虚拟局域网
虚拟局域网
编辑锁定
本词条由“科普中国”百科科学词条编写与应用工作项目审核。
VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置
的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们
在同一个网段中一样,由此得名虚拟局域网。VLAN是一种比较新的技术,工作在OSI参
考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层
的路由器来完成的。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点:网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
在计算机网络中,一个二层网络可以被划分为多个不同的广播域,一个广播域对应了
一个特定的用户组,默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要
通信,需要通过一个或多个路由器。这样的一个广播域就称为VLAN。
中文名
虚拟局域网
外文名
VLAN
协议
802.1Q
硬件
交换机,路由器
目录
1. 1VLAN
2. ?目的
3. ?优点
4. ?安全
5. ?灵活性
1. 2组建
2. 3标准
3. 4技术
4. 5分类
1. 6常见应用
2. 7发展趋势
虚拟局域网VLAN
IEEE于1999年颁布了用于标准化VLAN实现方案的802.1Q协议标准草案。VLAN
技术的出现,使得管理员根据
Vlan网卡 Intel82573
实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限
制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减
少设备投资、简化网络管理、提高网络的安全性。
交换技术的发展,也加快了新的交换技术(VLAN)的应用速度。通过将企业网络划
分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。在共
享网络中,一个物理的网段就是一个广播域。而在交换网络中,广播域可以是有一组任意
选定的第二层网络地址(MAC地址)组成的虚拟网段。这样,网络中工作组的划分可以突破共享网络中的地理位置限制,而完全根据管理功能来划分。这种基于工作流的分组模式,大大提高了网络规划和重组的管理功能。在同一个VLAN中的工作站,不论它们实际与哪
个交换机连接,它们之间的通讯就好象在独立的交换机上一样。同一个VLAN中的广播只
有VLAN中的成员才能听到,而不会传输到其他的VLAN中去,这样可以很好的控制不必
要的广播风暴的产生。同时,若没有路由的话,不同VLAN之间不能相互通讯,这样增加
了企业网络中不同部门之间的安全性。网络管理员可以通过配置VLAN之间的路由来全面
管理企业内部不同管理单元之间的信息互访。交换机是根据工作站的MAC地址来划分VLAN的。所以,用户可以自由的在企业网络中移动办公,不论他在何处接入交换网络,
他都可以与VLAN内其他用户自如通讯。
VLAN网络可以是有混合的网络类型设备组成,比如:10M以太网、100M以太网、
令牌网、FDDI、CDDI等等,可以是工作站、服务器、集线器、网络上行主干等等。
VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网
络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的
互相访问。
物理位置不同的多个主机如果划分属于同一个VLAN,则这些主机之间可以相互通信。物理位置相同的多个主机如果属于不同的VLAN,则这些主机之间不能直接通信。VLAN
通常在交换机或路由器上实现,在以太网帧中增加VLAN标签来给以太网帧分类,具有相
同VLAN标签的以太网帧在同一个广播域中传送。
VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
虚拟局域网目的
VLAN(Virtual Local Area Network,虚拟局域网)的目的非常的多。通过认识VLAN的本质,将可以了解到其用处究竟在哪些地方。
第一,要知道192.168.1.2/30和192.168.2.6/30都属于不同的网段,都必须要通过路由器才能进行访问,凡是不同网段间要互相访问,都必须通过路由器。
第二,VLAN本质就是指一个网段,之所以叫做虚拟的局域网,是因为它是在虚拟的路由器的接口下创建的网段。
下面,给予说明。比如一个路由器只有一个用于终端连接的端口(当然这种情况基本不可能发生,只不过简化举例),这个端口被分配了192.168.1.1/24的地址。然而由于公司有两个部门,一个销售部,一个企划部,每个部门要求单独成为一个子网,有单独的服务器。那么当然可以划分为192.168.1.0--127/25、192.168.1.128--255/25。但是路由器的物理端口只应该可以分配一个IP地址,那怎样来区分不同网段了?这就可以在这个物理端口下,创建两个子接口---逻辑接口实现。
比如逻辑接口F0/0.1就分配IP地址192.168.1.1/25,用于销售部,而F0/0.2就分配IP地址192.168.1.129/25,用于企划部。这样就等于用一个物理端口却实现了两个逻辑接口的功能,这样就将原本只能划分一个网段的情形,扩展到了可以划分2个或者更多个网段的情形。这些网段因为是在逻辑接口下创建的,所以称之为虚拟局域网VLAN。
这是在路由器的层次上阐述了VLAN的目的。
第三,将在交换机的层次上阐述VLAN的目的。
在现实中,由于很多原因必须划分出不同网段。比如就简单的只有销售部和企划部两个网段。那么可以简单的将销售部全部接入一个交换机,然后接入路由器的一个端口,把企划部全部接入一个交换机,然后接入一个路由器端口。这种情况是LAN。然而正如上面所说,如果路由器就一个用于终端的接口,那么这两个交换机就必须接入这同一个路由器的接口,这个时候,如果还想保持原来的网段的划分,那么就必须使用路由器的子接口,创建VLAN.
同样,比如两个交换机,如果你想要每个交换机上的端口都分别属于不同的网段,那么你有几个网段,就提供几个路由器的接口,这个时候,虽然在路由器的物理接口上可以定义这个接口可以连接哪个网段,但是在交换机的层次上,它并不能区分哪个端口属于哪
个网段,那么唯一实现能区分的方法,就是划分VLAN,使用了VLAN就能区分出某个交
换机端口的终端是属于哪个网段的。
综上,当一个交换机上的所有端口中有至少一个端口属于不同网段的时候,当路由器
的一个物理端口要连接2个或者以上的网段的时候,就是VLAN发挥作用的时候,这就是VLAN的目的。
虚拟局域网优点
限制网络上的广播,将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN
分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制,防止交换网络
的过量广播。使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播不会送到VLAN
之外。同样,相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量,释放
带宽给用户应用,减少广播的产生。
虚拟局域网安全
增强局域网的安全性,含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄
露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用
户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器
或三层交换机等三层设备。
成本高昂的网络升级需求减少,现有带宽和上行链路的利用率更高,因此可节约成本。
将第二层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并
提高性能。
VLAN为网络管理带来了方便,因为有相似网络需求的用户将共享同一个VLAN。
VLAN 将用户和网络设备聚合到一起,以支持商业需求或地域上的需求。通过职能划分,项目管理或特殊应用的处理都变得十分方便,例如可以轻松管理教师的电子教学开发
平台。此外,也很容易确定升级网络服务的影响范围。
虚拟局域网灵活性
借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的
网络环境,就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站
地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分
