【干货】VLAN基础知识笔记分享~~
VLAN基础
图11-1说明了第2层交换型网络的典型设计一平面型网络。在这种网络中,每台设备都能看到所有的广播分组,而不管它是否需要接收这些数据。
默认情况下,路由器只允许广播在始发网段中传输,而交换机将广播转发到所有网段。顺便说一句,这种网络之所以称为平面型网络,是因为它只有一个广播域,而不是因为其物理设计是平面的。在图11-1中,主机A发送广播后,所有交换机的所有端口都对其进行转发,接收广播的端口除外。
现在来看图11-2,这是一个交换型网络,其中的路由器发送一个帧,其目的地为主机D。正如你看到的,这里的重点在于,只将这个帧从主机D连接的端口转发出去了。除非你希望默认情况下只有一个冲突城(但可能性不大),通常说来,这相对于老式集线器网络是一项重大改进。
我们知道,第2层交换型网络的最大好处是,与每个交换机端口相连的每台设备都是一个独立的冲突域。这消除了以太网的密度约束,让你能够组建规模更大的网络。然而,每项新改进都会带来新问题,例如,网络包含的用户和设备越多,每台交换机需要处理的广播和分组就越多。
还存在另一个问题:安全。这是一个棘手的问题,因为在典型的第2层交换型互联网络中,默认情况下每位用户都能看到所有的设备。我们无法阻止设备发送广^播,也无法阻止用户试图对广播作出响应。这意味着可采取的唯一安全措施是,在服务器和其他设备上设置密码。
但请等一等,如果创建虚拟局城网(VLAN),还是有希望的。你马上就会看到,使用VLAN可解决第2层交换存在的众多问题。
下面简要地说明了VLAN简化网络管理的方式:
在网络中添加、移走和更换设备很容易,只需将端口加入合适的VLAN即可;
对于安全要求极高的用户,可将他们加入独立的VLAN,这样,其他VLAN中的用户将不能与他们通信;
作为用户逻辑编组,VLAN可独立于用户的地理位置;
VLAN极大地改善了网络安全;
VLAN增加了广播域的数量,同时缩小了广播域的规模。
接下来将全面介绍交换的特征,并详细描述为何交换机在现代网络中提供的网络服务优于集线器。
控制广播
每种协议都使用广播,但广播的频率取决于3个因素:
协议的类型; .
互联网络中运行的应用程序;
这些服务的使用方式。
开发人员对一些老式应用程序进行了重写,以降低其占用的带宽,但新一代应用程序在带宽方面非常贪婪,它们占用能找到的所有带宽。这些带宽贪婪者就是多媒体应用程序,它们大量使用广播和组播。这些广播密集型应用程序带来了很多问题,而不完善的设备、网段划分不充分、设计糟糕的防火墙让这些问题更加严重。所有这些因素给网络设计增添了新的变数,也让管理员面临一系列新的挑战。必须对网络进行正确的分段,以便能够快速隔离问题,防止它们传播到整个互联网络。为此,最有效的方式是使用交换和路由选择。
鉴于交换机日益便宜,很多公司都对其使用集线器的平面型网络进行了改进,将其改成纯粹的交换型网络和VLAN环境。在同一个VLAN中,所有设备都属于同一个广播域,接收其他设备发送的所有广播。默认情况下,这些广播不会通过连接到其他VLAN的交换机端口转发出去。这很好,因为它提供了交换型网络的所有优点,避免了所有用户属于同一个广播城带来的所有问题。
安全性
陷阱无处不在,该回过头来谈谈安全问题了。在平面型互联网络中,为确保安全,通常使用路由器将集线器和交换机连接在一起。因此,确保安全的职责基本上落在路由器的头上。这种办法非常低效,其原因有几个。首先,只要连接到物理网络,任何人都可访向其所属LAN中的网络资源;其次,任何人都可监视网络中传输的数据流,只需将-个网络分析器插人集线器即可;第三,用户只需将其工作站连接到集线器,就可加人相应的工作组。这样的安全犹如将一桶没有 加盖的蜂蜜放在熊窝里。
但这正是VLAN如此出色的原因所在。通过使用VLAN创建广播域,你可以完全控制所有端口和用户!这样,任何人只需将其工作站连接到交换机端口便可访问网络资源的历史便一去不复返了 ,因为你可以控制每个端口以及通过该端口可访问的资源。
不仅如此,还可根据用户需要访问的网络资源来创建VLAN,并对交换机进行配置,使其在有人未经授权访问网络资源时告知网络管理工作站。如果需要在VLAN之间进行通信,可在路由器上实施限制,确保这种通信是安全的。还可以对硬件地址、协议和应用程序进行限制。这样,给蜂蜜桶加了盖,并用带刺的铁丝网保护起来了。
