李龙杰 龚俊 陈润星
摘要:随着网络技术的发展,各单位均开始组建自己的企业网络,不同部门之间的权限差异、网络隔离以及网络中的广播风暴抑制均可以通过在局域网内进行二层网络划分实现。VLAN作为一种在二层网络上建立逻辑通路的技术,以其较好的可操作性、灵活性和安全性使其在局域网中得到广泛应用,802.1Q作为VLAN的一种实现标准,几乎在所有二层交换机中均得到支持,该文对VLAN原理以及802.1Q工作原理进行了深入探讨。
关键词:二层网络;VLAN;802.1Q
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2022)15-0032-03
在传统的组网方式中,多台主机通过二层交换机网络互联组成,由此达到在不同计算机之间建立数据传输通道、资源共享的目的,如图1所示。在这种交换机互联的网络中,所有主机均处于同一局域网,即所有主机均处于同一广播域,局域网中的任一主机发送的广播包(如ARP Request)将被所有主机接收,未知单播包也将被交换机泛洪至所有端口,因此局域网中充斥着大量广播包,导致网络风暴,从而严重影响网络性能。并且随着接入局域网的主机数量的增加,网络性能会持续下降[1]。由于各部门主机均处于同一网络,各部门之间的信息几乎为透明状态,这给某些保密要害部门的信息安全构成了威胁。由此在不改变网络架构情况下,引入VLAN可以帮助缓解广播风暴和提高保密要害部门的信息安全。
1 VLAN简介
VLAN(Virtual Local Area Network)的中文名为“虚拟局域网”。VLAN是建立在二层网络上的逻辑通路,其将设备划分到不同的逻辑网段中,使得不同逻辑网段之间的设备处于不同的广播域。因此,每个VLAN都是一个局域网,处于不同VLAN之间的设备不能实现二层互联互通,要使得不同VLAN间的设备通信,必须通过路由或三层交换机实现[2](其实三层交换机第一帧也是通过路由实现跨网段传输,后续帧才交给二层引擎进行数据交换)。
2 VLAN特点和优势
2.1 提高网络性能
在图1所示的大型局域网中,由于所有主机节点均处于同一广播域,任何节点发出的广播帧均会被转发至整个网络,各主机节点均会接收并处理这些广播帧,但绝大多数广播帧均与节点不相关。所以,局域网中充斥着大量无效的广播帧,不仅对主机带来了无效的额外CPU开销,而且严重降低了网络带宽的有效利用率,甚至造成广播风暴,阻塞并造成网络瘫痪。因此,将大型局域网划分为多个小型局域网成为一种可行性高的解决方案。
通过使用VLAN和路由器组网的方式可实现小型局域网的划分,这两种组网方式对比如表1所示。
从表1可以看出,使用VLAN进行局域网划分可行性高、操作简单,可有效达到隔离广播域、减小广播风暴、增强网络带宽利用率的目的。
2.2 增强网络安全性
在图1所示的大型局域网中,各主机之间的信息近乎透明,对于需要保密的部门或信息无任何安全措施,而采用VLAN可实现对不同主机访问权限的控制。例如:人力资源部保存着大量的员工个人信息,将人力资源部的所有主机划分到某一VLAN中,这样其他部门将失去对人力资源部主机的访问权限,从而达到保护信息安全的目的。
2.3 实现不同业务划分
数据通信领域使用不同的VLAN实现业务流的划分,例如将VLAN x1划分给家庭宽带上网业务,将VLAN x2划分给视频组播流业务,将VLAN x3划分给电话通信业务等,如图2所示。
2.4 跨区域局域网
VLAN可实现处于不同区域的相同部门之间的资源共享,如图3所示。
3 VLAN的划分方法
3.1 基于端口
基于端口的划分方法是按照交换机物理端口进行VLAN划分,且允许跨越多个交换机的多个不同端口划分[3],将若干个交换机端口划分到同一VLAN域,这样接入该端口的主机将处于同一广播域。主机对于VLAN来说将是透明存在的。
3.2 基于MAC地址
基于MAC地址的划分方法是按照主机MAC地址进行VLAN划分,由于MAC地址具有全球唯一性,所以将多个不同MAC的主机划分到同一VLAN后,将不以主机的物理位置变化、IP地址变化进行重新划分VLAN[4]。
