VLAN即虚拟局域网
虚拟局域网配置
用于提供汇聚链路的端口,称为汇聚端口。由于汇聚链路承载了所有VLAN的通讯流量,因此要求只有通讯速度在100Mbps或以上的端口,才能作用途就分为了访问连接端口(Access Link)和汇聚连接(Trunk Link)端口两种。访问连接端口通常用于连接客户PC机,以提供网络接入服务。该种端口只属于某一个VLAN,并且仅向该VLAN发送或接收数据帧。端口所属的VLAN通常也称作native vlan。汇聚连接端口属于所有VLAN共有,承载所有VLAN在交换机间的通讯流量。
3.5 VLAN的配置方法
在进行VLAN配置时,首先应根据应用需求,规划设计好网络拓扑结构,并进行VLAN划分和IP地址分配规划,最后才开始着手VLAN的配置和调试。
3.5.1 创建VTP管理域 1.VTP简介 VTP是VLAN Trunking Protocol的缩写,称为VLAN链路聚集协议,它是一个在建立了汇聚链路的交换机之间同步和传递VLAN配置信息的协议,以在同一个VTP域中维持VLAN配置的一致性。在同一个VTP域中的交换机,可通过VTP协议来互相学习VTP信息。VTP协议对于运行ISL或IEEE802.1Q封装协议的汇聚链路也都适用。 在创建VLAN之前,应先定义VTP管理域,VTP消息能在同一个VTP管理域内,同步和传递VLAN配置信息。另外,利用VTP协议,还能实现从汇聚链路中,裁剪掉不需要的VLAN流量。
增加网络的安全性。由于默认情况下,VLAN间是相互隔离的,不能直接通讯,对于保密性要求较高的部门,比如财务处,可将其划分在一个VLAN中,这样,其他VLAN中的用户,将不能访问该VLAN中的主机,从而起到了隔离作用,并提高了VLAN中用户的安全性。VLAN间的通讯,可通过应用VLAN的访问控制列表,来实现VLAN间的安全通讯。
什么是VLAN
三层交换技术
传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了VLAN以后的网络中,逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上,不同VLAN之间的通信数据量是很大的,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量的不断增大,路由器将不堪重负,路由器将成为整个网络运行的瓶颈。
广播信息是那么经常发出的吗?
读到这里,您也许会问:广播信息真是那么频繁出现的吗?
答案是:是的!实际上广播帧会非常频繁地出现。利用TCP/IP协议栈通信时,除了前面出现的ARP外,还有可能需要发出DHCP、RIP等很多其他类型的广播信息。
ARP广播,是在需要与其他主机通信时发出的。当客户机请求DHCP服务器分配IP地址时,就必须发出DHCP 的广播。而使用RIP作为路由协议时,每隔30秒路由器都会对邻近的其他路由器广播一次路由信息。RIP以外的其他路由协议使用多播传输路由信息,这也会被交换机转发(Flooding)。除了TCP/IP以外,NetBEUI、IPX和Apple Talk等协议也经常需要用到广播。例如在Windows下双击打开“网络计算机”时就会发出广播(多播)信息。(Windows XP除外……)
3、网络管理简单、直观
对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。
VLAN协议虚拟局域网的实现原理
VLAN协议虚拟局域网的实现原理VLAN(Virtual Local Area Network,虚拟局域网)是一种将一个物理网络划分为多个逻辑上的虚拟网络的技术。
通过 VLAN,网络管理员可以将不同的设备划分到不同的虚拟局域网中,实现更好的网络管理和安全性。
本文将介绍VLAN协议的实现原理以及其在实际网络中的应用。
一、VLAN的基本概念VLAN是一种逻辑上的划分,不同的VLAN间可以通过交换机进行通信。
一个VLAN就是一个广播域,VLAN中的设备之间可以直接进行广播。
而不同的VLAN之间需要通过路由器或者三层交换机进行通信。
二、VLAN的实现原理VLAN的实现主要通过两种方式:端口划分和MAC地址划分。
1. 端口划分端口划分是指将交换机的端口根据物理位置或者特定需求进行划分,将不同的端口划分到不同的VLAN中。
在这种划分方式下,同一个VLAN中的设备可以直接进行通信,而不同VLAN之间需要通过路由器进行通信。
2. MAC地址划分MAC地址划分是指根据设备的MAC地址将其划分到不同的VLAN 中。
交换机会根据设备的源MAC地址把数据包转发到正确的VLAN 中。
通过MAC地址划分,即使在不同的物理端口上,只要设备的MAC地址在同一个VLAN中,它们也可以直接通信。
三、VLAN的应用场景VLAN的应用可以提升网络的性能和安全性,以下列举几个常见的应用场景。
1. 部门网络划分在大型企业或者学校中,通常会有多个部门或者不同的用户组需要独立的网络环境。
通过划分不同的VLAN,可以将不同的部门或者用户组隔离开,降低广播风暴的发生,提升网络的性能和可靠性。
2. 客户网络隔离在网络服务提供商的环境中,为了确保不同客户之间的网络安全和隔离,可以通过VLAN将不同的客户划分开,防止潜在的攻击或者干扰。
3. 无线网络扩展在无线网络覆盖较大的场景下,可以通过VLAN将不同的AP (Access Point,接入点)划分到不同的VLAN中,实现无线网络的扩展和管理。
交换机的VLAN是什么意思
