1、VLAN應(yīng)用介紹,VLAN技術(shù)及應(yīng)用簡(jiǎn)介,VLAN應(yīng)用介紹,VLAN介紹,VLAN（Virtual Local Area Network）的中文名為虛擬局域網(wǎng)。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機(jī)和路由器中，但主流應(yīng)用還是在交換機(jī)之中。但又不是所有交換機(jī)都具有此功能，只有VLAN協(xié)議的交換機(jī)才具有此功能，這一點(diǎn)可以查看相應(yīng)交換機(jī)的說明書即可得知。,設(shè)置VLAN的主要目的是為了限制廣播包的傳播范圍和降低廣播包的影響。所有以太網(wǎng)數(shù)據(jù)包，如單播（unicast）、組播（multicast）、廣播（broadcast），

2、以及未知（unknown）的數(shù)據(jù)包，都將只在VLAN內(nèi)傳送。這樣在一定程度上，可以提高網(wǎng)絡(luò)的安全性。,VLAN應(yīng)用介紹,廣播介紹,圖中，是一個(gè)由5臺(tái)二層交換機(jī)（交換機(jī)15）連接了大量客戶機(jī)構(gòu)成的網(wǎng)絡(luò)。假設(shè)這時(shí)，計(jì)算機(jī)A需要與計(jì)算機(jī)B通信。在基于以太網(wǎng)的通信中，必須在數(shù)據(jù)幀中指定目標(biāo)MAC地址才能正常通信，因此計(jì)算機(jī)A必須先廣播“ARP請(qǐng)求（ARP Request）信息”，來(lái)嘗試獲取計(jì)算機(jī)B的MAC地址。,交換機(jī)1收到廣播幀（ARP請(qǐng)求）后，會(huì)將它轉(zhuǎn)發(fā)給除接收端口外的其他所有端口，也就是Flooding了。接著，交換機(jī)2收到廣播幀后也會(huì)Flooding。交換機(jī)3、4、5也還會(huì)Flooding。最

3、終ARP請(qǐng)求會(huì)被轉(zhuǎn)發(fā)到同一網(wǎng)絡(luò)中的所有客戶機(jī)上。,A,B,VLAN應(yīng)用介紹,廣播介紹,這個(gè)ARP請(qǐng)求原本是為了獲得計(jì)算機(jī)B的MAC地址而發(fā)出的。也就是說：只要計(jì)算機(jī)B能收到就萬(wàn)事大吉了?？墒鞘聦?shí)上，數(shù)據(jù)幀卻傳遍整個(gè)網(wǎng)絡(luò)，導(dǎo)致所有的計(jì)算機(jī)都收到了它。如此一來(lái)，一方面廣播信息消耗了網(wǎng)絡(luò)整體的帶寬，另一方面，收到廣播信息的計(jì)算機(jī)還要消耗一部分CPU時(shí)間來(lái)對(duì)它進(jìn)行處理。造成了網(wǎng)絡(luò)帶寬和CPU運(yùn)算能力的大量無(wú)謂消耗。,A,B,VLAN應(yīng)用介紹,VLAN介紹,以太網(wǎng)是一種基于CSMA/CD（Carrier Sense Multiple Access/Collision Detect，載波偵聽多路訪問/沖突

4、檢測(cè)）的共享通訊介質(zhì)的數(shù)據(jù)網(wǎng)絡(luò)通訊技術(shù)，當(dāng)主機(jī)數(shù)目較多時(shí)會(huì)導(dǎo)致沖突嚴(yán)重、廣播泛濫、性能顯著下降甚至使網(wǎng)絡(luò)不可用等問題。通過交換機(jī)實(shí)現(xiàn)LAN互聯(lián)雖然可以解決沖突（Collision）嚴(yán)重的問題，但仍然不能隔離廣播報(bào)文。在這種情況下出現(xiàn)了VLAN（Virtual Local Area Network）技術(shù)，這種技術(shù)可以把一個(gè)LAN劃分成多個(gè)邏輯的LANVLAN，每個(gè)VLAN是一個(gè)廣播域，VLAN內(nèi)的主機(jī)間通信就和在一個(gè)LAN內(nèi)一樣，而VLAN間則不能直接互通，這樣，廣播報(bào)文被限制在一個(gè)VLAN內(nèi)。同一個(gè)VLAN內(nèi)的主機(jī)通過傳統(tǒng)的以太網(wǎng)通信方式進(jìn)行報(bào)文的交互，而不同VLAN內(nèi)的主機(jī)之間則需要通過路由

