麼虛擬區域網通過那個鏈路(與那個交換機上的設置一樣)。
·如果有本地的/沒有標記的虛擬區域網,如何進行設置。
一旦你擁有這些信息,接下來就是設置你的伺服器的混合的管理介面和正常的網卡。如果網路人員給你一個埠並且告訴你這個管理網路是編號為101的虛擬區域網,你的伺服器的虛擬區域網是112,沒有本地的虛擬區域網,你知道該做什麼。你擁有的大多數BIOS和網路設置菜單都會具體 說明這些信息:管理和伺服器虛擬區域網編號以及它們是否有標記。
3. 什麼是虛擬區域網絡
虛擬區域網
虛擬區域網(VLAN),是指網路中的站點不拘泥於所處的物理位置,而可以根據需要靈活地加入不同的邏輯子網中的一種網路技術。
基於交換式乙太網的虛擬區域網在交換式乙太網中,利用VLAN技術,可以將由交換機連接成的物理網路劃分成多個邏輯子網。也就是說,一個虛擬區域網中的站點所發送的廣播數據包將僅轉發至屬於同一VLAN的站點。
在交換式乙太網中,各站點可以分別屬於不同的虛擬區域網。構成虛擬區域網的站點不拘泥於所處的物理位置,它們既可以掛接在同一個交換機中,也可以掛接在不同的交換機中。虛擬區域網技術使得網路的拓撲結構變得非常靈活,例如位於不同樓層的用戶或者不同部門的用戶可以根據需要加入不同的虛擬區域網。
劃分虛擬區域網主要出於三種考慮:
第一是基於網路性能的考慮。對於大型網路,現在常用的Windows NetBEUI是廣播協議,當網路規模很大時,網上的廣播信息會很多,會使網路性能惡化,甚至形成廣播風暴,引起網路堵塞。那怎麼辦呢?可以通過劃分很多虛擬區域網而減少整個網路范圍內廣播包的傳輸,因為廣播信息是不會跨過VLAN的,可以把廣播限制在各個虛擬網的范圍內,用術語講就是縮小了廣播域,提高了網路的傳輸效率,從而提高網路性能。
第二是基於安全性的考慮。因為各虛擬網之間不能直接進行通訊,而必須通過路由器轉發,為高級的安全控制提供了可能,增強了網路的安全性。在大規模的網路,比如說大的集團公司,有財務部、采購部和客戶部等,它們之間的數據是保密的,相互之間只能提供介面數據,其它數據是保密的。我們可以通過劃分虛擬區域網對不同部門進行隔離。
第三是基於組織結構上考慮。同一部門的人員分散在不同的物理地點,比如集團公司的財務部在各子公司均有分部,但都屬於財務部管理,雖然這些數據都是要保密的,但需統一結算時,就可以跨地域(也就是跨交換機)將其設在同一虛擬區域網之中,實現數據安全和共享。採用虛擬區域網有如下優勢:抑制網路上的廣播風暴;增加網路的安全性;集中化的管理控制。
基於交換式的乙太網要實現虛擬區域網主要有三種途徑:基於埠的虛擬區域網、基於MAC地址(網卡的硬體地址)的虛擬區域網和基於IP地址的虛擬區域網。
(1)基於埠的虛擬區域網
基於埠的虛擬區域網是最實用的虛擬區域網,它保持了最普通常用的虛擬區域網成員定義方法,配置也相當直觀簡單,就區域網中的站點具有相同的網路地址,不同的虛擬區域網之間進行通信需要通過路由器。採用這種方式的虛擬區域網其不足之處是靈活性不好。例如,當一個網路站點從一個埠移動到另外一個新的埠時,如果新埠與舊埠不屬於同一個虛擬區域網,則用戶必須對該站點重新進行網路地址配置,否則,該站點將無法進行網路通信。在基於埠的虛擬區域網中,每個交換埠可以屬於一個或多個虛擬區域網組,比較適用於連接伺服器。
(2) 基於MAC地址的虛擬區域網
在基於MAC地址的虛擬區域網中,交換機對站點的MAC地址和交換機埠進行跟蹤,在新站點入網時根據需要將其劃歸至某一個虛擬區域網,而無論該站點在網路中怎樣移動,由於其MAC地址保持不變,因此用戶不需要進行網路地址的重新配置。這種虛擬區域網技術的不足之處是在站點入網時,需要對交換機進行比較復雜的手工配置,以確定該站點屬於哪一個虛擬區域網。
