码迷,mamicode.com
首页 > 其他好文 > 详细

[转帖]交换网络基础知识VLAN及VLAN划分,一分钟了解下

时间:2020-01-20 09:45:22      阅读:105      评论:0      收藏:0      [点我收藏+]

标签:发展   更换   不同   攻击   stp   潮流   包括   入侵者   tps   

交换网络基础知识VLAN及VLAN划分,一分钟了解下

https://www.toutiao.com/i6772206771248300556/

 

一、VLAN基础

VLAN是英文Virtual Local Area Network的缩写, 即虚拟局域网。一方面, VLAN建立在局域网交换机的基础之上;另一方面, VLAN是局域交换网的灵魂。这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络, 而无需改变任何硬件和通信线路。这样, 网络管理员就能从逻辑上对用户和网络资源进行分配, 而无需考虑物理连接方式。 VLAN充分体现了现代网络技术的重要特征:高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。VLAN与普通局域网从原理上讲没有什么不同, 但从用户使用和网络管理的角度来看, VLAN与普通局域网最基本的差异体现在:VLAN并不局限于某一网络或物理范围, VLAN中的用户可以位于一个园区的任意位置, 甚至位于不同的国家。

二、VLAN概念

Vlan 是一种逻辑上的局域网, 他可以将不同交换机, 不同地域的接口划分到一个虚拟的 LAN 中, 便于管理和维护, 同时划分 vlan 还可以隔离广播流量, 防止大型网络中多台机器广播影响性能。

技术图片

 

对一个极大规模的未分配vlan的网络, 不明地址的单播帧和组播流量能在同一个广播域中畅通无阻, 例如下图, 是一个由 5 台二层交换机(交换机 1~5)连接了大量客户机构成的网络。假设这时,计算机 A 需要与计算机 B 通信。在基于以太网的通信中, 必须在数据帧中指定目标 MAC 地址才能正常通信, 因此计算机 A 必须先广播“ARP 请求(ARP Request)信息”, 来尝试获取计算机 B 的 MAC 地址。

技术图片

 

交换机 1 收到广播帧(ARP 请求)后, 会将它转发给除接收端口外的其他所有端口, 也就是 Flooding了。接着, 交换机 2 收到广播帧后也会 Flooding。交换机 3、4、5 也还会 Flooding。最终 ARP 请求会被转发到同一网络中的所有客户机上。

1.广播信息消耗了网络整体的带宽。

2.收到广播信息的计算机还要消耗一部分 CPU 时间来对它进行处理。造成了网络带宽和 CPU 运

算能力的大量无谓消耗。

三、VLAN局限性

随着网络的迅速发展, 用户对于网络数据通信的安全性提出了更高的要求, 诸如防范黑客攻击、控制病毒传播等, 都要求保证网络用户通信的相对安全性;传统的解决方法是给每个客户分配一个 VLAN和相关的 IP 子网, 通过使用 VLAN, 每个客户被从第 2 层隔离开, 可以防止任何恶意的行为和 Ethernet的信息探听。 然而, 这种分配每个客户单一 VLAN 和 IP 子网的模型造成了巨大的可扩展方面的局限。这些局限主要有下述几方面。

1. VLAN 的限制:交换机固有的 VLAN 数目的限制

2. 复杂的 STP:对于每个 VLAN, 每个相关的 Spanning Tree 的拓扑都需要管理

3. IP 地址的紧缺:IP 子网的划分势必造成一些 IP 地址的浪费

4. 路由的限制:每个子网都需要相应的默认网关的配置

四、PVLAN

从安全上考虑, 现在有了一种新的 VLAN 机制, 所有服务器在同一个子网中, 但服务器只能与自己的默认网关通信。这一新的 VLAN 特性就是专用 VLAN(Private VLAN)。PVLAN 的应用对于保证接入网络的数据通信的安全性是非常有效的, 用户只需与自己的默认网关连接, 一个 pVLAN 不需要多个 VLAN 和 IP 子网就提供了具备第 2 层数据通信安全性的连接, 所有的用户都接入PVLAN, 从而实现了所有用户与默认网关的连接, 而与pVLAN内的其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信, 但可以穿过Trunk端口。这样即使同一VLAN中的用户, 相互之间也不会受到广播的影响。

五、VLAN划分

VLAN 在交换机上的实现方法, 可以大致划分为六类:

1. 基于端口划分的 VLAN

这是最常应用的一种 VLAN 划分方法, 应用也最为广泛、最有效, 目前绝大多数 VLAN 协议的

交换机都提供这种 VLAN 配置方法。这种划分 VLAN 的方法是根据以太网交换机的交换端口来划分

的, 它是将 VLAN 交换机上的物理端口和 VLAN 交换机内部的 PVC(永久虚电路)端口分成若干个组,

每个组构成一个虚拟网, 相当于一个独立的 VLAN 交换机。

对于不同部门需要互访时, 可通过路由器转发, 并配合基于 MAC 地址的端口过滤。对某站点

的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上, 设定可通过的 MAC 地

址集。这样就可以防止非法入侵者从内部盗用 IP 地址从其他可接入点入侵的可能。

从这种划分方法本身我们可以看出, 这种划分的方法的优点是定义VLAN成员时非常简单, 只

要将所有的端口都定义为相应的 VLAN 组即可。适合于任何大小的网络。它的缺点是如果某用户离

开了原来的端口, 到了一个新的交换机的某个端口, 必须重新定义。

2. 基于 MAC 地址划分 VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分, 即对每个MAC地址的主机都配置

他属于哪个组, 它实现的机制就是每一块网卡都对应唯一的MAC地址, VLAN交换机跟踪属于VLAN

MAC 的地址。这种方式的 VLAN 允许网络用户从一个物理位置移动到另一个物理位置时, 自动保留

其所属 VLAN 的成员身份。

由这种划分的机制可以看出, 这种 VLAN 的划分方法的最大优点就是当用户物理位置移动时,

即从一个交换机换到其他的交换机时, VLAN不用重新配置, 因为它是基于用户, 而不是基于交换机

的端口。这种方法的缺点是初始化时, 所有的用户都必须进行配置, 如果有几百个甚至上千个用户

的话, 配置是非常累的, 所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了

交换机执行效率的降低, 因为在每一个交换机的端口都可能存在很多个 VLAN 组的成员, 保存了许

多用户的 MAC 地址, 查询起来相当不容易。另外, 对于使用笔记本电脑的用户来说, 他们的网卡可

能经常更换, 这样 VLAN 就必须经常配置。

3. 基于网络层协议划分 VLAN

VLAN 按网络层协议来划分, 可分为 IP、IPX、DECnet、AppleTalk、Banyan 等 VLAN 网络。这种

按网络层协议来组成的 VLAN, 可使广播域跨越多个 VLAN 交换机。这对于希望针对具体应用和服

务来组织用户的网络管理员来说是非常具有吸引力的。而且, 用户可以在网络内部自由移动, 但其

VLAN 成员身份仍然保留不变。

这种方法的优点是用户的物理位置改变了, 不需要重新配置所属的 VLAN, 而且可以根据协议

类型来划分 VLAN, 这对网络管理者来说很重要, 还有, 这种方法不需要附加的帧标签来识别 VLAN,

这样可以减少网络的通信量。这种方法的缺点是效率低, 因为检查每一个数据包的网络层地址是需

要消耗处理时间的(相对于前面两种方法), 一般的交换机芯片都可以自动检查网络上数据包的以

太网祯头, 但要让芯片能检查 IP 帧头, 需要更高的技术, 同时也更费时。当然, 这与各个厂商的实

现方法有关。

4. 根据 IP 组播划分 VLAN

IP 组播实际上也是一种 VLAN 的定义, 即认为一个 IP 组播组就是一个 VLAN。这种划分的方法

将 VLAN 扩大到了广域网, 因此这种方法具有更大的灵活性, 而且也很容易通过路由器进行扩展,

主要适合于不在同一地理范围的局域网用户组成一个 VLAN, 不适合局域网, 主要是效率不高。

5. 按策略划分 VLAN

基于策略组成的 VLAN 能实现多种分配方法, 包括 VLAN 交换机端口、MAC 地址、IP 地址、网

络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的 VLAN 。

6. 按用户定义、非用户授权划分 VLAN

基于用户定义、非用户授权来划分 VLAN, 是指为了适应特别的 VLAN 网络, 根据具体的网络用

户的特别要求来定义和设计 VLAN, 而且可以让非 VLAN 群体用户访问 VLAN, 但是需要提供用户密

码, 在得到 VLAN 管理的认证后才可以加入一个 VLAN。

了解更多

[转帖]交换网络基础知识VLAN及VLAN划分,一分钟了解下

标签:发展   更换   不同   攻击   stp   潮流   包括   入侵者   tps   

原文地址:https://www.cnblogs.com/jinanxiaolaohu/p/12156645.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!