‘壹’ 网络方面,VLAN之间的关系
1.VLAN和VLANIF是什么关系,VLANIF是不是只出现在三层交换机上面!VLAN和VLAN之间通信要VLANIF吗?
答:VLANIF就是VLAN的网关。
不是,二层也有。
就三层交换机说:需要,不过你要是做单臂路由器的话,不需要。
2.VLAN的Access 类型接口、Trunk 类型接口、Hybrid 类型接口、QinQ 类型接口,区别
答:ACCESS只能转发以太网数据。
TRUNK,可以转发不同VLAN的数据。
HYBRID 动态端口。可以看作是ACCESS和TRUNK的结合体。
QINQ 没听说过。
3.基于端口配制VLAN,基于802.1Q配制VLAN,区别,和上面又是什么区别,
答:802.1Q不是一个封装协议么?他能配置VLAN吗?
‘贰’ 计算机网络 不同vlan的通信问题
三层交换机要启用路由功能
#conf t
#ip routing
‘叁’ 什么是VLAN,以及他们的作用是什么详细点,谢谢
虚拟局域网(VLAN)是90年代局域网技术中最具有特色的技术,虚拟局域网技术突破了按照地域划分局域网段以及划分子网的限制,将企业网推向交换虚拟网的新阶段。与第3层(路由)相比,通过第2层(交换)LAN的结构能够明显改善整个网的性能。传统的第2层LAN交换提倡平整网络结构,充分利用线速交换功能传输数据,不是通过传统的路由器降低网络速度。但是,在结构平整的大型网络中,经常会受到大量广播和偶然发生的广播风暴的困扰,使网络性能降低。过去,只能将网络分为更小的网段,各网段之间通过路由器连接,因为路由器通常不传输广播数据。但VLAN提供了另一种解决方案。
一 VLAN的定义
虚拟局域网是基于局域网交换的网络技术,它主要解决以下几个问题:
? 能减少网络对路由器的依赖,有效地控制局域网内的广播流量。
? 同时减少由于网络站点的增加、移动和更改而造成的网络维护的麻烦。
? VLAN的合理使用,使网络的拓扑结构更加灵活,提高性能。
? 通过高度灵活地对网络进行分段,提高安全性。
如果没有对交换机进行虚拟局域网技术设置,局域网交换机只能对确定目的地址的分组进行单独信息交换。各站点发送数据包之前都要广播查询所要到达目的地的MAC地址,同时,由于大量应用层软件需要广播传送某些数据包,而这些数据广播包只须发向某一组用户,此时如果没有VLAN,这些数据包会很快占用整个网络大量的资源,仍然象集线器一样,向交换机的所有端口上转发广播信息。使得正常数据包无法抢得正常带宽,严重影响到网络效率及性能。从限制分组广播的角度考虑,局域网交换机就引入了虚拟网的概念,即广播报文仅仅向同属于一个VLAN的局域网交换机的端口转发。从控制广播流量的角度看,VLAN包括多个局域网物理网段,但是一个VLAN的广播报文被限制该VLAN中,其余的VLAN则收不到任何报文。
从网络站点可以移动角度看,VLAN应该是独立于网络设备物理端口定义的一种网段,例如基于MAC地址定义的VLAN,无论物理网络站点移动到任何地方,只要该站点的网卡的物理地址(即MAC地址,在Win98下用WINIPCFG可查到)不变,它还是连接到原来的VLAN上,无需任何网络的更改。
网络变更造成的管理任务大大缩减,即管理员可以减少在整个网络上添加用户移动和改变用户物理位置的工作量,这个性能也是多数厂商经常讨论的话题,尤其是在多网络服务器或多网络操作系统的情况下,用户需要多种用途的网络操作,这种变更就显得尤为重要。
所以,在设计和实施VLAN时,必须首先明确VLAN的主要用处,以便选择不同种类的VLAN。通过仔细规划和设计,将几种类型相结合,完全可以有效地将广播隔离和方便网络站点的移动结合在一起,达到实用的境界。为了合理使用VLAN,必须了解不同VLAN的类型。
二 VLAN的类型
VLAN的协议规定在802.1q中,到目前为止,该规定只提到基于端口的VLAN,未提及基于协议的VLAN(按协议类别分组)或基于MAC的VLAN(按端点地址分组)。
1 基于端口的VLAN
