乾貨!VLAN基礎知識總結
什麼是VLAN?
VLAN(Virtual LAN),翻譯成中文是“虛擬區域網”。LAN可以是由少數幾臺家用計算機構成的網路,也可以是數以百計的計算機構成的企業網路。VLAN所指的LAN特指使用路由器分割的網路——也就是廣播域。在此讓我們先複習一下廣播域的概念。廣播域,指的是廣播幀(目標MAC地址全部為1)所能傳遞到的範圍,亦即能夠直接通訊的範圍。嚴格地說,並不僅僅是廣播幀,多播幀(Multicast Frame)和目標不明的單播幀(Unknown Unicast Frame)也能在同一個廣播域中暢行無阻。
為什麼要用到VLAN?
IEEE於1999年頒佈了用以標準化VLAN實現方案的802.1Q協議標準草案。VLAN技術的出現,使得管理員根據實際應用需求,把同一物理區域網內的不同使用者邏輯地劃分成不同的廣播域,每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。
由於它是從邏輯上劃分,而不是從物理上劃分,所以同一個VLAN內的各個工作站沒有限制在同一個物理範圍中,即這些工作站可以在不同物理LAN網段(建議一個Vlan對應一個IP子網。不同VLAN用同一個IP子網或一個VLAN對應多個IP子網都是錯的)。由VLAN的特點可知,一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中,從而有助於控制流量、減少裝置投資、簡化網路管理、提高網路的安全性。
VLAN優點?
1、增加靈活性和可擴充套件性
通過將交換機埠或使用者分配到交換機上的VLAN組中,或則分配到相連的交換機組中,就可以只新增你想要其進入此廣播域的使用者,而不用去理會他們的物理位置如何。
2、控制網路上的廣播
VLAN可以提供建立防火牆的機制,防止交換網路的過量廣播使用VLAN,可以將某個交換埠或使用者賦於某一個特定的VLAN組,該VLAN組可以在一個交換網中或跨接多個交換機, 在一個VLAN中的廣播不會送到VLAN之外同樣,相鄰的埠不會收到其他VLAN產生的廣播這樣可以減少廣播流量,釋放頻寬給使用者應用,減少廣播的產生。
3、增加安全性
處於同一交換機上不同VLAN使用者間預設情況下無法進行通訊。它可以配置為一旦有任何對網路資源的非授權訪問,可以立即通知網路管理站。
VLAN的劃分方法
1、基於埠劃分的VLAN
這是最常應用的一種VLAN劃分方法,應用也最為廣泛、最有效,目前絕大多數VLAN協議的交換機都提供這種VLAN配置方法這種劃分VLAN的方法是根據乙太網交換機的交換埠來劃分的,它是將VLAN交換機上的物理埠和VLAN交換機內部的PVC(永久虛電路)埠分成若干個組,每個組構成一個虛擬網,相當於一個獨立的VLAN交換機。
2、基於MAC地址劃分VLAN
這種劃分VLAN的方法是根據每個主機的MAC地址來劃分,即對每個MAC地址的主機都配置他屬於哪個組,它實現的機制就是每一塊網絡卡都對應唯一的 MAC地址,VLAN交換機跟蹤屬於VLAN MAC的地址這種方式的VLAN允許網路使用者從一個物理位置移動到另一個物理位置時,自動保留其所屬VLAN的成員身份。
3、基於網路層協議劃分VLAN
VLAN按網路層協議來劃分,可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網路這種按網路層協議來組成的 VLAN,可使廣播域跨越多個VLAN交換機這對於希望針對具體應用和服務來組織使用者的網路管理員來說是非常具有吸引力的而且,使用者可以在網路內部自由移動,但其VLAN成員身份仍然保留不變。
4、根據IP組播劃分VLAN
IP 組播實際上也是一種VLAN的定義,即認為一個IP組播組就是一個VLAN這種劃分的方法將VLAN擴大到了廣域網,因此這種方法具有更大的靈活性,而且也很容易通過路由器進行擴充套件,主要適合於不在同一地理範圍的區域網使用者組成一個VLAN,不適合區域網,主要是效率不高。
5、按策略劃分VLAN
基於策略組成的VLAN能實現多種分配方法,包括VLAN交換機埠、MAC地址、IP地址、網路層協議等網路管理人員可根據自己的管理模式和本單位的需求來決定選擇哪種型別的VLAN 。
6、按使用者定義、非使用者授權劃分VLAN
