技術定義
基於VLAN隔離技術的訪問控制方法在一些中小型企業和校園網中得到廣泛的套用。 VLAN是對連線到的第二層交換機連線埠的網路用戶的邏輯分段,不受網路用戶的物理位置限制而根據用戶需求進行網路分段。一個VLAN可以在一個交換機或者跨交換機實現。VLAN可以根據網路用戶的位置、作用、部門或者根據網路用戶所使用的應用程式和協定來進行分組。基於交換機的虛擬區域網路能夠為區域網路解決衝突域、廣播域、頻寬問題。一方面,VLAN建立在區域網路交換機的基礎之上;另一方面,VLAN是局域交換網的靈魂。這是因為通過 VLAN用戶能方便地在網路中移動和快捷地組建寬頻網路,而無需改變任何硬體和通信線路。這樣,網路管理員就能從邏輯上對用戶和網路資源進行分配,而無需考慮物理連線方式。 VLAN充分體現了現代網路技術的重要特徵:高速、靈活、管理簡便和擴展容易。是否具有VLAN功能是衡量區域網路交換機的一項重要指標。網路的虛擬化是未來網路發展的潮流。VLAN與普通區域網路從原理上講沒有什麼不同,但從用戶使用和網路管理的角度來看,VLAN與普通區域網路最基本的差異體現在:VLAN並不局限於某一網路或物理範圍,VLAN中的用戶可以位於一個園區的任意位置,甚至位於不同的國家。
傳統的共享介質的乙太網和交換式的乙太網中,所有的用戶在同一個廣播域中,會引起網路性能的下降,浪費可貴的頻寬;而且對廣播風暴的控制和網路安全只能在第三層的路由器上實現。
intel82573 VLAN網卡VLAN相當於OSI參考模型的第二層的廣播域,能夠將廣播風暴控制在一個VLAN內部,劃分VLAN後,由於廣播域的縮小,網路中廣播包消耗頻寬所占的比例大大降低,網路的性能得到顯著的提高。不同的VLAN之間的數據傳輸是通過第三層(網路層)的路由來實現的,因此使用VLAN技術,結合數據鏈路層和網路層的交換設備可搭建安全可靠的網路。網路管理員通過控制交換機的每一個連線埠來控制網路用戶對網路資源的訪問,同時VLAN和第三層第四層的交換結合使用能夠為網路提供較好的安全措施。
另外,VLAN具有靈活性和可擴張性等特點,方便於網路維護和管理,這兩個特點正是現代區域網路設計必須實現的兩個基本目標, 在區域網路中有效利用虛擬區域網路技術能夠提高網路運行效率.
作用
VLAN隔離技術並通過支持VLAN技術的交換機隔離不同組區域網路絡設備間的數據交換來達到網路安全的目的。
使用VLAN隔離技術也有一個明顯的缺點,那就是要求網路管理員必須明確交換機的每一個物理連線埠上所連線的設備的MAC地址或者IP位址,根據需求劃分不同的工作組並對交換機進行配置。當某一網路終端的網卡、IP位址或是物理位置發生變化時,需要對整個網路系統中多個相關的網路設備進行重新配置,這加重了網路管理員的維護工作量,所以也只適用於小型網路。
VLAN優點
增加了網路的連線靈活性
藉助VLAN技術,能將不同地點、不同網路、不同用戶組合在一起,形成一個虛擬的網路環境 ,就像使用本地LAN一樣方便、
靈活、有效。VLAN可以降低移動或變更工作站地理位置的管 理費用,特別是一些業務情況有經常性變動的公司使用了VLAN後,
這部分管理費用大大降低。
增加網路的安全性
因為一個VLAN就是一個單獨的廣播域,VLAN之間相互隔離,這大大提高了網路的利用率,確保了網路的安全保密性。人們在
LAN上經常傳送一些保密的、關鍵性的數據。保密的數據應 提供訪問控制等安全手段。一個有效和容易實現的方法是將網路
分段成幾個不同的廣播組,網路管理員限制了VLAN中用戶的數量,禁止未經允許而訪問VLAN中的套用。交換連線埠可以基於應
用類型和訪問特權來進行分組,被限制的應用程式和資源一般置於安全性VLAN中。
VLAN分類
基於連線埠VLAN
基於連線埠的VLAN是劃分虛擬區域網路最簡單也是最有效的方法,這實際上是某些交換連線埠的集合,網路管理員
只需要管理和配置交換連線埠,而不管交換連線埠連線什麼設備。
基於MAC地址
由於只有網卡才分配有MAC地址,因此按MAC地址來劃分VLAN實際上是將某些工作站和伺服器劃屬於某個VLAN。
事實上,該VLAN是一些MAC地址的集合。當設備移動時,
VLAN能夠自動識別。網路管理需要管理和配置設備的MAC地址,顯然當網路規模很大,設備很多時,會給管理帶來難度。
基於第3層VLAN
基於第3層的VLAN是採用在路由器中常用的方法:IP子網和IPX網路號等。其中,區域網路交換機允許一個子網
擴展到多個區域網路交換連線埠,甚至允許一個連線埠對應於多個子網。
基於策略VLAN
基於策略的VLAN是一種比較靈活有效的VLAN劃分方法。該方法的核心是採用什麼樣的策略?常用的策略
