下载文档原格式
VLAN工作原理(VLAN通信原理)详解VLAN工作原理即VLAN通信原理1、vlan基本通信原理为了提高处理效率,交换机内部的数据帧一律都带有VLAN Tag,以统一方式处理。
当一个数据帧进入交换机接口时,如果没有带VLAN Tag,且该接口上配置了PVID(Port Default VLAN ID),那么,该数据帧就会被标记上接口的PVID。
如果数据帧已经带有VLAN Tag,那么,即使接口已经配置了PVID,交换机不会再给数据帧标记VLAN Tag。
由于接口类型不同,交换机对数据帧的处理过程也不同。
下面根据不同的接口类型分别介绍。
由于设备所有的接口都默认加入VLAN1,因此当网络中存在VLAN1的未知单播、组播或者广播报文时,可能会引起广播风暴。
对于不需要加入VLAN1的接口及时退出VLAN1,避免环路。
2、VLAN内跨越交换机通信原理有时属于同一个VLAN的用户主机被连接在不同的交换机上。
当VLAN跨越交换机时,就需要交换机间的接口能够同时识别和发送跨越交换机的VLAN报文。
这时,需要用到Trunk Link技术。
Trunk Link有两个作用:1、中继作用:把VLAN报文透传到互联的交换机。
2、干线作用:一条Trunk Link上可以传输多个VLAN的报文。
图1 Trunk Link通信方式示意图例如在上图1所示的网络中,为了让DeviceA和DeviceB之间的链路既支持VLAN2内的用户通讯又支持VLAN3内的用户通讯,需要配置连接接口同时加入两个VLAN。
即应配置DeviceA的以太网接口Port2和DeviceB的以太网接口Port1同时加入VLAN2和VLAN3。
当用户主机Host A发送数据给用户主机Host B时,数据帧的发送过程如下:数据帧首先到达DeviceA的接口Port4。
接口Port4给数据帧加上Tag,Tag的VID字段填入该接口所属的VLAN的编号2。
DeviceA查询自己的MAC地址表中是否存在目的地址为DeviceB的MAC地址的转发表项。
以下是15 道关于VLAN 基础的考试题目:1.VLAN 的主要作用是什么?A. 隔离广播域B. 提高网络带宽C. 增强网络安全性D. 以上都是2.以下关于VLAN 的描述,正确的是?A. VLAN 是一种物理上的网络划分方法B. VLAN 之间的通信需要通过路由器C. VLAN 可以跨越多个交换机D. 一个VLAN 可以包含多个IP 地址3.在VLAN 中,以下哪种设备可以转发不同VLAN 之间的流量?A. 二层交换机B. 三层交换机C. 路由器D. 集线器4.以下哪个命令可以创建VLAN?A. interface vlanB. vlan createC. vlan databaseD. vlan id5.在trunk 链路中,以下哪种封装协议可以支持不同VLAN 的通信?A. ISLB. 802.1qC. 802.1dD. 802.36.VLAN 标签的最大长度是?A. 4 字节B. 8 字节C. 12 字节D. 16 字节7.以下哪个命令可以查看交换机上的VLAN 信息?A. show vlanB. show interface vlanC. show trunkD. show port8.在802.1q 封装协议中,VLAN 标签位于数据帧的哪个位置?A. 帧头B. 帧尾C. 数据部分D. 不确定9.以下哪种VLAN 模式可以实现不同交换机上相同VLAN 之间的通信?A. 静态VLANB. 动态VLANC. 本地VLAND. 跨越VLAN10.在VLAN 中,以下哪个术语用于描述交换机之间的连接?A. trunkB. accessC. VLAND. port11.以下哪个命令可以将接口配置为trunk 模式?A. interface trunkB. interface switchport mode trunkC. interface port trunkD. interface ethernet trunk12.