VLAN簡(jiǎn)介及優(yōu)點(diǎn)
虛擬局域網(wǎng)(VLAN),是指網(wǎng)絡(luò)中的站點(diǎn)不拘泥于所處的物理位置,而可以根據(jù)需要靈活地加入不同的邏輯子網(wǎng)中的一種網(wǎng)絡(luò)技術(shù)。
基于交換式以太網(wǎng)的虛擬局域網(wǎng)在交換式以太網(wǎng)中,利用VLAN技術(shù),可以將由交換機(jī)連接成的物理網(wǎng)絡(luò)劃分成多個(gè)邏輯子網(wǎng)。也就是說(shuō),一個(gè)虛擬局域網(wǎng)中的站點(diǎn)所發(fā)送的廣播數(shù)據(jù)包將僅轉(zhuǎn)發(fā)至屬于同一VLAN的站點(diǎn)。
在交換式以太網(wǎng)中,各站點(diǎn)可以分別屬于不同的虛擬局域網(wǎng)。構(gòu)成虛擬局域網(wǎng)的站點(diǎn)不拘泥于所處的物理位置,它們既可以掛接在同一個(gè)交換機(jī)中,也可以掛接在不同的交換機(jī)中。虛擬局域網(wǎng)技術(shù)使得網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活,例如位于不同樓層的用戶或者不同部門的用戶可以根據(jù)需要加入不同的虛擬局域網(wǎng)。
劃分虛擬局域網(wǎng)主要出于三種考慮:
第一是基于網(wǎng)絡(luò)性能的考慮。對(duì)于大型網(wǎng)絡(luò),現(xiàn)在常用的Windows NetBEUI是廣播協(xié)議,當(dāng)網(wǎng)絡(luò)規(guī)模很大時(shí),網(wǎng)上的廣播信息會(huì)很多,會(huì)使網(wǎng)絡(luò)性能惡化,甚至形成廣播風(fēng)暴,引起網(wǎng)絡(luò)堵塞。那怎么辦呢?可以通過(guò)劃分很多虛擬局域網(wǎng)而減少整個(gè)網(wǎng)絡(luò)范圍內(nèi)廣播包的傳輸,因?yàn)閺V播信息是不會(huì)跨過(guò)VLAN的,可以把廣播限制在各個(gè)虛擬網(wǎng)的范圍內(nèi),用術(shù)語(yǔ)講就是縮小了廣播域,提高了網(wǎng)絡(luò)的傳輸效率,從而提高網(wǎng)絡(luò)性能。
第二是基于安全性的考慮。因?yàn)楦魈摂M網(wǎng)之間不能直接進(jìn)行通訊,而必須通過(guò)路由器轉(zhuǎn)發(fā),為高級(jí)的安全控制提供了可能,增強(qiáng)了網(wǎng)絡(luò)的安全性。在大規(guī)模的網(wǎng)絡(luò),比如說(shuō)大的集團(tuán)公司,有財(cái)務(wù)部、采購(gòu)部和客戶部等,它們之間的數(shù)據(jù)是保密的,相互之間只能提供接口數(shù)據(jù),其它數(shù)據(jù)是保密的。我們可以通過(guò)劃分虛擬局域網(wǎng)對(duì)不同部門進(jìn)行隔離。
第三是基于組織結(jié)構(gòu)上考慮。同一部門的人員分散在不同的物理地點(diǎn),比如集團(tuán)公司的財(cái)務(wù)部在各子公司均有分部,但都屬于財(cái)務(wù)部管理,雖然這些數(shù)據(jù)都是要保密的,但需統(tǒng)一結(jié)算時(shí),就可以跨地域(也就是跨交換機(jī))將其設(shè)在同一虛擬局域網(wǎng)之中,實(shí)現(xiàn)數(shù)據(jù)安全和共享。采用虛擬局域網(wǎng)有如下優(yōu)勢(shì):抑制網(wǎng)絡(luò)上的廣播風(fēng)暴;增加網(wǎng)絡(luò)的安全性;集中化的管理控制。
基于交換式的以太網(wǎng)要實(shí)現(xiàn)虛擬局域網(wǎng)主要有三種途徑:基于端口的虛擬局域網(wǎng)、基于MAC地址(網(wǎng)卡的硬件地址)的虛擬局域網(wǎng)和基于IP地址的虛擬局域網(wǎng)。
(1)基于端口的虛擬局域網(wǎng)
