Vlan
来自站长百科
虚拟局域网(Virtual Local Area Network简写VLAN)是一种建构于局域网路交换技术(LAN Switch)的网络管理的技术,网管人员可以借此透过控制交换机有效分派出入局域网的封包到正确的出入埠,达到对不同实体局域网中的设备进行逻辑分群(Grouping)管理,并降低局域网内大量资料流通时,因无用封包过多导致雍塞的问题,以及提升局域网的资讯安全保障。
概述[ ]
为实现交换式以太网的广播隔离,一种理想的解决方案就是采用虚拟局域网技术。这种对连接到第2层交换机端口的网络用户的逻辑分段技术实现非常灵活,它可以不受用户物理位置限制,根据用户需求进行VLAN划分;可在一个交换机上实现,也可跨交换机实现;可以根据网络用户的位置、作用、部门或根据使用的应用程序、上层协议或者以太接口硬件地址来进行划分。
一个VLAN相当于OSI 模型第2层的广播域,它能将广播控制在一个VLAN内部。而不同 VLAN 之间或 VLAN 与LAN / WAN 的数据通讯必须通过第3层(网络层)网关来完成。否则,即便是同一交换机上的端口,假如它们不处于同一个VLAN,正常情况下也无法进行数据通讯,特例是由于某著名厂商生产的交换机带有VLAN穿越漏洞,外来封包以广播进到该交换机时,它仍然会流入所有连至交换机上的电脑,而导致资讯可能外泄的潜藏风险。
为了解决上述资讯安全议题,1995 年IEEE 802委员会发表了 802.1Q VLAN 技术的实作标准与讯框结构,希望能透过设定逻辑位址(TPID、TCI),对实体局域网区隔成独立虚拟网段,以规范封包广播时的最大范围。
VLAN的优点[ ]
- 广播风暴防范:限制网络上的广播,将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机, 在一个VLAN中的广播不会送到VLAN之外。同样,相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量,释放带宽给用户应用,减少广播的产生。
- 安全:增强局域网的安全性,含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
- 成本降低:成本高昂的网络升级需求减少,现有带宽和上行链路的利用率更高,因此可节约成本。
- 性能提高:将第二层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并提高性能。
- 提高IT员工效率:VLAN为网络管理带来了方便,因为有相似网络需求的用户将共享同一个 VLAN。
- 简化项目管理或应用管理:VLAN 将用户和网络设备聚合到一起,以支持商业需求或地域上的需求。通过职能划分,项目管理或特殊应用的处理都变得十分方便,例如可以轻松管理教师的电子教学开发平台。此外,也很容易确定升级网络服务的影响范围。
- 增加了网络连接的灵活性。借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境 ,就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。