| VLAN—虚拟局域网
随着网络越来越深入人心,一些企业对网络的需求程度大幅增长,企业内部网络规模越来越大。随之而来的安全问题、网络性能问题都让网络管理员头疼。VLAN技术的出现,解决了这一系列的问题。
一、早期,人们使用HUB来让很多客户机联成网络,而HUB给客户机提供的是一条公共的共享总线,随着接入用户的数量增多,每个用户所分得的带宽就按比例减小。例如:10M以太网,使用HUB来连接10个用户,那么每个用户所分得带宽为10M/10——1M.很显然,HUB的共享方式早已经不能满足网络规模激增的需求了。人们开始使用交换机来代替HUB,交换机可以为接入的每个用户提供一条专用数据通道,而不再是类似于HUB那样共享整个带宽。虽然解决了带宽的分配问题,但是随着越来越多的用户接入交换网络,人们发现了一个新的问题,网络中的任意广播都会被所有用户机接收,网络的规模越大,广播的范围就越大,整个网络的性能因为广播而变得让客户难以忍受。这时,网络管理员使用了路由器(可以隔离广播域)来将这个臃肿不堪的大网络分成了若干个小的网络段,问题似乎已经解决了,但是路由器因为接口数量稀少而价格昂贵,使这个网络分段的任务花费了高额的成本。
交换机接口数量很多,且转发数据速度快,但是却不能阻止广播流量的蔓延;
路由器可以阻隔广播域,但是接口数量太少,对于大网络的分段,成本过高,而且因为处理速度带来的延时,会在一定程度上减弱网络性能。
如果有种技术或者有种设备可以解决这个矛盾的问题就可以让我们网络的性能得到很大的提高。
二、一家公司,有财务部、技术部和销售部,早期,三个部门的办公用计算机都通过楼层交换机联入公司的网络中。可以设想这样一种情况,在这样的一个互连互通、毫无安全性的交换网络环境中,三个部门的办公PC可以相互之间随意访问。结果每月的财务报表被全公司的人传阅、销售部的客户名单流入到了心怀叵测的员工手中、技术部关于公司产品的核心技术资料被所有员工看到……这是一件非常可怕的事情。如何解决这个问题呢?
1、这三个部门的计算机独立组网,不与公司网络相连?
2、使用路由器隔开三个部门的网段,然后使用访问列表来控制访问?
VLAN技术可以解决上述的安全性和网络性能的问题。VLAN技术可以使二层设备具有
三层设备隔离广播的功能,而且可以阻隔不同VLAN成员之间的互访。以CISCO catalyst交换机为例。当交换机定义好一个VLAN,然后为其添加了接口,那么那些指定接口就成为该VLAN的成员,如下图:在一台CISCO catalyst 1900交换机上,被划分了两个VLAN(左边是会计VLAN,右边是管理VLAN)
交换机的端口1到端口1 3分配给会计V L A N,端口1 3至端口2 4分配给管理V L A N.由于交换机不允许广播在V L A N之间传送,所以交换机相当于对图中的网络进行了逻辑分段。
如果工作站A向网络中发送了一个广播,那么在会计V L A N上的所有工作站都接收到这个广播。但交换机不会将广播发送至管理V L A N上的任何一个端口。事实上,二层交换机不会从一个V L A N向另外一个的V L A N发送帧,如果确实有这个必要,则可以考虑使用路由器或者多层交换机来使不同VLAN间可以互相通信。
不同的VLAN,我们可以把它们看成两个无论是逻辑上还是物理上都是相互独立的两个网段,对于这样两个网段之间,如果需要有流量通过,那么最好的解决办法就是通过第三层寻址方式来使他们互通。
在划分VLAN时注意的问题:
1、不同厂商设备划分的VLAN可能不兼容;
2、在定义好VLAN后,记得把相应的接口成员添加到VLAN中,否则VLAN无效
在做同一VLAN跨越多个交换机的时候注意的问题:
1、trunk要打开
2、VLAN号必须对应 |