基于端口的虛擬局域網(wǎng)是最實(shí)用的虛擬局域網(wǎng),它保持了最普通常用的虛擬局域網(wǎng)成員定義方法,配置也相當(dāng)直觀簡(jiǎn)單,就局域網(wǎng)中的站點(diǎn)具有相同的網(wǎng)絡(luò)地址,不同的虛擬局域網(wǎng)之間進(jìn)行通信需要通過(guò)路由器。采用這種方式的虛擬局域網(wǎng)其不足之處是靈活性不好。例如,當(dāng)一個(gè)網(wǎng)絡(luò)站點(diǎn)從一個(gè)端口移動(dòng)到另外一個(gè)新的端口時(shí),如果新端口與舊端口不屬于同一個(gè)虛擬局域網(wǎng),則用戶必須對(duì)該站點(diǎn)重新進(jìn)行網(wǎng)絡(luò)地址配置,否則,該站點(diǎn)將無(wú)法進(jìn)行網(wǎng)絡(luò)通信。在基于端口的虛擬局域網(wǎng)中,每個(gè)交換端口可以屬于一個(gè)或多個(gè)虛擬局域網(wǎng)組,比較適用于連接服務(wù)器。
(2) 基于MAC地址的虛擬局域網(wǎng)
在基于MAC地址的虛擬局域網(wǎng)中,交換機(jī)對(duì)站點(diǎn)的MAC地址和交換機(jī)端口進(jìn)行跟蹤,在新站點(diǎn)入網(wǎng)時(shí)根據(jù)需要將其劃歸至某一個(gè)虛擬局域網(wǎng),而無(wú)論該站點(diǎn)在網(wǎng)絡(luò)中怎樣移動(dòng),由于其MAC地址保持不變,因此用戶不需要進(jìn)行網(wǎng)絡(luò)地址的重新配置。這種虛擬局域網(wǎng)技術(shù)的不足之處是在站點(diǎn)入網(wǎng)時(shí),需要對(duì)交換機(jī)進(jìn)行比較復(fù)雜的手工配置,以確定該站點(diǎn)屬于哪一個(gè)虛擬局域網(wǎng)。
(3)基于IP地址的虛擬局域網(wǎng)
1、控制廣播風(fēng)暴
一個(gè)VLAN就是一個(gè)邏輯廣播域,通過(guò)對(duì)VLAN的創(chuàng)建,隔離了廣播,縮小了廣播范圍,可以控制廣播風(fēng)暴的產(chǎn)生。
2、提高網(wǎng)絡(luò)整體安全性
通過(guò)路由訪問(wèn)列表和MAC地址分配等VLAN劃分原則,可以控制用戶訪問(wèn)權(quán)限和邏輯網(wǎng)段大小,將不同用戶群劃分在不同VLAN,從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。
3、網(wǎng)絡(luò)管理簡(jiǎn)單、直觀
對(duì)于交換式以太網(wǎng),如果對(duì)某些用戶重新進(jìn)行網(wǎng)段分配,需要網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進(jìn)行調(diào)整,甚至需要追加網(wǎng)絡(luò)設(shè)備,增大網(wǎng)絡(luò)管理的工作量。而對(duì)于采用VLAN技術(shù)的網(wǎng)絡(luò)來(lái)說(shuō),一個(gè)VLAN可以根據(jù)部門職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。利用虛擬網(wǎng)絡(luò)技術(shù),大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān),降低了網(wǎng)絡(luò)維護(hù)費(fèi)用。在一個(gè)交換網(wǎng)絡(luò)中,VLAN提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。
三層交換技術(shù)