在trunk 链路中,以下哪个命令可以指定允许通过的VLAN?A. switchport trunk allowed vlanB. interface trunk allowed vlanC. port trunk allowed vlanD. vlan trunk allowed13.以下哪种设备可以用于VLAN 之间的路由?A. 路由器B. 交换机C. 集线器D. 防火墙14.在VLAN 中,以下哪个术语用于描述端口所属的VLAN?A. VLAN IDB. VLAN 名称C. VLAN 成员D. VLAN 地址15.以下哪个命令可以将接口加入指定的VLAN?A. interface vlanB. interface ethernet vlanC. interface port vlanD. interface switchport access vlan答案:1. A;2. C;3. C;4. B;5. B;6. A;7. A;8. A;9. D;10. A;11. B;12. A;13. A;14. C;15. D请注意,这些题目主要涉及VLAN 的基础知识,答案可能因不同的网络环境和设备而有所差异。
vlan的作用
VLAN(Virtual Local Area Network)是一种虚拟局域网技术,它可以将一个物理局域网划分为多个逻辑上独立的虚拟局域网。
VLAN的作用包括:
1. 提高网络性能:通过将局域网划分成多个VLAN,可以将
广播域进行隔离,减少广播风暴和冲突。
这样可以提高网络的性能和可用性。
2. 提高网络安全性:VLAN可以实现不同安全级别的隔离,每个VLAN内部的通信可以保持私密性,提高网络的安全性。
同时,VLAN也可以限制用户之间的通信,减少潜在的安全威胁。
3. 简化网络管理:通过将网络划分为多个VLAN,可以更灵
活地管理网络资源。
管理员可以根据业务需求,将不同的设备或用户划分到不同的VLAN中,便于管理和维护。
4. 支持虚拟机迁移:在数据中心的虚拟化环境中,VLAN可以支持虚拟机的迁移,使虚拟机在不同的物理服务器之间进行迁移时可以保持网络连通性。
总而言之,VLAN提供了网络划分、隔离和管理的功能,可以提高网络性能、安全性和可管理性。
交换机VLAN的定义、意义以及划分方式什么是VLAN虚拟网技术(VLAN,Virtual Local Area Network)的诞生主要源于广播。
广播在网络中起着非常重要的作用,如发现新设备、调整网络路径、IP地址租赁等等,许多网络协议都要用到广播,如。
然而,随着网络内计算机数量的增多,广播包的数量也会急剧增加,当广播包的数量占到通讯总量的30%时,网络的传输效率将会明显下降。
所以,当局域网内的计算机达到一定数量后(通常限制在150~200台以内),通常采用划分VLAN的方式将网络分隔开来,将一个大的广播域划分为若干个小的广播域,以减小广播可能造成的损害。
如何分隔大的广播域呢?最简单的方案就是物理分隔,即将一个完整的网络物理地分隔成两个或多个子网络,然后,再通过一个能够隔离广播的路由设备将彼此连接起来。
除了物理分隔的方法之外,就是在交换机上采用逻辑分隔的方式,将一个大的局域网划分为若干个小的虚拟子网(如图2所示),即VLAN,从而使每一个子网都成为一个单独的广播域,子网之间进行通信必须通过三层设备。
当VLAN在交换机上划分后,不同VLAN间的设备就如同是被物理地分割。
也就是说,连接到同一交换机、然而处于不同VLAN的设备,就如同被物理地连接到两个位于不同网段的交换机上一样,彼此之间的通信一定要经过路由设备,否则,他们之间将无法得知对方的存在,将无法进行任何通信?虽然划分VLAN的方式有许多种,但是,使用最多的仍然是基于端口的VLAN。