5、器或三層交換機(jī)等網(wǎng)絡(luò)層設(shè)備進(jìn)行通信。,VLAN應(yīng)用介紹,VLAN優(yōu)點(diǎn),1. 廣播風(fēng)暴防范 限制網(wǎng)絡(luò)上的廣播，將網(wǎng)絡(luò)劃分為多個(gè)VLAN可減少參與廣播風(fēng)暴的設(shè)備數(shù)量。LAN分段可以防止廣播風(fēng)暴波及整個(gè)網(wǎng)絡(luò)。VLAN可以提供建立防火墻的機(jī)制，防止交換網(wǎng)絡(luò)的過量廣播。使用VLAN，可以將某個(gè)交換端口或用戶賦于某一個(gè)特定的VLAN組，該VLAN組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機(jī)，在一個(gè)VLAN中的廣播不會(huì)送到VLAN之外。同樣，相鄰的端口不會(huì)收到其他VLAN產(chǎn)生的廣 播。這樣可以減少?gòu)V播流量，釋放帶寬給用戶應(yīng)用，減少?gòu)V播的產(chǎn)生。 2. 安全 增強(qiáng)局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔

6、離，從而降低泄露機(jī)密信息的可能性。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備。 3.成本降低 成本高昂的網(wǎng)絡(luò)升級(jí)需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高，因此可節(jié)約成本。,VLAN應(yīng)用介紹,VLAN優(yōu)點(diǎn),4.性能提高 將第二層平面網(wǎng)絡(luò)劃分為多個(gè)邏輯工作組（廣播域）可以減少網(wǎng)絡(luò)上不必要的流量并提高性能。 5.提高IT員工效率 VLAN為網(wǎng)絡(luò)管理帶來(lái)了方便，因?yàn)橛邢嗨凭W(wǎng)絡(luò)需求的用戶將共享同一個(gè)VLAN。 6.簡(jiǎn)化項(xiàng)目管理或應(yīng)用管理 VLAN 將用戶和網(wǎng)絡(luò)設(shè)備聚合到一起，以支持

7、商業(yè)需求或地域上的需求。通過職能劃分，項(xiàng)目管理或特殊應(yīng)用的處理都變得十分方便，例如可以輕松管理教師的電子教學(xué)開發(fā)平臺(tái)。此外，也很容易確定升級(jí)網(wǎng)絡(luò)服務(wù)的影響范圍。 7. 增加了網(wǎng)絡(luò)連接的靈活性。 借助VLAN技術(shù)，能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境，就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動(dòng)或變更工作站地理位置的管 理費(fèi)用，特別是一些業(yè)務(wù)情況有經(jīng)常性變動(dòng)的公司使用了VLAN后，這部分管理費(fèi)用大大降低。,VLAN應(yīng)用介紹,VLAN種類,VLAN的定義方式有：物理端口、MAC地址、協(xié)議、IP地址和用戶自定義過濾方式等。802.1Q是VLAN的標(biāo)準(zhǔn)，是

8、將VLAN ID封裝在幀頭，使得幀跨越不同設(shè)備，也能保留VLAN信息。不同廠家的交換機(jī)只要支持802.1Q VLAN就可以跨越交換機(jī)，可以統(tǒng)一劃分管理; VLAN的最大數(shù)目也不受交換機(jī)端口數(shù)目的限制，最大可達(dá)到4094個(gè)。 在802.1QVLAN中，網(wǎng)卡（NIC）不必去識(shí)別數(shù)據(jù)包頭部分的802.1Q標(biāo)記（tag），網(wǎng)卡只需發(fā)送和接收普通的以太網(wǎng)數(shù)據(jù)包。TAG的信息由交換機(jī)的端口根據(jù)相應(yīng)的PVID加入到數(shù)據(jù)包中。交換機(jī)根據(jù)包頭中的TAG信息決定如何轉(zhuǎn)發(fā)這個(gè)數(shù)據(jù)包。,VLAN應(yīng)用介紹,端口VLAN,Port VLAN是基于端口的VLAN，處于同一VLAN的端口之間才能相互通信，可有效地屏蔽廣播風(fēng)暴

