虚拟局域网VLAN

虚拟局域网（VLAN）知识要点虚拟局域网（VirtualLocalAreaNetwork，VLAN）技术可增强网络的灵活性和安全性。VLAN的划分有静态和动态两种方式。不同VLAN间的通信需要用第三层设备来实现，因为一个VLAN是一个独立的广播域。除了应用STP来消除因环路引起的广播风暴外，VLAN技术也能有效解决广播风暴问题。VLAN的配置是交换机配置中最重要的项目之一，其四个步骤为：①配置VTP（可选）②定义主干连接（可选）③指定VLAN标识（VLANID）④配置VLAN端口知识要点（续）一、虚拟局域网概述HOSTAHOSTB…………HOSTCHOSTDHOSTEHOSTF……广播域广播域广播域VLAN10VLAN20VLAN30•一个VLAN=一个广播域=逻辑网段（子网）•每个逻辑的VLAN就象一个独立的物理网桥•同一个VLAN可以跨越多个交换机VLAN间通信需要第三层设备（路由器）•每个逻辑的VLAN就象一个独立的物理桥•同一个VLAN可以跨越多个交换机•主干功能支持多个VLAN的数据传输二、为什么要引入VLAN？1、什么是VLAN？VLAN（VirtualLAN）：虚拟局域网。LAN可以是由少数几台计算机构成的网络，也可以是数以百计的计算机构成的企业网络。VLAN所指的LAN特指使用路由器分割的网络——也就是广播域。广播域-----指的是广播帧（目标MAC地址全部为1）所能传递到的范围，亦即能够直接通信的范围。其实，除了广播帧（BroadcastFrame）外，多播帧（MulticastFrame）和目标不明的单播帧（UnknownUnicastFrame）也能在同一个广播域中畅行无阻。二层交换机本来只能构建单一的广播域，但使用VLAN技术以后，它就能够将网络分割成多个广播域了。2、什么是广播域？3、为什么需要分割广播域呢？如果仅有一个广播域，有可能会影响到网络整体的传输性能。在下图中，网络由5台二层交换机（交换机1～5）连接了大量主机构成。假设主机A需要与主机B通信。在基于以太网的通信中，必须在数据帧中指定目标MAC地址才能正常通信，因此主机A必须先广播“ARPRequest信息”，来尝试获取主机B的MAC地址。交换机1收到广播帧（ARP请求）后，会将它转发给除接收端口外的其他所有端口，也就是Flooding了。接着交换机2收到广播帧后也会Flooding。交换机3、4、5也还会Flooding。最终ARP请求会被转发到同一网络中的所有客户机上。如图7-2所示。1.首先给大家说说什么是ARPARP（AddressResolutionProtocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，也就是相当于OSI的第三层）地址解析为数据连接层（MAC层，也就是相当于OSI的第二层）的MAC地址。ARP原理：某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则广播A一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARP缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。ARP协议并不只在发送了ARP请求才接收ARP应答。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。因此，当局域网中的某台机器B向A发送一个自己伪造的ARP应答，而如果这个应答是B冒充C伪造来的，即IP地址为C的IP，而MAC地址是伪造的，则当A接收到B伪造的ARP应答后，就会更新本地的ARP缓存，这样在A看来C的IP地址没有变，而它的MAC地址已经不是原来那个了。由于局域网的网络流通不是根据IP地址进行，而是按照MAC地址进行传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致A不能Ping通C！这就是一个简单的ARP欺骗广播帧会传播到网络中的每一台主机，并对每一台主机造成负担。图7-2这个ARP请求原本是为了获得计算机B的MAC地址而发出的。也就是说：只要计算机B能收到就万事大吉了。可事实上，数据帧却传遍了整个网络，导致所有的计算机都收到了它。如此一来，一方面广播信息消耗了网络整体的带宽，另一方面，收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能力的大量无谓消耗。注意4、广播信息真是那么频繁出现的吗？实际上广播帧会非常频繁地出现！常见的广播通信有：ARP请求：建立IP地址和MAC地址的映射关系。RIP：一路由协议。每30秒广播一次路由信息。DHCP：用于自动设定IP地址的协议。NetBEUI：Windows下使用的网络协议。IPX：NovellNetware使用的网络协议。AppleTalk：苹果公司的Macintosh计算机使用的网络协议。5、广播域的分割与VLAN的必要性如果整个网络只有一个广播域，那么广播信息一旦发出，就会传遍整个网络，并且对网络中的主机带来额外的负担。因此，在设计LAN时，需要注意如何才能有效地分割广播域。分割广播域时，一般都必须使用到路由器。使用路由器后，可以以路由器上的网络接口（LANInterface）为单位分割广播域。使用路由器分割广播域的话，所能分割的个数完全取决于路由器的网络接口个数。路由器通常不会有太多的网络接口，其数目多在1～4个左右。因此，用户无法自由地根据实际需要分割广播域。与路由器相比，二层交换机一般带有多个网络接口。如果能使用它分割广播域，那么无疑运用上的灵活性会大大提高。用于在二层交换机上分割广播域的技术，就是VLAN。通过利用VLAN，我们可以自由设计广播域的构成，提高网络设计的自由度。