交換機的VLAN技術(shù)分析
VLAN(虛擬局域網(wǎng))是對連接到的第二層交換機端口的網(wǎng)絡(luò)用戶的邏輯分段,不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)用戶需求進行網(wǎng)絡(luò)分段。一個VLAN可以在一個交換機或者跨交換機實現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進行分組。基于交換機的虛擬局域網(wǎng)能夠為局域網(wǎng)解決沖突域、廣播域、帶寬問題。接下來我們就一起來詳細了解下交換機的VLAN技術(shù)!
一、VLAN技術(shù)概況
VLAN(Virtual Local Area Network)的中文名為"虛擬局域網(wǎng)",注意不是"VPN"(虛擬專用網(wǎng))。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分(注意,不是從物理上劃分)成一個個網(wǎng)段,從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機和路由器中,但主流應(yīng)用還是在交換機之中。但又不是所有交換機都具有此功能,只有VLAN協(xié)議的第三層以上交換機才具有此功能,這一點可以查看相應(yīng)交換機的說明書即可得知。
VLAN技術(shù)的出現(xiàn),使得管理員根據(jù)實際應(yīng)用需求,把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域,每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。
交換技術(shù)的發(fā)展,也加快了新的交換技術(shù)(VLAN)的應(yīng)用速度。通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段,可以強化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全,控制不必要的數(shù)據(jù)廣播。在共享網(wǎng)絡(luò)中,一個物理的網(wǎng)段就是一個廣播域。而在交換網(wǎng)絡(luò)中,廣播域可以是有一組任意選定的第二層網(wǎng)絡(luò)地址(MAC地址)組成的虛擬網(wǎng)段。這樣,網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制,而完全根據(jù)管理功能來劃分。這種基于工作流的分組模式,大大提高了網(wǎng)絡(luò)規(guī)劃和重組的管理功能。在同一個VLAN中的工作站,不論它們實際與哪個交換機連接,它們之間的通訊就好象在獨立的交換機上一樣。同一個VLAN中的廣播只有VLAN中的成員才能聽到,而不會傳輸?shù)狡渌腣LAN中去,這樣可以很好的控制不必要的廣播風暴的產(chǎn)生。同時,若沒有路由的話,不同VLAN之間不能相互通訊,這樣增加了企業(yè)網(wǎng)絡(luò)中不同部門之間的安全性。網(wǎng)絡(luò)管理員可以通過配置VLAN之間的路由來全面管理企業(yè)內(nèi)部不同管理單元之間的信息互訪。交換機是根據(jù)用戶工作站的MAC地址來劃分VLAN的。所以,用戶可以自由的在企業(yè)網(wǎng)絡(luò)中移動辦公,不論他在何處接入交換網(wǎng)絡(luò),他都可以與VLAN內(nèi)其他用戶自如通訊。
二、VLAN在交換機上的實現(xiàn)方法,可以大致劃分為六類:
1、 基于端口劃分的VLAN
2、 基于MAC地址劃分VLAN
3、 基于網(wǎng)絡(luò)層協(xié)議劃分VLAN
4、 根據(jù)IP組播劃分VLAN
5、 按策略劃分VLAN
6、按用戶定義、非用戶授權(quán)劃分VLAN
三、VLAN實現(xiàn)原理
1、靜態(tài)VLAN
在VLAN管理員最初配置交換機Port和VLAN ID的對應(yīng)關(guān)系時,就已經(jīng)固定了這種對應(yīng)關(guān)系,即這個Port只能對應(yīng)這個VLAN ID,之后無法進行更改,除非管理員再重新配置。