不同厂商的交换机大多支持以下几种VLAN的划分方式:1. 基于端口的VLAN基于端口的VLAN是最常使用的划分VLAN的方式,几乎被所有的交换机所支持。
所谓基于端口的VLAN,是指由网络管理员使用网管软件或直接设置交换机,将某些端口直接地、强制性地分配给某个VLAN。
除非网管人员重新设置,否则,这些端口将一直保持对该VLAN 的从属性,即属于该VLAN,因此,这种划分方式也称为静态VLAN。
VLAN的作⽤以及配置⽬录⼀、为什么需要VLAN1、什么是 VLAN(Virtual LAN),翻译成中⽂是“虚拟局域⽹”。
LAN可以是由少数⼏台家⽤计算机构成的⽹络,也可以是数以百计的计算机构成的企业⽹络。
VLAN所指的LAN特指使⽤路由器分割的⽹络——也就是⼴播域。
简单来说,同⼀个VLAN中的⽤户间通信就和在⼀个局域⽹内⼀样,同⼀个VLAN中的⼴播只有VLAN中的成员才能听到,⽽不会传输到其他的VLAN中去,从⽽控制不必要的⼴播风暴的产⽣。
同时,若没有路由,不同VLAN之间不能相互通信,从⽽提⾼了不同⼯作组之间的信息安全性。
⽹络管理员可以通过配置VLAN之间的路由来全⾯管理⽹络内部不同⼯作组之间的信息互访。
2、未分割VLAN时将会发⽣什么? 那么,为什么需要分割VLAN(⼴播域)呢?那是因为,如果仅有⼀个⼴播域,有可能会影响到⽹络整体的传输性能。
具体原因,请参看附图加深理解。
图中,是⼀个由5台⼆层交换机(交换机1~5)连接了⼤量客户机构成的⽹络。
假设这时,计算机A需要与计算机B通信。
在基于以太⽹的通信中,必须在数据帧中指定⽬标MAC地址才能正常通信,因此计算机A必须先⼴播“ARP请求(ARP Request)信息”,来尝试获取计算机B的MAC 地址。
交换机1收到⼴播帧(ARP请求)后,会将它转发给除接收端⼝外的其他所有端⼝,也就是泛滥了。
接着,交换机2收到⼴播帧后也会泛滥。
交换机3、4、5也还会泛滥。
最终ARP请求会被转发到同⼀⽹络中的所有客户机上,这也就是⽹络风暴。
我们分析下,这个计算A的ARP请求原本是为了获得计算机B的MAC地址⽽发出的。
也就是说:只要计算机B能收到就万事⼤吉了。
可是事实上,数据帧却传遍整个⽹络,导致所有的计算机都收到了它。
如此⼀来,⼀⽅⾯⼴播信息消耗了⽹络整体的带宽,另⼀⽅⾯,收到⼴播信息的计算机还要消耗⼀部分CPU时间来对它进⾏处理。
造成了⽹络带宽和CPU运算能⼒的⼤量⽆谓消耗,可能会造成⽹络瘫痪。
vlan的作⽤1. VLAN(Virtual Local Area Network)是虚拟局域⽹英⽂的缩写,在⽹络架构中的⼆层中VLAN是必不可少的,为什么要出现虚拟局域⽹呢,接下来我将简单说⼀下VLAN出现的必要性:(1)⽆法有效控制⼴播域:通常我们在不划分局域⽹的时候,默认⼀个路由器的接⼝就是⼀个⼴播域,那么在该接⼝下的所有设备都属于这个区域,如果⼀个⽤户发送⼀个数据时,该区域内的所有设备都会收到该数据且执⾏⼀些操作,这会对⽹络中的设备造成资源的浪费。
(2)较差的安全性:⼤家可能第⼀时间会想到,如果都在⼀个区域的话,该区域中每个⽤户发送的数据所有的设备都能接收,⽐如:⼀个公司许多部门都在⼀个区域下,我们都知道,财务部门要保证安全,但是,在这种情况下,所有的设备都能向财务部门的计算机发送并请求数据,如果某个员⼯⾮法进⼊财务部的计算机,查看并修改计算机中的数据,这会对公司造成⼀定程度上的损失,这⼤⼤降低了⽹络的安全性。
(3)⽹络的健壮性较差:如果该区域中的某个设备发⽣了故障可能会影响该区域中的其他设备,所以我们迫切需要⼀种能够不影响物理条件并合理解决上述问题的技术,此时,VLAN出现了,那么VLAN有什么作⽤呢?下⾯我将简单说⼏点主要作⽤;2.作为现如今⽹络中应⽤最为⼴泛的技术,VLAN的作⽤有很多,⼤家对VLAN有清晰的认识就好:(1)有效控制⼴播域:正如VLAN的名字⼀样,虚拟局域⽹,它可以按照我们⼈为的对⼀个⼤区域在虚拟中划分许多的⼩区域,这是就解决了我们上述的第⼀个问题,既然不属于⼀个区域,那么发送的数据也就不会让其他⾮相关的设备接收导致资源浪费。
