虛擬區域網
出自 MBA智库百科(https://wiki.mbalib.com/)
虛擬區域網(Virtual Local Area Network或簡寫VLAN, V-LAN)
目錄 |
虛擬區域網是一種建構於區域網交換技術(LAN Switch)的網路管理的技術,網管人員可以藉此通過控制交換機有效分派出入區域網的數據包到正確的出入埠,達到對不同實體區域網中的設備進行邏輯分群(Grouping)管理,並降低區域網內大量數據流通時,因無用數據包過多導致雍塞的問題,以及提升區域網的信息安全保障。
虛擬區域網的優點[1]
在大型區域網中,VLAN技術給網路管理員和網路用戶都帶來了許多好處。歸納起來主要有以下幾點:
(1)減少移動和改變的代價,即所說的動態管理網路,也就是當一個用戶從一個位置移動到另一個位置時,他的網路屬性不需要重新配置,而是動態地完成,這種動態管理網路給網路管理者和使用者都帶來了極大的好處。一個用戶,無論他到哪裡,他都能不作任何修改地接入網路。當然,並不是所有的VLAN定義方法都能做到這一點。
(2)虛擬工作組。使用VLAN的最終目標就是建立虛擬工作組,例如,在企業網中,同一個部門好像在同一個LAN上一樣,很容易互相訪問、交流信息,同時,所有的廣播包也都限制在該虛擬LAN上,而不影響其他VLAN的人。一個人如果從一個辦公地點換到另外一個辦公地點,而他仍然在該部門,那麼,該用戶的配置無須改變。同時,如果一個人雖然辦公地點沒有變,但他更換了部門,那麼,只需網路管理員更改一下該用戶的配置即可。這個功能的目標就是建立一個動態的組織環境。
(3)VLAN的應用解決了許多大型二層交換網路產生的問題:限制廣播包,提高帶寬的利用率,有效地解決了廣播風暴帶來的性能下降問題。一個VLAN形成一個小的廣播域,同一個VLAN成員都在由所屬VLAN確定的廣播域內。那麼,當一個數據包沒有路由時,交換機只會將此數據包發送到所有屬於該VLAN的其他埠,而不是所有的交換機的端V1,這樣,就將數據包限制在了一個VLAN內,從而在一定程度上可以節省帶寬。
(4)增強通信的安全性。一個VLAN的數據包不會發送到另一個VLAN,這樣,其他VLAN用戶的網路上收不到任何該VLAN的數據包,這樣就確保了該VLAN的信息不會被其他VLAN的人竊聽,從而實現了信息的保密。
(5)由於VLAN是從邏輯上對網路進行劃分,組網方案靈活,配置管理簡單,從而降低了管理維護的成本。
虛擬區域網的工作原理[2]
虛擬區域網的主要思想是:所有電腦組成一個大的物理區域網,即傳統區域網;將所有電腦設備按照功能和需求劃分為若幹組,每組劃分為一個邏輯網段,每個邏輯網段是1個虛擬區域網;一個傳統區域網可劃分為多個邏輯網段,即多個VLAN;VLAN中的站點是通過軟體定義而不是硬體定義;站點可在多個VLAN之間移動;一個VLAN中的廣播信息可以被該VLAN中的站點接收,該VLAN之外的站點接收不到該廣播信息,因此VLAN和傳統區域網一樣可以隔離廣播信息;連接在不同交換機上的站點可以使用VLAN技術組成一個或多個VLAN;VLAN中的站點之間通信時就像傳統區域網一樣;VLAN之間的相互通信必通過網路層協議實現,不能直接相互通信。
採用VLAN技術可以很容易地解決前面提出的問題。例如,某個單位擁有財物、開發和辦公三個部門,出於安全和管理方面的考慮,希望每個部門的電腦可以無障礙通信,部門之間的通信則需要進行控制。由於地理位置和設備限制,辦公、開發和財物部門的共用相同交換機,建成為一個傳統區域網,如圖所示。財務機
採用VLAN技術可以容易地實現。根據需求,財物、開發和辦公三個部門個分配1個VLAN,把各個部門所屬的電腦站點劃分到對應的邏輯網段中形成VLAN;VLAN之間不能互相訪問,隔離廣播信息;因此可以滿足該部門的用戶需求。
VLAN的劃分方法[3]
劃分虛擬網的方法主要有三種:
(1)基於交換機埠劃分基於埠劃分虛擬網,就是按交換機埠定義虛擬網成員,每個埠只能屬於一個虛擬網,這是一種最通用也是簡單的方法。在配置完成後,再為交換機埠分配一個虛擬網,使交換機的埠成為某個虛擬網的成員。
(2)基於MAC地址劃分
這種方法是按每個連接到交換機設備的物理地址(即MAC地址)定義虛擬網成員。當一個交換機埠上連接一臺集線器,在集線器上又連接了多台設備,而這些設備需要劃入不同的虛擬網時,就可以使用這種方法定義虛擬網成員。因為它可以按用戶劃分,所以也把這種方法稱為基於用戶的虛擬網劃分。在使用基於MAC地址劃分時,一個交換機端El有可能屬於多個虛擬網,這樣埠就能接收多個虛擬網的廣播信息。
(3)基於第三層協議類型或地址劃分
這種方法允許按照網路層協議類型組成VLAN,也可以按網路地址(如TCP/IP的IP地址)定義虛擬網成員。這種方法的優點是有利於組成基於應用的虛擬網。