灵活性和可扩展性
如果你仔细阅读了之前的内容,就知道第2层交换机仅为过滤而查看帧一它们不会查看网络层协议。默认情况下,交换机将广播转发给所有端口;但通过创建并实现VLAN,可在第2层创建更小的广播域。
这意味着从一个VLAN中的节点发送的广播不会转发到属于其他VLAN的端口。因此,通过将交换机端口或用户分配到横跨一台或多台交换机的VLAN分组,可只将所需的用户加入相应的广播域,而不管用户的物理位置如何。这也有助于防范因网络接口卡( NIC)出现故障导致的广播风暴,还可防止中间设备将广播风暴传播到整个互联网络。广播风暴仍会在有问题的VLAN中发生,但不会传播到其他VLAN。
另一个优点是,如果VLAN太大,可将其划分成多个VLAN,以防广播占用太多的带宽: VLAN包含的用户越少,受广播影响的用户就越少。这当然很好,但在创建VLAN时,需要考虑网络服务并了解用户如何连接到这些服务。应尽可能将所有服务(人人必需的电子邮件和因特网接入服务除外)限定在用户所属的VLAN内。
为明白VLAN对交换机的依赖程度,先来看看传统的网络,这会有所帮助。图11-3 所示的网络展示了如何使用集线器将物理LAN连接到路由器。
可以看到,每个网络都通过集线器连接到路由器(每个网段都有自己的逻辑网络号,虽然这一点不明显)。连接到特定物理网络的每个节点都必须使用相应网络号的地址,这样才能通过互联网络进行通信。注意到每个部门都有独立的LAN,如果需要在销售部添加新用户,则只需将其计算机连接到销售部的LAN,而它们将自动成为销售部冲突域和广播域的一员。在此前的很多年,这种设计的效果确实很好。
但存在一个重大缺陷:如果销售部的集线器端口已满,且需要将用户加入销售部LAN,该怎么办呢?或者如果销售部所在的办公室没有多余的办公空间,该如何呢?假设财务部有很多办公空间,则销售部新来的成员可在财务部办公,并将其计算机连接到财务部的集线器。
显然,这样做将导致这位新用户属于财务部LAN,这太糟糕了,原因很多。首先,这带来了严重的安全问题。由于新来的销售部成员位于财务部的广播域中,他将能够访问财务部人员能访问的所有服务器和网络服务。其次,为访问销售部的网络服务以便完成工作,这位新用户必须经由路由器登录销售部的服务器,这样的效率太低了。
现在来看看交换机能为我们做什么。图11-4演示了如何使用交换机来消除物理边界,从而解决上述问题。其中使用了6个VLAN(编号为2~7)为每个部门创建一个广播域。根据主机应属的广播域,将每个交换机端口分配到了合适的VLAN。
现在,如果需要在销售部VLAN (VLAN 7)新增-名用户, 只需将该用户连接的交换机端口加人VLAN7,而不管销售部的这位新成员在哪里办公,真是太好了!这说明了在网络中使用VLAN相对于老式紧缩主干设计的重要优点之一。现在,要将主机加入销售部VLAN,只需将其连接到一个属于VLAN 7的端口即可。
注意到这里从2开始对VLAN进行编号。编号无关紧要,但你可能想知道给VLAN编号为1结果会如何? VLAN 1是一个管理VLAN,虽然也可将其用于工作组,但思科建议只将其用于管理。不能删除VLAN1,也无法修改其名称,默认情况下,所有交换机端口都属于VLAN 1。
由于每个VLAN都是一个广播域,因此它们也有自己的子网号(如图11-4所示)。如果使用的是IPv6,则必须给每个VLAN分配独立的IPv6网络号。为便于理解,你只需将VLAN视为独立的子网或网络即可。
现在来澄清误解:“有了交换机后,就不再需要路由器了。"请看图11-4,注意到其中有7个VLAN(即广播域),包括VLAN1,每个VLAN中的节点都能彼此通信,但不能与其他VLAN中的节点通信,因为这些节点认为自己位于类似于图11-3所示的紧缩主干中。
为让图11-4中的主机能够与其他VLAN中的主机通信,需要哪种方便的设备呢?你可能猜到了,那就是路由器!与图11-3所示的一样,这些节点需要通过路由器(或其他第3层设备)进行互联网络通信。就像连接不同的物理网络时一样,VLAN之间的通信必须通过第3层设备,因此路由器不会很
快绝迹!