(2)增强了⽹络的安全性:例如:在⼀个公司中,不同的VLAN可以划分给不同的部门,这时就成功的对⼀些部门部署了⼆层上的隔离,更好的保证了⼀些客户的安全。
(3)增强了⽹络的健壮性:当我们划分了多个VLAN后,如果某个VLAN内的设备发⽣故障将不会影响到其他区域的设备,这保证了⽹络的其他设备可以正常运⾏,不致于造成⼤程度的⽹络瘫痪。
VLAN的基本⽤法与配置需求:在⼀家⼩型企业中,所有员⼯都使⽤⼀台交换机,⽼板为了避免员⼯私下通信,将他们分配了不同⽹段,但偶尔还是会发现,有些员⼯会⾃⾏修改⽹段和别⼈通信。
如果你是这家企业的⽹络⼯程师,你该如何处理?1、虚拟局域⽹(VLAN)作⽤:VLAN可以隔离⼴播域,相同⽹段不可通信效果:1)相同VLAN可以通信2)不相同VLAN不可以通信注意:判断是否在同⼀VLAN,需要看VLAN的ID编号2.VLAN配置(真实环境)A、相关软件switch>> ⽤户模式登录设备使⽤enable进⼊下个模式switch# #特权模式查询设备配置可使⽤configureterminal进⼊switch(config)# (config)#全局模式配置设备进⾏的配置对这个设备⽣效总结enable⽤于⽤户模式进⼊特权模式configure terminal⽤于特权模式进⼊全局模式Exit回到上级模式B、相关步骤(1)、添加VLAN虚拟局域⽹(2)、进⼊终端设备对应端⼝(3)、在端⼝中调⽤对应VLANEg:程序:Switch>enableSwitch#configure terminalSwitch(config)#vlan 2Switch(config-vlan)#vlan 3Switch(config-vlan)#vlan 4Switch(config-vlan)#vlan 5Switch(config-vlan)#interface range fastEthernet 0/1-2Switch(config-if-range)#switchport access vlan 2Switch(config-if-range)#interface range fastEthernet 0/3-4Switch(config-if-range)#switchport access vlan 3Switch(config-if-range)#interface range fastEthernet 0/5-6Switch(config-if-range)#switchport access vlan 4Switch(config-if-range)#interface range fastEthernet 0/7-8Switch(config-if-range)#switchport access vlan 5Switch(config-if-range)#exit#do show vlan 可以展⽰VLAN的个数和信息结果如图:C、VLAN原理1)进⼊端⼝贴上标签2)出端⼝前判断标签3)出端⼝后摘掉标签。
VLAN是什么意思?有什么作⽤?什么情况下⽤到?
交换机在交换数据时是根据⽬的Mac地址确定其要转发到哪个端⼝!它内存中维护着⼀张Mac转
发表!当⼀个新的Mac地址过来需要转发时,交换机在查询后并⽆此Mac对应的端⼝记录,咋么
办?它会构建⼀个ARP数据包,从除了接受到这个数据的所有端⼝转发出去,叫做⼴播,作⽤
是得到⽬的Mac地址在哪个端⼝上连接着!
⽽每次收到⼀个新的数据时都会发送⼀次⼴播,只要是这个交换机下的主机不管需不需要都得
处理该ARP请求!当⽹络规模很⼤时,⼴播将会很多,严重影响⽹络的性能!这时候VLAN就可
以有很⼤的作⽤!
