- 聯(lián)系我們
-
- 服務(wù)熱線:0591-83268695
- 聯(lián)系傳真:0591-83295875
- 聯(lián)系地址:福州臺(tái)江區(qū)江濱路58號(hào)
- EPON技術(shù) 您現(xiàn)在的位置 :首頁 -- 技術(shù)論壇 -- EPON技術(shù)
VLAN技術(shù)介紹
| 來源:金錢貓科技股份有限公司 發(fā)表于:2015-08-22 瀏覽2572次 |
?
????? VLAN(Virtual Local Area Network)即虛擬局域網(wǎng),是一組邏輯上的設(shè)備和用戶,這些設(shè)備和用戶并不受物理位置的限制,可以根據(jù)功能、部門及應(yīng)用等因素將他們組織起來,相互之間的通信就好像它們?cè)谕痪W(wǎng)段中一樣,因此稱為虛擬局域網(wǎng)。
1. 設(shè)置VLAN的目的
????? 設(shè)置VLAN的主要目的是限制廣播包的傳播范圍和降低廣播包的影響。所有以太網(wǎng)數(shù)據(jù)包,如單播(unicast)、組播(multicast)、廣播(broadcast),以及未知(unknown)的數(shù)據(jù)包,都將只在VLAN內(nèi)傳送。這樣在一定程度上可以提高網(wǎng)絡(luò)的安全性。
????? 如圖1中,是一個(gè)由3臺(tái)二層交換機(jī)(交換機(jī)1~3)連接了大量客戶機(jī)構(gòu)成的網(wǎng)絡(luò),每臺(tái)交換機(jī)有多個(gè)端口。我們知道,在基于以太網(wǎng)的通信中,必須在數(shù)據(jù)幀中指定目標(biāo)MAC地址才能實(shí)現(xiàn)終端設(shè)備間的正常通信,即當(dāng)計(jì)算機(jī)A要與計(jì)算機(jī)B通信時(shí),計(jì)算機(jī)A必須先廣播“ARP Request”信息,來嘗試獲取計(jì)算機(jī)B的MAC地址。交換機(jī)1收到ARP請(qǐng)求后,會(huì)將它轉(zhuǎn)發(fā)給除接收端口外的其他所有端口,這個(gè)過程即Flooding。接著,交換機(jī)2、3在收到廣播幀后也會(huì)Flooding。最終ARP請(qǐng)求會(huì)被轉(zhuǎn)發(fā)到同一網(wǎng)絡(luò)中的所有客戶機(jī)上。
論壇/寬帶技術(shù)/699/2015822104156342.jpg)
????? 這個(gè)ARP請(qǐng)求原本是為了獲得計(jì)算機(jī)B的MAC地址而發(fā)出的,可事實(shí)上,數(shù)據(jù)幀卻傳遍了整個(gè)網(wǎng)絡(luò),導(dǎo)致所有的計(jì)算機(jī)都收到了它。如此一來,一方面廣播信息消耗了網(wǎng)絡(luò)整體的帶寬,另一方面,收到廣播信息的計(jì)算機(jī)還要消耗一部分CPU時(shí)間來對(duì)它進(jìn)行處理。這造成了網(wǎng)絡(luò)帶寬和CPU運(yùn)算能力的大量無謂消耗。
????? 如果整個(gè)網(wǎng)絡(luò)中只有一個(gè)廣播域,那么一旦發(fā)出廣播信息,就會(huì)傳遍整個(gè)網(wǎng)絡(luò),并且對(duì)網(wǎng)絡(luò)中的主機(jī)帶來額外的負(fù)擔(dān)。因此,設(shè)置VLAN對(duì)限制廣播包的傳播范圍和降低廣播包對(duì)整個(gè)網(wǎng)絡(luò)的影響就顯得尤為重要。
2. VLAN實(shí)現(xiàn)機(jī)制
????? 首先,在一臺(tái)未設(shè)置任何VLAN的二層交換機(jī)上,任何廣播幀都會(huì)被轉(zhuǎn)發(fā)給除接收端口外的所有其他端口。例如,計(jì)算機(jī)A發(fā)送廣播信息后,會(huì)被轉(zhuǎn)發(fā)給端口2、3、4。
論壇/寬帶技術(shù)/699/2015822104218856.jpg)
????? 這是,如果在交換機(jī)上生成紅、藍(lán)兩組VLAN;同時(shí)設(shè)置端口1、2屬于紅色VLAN;端口3、4屬于藍(lán)色VLAN。再?gòu)腁發(fā)出廣播幀時(shí),交換機(jī)就只會(huì)把它轉(zhuǎn)發(fā)給同屬于一個(gè)VLAN的其他端口,即端口2。同理,計(jì)算機(jī)C發(fā)送廣播信息時(shí),只會(huì)被轉(zhuǎn)發(fā)給端口4,而不會(huì)被轉(zhuǎn)發(fā)給端口1和端口2。