VLAN,是英文Virtual Local Area Network的缩写,中文名为"虚拟局域网", VLAN是一种将局域网(LAN)设备从逻辑上划分(注意,不是从物理上划分)成一个个网段(或者说是更小的局域网LAN),从而实现虚拟工作组(单元)的数据交换技术。
VLAN这一新兴技术主要应用于交换机和路由器中,但目前主流应用还是在交换机之中。
不过不是所有交换机都具有此功能,只有三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。
VLAN的好处主要有三个:(1)端口的分隔。
即便在同一个交换机上,处于不同VLAN的端口也是不能通信的。
这样一个物理的交换机可以当作多个逻辑的交换机使用。
(2)网络的安全。
不同VLAN不能直接通信,杜绝了广播信息的不安全性。
(3)灵活的管理。
更改用户所属的网络不必换端口和连线,只更改软件配置就可以了。
VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。
由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。
VLAN在交换机上的实现方法,可以大致划分为六类:1. 基于端口的VLAN这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。
这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。
VLAN技术
VLAN技术1.VLAN的定义VLAN(Virtual Local Area Network,VLAN)即虚拟局域网,是一种近年来在计算机通信领域内逐渐发展起来的一种网络技术。
VLAN是将局域网内的设备逻辑地而不是物理地划分成网段,从而实现虚拟工作组的一种技术。
它在广播抑制、动态组网等方面具有其他网络无法比拟的优越性,因此得到了长足的发展。
2.VLAN的实现原理与主要特征2.1 VLAN的实现原理是VLAN的实现原理是:当VLAN交换机从工作站接收到数据后,将对数据的部分内容进行检查,并与一个VLAN配置数据库(该数据库含有静态配置的或者动态学习而得到的MAC地址等信息)中的内容进行比较,然后确定数据去向。
如果数据要发往一个VLAN设备(VLAN-aware),则给这个数据加上一个标记(Tag)或者VLAN标识,根据VLAN标识和目的地址,VLAN交换机就可以将该数据转发到同一VLAN上适当的目的地;如果数据发往非VLAN设备(VLAN-unaware),则VLAN交换机发送不带VLAN标识的数据。
2.2 VLAN的主要功能2.2.1 广播抑制功能为了防止大量用户发送消息时形成广播风暴,避免造成整个网络性能下降甚至瘫痪,虚拟网技术将广播域按需要分成更小的、各自独立的VLAN。
这样能够使网络中广播包在消耗带宽中所占的比例大大降低,从而使网络性能得到显著提高。
2.2.2 动态网络功能在虚拟环境下,某一个VLAN成员与该VLAN仅仅是逻辑上的关系,而与地理位置无关。
因此,可以很方便地加入或撤除VLAN,克服了使用传统路由器隔离广播信息的方法所带来的问题。
2.2.3 网络安全功能根据安全需要,虚拟技术可以将不同层次的用户群划分为不同的VLAN,对不同用户之间的通信进行限制。
虚拟网之间的通信是通过路由技术实现的。
它能够使双方不知道彼此具体的MAC地址,从而消除通信双方直接连接的可能性,使网络安全性得到很大提高,还可以通过路由技术的包过滤等功能来进一步提高网络安全性2.3 VLAN的主要特征(1)所有成员组成一个VLAN。
VLAN基本原理
•报文 •公司server •V10 •V20
•1 •2 •3 •4 •H•5 •V30 •报文
•报文•H •V•1报0 文•H •H•报•V文20 •H•报文
•V30
•V30
•报文
•市场部
•财务部
•注意:粗体字表示 为该端口的pvid
VLAN工作小结
交换机接收报文时需要判断报文在哪个vlan中转发 根据收到的报文属性判断 tag报文 —— 按照tag中vid标识转发 untag报文——按照接收端口所在vlan转发
Hybrid 模式的端口可以属于多个VLAN,可以是untagged 的也可以是tagged。
跨交换机VLAN的工作
•Vlan untag tag
•10 p1,p2 p5 •20 p3,p4 p5
•交换机 1 •1 •2 •3
•v10 •报 文
•4 •5
•A •A
•vlan1 0
•A •A
•vlan2 0
IEEE802.1Q简介
Tag Protocol Identifier (TPID)802.1Q 标签帧 标识,值为0x8100。
VLAN Identified(VLAN ID):12 位指明 VLAN 的ID,范围1-4094。
Canonical Format Indicator(CFI):这一位主 要用于总线型的以太网与FDDI、令牌环网交换 数据时的帧格式。
•TO bbb
•aaa
•bbb
•市场部
•ccc
•ddd
•财务部
跨交换机VLAN的工作
•? •交换机 1
•交换机 2
•1 •2
ห้องสมุดไป่ตู้
•3
•4
华为交换机vlan划分方法
华为交换机vlan划分方法
华为交换机VLAN划分方法
一、VLAN的概念
VLAN(虚拟局域网),是指通过交换机技术,在一个物理网络上模拟出一组逻辑网络。
VLAN可以按照业务类型、部门、物理位置等不同属性,将整个网络拆分成多个不同的网络,减少网络内部的广播流量,提高网络效率,并保证网络安全。