它的全称是虚拟局域⽹,作⽤就是把连接在同⼀交换机下的主机分为更⼩的逻辑⽹段,以减少
⼴播的数量,不同的VLAN之间不能通讯,这样⼴播就被限制在同⼀个业务需求主机的VLAN
⾥,即便是连接在同⼀个交换机下,不同的VLAN也不会收到⼴播的ARP请求!如果他们之间需
要通讯,只能借助路由器或三层交换机!。
1、Vlan的作用?有效控制网络广播提高网络的安全性,如限制网络中的计算机相互访问权限有效的网络监控流量管理实现不同地域部门内的局域网通信2、在可网管设备中:2层交换机的作用?3 层交换机的作用?3层交换机与路由器的异同?2层交换主要实现vlan的划分及端口安全3层交换机主要用于实现vlan间通信3层交换机和路由器都能实现包的存储转发及访问控制,在不同lan计算机的包转发的实现上,3层交换机只要做1次转发和路由寻址工作,然后这2台不同vlan的计算机间通信就通过交换模块实现高速通信,而在路由器上这两个不同vlan的计算机的通信每次都需要做转发和寻址的工作。
虽然路由器的包转发能力要远远高于交换机,但对于多个vlan间的高数据通信,数据的交换流量要远大于路由器的处理能力,所以在局域网中,核心设备往往采用多层交换设备。
而在对外网的通信上,因为主要的通信是包的转发,所以3层交换机显然无法满足大数据量的包转发工作,而这里只有路由器可以胜任。
3、在一个稳定的交换网络中,有无具体的技术要求来判断该网络的链路传输的质量可以通过多次随机采集网络中的实时数据流,并对这些数据流做流量统计,根据一些osi的主要指标,如:广播帧/错误帧等4、在实际应用中,接入层如何选型设备?这里主要考虑的是网管型2层设备和非网管型设备,这里要根据用户的实际需求来确定设备型号,如:非网管型设备能满足用户的以下需求接入网络要求接入带宽要求网管型2层设备能满足用户的一下需求有效隔离广播,提高网络通信质量(如vlan)网络接入安全性(如端口安全、acl)网络故障快速定位(通过网络故障源地址快速定位故障位置)局域网流量限制跨地域局域网间通信(tag vlan)5、接入层设备的级联与堆叠的选择级联的作用:将交换机通过普通端口互联,以实现交换机间的相互通信堆叠的作用:将多个交换机通过专用堆叠端口(菊花、星型)和堆叠线缆(<80cm)互联,提高交换机的背板速率,实现交换机间各端口的全线速交换,并且多个交换机此时逻辑上成为1台能提供更多端口的交换机用户需求考量:如果用户接入的多个交换机间需要有较为大量的数据交换要求,此时,如果交换数据量大于级联带宽(级联带宽最大为8个端口汇聚所提供的带宽),可以考虑采用堆叠,否则建议采用级联设备即可。
VLAN的划分及划分VLAN的意义VLAN的定义:VLAN是英文Virtual Local Area Network的简称,又叫虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。
要想划分VLAN,必须购买支持VLAN功能的网络设备。
划分VLAN的作用:VLAN是为解决以太网的广播问题和安全性而提出的,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中。
即使是处在同一网段的两台计算机,如果不在同一VLAN中,它们各自的广播流也不会相互转发。
划分VLAN有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
由于VLAN隔离了广播风暴,也隔离了不同VLAN之间的通讯,因此,不同VLAN之间的通讯必须依靠路由器或者三层交换机来实现。
VLAN的划分方法:划分VLAN有四种方法,每种方法各有长短。
在对网络划分VLAN时,必须根据网络的实际情况,选择一种合适的划分方法。
1、根据端口的划分VLAN:许多网络厂商都利用交换机的端口来划分VLAN成员。
顾名思义,基于端口划分VLAN就是将交换机的某些端口定义为一个VLAN。
根据端口划分VLAN是最常用的一种VLAN划分方法。
根据端口划分VLAN优点是简单明了,管理也非常方便,缺点是维护相对繁琐。
2、根据MAC地址划分VLAN:每块网卡在全球都拥有唯一的一个物理地址,即MAC地址,根据网卡的MAC地址可以将若干台计算机划分在同一个VLAN中。
这种方式的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置;缺点是某一VLAN初始化时,所有的用户都必须进行配置,操作人员的负担比较重。
3、根据网络层划分VLAN:这种划分VLAN的方法是根据每个主机的网络层地址或协议类型划分,而不是根据路由划分。
注:这种VLAN划分方式适合广域网,基本不用在局域网。
4、根据IP组播划分VLAN:IP组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN。
局域网在网络层有什么不安全的地方?