????? 就這樣,VLAN通過限制廣播幀轉(zhuǎn)發(fā)的范圍分割了廣播域。上圖中為了便于說明,以紅、藍(lán)兩色識(shí)別不同的VLAN,在實(shí)際使用中則是用“VLAN ID”來區(qū)分的。為了更直觀地描述VLAN,也可以將圖中的一臺(tái)交換機(jī)看做是紅、藍(lán)兩臺(tái)虛擬的交換機(jī);若要在已有的VLAN外生成新的VLAN,則可以看做是又添加了新的交換機(jī)。
論壇/寬帶技術(shù)/699/2015822104238500.jpg)
????? VLAN生成的邏輯上的交換機(jī)是互不相通的。那么,我們要如何實(shí)現(xiàn)不同的VLAN間的通信呢?我們知道,VLAN是廣播域,而通常兩個(gè)廣播域之間由路由器連接,廣播域之間來往的數(shù)據(jù)包都是由路由器中繼的。因此,VLAN間的通信也需要路由器提供中繼服務(wù),這被稱作“VLAN間路由”。
論壇/寬帶技術(shù)/699/2015822104544184.jpg)
3. VLAN優(yōu)點(diǎn)
(1)廣播風(fēng)暴防范
????? 限制網(wǎng)絡(luò)上的廣播,將網(wǎng)絡(luò)劃分為多個(gè)VLAN可減少參與廣播風(fēng)暴的設(shè)備數(shù)量。LAN分段可以防止廣播風(fēng)暴波及整個(gè)網(wǎng)絡(luò)。VLAN可以提供建立防火墻的機(jī)制,防止交換網(wǎng)路的過量廣播。使用VLAN,可以將某個(gè)交換端口或用戶賦予某一個(gè)特定的VLAN組,該VLAN組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機(jī),在一個(gè)VLAN中的廣播不會(huì)送到VLAN之外。同樣,相鄰的端口不會(huì)收到其他VLAN產(chǎn)生的廣播。這樣可以減少?gòu)V播流量,釋放帶寬給用戶應(yīng)用,減少?gòu)V播的產(chǎn)生。
(2)安全
????? 增強(qiáng)局域網(wǎng)的安全性,含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離,從而降低信息泄露的可能性。不同的VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的,即一個(gè)VLAN內(nèi)的用戶不能和其他VLAN內(nèi)的用戶直接通信,如果不同VLAN間要進(jìn)行通信,則需要通過路由器或三層交換機(jī)等三層設(shè)備。
(3)降低成本
????? 現(xiàn)有帶寬和上行鏈路的利用率更高,減少網(wǎng)絡(luò)升級(jí)的需求,從而節(jié)約成本。
(4)性能提高
????? 將第二層平面網(wǎng)絡(luò)劃分為多個(gè)邏輯工作組(廣播域)可以減少網(wǎng)絡(luò)上不必要的流量并提高性能。
(5)提高用戶工作效率
????? 擁有相似網(wǎng)絡(luò)需求的用戶將共享同一個(gè)VLAN可以使得網(wǎng)絡(luò)管理更加方便,提高用戶工作效率。
(6)簡(jiǎn)化項(xiàng)目管理或應(yīng)用管理
????? VLAN將用戶和網(wǎng)絡(luò)設(shè)備聚合到一起,以支持商業(yè)需求或地域上的需求。通過職能劃分,項(xiàng)目管理或特殊應(yīng)用的處理都變得十分方便。此外,也很容易確定升級(jí)網(wǎng)絡(luò)服務(wù)的影響范圍。
(7)增加網(wǎng)絡(luò)連接的靈活性
????? 借助VLAN技術(shù),能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起,形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境,就像使用本地LAN一樣方便、靈活、有效。LAN可以降低移動(dòng)或變更工作站地理位置的管理費(fèi)用,特別是一些業(yè)務(wù)情況有經(jīng)常性變動(dòng)的公司使用VLAN后,這部分管理費(fèi)用會(huì)大大降低。