VLAN成员资格
在大多数情况下,VLAN由系统管理员创建——将交换机端口 分配给VLAN。这种VLAN被称为静态VLAN。如果你不介意多做些工作,可将所有主机设备的硬件地址都放到数据库中,以便能够配置交换机,使其能够动态地将连接到交换机的主机分配到VLAN。我不太喜欢用“显然”描述事物,不过,显然,这种VLAN被称为动态VLAN。接下来的两小节将介绍动态VLAN和静态VLAN。
静态VLAN
创建静态VLAN是创建VLAN最常用的方法,其原因之-是静态VLAN最安全。这种安全源自:将交换机端口分配到特定VLAN后,除非手工修改,否则它将一直属 于该VLAN。
静态VLAN易于配置和管理,非常适合用于需要控制所有用户移动的网络环境。如果使用网络管理软件来配置端口,将很有帮助,但如果你不愿意,也并非必须这样做。
在图11-4 中,根据主机应归属于哪个VLAN,手工配置了每个交换机端口的VLAN成员资格(别忘了,设备的物理位置无关紧要)。主机属于哪个广播域完全由你决定,但别忘了,它必须有正确的IP地址信息。例如,必须给VLAN 2中的每台主机配置一个属 于网络172.16.20.0/24的IP地址,这样它才能成为VLAN2的成员。另外,将主机连接到交换机端口时,必须验证该端口的VLAN成员资格。如果端口的成员资格与主机要求的成员资格(由IP 地址配置决定)不同,主机将无法访问所需的网络服务,如工作组服务器。
注意:对于静态接入端口,可手工分配其所属的VLAN,也可通过RADIUS服务器进行分配(使用IEEE 802.1x时)。
动态 VLAN
另一方面,动态VLAN自动确定节点所属的VLAN。通过使用智能管理软件,可根据硬件( MAC)地址、协议甚至创建动态VLAN的应用程序来确定节点所属的VLAN。例如,假设将MAC地址输人了一个中央VLAN管理应用程序,则将节点连接到一个动态VLAN端口时,VLAN管理数据库将查找其硬件地址,并将交换机端口分配给正确的VLAN。显然,这使管理和配置工作容易得多了,因为用户移动时,连接的交换机自动将他分配给正确的VLAN,但需要注意的是,你在最初设置数据库时需要做很多额外的工作,但这是值得的!
幸好可使用VLAN管理策略服务器( VMPS)服务来建立MAC地址数据库,以便动态地将节点
分配到VLAN。VMPS数据库将MAC地址映射到VLAN。
动态接人端口只能属于一个VLAN (VLAN ID为1~4094),这是由VMPS动态分配的。Catalyst
2960交换机只能充当VMPS客户端。在同一台交换机中,可以同时有动态接人端口和中继端口,但动态接人端口只能连接到终端或集线器,而不能连接到其他交换机!
