论文部分内容阅读
摘要:本文对虚拟局域网的现状和问题进行了详尽的阐述,希望对同仁有所启发。
关键词:VLAN 实现 配置 问题
1 VLAN的现实考虑
VLAN(Virtual Local AreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段,从而实现虚拟工作组的新兴技术。通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络,而无需改变任何硬件和通信线路,网络管理员就能从逻辑上对用户和网络资源进行分配,而无需考虑物理连接方式。VLAN迅猛发展主要是基于以下考虑:一是基于网络性能的考虑,可抑制大型网络上的广播风暴。因为广播信息是不会跨过VLAN的,可以把广播限制在各个虚拟网的范围内。二是基于安全性的考虑。因为各虚拟网之间不能直接进行通讯,而必须通过路由器转发,为高级的安全控制提供了可能,增强了网络的安全性。三是基于组织结构上考虑,集中化的管理控制。
2 VLAN的實现方法
①基于端口的VLAN。它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。对于不同部门需要互访时,可通过路由器转发,并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上,设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。②基于MAC地址的VLAN。这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组,它实现的机制就是每一块网卡都对应唯一的MAC地址,VLAN交换机跟踪属于同一VLAN的MAC地址。③基于网络层协议的VLAN 。VLAN按网络层协议来划分。这种按网络层协议来组成的VLAN,可使广播域跨越多个VLAN交换机。④根据IP组播的VLAN。IP组播实际上也是一种VLAN的定义,即认为一个IP组播组就是一个VLAN。⑤按策略划分的VLAN基于策略组成的VLAN能实现多种分配方法,包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。⑥按用户定义、非用户授权划分的VLAN。根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码。
3 VLAN的配置
①基于MAC地址的VLAN分配方案可使某些移动、添加和更改操作自动化。如果用户根据MAC地址被分配到一个VLAN或多个VLAN,计算机可以连接交换网络的任何一个端口,所有通信量均能正确无误地到达目的地。②Layer3技术。这里离开VLAN最近的是IP子网:每个子网需要一个路由器端口,因为通信量只能通过一个路由器从一个子网移动到另一个子网。由于IP32位地址提供的地址空间很有限,所以很难分配子网地址,还有看你是否熟悉二进制算法。③Cabletron的SecureFast Virtual Networking Layer3交换技术采用路由服务器模型而不是传统的路由选择模型。第一个信息包传送到路由服务器进行常规路由计算,但交换机能记忆路径,因而后续信息包可在Layer2交换,而无须查对路由表。由于有了基于纯Layer3地址的VLAN,所以IP地址可以作为通用网络ID,允许任何人连接任何数据链路。④共享介质如Ethernet冲突网段或者令牌环,已经成为网络管理的级别单元。连接网段或环任何地方的协议分析仪都可捕捉所以节点自己发生的所有对话。集线器的SNMP代理捕捉整个网段通信量。错误和广播统计信息。RMON检测器可检测共享介质发生的所有重大事件。这些设备提供测试手段即基本数据捕捉作业,旨在有效管理网络。交换网络必须装备类似的工具。
4 VLAN管理
管理的主要内容有①控制广播域的范围。②网络安全管理。在很多时候,网管人员需要限制可以连接到一个或多个设备的终端。③第3层地址管理。一个很常见的设计,是把同类型的设备,规划在同一个IP子网。④网络资源的集中管理。利用虚拟局域网,可以让打印机连接到同一个交换机上,分享同一条互联的铜链路或光链路和路由器端口。
5 存在的问题及对策