基於使用者定義、非使用者授權來劃分VLAN,是指為了適應特別的VLAN網路,根據具體的網路使用者的特別要求來定義和設計VLAN,而且可以讓非VLAN群體使用者訪問VLAN,但是需要提供使用者密碼,在得到VLAN管理的認證後才可以加入一個VLAN。
VLAN的使用方式
1、Local VLAN
一個VLAN集中在一個機架中,便於故障分析定位,便於管理流量。推薦使用。
①資料流可預測
②冗餘路徑
③高可用性
④有限的故障域
⑤可擴充套件性
2、End-to-End VLAN
裝置在物理上分佈靈活、流量不合理、故障難定位。不推薦使用。
VLAN成員關係
1、靜態VLAN
VLAN通常是由管理員建立的,並由管理員將交換機埠分配到每個VLAN中,這種型別的VLAN稱為靜態VLAN。
Switch(config)#vlan ? #在全域性模式下建立、刪除、修改VALN。 <1-1005> ISL VLAN IDs 1-1005
#說明這臺交換機只能支援基礎的VLAN建立。擴充套件的VLAN範圍包括0~4096。其中0,4095,1006~1024為系統保留,無法檢視使用它們;1為管理VLAN(本機VLAN),可以檢視使用但不能刪除;1002~1005用於FDDI 和令牌環的Cisco 預設VLAN,使用者不能刪除。另外需要注意的是在VTP版本2中只能支援基礎VLAN的同步。
Switch(config)#vlan 2 Switch(config-vlan)#name Sales #為這個VLAN命名,便於記憶。(可選配置) Switch(config-vlan)#interface fa0/1 #進入介面模式。 Switch(config-if)#switchport mode access #將埠定義為接入埠(接入層埠)。 Switch(config-if)#switchport access vlan 2 #將此埠靜態的劃分到某個VLAN中。
2、動態VLAN
動態VLAN可以自動決定一個結點的VLAN分配。通過使用智慧化的管理軟體,就可以基於硬體地址、協議甚至應用程式來建立動態的VLAN。這裡可以使用VLAN管理策略伺服器(VLAN Management Policy Server,VMPS)的服務來建立MAC地址的資料庫,這個資料庫可以用於VLAN的動態定址。VMPS資料庫能夠自動將MAC地址對映到VLAN。
3、檢查
switch#show vlan #檢視VLAN 資訊 switch#show interface vlan [vlan_id] #檢視具體某個VLAN 的詳細資訊 switch#show vlan brief #檢視交換機上已經建立的VLAN和交換機埠的從屬關係。 switch#show spanning-tree vlan ID #檢視某個VLAN的生成樹。
注:預設情況下,交換機的vlan 檔案不是儲存在config.text 中,因此在清除啟動配置後,還可以看見vlan 資訊,Cisco 交換機是將VLAN 資訊儲存在Flash:vlan.dat 中,只有將該檔案刪除,vlan 資訊才能徹底刪掉。命令如下:
switch#show flash #使用show 命令檢視是否有vlan.dat 檔案 switch#delete flash:vlan.dat #使用delete 命令刪除vlan.dat 檔案
廣播域的分割與VLAN的必要性
分割廣播域時,一般都必須使用到路由器。使用路由器後,可以以路由器上的網路介面(LAN Interface)為單位分割廣播域。
但是,通常情況下路由器上不會有太多的網路介面,其數目多在1~4個左右。隨著寬頻連線的普及,寬頻路由器(或者叫IP共享器)變得較為常見,但是需要注意的是,它們上面雖然帶著多個(一般為4個左右)連線LAN一側的網路介面,但那實際上是路由器內建的交換機,並不能分割廣播域。
況且使用路由器分割廣播域的話,所能分割的個數完全取決於路由器的網路介面個數,使得使用者無法自由地根據實際需要分割廣播域。
與路由器相比,二層交換機一般帶有多個網路介面。因此如果能使用它分割廣播域,那麼無疑運用上的靈活性會大大提高。
用於在二層交換機上分割廣播域的技術,就是VLAN。通過利用VLAN,我們可以自由設計廣播域的構成,提高網路設計的自由度。