使用路由器和vlan分割广播域6、划分Vlan的好处①广播控制通过将一个网络划分为多个vlan（多个广播域），能有效减少广播风暴广播碰撞和网络资源的浪费。②灵活性vlan可以灵活的添加或删除计算机而不受物理位置的限制。③安全性不同vlan不能直接相互访问，增强了网络的安全性。三、实现VLAN的技术交换机是如何使用VLAN分割广播域的呢？首先，在一台未设置任何VLAN的二层交换机上，任何广播帧都会被转发给除接收端口外的所有其他端口（Flooding）。如图7-3所示，计算机A发送的广播信息会被转发给端口2、3、4。图7-3这时，如果在交换机上生成红、蓝两个VLAN；同时设置端口1、2属于红色VLAN、端口3、4属于蓝色VLAN。再从A发出广播帧的话，交换机就只会把它转发给同属于一个VLAN的其他端口——也就是同属于红色VLAN的端口2，不会再转发给属于蓝色VLAN的端口。同样，C发送广播信息时，只会被转发给其他属于蓝色VLAN的端口，不会被转发给属于红色VLAN的端口。如图7-4所示。图7-4直观地描述VLANVLAN通过限制广播帧转发的范围分割了广播域。为了便于说明，上图中以红、蓝两色识别不同的VLAN，实际则是用“VLANID”来区分的。若要更为直观地描述VLAN的话，我们可以把它理解为将一台交换机在逻辑上分割成了数台交换机。在一台交换机上生成红、蓝两个VLAN，也可以看作是将一台交换机换做一红一蓝两台虚拟的交换机。在红、蓝两个VLAN之外生成新的VLAN时，可以想象成又添加了新的交换机。如图7-5所示。图7-5VLAN是如何的划分的？•静态•动态1、静态VLAN静态VLAN又被称为基于端口的VLAN（PortBasedVLAN）。顾名思义，就是明确指定各端口属于哪个VLAN的设定方法。静态VLAN由于需要一个一个地指定端口，因此当网络中的计算机数目超过一定数字（比如数百台）后，设定操作就会变得烦杂无比。并且，客户机每次变更所连端口，都必须同时更改该端口所属VLAN的设定——这显然不适合那些需要频繁改变拓补结构的网络。2、动态VLAN动态VLAN则是根据每个端口所连的计算机，随时改变端口所属的VLAN。这就可避免上述更改设定之类的操作。动态VLAN可大致分为3类：基于MAC地址的VLAN（MACBasedVLAN）基于IP地址的VLAN（SubnetBasedVLAN）基于组播（用户）的VLAN（UserBasedVLAN）其间的差异主要在于根据OSI参照模型哪一层的信息来决定端口所属的VLAN。①基于MAC地址的VLAN（MACBasedVLAN）基于MAC地址的VLAN就是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。eg:假定MAC地址“A”被交换机设定为属于VLAN10，那么不论MAC地址为“A”的这台计算机连在交换机的哪个端口，该端口都会被划分到VLAN10中去。计算机连在端口1时，端口1属于VLAN10；而计算机连在端口2时，则是端口2属于VLAN10。由于是基于MAC地址决定所属VLAN的，因此可以理解为这是一种在OSI的第二层设定访问链接的办法。但是，基于MAC地址的VLAN，在设定时必须调查所连接的所有计算机的MAC地址并加以登录。而且如果计算机交换了网卡，还是需要更改设定。基于子网的VLAN，则是通过所连计算机的IP地址来决定端口所属的VLAN。Ip地址的VLAN②基于IP地址的VLAN（MACBasedIP）基于IP地址的VLAN，则是通过所连计算机的IP地址来决定端口所属的VLAN。不像基于MAC地址的VLAN，即使计算机因为交换了网卡或是其他原因导致MAC地址改变，只要它的IP地址不变，就仍可以加入原先设定的VLAN。基于IP地址的VLAN与基于MAC地址的VLAN相比，能够更为简便地改变网络结构。IP地址是OSI参考模型中第三层的信息，所以我们可以理解为基于IP地址的VLAN是一种在OSI的第三层设定访问链接的方法。基于用户的VLAN则是根据交换机各端口所连的计算机上当前登录的用户（如Windows域中使用的用户名）来决定该端口属于哪个VLAN。这些用户名信息，属于OSI第四层以上的信息。总之，决定端口所属VLAN时利用的信息在OSI中的层面越高，就越适于构建灵活多变的网络。VLAN动态成员分配VLAN划分方法总结四、VLAN的通讯到此为止，我们学习的都是使用单台交换机设置VLAN时的情况。那么，如果需要设置跨越多台交换机的VLAN时又如何呢？假设有如图7-6所示的网络，且需要将不同楼层的A、C和B、D各设置为同一个VLAN。这时最关键的就是“交换机1和交换机2该如何连接才好呢？”四、VLAN的通讯交换机的端口可以分为以下两种链接模式：①访问链接（AccessLink）只能承载一个vlan信息②汇聚链接（TrunkLink）可以承载多个vlan信息1、Vlan内的主机通讯（单一Vlan）交换机端口的链接①单个交换机②多个交换机采用访问链接（AccessLink）需要VLAN间通信时怎么办？VLAN生成的逻辑上的交换机是互不相通的。因此，在交换机上设置VLAN后，如果未做其他处理，VLAN间是无法通信的。明明接在同一台交换机上，却偏偏无法通信——这个事实也许让人难以接受。但它既是VLAN方便易用的特征，又是使VLAN令人费解的原因。那么，当我们需要在不同的VLAN间通信时又该如何是好呢？2、VLAN间的通讯请大家再次回忆一下：VLAN是广播域。而通常两个广播域之间由路由器连接，广播域之间来往的数据包都是由路由器中继的。因此，VLAN间的通信也需要路由器提供中继服务，这被称作“VLAN间路由”。VLAN间路由，可以使用普通的路由器，也可以使用三层交换机。其中的具体内容，稍后会再详细解说。在这里