管理费用大大降低。
虚拟局域网组建
VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这
时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成,同时还严格限制了用户数量。
虚拟局域网标准
按端口划分VLAN
许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。
但是,这种划分模式将虚拟网限制在了一台交换机上。
第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机
上的若干个端口可以组成同一个虚拟网。
以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据
端口来划分VLAN的方式仍然是最常用的一种方式。
按MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的
主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时,
即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必
须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法
也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组
的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡
可能经常更换,这样,VLAN就必须不停地配置。
按网络层划分
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划
分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由
毫无关系。
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以
根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的
帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间
的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,
但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
按IP组播划分
IP组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分
的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路
由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
基于规则的
也称为基于策略的VLAN。这是最灵活的VLAN划分方法,具有自动配置的能力,能
够把相关的用户连成一体,在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中
确定划分VLAN的规则(或属性),那么当一个站点加入网络中时,将会被“感知”,并被
自动地包含进正确的VLAN中。同时,对站点的移动和改变也可自动识别和跟踪。
采用这种方法,整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持
一个端口上的主机分别属于不同的VLAN,这在交换机与共享式Hub共存的环境中显得尤
为重要。自动配置VLAN时,交换机中软件自动检查进入交换机端口的广播信息的IP源地址,然后软件自动将这个端口分配给一个由IP子网映射成的VLAN。
按用户划分
基于用户定义、非用户授权来划分VLAN,是指为了适应特别的VLAN网络,根据具
体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可以加入一个VLAN。
以上划分VLAN的方式中,基于端口的VLAN端口方式建立在物理层上;MAC方式
建立在数据链路层上;网络层和IP广播方式建立在第三层上。
对VLAN的标准,我们只是介绍两种比较通用的标准,当然也有一些公司具有自己的
标准,比如Cisco公司的ISL标准,虽然不是一种大众化的标准,但是由于Cisco
Catalyst交换机的大量使用,ISL也成为一种不是标准的标准了。
· 802.10标准
在1995年,Cisco公司提倡使用IEEE802.10协议。在此之前,IEEE802.10曾经在
全球范围内作为VLAN安全性的同一规范。Cisco公司试图采用优化后的802.10帧格式在
网络上传输FramTagging模式中所必须的VLAN标签。然而,大多数802委员会的成员
都反对推广802.10。因为,该协议是基于FrameTagging方式的。
· 802.1Q
在1996年3月,IEEE802.1Internetworking委员会结束了对VLAN初期标准的修订工作。新出台的标准进一步完善了VLAN的体系结构,统一了Frame-Tagging方式中不同厂商的标签格式,并制定了VLAN标准在未来一段时间内的发展方向,形成的802.1Q的标准在业界获得了广泛的推广。它成为VLAN史上的一块里程碑。802.1Q的出现打破了虚拟网依赖于单一厂商的僵局,从一个侧面推动了VLAN的迅速发展。另外,来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。
802.1Q帧格式:
现在使用最广泛的VLAN协议标准是 IEEE 802.1Q,许多厂家的交换机/路由器产品都支持IEEE 802.1Q标准。
IEEE 802.1Q标准的VLAN帧格式
802.1Q Tag的长度是4 bytes,它位于以太网帧中源MAC地址和长度/类型之间。802.1Q Tag包含4个字段。
?Type:长度为2 bytes,表示帧类型,802.1Q tag帧中Type字段取固定值0x8100,如果不支持802.1Q的设备收到802.1Q帧,则将其丢弃。
?PRI:priority字段,长度为3 bit,表示以太网帧的优先级,取值范围是0~7,数值越大,优先级越高。当交换机/路由器发生传输拥塞时,优先发送优先级高的数据帧。
?CFI:Canonical Format Indicator,长度为1bit,表示MAC地址是否是经典格式。CFI为0说明是经典格式,CFI为1表示为非经典格式。该字段用于区分以太网帧、FDDI帧和令牌环网帧,在以太网帧中,CFI取值为0。
?VID:VLAN ID,长度为12 bit,取值范围是0~4095,其中0和4095是保留值,不能给用户使用。
· Cisco ISL 标签
ISL(Inter-Switch Link)是Cisco公司的专有封装方式,因此只能在Cisco的设备上支持。ISL是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个
VLAN信息及VLAN数据流的协议,通过在交换机直接的端口配置ISL封装,即可跨越交换机进行整个网络的VLAN分配和配置。
划分策略
从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:
基于端口
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
基于MAC地址
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一且固化在网卡上的。MAC地址是由6个字节的16进制数(48位)表示,前3个字节(24位)为网卡的厂商标识(OUI),后3个字节(24位)为网卡标识(NIC)。网络管理员可按MAC
地址把一些站点划分为一个逻辑子网。
基于路由
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。
虚拟局域网技术
局域网的发展是VLAN产生的基础,所以在介绍VLAN之前,我们先来了解一下局域网的有关知识。
局域网(LAN)通常是一个单独的广播域,主要由Hub、网桥或交换机等网络设备连接同一网段内的所有节点形成。处于同一个局域网之内的网络节点之间可以直接通信,而处于不同局域网段的设备之间的通信则必须经过路由器才能通信。图1所示即为使用路由器构建的典型的局域网环境。
随着网络的不断扩展,接入设备逐渐增多,网络结构也日趋复杂,必须使用更多的路由器才能将不同的用户划分到各自的广播域中,在不同的局域网之间提供网络互联。
但这样做存在两个缺陷:
首先,随着网络中路由器数量的增多,网络延时逐渐加长,从而导致网络数据传输速度的下降。这主要是因为数据在从一个局域网传递到另一个局域网时,必须经过路由器的路由操作:路由器根据数据包中的相应信息确定数据包的目标地址,然后再选择合适的路径转发出去。
其次,用户是按照它们的物理连接被自然地划分到不同的用户组(广播域)中。这种分割方式并不是根据工作组中所有用户的共同需要和带宽的需求来进行的。因此,尽管不同的工作组或部门对带宽的需求有很大的差异,但它们却被机械地划分到同一个广播域中争用相同的带宽。
虚拟局域网分类
定义VLAN成员的方法有很多,由此也就分成了几种不同类型的VLAN。
基于端口的VLAN
基于端口的VLAN的划分是最简单、有效的VLAN划分方法,它按照局域网交换机端口来定义VLAN成员。VLAN从逻辑上把局域网交换机的端口划分开来,从而把终端系统划分为不同的部分,各部分相对独立,在功能上模拟了传统的局域网。基于端口的VLAN 又分为在单交换机端口和多交换机端口定义VLAN两种情况:
多交换机端口定义VLAN
如图3所示,交换机1的1、2、3端口和交换机2的4、5、6端口组成VLAN1,交换机1的4、5、6、7、8端口和交换机2的1、2、3、7、8端口组成VLAN2。
单交换机端口定义VLAN
如图2所示,交换机的1、2、6、7、8端口组成VLAN1,3、4、5端口组成了VLAN2。这种VLAN只支持一个交换机。
基于端口的VLAN的划分简单、有效,但其缺点是当用户从一个端口移动到另一个端
口时,网络管理员必须对VLAN成员进行重新配置。
基于MAC地址的VLAN
基于MAC地址的VLAN是用终端系统的MAC地址定义的VLAN。MAC地址其实就
是指网卡的标识符,每一块网卡的MAC地址都是唯一的。这种方法允许工作站移动到网
络的其他物理网段,而自动保持原来的VLAN成员资格。在网络规模较小时,该方案可以
说是一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上
加大管理的难度。
基于路由的VLAN
路由协议工作在7层协议的第3层—网络层,比如基于IP和IPX的路由协议,这类
设备包括路由器和路由交换机。在按IP划分的VLAN中,很容易实现路由,即将交换功能和路由功能融合在VLAN交换机中。这种方式既达到了作为VLAN控制广播风暴的最基本
目的,又不需要外接路由器。但这种方式对VLAN成员之间的通信速度不是很理想。
基于策略的VLAN
基于策略的VLAN的划分是一种比较有效而直接的方式,主要取决于在VLAN的划分中所采用的策略。
虚拟局域网常见应用
Port vlan与Tag vlan
port vlan 基于端口的VLAN,处于同一VLAN端口之间才能相互通信。
tag vlan 基于IEEE 802.1Q(vlan标准),用VID(vlan id)来划分不同的VLAN
基于端口的VLAN优缺点
基于端口的VLAN,简单的讲就是交换机的一个端口就是一个虚拟局域网,凡是连接
在这个端口上的主机属于同个虚拟局域网之中。基于端口的VLAN的优点为:由于一个端
口就是一个独立的局域网。所以,当数据在网络中传输的时候,交换机就不会把数据包转
发给其他的端口,如果用户需要将数据发送到其他的虚拟局域网中,就需要先由交换机发
往路由器再由路由器发往其他端口;同时以端口为中心的VLAN中完全由用户自由支配端口,无形之中就更利于管理。但是美中不足的是以端口为中心的VLAN,当用户位置改变时,往往也伴随着用户位置的改变而对网线也要进行迁移。如果不会经常移动客户机的话,采用这一方式倒也不错。
静态VLAN的优缺点
可以说静态VLAN与基于端口的VLAN有一丝相似之处,用户可在交换机上让一个或多个交换机端口形成一个略大一些的虚拟局域网。从一定意义上讲静态虚拟局域网在某些
程度上弥补了基于端口的虚拟局域网的缺点。缺陷方面,静态VLAN虽说是可以使多个端
口的设置成一个虚拟局域网,假如两个不同端口、不同虚拟局域网的人员聚到一起协商一
些事情,这时候问题就出现了,因为端口及虚拟局域网的不一致往往就会直接导致某一个
虚拟局域网的人员就不能正常的访问他原先所在的VLAN之中(静态虚拟局域网的端口在
同一时间只能属于同一个虚拟局域网),这样就需要网络管理人员随时配合及时修改该线
路上的端口。
动态VLAN的优缺点
与上面两种虚拟局域网的组成方式相比动态的虚拟局域网的优点真的是太多了。首先
它适用于当前的无线局域网技术,其次,当用户有需要时对工作基点进行移动时完全不用
担心在静态虚拟局域网与基于端口的虚拟局域网出现的一些问题在动态的虚拟局域网中出现,因为动态的虚拟局域网在建立初期已经由网络管理员将整个网络中的所有MAC地址
全部输入到了路由器之中,同时如何由路由器通过MAC地址来自动区分每一台电脑属于
那一个虚拟局域网,之后将这台电脑连接到对应的虚拟局域网之中。说起缺点,动态的虚
拟局域网的缺点跟本谈不上缺点,只是在VLAN建立初期,网络管理人员需将所有机器的MAC进行登记之后划分出MAC所对应的机器的不同权限(虚拟局域网)即可。
虚拟局域网发展趋势
在宽带网络中实现的VLAN基本上能满足广大网络用户的需求,但其网络性能、网络
流量控制、网络通信优先级控制等还有待提高。前面所提到的VTP技术、STP技术,基
于三层交换的VLAN技术等在VLAN使用中存在网络效率的瓶颈问题,这主要是
IEEE802.1Q、IEEE802.1D协议的不完善所致,IEEE正在制定和完善IEEE802.1S (Multiple Spanning Trees)和IEEE802.1W(Rapid Reconfiguration of Spanning Tree)来改善VLAN的性能。采用IEEE802.3z和IEEE802.3ab协议,并结合使用RISC(精简
指令集计算)处理器或者网络处理器而研制的吉位VLAN交换机在网络流量等方面采取了
相应的措施,大大提高了VLAN网络的性能。IEEE802.1P协议提出了COS(Class of Service)标准,这使网络通信优先级控制机制有了参考。
划分实例
对于每个公司而言都有自己不同的需求,下面我们给出一个典型的公司的VLAN的实例,这样也可以成为我们以后为公司划分VLAN的依据。
某公司有工程部、销售部、财务部。VLAN的划分:工程部VLAN10,销售部
VLAN20,财务部VLAN30,并且各部门还可以相互通讯。现有设备如下:Cisco 3640路
由器,Cisco Catalyst 2924交换机一台,二级交换机若干台。
交换机配置文件中的部分代码如下:……
!
interface vlan10
ip address 192.168.0.1
!
interface vlan20
ip address 192.168.1.1
!
interface vlan30
ip address 192.168.2.1
!
……
路由器配置文件中的部分代码如下:……
interface FastEthernet 1/0.1 encapsulation isl 10
ip address 192.168.0.2
!
interface FastEthernet 1/0.2 encapsulation isl 20
ip address 192.168.1.2
!
interface FastEthernet 1/0.3 encapsulation isl 30
ip address 192.168.2.2
!
……
!
router rip
network 192.168.0.0
!
【交换机的端口工作模式的利用】
交换机的端口工作模式通常可以分为三种,它们分别为Access模式、Multi模式、Trunk模式。允许多个vlan的是multi模式,而不是trunk模式。Access模式的交换端口往往只能属于1个VLAN,通常用于连接普通计算机的端口;Trunk模式的交换端口可以属于多个VLAN,能够发送和接收多个VLAN的数据报文,通常使用在交换机之间的级联端口上;multi模式的交换端口可以属于多个VLAN,能够发送和接受多个VLAN的数据报文,可以用于交换机之间的连接,也可以用于连接普通计算机的端口,所以access和trunk没有可比性。三种模式的交换端口能够共同使用在相同的一台交换机中,不过Trunk 模式的交换端口和multi模式的交换端口相互之间不能直接切换,往往只能先将交换端口设置为Access模式,之后再设置为其他模式。
拓扑试验
实验:划分VLAN
实验目的
通过本实验,读者可以掌握如下技能:
(1)熟悉VLAN 的创建
(2)把交换机接口划分到特定VLAN
实验拓扑
vlan试验拓扑图(1张)
实验拓扑图
互联方式
(1)边界路由。(2)“独臂”路由。(3)MPOA路由。(4)第三层交换。
虚拟局域网的组网方式及工作特点