VLAN重要而不可回避问题是:①VLAN之间显然不能再通过第2层交换机。假如那样的话,广播域又合并到一起了,使本来使用交换机代替路由器组建大型网络的VLAN,又回到路由器上来了。②VLAN之间的通讯大多是通过中心路由器完成的。这也是保证VLAN组网灵活性的惟一办法。所有的VLAN都经过中心路由器。也就是所有的广播都经过中心路由器,这样中心路由器就承受了更大的压力。当VLAN之间的通讯量较大时,中心路由器就成了网络的瓶颈,并且一旦中心路由器失效,所有VLAN之间的通讯将无法进行。③无论按照何种VLAN划分方法,多个VLAN完全可以处于同一个网段中。它们之间在二层是不能通信的,这个就是VLAN隔离。要使这些VLAN能够进行通信,必须为这些VLAN建立路由。④怎样解决文档备案的问题。当您把一个设备连接到交换机时,没有一个好方法来知道究竟连到的哪一个交换机端口是被设定到哪一个虚拟局域网上或是否被设定成虚拟局域网的骨干链路。在大多数的情况下,确定端口的虚拟局域网设置只可以通过Telnet登录到交换机的控制台,这种过程需要用户口令,同时需要对交换机的设置管理指令有比较深刻的了解。⑤Trunk是独立于VLAN的、将多条物理链路模拟为一条逻辑链路的VLAN与VLAN之间的连接方式。采用Trunk方式不仅能够连接不同的VLAN或跨越多个交换机的相同VLAN,而且还能增加交换机间的物理连接带宽,增强网络设备间的冗余。
6 结束语
尽管VLAN存在着问题,但基于这种用于网络结点逻辑分段的方法正为许多企业所使用。VLAN采用多种方式配置于企业网络中,包括网络安全认证、使无线用户在802.11b接入点漫游、隔离IP语音流及在不同协议的网络中传输数据等。以前的VLAN都是基于IEEE802.1Q和802.1p标准的。802.1Q规范用于将VLAN用户信息载入以太网帧,而802.1p使二层交换机具有流量优先和实施动态多址滤波的能力。多数网络设备的软件可用于将媒体访问控制(MAC)地址与VLAN相关联,当客户从一个端口移动到另一个端口时,可以使其自动连接到网络上。当VLAN定义很丰富而且灵活的时候,其他令人感爱好的管理服务才可能走向成熟。随着动态定义的VLAN产品和方案的推出和实施,配置和管理网络节点所面对的挑战也将发生根本性的转变。
参考文献:
[1]Marina Smith.虚拟局域网
[2]张蒲生.局域网技术
关键词:VLAN 实现 配置 问题
1 VLAN的现实考虑
VLAN(Virtual Local AreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段,从而实现虚拟工作组的新兴技术。通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络,而无需改变任何硬件和通信线路,网络管理员就能从逻辑上对用户和网络资源进行分配,而无需考虑物理连接方式。VLAN迅猛发展主要是基于以下考虑:一是基于网络性能的考虑,可抑制大型网络上的广播风暴。因为广播信息是不会跨过VLAN的,可以把广播限制在各个虚拟网的范围内。二是基于安全性的考虑。因为各虚拟网之间不能直接进行通讯,而必须通过路由器转发,为高级的安全控制提供了可能,增强了网络的安全性。三是基于组织结构上考虑,集中化的管理控制。
2 VLAN的實现方法
①基于端口的VLAN。它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。对于不同部门需要互访时,可通过路由器转发,并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上,设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。②基于MAC地址的VLAN。这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组,它实现的机制就是每一块网卡都对应唯一的MAC地址,VLAN交换机跟踪属于同一VLAN的MAC地址。③基于网络层协议的VLAN 。VLAN按网络层协议来划分。这种按网络层协议来组成的VLAN,可使广播域跨越多个VLAN交换机。④根据IP组播的VLAN。IP组播实际上也是一种VLAN的定义,即认为一个IP组播组就是一个VLAN。⑤按策略划分的VLAN基于策略组成的VLAN能实现多种分配方法,包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。⑥按用户定义、非用户授权划分的VLAN。根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码。