这是最早的VLAN类型,也是最简单的VLAN,可以将局域网交换机其中的几个端口指定成一个VLAN。基于端口的VLAN就是将交换机中的若干个端口定义为一个VLAN,同一个VLAN中的站点具有相同的网络地址,不同的VLAN之间进行通信需要通过路由器。。基于端口规则的VLAN就是一个群组。这类VLAN的最大特点是可以有效地隔离广播报文,这也是设计这类VLAN的出发点。这类VLAN的缺点在于:VLAN的定义依赖于交换机的物理端口,所以无法保证网络站点在整个网络中方便地移动;另外,在跨交换机设置VLAN(即使用了多个交换机),难于保证VLAN配置的一致性。基于端口规则的VLAN虽然简单,但是它是具有其它种类VLAN的必要补充。可以将这类VLAN作为辅助VLAN,帮助实现其它种类的VLAN。
2 基于MAC 的VLAN
基于MAC 地址的VLAN就是根据局域网MAC地址(即网卡物理地址)划分VLAN。在实际实现时,还是根据不同VLAN中的MAC地址对应的局域网交换机端口,实现VLAN广播域的划分。基于MAC 地址的VLAN比基于端口规则的VLAN要移动灵活,由于是采用全球唯一MAC地址(每一块网卡都有专门的机构给予它唯一的地址)的以太网,所以无论计算机移动到任何VLAN定义的角落,只要它的网卡不变,就能通过它原来的VLAN上网。便于网络的安全控制和管理。 在基于MAC地址的VLAN中,交换机对站点的MAC地址和交换机端口进行跟踪,在新站点入网时根据需要将其划归至某一个VLAN,而无论该站点在网络中怎样移动,由于其MAC地址保持不便,因此用户不需要进行网络地址的重新配置。基于MAC地址的VLAN的主要问题在于:
(1) 定义和维护VLAN较繁琐。如果要在多个交换机上定义这类VLAN,必须在所有交换机上定义每个MAC地址,以保证全网范围VLAN成员一致性。如果网络中需要加入一个新站点,则该新站点网卡的MAC地址必须添加在该网络上所有的交换机上。如果网络站点需要更换网卡,则需要在所有交换机上删除原来网卡的MAC地址,加入新网卡的MAC地址。基于MAC地址划分VLAN的交换机一般会提供提供相应的VLAN管理和配置辅助工具软件,用来帮助配置和管理VLAN。
(2) 在多个交换机环境下,这类VLAN会出现通信问题。因为交换机相互连接的端口不属于任何基于MAC地址的VLAN,这时必须要通过附加端口规则,强制这些交换机端口成为某个VLAN的成员(注:基于端口规则的VLAN在这种场合下是不可少的)。例如:MAC地址A和MAC地址B属于VLAN2,MAC地址C、MAC地址D和MAC地址E属于VLAN3。由于MAC地址F没有定义,所以站点F仍然属缺省的VLAN1,它是无法与VLAN1和VLAN2内的站点进行通信,VLAN2和VLAN3之间也无法通信。
3 基于协议的VLAN
基于协议规则的VLAN是把具有相同的第三层协议(即网络层协议)网络站点归并成一个VLAN,这些站点连接的交换机端口构成一个广播域,以减少在同一个网络环境下不同协议之间的相互干扰。基于协议规则的VLAN是基于MAC地址的VLAN思路的扩展。基于MAC地址的VLAN是通过局域网交换机判别各个端口上数据帧的MAC地址域,从而确定每个交换机端口属于哪个VLAN;而基于协议规则的VLAN是判别各个端口数据帧的协议类型域,根据基于协议划分的VLAN的规则,确定每个交换机端口属于哪个VLAN。以下是可以定义VLAN的协策略列表,只要选择一种就可以构成一种VLAN。应用基于协议规则的VLAN时,要定义好所有在网络上应用的协议,以便真正将广播限制在指定的网络站点。例如:所有运行NetBIOS协议的站点构成VLAN3,所有运行IP协议的站点构成VLAN2,NetBIOS协议的大量广播报文将不会干扰运行IP协议的站点。
三 VLAN配置
1 静态配置
通过网管平台(超级终端、telnet或WebServerI)
2 动态配置
通过GVRP协议动态学习。
GVRP协议介绍:
GVRP协议是在GARP协议的基础之上,实现对VLAN的动态配置。GVRP使用GARP信息发布(GID)和GARP信息扩散(GIP),提供了基于GARP应用定义的一般信息描述和一般信息扩散机制。GVRP允许桥接局域网中的终端和桥设备发起或者取消一个有关VLAN成员的发布。发起一个这样的发布将会使每个收到这个发布的GVRP参与者在FDB中建立或者更新一个动态VLAN注册入口信息,并且可以通过这些信息知道通过哪些端口可以到达这些成员
‘肆’ 在网络中什么是VLAN
虚拟局域网(VLAN),是英文Virtual
Local
Area
