A. 什麼是VLAN
VLAN
VLAN,是英文Virtual Local Area Network的縮寫,中文名為"虛擬區域網", VLAN是
一種將區域網(LAN)設備從邏輯上劃分(注意,不是從物理上劃分)成一個個網段(或者
說是更小的區域網LAN),從而實現虛擬工作組(單元)的數據交換技術。
VLAN這一新興技術主要應用於交換機和路由器中,但目前主流應用還是在交換機之中
。不過不是所有交換機都具有此功能,只有三層以上交換機才具有此功能,這一點可以查
看相應交換機的說明書即可得知。VLAN的好處主要有三個:
(1)埠的分隔。即便在同一個交換機上,處於不同VLAN的埠也是不能通信的。這
樣一個物理的交換機可以當作多個邏輯的交換機使用。
(2)網路的安全。不同VLAN不能直接通信,杜絕了廣播信息的不安全性。
(3)靈活的管理。更改用戶所屬的網路不必換埠和連線,只更改軟體配置就可以了。
VLAN技術的出現,使得管理員根據實際應用需求,把同一物理區域網內的不同用戶邏
輯地劃分成不同的廣播域,每一個VLAN都包含一組有著相同需求的計算機工作站,與物理
上形成的LAN有著相同的屬性。由於它是從邏輯上劃分,而不是從物理上劃分,所以同一個
VLAN內的各個工作站沒有限制在同一個物理范圍中,即這些工作站可以在不同物理LAN網段
。由VLAN的特點可知,一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中,從而有
助於控制流量、減少設備投資、簡化網路管理、提高網路的安全性。 VLAN除了能將網路劃
分為多個廣播域,從而有效地控制廣播風暴的發生,以及使網路的拓撲結構變得非常靈活
的優點外,還可以用於控制網路中不同部門、不同站點之間的互相訪問。
VLAN在交換機上的實現方法,可以大致劃分為六類:
1. 基於埠的VLAN
這是最常應用的一種VLAN劃分方法,應用也最為廣泛、最有效,目前絕大多數VLAN協
議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據乙太網交換機的交換端
口來劃分的,它是將VLAN交換機上的物理埠和VLAN交換機內部的PVC(永久虛電路)埠
分成若干個組,每個組構成一個虛擬網,相當於一個獨立的VLAN交換機。
對於不同部門需要互訪時,可通過路由器轉發,並配合基於MAC地址的埠過濾。對某
站點的訪問路徑上最靠近該站點的交換機、路由交換機或路由器的相應埠上,設定可通
過的MAC地址集。這樣就可以防止非法入侵者從內部盜用IP地址從其他可接入點入侵的可能
。
從這種劃分方法本身我們可以看出,這種劃分的方法的優點是定義VLAN成員時非常簡
單,只要將所有的埠都定義為相應的VLAN組即可。適合於任何大小的網路。它的缺點是
如果某用戶離開了原來的埠,到了一個新的交換機的某個埠,必須重新定義。
2. 基於MAC地址的VLAN
這種劃分VLAN的方法是根據每個主機的MAC地址來劃分,即對每個MAC地址的主機都配
置他屬於哪個組,它實現的機制就是每一塊網卡都對應唯一的MAC地址,VLAN交換機跟蹤屬
於VLAN MAC的地址。這種方式的VLAN允許網路用戶從一個物理位置移動到另一個物理位置
時,自動保留其所屬VLAN的成員身份。
由這種劃分的機制可以看出,這種VLAN的劃分方法的最大優點就是當用戶物理位置移
動時,即從一個交換機換到其他的交換機時,VLAN不用重新配置,因為它是基於用戶,而
不是基於交換機的埠。這種方法的缺點是初始化時,所有的用戶都必須進行配置,如果
有幾百個甚至上千個用戶的話,配置是非常累的,所以這種劃分方法通常適用於小型局域
網。而且這種劃分的方法也導致了交換機執行效率的降低,因為在每一個交換機的埠都
可能存在很多個VLAN組的成員,保存了許多用戶的MAC地址,查詢起來相當不容易。另外,
對於使用筆記本電腦的用戶來說,他們的網卡可能經常更換,這樣VLAN就必須經常配置。
3. 基於網路層協議的VLAN
VLAN按網路層協議來劃分,可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網路
