VLAN(Virtual LAN),虛擬局域網,實現網絡的分層技術,被大型大型網絡廣泛使用
每個用戶主機都連接在一個支持VLAN的交換機端口上並屬於一個VLAN。同一個VLAN中的成員都共享廣播,而不同VLAN之間廣播信息是相互隔離的。
大而平的網絡結構——每個端口設備都暴露在整個網絡中,網絡廣播風暴極易產生,重要站點的安全性也是一個問題
A、控制廣播風暴B、網絡有效的帶寬利用C、網絡安全性的提高D、網絡管理簡單、直觀
VLAN是建立在物理網絡基礎上的一種邏輯子網,因此建立VLAN需要相應的支持VLAN技術的網絡設備。當網絡中的不同VLAN間進行相互通信時,VLAN之間的通訊是需要路由設備或者三層交換機。需要路由的支持,這時就需要增加路由設備——要實現路由功能,既可採用路由器,也可採用三層交換機來完成。基於安全性和控制廣播風暴,也需要VLAN
5.VLAN劃分方法
1、基於端口的VLAN劃分 (這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組,這是最簡單、最有效的劃分方法。)
2、基於MAC地址的VLAN劃分 (麻煩不易管理)
3、基於路由的VLAN劃分 (路由協議工作在網絡層,相應的工作設備有路由器和路由交換機(即三層交換機)。該方式允許一個VLAN跨越多個交換機,或一個端口位於多個VLAN中。)
4、根據IP組播劃分VLAN (IP組播實際上也是一種VLAN的定義,即認爲一個組播組就是一個VLAN,這種劃分的方法將VLAN擴大到了廣域網,因此這種方法具有更大的靈活性,而且也很容易通過路由器進行擴展,當然這種方法不適合局域網,主要是效率不高。)
就目前來說,對於VLAN的劃分主要採取上述第1、3種方式,第2、4種方式爲輔助性的方案。
6、VLAN的實現
VLAN tagging 技術是VLAN實現的關鍵
IEEE802.1Q標準作爲802.1D橋接規範的一部分,它使不同廠家的交換機之間傳遞VLAN信息成爲可能。IEEE802.1Q在媒介訪問控制子層(MAC)幀中包括一個12bit長度的VLAN標識符,該標識符是IEEE802.1Q的16bit報頭信息的一部分,該報頭被添加到用於以太網和令牌環網絡中傳輸的數據幀中,餘下的4bit信息,3bit用於優先隊列(802.1p)的標識,1bit是0
Frame |
方向 |
|
Untag port |
Taged Frame |
In |
unchange |
unchange |
Out |
unchange |
去標記 |
Untaged Frame |
In |
unchange |
unchange |
Out |
打標記 |
unchange |
Tagging:將802.1QVLAN的信息加入數據包的包頭。具有加標記能力的端口會將VID、優先級和其他VLAN信息加入到所有進出該端口的數據包內,如果數據包已經被標誌過了,那麼,端口將不對該數據包改動,保持原有的VLAN信息。
Untagging:將802.1QVLAN的信息從數據包的包頭去掉的操作,具有去標記能力的端口將VID、優先級和其他VLAN信息從所有進出該端口的數據包頭中去掉,如果數據包沒有被標記過,端口將不對該數據包改動。