(3)基於IP地址的虛擬區域網
在基於IP地址的虛擬區域網中,新站點在入網時無需進行太多配置,交換機則根據各站點網路地址自動將其劃分成不同的虛擬區域網。在三種虛擬區域網的實現技術中,基於IP地址的虛擬區域網智能化程度最高,實現起來也最復雜。VLAN
4. 虛擬區域網基本工作原理
VLAN(Virtual
Local
Area
Network)又稱虛擬區域網,是指在交換區域網的基礎上,採用網路管理軟體構建的可跨越不同網段、不同網路的端到端的邏輯網路。一個VLAN組成一個邏輯子網,即一個邏輯廣播域,它可以覆蓋多個網路設備,允許處於不同地理位置的網路用戶加入到一個邏輯子網中。
有一個重要問題不可迴避:VLAN之間如何通信?顯然不能再通過第2層交換機。那樣的話,廣播域又合並到一起了,其必經之路是路由器。這樣的結果是,本來企圖通過VLAN的劃分,來使用交換機代替路由器組建大型網路,以提高網路的性能,可是又回到路由器上來了,這就是VLAN的一大矛盾。
目前,VLAN之間的通訊大多是通過中心路由器完成的。這也是保證VLAN組網靈活性的惟一辦法。所有的VLAN都經過中心路由器(當然可以配置備份的中心路由器),也就是所有的廣播都經過中心路由器,這樣中心路由器就承受了更大的壓力。當VLAN之間的通訊量較大時,中心路由器就成了網路的瓶頸,並且一旦中心路由器失效,所有VLAN之間的通訊將無法進行。這是VLAN存在的另一個矛盾
2、多個VLAN可不可以處於同一個網段中。這個的答案是可以的。無論按照何種VLAN劃分方法,多個VLAN完全可以處於同一個網段中。多VLAN通信問題,如果多VLAN處於同一個網段中(可以想像一個A類地址),他們之間顯然在二層是不能通信的,這個就是VLAN隔離。要使這些VLAN能夠進行通信,必須為這些VLAN建立路由。
VLAN,是英文Virtual
Local
Area
Network的縮寫,中文名為"虛擬區域網",
VLAN是
一種將區域網(LAN)設備從邏輯上劃分(注意,不是從物理上劃分)成一個個網段(或者
說是更小的區域網LAN),從而實現虛擬工作組(單元)的數據交換技術。
VLAN這一新興技術主要應用於交換機和路由器中,但目前主流應用還是在交換機之中
。不過不是所有交換機都具有此功能,只有三層以上交換機才具有此功能,這一點可以查
看相應交換機的說明書即可得知。VLAN的好處主要有三個:
(1)埠的分隔。即便在同一個交換機上,處於不同VLAN的埠也是不能通信的。這
樣一個物理的交換機可以當作多個邏輯的交換機使用。
(2)網路的安全。不同VLAN不能直接通信,杜絕了廣播信息的不安全性。
(3)靈活的管理。更改用戶所屬的網路不必換埠和連線,只更改軟體配置就可以了。
VLAN技術的出現,使得管理員根據實際應用需求,把同一物理區域網內的不同用戶邏
輯地劃分成不同的廣播域,每一個VLAN都包含一組有著相同需求的計算機工作站,與物理
上形成的LAN有著相同的屬性。由於它是從邏輯上劃分,而不是從物理上劃分,所以同一個
VLAN內的各個工作站沒有限制在同一個物理范圍中,即這些工作站可以在不同物理LAN網段
。由VLAN的特點可知,一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中,從而有
助於控制流量、減少設備投資、簡化網路管理、提高網路的安全性。
VLAN除了能將網路劃
分為多個廣播域,從而有效地控制廣播風暴的發生,以及使網路的拓撲結構變得非常靈活
的優點外,還可以用於控制網路中不同部門、不同站點之間的互相訪問。
VLAN在交換機上的實現方法,可以大致劃分為六類:
1.