傳統(tǒng)的路由器在網(wǎng)絡(luò)中有路由轉(zhuǎn)發(fā)、防火墻、隔離廣播等作用,而在一個(gè)劃分了VLAN以后的網(wǎng)絡(luò)中,邏輯上劃分的不同網(wǎng)段之間通信仍然要通過(guò)路由器轉(zhuǎn)發(fā)。由于在局域網(wǎng)上,不同VLAN之間的通信數(shù)據(jù)量是很大的,這樣,如果路由器要對(duì)每一個(gè)數(shù)據(jù)包都路由一次,隨著網(wǎng)絡(luò)上數(shù)據(jù)量的不斷增大,路由器將不堪重負(fù),路由器將成為整個(gè)網(wǎng)絡(luò)運(yùn)行的瓶頸。
在這種情況下,出現(xiàn)了第三層交換技術(shù),它是將路由技術(shù)與交換技術(shù)合二為一的技術(shù)。三層交換機(jī)在對(duì)第一個(gè)數(shù)據(jù)流進(jìn)行路由后,會(huì)產(chǎn)生一個(gè)MAC地址與IP地址的映射表,當(dāng)同樣的數(shù)據(jù)流再次通過(guò)時(shí),將根據(jù)此表直接從二層通過(guò)而不是再次路由,從而消除了路由器進(jìn)行路由選擇而造成網(wǎng)絡(luò)的延遲,提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率,消除了路由器可能產(chǎn)生的網(wǎng)絡(luò)瓶頸問(wèn)題。可見(jiàn),三層交換機(jī)集路由與交換于一身,在交換機(jī)內(nèi)部實(shí)現(xiàn)了路由,提高了網(wǎng)絡(luò)的整體性能。
在以三層交換機(jī)為核心的千兆網(wǎng)絡(luò)中,為保證不同職能部門管理的方便性和安全性以及整個(gè)網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性,可采用VLAN技術(shù)進(jìn)行虛擬網(wǎng)絡(luò)劃分。VLAN子網(wǎng)隔離了廣播風(fēng)暴,對(duì)一些重要部門實(shí)施了安全保護(hù);且當(dāng)某一部門物理位置發(fā)生變化時(shí),只需對(duì)交換機(jī)進(jìn)行設(shè)置,就可以實(shí)現(xiàn)網(wǎng)絡(luò)的重組,非常方便、快捷,同時(shí)節(jié)約了成本。
交換機(jī)充當(dāng)?shù)慕巧?br />
交換機(jī)的好處在于其可以隔離沖突域,每個(gè)端口就是一個(gè)沖突域,因此在一個(gè)端口單獨(dú)接計(jì)算機(jī)的時(shí)候,該計(jì)算機(jī)是不會(huì)與其它計(jì)算機(jī)產(chǎn)生沖突的,也就是帶寬是獨(dú)享的,交換機(jī)能做到這一點(diǎn)關(guān)鍵在于其內(nèi)部的總線帶寬是足夠大的,可以滿足所有端口的全雙工狀態(tài)下的帶寬需求,并且通過(guò)類似電話交換機(jī)的機(jī)制保護(hù)不同的數(shù)據(jù)包能夠到達(dá)目的地,可以把HUB和交換機(jī)比喻成單排街道與高速公路。
IP廣播是屬于OSI的第三層,是基于TCP/IP協(xié)議的,其產(chǎn)生和原理這里就不多講了,大家可以看看TCP/IP協(xié)議方面的書籍。交換機(jī)是無(wú)法隔離廣播的,就像HUB無(wú)法隔離沖突域一樣,因?yàn)槠涫枪ぷ髟贠SI第二層的,無(wú)法分析IP包,但我們可以使用路由器來(lái)隔離廣播域,路由器的每個(gè)端口可以看成是一個(gè)廣播域,一個(gè)端口的廣播無(wú)法傳到另外一個(gè)端口(特殊設(shè)置除外),因此在規(guī)模較大,機(jī)器較多的情況下我們可以使用路由器來(lái)隔離廣播。
下面開(kāi)始?xì)w入正題。
通常,只有通過(guò)劃分子網(wǎng)才可以隔離廣播,但是VLAN的出現(xiàn)打破了這個(gè)定律,用二層的東西解決三層的問(wèn)題很是奇怪,但是的確做到了。VLAN中文叫做虛擬局域網(wǎng),它的作用就是將物理上互連的網(wǎng)絡(luò)在邏輯上劃分為多個(gè)互不相干的網(wǎng)絡(luò),這些網(wǎng)絡(luò)之間是無(wú)法通訊的,就好像互相之間沒(méi)有連接一樣,因此廣播也就隔離開(kāi)了。