當一臺設(shè)備接到這個Port上的時候,怎么判斷該主機的VLAN ID與Port對應(yīng)呢,這里是根據(jù)IP配置決定的,我們知道每個VLAN都有一個子網(wǎng)號,并對應(yīng)著哪些Port,如果設(shè)備要求的IP地址和該Port對應(yīng)的VLAN的子網(wǎng)號不匹配,則連接失敗,該設(shè)備將無法正常通信。所以除了連接到正確的Port外,也必須給設(shè)備分配屬于該VLAN網(wǎng)絡(luò)段的IP地址,這樣才能加入到該VLAN中。
2、動態(tài)VLAN
交換機自動配置Port為主機所屬的VLAN。這里有三種分類:基于MAC,基于IP,基于用戶
3、基于MAC的VLAN(例如二層交換機)
將所有主機的硬件地址都加入到VALN的管理數(shù)據(jù)庫中,例如,一主機隨便連接到交換機的一個動態(tài)VLAN的Port時,管理數(shù)據(jù)庫將根據(jù)主機的MAC地址查詢到該主機要加入VLAN 2中,然后自動設(shè)置該Port為VLAN 2。缺點是當主機更換了網(wǎng)卡之后,管理數(shù)據(jù)庫需要重新設(shè)定。
4、基于IP的VLAN(例如三層交換機)
與基于MAC不同,這種方法會記錄子網(wǎng)ID與VLAN ID的映射,而不論主機的網(wǎng)卡怎么變換,只要他的IP不變,交換機就可以根據(jù)主機的子網(wǎng)ID自動設(shè)置對應(yīng)的VLAN ID。
5、基于用戶的VLAN
根據(jù)操作系統(tǒng)的登錄用戶決定VLAN。
6、Access接口和Trunk接口
交換機中,有兩種類型的接口:接入端口(Access)和中繼端口(Trunk),Access接口只能用來連接用戶主機,只能屬于一個VLAN,因此該接口只傳輸本VLAN的數(shù)據(jù)。
以上介紹的都是基于一臺交換機劃分VLAN的情況,當要實現(xiàn)跨兩臺甚至更多交換機呢,基于Access接口已經(jīng)無法實現(xiàn)了,我們需要加入Trunk接口連接交換機。
四、VLAN的優(yōu)越性
1、增加了網(wǎng)絡(luò)連接的靈活性
借助VLAN技術(shù),能將不同地點、不同網(wǎng)絡(luò)、不同用戶組合在一起,形成一個虛擬的網(wǎng)絡(luò)環(huán)境,就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管理費用,特別是一些業(yè)務(wù)情況有經(jīng)常性變動的公司使用了VLAN后,這部分管理費用大大降低。
2、控制網(wǎng)絡(luò)上的廣播
VLAN可以提供建立防火墻的機制,防止交換網(wǎng)絡(luò)的過量廣播。使用VLAN,可以將某個交換端口或用戶賦于某一個特定的VLAN組,該VLAN組可以在一個交換網(wǎng)中或跨接多個交換機, 在一個VLAN中的廣播不會送到VLAN之外。同樣,相鄰的端口不會收到其他VLAN產(chǎn)生的廣播。這樣可以減少廣播流量,釋放帶寬給用戶應(yīng)用,減少廣播的產(chǎn)生。
3、增加網(wǎng)絡(luò)的安全性
因為一個VLAN就是一個單獨的廣播域,VLAN之間相互隔離,這大大提高了網(wǎng)絡(luò)的利用率,確保了網(wǎng)絡(luò)的安全保密性。人們在LAN上經(jīng)常傳送一些保密的、關(guān)鍵性的數(shù)據(jù)。保密的數(shù)據(jù)應(yīng) 提供訪問控制等安全手段。一個有效和容易實現(xiàn)的方法是將網(wǎng)絡(luò)分段成幾個不同的廣播組,網(wǎng)絡(luò)管理員限制了VLAN中用戶的數(shù)量,禁止未經(jīng)允許而訪問VLAN中的應(yīng)用。交換端口可以基于應(yīng)用類型和訪問特權(quán)來進行分組,被限制的應(yīng)用程序和資源一般置于安全性VLAN中。
一、VLAN技術(shù)概況
VLAN(Virtual Local Area Network)的中文名為"虛擬局域網(wǎng)",注意不是"VPN"(虛擬專用網(wǎng))。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分(注意,不是從物理上劃分)成一個個網(wǎng)段,從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機和路由器中,但主流應(yīng)用還是在交換機之中。但又不是所有交換機都具有此功能,只有VLAN協(xié)議的第三層以上交換機才具有此功能,這一點可以查看相應(yīng)交換機的說明書即可得知。