9、，并提高網(wǎng)絡(luò)安全性能?；诙丝诘腣LAN具有實(shí)現(xiàn)簡(jiǎn)單，易于管理的優(yōu)點(diǎn)。 說明：Port VLAN一般適用在同一個(gè)交換機(jī)下的VLAN劃分，若是跨交換機(jī)的VLAN劃分則需使用基于802.1Q的TAG VLAN。 Port VLAN舉例例如：有兩個(gè)部門：部門A和部門B，還有一個(gè)資源服務(wù)器，所有電腦和服務(wù)器連接在同一個(gè)交換機(jī)下。要求部門A和部門B之間不能通信，但可以共同訪問服務(wù)器。如下圖： 首先確認(rèn)VLAN類型Port VLAN。 接著設(shè)置VLAN組的劃分部門A屬于VLAN 1；部門B屬于VLAN 2；服務(wù)器同屬于VLAN 1和VLAN 2。 磊科智能交換機(jī)都支持端口VLAN設(shè)置,VLAN應(yīng)用介紹,M

10、TU VLAN,MTU VLAN是Port VLAN的特例，MTU VLAN（Multi-Tenant Unit VLAN）是將每個(gè)用戶所占用的端口與上聯(lián)端口劃分為一個(gè)單獨(dú)的VLAN。普通端口只能和預(yù)先設(shè)置的上聯(lián)端口進(jìn)行通信，相互之間無(wú)法通信使不同端口的用戶之間不能直接通信，以保障了網(wǎng)絡(luò)的安全。這種情況很適合使用在智能小區(qū)中，用戶之間不可以直接訪問，從而保證住戶的網(wǎng)絡(luò)安全。以下是MTU VLAN的示意圖： 我們的NSW16XX（固化VLAN）的功能與MTU VLAN是同樣的原理，只不過是預(yù)先設(shè)置好了，沒有配置界面,VLAN應(yīng)用介紹,TAG VLAN,由于普通交換機(jī)工作在OSI模型的數(shù)據(jù)鏈路層，

11、若要交換機(jī)能夠識(shí)別不同VLAN的數(shù)據(jù)包，只能對(duì)數(shù)據(jù)包的數(shù)據(jù)鏈路層封裝進(jìn)行VLAN識(shí)別。因此，VLAN識(shí)別字段被添加到數(shù)據(jù)鏈路層封裝中。 IEEE 802.1Q協(xié)議為了標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案，對(duì)帶有VLAN標(biāo)識(shí)的數(shù)據(jù)包結(jié)構(gòu)進(jìn)行了統(tǒng)一規(guī)定。協(xié)議規(guī)定在目的MAC地址和源MAC地址之后封裝4個(gè)字節(jié)的VLAN Tag，用以標(biāo)識(shí)VLAN的相關(guān)信息，如圖所示。VLAN Tag包含四個(gè)字段，分別是TPID（Tag Protocol Identifier，標(biāo)簽協(xié)議標(biāo)識(shí)符）、Priority、CFI（Canonical Format Indicator，標(biāo)準(zhǔn)格式指示位）和VLAN ID。 磊科的NSW17XX/1

12、8XX與OSM3324/3308系列交換具有基于802.1Q的TAG VLAN,OSI模型,VLAN應(yīng)用介紹,TAG VLAN,1) TPID：用來(lái)表示本數(shù)據(jù)幀是帶有VLAN Tag的數(shù)據(jù)。該字段長(zhǎng)度為16bit。協(xié)議規(guī)定的缺省取值為0 x8100。 2) Priority：用來(lái)表示數(shù)據(jù)包的傳輸優(yōu)先級(jí)。 3) CFI：以太網(wǎng)交換機(jī)中，CFI總被設(shè)置為0。由于兼容特性，CFI常用于以太網(wǎng)類網(wǎng)絡(luò)和令牌環(huán)類網(wǎng)絡(luò)之間，如果在以太網(wǎng)端口接收的幀CFI設(shè)置為1，表示該幀不進(jìn)行轉(zhuǎn)發(fā)，這是因?yàn)橐蕴W(wǎng)端口是一個(gè)無(wú)標(biāo)簽端口。 4) VLAN ID：用來(lái)標(biāo)識(shí)該報(bào)文所屬VLAN的編號(hào)。該字段長(zhǎng)度為12bit，取值范圍