VLAN的實(shí)現(xiàn)原理非常簡(jiǎn)單,通過(guò)交換機(jī)的控制,某一VLAN成員發(fā)出的數(shù)據(jù)包交換機(jī)只發(fā)個(gè)同一VLAN的其它成員,而不會(huì)發(fā)給該VLAN成員以外的計(jì)算機(jī)。
使用VLAN的目的不僅僅是隔離廣播,還有安全和管理等方面的應(yīng)用,例如將重要部門與其它部門通過(guò)VLAN隔離,即使同在一個(gè)網(wǎng)絡(luò)也可以保證他們不能互相通訊,確保重要部門的數(shù)據(jù)安全;也可以按照不同的部門、人員,位置劃分VLAN,分別賦給不同的權(quán)限來(lái)進(jìn)行管理。
VLAN的劃分有很多種,我們可以按照IP地址來(lái)劃分,按照端口來(lái)劃分、按照MAC地址劃分或者按照協(xié)議來(lái)劃分,常用的劃分方法是將端口和IP地址結(jié)合來(lái)劃分VLAN,某幾個(gè)端口為一個(gè)VLAN,并為該VLAN配置IP地址,那么該VLAN中的計(jì)算機(jī)就以這個(gè)地址為網(wǎng)關(guān),其它VLAN則不能與該VLAN處于同一子網(wǎng)。
如果兩臺(tái)交換機(jī)都有同一VLAN的計(jì)算機(jī),怎么辦呢,我們可以通過(guò)VLAN Trunk來(lái)解決。
如果交換機(jī)1的VLAN1中的機(jī)器要訪問(wèn)交換機(jī)2的VLAN1中的機(jī)器,我們可以把兩臺(tái)交換機(jī)的級(jí)聯(lián)端口設(shè)置為Trunk端口,這樣,當(dāng)交換機(jī)把數(shù)據(jù)包從級(jí)聯(lián)口發(fā)出去的時(shí)候,會(huì)在數(shù)據(jù)包中做一個(gè)標(biāo)記(TAG),以使其它交換機(jī)識(shí)別該數(shù)據(jù)包屬于哪一個(gè)VLAN,這樣,其它交換機(jī)收到這樣一個(gè)數(shù)據(jù)包后,只會(huì)將該數(shù)據(jù)包轉(zhuǎn)發(fā)到標(biāo)記中指定的VLAN,從而完成了跨越交換機(jī)的VLAN內(nèi)部數(shù)據(jù)傳輸。VLAN Trunk目前有兩種標(biāo)準(zhǔn),ISL和802.1q,前者是Cisco專有技術(shù),后者則是IEEE的國(guó)際標(biāo)準(zhǔn),除了Cisco兩者都支持外,其它廠商都只支持后者。
基于交換式以太網(wǎng)的虛擬局域網(wǎng)在交換式以太網(wǎng)中,利用VLAN技術(shù),可以將由交換機(jī)連接成的物理網(wǎng)絡(luò)劃分成多個(gè)邏輯子網(wǎng)。也就是說(shuō),一個(gè)虛擬局域網(wǎng)中的站點(diǎn)所發(fā)送的廣播數(shù)據(jù)包將僅轉(zhuǎn)發(fā)至屬于同一VLAN的站點(diǎn)。
在交換式以太網(wǎng)中,各站點(diǎn)可以分別屬于不同的虛擬局域網(wǎng)。構(gòu)成虛擬局域網(wǎng)的站點(diǎn)不拘泥于所處的物理位置,它們既可以掛接在同一個(gè)交換機(jī)中,也可以掛接在不同的交換機(jī)中。虛擬局域網(wǎng)技術(shù)使得網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活,例如位于不同樓層的用戶或者不同部門的用戶可以根據(jù)需要加入不同的虛擬局域網(wǎng)。
劃分虛擬局域網(wǎng)主要出于三種考慮:
第一是基于網(wǎng)絡(luò)性能的考慮。對(duì)于大型網(wǎng)絡(luò),現(xiàn)在常用的Windows NetBEUI是廣播協(xié)議,當(dāng)網(wǎng)絡(luò)規(guī)模很大時(shí),網(wǎng)上的廣播信息會(huì)很多,會(huì)使網(wǎng)絡(luò)性能惡化,甚至形成廣播風(fēng)暴,引起網(wǎng)絡(luò)堵塞。那怎么辦呢?可以通過(guò)劃分很多虛擬局域網(wǎng)而減少整個(gè)網(wǎng)絡(luò)范圍內(nèi)廣播包的傳輸,因?yàn)閺V播信息是不會(huì)跨過(guò)VLAN的,可以把廣播限制在各個(gè)虛擬網(wǎng)的范圍內(nèi),用術(shù)語(yǔ)講就是縮小了廣播域,提高了網(wǎng)絡(luò)的傳輸效率,從而提高網(wǎng)絡(luò)性能。
第二是基于安全性的考慮。因?yàn)楦魈摂M網(wǎng)之間不能直接進(jìn)行通訊,而必須通過(guò)路由器轉(zhuǎn)發(fā),為高級(jí)的安全控制提供了可能,增強(qiáng)了網(wǎng)絡(luò)的安全性。在大規(guī)模的網(wǎng)絡(luò),比如說(shuō)大的集團(tuán)公司,有財(cái)務(wù)部、采購(gòu)部和客戶部等,它們之間的數(shù)據(jù)是保密的,相互之間只能提供接口數(shù)據(jù),其它數(shù)據(jù)是保密的。我們可以通過(guò)劃分虛擬局域網(wǎng)對(duì)不同部門進(jìn)行隔離。
第三是基于組織結(jié)構(gòu)上考慮。同一部門的人員分散在不同的物理地點(diǎn),比如集團(tuán)公司的財(cái)務(wù)部在各子公司均有分部,但都屬于財(cái)務(wù)部管理,雖然這些數(shù)據(jù)都是要保密的,但需統(tǒng)一結(jié)算時(shí),就可以跨地域(也就是跨交換機(jī))將其設(shè)在同一虛擬局域網(wǎng)之中,實(shí)現(xiàn)數(shù)據(jù)安全和共享。采用虛擬局域網(wǎng)有如下優(yōu)勢(shì):抑制網(wǎng)絡(luò)上的廣播風(fēng)暴;增加網(wǎng)絡(luò)的安全性;集中化的管理控制。
基于交換式的以太網(wǎng)要實(shí)現(xiàn)虛擬局域網(wǎng)主要有三種途徑:基于端口的虛擬局域網(wǎng)、基于MAC地址(網(wǎng)卡的硬件地址)的虛擬局域網(wǎng)和基于IP地址的虛擬局域網(wǎng)。
(1)基于端口的虛擬局域網(wǎng)
基于端口的虛擬局域網(wǎng)是最實(shí)用的虛擬局域網(wǎng),它保持了最普通常用的虛擬局域網(wǎng)成員定義方法,配置也相當(dāng)直觀簡(jiǎn)單,就局域網(wǎng)中的站點(diǎn)具有相同的網(wǎng)絡(luò)地址,不同的虛擬局域網(wǎng)之間進(jìn)行通信需要通過(guò)路由器。采用這種方式的虛擬局域網(wǎng)其不足之處是靈活性不好。例如,當(dāng)一個(gè)網(wǎng)絡(luò)站點(diǎn)從一個(gè)端口移動(dòng)到另外一個(gè)新的端口時(shí),如果新端口與舊端口不屬于同一個(gè)虛擬局域網(wǎng),則用戶必須對(duì)該站點(diǎn)重新進(jìn)行網(wǎng)絡(luò)地址配置,否則,該站點(diǎn)將無(wú)法進(jìn)行網(wǎng)絡(luò)通信。在基于端口的虛擬局域網(wǎng)中,每個(gè)交換端口可以屬于一個(gè)或多個(gè)虛擬局域網(wǎng)組,比較適用于連接服務(wù)器。
(2) 基于MAC地址的虛擬局域網(wǎng)
在基于MAC地址的虛擬局域網(wǎng)中,交換機(jī)對(duì)站點(diǎn)的MAC地址和交換機(jī)端口進(jìn)行跟蹤,在新站點(diǎn)入網(wǎng)時(shí)根據(jù)需要將其劃歸至某一個(gè)虛擬局域網(wǎng),而無(wú)論該站點(diǎn)在網(wǎng)絡(luò)中怎樣移動(dòng),由于其MAC地址保持不變,因此用戶不需要進(jìn)行網(wǎng)絡(luò)地址的重新配置。這種虛擬局域網(wǎng)技術(shù)的不足之處是在站點(diǎn)入網(wǎng)時(shí),需要對(duì)交換機(jī)進(jìn)行比較復(fù)雜的手工配置,以確定該站點(diǎn)屬于哪一個(gè)虛擬局域網(wǎng)。
