虛擬區域網(VLAN),是指網路中的站點不拘泥於所處的物理位置,而可以根據需要靈活地加入不同的邏輯子網中的一種網路技術。
在交換式乙太網中,各站點可以分別屬於不同的虛擬區域網。構成虛擬區域網的站點不拘泥於所處的物理位置,它們既可以掛接在同一個交換機中,也可以掛接在不同的交換機中。虛擬區域網技術使得網路的拓撲結構變得非常靈活,例如位於不同樓層的使用者或者不同部門的使用者可以根據需要加入不同的虛擬區域網。
劃分虛擬區域網主要出於三種考慮:
第一是基於網路效能的考慮。對於大型網路,現在常用的Windows NetBEUI是廣播協議,當網路規模很大時,網上的廣播資訊會很多,會使網路效能惡化,甚至形成廣播風暴,引起網路堵塞。那怎麼辦呢?可以透過劃分很多虛擬區域網而減少整個網路範圍內廣播包的傳輸,因為廣播資訊是不會跨過VLAN的,可以把廣播限制在各個虛擬網的範圍內,用術語講就是縮小了廣播域,提高了網路的傳輸效率,從而提高網路效能。
第二是基於安全性的考慮。因為各虛擬網之間不能直接進行通訊,而必須透過路由器轉發,為高階的安全控制提供了可能,增強了網路的安全性。在大規模的網路,比如說大的集團公司,有財務部、採購部和客戶部等,它們之間的資料是保密的,相互之間只能提供介面資料,其它資料是保密的。我們可以透過劃分虛擬區域網對不同部門進行隔離。
第三是基於組織結構上考慮。同一部門的人員分散在不同的物理地點,比如集團公司的財務部在各子公司均有分部,但都屬於財務部管理,雖然這些資料都是要保密的,但需統一結算時,就可以跨地域(也就是跨交換機)將其設在同一虛擬區域網之中,實現資料安全和共享。採用虛擬區域網有如下優勢:抑制網路上的廣播風暴;增加網路的安全性;集中化的管理控制。
基於交換式的乙太網要實現虛擬區域網主要有三種途徑:基於埠的虛擬區域網、基於MAC地址(網絡卡的硬體地址)的虛擬區域網和基於IP地址的虛擬區域網。
(1)基於埠的虛擬區域網
基於埠的虛擬區域網是最實用的虛擬區域網,它保持了最普通常用的虛擬區域網成員定義方法,配置也相當直觀簡單,就區域網中的站點具有相同的網路地址,不同的虛擬區域網之間進行通訊需要透過路由器。採用這種方式的虛擬區域網其不足之處是靈活性不好。例如,當一個網路站點從一個埠移動到另外一個新的埠時,如果新埠與舊埠不屬於同一個虛擬區域網,則使用者必須對該站點重新進行網路地址配置,否則,該站點將無法進行網路通訊。在基於埠的虛擬區域網中,每個交換埠可以屬於一個或多個虛擬區域網組,比較適用於連線伺服器。
(2) 基於MAC地址的虛擬區域網
在基於MAC地址的虛擬區域網中,交換機對站點的MAC地址和交換機埠進行跟蹤,在新站點入網時根據需要將其劃歸至某一個虛擬區域網,而無論該站點在網路中怎樣移動,由於其MAC地址保持不變,因此使用者不需要進行網路地址的重新配置。這種虛擬區域網技術的不足之處是在站點入網時,需要對交換機進行比較複雜的手工配置,以確定該站點屬於哪一個虛擬區域網。
(3)基於IP地址的虛擬區域網
在基於IP地址的虛擬區域網中,新站點在入網時無需進行太多配置,交換機則根據各站點網路地址自動將其劃分成不同的虛擬區域網。在三種虛擬區域網的實現技術中,基於IP地址的虛擬區域網智慧化程度最高,實現起來也最複雜。
虛擬區域網(VLAN),是指網路中的站點不拘泥於所處的物理位置,而可以根據需要靈活地加入不同的邏輯子網中的一種網路技術。
在交換式乙太網中,各站點可以分別屬於不同的虛擬區域網。構成虛擬區域網的站點不拘泥於所處的物理位置,它們既可以掛接在同一個交換機中,也可以掛接在不同的交換機中。虛擬區域網技術使得網路的拓撲結構變得非常靈活,例如位於不同樓層的使用者或者不同部門的使用者可以根據需要加入不同的虛擬區域網。
劃分虛擬區域網主要出於三種考慮:
第一是基於網路效能的考慮。對於大型網路,現在常用的Windows NetBEUI是廣播協議,當網路規模很大時,網上的廣播資訊會很多,會使網路效能惡化,甚至形成廣播風暴,引起網路堵塞。那怎麼辦呢?可以透過劃分很多虛擬區域網而減少整個網路範圍內廣播包的傳輸,因為廣播資訊是不會跨過VLAN的,可以把廣播限制在各個虛擬網的範圍內,用術語講就是縮小了廣播域,提高了網路的傳輸效率,從而提高網路效能。
第二是基於安全性的考慮。因為各虛擬網之間不能直接進行通訊,而必須透過路由器轉發,為高階的安全控制提供了可能,增強了網路的安全性。在大規模的網路,比如說大的集團公司,有財務部、採購部和客戶部等,它們之間的資料是保密的,相互之間只能提供介面資料,其它資料是保密的。我們可以透過劃分虛擬區域網對不同部門進行隔離。
第三是基於組織結構上考慮。同一部門的人員分散在不同的物理地點,比如集團公司的財務部在各子公司均有分部,但都屬於財務部管理,雖然這些資料都是要保密的,但需統一結算時,就可以跨地域(也就是跨交換機)將其設在同一虛擬區域網之中,實現資料安全和共享。採用虛擬區域網有如下優勢:抑制網路上的廣播風暴;增加網路的安全性;集中化的管理控制。
基於交換式的乙太網要實現虛擬區域網主要有三種途徑:基於埠的虛擬區域網、基於MAC地址(網絡卡的硬體地址)的虛擬區域網和基於IP地址的虛擬區域網。
(1)基於埠的虛擬區域網
基於埠的虛擬區域網是最實用的虛擬區域網,它保持了最普通常用的虛擬區域網成員定義方法,配置也相當直觀簡單,就區域網中的站點具有相同的網路地址,不同的虛擬區域網之間進行通訊需要透過路由器。採用這種方式的虛擬區域網其不足之處是靈活性不好。例如,當一個網路站點從一個埠移動到另外一個新的埠時,如果新埠與舊埠不屬於同一個虛擬區域網,則使用者必須對該站點重新進行網路地址配置,否則,該站點將無法進行網路通訊。在基於埠的虛擬區域網中,每個交換埠可以屬於一個或多個虛擬區域網組,比較適用於連線伺服器。
(2) 基於MAC地址的虛擬區域網
在基於MAC地址的虛擬區域網中,交換機對站點的MAC地址和交換機埠進行跟蹤,在新站點入網時根據需要將其劃歸至某一個虛擬區域網,而無論該站點在網路中怎樣移動,由於其MAC地址保持不變,因此使用者不需要進行網路地址的重新配置。這種虛擬區域網技術的不足之處是在站點入網時,需要對交換機進行比較複雜的手工配置,以確定該站點屬於哪一個虛擬區域網。
(3)基於IP地址的虛擬區域網
在基於IP地址的虛擬區域網中,新站點在入網時無需進行太多配置,交換機則根據各站點網路地址自動將其劃分成不同的虛擬區域網。在三種虛擬區域網的實現技術中,基於IP地址的虛擬區域網智慧化程度最高,實現起來也最複雜。