Network的缩写,是指网络中的站点不拘泥于所处的物理位置,而可以根据需要灵活地加入不同的逻辑子网中的一种网络技术。
基于交换式以太网的虚拟局域网在交换式以太网中,利用VLAN技术,可以将由交换机连接成的物理网络划分成多个逻辑子网。也就是说,一个虚拟局域网中的站点所发送的广播数据包将仅转发至属于同一VLAN的站点。
在交换式以太网中,各站点可以分别属于不同的虚拟局域网。构成虚拟局域网的站点不拘泥于所处的物理位置,它们既可以挂接在同一个交换机中,也可以挂接在不同的交换机中。虚拟局域网技术使得网络的拓扑结构变得非常灵活,例如位于不同楼层的用户或者不同部门的用户可以根据需要加入不同的虚拟局域网。
‘伍’ VLAN技术的应用
近来参加了不少医院网络方案的讨论和评标活动,在几乎所有医院的方案中都或多或少地采用了虚拟局域网(VLAN)技术,但笔者发现大多数方案中的VLAN设计都存在一个共同且致命的缺陷,那就是VLAN跨越网络的核心。本文就这个问题谈一谈自己的看法,供同行们参考。 根据VLAN的定义和技术规范,VLAN不是由独享的物理设备和物理链路搭建的物理子网或网段,VLAN与实实在在的物理子网的本质区别在于,VLAN之间要共享物理设备和物理链路,因此,VLAN间就会通过所共享的设备和链路相互影响。这种影响是如何产生的呢?VLAN是通过将一个物理拓扑中的两个或多个节点通过逻辑组合而形成的,要想实现这种逻辑的组合就必须使用支持VLAN的交换设备,但真正提供VLAN功能的是这些设备内部的软件。也就是说,VLAN所构造的子网(广播域)是软件实现的,而不是由网络拓扑所决定的。网络拓扑仅对由软件所建立的VLAN有所限制。
知道了VLAN的工作原理,就不难解释VLAN间的影响了,同一交换机上的不同VLAN要共享交换机、要争夺交换机的CPU和背板资源。VLAN对交换机和链路的共享可分为两种类型:一种是“广播共享”,即VLAN划定的广播域贯穿共享设备和链路(如图1所示),换句话说广播共享是二层的共享。另一种我们称之为“路由共享”,也可以说是三层共享,在这种类型的共享中,不同VLAN的数据包是以路由(三层交换)方式穿过交换机的(如图2中虚线所示),通过的包基本上不含有一般的广播包(DHCP和特殊协议的广播除外)。VLAN在“广播共享”网络资源时的相互影响要比“路由共享”时更大。
从图1可清楚地看出所共享的网络资源(交换机和链路)。在正常情况下,VLAN间的这种影响不被我们所注意,原因是共享的交换机有足够的交换能力,链路不是很拥挤,但在某一VLAN出现异常时(如感染病毒或出现环路)情况就不同了。这时被感染VLAN(如VLAN1)中的大量数据帧将挤占该VLAN所及的所有交换机的CPU资源、背板带宽,并长时间占用物理链路,其他VLAN(如VLAN2)中的设备尽管“看”不到出现异常VLAN中的数据帧,但其所依赖的网络资源已被用尽,因此,VLAN1所覆盖的网络区域就会出现异常。如果故障点发生在核心交换机附近,那么整个网络就有可能瘫痪。这在各网络拓扑层交换机的性能相差不多的情况下尤为严重。 由VLAN的性质所决定,完全消除VLAN间的链路和设备的共享在理论上是不可能的。我们所做的努力只能尽量减少相互影响的范围、降低相互影响的程度。如何做到这一点呢?在实践中我们总结出如下原则:1)应尽量避免在同一交换机中配置多个VLAN;2)不同物理位置上的交换机上的端口尽量不要划归到同一个VLAN。前者较好理解,也容易实现,我们重点讨论后者,即如何做到VLAN不跨越核心交换机和拓扑结构的“层”。从图1可以看出,由于VLAN1(VLAN2也是这样)的范围跨越了整个网络,如果把所有VLAN的覆盖面都限定在核心交换机的同一侧,这些资源被共享的程度不就减轻了吗?按此想法我们可以将图1所示的网络改变为图2所示的结构。
由于在这种结构中不存在跨越核心交换机的虚网,因此各VLAN的广播包就不会穿过核心交换机,但这些广播包却均能到达核心交换机,同时核心交换机上还会有ACL允许的VLAN间的正常数据流(如图2中的虚线所示)通过。很显然,这时的核心交换机既阻挡了各VLAN的广播包,又转发了VLAN间的正常数据流,其被共享的形式由“广播式”变成了“路由式”,受VLAN影响的程度变小。