(3)基于IP地址的虛擬局域網(wǎng)
在基于IP地址的虛擬局域網(wǎng)中,新站點(diǎn)在入網(wǎng)時(shí)無(wú)需進(jìn)行太多配置,交換機(jī)則根據(jù)各站點(diǎn)網(wǎng)絡(luò)地址自動(dòng)將其劃分成不同的虛擬局域網(wǎng)。在三種虛擬局域網(wǎng)的實(shí)現(xiàn)技術(shù)中,基于IP地址的虛擬局域網(wǎng)智能化程度最高,實(shí)現(xiàn)起來(lái)也最復(fù)雜。
1、控制廣播風(fēng)暴
一個(gè)VLAN就是一個(gè)邏輯廣播域,通過(guò)對(duì)VLAN的創(chuàng)建,隔離了廣播,縮小了廣播范圍,可以控制廣播風(fēng)暴的產(chǎn)生。
2、提高網(wǎng)絡(luò)整體安全性
通過(guò)路由訪問(wèn)列表和MAC地址分配等VLAN劃分原則,可以控制用戶訪問(wèn)權(quán)限和邏輯網(wǎng)段大小,將不同用戶群劃分在不同VLAN,從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。
3、網(wǎng)絡(luò)管理簡(jiǎn)單、直觀
對(duì)于交換式以太網(wǎng),如果對(duì)某些用戶重新進(jìn)行網(wǎng)段分配,需要網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進(jìn)行調(diào)整,甚至需要追加網(wǎng)絡(luò)設(shè)備,增大網(wǎng)絡(luò)管理的工作量。而對(duì)于采用VLAN技術(shù)的網(wǎng)絡(luò)來(lái)說(shuō),一個(gè)VLAN可以根據(jù)部門職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。利用虛擬網(wǎng)絡(luò)技術(shù),大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān),降低了網(wǎng)絡(luò)維護(hù)費(fèi)用。在一個(gè)交換網(wǎng)絡(luò)中,VLAN提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。
三層交換技術(shù)
傳統(tǒng)的路由器在網(wǎng)絡(luò)中有路由轉(zhuǎn)發(fā)、防火墻、隔離廣播等作用,而在一個(gè)劃分了VLAN以后的網(wǎng)絡(luò)中,邏輯上劃分的不同網(wǎng)段之間通信仍然要通過(guò)路由器轉(zhuǎn)發(fā)。由于在局域網(wǎng)上,不同VLAN之間的通信數(shù)據(jù)量是很大的,這樣,如果路由器要對(duì)每一個(gè)數(shù)據(jù)包都路由一次,隨著網(wǎng)絡(luò)上數(shù)據(jù)量的不斷增大,路由器將不堪重負(fù),路由器將成為整個(gè)網(wǎng)絡(luò)運(yùn)行的瓶頸。
在這種情況下,出現(xiàn)了第三層交換技術(shù),它是將路由技術(shù)與交換技術(shù)合二為一的技術(shù)。三層交換機(jī)在對(duì)第一個(gè)數(shù)據(jù)流進(jìn)行路由后,會(huì)產(chǎn)生一個(gè)MAC地址與IP地址的映射表,當(dāng)同樣的數(shù)據(jù)流再次通過(guò)時(shí),將根據(jù)此表直接從二層通過(guò)而不是再次路由,從而消除了路由器進(jìn)行路由選擇而造成網(wǎng)絡(luò)的延遲,提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率,消除了路由器可能產(chǎn)生的網(wǎng)絡(luò)瓶頸問(wèn)題。可見(jiàn),三層交換機(jī)集路由與交換于一身,在交換機(jī)內(nèi)部實(shí)現(xiàn)了路由,提高了網(wǎng)絡(luò)的整體性能。