3 VLAN的配置
①基于MAC地址的VLAN分配方案可使某些移动、添加和更改操作自动化。如果用户根据MAC地址被分配到一个VLAN或多个VLAN,计算机可以连接交换网络的任何一个端口,所有通信量均能正确无误地到达目的地。②Layer3技术。这里离开VLAN最近的是IP子网:每个子网需要一个路由器端口,因为通信量只能通过一个路由器从一个子网移动到另一个子网。由于IP32位地址提供的地址空间很有限,所以很难分配子网地址,还有看你是否熟悉二进制算法。③Cabletron的SecureFast Virtual Networking Layer3交换技术采用路由服务器模型而不是传统的路由选择模型。第一个信息包传送到路由服务器进行常规路由计算,但交换机能记忆路径,因而后续信息包可在Layer2交换,而无须查对路由表。由于有了基于纯Layer3地址的VLAN,所以IP地址可以作为通用网络ID,允许任何人连接任何数据链路。④共享介质如Ethernet冲突网段或者令牌环,已经成为网络管理的级别单元。连接网段或环任何地方的协议分析仪都可捕捉所以节点自己发生的所有对话。集线器的SNMP代理捕捉整个网段通信量。错误和广播统计信息。RMON检测器可检测共享介质发生的所有重大事件。这些设备提供测试手段即基本数据捕捉作业,旨在有效管理网络。交换网络必须装备类似的工具。
4 VLAN管理
管理的主要内容有①控制广播域的范围。②网络安全管理。在很多时候,网管人员需要限制可以连接到一个或多个设备的终端。③第3层地址管理。一个很常见的设计,是把同类型的设备,规划在同一个IP子网。④网络资源的集中管理。利用虚拟局域网,可以让打印机连接到同一个交换机上,分享同一条互联的铜链路或光链路和路由器端口。
5 存在的问题及对策
VLAN重要而不可回避问题是:①VLAN之间显然不能再通过第2层交换机。假如那样的话,广播域又合并到一起了,使本来使用交换机代替路由器组建大型网络的VLAN,又回到路由器上来了。②VLAN之间的通讯大多是通过中心路由器完成的。这也是保证VLAN组网灵活性的惟一办法。所有的VLAN都经过中心路由器。也就是所有的广播都经过中心路由器,这样中心路由器就承受了更大的压力。当VLAN之间的通讯量较大时,中心路由器就成了网络的瓶颈,并且一旦中心路由器失效,所有VLAN之间的通讯将无法进行。③无论按照何种VLAN划分方法,多个VLAN完全可以处于同一个网段中。它们之间在二层是不能通信的,这个就是VLAN隔离。要使这些VLAN能够进行通信,必须为这些VLAN建立路由。④怎样解决文档备案的问题。当您把一个设备连接到交换机时,没有一个好方法来知道究竟连到的哪一个交换机端口是被设定到哪一个虚拟局域网上或是否被设定成虚拟局域网的骨干链路。在大多数的情况下,确定端口的虚拟局域网设置只可以通过Telnet登录到交换机的控制台,这种过程需要用户口令,同时需要对交换机的设置管理指令有比较深刻的了解。⑤Trunk是独立于VLAN的、将多条物理链路模拟为一条逻辑链路的VLAN与VLAN之间的连接方式。采用Trunk方式不仅能够连接不同的VLAN或跨越多个交换机的相同VLAN,而且还能增加交换机间的物理连接带宽,增强网络设备间的冗余。
6 结束语
尽管VLAN存在着问题,但基于这种用于网络结点逻辑分段的方法正为许多企业所使用。VLAN采用多种方式配置于企业网络中,包括网络安全认证、使无线用户在802.11b接入点漫游、隔离IP语音流及在不同协议的网络中传输数据等。以前的VLAN都是基于IEEE802.1Q和802.1p标准的。802.1Q规范用于将VLAN用户信息载入以太网帧,而802.1p使二层交换机具有流量优先和实施动态多址滤波的能力。多数网络设备的软件可用于将媒体访问控制(MAC)地址与VLAN相关联,当客户从一个端口移动到另一个端口时,可以使其自动连接到网络上。当VLAN定义很丰富而且灵活的时候,其他令人感爱好的管理服务才可能走向成熟。随着动态定义的VLAN产品和方案的推出和实施,配置和管理网络节点所面对的挑战也将发生根本性的转变。
参考文献:
[1]Marina Smith.虚拟局域网
[2]张蒲生.局域网技术