7.1.6 虚拟局域网
1.虚拟局域网的概念
虚拟局域网(VLAN)是为解决以太网的广播问题和安全性而提出的一种技术,其标准为IEEE 802.1Q。VLAN把同一物理局域网内的不同站点逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,属于一个VLAN的工作站可以在不同物理LAN网段。
交换式以太网的发展是VLAN产生的基础,VLAN通常在交换机上实现,在以太网MAC帧中增加VLAN标签来给以太网帧分类,具有相同VLAN标签的以太网帧在同一个广播域中传送。
一个VLAN内的站点不能和其它VLAN内的站点直接通信,如果不同VLAN之间要进行通信,那么需通过路由器或三层交换机等三层设备。
2.划分虚拟局域网的好处
由于VLAN可以分离广播域,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、防止广播风暴。划分VLAN的好处主要包括以下几点。
(1)提高网络的整体性能
网络上大量的广播流量对该广播域中的站点的性能会产生消极影响,可见广播域的分割有利于提高网络的整体性能。
(2)成本效率高
如果网络需要,那么VLAN技术可以完成分离广播域的工作,而无须添置昂贵的硬件。
(3)网络安全性好
VLAN技术可使得物理上属于同一个拓扑而逻辑拓扑并不一致的两组设备的流量完全分离,保证了网络的安全性。
(4)可简化网络的管理
VLAN为网络管理带来了方便,因为有相似网络需求的用户(站点)将共享同一个VLAN。
3.划分虚拟局域网的方法
划分VLAN的方法主要有以下几种。
(1)根据端口划分VLAN
根据端口划分VLAN是基于以太网交换机端口定义VLAN成员。VLAN从逻辑上把以太网交换机的端口划分开来,也就是把终端系统划分为不同的部分,各部分相对独立,在功能上模拟了传统的局域网。根据端口划分VLAN又分为单交换机端口定义VLAN和多交换机端口定义VLAN两种。
(a)单交换机端口定义VLAN。图7-12所示的是单交换机端口定义VLAN,交换机端口1、2、6、7和8组成VLAN1,端口3、4和5组成了VLAN2。这种VLAN只支持一个交换机。
②多交换机端口定义VLAN。图7-13所示的是多交换机端口定义VLAN,交换机1的1、2、3端口和交换机2的4、5、6端口组成VLAN 1,交换机1的4、5、6、7、8端口和交换机2的1、2、3、7、8端口组成VLAN2。多交换机端口定义的VLAN的特点是:一个VLAN可以跨多个交换机,而且同一个交换机上的不同端口可能属于不同的VLAN。
用端口定义VLAN成员的方法的优点是其配置直接了当,但不允许不同的VLAN包含相同的物理网段或交换机端口(例如,交换机1和2端口属于VLAN1后,就不能再属于VLAN2),另外更主要的是当用户从一个端口移动到另一个端口时,网络管理者必须对VLAN成员进行重新配置。
图7-12 单交换机端口定义VLAN
图7-13 多交换机端口定义VLAN
(2)根据MAC地址划分VLAN
根据MAC地址划分VLAN是工作站的MAC地址来定义VLAN。我们已经知道MAC地址固定于工作站的网络接口卡内,所以说MAC地址是与硬件密切相关的地址。正因为此,MAC地址定义的VLAN允许工作站移动到网络其他物理网段,而自动保持原来的VLAN成员资格(因为它的MAC地址没变)。所以说基于MAC地址定义的VLAN可视为基于用户的VLAN。这种VLAN要求所有的用户在初始阶段必须配置到至少一个VLAN中,初始配置由人工完成,随后就可以自动跟踪用户。
(3)根据IP地址划分VLAN
根据IP地址划分VLAN也叫三层VLAN,它是用协议类型(如果支持多协议)或网络层地址(如IP的子网地址)来定义VLAN成员资格。
4.虚拟局域网的标准
现在使用最广泛的VLAN标准是IEEE 802.1Q,许多厂家的交换机/路由器产品都支持此标准。
IEEE 802.1Q标准规定的VLAN帧格式如图7-14。
在以太网MAC帧中增加VLAN标签(Tag)就构成了VLAN帧。IEEE 802.1Q Tag的长度是4 B(字节),它位于MAC帧中源MAC地址和类型之间,802.1Q Tag包含4个字段。
图7-14 IEEE 802.1Q标准的VLAN帧格式
(a)Type(类型):长度为2 B,表示VLAN帧类型,此字段取固定值0x8100,如果不支持802.1Q的设备收到802.1Q帧,则将其丢弃。
(b)PRI:Priority(优先级)指示字段,长度为3 bit,表示以太网帧的优先级,取值范围是0~7,数值越大,优先级越高。当交换机/路由器发生传输拥塞时,优先发送优先级高的数据帧。
(c)CFI:标准格式指示位(Canonical Format Indicator),长度为1 bit,表示MAC地址是否是经典格式。CFI为0是经典格式,CFI为1是非经典格式。该字段用于区分以太网帧、FDDI帧和令牌环网帧,在以太网帧中,CFI取值为0。
(d)VID:VLAN ID(虚拟局域网标识),长度为12 bit,取值范围是0~4 095,其中0和4 095是保留值,不能给用户使用。使用VLAN ID来区分不同的VLAN。
5.虚拟局域网之间的通信
尽管大约有80%的通信流量发生在VLAN内,但仍然有大约20%的通信流量要跨越不同的VLAN。目前,解决VLAN之间的通信主要采用路由器技术。
VLAN之间通信一般采用两种路由策略,即集中式路由和分布式路由。
(1)集中式路由
集中式路由策略是指所有VLAN都通过一个中心路由器实现互联。对于同一交换机(一般指二层交换机)上的两个端口,如果它们属于两个不同的VLAN,尽管它们在同一交换机上,那么在数据交换时也要通过中心路由器来选择路由。
这种方式的优点是简单明了,逻辑清晰;缺点是由于路由器的转发速度受限,会加大网络时延,容易发生拥塞现象。因此,这就要求中心路由器提供很高的处理能力和容错特性。
(2)分布式路由
分布式路由策略是将路由选择功能适当地分布在带有路由功能的交换机上(指三层交换机),同一交换机上的不同VLAN可以直接实现互通。
这种路由方式的优点是具有极高的路由速度和良好的可伸缩性。