在以三層交換機(jī)為核心的千兆網(wǎng)絡(luò)中,為保證不同職能部門管理的方便性和安全性以及整個(gè)網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性,可采用VLAN技術(shù)進(jìn)行虛擬網(wǎng)絡(luò)劃分。VLAN子網(wǎng)隔離了廣播風(fēng)暴,對(duì)一些重要部門實(shí)施了安全保護(hù);且當(dāng)某一部門物理位置發(fā)生變化時(shí),只需對(duì)交換機(jī)進(jìn)行設(shè)置,就可以實(shí)現(xiàn)網(wǎng)絡(luò)的重組,非常方便、快捷,同時(shí)節(jié)約了成本。
交換機(jī)充當(dāng)?shù)慕巧?br />
交換機(jī)的好處在于其可以隔離沖突域,每個(gè)端口就是一個(gè)沖突域,因此在一個(gè)端口單獨(dú)接計(jì)算機(jī)的時(shí)候,該計(jì)算機(jī)是不會(huì)與其它計(jì)算機(jī)產(chǎn)生沖突的,也就是帶寬是獨(dú)享的,交換機(jī)能做到這一點(diǎn)關(guān)鍵在于其內(nèi)部的總線帶寬是足夠大的,可以滿足所有端口的全雙工狀態(tài)下的帶寬需求,并且通過(guò)類似電話交換機(jī)的機(jī)制保護(hù)不同的數(shù)據(jù)包能夠到達(dá)目的地,可以把HUB和交換機(jī)比喻成單排街道與高速公路。
IP廣播是屬于OSI的第三層,是基于TCP/IP協(xié)議的,其產(chǎn)生和原理這里就不多講了,大家可以看看TCP/IP協(xié)議方面的書籍。交換機(jī)是無(wú)法隔離廣播的,就像HUB無(wú)法隔離沖突域一樣,因?yàn)槠涫枪ぷ髟贠SI第二層的,無(wú)法分析IP包,但我們可以使用路由器來(lái)隔離廣播域,路由器的每個(gè)端口可以看成是一個(gè)廣播域,一個(gè)端口的廣播無(wú)法傳到另外一個(gè)端口(特殊設(shè)置除外),因此在規(guī)模較大,機(jī)器較多的情況下我們可以使用路由器來(lái)隔離廣播。
下面開(kāi)始?xì)w入正題。
通常,只有通過(guò)劃分子網(wǎng)才可以隔離廣播,但是VLAN的出現(xiàn)打破了這個(gè)定律,用二層的東西解決三層的問(wèn)題很是奇怪,但是的確做到了。VLAN中文叫做虛擬局域網(wǎng),它的作用就是將物理上互連的網(wǎng)絡(luò)在邏輯上劃分為多個(gè)互不相干的網(wǎng)絡(luò),這些網(wǎng)絡(luò)之間是無(wú)法通訊的,就好像互相之間沒(méi)有連接一樣,因此廣播也就隔離開(kāi)了。
VLAN的實(shí)現(xiàn)原理非常簡(jiǎn)單,通過(guò)交換機(jī)的控制,某一VLAN成員發(fā)出的數(shù)據(jù)包交換機(jī)只發(fā)個(gè)同一VLAN的其它成員,而不會(huì)發(fā)給該VLAN成員以外的計(jì)算機(jī)。
使用VLAN的目的不僅僅是隔離廣播,還有安全和管理等方面的應(yīng)用,例如將重要部門與其它部門通過(guò)VLAN隔離,即使同在一個(gè)網(wǎng)絡(luò)也可以保證他們不能互相通訊,確保重要部門的數(shù)據(jù)安全;也可以按照不同的部門、人員,位置劃分VLAN,分別賦給不同的權(quán)限來(lái)進(jìn)行管理。