计算机网络结课论文 姓名: 院系: 班级: 学号: 课题: 虚拟局域网的组网方式及工作特点 概述: 虚拟局域网(Virtual Local Area Network,简称VLAN)是为解决以太网的广播风暴问题和安全性而提出的一种技术。它以局域网交换机为基础,通过交换机软件实现 根据功能、部门、应用等因素将设备或用户组成虚拟工作组或逻辑网段的技术.最 大特点是在组成逻辑网时无须考虑用户或设备在网络中的物理位置。 关键词: 虚拟局域网(VLAN)组网方式静态VLAN 动态VLAN MAC 正文: (一)VLAN的概念 VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,VLAN之间的通信是通过第3层的路由器来完成的。 (二)虚拟局域网的组网方式 组建VLAN的条件: VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这是就需要增加路由设备—要实现路由功能,既可采用路由器,也可采用三层交换机来完成。同时还严格限制了用户数量。 VLAN的划分可以是事先固定的、也可以是根据所连的计算机而动态改变设定。前者被称为“静态VLAN”、后者自然就是“动态VLAN”了。 1.静态VLAN 静态VLAN又被称为基于端口的VLAN(Port Based VLAN)。顾名思义,就是明确规定各端口属于哪个VLAN的设定方法 由于需要一个个端口地指定,因此当网络中的计算机数目超过一定数字(比如数百台)后,设定操作就会变得烦杂无比。并且,客户机每次变更所连端口,都必须同时更改该端口所属VLAN的设定——这显然不适合那些需要频繁改变拓补结构的网络。我们现在所实现的VLAN配置都是基于端口的配置,因为我们只是支持二层交换,端口数目有限一般为4和8个端
#虚拟局域网vlan基本知识
Vlan: Vlan是一种通过将局域网内的设备逻辑的划分成多个互不相干的子网络 可以防止网络风暴的发生对整个网络造成危害,就是分隔广播域,分隔广播域有两种方法。 1)物理分隔,使用能隔离广播的路由设备将不同的网络连接起来实现通信 2)逻辑分隔,使用Vlan技术把网络从逻辑上分成若干个广播域 但是使用物理分隔有很多缺点,缺乏灵活性,不能将连接在不同交换机上的用户划分到一个网络中。 而通过Vlan可以弥补这一缺陷,因为在每个Vlan中的所有用户同属一个广播域,而且还可以跨交换机实现。 Vlan具有灵活性和可扩展性等特点,Vlan的优势有以下几点: 1)控制广播: 每个Vlan都是一个独立的广播域,可以减少广播对网络带宽的占用,提高传输速率,防止网络风暴对整个网络造成危害。 2)增强网络安全性: 不同的Vlan之间不可能直接访问,因此可以限制个别主机访问服务器等资源,从而提高网络安全。 3)简化网络管理: 如果对某些用户重新进行网段分配时,不需要在物理结构上重新进行调整,通过Vlan可以把不同地理位置上的用户划分到一个逻辑网络中,不用改动物理网络,从而减轻网络管理和维护工作的负担。 Vlan的种类: 根据Vlan的使用和管理的不同,可以把Vlan分为两种,静态Vlan和动态Vlan。 1)静态Vlan: 目前最常见的Vlan实现方式,针对端口的,需要手工把端口加入到Vlan中,当主机连接到该端口时,就被分配到了相应的Vlan中,静态Vlan只对本地生效,交换机不共享这一信息。 2)动态Vlan: 实现动态Vlan有多种方法,普遍的是基于MAC地址的动态Vlan,优点是当用户从一台交换机移动到另一交换机时,Vlan不用重新进行配置,缺点就是初始化时所有的用户都必须重新进行配置,不适用于大型网络。 静态Vlan的配置: 1)Vlan范围: 0、4095为保留,仅限系统使用,不能查看和使用 1 为正常,默认的VLAN,能使用,但不能删除 2 ~ 1001为正常,用于以太网的VLAN,可以创建、使用和删除 1002~1005正常,用于FDDI和令牌环的Cisco默认VLAN,不能删除2)Vlan的基本配置步骤: 创建Vlan。 将交换机的商品加入到相应的Vlan中。 验证Vlan。
虚拟局域网的工作原理
虚拟局域网的工作原理 VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。有一个重要问题不可回避:VLAN之间如何通信?显然不能再通过第2层交换机。那样的话,广播域又合并到一起了,其必经之路是路由器。这样的结果是,本来企图通过VLAN的划分,来使用交换机代替路由器组建大型网络,以提高网络的性能,可是又回到路由器上来了,这就是VLAN的一大矛盾。 目前,VLAN之间的通讯大多是通过中心路由器完成的。这也是保证VLAN 组网灵活性的惟一办法。所有的VLAN都经过中心路由器(当然可以配置备份的中心路由器),也就是所有的广播都经过中心路由器,这样中心路由器就承受了更大的压力。当VLAN之间的通讯量较大时,中心路由器就成了网络的瓶颈,并且一旦中心路由器失效,所有VLAN之间的通讯将无法进行。这是VLAN存在的另一个矛盾 多个VLAN可不可以处于同一个网段中。这个的答案是可以的。无论按照何种VLAN划分方法,多个VLAN完全可以处于同一个网段中。多VLAN通信问题,如果多VLAN处于同一个网段中(可以想象一个A类地址),他们之间显然在二层是不能通信的,这个就是VLAN隔离。要使这些VLAN能够进行通信,必须为这些VLAN建立路由。 VLAN,是英文Virtual Local Area Network的缩写,中文名为"虚拟局域网",VLAN是一种将局域网(LAN)设备从逻辑上划分(注意,不是从物理上划分)成一个个网段(或者说是更小的局域网LAN),从而实现虚拟工作组(单元)的数据交换技术。VLAN这一新兴技术主要应用于交换机和路由器中,但目前主流应用还是在交换机之中。不过不是所有交换机都具有此功能,只有三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。VLAN 的好处主要有三个: (1)端口的分隔。即便在同一个交换机上,处于不同VLAN的端口也是不能通信的。这 样一个物理的交换机可以当作多个逻辑的交换机使用。 (2)网络的安全。不同VLAN不能直接通信,杜绝了广播信息的不安全性。 (3)灵活的管理。更改用户所属的网络不必换端口和连线,只更改软件配置就可以了。VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN 除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同
实验三-虚拟局域网配置
软件学院计算机网络课程实验报告 2013~2014学年第二学期2013 级软件工程专业 班级:学号:姓名: 实验三虚拟局域网配置 一、实验目的 1、掌握二层和三层交换机的基本操作 2、掌握VLAN的配置操作 二、实验环境 1.华为ENSP模拟器,PC机一台 三、实验资料 华为的ENSP可以模拟华为公司AR路由器、x7系列交换机的大部分特性,可以用来仿真局域网组建、虚拟局域网配置、各种路由(RIP、OSPF、BGP)配置、地址转换(静态、动态)配置、访问控制列表配置、虚拟专用网配置、小规模网络系统组建等实践任务,例如在“路由配置”的实践任务中,利用ENSP 模拟的路由器AR1220可以做基于OSPF的单区域、多区域的路由配置,甚至可以结合实际小型网络布局模拟实现拓展性的路由配置任务。ENSP也可以做多种协议数据包分析的实验(Sniffer和Wireshark协议是专业的协议分析软件),能够对IP、ICMP、ARP、TCP、UDP、RIP、OSPF、FTP、HTTP等网络课程中重要的协议数据包进行分析,支持多种平台环境。具体请参考华为官方网站。 另外的仿真软件还有例如Boson公司的Boson NetSim模拟工具,Cisco公司的Packet Tracer 仿真软件。 四、实验内容 1. VLAN的配置 虚拟设备:华为交换机S5700一台,PC机4台,拓扑结构如图3-1所示。
图3-1 VLAN配置的拓扑结构 方法:采用基于端口或者基于IP子网划分VLAN的方法。参考S5700产品文档。 要求:建立两个VLAN,例如VLAN10和VLAN20,每个VLAN里各包含两个端口,例:把学生楼交换机的千兆以太网端口GE 0/0/2、GE0/0/5划分到VLAN10中,把GE 0/0/6、GE 0/0/3 加入VLAN20中,并检查配置结果。 2.VLAN间的通信
vmware网络虚拟化学习知识汇总题库完整编辑
NSX 中的以下哪种集中安全保护形式负责提供统一恶意软件、防病毒和自检服务(正确) 在讨论新数据中心的设计时,您被要求确保某些特定网络相互隔离。如果不能使用VLAN,您需要更多地购买以下哪种硬件?(正确) NSX Edge 服务网关支持多种路由协议。以下哪些是NSX Edge 服务网关支持的路由协议?(请选择两项。)(正确) 如果未完全实现网络虚拟化,需要针对新计算机配置以下哪些物理网络配置任务?(请选择两项。)(正确)
