VLAN虚拟局域网.ppt

《VLAN虚拟局域网.ppt》由会员分享，可在线阅读，更多相关《VLAN虚拟局域网.ppt（18页珍藏版）》请在优知文库上搜索。

1、VLAN虚拟局域网什么是什么是VLANnVLAN（Virtual Local Area Network）即虚拟）即虚拟局域网，是一种通过将局域网内的设备逻辑地而局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。组的新兴技术。n 其它知识其它知识VLAN技术的概述 VLAN允许一组不同物理位置的用户群共享一个允许一组不同物理位置的用户群共享一个独立的广播域，可以在一个物理网络中划分多个独立的广播域，可以在一个物理网络中划分多个VLAN，使得不同的用户群属于不同的广播域，使得不同的用户群属于不同的广播域，这样

2、的逻辑划分与物理位置无关，通过划分用户这样的逻辑划分与物理位置无关，通过划分用户群控制广播范围。群控制广播范围。VLAN技术能够从根本上解决技术能够从根本上解决网络效率与网络安全性等问题。网络效率与网络安全性等问题。组建组建VLAN的目的目nVLAN（Virtual Local Area Network，虚拟局，虚拟局域网）技术的出现，主要为了解决交换机在进行域网）技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可局域网互连时无法限制广播的问题。这种技术可以把一个以把一个LAN划分成多个逻辑的划分成多个逻辑的LANVLAN，每个每个VLAN是一个广播域是一个广播域.

3、VLAN内的主机间通信内的主机间通信就和在一个就和在一个LAN内一样，而内一样，而VLAN间则不能直接间则不能直接互通，这样，广播报文被限制在一个互通，这样，广播报文被限制在一个VLAN内，内，这样很灵活的避免了广播风暴。这样很灵活的避免了广播风暴。 VLAN的优点的优点n 1. 限制广播域。广播域被限制在一个限制广播域。广播域被限制在一个VLAN内，节省了内，节省了带宽，提高了网络处理能力。带宽，提高了网络处理能力。n2. 增强局域网的安全性。不同增强局域网的安全性。不同VLAN内的报文在传输时内的报文在传输时是相互隔离的，即一个是相互隔离的，即一个VLAN内的用户不能和其它内的用户不能和其

4、它VLAN内的用户直接通信，如果不同内的用户直接通信，如果不同VLAN要进行通信，则需要要进行通信，则需要通过路由器或三层交换机等三层设备通过路由器或三层交换机等三层设备。n3. 灵活构建虚拟工作组。用灵活构建虚拟工作组。用VLAN可以划分不同的用户可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。定的物理范围，网络构建和维护更方便灵活。【组建组建VLAN的条件的条件】nVLAN是建立在物理网络基础上的一种逻辑是建立在物理网络基础上的一种逻辑子网，因此建立子网，因此建立VLAN需要相应的

5、支持需要相应的支持VLAN技技术的网络设备。当网络中的不同术的网络设备。当网络中的不同VLAN间进行间进行相互通信时，需要路由的支持，这时就需要增相互通信时，需要路由的支持，这时就需要增加路由设备加路由设备要实现路由功能，既可采用路要实现路由功能，既可采用路由器，也可采用三层交换机来完成。由器，也可采用三层交换机来完成。 【VLAN的划分的划分】n静态划分静态划分n动态划分动态划分VLAN 划分示意图划分示意图静态划分静态划分n也就是基于端口的来划分也就是基于端口的来划分VLAN 这种划分是把一个或多个交换机上的几个这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划

6、端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连换端口进行重新分配即可，不用考虑该端口所连接的设备。接的设备。比如：许多比如：许多VLAN厂商都利用交换机的端口来划厂商都利用交换机的端口来划分分VLAN成员。被设定的端口都在同一个广播域中。成员。被设定的端口都在同一个广播域中。例如，一个交换机的例如，一个交换机的1，2，3，4，5端口被定义为端口被定义为虚拟网虚拟网AAA，同一交换机的，同一交换机的6，7，8端口组成虚拟端口组成虚拟网网BBB。这样做允许各端口之间的通讯，并允

7、许共。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟网限享型网络的升级。但是，这种划分模式将虚拟网限制在了一台交换机上。制在了一台交换机上。 第二代端口第二代端口VLAN技术允许跨越多个交换机的技术允许跨越多个交换机的多个不同端口划分多个不同端口划分VLAN，不同交换机上的若干个，不同交换机上的若干个端口可以组成同一个虚拟网。端口可以组成同一个虚拟网。 以交换机端口来划分网络成员，其配置过程简以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一种方式。的方式仍

