虚拟局域网

在数据链路层隔离的网络广播域

虚拟局域网Virtual Local Area Network或简写VLANV-LAN)是一种建构于区域网路交换技术(LAN Switch)的网路管理的技术,网管人员可以借此透过控制交换器有效分派出入区域网封包到正确的出入埠,达到对不同实体区域网中的设备进行逻辑分群(Grouping)管理,并降低区域网内大量资料流通时,因无用封包过多导致壅塞的问题,以及提升区域网的资讯安全保障。

概述

编辑

为实现交换机乙太网路广播隔离,一种理想的解决方案就是采用虚拟区域网路技术。这种对连接到第2层交换机端口的网路使用者的逻辑分段技术实现非常灵活,它可以不受使用者物理位置限制,根据使用者需求进行VLAN划分;可在一个交换器上实现,也可跨交换器实现;可以根据网路使用者的位置、作用、部门或根据使用的应用程序、上层协议或者乙太网路连接埠硬体地址来进行划分。

一个VLAN相当于OSI模型第2层的广播域,它能将广播控制在一个VLAN内部。而不同VLAN之间或VLAN与LAN / WAN的数据通讯必须通过第3层(网路层)完成。否则,即便是同一交换器上的连接埠,假如它们不处于同一个VLAN,正常情况下也无法进行数据通讯,特例是由于思科生产的交换机带有VLAN穿越漏洞,外来封包以广播进到该交换机时,它仍然会流入所有连至交换器上的电脑,而导致资讯可能外泄的潜藏风险。[1]

为了解决上述资讯安全议题,1995年IEEE 802委员会发表了802.1Q VLAN技术的实作标准与讯框结构,希望能透过设定逻辑位址(TPID英语Tag Protocol IdentifierTCI英语Tag Control Information),对实体区域网区隔成独立虚拟网段,以规范封包广播时的最大范围。

VLAN的作用

编辑

VLAN可以为网路提供以下作用:

  • 广播控制
  • 频宽利用
  • 降低延迟
  • 安全性(非设计作用,本身功能所附加出的)

VLAN的运作原理与实作方式

编辑

实体层(physical layer)

编辑

直接以交换器上的埠做为划分VLAN的基础。

这个方式的优点是简单与直观,因此,运用这种设定VLAN的情况十分普遍。但因为是实体层的设定,所以比较适合在规模不大的组织。

编辑

以每台主机的MAC地址做为划分VLAN的基础。方法是先建立一个比较复杂的资料库,通常为某网路设备的MAC地址与VLAN的映射关系资料库。当该网路设备连接到端口后,交换器会向VMPS(VLAN管理策略伺服器)来请求这个资料库。找到相应映射关系,完成端口到VLAN的分配。

这个方式的优点是即使电脑在实体上的位置不同,也不影响VLAN的运作。但缺点是网管人员必须在交换器中设定组织内每一台设备MAC地址与VLAN间的映射关系资料库。因此,这种设定策略的管理复杂度会随著越来越多的设备、与实体位置的群落、和不同工作任务需要而增加。

网路层(network layer)

编辑

以每台设备的IP地址做为划分VLAN的基础,以子网路视为VLAN设定的依据。

这个方式的优点是当网管人员已经将内部网段做好规划与分配的情况下,将可大辐降低网管人员规划并设定VLANs架构的复杂度。但缺点是原本传统交换器不需要对讯框作任何处理,但在这个机制下,交换器不但必须剖析讯框(Frame),还必须进一步取出Source IP与Destination IP进行比对,连带降低交换器接收与分派封包的效率。

VLAN 中标记 ( tagged ) 与未标记 ( untagged ) 的差异

编辑

VLAN分为未标记和已标记。已标记的VLAN会在数据封包中加上"标记",这样交换器和路由器才能正确处理它们。大多数网路设备都使用IEEE 802.1Q标准,它在封包中加入四个位元组的标签,这个额外的讯息将告诉我们这个数据包属于哪个VLAN,同时还有一个VLAN ID号码(在同一网路上最多可以有4094个VLAN)。已标记的VLAN可以可共用同一交换器埠,就是所谓的中继埠

未标记的VLAN是建立在交换器的实体连接埠上,通常称为存取连接埠。这种VLAN在封包中不添加额外的标记资讯,实际上,每个连接埠都被分配给特定的VLAN,就像将单一实体交换器分成多个虚拟小交换器。当某设备仅连接到某个VLAN的连接埠时,该连接埠将被视为未标记的,因此不会在封包中添加额外的标记。这种方式能有效管理不同的VLAN。 [2]

VLAN在网路管理上的实际应用

编辑

只有网管型交换机和少数非网管型交换机可以支援 VLAN 设定,从而使网路提升安全。 [3]

VLAN分割网段

编辑

可透过管理型网路交换器将VLAN进行分段,可将单一实体网路细分为多个逻辑网路。这项技术透过最大限度地减少广播流量、分隔不同类型的流量和使用者,以及简化不同网段的故障和配置,从而显著增强了智慧运输系统(英语:Intelligent Transport System、Intelligent Transportation System,缩写:ITS,又名:智慧型交通系统)的网路的性能、安全性和可管理性。

虚拟区域网路(VLAN)技术之于智慧交通系统的概念与应用:

编辑

为了减少网路后台的通信混乱,复杂架构下的众多设备可以以VLAN技术按照分类分割后各自独立,就能避免后台通讯网路负担过度。VLAN分隔提供了将每个设备逻辑分组以隔离广播流量的方法。例如,用5个独立的网路来分割交通路网 - 控制区、感测系统区、探测器区、摄影机区和管理区。 以物理方式观看,网路的基础结构没有变化。但就逻辑而言,每一个区块的流量已被个别独立在每个单独的VLAN中。管理VLAN被用来处理交换器之间的通讯,网路与设备分离提供了更高的安全性。管理VLAN与设备分离,需要特定的凭证才能存取和设定,将有助于保护网路免受未经授权的登入和配置修改。 [4]

相关内容

编辑

参考文献

编辑
  1. ^ Cisco IOS Switching Services Configuration Guide, Release 12.2. Cisco. Jan 30, 2014 [2018-10-25]. (原始内容存档于2019-06-03) (英语). 
  2. ^ 化繁為簡: 虛擬區域網路(VLAN). EtherWAN Systems. 
  3. ^ VLANs: Navigate your Network’s Security Armor. EtherWAN Systems. 
  4. ^ VLAN:優化ITS網路管理的關鍵利器. EtherWAN Systems.