深入解析VLAN:现代网络架构的关键技术

一、什么是VLAN?

VLAN(virtual local Area Network)虚拟局域网,是将一个物理的LAN在逻辑上划分成多个广播域的通信技术。每个VLAN是一个广播域,VLAN内的主机间可以直接通信,而VLAN之间不能直接互通。这样,广播报文就被限制在了一个VLAN内。

二、为什么需要VLAN?

早期的以太网是一种基于CSMA\CD (carrier Sense Multiple Access/Collision Detection)的通向通讯介质的数据网络通信技术,当主机数量较多的时候会导致冲突严重、广播泛滥、性能严重下降甚至造成网络不可用等问题。通过第二层设备实现LAN互联虽然可以解决冲突严重的问题,但是仍然不能隔离广播报文和提升网络质量。

在这样的前提下有了VLAN技术,这种技术可以把一个LAN划分成多个逻辑的VLAN。每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN一样,而VLAN之间不能互通。广播报文就被限制在一个VLAN内

三、VLAN的作用

限制广播域:广播域被限制在一个VLAN中,节省了带宽,提高了网络处理能力。

增强局域网的安全性:不同VLAN内的报文在传输时相互隔离,即一个VLAN内的用户不能和其他VLAN内的用户直接通信

提高了网络的健壮性:故障被限制在了一个VLAN内,本VLAN内的故障不会影响到其他VLAN的正常工作

灵活构建虚拟工作组:用VLAN可以划分不同的用户到不同的工作组。同一工作组的用户也不必局限于某一固定的物理范围,网络构建和维护更方便快捷

四、VLAN vs 子网

通过将IP地址的网络部分进一步划分为若干个子网。可以解决IP地址空间利用率低和两级IP地址不够灵活的问题。

子网和VLAN类似的是。子网也可以隔离主机之间的通信。属于不同VLAN的主机之间不能直接通信,属于不同VLAN之间的主机也不能直接通信。但是两者之间没有必然的联系

VLAN 子网
区别 用于划分二层网络 用于划分三层网络
区别 在配置VLANIF接口的基础上实现路由互通之后,属于不同VLAN的用户才能互访 只要通过路由实现网络互通,属于不同子网的用户就能互访
区别 可以划分4094个VLAN,VLAN内主机的数量不受限制。 划分的网段的数量会影响各个子网内的主机的最大数
联系 同一个VLAN内可以划分一个或多个网段 同一个子网内,可以划分一个或多个VLAN

五、VLAN Tag 和 VLAN ID

要使交换机能够分辨不同VLAN报文,需要在报文中添加标识VLAN信息的字段,IEEE802.1Q协议规定,在以太网数据帧中加入4个字节的VLAN标签(VLAN Tag)用以标识VLAN信息

数据帧当中的VID字段标识了该数据帧所属的VLAN,数据帧只能在其所属的VLAN内传输,VID代表了VLAN ID,VLAN ID的取值范围是0~4095.由于0和4095是协议保留取值,所以VLAN ID的有效取值范围是1~4094.

交换机内部处理的数据都带有VLAN标签,而交换机连接的那部分设备(如用户主机、服务器)只会收发不带VLAN tag的传统以太网数据帧。因此,要与这些设备交互,就需要交换机接口能够识别传统以太网数据帧。因此要和这些设备交互,就需要交换机的接口能够识别传统以太网数据帧,并在收发时给帧添加、剥除VLAN Tag。添加什么VLAN标签,由接口上缺省的VLAN (port Default VLAN ID)决定

六、VLAN的接口类型和VLAN标签的处理机制

现网中属于同一个VLAN的用户可能会被连接在不同的交换机,而且跨越交换机的VLAN可能不止一个,如果需要用户间的互通,就需要在交换机之间的接口连接对象以及读收发数据帧处理的不同,当前有VLAN的多种接口类型,以适应不同的连接组网

6.1常见的接口类型

Access接口、Trunk接口、Hybrid接口

6.2VLAN的使用场景

VLAN的常见使用场景包括:VLAN之间用户的二层隔离。VLAN间用户的三层互访

6.2.1VLAN之间用户的二层隔离

比如,某商务楼内有多家公司、为了降低成本、多家公司公用网络资源、各公司分别连接到一台二层交换机的不同接口、并通过统一的出口访问Internet

为了保证各公司业务的独立和安全,可将每个公司所连接的接口划分到不同的VLAN,数显公司间业务数据的完全隔离。可以认为为每个公司拥有独立的“虚拟路由器”,每个VLAN就是一个“虚拟工作组”

再比如说,公司有两个部门,分别分配了固定的IP网段,为加强员工之间的学习和交流,员工的位置有时会相互调动,但公司希望各部门员工访问的网络资源的权限不变

为了保证部门内员工的位置调整后,访问网络资源的权限不变,可在公司的交换机Switch_1上配置基于IP子网划分VLAN。这样,服务器的不同网段就划分到不同的VLAN,访问服务器不同应用服务的数据流就会隔离,提高了安全性。

6.2.2VLAN间用户的三层互访

如下图所示,某小型公司的两个部门分别通过二层交换机接入到一台三层交换机Switch_3,所属VLAN分别为VLAN2和VLAN3,部门1和部门2的用户互通时,需要经过三层交换机。

可在Switch_1和Switch_2上划分VLAN并将VLAN透传到Switch_3上,然后在Switch_3上为每个VLAN配置一个VLANIF接口,实现VLAN2和VLAN3间的路由。

七、云化场景下,VLAN存在的问题

随着网络技术的发展,云计算凭借其在系统利用率高、人力和管理成本低、灵活性和可扩展性强等方面表现出的优势,已经成为目前企业IT建设的新趋势。而服务器虚拟化作为云计算的核心技术之一,得到了越来越多的应用。

VLAN作为传统的网络隔离技术,在标准定义中VLAN的数量只有4096个,无法满足大型数据中心的租户间隔离需求。另外,VLAN的二层范围一般较小且固定,无法支持虚拟机大范围的动态迁移。

因此,RFC定义了VLAN扩展方案VXLAN(Virtual eXtensible Local Area Network,虚拟扩展局域网)。VXLAN采用MAC in UDP(User Datagram Protocol)封装方式,是NVO3(Network Virtualization over Layer 3)中的一种网络虚拟化技术。VXLAN完美地弥补了VLAN的上述不足,一方面通过VXLAN中的24比特VNI(VXLAN Network Identifier)字段,提供多达16M租户的标识能力,远大于VLAN的数量;另一方面,VXLAN本质上在两台交换机之间构建了一条穿越数据中心基础IP网络的虚拟隧道,将数据中心网络虚拟成一个巨型“二层交换机”,满足虚拟机大范围动态迁移的需求。

八、结语

感谢你花时间阅读这篇关于VLAN介绍的文章!希望通过这篇文章,你能够初步的了解VLAN的作用以及应用场景。希望能为你带来实用的帮助和新的知识。

在这里也需要说明一下,尽管我努力确保每个步骤和细节都准确无误,但难免会有描述不当或疏漏之处。如果在操作过程中遇到任何问题,欢迎提出宝贵意见和建议,帮助我改进和完善这篇文章。再次感谢你的支持和理解!

你可能感兴趣的:(网络安全,网络,架构)