8、然是最常用的一种方式。 动态的划分 动态划分总结起来有两种动态划分总结起来有两种n基于基于MAC地址的地址的VLAN划分划分 MAC地址其实就是指网卡的标识符，每一块网卡的地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。地址都是惟一且固化在网卡上的。MAC地址由地址由12位位16进制数表示，前进制数表示，前6位为网卡的厂商标识（位为网卡的厂商标识（OUI），后），后6位位为网卡标识（为网卡标识（NIC）。网络管理员可按）。网络管理员可按MAC地址把一些站地址把一些站点划分为一个逻辑子网。点划分为一个逻辑子网。 这种划分这种划分VLAN的方法是根据每个主机的的方法是根

9、据每个主机的MAC地地址来划分，即对每个址来划分，即对每个MAC地址的主机都配置它属于哪地址的主机都配置它属于哪个组。这种划分个组。这种划分VLAN方法的最大优点就是当用户物理方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的地址的划分方法是基于用户的VLAN，这种方法的缺点，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常

10、累的。而且这百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个在每一个交换机的端口都可能存在很多个VLAN组的成组的成员，这样就无法限制广播包了。另外，对于使用笔记员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停地配置。就必须不停地配置。 n基于基于IP地址的地址的VLAN划分划分 该方法是根据连接道交换机端口上的主机的该方法是根据连接道交换机端口上的主机的IP

11、地址来地址来划分划分VLAN。 只有识别只有识别IP包的交换机，即第三层交换机，包的交换机，即第三层交换机，才能用这种方式来定义才能用这种方式来定义VLAN，起其优点是：当某以，起其优点是：当某以IP地地址改变时，址改变时， 交换机能自动识别并重新定义交换机能自动识别并重新定义VLAN，而不需，而不需要网络管理员的干预。因此这种方法具有更大的灵活性，要网络管理员的干预。因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。局域网，主要是效率不高。 还有其还有其IP地址可以认为的设地址可以认为的设

12、置，所以如果不采取其它措施，这种划分会带来安全隐患。置，所以如果不采取其它措施，这种划分会带来安全隐患。n基于规则的基于规则的VLAN 也称为基于策略的也称为基于策略的VLAN。这是最灵活的。这是最灵活的VLAN划划分方法，具有自动配置的能力，能够把相关的用分方法，具有自动配置的能力，能够把相关的用户连成一体，在逻辑划分上称为户连成一体，在逻辑划分上称为“关系网络关系网络”。网络管理员只需在网管软件中确定划分网络管理员只需在网管软件中确定划分VLAN的的规则（或属性），那么当一个站点加入网络中时，规则（或属性），那么当一个站点加入网络中时，将会被将会被“感知感知”，并被自己地包含进正确的，并被

13、自己地包含进正确的VLAN中。同时，对站点的移动和改变也可自动中。同时，对站点的移动和改变也可自动识别和跟踪。识别和跟踪。 采用这种方法，整个网络可以非常方便地通采用这种方法，整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的口上的主机分别属于不同的VLAN，这在交换机，这在交换机与共享式与共享式Hub共存的环境中显得尤为重要。自动共存的环境中显得尤为重要。自动配置配置VLAN时，交换机中软件自动检查进入交换时，交换机中软件自动检查进入交换机端口的广播信息的机端口的广播信息的IP源地址，然后软件自动将源地址，然后

14、软件自动将这个端口分配给一个由这个端口分配给一个由IP子网映射成的子网映射成的VLAN。n 按用户定义、非用户授权划分按用户定义、非用户授权划分VLAN 基于用户定义、非用户授权来划分基于用户定义、非用户授权来划分VLAN，是，是指为了适应特别的指为了适应特别的VLAN网络，根据具体的网络网络，根据具体的网络用户的特别要求来定义和设计用户的特别要求来定义和设计VLAN，而且可以，而且可以让非让非VLAN群体用户访问群体用户访问VLAN，但是需要提供，但是需要提供用户密码，在得到用户密码，在得到VLAN管理的认证后才可以加管理的认证后才可以加入一个入一个VLAN。 * 以上划分以上划分VLAN的方式中，基于端口的的方式中，基于端口的VLAN端口方式建立在物理层上；端口方式建立在物理层上；MAC方式建立在数方式建立在数据链路层上；网络层和据链路层上；网络层和IP广播方式建立在第三广播方式建立在第三层上。层上。