您的经理要求您确定,与不使用VLAN 的网络设计相比,在使用VLAN 的网络设计中可以减少哪些硬件。以下哪几项符合条件?(请选择两项) 虚拟网络连接环境中可能使用了各种不同的技术。连接到Virtual Distributed Switch 的虚拟机可能需要与NSX 逻辑交换机上的虚拟机进行通信。利用以下哪项功能,可以在逻辑交换机上的虚拟机和分布式端口组上的虚拟机之间建立直接以太网连接?(正确) 您即将完成数据中心的配置文档,并且需要介绍与不支持中继或标记VLAN 的虚拟交换机上行链路相连接的物理交换机端口。这些端口是哪几种类型?(正确) 通过以下哪种物理网络连接设备,不同IP 子网的不同网段上的计算机可以相互进行通信?(正确)
实施第三方NSX 安全服务所采用的是以下哪种方法? 使用以下什么术语可以标识单台NSX 逻辑交换机? NSX 执行的其中一项主要功能是更新路由表和逻辑接口。以下哪个NSX 组件负责执行此任务? 推荐使用的NSX Controller 节点的最小数量是多少 NSX 逻辑路由器由两部分组成,这两部分是什么?(请选择两项。)
用SoftEther软件实现虚拟局域网游戏-第一版简明文档
用SoftEther软件实现虚拟局域网游戏 第一版,简明文档 局域网游戏(例如WAR3和CS的内网对战模式),只能在本网段使用,因此在已经做好宿舍网络隔离的住宿区,无法跨宿舍连接。为了方便同学使用,则需要使用软件建立虚拟网络,将不同网段的同学虚拟到相同的网络中进行娱乐。 解决方案:用SoftEther软件实现虚拟局域网功能 1.安装软件 首先要将SoftEther进行安装,过程很简单,只要一路“Next”就可以了。不过在服务器端(也就是公司那台有公网IP地址的机器),当安装过程中出现安装虚拟HUB和虚拟网卡的对话框时,要将它们全部勾选(图1),然后点击“Install”按钮进行安装。 图1 安装完毕后,重新启动电脑,此时点击桌面上生成的“SoftEther Connection Manager”图标。 ①依次打开“开始→所有程序→SoftEther”,找到“Softether Virtual HUB A dministration”选项将它打开。在出现的对话框中可不输入任何IP地址,只要将下方的
“This Computer(localhost)”勾选即可(图2)。点击“Connect”按钮后,会进入“Telnet”(远程终端模拟)模式窗口,在Password后输入自定义的密码,并用Confirmation 进行密码校验。 图2 ②紧接着会出现一个选项菜单(图3),作为一个私用的“HUB”,一定要建立起自己的账户与密码,这样才便于管理。菜单中的标号1是“用户管理”,这里我们选“1”,就可进行用户管理了。在Menu ID输入标号“2”,便可创建一个新用户。此时会出现一个创建新用户的菜单,分别在这里建立用户名,设定密码,随后一路狂敲回车,直至再次返回用户管理菜单,这样用户就成功创建了。再输入标号“9”退出HUB的设置。
毕业论文《虚拟局域网技术及应用》
北京邮电大学 毕业设计(论文) 虚拟局域网技术及应用 学生姓名: X X X 学号: 200601001 系部:计算机系 专业:计算机通信 班级: 063 指导老师:罗永昌助教
中国·北京 提交时间:2010年5月
摘要 虚拟局域网(VLAN),是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术,在功能和操作上和传统的LAN基本相同。虚拟局域网技术是目前网络界最热门的技术之一,也是交换网络中最重要的技术之一,它的出现是和局域网的交换技术的发展分不开的。VLAN的出现打破了传统网络的许多固有观念,使网络结构变得灵活、方便。 随着网络技术日新月异的发展,现代局域网已进入高速交换时代。以交换技术为基础产生的VLAN技术是一种新的热门技术,目前正在得到越来越广泛的应用从某种角度讲,VLAN技术己经成为现代大型局域网建设、管理和应用不可缺少的技术。研究VLAN技术的应用,对于网络的建设、管理和应用具有十分重要的意义。 关键词:虚拟局域网;技术;划分;应用;
Abstract The virtual local area network (VLAN), is one kind through is not physics divides local area network in equipment logic each one webpage to realize the hypothesized work team's emerging technology, in function and operation and traditional LAN basic same.The virtual local area network technology is one of present network most popular technologies, also is exchanges in the network one of most important technical, its appearance is and the local area network exchange technology development cannot separate.The VLAN appearance has broken traditional network many inherent ideas, causes the network architecture to become is
计算机网络原理 虚拟局域网的实现技术
计算机网络原理虚拟局域网的实现技术 虚拟局域网的概念是从传统局域网中引申出来的。因此,虚拟局域网在功能和操作上与传统局域网基本相同。虚拟局域网与传统局域网相比的主要区别在于虚拟局域网的组网方法与传统局域网不同。虚拟局域网的一组结点可以位于不同的物理网段上,但是并不受物理位置的束缚,相互之间的通信就像在同一个局域网中一样。虚拟局域网可以跟踪结点位置的变化,当结点的物理位置发生改变时,并不需要人工重新配置。所以,虚拟局域网的组网方法十分灵活。 因为交换技术涉及网络的多个层次,所以,虚拟网络也可以在网络的不同层次上实现。不同虚拟局域网组网方法的区别,主要表现在对虚拟局域网成员的定义方法上,通常有以下四种: 用交换机端口号定义虚拟局域网 早期的虚拟局域网大多都是根据局域网交换机的端口来定义虚拟局域网成员的。虚拟局域网从逻辑上把局域网交换机的端口划分为不同的虚拟子网,各个虚拟子网相对独立。如图5-10所示为其结构示意图。图中局域网交换机端口1、2、3、4、8组成VLAN1,端口5、6、7、9组成VLAN2。 图5-10 用局域网交换机端口号定义虚拟局域网 虚拟局域网也可以跨越多个交换机。如图5-11所示。局域网交换机1的端口1、2、3、4、8和局域网交换机2的端口2、3、4、7、8组成VLAN1,局域网交换机1的端口5、6、7、9和局域网交换机2的端口1、5、6、9组成VLAN2。 图5-11 用局域网交换机端口号定义虚拟局域网 用局域网交换机端口划分虚拟局域网是最常用的方法。但单纯用端口定义虚拟局域网时,不允许不同的虚拟局域网包含相同的物理网段或交换端口。即若一台交换机的一个端口属于VLAN1后,就不能再属于VLAN2。用端口定义虚拟局域网的主要缺点是:当用户从一个端口移动到另一个端口时,网络管理者必须对虚拟局域网成员进行重新配置。
vmware搭建虚拟局域网
vmware搭建虚拟局域网 在实际情况中,在没有现实地网络环境地情况下,常常需要模拟网络地环境,利用VMware可以模拟一个虚拟局域网地环境,本文中提及地局域网并不是物理上地局域网,而是指使用虚拟机搭建起来地虚拟局域网.该虚拟局域网可以供那些没有网络环境地读者来测试、实践书中所介绍地入侵与防御技术. 使用工具:VMware. 模拟环境:windows xp professional 一、工具介绍 VMware是一个“虚拟机”软件.它可以实现在一台机器上同时运行两个或更多地操作系统. 与“多启动”系统相比,VMware采用了完全不同地概念.一台主机在正常安装多系统后同一时刻只能运行一个系统,需要进行系统切换时必须重新启动计算机,而VMware则是真正“同时”在主系统地平台上运行多个操作系统,实现像标准Windows应用程序那样切换. 此外,使用VMware可以实现在一台计算机上架设一个局域网.可以在这个虚拟地局域网中进行网络测试. 二、VMware地获取 可以到VMware地官方网站“”下载最新版本地VMware,并在官方网站上注册获得一个免费使用三十天地序列号. 三、VMware地安装 安装VMware,此处过程略. 四、 VMware地配置与使用说明 1、首次运行VMware显示界面如图:
图1 此时,VMware相当于一台裸机,需要为其安装操作系统. 2、单击图中所示窗口中地“New Virtual Machine”按钮或者在“File”下拉菜单中选择“New Virtual Machine”,进入如图2所示地界面.
