vlan白皮书5320.pdf

免责声明：文档在线网（文档中国）中所有的文档资料均由文档在线网会员提供。文档在线网会对会员提供的文档资料进行筛选和编辑，但是并不声明或保证其内容的合法性、正确性或可靠性。该文档资料的版权属于提供者所有，有关版权的问题请直接与提供者联系。VLAN技术白皮书 关键词 VLAN，VLAN 聚合，PVLAN，GVRP，VTP 1 VLAN 概述 VLAN（Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE 于 1999 年颁布了用以标准化 VLAN 实现方案的802.1Q 协议标准草案。VLAN 技术允许网络管理者将一个物理的 LAN 逻辑地划分成不同的广播域（或称虚拟 LAN，即 VLAN），每一个 VLAN 都包含一组有着相同需求的计算机工作站，与物理上形成的 LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个 VLAN 内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理 LAN 网段。一个 VLAN 内部的广播和单播流量都不会转发到其他 VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN 是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了 VLAN 头，用 VLAN ID 把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。VLAN 在交换机上的实现方法，可以大致划分为 4 类:1、基于端口划分的VLAN 这种划分 VLAN 的方法是根据以太网交换机的端口来划分，比如 Quidway S3526 的 14 端口为 VLAN 10，517 为 VLAN 20，1824 为 VLAN 30，当然，这些属于同一 VLAN 的端口可以不连续，如何配置，由管理员决定，如果有多个交换机，例如，可以指定交换机 1 的 16 端口和交换机 2 的 14 端口为同一VLAN，即同一 VLAN 可以跨越数个以太网交换机，根据端口划分是目前定义 VLAN 的最广泛的方法，IEEE 802.1Q 规定了依据以太网交换机的端口来划分 VLAN 的国际标准。这种划分的方法的优点是定义 VLAN 成员时非常简单，只要将所有的端口都指定义一下就可以了。它的缺点是如果 VLAN A 的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。2、基于MAC地址划分VLAN 这种划分 VLAN 的方法是根据每个主机的 MAC 地址来划分，即对每个 MAC 地址的主机都配置他属于哪个组。这种划分 VLAN 的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN 不用重新配置，所以，可以认为这种根据 MAC 地址的划分方法是基于用户的 VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个 VLAN 组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN 就必须不停的配置。3、基于网络层划分VLAN 这种划分 VLAN 的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如 IP 地址，但它不是路由，与网络层的路由毫无关系。它虽然查看每个数据包的 IP 地址，但由于不是路由，所以，没有 RIP，OSPF 等路由协议，而是根据生成树算法进行桥交换，这种方法的优点是用户的物理位置改变了，不需要重新配置所属的 VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别 VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网祯头，但要让芯片能检查 IP 帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。免责声明：文档在线网（文档中国）中所有的文档资料均由文档在线网会员提供。文档在线网会对会员提供的文档资料进行筛选和编辑，但是并不声明或保证其内容的合法性、正确性或可靠性。该文档资料的版权属于提供者所有，有关版权的问题请直接与提供者联系。4、根据IP组播划分VLAN IP 组播实际上也是一种 VLAN 的定义，即认为一个组播组就是一个 VLAN，这种划分的方法将 VLAN 扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。鉴于当前业界 VLAN 发展的趋势，考虑到各种 VLAN 划分方式的优缺点，为了最大程度上地满足用户在具体使用过程中需求，减轻用户在 VLAN 的具体使用和维护中的工作量，Quidway S 系列交换机采用根据端口来划分 VLAN 的方法。VLAN技术简介 因为 VLAN 技术与局域网技术息息相关，所以在介绍 VLAN 之前，我们首先来了解一下局域网的有关知识。