VLAN技術(shù)的出現(xiàn),使得管理員根據(jù)實際應(yīng)用需求,把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域,每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。
交換技術(shù)的發(fā)展,也加快了新的交換技術(shù)(VLAN)的應(yīng)用速度。通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段,可以強化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全,控制不必要的數(shù)據(jù)廣播。在共享網(wǎng)絡(luò)中,一個物理的網(wǎng)段就是一個廣播域。而在交換網(wǎng)絡(luò)中,廣播域可以是有一組任意選定的第二層網(wǎng)絡(luò)地址(MAC地址)組成的虛擬網(wǎng)段。這樣,網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制,而完全根據(jù)管理功能來劃分。這種基于工作流的分組模式,大大提高了網(wǎng)絡(luò)規(guī)劃和重組的管理功能。在同一個VLAN中的工作站,不論它們實際與哪個交換機連接,它們之間的通訊就好象在獨立的交換機上一樣。同一個VLAN中的廣播只有VLAN中的成員才能聽到,而不會傳輸?shù)狡渌腣LAN中去,這樣可以很好的控制不必要的廣播風暴的產(chǎn)生。同時,若沒有路由的話,不同VLAN之間不能相互通訊,這樣增加了企業(yè)網(wǎng)絡(luò)中不同部門之間的安全性。網(wǎng)絡(luò)管理員可以通過配置VLAN之間的路由來全面管理企業(yè)內(nèi)部不同管理單元之間的信息互訪。交換機是根據(jù)用戶工作站的MAC地址來劃分VLAN的。所以,用戶可以自由的在企業(yè)網(wǎng)絡(luò)中移動辦公,不論他在何處接入交換網(wǎng)絡(luò),他都可以與VLAN內(nèi)其他用戶自如通訊。
二、VLAN在交換機上的實現(xiàn)方法,可以大致劃分為六類:
1、 基于端口劃分的VLAN
2、 基于MAC地址劃分VLAN
3、 基于網(wǎng)絡(luò)層協(xié)議劃分VLAN
4、 根據(jù)IP組播劃分VLAN
5、 按策略劃分VLAN
6、按用戶定義、非用戶授權(quán)劃分VLAN
三、VLAN實現(xiàn)原理
1、靜態(tài)VLAN
在VLAN管理員最初配置交換機Port和VLAN ID的對應(yīng)關(guān)系時,就已經(jīng)固定了這種對應(yīng)關(guān)系,即這個Port只能對應(yīng)這個VLAN ID,之后無法進行更改,除非管理員再重新配置。
當一臺設(shè)備接到這個Port上的時候,怎么判斷該主機的VLAN ID與Port對應(yīng)呢,這里是根據(jù)IP配置決定的,我們知道每個VLAN都有一個子網(wǎng)號,并對應(yīng)著哪些Port,如果設(shè)備要求的IP地址和該Port對應(yīng)的VLAN的子網(wǎng)號不匹配,則連接失敗,該設(shè)備將無法正常通信。所以除了連接到正確的Port外,也必須給設(shè)備分配屬于該VLAN網(wǎng)絡(luò)段的IP地址,這樣才能加入到該VLAN中。
2、動態(tài)VLAN
交換機自動配置Port為主機所屬的VLAN。這里有三種分類:基于MAC,基于IP,基于用戶
3、基于MAC的VLAN(例如二層交換機)
將所有主機的硬件地址都加入到VALN的管理數(shù)據(jù)庫中,例如,一主機隨便連接到交換機的一個動態(tài)VLAN的Port時,管理數(shù)據(jù)庫將根據(jù)主機的MAC地址查詢到該主機要加入VLAN 2中,然后自動設(shè)置該Port為VLAN 2。缺點是當主機更換了網(wǎng)卡之后,管理數(shù)據(jù)庫需要重新設(shè)定。