图2 3、单击“下一步”按钮后显示如图3所示地界面.
虚拟局域网(VLAN)技术及其应用论文
诚信承诺书 本人确信已完全了解学院制定并颁布实施的《学生学籍管理规定》、《考试纪律与违纪处理规定》、《毕业设计(论文)管理办法》和《毕业设计(论文)实施细则》中有关毕业设计(论文)之相关规定,对上述规定并无异议,并将自觉遵守。 本人郑重承诺计算机应用技术专业的毕业设计说明书(毕业论文)《虚拟局域网建设毕业论文》中,凡引用他人已经发表或未发表的成果、数据、观点等,均已明确注明并详细列出有关文献的名称、作者、年份、刊物名称和出版机构等内容;论文中的主要观点和思想系本人独立思考完成;本人在此申明愿承担与上述承诺相违背的事实所引起的一切不利后果。 签名: 200 年月日
摘要 本文主要从以太网的工作原理出发,由CSMA/CD冲突监测的载波侦听的工作机制引出传统使用集线器和二层交换机组网所产生的冲突域和广播域问题,为了解决这些问题,进而引出了三层交换机和VLAN(虚拟局域网)的概念。接着,对VLAN的各种特性分别进行了阐述,并结合实例说明了如何运用三层交换机创建VLAN的具体配置过程。从而可以得出VLAN技术是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术,是局域交换网的灵魂。 关键词:以太网、CSMA/CD冲突监测的载波侦听、冲突域、广播域、三层交换机、VLAN(虚拟局域网)
目录 第一章前言 (4) 第二章VLAN的发展过程 (5) 2.1、以太网的工作原理及三层交换的产生 (5) 2.2、VLAN的产生 (6) 第三章 VLAN的实际运用 (13) 3.1、VLAN的实现 (13) 3.2、如何配置三层交换机创建VLAN (13) 第四章 VLAN的实现与配置 (17) 4.1 VLAN实现过程 (17) 4.2校园网的IP地址分配与VLAN的规划 (18) 4.3 VLAN 的配置实例 (19) 4.3.1基于华为S3026的VLAN的配置 (20) 4.3.2基于华为Quidway S8016的VLAN配置 (23) 第5章 VLAN 之间的通信 (24) 5.1 通过路由器实现VLAN间的通信 (25) 5.1.1通过路由器的不同物理接口与交换机上的每个VLAN分别连接 (25) 5.1.2通过路由器的逻辑子接口与交换机的各个VLAN连接 (25) 5.2 用交换机代替路由器实现VLAN间的通信 (25) 第六章VALN的新用途 (25) 第七章结束语 (28) 参考文献 (29)
VLAN虚拟局域网和子网划分的区别(精解)
V L A N"虚拟局域网"和子网划分的区别这个理解,比如同一个交换机下的两种不同状态: 1、划分VLAN??,同一个交换机下分成两个VLAN,那么这两段之间通信必须要通过三层或路由,这两段之间的广播风暴是不通的。可视为两个单独的交换机。 2、划分子网,同一个交换机下划分了两个子网,所以两子网之间通信也要通过路由,但是由于这两个子网接在同一个交换机上,所以当出现广播时,所以的端口都要接收。因为广播风暴是工作在第二层。广播是以MAC地址为依据的,所以同一个交换机上所有的端口都要接收广播。。 3、子网划分是通过路由器才能形成的,没有路由器来分隔子网是没法进行子网划分的,VLAN是在交换机上划分多个VLAN,从而划分多个广播域,这有利于阻隔广播风暴的发生!!而且不同vlan间必须通过三层设备才能相互通信!!而使用划分子网,必须增加路由器,这样就增加了组网的成本!!使用vlan来可以节约成本!! 4、从某种意义上来说,划分VLAN是一个更好的方法。 如果你只靠子网来划分,你就会发现你的交换机端口上各个子网的数据在到处跑。。。。交换机上灯闪个不停。。 而划了VLAN,如果不属于这个VLAN的数据是不是乱发的,广播包是过来的, 这是硬件上做了处理。。 只靠子网来划分,你的电脑网卡还是会收到其他子网的数据,只是会在你的电脑上被拒绝,虽然被拒绝可是对你的电脑性能是有影响的。。 VLAN和IP子网是局域网里的两个法宝一定要掌握。。。这样你才能得心应用的管理你的管理。规划。。 一、VLAN VLAN(VirtualLocalAreaNetwork)的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。 VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。? VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
专用虚拟局域网技术与应用
专用虚拟局域网(PVLAN )技术与应用 前言 交换机是网络的核心设备之一,其技术发展非常迅速,从10Mbit/s 以太网、100Mbit/s 快速以太网,进而发展到吉比特和10 吉比特以太网。交换机在通信领域和企业中的应用向纵深发展,网络管理人员对掌握专用虚拟局域网PVLAN 技术的需求也越来越迫切。本文通过实践经验对这方面的应用进行总结。 VLAN的局限性 随着网络的迅速发展,用户对于网络数据通信的安全性提出了更高的要求,诸如防范黑客攻击、控制病毒传播等,都要求保证网络用户通信的相对安全性;传统的解决方法是给每个客户分配一个VLAN和相关的IP子网,通过使用VLA N每个客户被从第2层隔离开,可以防止任何恶意的行为和 Ethernet的信息探听。然而,这种分配每个客户单一VLAN和IP 子网的模型造成了巨大的可扩展方面的局限。这些局限主要有下述几方面。 (1)VLAN的限制:交换机固有的VLAN数目的限制; (2)复杂的STP对于每个VLAN每个相关的Spanning Tree的拓扑都需要管理; (3)IP 地址的紧缺:IP 子网的划分势必造成一些IP 地址的浪费; (4)路由的限制:每个子网都需要相应的默认网关的配置。 PVLAN技术 现在有了一种新的VLAN机制,所有服务器在同一个子网中,但服务器只能与自己的默 认网关通信。这一新的VLAN特性就是专用VLAN( Private VLAN )。在Private VLAN 的概念中,交换机端口有三种类型:Isolated port ,Community port, Promisc-uous port ;它们分别对应不同的VLAN 类型:Isolated port 属于Isolated PVLAN ,Community port 属于Community PVLAN,而代表一个Private VLAN 整体的是Primary VLAN,前面两类VLAN需要和它绑定在一起,同时它还包括Promiscuous port。在Isolated PVLAN中, Isolated port 只能和Promiscuous port 通信,彼此不能交换流量;在Community PVLAN中, Community port 不仅可以和Promiscuous port 通信,而且彼此也可以交换流量。Promiscuous port 与路由器或第3层交换机接口相连, 它收到的流量可以发往Isolated port 和Community port 。PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的,用户只需与自己的默认 网关连接,一个PVLAN不需要多个VLAN和IP子网就提供了具备第2层数据通信安全性的连接,所有的用户都接入PVLAN从而实现了所有用户与默认网关的连接,而与PVLAN内的 其他用户没有任何访问。PVLAN功能可以保证同一个VLAN中的各个端口相互之间不能通信,但可以穿过Trunk端口。这样即使同一VLAN中的用户,相互之间也不会受到广播的影响。 PVLAN的配置步骤 1 ) Put switch in VTP transparent mode
实验一 构建虚拟局域网