有人可能会说,把核心交换机从二层提到了三层,性能会下降。这种说法无疑是正确的,但这点性能的降低对于当今的三层交换机所能提供的性能来说已经算不得什么了。从图2还可以看出,尽管受单个VLAN影响的程度和范围均变小,但共享链路的长度和强度并没有本质的变化。 继续分析图2中所存在的问题不难看出,尽管核心交换机被共享的形式改变了,但仍存在受到各VLAN出现异常情况的影响。要想避免核心交换机受到各个VLAN的影响、减小影响范围、避免全网瘫痪的发生,很容易想到在核心交换机和划有VLAN的交换机之间加上一层,以隔离核心交换机和各个VLAN。这时就形成了目前较为流行的三层拓扑结构的网络,如图3所示。
在三层网络结构中,汇聚层与核心层之间的区域不再有VLAN,汇聚层交换机的VLAN也仅限于部分端口,这时汇聚层交换机成为被“路由共享”的交换机,而且这种“路由共享”比图2的情况更弱。
如果使汇聚层交换机的性能远高于接入层的交换机,那么由VLAN的广播(多由病毒引起)所引起的整网瘫痪问题就基本解决了。
任何方案都具有利的一面和不利的一面,三层拓扑结构的网络也会带来一些问题:1)利用一般的手段较难实现对各个VLAN进行集中式的远程管理,对于这个问题的解决方案可充分利用网管软件。2)由于VLAN数量的增多、路由协议等技术的引入,此时的网络会比二层平面交换网络要复杂,对网络技术人员的要求更高,管理维护成本会有所增加。
这两点是大型网络管理本身的要求,大型网络的管理不可能不使用网络管理工具,技术人员的缺乏更是各个企业都面临的问题,对此有的专家提出了“IT物业”的理念,也许这就是将来解决这个问题的最终方案。
‘陆’ 计算机网络中的VLAN有什么作用
VLAN是指虚拟局域网
配置虚拟局域网是希望连接在不同交换机上的在同一个虚拟局域网内的主机可以通过局域网互访,而不在同一个虚拟局域网上的主机不允许互访
‘柒’ 计算机网络中的专业术语VLAN是什么意思
VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点: 网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
在计算机网络中,一个二层网络可以被划分为多个不同的广播域,一个广播域对应了一个特定的用户组,默认情况下这些不同的广播域是相互隔离的。不同的广播域之间想要通信,需要通过一个或多个路由器。这样的一个广播域就称为VLAN。
‘捌’ 什么是VLAN怎样使用VLAN
VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。 组建VLAN的条件 VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。 划分VLAN的基本策略 从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法: 1、基于端口的VLAN划分 这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。 2、基于MAC地址的VLAN划分 MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。 3、基于路由的VLAN划分 路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。 就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。 使用VLAN优点 使用VLAN具有以下优点: 1、控制广播风暴 一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。 2、提高网络整体安全性 通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。 3、网络管理简单、直观 对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。 