基於埠的VLAN
這是最常應用的一種VLAN劃分方法,應用也最為廣泛、最有效,目前絕大多數VLAN協
議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據乙太網交換機的交換端
口來劃分的,它是將VLAN交換機上的物理埠和VLAN交換機內部的PVC(永久虛電路)埠
分成若干個組,每個組構成一個虛擬網,相當於一個獨立的VLAN交換機。
對於不同部門需要互訪時,可通過路由器轉發,並配合基於MAC地址的埠過濾。對某
站點的訪問路徑上最靠近該站點的交換機、路由交換機或路由器的相應埠上,設定可通
過的MAC地址集。這樣就可以防止非法入侵者從內部盜用IP地址從其他可接入點入侵的可能
。
從這種劃分方法本身我們可以看出,這種劃分的方法的優點是定義VLAN成員時非常簡
單,只要將所有的埠都定義為相應的VLAN組即可。適合於任何大小的網路。它的缺點是
如果某用戶離開了原來的埠,到了一個新的交換機的某個埠,必須重新定義。
2.
基於MAC地址的VLAN
這種劃分VLAN的方法是根據每個主機的MAC地址來劃分,即對每個MAC地址的主機都配
置他屬於哪個組,它實現的機制就是每一塊網卡都對應唯一的MAC地址,VLAN交換機跟蹤屬
於VLAN
MAC的地址。這種方式的VLAN允許網路用戶從一個物理位置移動到另一個物理位置
時,自動保留其所屬VLAN的成員身份。
由這種劃分的機制可以看出,這種VLAN的劃分方法的最大優點就是當用戶物理位置移
動時,即從一個交換機換到其他的交換機時,VLAN不用重新配置,因為它是基於用戶,而
不是基於交換機的埠。這種方法的缺點是初始化時,所有的用戶都必須進行配置,如果
有幾百個甚至上千個用戶的話,配置是非常累的,所以這種劃分方法通常適用於小型局域
網。而且這種劃分的方法也導致了交換機執行效率的降低,因為在每一個交換機的埠都
可能存在很多個VLAN組的成員,保存了許多用戶的MAC地址,查詢起來相當不容易。另外,
對於使用筆記本電腦的用戶來說,他們的網卡可能經常更換,這樣VLAN就必須經常配置。
3.
基於網路層協議的VLAN
VLAN按網路層協議來劃分,可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網路
。這種按網路層協議來組成的VLAN,可使廣播域跨越多個VLAN交換機。這對於希望針對具
體應用和服務來組織用戶的網路管理員來說是非常具有吸引力的。而且,用戶可以在網路
內部自由移動,但其VLAN成員身份仍然保留不變。
這種方法的優點是用戶的物理位置改變了,不需要重新配置所屬的VLAN,而且可以根
據協議類型來劃分VLAN,這對網路管理者來說很重要,還有,這種方法不需要附加的幀標
簽來識別VLAN,這樣可以減少網路的通信量。這種方法的缺點是效率低,因為檢查每一個
數據包的網路層地址是需要消耗處理時間的(相對於前面兩種方法),一般的交換機晶元都
可以自動檢查網路上數據包的乙太網幀頭,但要讓晶元能檢查IP幀頭,需要更高的技術,
同時也更費時。當然,這與各個廠商的實現方法有關。
4.
根據IP組播的VLAN
IP
組播實際上也是一種VLAN的定義,即認為一個IP組播組就是一個VLAN。這種劃分的
方法將VLAN擴大到了廣域網,因此這種方法具有更大的靈活性,而且也很容易通過路由器
進行擴展,主要適合於不在同一地理范圍的區域網用戶組成一個VLAN,不適合區域網,主
要是效率不高。
5.