实验一构建虚拟局域网 一、实验目的 1.网网络安全测试座准备 2.网络安全实验可能对系统具有一定的破坏性,虚拟局域网可以保护物理主机和网络的安全。 3.可以实现一台主机上同时运行多个操作系统,以及一些其他的操作功能。 二、实验要求 1.准备两台装有Windows xp操作系统的台式机。 2.提前做好虚拟局域网“预习”或对有关内容进行一些了解。 三、实验内容及步骤 SoftEther是一个免费的虚拟网卡软件,能够模拟以太网卡的工作顺序,并能模拟HUB功能。 Step1:双击SoftEthernet安装文件HA-SoftEther-CHX.exe,出现如图1所示窗口,一直单击下一步。 图1 Step2:在图2中选择选择简体中文。
图2 Step3:在图3中复选第一项,如果是总部服务器必须复选第二项,其他分支机构服务器没有必要安装第二项。单击“安装”。 图3 Step4:出现图4窗口表明虚拟网卡已经安装成功,在“控制面板”下的“网络连接”已多出一个断开的名为“SoftEther Virtual LAN Connection”的连接。单击“SoftEther虚拟网卡核心服务”中的“开始”按钮启动虚拟网卡核心服务。如果是总部服务器,还要再启动“SoftEther 虚拟HUB服务”。单击“退出Soft ether设置”。(此步也可以在以后重新设置)。
图4 Step5:SoftEher安装完成之后要进行“虚拟HUB”的设置(仅总部服务器需要)。单击桌面“开始”—“所有程序”—“SoftEther”—“SoftEther虚拟HUB 管理器”,出现如图5所示窗口。此处默认连接到本地计算机Localhost,当然,也可输入远程IP地址如:202.98.168.10。单击“连接”。
虚拟局域网的组网方式及工作特点
虚拟局域网的组网方式及工作特点
计算机网络结课论文 姓名: 院系: 班级: 学号: 课题: 虚拟局域网的组网方式及工作特点 概述: 虚拟局域网(Virtual Local Area Network,简称VLAN)是为解决以太网的广播风暴问 题和安全性而提出的一种技术。它以局域 网交换机为基础,通过交换机软件实现根据 功能、部门、应用等因素将设备或用户组成 虚拟工作组或逻辑网段的技术.最大特点是 在组成逻辑网时无须考虑用户或设备在网 络中的物理位置。 关键词: 虚拟局域网(VLAN)组网方式静态VLAN 动态VLAN MAC 正文: (一)VLAN的概念 VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个
网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,VLAN之间的通信是通过第3层的路由器来完成的。 (二)虚拟局域网的组网方式 组建VLAN的条件: VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN 技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这是就需要增加路由设备—要实现路由功能,既可采用路由器,也可采用三层交换机来完成。同时还严格限制了用户数量。 VLAN的划分可以是事先固定的、也可以是根据所连的计算机而动态改变设定。前者被称为“静态VLAN”、后者自然就是“动态VLAN”了。 1.静态VLAN 静态VLAN又被称为基于端口的VLAN (Port Based VLAN)。顾名思义,就是明确规
实验6-虚拟局域网的配置(参考答案)
实验6 虚拟局域网的配置和应用 一实验目的 了解端口VLAN(port VLAN)的功能和配置方法,熟悉端口VLAN的应用。本实验将在一台交换机上实现VLAN的划分。 二实验要求 1. 设备要求:计算机2台(装有Windows 2000/XP/2003操作系统、装有网卡),交 换机1台,UTP直通线2根,console电缆1根; 2. 每组2人,合作完成。 三实验预备知识 VLAN(Virtual Local Area Network)虚拟局域网是一种将局域网内的设备通过逻辑地划分成为一个个网段来进行管理的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准。 VLAN扩大了交换机的应用和管理功能。VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。 VLAN的最大特点是不受物理位置的限制,可以根据用户的需要进行灵活的划分。基于端口的VLAN划分方法是较为常用的,许多厂商的交换机产品都支持这一功能。本实验将在一台交换机上实现端口VLAN的划分,给学生一个从概念到应用的初步认识。 1. VLAN优点 使用VLAN具有以下优点: 分割广播域 一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。 提高网络整体安全性 通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。 网络管理简单、直观 对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN 技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。 2. VLAN的划分
VLAN虚拟局域网和子网划分的区别 精解
VLAN"虚拟局域网"和子网划分的区别 这个理解,比如同一个交换机下的两种不同状态: 1、划分VLAN??,同一个交换机下分成两个VLAN,那么这两段之间通信必须要通过三层或路由,这两段之间的广播风暴是不通的。可视为两个单独的交换机。 2、划分子网,同一个交换机下划分了两个子网,所以两子网之间通信也要通过路由,但是由于这两个子网接在同一个交换机上,所以当出现广播时,所以的端口都要接收。因为广播风暴是工作在第二层。广播是以MAC地址为依据的,所以同一个交换机上所有的端口都要接收广播。。 3、子网划分是通过路由器才能形成的,没有路由器来分隔子网是没法进行子网划分的,VLAN是在交换机上划分多个VLAN,从而划分多个广播域,这有利于阻隔广播风暴的发生!!而且不同vlan间必须通过三层设备才能相互通信!!而使用划分子网,必须增加路由器,这样就增加了组网的成本!!使用vlan来可以节约成本!! 4、从某种意义上来说,划分VLAN是一个更好的方法。 如果你只靠子网来划分,你就会发现你的交换机端口上各个子网
的数据在到处跑。。。。交换机上灯闪个不停。。 而划了VLAN,如果不属于这个VLAN的数据是不是乱发的,广播包是过来的, 这是硬件上做了处理。。 只靠子网来划分,你的电脑网卡还是会收到其他子网的数据,只是会在你的电脑上被拒绝,虽然被拒绝可是对你的电脑性能是有影响的。。 VLAN和IP子网是局域网里的两个法宝一定要掌握。。。这样你才能得心应用的管理你的管理。规划。。 一、VLAN VLAN(VirtualLocalAreaNetwork)的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。 VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。? VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLANID把用
专用虚拟局域网技术与应用实例讲解