三层交换技术 传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了VLAN以后的网络中,逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上,不同VLAN之间的通信数据量是很大的,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量的不断增大,路由器将不堪重负,路由器将成为整个网络运行的瓶颈。 在这种情况下,出现了第三层交换技术,它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后,会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。 在以三层交换机为核心的千兆网络中,为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性,可采用VLAN技术进行虚拟网络划分。VLAN子网隔离了广播风暴,对一些重要部门实施了安全保护;且当某一部门物理位置发生变化时,只需对交换机进行设置,就可以实现网络的重组,非常方便、快捷,同时节约了成本。
‘玖’ 什么是VLAN,它的作用是什么它用在哪些方面
一、虚拟局域网(Virtual Local Area Network或简写VLAN,V-LAN)。
是一种建构于局域网交换技术的网络管理的技术,网管人员可以借此透过控制交换机有效分派出入局域网的分组到正确的出入端口,达到对不同实体局域网中的设备进行逻辑分群管理,并降低局域网内大量数据流通时,因无用分组过多导致壅塞的问题,以及提升局域网的信息安全保障。
二、VLAN可以为网络提供以下作用,广播控制、带宽利用、降低延迟、安全性(非设计作用,本身功能所附加出的)。
三、
1、物理层(physical layer)
直接以交换机上的端口做为划分VLAN的基础。
这个方式的优点是简单与直观,因此,运用这种设置VLAN的情况十分普遍。但因为是物理层的设置,所以比较适合在规模不大的组织。
2、数据链接层(data link layer)
以每台主机的MAC地址做为划分VLAN的基础。方法是先创建一个比较复杂的数据库,通常为某网络设备的MAC地址与VLAN的映射关系数据库。当该网络设备连接到端口后,交换机会向VMPS(VLAN管理策略服务器)来请求这个数据库。找到相应映射关系,完成端口到VLAN的分配。
这个方式的优点是即使计算机在实体上的位置不同,也不影响VLAN的运作。但缺点是网管人员必须在交换机中设置组织内每一台设备MAC地址与VLAN间的映射关系数据库。因此,这种设置策略的管理复杂度会随着越来越多的设备、与实体位置的群落、和不同工作任务需要而增加。
3、网络层(network layer)
以每台设备的IP地址做为划分VLAN的基础,以子网视为VLAN设置的依据。
这个方式的优点是当网管人员已经将内部网段做好规划与分配的情况下,将可大辐降低网管人员规划并设置VLANs架构的复杂度。
但缺点是原本传统交换机不需要对讯框作任何处理,但在这个机制下,交换机不但必须剖析讯框(Frame),还必须进一步取出Source IP与Destination IP进行比对,连带降低交换机接收与分派分组的效率。
(9)计算机网络技术转发所有vlan扩展阅读:
为实现交换机以太网络的广播隔离,一种理想的解决方案就是采用虚拟局域网技术。这种对连接到第2层交换机端口的网络用户的逻辑分段技术实现非常灵活,它可以不受用户物理位置限制,根据用户需求进行VLAN划分;可在一个交换机上实现,也可跨交换机实现;可以根据网络用户的位置、作用、部门或根据使用的应用程序、上层协议或者以太网通信端口硬件地址来进行划分。
一个VLAN相当于OSI模型第2层的广播域,它能将广播控制在一个VLAN内部。而不同VLAN之间或VLAN与LAN / WAN的数据通信必须通过第3层(网络层)完成。
否则,即便是同一交换机上的通信端口,假如它们不处于同一个VLAN,正常情况下也无法进行数据通信,特例是由于某着名厂商生产的交换机带有VLAN穿越漏洞,外来分组以广播进到该交换机时,它仍然会流入所有连至交换机上的计算机,而导致信息可能外泄的潜藏风险。
为了解决上述信息安全议题,1995年IEEE802委员会发表了802.1QVLAN技术的实现标准与讯框结构,希望能透过设置逻辑地址(TPID、TCI),对实体局域网区隔成独立虚拟网段,以规范分组广播时的最大范围。