。這種按網路層協議來組成的VLAN,可使廣播域跨越多個VLAN交換機。這對於希望針對具
體應用和服務來組織用戶的網路管理員來說是非常具有吸引力的。而且,用戶可以在網路
內部自由移動,但其VLAN成員身份仍然保留不變。
這種方法的優點是用戶的物理位置改變了,不需要重新配置所屬的VLAN,而且可以根
據協議類型來劃分VLAN,這對網路管理者來說很重要,還有,這種方法不需要附加的幀標
簽來識別VLAN,這樣可以減少網路的通信量。這種方法的缺點是效率低,因為檢查每一個
數據包的網路層地址是需要消耗處理時間的(相對於前面兩種方法),一般的交換機晶元都
可以自動檢查網路上數據包的乙太網幀頭,但要讓晶元能檢查IP幀頭,需要更高的技術,
同時也更費時。當然,這與各個廠商的實現方法有關。
4. 根據IP組播的VLAN
IP 組播實際上也是一種VLAN的定義,即認為一個IP組播組就是一個VLAN。這種劃分的
方法將VLAN擴大到了廣域網,因此這種方法具有更大的靈活性,而且也很容易通過路由器
進行擴展,主要適合於不在同一地理范圍的區域網用戶組成一個VLAN,不適合區域網,主
要是效率不高。
5. 按策略劃分的VLAN
基於策略組成的VLAN能實現多種分配方法,包括VLAN交換機埠、MAC地址、IP地址、
網路層協議等。網路管理人員可根據自己的管理模式和本單位的需求來決定選擇哪種類型
的VLAN 。
6. 按用戶定義、非用戶授權劃分的VLAN
基於用戶定義、非用戶授權來劃分VLAN,是指為了適應特別的VLAN網路,根據具體的
網路用戶的特別要求來定義和設計VLAN,而且可以讓非VLAN群體用戶訪問VLAN,但是需要
提供用戶密碼,在得到VLAN管理的認證後才可以加入一個VLAN。
B. vlan是什麼,有什麼用
擬區域網(VLAN),是指網路中的站點不拘泥於所處的物理位置,而可以根據需要靈活地加入不同的邏輯子網中的一種網路技術。
基於交換式乙太網的虛擬區域網在交換式乙太網中,利用VLAN技術,可以將由交換機連接成的物理網路劃分成多個邏輯子網。也就是說,一個虛擬區域網中的站點所發送的廣播數據包將僅轉發至屬於同一VLAN的站點。
在交換式乙太網中,各站點可以分別屬於不同的虛擬區域網。構成虛擬區域網的站點不拘泥於所處的物理位置,它們既可以掛接在同一個交換機中,也可以掛接在不同的交換機中。虛擬區域網技術使得網路的拓撲結構變得非常靈活,例如位於不同樓層的用戶或者不同部門的用戶可以根據需要加入不同的虛擬區域網。
使用VLAN具有以下優點:
1、控制廣播風暴
一個VLAN就是一個邏輯廣播域,通過對VLAN的創建,隔離了廣播,縮小了廣播范圍,可以控制廣播風暴的產生。
2、提高網路整體安全性
通過路由訪問列表和MAC地址分配等VLAN劃分原則,可以控制用戶訪問許可權和邏輯網段大小,將不同用戶群劃分在不同VLAN,從而提高交換式網路的整體性能和安全性。
3、網路管理簡單、直觀
對於交換式乙太網,如果對某些用戶重新進行網段分配,需要網路管理員對網路系統的物理結構重新進行調整,甚至需要追加網路設備,增大網路管理的工作量。而對於採用VLAN技術的網路來說,一個VLAN可以根據部門職能、對象組或者應用將不同地理位置的網路用戶劃分為一個邏輯網段。在不改動網路物理連接的情況下可以任意地將工作站在工作組或子網之間移動。利用虛擬網路技術,大大減輕了網路管理和維護工作的負擔,降低了網路維護費用。在一個交換網路中,VLAN提供了網段和機構的彈性組合機制。
C. 為什麼要劃分vlan,vlan的作用是什麼
網路管理方便,VLAN的作用是可以隔離沖突域和廣播域。
如果一個區域網內有上百台主機,一旦產生廣播風暴,那麼這個網路就會被徹底的癱瘓。可以通過vlan劃分廣播域,這樣使得廣播被限制在每一個vlan裡面,而不會跨VLAN傳播。不同vlan之間的成員在沒有三層路由的前提下是不能互訪的,這也是一種安全的考慮。
劃分vlan的一個好處是網路管理方便管理靈活,當一個用戶需要切換到另外一個網路時,只需要更改交換機的vlan劃分即可,而不用換埠和連線。
(3)vlan是什麼擴展閱讀
vlan特點