13、為04095。由于0和4095通常不使用，所以VLAN ID的取值范圍一般為14094。VLAN ID簡(jiǎn)稱VID。,1.確定端口鏈路類型（定于端口的入口/出口規(guī)則） 2.確定每個(gè)端口的缺省VLAN ID（PVID） 3.數(shù)據(jù)到達(dá)端口/離開端口時(shí)按以上倆個(gè)原則去處理數(shù)據(jù),TAG VLAN處理過程,VLAN應(yīng)用介紹,TAG VLAN配置方法,VLAN應(yīng)用介紹,TAG VLAN配置方法,VLAN應(yīng)用介紹,MAC VLAN,MAC VLAN是VLAN的另一種劃分方法，根據(jù)每個(gè)主機(jī)的MAC地址來(lái)劃分VLAN，即對(duì)每個(gè)主機(jī)的MAC地址均劃分到VLAN中。MAC VLAN的優(yōu)點(diǎn)在于，將MAC地址與VLAN綁

14、定后，該MAC地址對(duì)應(yīng)的設(shè)備可以隨意切換端口，只要連接到相應(yīng)VLAN的成員端口即可，而不必改變VLAN成員的配置。 MAC VLAN中數(shù)據(jù)包處理有如下特點(diǎn)： 1. 當(dāng)端口收到UNTAG數(shù)據(jù)包時(shí)，首先查看是否創(chuàng)建配置相應(yīng)的MAC VLAN，若已創(chuàng)建MAC VLAN，則給數(shù)據(jù)包插入MAC VLAN的TAG；若沒有相應(yīng)的MAC VLAN，則根據(jù)接收端口的PVID值給數(shù)據(jù)包插入TAG，并將數(shù)據(jù)包在相應(yīng)的VLAN中轉(zhuǎn)發(fā)。 2. 當(dāng)端口收到TAG數(shù)據(jù)包時(shí)，交換機(jī)按照802.1Q VLAN的方式處理該幀。如果接收端口允許該VLAN的數(shù)據(jù)包通過，則正常轉(zhuǎn)發(fā)；如果不允許，則丟棄該數(shù)據(jù)包。 3. 將某個(gè)主機(jī)的MA

15、C劃分到802.1Q VLAN中后，為了保證該主機(jī)能夠在此VLAN內(nèi)正常通信，請(qǐng)將其接入端口設(shè)置成相應(yīng)的802.1Q VLAN成員。詳情請(qǐng)查看,VLAN應(yīng)用介紹,協(xié)議 VLAN,協(xié)議VLAN是按照網(wǎng)絡(luò)層協(xié)議來(lái)劃分VLAN，可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議來(lái)組成的VLAN，可使廣播域跨越多個(gè)交換機(jī)，同時(shí)用戶在網(wǎng)絡(luò)內(nèi)部可以自由移動(dòng)且無(wú)須改變其VLAN成員身份。對(duì)于希望針對(duì)具體應(yīng)用和服務(wù)來(lái)管理用戶的網(wǎng)絡(luò)管理員，可通過劃分協(xié)議VLAN來(lái)進(jìn)行管理。 本交換機(jī)可針對(duì)常見的協(xié)議類型劃分VLAN，常用協(xié)議類型值見下表。請(qǐng)根據(jù)實(shí)際需要?jiǎng)?chuàng)建協(xié)議VLAN。 協(xié)議VLAN中數(shù)據(jù)包處理有如下特點(diǎn)： 1.當(dāng)端口收到UNTAG數(shù)據(jù)包時(shí)，首先查看是否創(chuàng)建配置相應(yīng)的協(xié)議VLAN，若已創(chuàng)建協(xié)議VLAN，則給數(shù)據(jù)包插入?yún)f(xié)