有(與廠商設備的支持有關):按MAC地址, 按IP位址, 按乙太網協定類型, 按網路的套用等
VLAN套用
VLAN隔離技術在同一個VLAN中的工作站,不論它們實際與哪個交換機連線,它們之間的通訊就好像在獨立的集線器上一樣。同一個VLAN中的廣播只有VLAN中的成員才能聽到,而不會傳輸到其他的 VLAN中去,這樣可以很好的控制不必要的廣播風暴的產生。同時,若沒有路由的話,不同VLAN之間不能相互通訊,這樣增加了企業網路中不同部門之間的安全性。網路管理員可以通過配置VLAN之間的路由來全面管理企業內部不同管理單元之間的信息互訪。交換機是根據用戶工作站的MAC地址來劃分VLAN的。所以,用戶可以自由的在企業網路中移動辦公,不論他在何處接入交換網路,他都可以與VLAN內其他用戶自如通訊。
VLAN(Virtual Local Area Network)即虛擬區域網路,是一種通過將區域網路內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。IEEE於1999年頒布了用以標準化VLAN實現方案的802.1Q協定標準草案。
VLAN技術允許網路管理者將一個物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN,即VLAN),每一個VLAN都包含一組有著相同需求的計算機工作站,與物理上形成的LAN有著相同的屬性。但由於它是邏輯地而不是物理地劃分,所以同一個VLAN內的各個工作站無須被放置在同一個物理空間裡,即這些工作站不一定屬於同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN 中,從而有助於控制流量、減少設備投資、簡化網路管理、提高網路的安全性。
VLAN是為解決乙太網的廣播問題和安全性而提出的一種協定,它在乙太網幀的基礎上增加了VLAN頭,用 VLAN ID把用戶劃分為更小的工作組,限制不同工作組間的用戶二層互訪,每個工作組就是一個虛擬區域網路。虛擬區域網路的好處是可以限制廣播範圍,並能夠形成虛擬工作組,動態管理網路。
VLAN(虛擬區域網路)隔離技術是一種一方面為了避免當一個網路系統的設備數量增加到一定規模後,大量的廣播報文消耗大量的網路頻寬,從而影響有效數據的傳遞;另一方面確保部分安全性比較敏感的部門不被隨意訪問瀏覽而採用的劃分相互隔離子網的方法。基於VLAN隔離技術的訪問控制方法在一些中小型企業和校園網中得到廣泛的套用。
VLAN是一個獨立的設備或者用戶的邏輯組,是一個獨立的邏輯網路,單獨的廣播域。
通過VLAN隔離技術,可以把一個網路系統中眾多的網路設備分成若干個虛擬的工作組,組和組之間的網路設備在二層上相互隔離,形成不同的廣播域,將廣播流量限制在不同的廣播域。由於VLAN技術是基於二層和三層之間的隔離,可以將不同的網路用戶與網路資源進行分組並通過支持VLAN技術的交換機隔離不同組區域網路絡設備間的數據交換來達到網路安全的目的。該方式允許同一VLAN上的用戶互相通信,而處於不同VLAN的用戶之間在數據鏈路層上是斷開的,只能通過三層路由器才能訪問。
在安全性方面,VLAN隔離技術可以保證物理設備之間的隔離,但是對於同一台伺服器,只能做到同時向多個VLAN組全面開放或者是只向某個VLAN組開放,而不能針對個別用戶進行限制。在實際套用中,一台伺服器擔當多種伺服器角色,同時為多個VLAN組用戶提供不同的服務,這也帶來一定的安全隱患。比如:一台市場部電子商務伺服器,存儲有客戶數據,同時它也是一台財務部資料庫伺服器,存儲有財務數據,這樣該伺服器就同時需要向市場人員和財務人員開放,單純的採用VLAN技術就無法避免市場人員查看財務數據(當然,這種隱患可以通過其它輔助手段解決)。
現今VLAN技術經過多年的發展有了廣泛的使用,VLAN的劃分方法也不再是只能根據交換機的物理連線埠來劃分。VLAN一般的劃分方法有三種:1.基於連線埠劃分。由管理員指定靜態連線埠屬於哪個VLAN。2.基於MAC地址劃分。是按照每一個連線到交換機設備的物理地址定義MAC成員。3.基於第三成協定類型或者地址劃分。包括根據網路地址劃分,根據不同網路協定(TCP/IP、IPX、DECNET)劃分等等。
因為VLAN技術與區域網路技術息息相關,所以在介紹VLAN之前,了解區域網路的知識是有必要的。區域網路(LAN)通常被定義為一個單獨的廣播域,主要使用Hub,網橋,或交換機等網路設備連線同一網段內的所有節點。同處一個區域網路之內的網路節點之間可以不通過網路路由器直接進行通信;而處於不同區域網路段內的設備之間的通信則必須經過網路路由器。
