VIAN学习笔记整理
VLAN(Virtual Local Area Network)的中文名为"虚拟局域网"。
一、作用:
VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。
二、目的:
总结 -- 何时应用:
当一个交换机上的所有端口中有至少一个端口属于不同网段的时候
当路由器的一个物理端口要连接2个或者以上的网段的时候
1、凡是不同网段间要互相访问,都必须通过路由器。
2、VLAN本质就是指一个网段,之所以叫做虚拟的局域网,是因为它是在虚拟的路由器的接口下创建的网段。
用一个物理端口却可以实现两个逻辑接口的功能:
这样就将原本只能划分一个网段的情形,扩展到了可以划分2个或者更多个网段的情形。
例:路由器的物理端口只应该可以分配一个IP地址,那怎样来区分不同网段了?这就可以在这个物理端口下,创建两个子接口---逻辑接口实现。
3、将在交换机的层次上阐述VLAN的目的:
LAN的举例 -- 两个不同的路由器:
只有销售部和企划部两个网段。那么可以简单的将销售部全部接入一个交换机,然后接入路由器的一个端口,把企划部全部接入一个交换机,然后接入一个路由器端口。
VLAN的举例 -- 接入同一个路由器:
如果路由器就一个用于终端的接口,那么这两个交换机就必须接入这同一个路由器的接口,这个时候,如果还想保持原来的网段的划分,那么就必须使用路由器的子接口,创建VLAN。
三、优势
1、广播风暴防范
什么是广播风暴:
当广播数据充斥网络无法处理,并占用大量网络带宽,导致正常业务不能运行,甚至彻底瘫痪,这就发生了“广播风暴”
广播:一个数据帧或包被传输到本地网段 (由广播域定义)上的每个节点
由于网络拓扑的设计和连接问题,或其他原因导致广播在网段内大量复制,传播数据帧,导致网络性能下降,甚至网络瘫痪,这就是广播风暴。
风暴产生原因
1、不合理的网络划分。比如很多客户机处于同一个网段内。由于ARP、DHCP都是广播包的形式,那么有时候就会产生广播风暴。
2、环路。环路时,数据包会不断的重复传输,也一样会产生广播风暴。
这两者中,环路的情况比较恶性,需要网管人员立即进行排除;而网段划分引起的广播风暴比较良性,一般对网络的影响较小。
如何判断当前是否出现了二层广播风暴:
1、成片区域上网特别卡(延迟时间100-300ms) PC通过console线登录到交换机,通过命令行的方式发现交换机的CPU利用率特别高(95%-100%)
2、查看MAC地址表,出现了MAC地址偏移的现象(一个相同的 MAC地址在不同的接口学习到)
3、查看 0/8 和 0/1接口的速率统计,从设备开机到现在,接口一共收到了多少广播包,一分钟后,再看这个接口收到了多少广播包,看一分钟之内增加了多少广播包,成百上千的话肯定是产生了二层广播风暴
4、查看机房交换机接口的状态灯,正常情况下是绿色且定期的闪烁(有流量在传输),如果说其中有一个接口呈黄色且快速闪烁,很难判断 但如果是所有的接口呈黄色且快速闪烁,基本上可以判断产生了二层广播风暴
如何解决这个问题:
在面对网络广播风暴发生时,要冷静分析广播风暴产生的原因,可运用排除法、替换法和网线插拔法等多种方法综合运用,一步一步地进行故障排除,快速定位引发广播风暴的故障点,查出引发广播风暴的原因,及时采取相应措施来消灭广播风暴。总的来看,要解决广播风暴的问题,可以从以下几个方面入手:
1、在局域网中安装WSUS补丁服务器,保证局域网所有计算机都能及时打上最新的补丁。
2、最好在局域网内安装网络版的防毒服务器,如无条件这,起码也得保证单机版的防毒软件的病毒库是经常更新的。
3、检查每一台计算机的网卡、网线和交换机的每一个端口,检查是否有故障。
4、当广播风暴发生时,观察交换机的指示灯不啻为很好的方法,可直接观察网络连通性及网络流量。
要避免广播风暴,可以采用恰当划分VLAN、缩小广播域、隔离广播风暴,还可在千兆以太网口上启用广播风暴控制,最大限度地避免网络再次陷入瘫痪。当端 口接受到大量的广播、单播或组播的包时,就会发生广播风暴。转发这些包会导致网络速度变慢或超时,在交换机上借助对端口的广播风暴控制可以有效避免硬件损 坏或链路故障导致的广播风暴的网络瘫痪。
2、安全 -- 增强局域网的安全性
含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其他VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
3、成本降低 + 性能提高
成本高昂的网络升级需求减少,现有带宽和上行链路的利用率更高,因而可节约成本。
将第二层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并提高性能。
4、提高人员工作效率 + 简化管理
VLAN为网络管理带来了方便,因为有相似网络需求的用户将共享同一个VLAN。
VLAN将用户和网络设备聚合到一起,以支持商业需求或地域上的需求。通过职能划分,项目管理或特殊应用的处理都变得十分方便,例如可以轻松管理教师的电子教学开发平台。此外,也很容易确定升级网络服务的影响范围。
5、增加了网络连接的灵活性
借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地VLAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。
四、组建条件
1、路由和访问控制列表实现VLAN间访问控制
VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,可以采用路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。
2、采用VLAN技术本身来构造访问控制
VLAN技术本身是以太网技术、其本身可以支持直接采用VLAN构造访问控制,并不需要借用路由,就可以实现完整的以太网网络的VLAN逻辑拓扑和VLAN间访问控制的设计,使得IT系统可以运行在其专用虚拟局域网上,实现IT系统的可靠隔离,同时,实现IT系统的安全的访问控制。
五、VLAN之间的通信
尽管大约有80%的通信流量发生在VLAN内,但仍然有大约20%的通信流量要跨越不同的VLAN。目前,解决VLAN之间的通信主要采用路由器技术。
VLAN之间通信一般采用两种路由策略,即集中式路由和分布式路由,或由VLAN本身的访问控制技术。
1、集中式路由
集中式路由策略是指所有VLAN都通过一个中心路由器实现互联。对于同一交换机(一般指二层交换机)上的两个端口,如果它们属于两个不同的VLAN,尽管它们在同一交换机上,在数据交换时也要通过中心路由器来选择路由。
这种方式的优点是简单明了,逻辑清晰。缺点是由于路由器的转发速度受限,会加大网络时延,容易发生拥塞现象。因此,这就要求中心路由器提供很高的处理能力和容错特性。
2、分布式路由
分布式路由策略是将路由选择功能适当地分布在带有路由功能的交换机上(指三层交换机),同一交换机上的不同VLAN可以直接实现互通,这种路由方式的优点是具有极高的路由速度和良好的可伸缩性。