二、VLAN的划分方法
1.物理网络布局
华为交换机的VLAN划分方法,首先要考虑的是物理网络布局,考虑网络交换设备的端口数、网络链路连接、网络拓扑结构等,然后根据实际需求将网络分区为VLAN,使各个VLAN之间的网络访问/交换受到限制,以满足网络安全的基本要求。
2.按业务类型划分
根据公司内部的业务属性划分VLAN,将不同的业务部门或业务类型放在不同的VLAN中,以降低业务之间的耦合度,并降低网络内部的广播流量,提高网络效率。
3.按部门划分
将同一部门的设备放在同一个VLAN中,以便更好地管理和控制网络,使部门内的网络资源能够更好地利用,以提高网络的效率和安全性。
四、VLAN的注意事项
1、VLAN划分时需充分考虑公司内部的业务属性和部门的要求,以便实现有效的业务隔离和范围限制,保证网络的安全性。
2、用户的VLAN访问权限要在满足授权规则的基础上作出有效的限制,以合理限定访问权限,以防止权限滥用。
3、在网络设备的端口设置中,要考虑各VLAN之间的通信情况,有效避免网络当中的环路,确保网络顺利访问。
4、VLAN的划分要灵活,用户之间的网络范围、访问权限、安全性等都要受到充分的保护,以确保网络的正常运行。
什么是VLAN
什么是VLANVLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。
一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。
虚拟局域网(VLAN)交换技术的发展,也加快了新的交换技术(VLAN)的应用速度。
通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。
在共享网络中,一个物理的网段就是一个广播域。
而在交换网络中,广播域可以是有一组任意选定的第二层网络地址(MAC地址)组成的虚拟网段。
这样,网络中工作组的划分可以突破共享网络中的地理位置限制,而完全根据管理功能来划分。
这种基于工作流的分组模式,大大提高了网络规划和重组的管理功能。
在同一个VLAN中的服务器,不论它们实际与哪个交换机连接,它们之间的通讯就好象在独立的集线器上一样。
同一个VLAN中的广播只有VLAN中的成员才能听到,而不会传输到其他的VLAN中去,这样可以很好的控制不必要的广播风暴的产生。
同时,若没有路由的话,不同VLAN之间不能相互通讯,这样增加了网络中不同服务器之间的安全性。
随着网络硬件性能的不断提高、成本的不断降低,目前新建立的校园网基本上都采用了性能先进的千兆网技术,其核心交换机采用三层交换机,它能很好地支持虚拟局域网(VLAN)技术,这对方便校园网的管理、保证校园网的高速可靠运行起到了非常重要的作用。
什么是VLANVLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。
一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
VLAN即虚拟局域网(Virtual Local Area Network的缩写),是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。
虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域即VLAN,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。
一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
1.根据端口来划分VLAN
许多VLAN厂商都利用交换机的端口来划分VLAN成员。
被设定的端口都在同一个广播域中。
例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。
这样做允许各端口之间的通讯,并允许共享型网络的升级。
但是,这种划分模式将虚拟网限制在了一台交换机上。
第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。
以交换机端口来划分网络成员,其配置过程简单明了。
因此,从目前来看,这种根据端口来划分VLAN的方式仍然是最常用的一种方式。
2.根据MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。
这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC 地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。
而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。
另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停地配置。
3.根据网络层划分VLAN
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。
当然,这与各个厂商的实现方法有关。
4.根据IP组播划分VLAN
IP 组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路
由器进行扩展,当然这种方法不适合局域网,主要是效率不高。