VLAN的劃分有很多種,我們可以按照IP地址來(lái)劃分,按照端口來(lái)劃分、按照MAC地址劃分或者按照協(xié)議來(lái)劃分,常用的劃分方法是將端口和IP地址結(jié)合來(lái)劃分VLAN,某幾個(gè)端口為一個(gè)VLAN,并為該VLAN配置IP地址,那么該VLAN中的計(jì)算機(jī)就以這個(gè)地址為網(wǎng)關(guān),其它VLAN則不能與該VLAN處于同一子網(wǎng)。
如果兩臺(tái)交換機(jī)都有同一VLAN的計(jì)算機(jī),怎么辦呢,我們可以通過(guò)VLAN Trunk來(lái)解決。
如果交換機(jī)1的VLAN1中的機(jī)器要訪問(wèn)交換機(jī)2的VLAN1中的機(jī)器,我們可以把兩臺(tái)交換機(jī)的級(jí)聯(lián)端口設(shè)置為Trunk端口,這樣,當(dāng)交換機(jī)把數(shù)據(jù)包從級(jí)聯(lián)口發(fā)出去的時(shí)候,會(huì)在數(shù)據(jù)包中做一個(gè)標(biāo)記(TAG),以使其它交換機(jī)識(shí)別該數(shù)據(jù)包屬于哪一個(gè)VLAN,這樣,其它交換機(jī)收到這樣一個(gè)數(shù)據(jù)包后,只會(huì)將該數(shù)據(jù)包轉(zhuǎn)發(fā)到標(biāo)記中指定的VLAN,從而完成了跨越交換機(jī)的VLAN內(nèi)部數(shù)據(jù)傳輸。VLAN Trunk目前有兩種標(biāo)準(zhǔn),ISL和802.1q,前者是Cisco專有技術(shù),后者則是IEEE的國(guó)際標(biāo)準(zhǔn),除了Cisco兩者都支持外,其它廠商都只支持后者。
光纖收發(fā)器|工業(yè)交換機(jī)|工業(yè)PoE交換機(jī)|串口光端機(jī)|串口服務(wù)器
【本文標(biāo)簽】:光纖交換機(jī) 工業(yè)交換機(jī) 以太網(wǎng)交換機(jī) 光纖收發(fā)器 電話光端機(jī) 光電轉(zhuǎn)換器 光端機(jī)
【責(zé)任編輯】:光橋版權(quán)所有:轉(zhuǎn)載請(qǐng)注明出處
【責(zé)任編輯】:光橋版權(quán)所有:轉(zhuǎn)載請(qǐng)注明出處
相關(guān)技術(shù)支持
- 光纖收發(fā)器8口和1口對(duì)接的用法
- POE交換機(jī)通過(guò)光纖和光纖收發(fā)器遠(yuǎn)傳的用法
- 1光多電光纖收發(fā)器和1光多電PoE交換機(jī)在監(jiān)控中組合應(yīng)用
- 千兆8光1電光纖收發(fā)器匯聚組網(wǎng)圖
- 千兆8光1電收發(fā)器+1光4電PoE交換機(jī)組網(wǎng)圖
- 2光收發(fā)器鏈型網(wǎng)示意圖
- PoE交換機(jī)視頻監(jiān)控組網(wǎng)圖
- 工業(yè)交換機(jī)在觸摸屏和PLC之間的應(yīng)用
- 常見(jiàn)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)
- 多業(yè)務(wù)光端機(jī)的六大應(yīng)用
最新資訊文章
- 光纖收發(fā)器8口和1口對(duì)接的用法
- POE交換機(jī)通過(guò)光纖和光纖收發(fā)器遠(yuǎn)傳的用法
- 1光多電光纖收發(fā)器和1光多電PoE交換機(jī)在監(jiān)控中組合應(yīng)用
- 千兆8光1電光纖收發(fā)器匯聚組網(wǎng)圖
- 千兆8光1電收發(fā)器+1光4電PoE交換機(jī)組網(wǎng)圖
- 2光收發(fā)器鏈型網(wǎng)示意圖
- PoE交換機(jī)視頻監(jiān)控組網(wǎng)圖
- 工業(yè)交換機(jī)在觸摸屏和PLC之間的應(yīng)用
- 標(biāo)準(zhǔn)PoE交換機(jī)、非標(biāo)準(zhǔn)PoE交換機(jī)和非PoE交換機(jī)的區(qū)別,一圖弄懂
- 光纖收發(fā)器和光端機(jī)的區(qū)別