1、限制網路上的廣播,將網路劃分為多個VLAN可減少參與廣播風暴的設備數量。VLAN分段可以防止廣播風暴波及整個網路。VLAN可以提供建立防火牆的機制,防止交換網路的過量廣播。
2、增強區域網的安全性』含有敏感數據的用戶組可與網路的其餘部分隔離,從而降低泄露機密信息的可能性。
3、藉助VLAN技術,能將不同地點、不同網路、不同用戶組合在一起,形成一個虛擬的網路環境,就像使用本地VLAN一樣方便、靈活、有效。
D. 什麼是VLAN
VLAN(Virtual Local Area Network)即虛擬區域網,是一種通過將區域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。
VLAN的劃分有三種方式:基於埠(Port)、基於MAC地址和基於IP地址。通過劃分虛擬網,可以把廣播限制在各個虛擬網的范圍內,從而減少整個網路范圍內廣播包的傳輸,提高了網路的傳輸效率;同時各虛擬網之間不能直接進行通訊,而必須通過路由器轉發,為高級的安全控制提供了可能,增強了網路的安全性。雖然VLAN並非最好的網路技術,但這種用於網路結點邏輯分段的方法正為許多企業所使用。VLAN採用多種方式配置於企業網路中,包括網路安全認證、使無線用戶在802.11b接入點漫遊、隔離IP語音流在不同協議的網路中傳輸數據等虛擬區域網(VLAN)的出現打破了傳統網路的許多固有觀念,使網路結構變得靈活、方便。
回答者:fengyunhualong - 魔法師 四級 6-15 18:18
-----------------------------
引用
E. vlan是什麼怎樣實現
1) VLAN是虛擬區域網或虛擬的乙太網。區域網和虛擬區域網的關系類似物理計算機和虛擬機的關系。
2)虛擬區域網是可以在乙太網上進行邏輯拓撲設計和訪問控制設計(專利:一種基於VLAN構造的訪問控制方法)。不僅對TCP/IP協議有效,而且對在乙太網上非TCP/IP傳輸協議也同樣有效
3)由於ACL主要是為TCP/IP協議工作的,因此對於ARP廣播定址等功能不能進行良好的隔離。故需要系統在二層隔離時(乙太網層),需要VLAN。
VLAN的含義:相同VLANID的交換機埠(或網卡MAC、IP)或不同VLANID,若允許本身或彼此攜帶VLAN標簽(TAG)的數據包通過,這些埠就構成VLAN。由於不同VLANID的埠可以允許不同的VLAN標簽(TAG)通過。所以每種VLANID埠的廣播域可以不一樣。
虛擬區域網的定義:
1)按埠的PVID定義,即相同的VLANID為同一個VLAN(VLANID為埠列印的虛擬區域網標簽)。每個埠只允許攜帶該VLAN標簽的數據包通過。
2)不同VLANTAG(標簽)也被允許通過,當某個VLANID(列如:VLAN100的埠,允許VLAN200埠列印的數據包也能通過),這樣如果VLAN100和VLAN200 都允許彼此列印的數據包通過。則VLAN100和VLAN200構成一個VLAN。同理如下圖:
簡單實現一個虛擬網路的訪問控制邏輯拓撲
習慣上VLANID,即VLAN100、VLAN200中數字100、200代表了每個VLAN號。尊重這種習慣,在此、我們用「組VLAN」來代表一個虛擬區域網,我們設置VLAN100 不僅允許自身VLANID的IP包通過,也允許VLAN200的數據包(VLANTAG)通過,同時設置VLAN200也允許VLAN100的數據包通過。VLAN100和VLAN200就構成了一個虛擬區域網。同理,如果我們設置VLAN100和VLAN300互通,VLAN200和VLAN400互通。如圖1所示:由於,埠對VLANTAG的選擇性限制,VLAN100與VLAN400不能互通、VLAN200不能與VLAN300互通。VLAN300也不能與VLAN400互通。
MAC-VLAN ,IP-VLAN.主要是網卡設置,即通過網卡設置MAC和IP和VLAN成員的對應關系,此地就不再重復說明。
VLAN邏輯拓撲設計和VLAN直接訪問控制目前是最新的技術,可以按照伺服器及其服務對象(客戶端)劃入同個VLAN。伺服器和客戶端都可以加入不同的組「VLAN」。如下圖所示:
願能幫助到你!
