1、VLAN技術及應用簡介,VLAN介紹,VLAN（Virtual Local Area Network）的中文名為虛擬局域網。VLAN是一種將局域網設備從邏輯上劃分成一個個網段，從而實現(xiàn)虛擬工作組的新興數(shù)據交換技術。這一新興技術主要應用于交換機和路由器中，但主流應用還是在交換機之中。但又不是所有交換機都具有此功能，只有VLAN協(xié)議的交換機才具有此功能，這一點可以查看相應交換機的說明書即可得知。,設置VLAN的主要目的是為了限制廣播包的傳播范圍和降低廣播包的影響。所有以太網數(shù)據包，如單播（unicast）、組播（multicast）、廣播（broadcast），以及未知（unknown）的數(shù)據包，

2、都將只在VLAN內傳送。這樣在一定程度上，可以提高網絡的安全性。,廣播介紹,圖中，是一個由5臺二層交換機（交換機15）連接了大量客戶機構成的網絡。假設這時，計算機A需要與計算機B通信。在基于以太網的通信中，必須在數(shù)據幀中指定目標MAC地址才能正常通信，因此計算機A必須先廣播“ARP請求（ARP Request）信息”，來嘗試獲取計算機B的MAC地址。,交換機1收到廣播幀（ARP請求）后，會將它轉發(fā)給除接收端口外的其他所有端口，也就是Flooding了。接著，交換機2收到廣播幀后也會Flooding。交換機3、4、5也還會Flooding。最終ARP請求會被轉發(fā)到同一網絡中的所有客戶機上。,A,

3、B,廣播介紹,這個ARP請求原本是為了獲得計算機B的MAC地址而發(fā)出的。也就是說：只要計算機B能收到就萬事大吉了。可是事實上，數(shù)據幀卻傳遍整個網絡，導致所有的計算機都收到了它。如此一來，一方面廣播信息消耗了網絡整體的帶寬，另一方面，收到廣播信息的計算機還要消耗一部分CPU時間來對它進行處理。造成了網絡帶寬和CPU運算能力的大量無謂消耗。,A,B,VLAN介紹,以太網是一種基于CSMA/CD（Carrier Sense Multiple Access/Collision Detect，載波偵聽多路訪問/沖突檢測）的共享通訊介質的數(shù)據網絡通訊技術，當主機數(shù)目較多時會導致沖突嚴重、廣播泛濫、性能顯著

4、下降甚至使網絡不可用等問題。通過交換機實現(xiàn)LAN互聯(lián)雖然可以解決沖突（Collision）嚴重的問題，但仍然不能隔離廣播報文。在這種情況下出現(xiàn)了VLAN（Virtual Local Area Network）技術，這種技術可以把一個LAN劃分成多個邏輯的LANVLAN，每個VLAN是一個廣播域，VLAN內的主機間通信就和在一個LAN內一樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內。同一個VLAN內的主機通過傳統(tǒng)的以太網通信方式進行報文的交互，而不同VLAN內的主機之間則需要通過路由器或三層交換機等網絡層設備進行通信。,VLAN優(yōu)點,1. 廣播風暴防范 限制網絡上的廣播，

5、將網絡劃分為多個VLAN可減少參與廣播風暴的設備數(shù)量。LAN分段可以防止廣播風暴波及整個網絡。VLAN可以提供建立防火墻的機制，防止交換網絡的過量廣播。使用VLAN，可以將某個交換端口或用戶賦于某一個特定的VLAN組，該VLAN組可以在一個交換網中或跨接多個交換機，在一個VLAN中的廣播不會送到VLAN之外。同樣，相鄰的端口不會收到其他VLAN產生的廣 播。這樣可以減少廣播流量，釋放帶寬給用戶應用，減少廣播的產生。 2. 安全 增強局域網的安全性，含有敏感數(shù)據的用戶組可與網絡的其余部分隔離，從而降低泄露機密信息的可能性。不同VLAN內的報文在傳輸時是相互隔離的，即一個VLAN內的用戶不能和其它