4、基于IP的VLAN(例如三層交換機)
與基于MAC不同,這種方法會記錄子網(wǎng)ID與VLAN ID的映射,而不論主機的網(wǎng)卡怎么變換,只要他的IP不變,交換機就可以根據(jù)主機的子網(wǎng)ID自動設(shè)置對應(yīng)的VLAN ID。
5、基于用戶的VLAN
根據(jù)操作系統(tǒng)的登錄用戶決定VLAN。
6、Access接口和Trunk接口
交換機中,有兩種類型的接口:接入端口(Access)和中繼端口(Trunk),Access接口只能用來連接用戶主機,只能屬于一個VLAN,因此該接口只傳輸本VLAN的數(shù)據(jù)。
以上介紹的都是基于一臺交換機劃分VLAN的情況,當要實現(xiàn)跨兩臺甚至更多交換機呢,基于Access接口已經(jīng)無法實現(xiàn)了,我們需要加入Trunk接口連接交換機。
四、VLAN的優(yōu)越性
1、增加了網(wǎng)絡(luò)連接的靈活性
借助VLAN技術(shù),能將不同地點、不同網(wǎng)絡(luò)、不同用戶組合在一起,形成一個虛擬的網(wǎng)絡(luò)環(huán)境,就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管理費用,特別是一些業(yè)務(wù)情況有經(jīng)常性變動的公司使用了VLAN后,這部分管理費用大大降低。
2、控制網(wǎng)絡(luò)上的廣播
VLAN可以提供建立防火墻的機制,防止交換網(wǎng)絡(luò)的過量廣播。使用VLAN,可以將某個交換端口或用戶賦于某一個特定的VLAN組,該VLAN組可以在一個交換網(wǎng)中或跨接多個交換機, 在一個VLAN中的廣播不會送到VLAN之外。同樣,相鄰的端口不會收到其他VLAN產(chǎn)生的廣播。這樣可以減少廣播流量,釋放帶寬給用戶應(yīng)用,減少廣播的產(chǎn)生。
3、增加網(wǎng)絡(luò)的安全性
因為一個VLAN就是一個單獨的廣播域,VLAN之間相互隔離,這大大提高了網(wǎng)絡(luò)的利用率,確保了網(wǎng)絡(luò)的安全保密性。人們在LAN上經(jīng)常傳送一些保密的、關(guān)鍵性的數(shù)據(jù)。保密的數(shù)據(jù)應(yīng) 提供訪問控制等安全手段。一個有效和容易實現(xiàn)的方法是將網(wǎng)絡(luò)分段成幾個不同的廣播組,網(wǎng)絡(luò)管理員限制了VLAN中用戶的數(shù)量,禁止未經(jīng)允許而訪問VLAN中的應(yīng)用。交換端口可以基于應(yīng)用類型和訪問特權(quán)來進行分組,被限制的應(yīng)用程序和資源一般置于安全性VLAN中。
廣州光橋通信設(shè)備有限公司專業(yè)研發(fā)、生產(chǎn)通信設(shè)備。生產(chǎn)的主要設(shè)備有:工業(yè)交換機,工業(yè)以太網(wǎng)交換機、工業(yè)PoE交換機,光纖收發(fā)器,光纖交換機,多電口收發(fā)器,電話光端機,視頻光端機,協(xié)議轉(zhuǎn)換器(網(wǎng)橋),PCM復(fù)用設(shè)備,PDH光端機,E1倒換設(shè)備,串口光端機,SFP光模塊等。聯(lián)系電話:400-8866-640 020-82319301 82319302,質(zhì)量第一,價格優(yōu)惠。
下一篇:光纖收發(fā)器選購原則
上一篇:光纖物理參數(shù)詳解
相關(guān)技術(shù)支持
- 光纖收發(fā)器8口和1口對接的用法
- POE交換機通過光纖和光纖收發(fā)器遠傳的用法
- 1光多電光纖收發(fā)器和1光多電PoE交換機在監(jiān)控中組合應(yīng)用
- 千兆8光1電光纖收發(fā)器匯聚組網(wǎng)圖
- 千兆8光1電收發(fā)器+1光4電PoE交換機組網(wǎng)圖
- 2光收發(fā)器鏈型網(wǎng)示意圖
- PoE交換機視頻監(jiān)控組網(wǎng)圖
- 工業(yè)交換機在觸摸屏和PLC之間的應(yīng)用
- 常見的網(wǎng)絡(luò)拓撲結(jié)構(gòu)
- 多業(yè)務(wù)光端機的六大應(yīng)用