F. VLAN是什麼
虛擬區域網!這種技術可以將連接在同一台交換機上的主機隔離開,即使ip地址是在同一網段也不能互相訪問!
G. VLAN是什麼
VLAN 是用在交換機上面的一種協議,它可以劃分多個虛擬區域網,而達到PC機直接不能訪問。例如,我們把交換機的前12個埠劃為VLAN2 把後12個埠劃為VLAN3 那麼在插在前12個埠的PC就不能訪問插在後12個埠的PC了(註:默認情況交換機的所有埠都劃分在VLAN1 裡面的)
H. VLAN是什麼啊
劃分虛擬區域網,使同VLAN間的主機可以訪問,不同VLAN間的主機只能通過路由訪問,提高管理性和安全性,交換上可劃VLAN
I. VLAN 是什麼
VLAN 簡單說就是把同一路由器下的區域網隔開,你那游戲聯機在同一VLAN里還可以連,不在一個VLAN就麻煩了
J. 什麼是VLAN,它的作用是什麼它用在哪些方面
一、虛擬區域網(Virtual Local Area Network或簡寫VLAN,V-LAN)。
是一種建構於區域網交換技術的網路管理的技術,網管人員可以藉此透過控制交換機有效分派出入區域網的分組到正確的出入埠,達到對不同實體區域網中的設備進行邏輯分群管理,並降低區域網內大量數據流通時,因無用分組過多導致壅塞的問題,以及提升區域網的信息安全保障。
二、VLAN可以為網路提供以下作用,廣播控制、帶寬利用、降低延遲、安全性(非設計作用,本身功能所附加出的)。
三、
1、物理層(physical layer)
直接以交換機上的埠做為劃分VLAN的基礎。
這個方式的優點是簡單與直觀,因此,運用這種設置VLAN的情況十分普遍。但因為是物理層的設置,所以比較適合在規模不大的組織。
2、數據鏈接層(data link layer)
以每台主機的MAC地址做為劃分VLAN的基礎。方法是先創建一個比較復雜的資料庫,通常為某網路設備的MAC地址與VLAN的映射關系資料庫。當該網路設備連接到埠後,交換機會向VMPS(VLAN管理策略伺服器)來請求這個資料庫。找到相應映射關系,完成埠到VLAN的分配。
這個方式的優點是即使計算機在實體上的位置不同,也不影響VLAN的運作。但缺點是網管人員必須在交換機中設置組織內每一台設備MAC地址與VLAN間的映射關系資料庫。因此,這種設置策略的管理復雜度會隨著越來越多的設備、與實體位置的群落、和不同工作任務需要而增加。
3、網路層(network layer)
以每台設備的IP地址做為劃分VLAN的基礎,以子網視為VLAN設置的依據。
這個方式的優點是當網管人員已經將內部網段做好規劃與分配的情況下,將可大輻降低網管人員規劃並設置VLANs架構的復雜度。
但缺點是原本傳統交換機不需要對訊框作任何處理,但在這個機制下,交換機不但必須剖析訊框(Frame),還必須進一步取出Source IP與Destination IP進行比對,連帶降低交換機接收與分派分組的效率。
(10)vlan是什麼擴展閱讀:
為實現交換機乙太網絡的廣播隔離,一種理想的解決方案就是採用虛擬區域網技術。這種對連接到第2層交換機埠的網路用戶的邏輯分段技術實現非常靈活,它可以不受用戶物理位置限制,根據用戶需求進行VLAN劃分;可在一個交換機上實現,也可跨交換機實現;可以根據網路用戶的位置、作用、部門或根據使用的應用程序、上層協議或者乙太網通信埠硬體地址來進行劃分。
一個VLAN相當於OSI模型第2層的廣播域,它能將廣播控制在一個VLAN內部。而不同VLAN之間或VLAN與LAN / WAN的數據通信必須通過第3層(網路層)完成。
否則,即便是同一交換機上的通信埠,假如它們不處於同一個VLAN,正常情況下也無法進行數據通信,特例是由於某著名廠商生產的交換機帶有VLAN穿越漏洞,外來分組以廣播進到該交換機時,它仍然會流入所有連至交換機上的計算機,而導致信息可能外泄的潛藏風險。
為了解決上述信息安全議題,1995年IEEE802委員會發表了802.1QVLAN技術的實現標准與訊框結構,希望能透過設置邏輯地址(TPID、TCI),對實體區域網區隔成獨立虛擬網段,以規范分組廣播時的最大范圍。