标识VLAN
交换机端口是第2层接口,这种接口与物理端口相关联。交换机端口为接人端口时,只能属于一个VLAN,而为中继端口时,可属于所有VLAN。可手工将端口配置为接入端口或中继端口,也可在每个端口上运行动态中继协议(DTP ),并让它来设置交换端口模式一_DTP 通过与链路另一端的端口协商来设置端口模式。
交换机是非常忙碌的设备。为在网络中交换帧,交换机必须能够跟踪链路类型,并根据硬件地址对帧做相应的处理。别忘了,根据帧穿越的链路类型以不同的方式对其进行处理。在交换环境中,存在两种类型的端口。
接入端口 接入端口只属于一个VLAN,且只为该VLAN传输数据流。这种端口以本机格式发送和接收数据流,而不进行VLAN标记。接人端口收到数据流后,都假定它属于该端口所属的VLAN。如果接入端口收到标记过(如IEEE 802.1Q标记)的分组,你认为它将如何做呢?将这种分组丢弃。但为什么呢?因为接入端口不查看源地址,因此只有中继端口能够转发和接收标记过的数据流。
与接入链路相连的设备没有VLAN成员资格的概念,它假定自己是某个广播域的一员,而没有全局意识,根本不了解物理网络拓。
需要知道的另一点是,将帧转发给与接入链路相连的设备前,交换机将删除所有的VLAN信息。请记住,除非分组被路由,否则与接人链路相连的设备将无法与其所属VLAN外部的设备通信。要么将交换机端口设置为接人端口,要么将其设置为中继端口,两者只能取其一。因此,你必须作出选择,而如果将端口设置为接入端口,则它只能属于一个VLAN。
语音接入端口 我在前面一直说接入端口只能属于一个VLAN,但这种说法不完全正确。当前,大多数交换机都允许将接入端口分配给另一个VLAN,以便传输语音数据流,这,种VLAN被称为语音VLAN。语音VLAN过去被称为辅助VLAN,它可以与数据VLAN重叠,允许同一个端口同时传输语音和数据。虽然从术上说,这属于不同类型的链路,但它仍然只是一种接入端口,只是能够配置的同时为语音VLAN和数据VLAN传输数据流。这让你能够将电话和PC同时连接到同一个交换机端口,并让它们属于不同的VLAN。
中继端口 信不信由你, 术语中继端口的灵感来自电话系统中同时传输多个电话的中继线。同样的道理,中继端口也可以同时传输多个VLAN的数据流。
中继链路是一条100或1000 Mbit/s的点到点链路,位于交换机之间、交换机和路由器之间或交换机和服务器之间,它同时为多个(1~ 4094个,但除非使用扩展VLAN,否则最多为1005个) VLAN传输数据流。
使用中继可让一个端口同时属于众多不同的VLAN。这很好,因为通过设置端口,可让同一台服务器属于两个不同的广播域,这样用户无需通过第3层设备(路由器)就能登录或访问它。中继的另一个优点表现在连接交换机的情况。中继链路可传输来自不同VLAN的帧,但默认情况下,如果交换机之间的链路不是中继链路,它将只传输相应的接入VLAN的数据流。
使用中继可让一个端口同时属于众多不同的VLAN。这很好,因为通过设置端口,可让同一台服务器属于两个不同的广播域,这样用户无需通过第3层设备(路由器)就能登录或访问它。中继的另一个优点表现在连接交换机的情况。中继链路可传输来自不同VLAN的帧,但默认情况下,如果交换机之间的链路不是中继链路,它将只传输相应的接入VLAN的数据流。
另外需要知道的是,每个VLAN都通过中继链路发送信息,除非手工将其排除在外。请不用担心,稍后会介绍如何将VLAN排除在外。