局域网（LAN）通常被定义为一个单独的广播域，主要使用 Hub，网桥，或交换机等网络设备连接同一网段内的所有节点。同处一个局域网之内的网络节点之间可以不通过网络路由器直接进行通信；而处于不同局域网段内的设备之间的通信则必须经过网络路由器。图一所示为使用路由器构建的典型的局域网环境。免责声明：文档在线网（文档中国）中所有的文档资料均由文档在线网会员提供。文档在线网会对会员提供的文档资料进行筛选和编辑，但是并不声明或保证其内容的合法性、正确性或可靠性。该文档资料的版权属于提供者所有，有关版权的问题请直接与提供者联系。图一所示网络中，通过使用路由器划分出不同的局域网段。其中，位于圆形区域之内的部分就是一个个相互独立的局域网段。为了便于在本文中进行说明，我们为不同的网段进行了编号。需要注意的一点就是，每一个局域网所连接的路由器接口都属于该局域网广播域的一部分。随着网络的不断扩展，接入设备逐渐增多，网络结构日趋复杂，必须使用更多的路由器才能将不同的用户划分到各自的广播域中，在不同的局域网之间提供网络互连。这样做的一个缺陷就是随着网络中路由器数量的增多，网络时延逐渐加长，从而导致网络数据传输速度的下降。这主要是因为数据在从一处局域网传递到另一处局域网时，必须经过路由器的路由操作，路由器根据数据包中的相应信息确定数据包的目标地址，然后再选择合适的路径转发出去。VLAN，又称虚拟局域网，是由位于不同物理局域网段的设备组成。虽然 VLAN所连接的设备来自不同的网段，但是相互之间可以进行直接通信，好像处于同一网段中一样，由此得名虚拟局域网。相比较传统的局域网布局，VLAN技术更加灵活。为了创建虚拟网络，需要对已有的网络拓扑结构进行相应的调整。还是连接相同的网络终端，通过如图所示的交换网络提供了同样的网络连接。虽然图二所示的网络比起图一所示网络在速度和网络时延方面都有了很大的改进和提高，但是同样存在一些不足。其中，最突出的一 免责声明：文档在线网（文档中国）中所有的文档资料均由文档在线网会员提供。文档在线网会对会员提供的文档资料进行筛选和编辑，但是并不声明或保证其内容的合法性、正确性或可靠性。该文档资料的版权属于提供者所有，有关版权的问题请直接与提供者联系。点就是现在所有的网络节点都处于同一个广播域内，大大增加了网络中所有设备之间的数据流量。随着网络的不断扩充，很有可能出现广播风暴，导致整个网络无法使用。VLAN 技术入门 VLAN是英文 Virtual Local Area Network的缩写，即虚拟局域网。一方面，VLAN建立在局域网交换机的基础之上；另一方面，VLAN是局域交换网的灵魂。这是因为通过 VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有 VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。VLAN与普通局域网从原理上讲没有什么不同，但从用户使用和网络管理的角度来看，VLAN与普通局域网最基本的差异体现在：VLAN并不局限于某一网络或物理范围，VLAN中的用户可以位于一个园区的任意位置，甚至位于不同的国家。VLAN 具有以下优点：控制网络的广播风暴 采用 VLAN技术，可将某个交换端口划到某个 VLAN中，而一个 VLAN的广播风暴不会影响其它 VLAN的性能。确保网络安全 共享式局域网之所以很难保证网络的安全性，是因为只要用户插入一个活动端口，就能访问网络。而 VLAN能限制个别用户的访问，控制广播组的大小和位置，甚至能锁定某台设备的MAC地址，因此 VLAN能确保网络的安全性。简化网络管理 网络管理员能借助于 VLAN技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络，其成员可能遍及全国或全世界，此时，网络管理员只需设置几条命令，就能在几分钟内建立该项目的 VLAN网络，其成员使用 VLAN网络，就像在本地使用局域网一样。VLAN的分类主要有以下几种：基于端口的 VLAN 基于端口的 VLAN是划分虚拟局域网最简单也是最有效的方法，这实际上是某些交换端口的集合，网络管理员只需要管理和配置交换端口，而不管交换端口连接什么设备。基于 MAC地址的 VLAN 由于只有网卡才分配有 MAC地址，因此按 MAC地址来划分 VLAN实际上是将某些工作站和服务器划属于某个 VLAN。事实上，该 VLAN是一些 MAC地址的集合。当设备移动时，VLAN能够自动识别。网络管理需要管理和配置设备的 MAC地址，显然当网络规模很大，设备很多时，会给管理带来难度。基于第 3 层的 VLAN 基于第 3 层的 VLAN是采用在路由器中常用的方法：IP 子网和 IPX网络号等。其中，局域网交换机允许一个子网扩展到多个局域网交换端口，甚至允许一个端口对应于多个子网。基于策略的 VLAN 免责声明：文档在线网（文档中国）中所有的文档资料均由文档在线网会员提供。文档在线网会对会员提供的文档资料进行筛选和编辑，但是并不声明或保证其内容的合法性、正确性或可靠性。该文档资料的版权属于提供者所有，有关版权的问题请直接与提供者联系。基于策略的 VLAN是一种比较灵活有效的 VLAN划分方法。该方法的核心是采用什么样的策略？目前，常用的策略有（与厂商设备的支持有关）：按 MAC地址 按 IP 地址 按以太网协议类型 按网络的应用等。