按策略劃分的VLAN
基於策略組成的VLAN能實現多種分配方法,包括VLAN交換機埠、MAC地址、IP地址、
網路層協議等。網路管理人員可根據自己的管理模式和本單位的需求來決定選擇哪種類型
的VLAN
。
6.
按用戶定義、非用戶授權劃分的VLAN
基於用戶定義、非用戶授權來劃分VLAN,是指為了適應特別的VLAN網路,根據具體的
網路用戶的特別要求來定義和設計VLAN,而且可以讓非VLAN群體用戶訪問VLAN,但是需要
提供用戶密碼,在得到VLAN管理的認證後才可以加入一個VLAN。
5. 什麼是虛擬區域網它的全稱是什麼使用vlan有哪些特點
虛擬區域網(VLAN)是一組邏輯上的設備和用戶,這些設備和用戶並不受物理位置的限制,可以根據功能、部門及應用等因素將它們組織起來,相互之間的通信就好像它們在同一個網段中一樣,由此得名虛擬區域網。
英文全稱:Virtual Local Area Network
特點:
1、限制網路上的廣播,將網路劃分為多個VLAN可減少參與廣播風暴的設備數量,LAN分段可以防止廣播風暴波及整個網路。VLAN可以提供建立防火牆的機制,防止交換網路的過量廣播;
2、增強區域網的安全性,含有敏感數據的用戶組可與網路的其餘部分隔離,從而降低泄露機密信息的可能性;
3、藉助VLAN技術,能將不同地點、不同網路、不同用戶組合在一起,形成一個虛擬的網路環境,就像使用本地LAN一樣方便、靈活、有效;
--引用自網路:
http://ke..com/link?url=TrBej95V7dK55CzK
6. 虛擬區域網有哪什麼特點
特點包括以下方面:
一、廣播風暴防範
限制網路上的廣播,將網路劃分為多個VLAN可減少參與廣播風暴的設備數量。LAN分段可以防止廣播風暴波及整個網路。VLAN可以提供建立防火牆的機制,防止交換網路的過量廣播。使用VLAN,可以將某個交換埠或用戶賦於某一個特定的VLAN組,該VLAN組可以在一個交換網中或跨接多個交換機,在一個VLAN中的廣播不會送到VLAN之外。同樣,相鄰的埠不會收到其他VLAN產生的廣 播。這樣可以減少廣播流量,釋放帶寬給用戶應用,減少廣播的產生。
二、安全
增強區域網的安全性,含有敏感數據的用戶組可與網路的其餘部分隔離,從而降低泄露機密信息的可能性。不同VLAN內的報文在傳輸時是相互隔離的,即一個VLAN內的用戶不能和其它VLAN內的用戶直接通信,如果不同VLAN要進行通信,則需要通過路由器或三層交換機等三層設備。
三、成本降低
成本高昂的網路升級需求減少,現有帶寬和上行鏈路的利用率更高,因此可節約成本。
四、性能提高
將第二層平面網路劃分為多個邏輯工作組(廣播域)可以減少網路上不必要的流量並提高性能。
五、提高IT員工效率
VLAN為網路管理帶來了方便,因為有相似網路需求的用戶將共享同一個VLAN。
五、應用管理
VLAN 將用戶和網路設備聚合到一起,以支持商業需求或地域上的需求。通過職能劃分,項目管理或特殊應用的處理都變得十分方便,例如可以輕松管理教師的電子教學開發平台。此外,也很容易確定升級網路服務的影響范圍。
六、增加網路連接的靈活性
藉助VLAN技術,能將不同地點、不同網路、不同用戶組合在一起,形成一個虛擬的網路環境,就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管 理費用,特別是一些業務情況有經常性變動的公司使用了VLAN後,這部分管理費用大大降低。
參考:好搜網路《虛擬區域網》