请看图11-5,它演示了交换型网络使用的接人链路和中继链路。由于交换机之间的中继链路,每台主机都能够与其所属VLAN中的其他所有主机通信。然而,如果在交换机之间使用的是接人链路,则只有一个VLAN中的主机可跨越交换机进行通信。我们可以看到,主机通过接人链路连接到交换机,因此它们只能在所属VLAN 内部通信。这意味着在没有路由器的情况下,任何主机都无法与其他VLAN中的主机通信,但可通过中继链路将数据发送给这样的主机,即它与其他交换机相连,但属于同一个VLAN。
好了,终于到了讲述帖标记和帖标记过程中使用的VLAN标识的时候了。
对帧进行标记
我们知道,VLAN可横跨多台相连的交换机,如图11-4所示,其中显示了一系列横跨多台交换机的VLAN中的主机。这种灵活而强大的功能可能是实现VLAN的主要优点。
但这也有些复杂,即使对交换机来说亦如此,它们必须对穿越交换构造( switch fabric )和VLAN的帧进行跟踪。这里所说的交换构造指的是一组共享相同VLAN信息的交换机,这正是帧标记闪亮登场的地方。这种帧标识方法在每个帧中添加用户定义的VLANID,有些人将VLAN ID称为VLAN徽记( color )。
这种帧标识方法的工作原理如下:进人交换构造后,帧到达的每台交换机都首先从帧标记中获取VLAN ID,然后查看过滤表中的信息,以确定如何对帧进行处理。如果帧到达的交换机还有另一条中继链路,将被从该中继链路端口转发出去。当帧到达出口,即一条与帧中的VLAN ID匹配的接人链路(由转发/过滤表确定)后,交换机将把VLAN ID删除,让目标设备即使不明白VLAN ID也能够接收帧。
对于中继端口,需要指出的另一点是,它们可同时支持标记过和未标记的数据流(如果使用的是中继协议802.1Q,稍后讨论这部分内容)。中继端口有一个默认端口VLAN ID (PVID),这是用于传输未标记数据流的VLAN的ID。这个VLAN也被称为本机VLAN,默认总是VLAN 1 (但可修改为任何VLAN编号)。
同样,不管数据流是否被标记过,如果其包含的VLAN ID为NULL(未指定),则认为它属于PVID对应的VLAN (默认为VLAN1)。如果分组包含的VLAN ID与出站端口的本机VLAN相同,则在发送时不对其进行标记,因此只能传输到同一VLAN中的主机或设备。对于其他所有数据流,发送时都必须添加VLAN ID,以便能够在该VLAN中传输。
VLAN 标识方法
交换机使用VLAN标识来跟踪穿越交换构造的所有帧,并确定帧所属的VLAN。中继方法有多种。
1.交换机间链路(ISL)
交换机间链路(ISL)是一种显式标记方法,它在以太网帧中添加VLAN信息。这些标记信息允许利用外部标记方法在中继链路上多路复用多个VLAN的数据流,从而让交换机确定通过中继链路收到的帧属于哪个VLAN。
通过使用ISL,可连接多台交换机,并在数据流通过中继链路在交换机之间传输时保留VLAN信息。ISL 运行在第2层,它使用新的报头和循环冗余校验(CRC )封装数据帧。
需要注意的是,这是一种思科专用协议,只能用于快速以太网和吉比特以太网链路。ISL 路由选择多才多艺,可用于交换机端口、路由器接口和服务器接口卡。
2. IEEE 802.1Q
IEEE 802.1Q是IEEE制定的- -种帧标记标准,它在帧中插人一个字段,用于标识VLAN。在思科交换机和其他品牌的交换机之间中继时,必须使用802.1Q。
其工作原理如下:首先指定中继端口,并指定它使用802.1Q封装。为让这些端口能够通信,必须指定它们所属的VLAN。默认的本机VLAN为VLAN 1,使用802.1Q时,不会对本机VLAN数据流进行标记。中继链路两端的端口根据本机VLAN组成一个小组,并使用相应的标识号(默认为VLAN1)对帧进行标记。本机VLAN让中继链路能够传输不包含VLAN标识(帧标记)的信息。
2960交换机只支持中继协议IEEE 802.1Q,而3560交换机支持ISL和IEEE 802.1Q。