NAI公司供稿
不安全的地方
由于局域网中采用广播方式,因此,若在某个广播域中可以侦听到所有的信息包,黑客就对可以对信息包进行分析,那么本广播域的信息传递都会暴露在黑客面前。
网络分段
网络分段是保证安全的一项重要措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
网络分段可分为物理分段和逻辑分段两种方式:
物理分段通常是指将网络从物理层和数据链路层(ISO/OSI模型中的第一层和第二层)上分为若干网段,各网段相互之间无法进行直接通讯。
目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。
逻辑分段则是指将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。
例如,对于TCP/IP 网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。
在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。
VLAN的实现
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。
交换技术将传统的基于广播的局域
网技术发展为面向连接的技术。
因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
以太网从本质上基于广播机制,但应用了交换器和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。
由以上运行机制带来的网络安全的好处是显而易见的:
信息只到达应该到达的地点。
因此、防止了大部分基于网络监听的入侵手段。
通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。
但是,虚拟网技术也带来了新的安全问题:
执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。
基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。
基于MAC的VLAN不能防止MAC欺骗攻击。
采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。
因此,VLAN的划分最好基于交换机端口。
但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
VLAN之间的划分原则
VLAN的划分方式的目的是保证系统的安全性。
因此,可以按照系统的安全性来划分VLAN;可以将总部中的服务器系统单独划作一个VLAN,如数据库服务器、电子邮件服务器等。
也可以按照机构的设置来划分VLAN,如将领导所在的网络单独作为一个Leader VLAN(LVLAN), 其他司局(或下级机构)分别作为一个VLAN,并且控制LVLAN与其他VLAN之间的单向信息流向,即允许LVLAN查看其他VLAN的相关信息,其他VLAN不能访问LVLAN的信息。
VLAN之内的连接采用交换实现,VLAN与VLAN之间采用路由实现。
由于路由控制的能力有限,不能实现LVLAN与其他VLAN之间的单向信息流动,需要在LVLAN 与其他VLAN之间设置一个Gauntlet防火墙作为安全隔离设备,控制VLAN与VLAN之间的信息交流。
VLAN基本知识作用
VLAN有什么用
作者:李连、朱爱红、糜玉林文章来源:中国电脑教育报2002年10月28日
随着网络硬件性能的不断提高、成本的不断降低,目前新建立的校园网基本上都采用了性能先进的千兆网技术,其核心交换机采用三层交换机,它能很好地支持虚拟局域网(VLAN)技术,这对方便校园网的管理、保证校园网的高速可靠运行起到了非常重要的作用。
什么是VLAN
VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。
一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。
组建VLAN的条件
VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。
当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。
划分VLAN的基本策略
从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:
1、基于端口的VLAN划分
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。
该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
2、基于MAC地址的VLAN划分
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。
MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。
网络管理员可按MAC地址把一些站点划分为一个逻辑子网。
3、基于路由的VLAN划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。
该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。
使用VLAN优点
使用VLAN具有以下优点:
1、控制广播风暴
一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。
2、提高网络整体安全性
通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。
3、网络管理简单、直观
对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新
进行调整,甚至需要追加网络设备,增大网络管理的工作量。
而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。
在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。
利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。
在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。
三层交换技术
传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了VLAN以后的网络中,逻辑上划分的不同网段之间通信仍然要通过路由器转发。
由于在局域网上,不同VLAN之间的通信数据量是很大的,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量的不断增大,路由器将不堪重负,路由器将成为整个网络运行的瓶颈。
在这种情况下,出现了第三层交换技术,它是将路由技术与交换技术合二为一的技术。
三层交换机在对第一个数据流进行路由后,会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。
可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。
在以三层交换机为核心的千兆网络中,为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性,可采用VLAN技术进行虚拟网络划分。
VLAN子网隔离了广播风暴,对一些重要部门实施了安全保护;且当某一部门物理位置发生变化时,只需对交换机进行设置,就可以实现网络的重组,非常方便、快捷,同时节约了成本。