6、VLAN內的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備。 3.成本降低 成本高昂的網絡升級需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高，因此可節(jié)約成本。,VLAN優(yōu)點,4.性能提高 將第二層平面網絡劃分為多個邏輯工作組（廣播域）可以減少網絡上不必要的流量并提高性能。 5.提高IT員工效率 VLAN為網絡管理帶來了方便，因為有相似網絡需求的用戶將共享同一個VLAN。 6.簡化項目管理或應用管理 VLAN 將用戶和網絡設備聚合到一起，以支持商業(yè)需求或地域上的需求。通過職能劃分，項目管理或特殊應用的處理都變得十分方便，例如可以輕松管理教師的電子教學開發(fā)平臺。此外，也

7、很容易確定升級網絡服務的影響范圍。 7. 增加了網絡連接的靈活性。 借助VLAN技術，能將不同地點、不同網絡、不同用戶組合在一起，形成一個虛擬的網絡環(huán)境，就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管 理費用，特別是一些業(yè)務情況有經常性變動的公司使用了VLAN后，這部分管理費用大大降低。,VLAN種類,VLAN的定義方式有：物理端口、MAC地址、協(xié)議、IP地址和用戶自定義過濾方式等。802.1Q是VLAN的標準，是將VLAN ID封裝在幀頭，使得幀跨越不同設備，也能保留VLAN信息。不同廠家的交換機只要支持802.1Q VLAN就可以跨越交換機，可以統(tǒng)一劃

8、分管理; VLAN的最大數(shù)目也不受交換機端口數(shù)目的限制，最大可達到4094個。 在802.1QVLAN中，網卡（NIC）不必去識別數(shù)據包頭部分的802.1Q標記（tag），網卡只需發(fā)送和接收普通的以太網數(shù)據包。TAG的信息由交換機的端口根據相應的PVID加入到數(shù)據包中。交換機根據包頭中的TAG信息決定如何轉發(fā)這個數(shù)據包。,端口VLAN,Port VLAN是基于端口的VLAN，處于同一VLAN的端口之間才能相互通信，可有效地屏蔽廣播風暴，并提高網絡安全性能?；诙丝诘腣LAN具有實現(xiàn)簡單，易于管理的優(yōu)點。 說明：Port VLAN一般適用在同一個交換機下的VLAN劃分，若是跨交換機的VLAN劃分

9、則需使用基于802.1Q的TAG VLAN。 Port VLAN舉例例如：有兩個部門：部門A和部門B，還有一個資源服務器，所有電腦和服務器連接在同一個交換機下。要求部門A和部門B之間不能通信，但可以共同訪問服務器。如下圖： 首先確認VLAN類型Port VLAN。 接著設置VLAN組的劃分部門A屬于VLAN 1；部門B屬于VLAN 2；服務器同屬于VLAN 1和VLAN 2。 磊科智能交換機都支持端口VLAN設置,MTU VLAN,MTU VLAN是Port VLAN的特例，MTU VLAN（Multi-Tenant Unit VLAN）是將每個用戶所占用的端口與上聯(lián)端口劃分為一個單獨的VLA

10、N。普通端口只能和預先設置的上聯(lián)端口進行通信，相互之間無法通信使不同端口的用戶之間不能直接通信，以保障了網絡的安全。這種情況很適合使用在智能小區(qū)中，用戶之間不可以直接訪問，從而保證住戶的網絡安全。以下是MTU VLAN的示意圖： 我們的NSW16XX（固化VLAN）的功能與MTU VLAN是同樣的原理，只不過是預先設置好了，沒有配置界面,TAG VLAN,由于普通交換機工作在OSI模型的數(shù)據鏈路層，若要交換機能夠識別不同VLAN的數(shù)據包，只能對數(shù)據包的數(shù)據鏈路層封裝進行VLAN識別。因此，VLAN識別字段被添加到數(shù)據鏈路層封裝中。 IEEE 802.1Q協(xié)議為了標準化VLAN實現(xiàn)方案，對帶有V