专用虚拟局域网技术与应用实例讲解 作者:发文时间:2005.06.03 1 前言 交换机是网络的核心设备之一,其技术发展非常迅速,从10Mbit/s以太网、100Mbit/s 快速以太网,进而发展到吉比特和10吉比特以太网。交换机在通信领域和企业中的应用向纵深发展,网络管理人员对掌握专用虚拟局域网PVLAN技术的需求也越来越迫切。本文通过实践经验对这方面的应用进行总结。 2 VLAN的局限性 随着网络的迅速发展,用户对于网络数据通信的安全性提出了更高的要求,诸如防范黑客攻击、控制病毒传播等,都要求保证网络用户通信的相对安全性;传统的解决方法是给每个客户分配一个VLAN和相关的IP子网,通过使用VLAN,每个客户被从第2层隔离开,可以防止任何恶意的行为和Ethernet的信息探听。然而,这种分配每个客户单一VLAN和IP子网的模型造成了巨大的可扩展方面的局限。这些局限主要有下述几方面。 (1)VLAN的限制:交换机固有的VLAN数目的限制; (2)复杂的STP:对于每个VLAN,每个相关的Spanning Tree的拓扑都需要管理; (3)IP地址的紧缺:IP子网的划分势必造成一些IP地址的浪费; (4)路由的限制:每个子网都需要相应的默认网关的配置。 3 PVLAN技术 现在有了一种新的VLAN机制,所有服务器在同一个子网中,但服务器只能与自己的默认网关通信。这一新的VLAN特性就是专用VLAN(Private VLAN)。在Private VLAN的概念中,交换机端口有三种类型:Isolated port,Community port, Promiscuous port;它们分别对应不同的VLAN类型:Isolated port属于Isolated PVLAN,Community port属于Community PVLAN,而代表一个Private VLAN整体的是Primary VLAN,前面两类VLAN需要和它绑定在一起,同时它还包括Promiscuous port。在Isolated PVLAN中,Isolated port只能和Promiscuous port通信,彼此不能交换流量;在Community PVLAN中,Community port不仅可以和Promiscuous port通信,而且彼此也可以交换流量。Promiscuous port 与路由器或第3层交换机接口相连,它收到的流量可以发往Isolated port和Community port。PVLAN的应用对于保证接入网络的数据通信的安全性是非常有效的,用户只需与自己的默认网关连接,一个PVLAN
“局域网技术与组网工程”模拟题(2)及答案
“局域网技术与组网工程”模拟题(2)及答案第一部分选择题 一、单项选择题(本大题共20小题,每小题2分,共40分) 1.下列不属于局域网拓扑结构的是(D ) A.星型 B.环型 C.树型 D.不规则型 2.双绞线由两根具有绝缘保护层的铜导线按一定密度互相绞在一起组成,这样可(A) A.降低信号干扰的程度 B.降低成本 C.提高传输速度 D.没有任何作用 3.下列不属于10Base-T集线器接口的是(D ) A.AUI B. BNC C.RJ45 D. BUS 4.在局域网中,由PLS模块对帧进行数据编码,它采用(B ) A.不归零编码 B.曼彻斯特编码 C.差分曼彻斯特编码 D.归零编码 5.100Base-FX中多模光纤最长传输距离为(C ) A.500m B.1km C. 2km D. 40km 6.以下叙述错误的是(B ) A.快速以太网兼容10Base-T/FL方式 B.10Mb/s和100Mb/s自适应是为了系统的扩充性 C.10Mb/s和100Mb/s自适应是最大限度地保护了原来的投资 D.快速以太网包括100Mb/s和1000Nb/s以太网 7.使用了全双工以太网技术后,延伸网段距离上的得益者是(D ) A.10Base-T B.100Base-T2 C. 100Base-T4 D.100Base-FX 8. 以太网交换器中传输速度快,延迟时间短的结构为(B) A.软件执行交换结构 B.矩阵交换结构 C.总线交换结构 D.共享存储交换结构 9. 在FDDI中,数据编码采用_______编码(C )
A.曼彻斯特 B.差分曼彻斯特 B.4B/5B D.不归零 10. 下列不属于光纤分布式数据接口(FDDI)体系结构的是(C ) A.媒体访问控制(MAC) B.物理层协议(PHY) C.物理信令(PLS) D.物理媒体相关子层(PMD) 11. 能实现不同的网络层协议转换功能的互联设备是(C ) A.集线器 B.交换机 C.路由器 D.网桥 12.在数据包转发过程中,当TTL值减少到0时,这个数据包必须(B ) A.要求重发 B.丢弃 C.不考虑 D.接受 13.以下哪个不是路由器的功能(D ) A.安全性与防火墙 B.路径选择 C.隔离广播 D.第二层的特殊服务 14.在广域网中,使用L3技术的产品有(A ) A. Cisco公司的TagSwitching交换 B. Cisco公司的NetFlow交换 C. 3Com公司的FastIP D. Bay的IP路由交换机 15.建立虚拟局域网的交换技术一般包括_____、帧交换、信元交换三种方式。(D ) A.线路交换 B.报文交换 C.分组交换 D.端口交换 16.边界路由是指(C ) A.单独的一种路由器 B.次要的路由器 C.路由功能包含在位于主干边界的每一个LAN交换设备中 D.路由器放在主干网的外边 17.ATM采用了OSI的分层方法,各层相对独立,分为______、ATM层、ATM适配层和高层。(A ) A.物理层 B.数据链路层 C.网络层 D.传输层 18.在ATM交换机中属于空分交换结构的是(C ) A.共享存储 B.共享总线 C.循环 D.以上都不是
浅谈虚拟局域网技术及应用
浅谈虚拟局域网技术及应用 摘要:随着局域网规模的扩大、用户增多以及信息交换量大等原因,在网络改造中,采用 虚拟局域网技术对整个信息系统进行配置是一条有效地控制信息流量、提高网络安全性的可行之路。虚拟局域网(VLAN)是计算机网络中的重要技术。虚拟局域网在提高网络管理的效率、性能、带宽、灵活性等方面,都显示出很大优势。虚拟局域网的架构方式灵活多样,随着现代交换技术的发展,虚拟网技术必将得到普遍推广和应用。 关键字:虚拟局域网;广播风暴;网络安全 一. 引言 在传统局域网中,各站点共享传输信道所造成的信道冲突和广播风暴是影响网络性能的重要因素。为了解决这个问题,网桥和路由器被广泛应用于局域网中,由风格连接的网络属于同一个逻辑子网,具有相同的IP网络号或IPX网络号,路由器将不同逻辑子网连接在一起,逻辑子网间的通信必须经路由器进行。在传统局域网的体系结构中,由集线器,粗缆和细缆所构成的物理网络与逻辑子网相对应,通常一个IP子网或者IPX子网属于一个广播域,广播是根据物理网络来划分的,这样的网络结构无论从效率和安全性角度来考虑都有所欠缺,同时网络的结构也缺乏灵活性。为解决这个问题,提出了虚拟局域网(VLAN)的概念。 二. 虚拟局域网概述 虚拟局域网是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。虚拟网在物理网络基础架构上,利用交换机和路由器的功能,配置网络的逻辑拓扑结构,林而允许网络管理员任意地将一个局域网内的任何数量的网段聚合成一个用户组,就好像它们是一个单独的局域网。IEEE已经分布了用以标准化VLAN实现方案的802.1Q协议标准草案。 VLAN是为解决以太网的广播问题和安全性而提出的一种协议。它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围。一个VLAN 内部的广播和单播流量都不会转发到其他VLAN中去,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性并能够形成虚拟工作组,动态地管理网络。 VLAN对于网络用户来说是完全透明的,用户感觉不到使用中与交换式网络有任何的差别。但对于网络管理人员则有很大的不同,使网络管理人员能够方便地进行用户的增加、删除、移动等工作,提高的网络管理的效率。它主要有以下4点优势:控制网络中的广播风暴,提高了带宽传输效率;在同一个虚拟局域网成员之间提供低延迟、线速的通信;能够在网络内划分网段,提高网络分组的灵活性;通过路由访问列表、MAC地址分配等VLAN划分原则,可以控制用户的访问权限和逻辑网段的大小,提高了网络的整体性能和安全性。 三. 虚拟局域网技术的应用 由于虚拟局域网具有比较明显的住住优势,在各种企业中都有了很好的应用。下面根据不同的安全来分析虚拟局域网的应用情况。 (1)局域网内部的局域网 往往很多企业已经具有一个相当规模的局域网,但是现在企业内部因为保密或者其他原因,要求各业务部门或者课题组独立成为一个局域网。同时,各业务部门或者课题组的人员