11、LAN標識的數(shù)據包結構進行了統(tǒng)一規(guī)定。協(xié)議規(guī)定在目的MAC地址和源MAC地址之后封裝4個字節(jié)的VLAN Tag，用以標識VLAN的相關信息，如圖所示。VLAN Tag包含四個字段，分別是TPID（Tag Protocol Identifier，標簽協(xié)議標識符）、Priority、CFI（Canonical Format Indicator，標準格式指示位）和VLAN ID。 磊科的NSW17XX/18XX與OSM3324/3308系列交換具有基于802.1Q的TAG VLAN,OSI模型,TAG VLAN,1) TPID：用來表示本數(shù)據幀是帶有VLAN Tag的數(shù)據。該字段長度為16bit。協(xié)

12、議規(guī)定的缺省取值為0 x8100。 2) Priority：用來表示數(shù)據包的傳輸優(yōu)先級。 3) CFI：以太網交換機中，CFI總被設置為0。由于兼容特性，CFI常用于以太網類網絡和令牌環(huán)類網絡之間，如果在以太網端口接收的幀CFI設置為1，表示該幀不進行轉發(fā)，這是因為以太網端口是一個無標簽端口。 4) VLAN ID：用來標識該報文所屬VLAN的編號。該字段長度為12bit，取值范圍為04095。由于0和4095通常不使用，所以VLAN ID的取值范圍一般為14094。VLAN ID簡稱VID。,1.確定端口鏈路類型（定于端口的入口/出口規(guī)則） 2.確定每個端口的缺省VLAN ID（PVID）

13、3.數(shù)據到達端口/離開端口時按以上倆個原則去處理數(shù)據,TAG VLAN處理過程,TAG VLAN配置方法,TAG VLAN配置方法,MAC VLAN,MAC VLAN是VLAN的另一種劃分方法，根據每個主機的MAC地址來劃分VLAN，即對每個主機的MAC地址均劃分到VLAN中。MAC VLAN的優(yōu)點在于，將MAC地址與VLAN綁定后，該MAC地址對應的設備可以隨意切換端口，只要連接到相應VLAN的成員端口即可，而不必改變VLAN成員的配置。 MAC VLAN中數(shù)據包處理有如下特點： 1. 當端口收到UNTAG數(shù)據包時，首先查看是否創(chuàng)建配置相應的MAC VLAN，若已創(chuàng)建MAC VLAN，則給數(shù)

14、據包插入MAC VLAN的TAG；若沒有相應的MAC VLAN，則根據接收端口的PVID值給數(shù)據包插入TAG，并將數(shù)據包在相應的VLAN中轉發(fā)。 2. 當端口收到TAG數(shù)據包時，交換機按照802.1Q VLAN的方式處理該幀。如果接收端口允許該VLAN的數(shù)據包通過，則正常轉發(fā)；如果不允許，則丟棄該數(shù)據包。 3. 將某個主機的MAC劃分到802.1Q VLAN中后，為了保證該主機能夠在此VLAN內正常通信，請將其接入端口設置成相應的802.1Q VLAN成員。詳情請查看,協(xié)議 VLAN,協(xié)議VLAN是按照網絡層協(xié)議來劃分VLAN，可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網絡。這種按網絡層協(xié)議來組成的VLAN，可使廣播域跨越多個交換機，同時用戶在網絡內部可以自由移動且無須改變其VLAN成員身份。對于希望針對具體應用和服務來管理用戶的網絡管理員，可通過劃分協(xié)議VLAN來進行管理。 本交換機可針對常見的協(xié)議類型劃分VLAN，常用協(xié)議類型值見下表。請根據實際需要創(chuàng)建協(xié)議VLAN。 協(xié)議VLAN中數(shù)據包處理有如下特點： 1.當端口收到UNTAG數(shù)據包時，首先查看是否創(chuàng)建配置相應的協(xié)議VLAN，若已創(chuàng)建協(xié)議VLAN，則給數(shù)據包插