基于MAC地址的VLAN也具有一定局限性,每当有主机接入网络时,需要网络管理程序遍历“MAC地址-VLAN对应表”查询为该MAC地址分配的VLAN,并将该VLAN部署到主机接入的交换机。随着主机接入网络的频率越高,遍历程序执行越频繁,将带来一定的网络性能下降。并且如果未查询到为该MAC地址分配的VLAN,则需要网络管理员手动添加VLAN,网络管理难度升高。
3.3 基于IP
基于IP的划分方法是根据数据包中不同的IP地址进行VLAN划分,接入网络的主机只要IP地址不改变,无论物理位置如何变化,均不需要指定新的VLAN。
同基于MAC地址划分VLAN原理相同,每当有主机接入网络时,需要网络管理程序遍历“IP地址-VLAN对应表”查询为该IP地址分配的VLAN,并将该VLAN部署到主机接入的交换机。随着主机接入网络的频率越高,将带来网络性能下降和管理难度升高的问题。
4 VLAN技术应用
4.1 VLAN帧格式
IEEE802.1Q协议全称Virtual Bridged Local Area Networks协议,其作为VLAN技术规范包含了VLAN框架、VLAN技术提供的服務和VLAN技术涉及的协议和算法,为不同通信设备上之间的互联互通提供了技术标准。2B3BCD10-E106-4109-9F40-D991B651E0F8
802.1Q协议规定了带VLAN的数据帧格式,如图4所示。
由图4可以看到,带VLAN的数据帧在标准以太网帧基础上插入了四个字节的VLAN TAG,插入位置位于源MAC之后,以太网帧类型之前。VLAN TAG包含四个字段,关于这四个字段的介绍如表2所示。
4.2 VLAN工作原理
本文重点介紹基于端口的VLAN。
4.2.1 VLAN操作
在支持802.1Q的设备中,对于VLAN标签将进行TAG和UNTAG两种操作。在设备的具体实现中,UNTAG一般实现于出端口,TAG可实现于进端口和出端口两个地方,从交换机具体呈现出来的效果来看,为了便于理解,一般均认为TAG在进端口位置,UNTAG在出端口位置。
在TAG操作中,交换机根据端口的VLAN、优先级等配置,按照表2所示封装VLAN TAG,并按照图4所示在数据帧对应位置插入该VLAN TAG。在UNTAG操作中,交换机将数据帧对应VLAN字段全部剥离后转发出去。
4.2.2 基于端口VLAN的端口模式
在基于端口的VLAN模式下,端口为了支持VLAN,实现了三种工作模式:Access模式、Trunk模式和Hybrid模式[5],在介绍三种模式之前先了解几个基本概念:
1)VID:VLAN ID,如表2中VLAN ID介绍。在支持802.1Q的交换机MAC地址学习表中,将增加VID的学习。
2)PVID: 端口VID,表示端口被划分到哪个VLAN,属于交换机固有属性。
端口三种模式的工作方式以及对比如表所示。
4.2.3 示例演示
在图5所示的应用场景中,A和D处于同一VLAN中,B和C处于同一VLAN中,这里以A发出的数据帧被D所接收为例,具体解释基于交换机的VLAN是如何工作的。为了便于理解,直接假定该网络中从A到D的交换机MAC地址学习表已经完成建立。首先A发出一帧不带VLAN的二层数据帧(无IP地址)到交换机1的端口1(简写为SW1P1,以此类推),此时SW1P1接收该数据帧并检测到该帧无VLAN标签,SW1P1为该帧插入等于自身PVID为100的VLAN标签后向SW1P3转发,由于SW1P3为Trunk口并透传VLAN100,因此SW1P3直接向外转发到SW2P3,SW2P3和SW1P3同理透传VLAN100,SW2P3向SW2P2转发该帧,因为该帧携带的VID等于SW2P2的PVID,所以SW2P2剥离VLAN100后将数据帧转发至D。
4.2.4 应用案例
在图3所示的应用案例中,总部和分部通过互联网相连,并且均设有相同的部门1和部门2。两部门之间无业务往来,不需要相通,因此将部门1和部门2使用VLAN划分到不同的局域网可隔离广播域,有效提高网络带宽利用率,同时限制了对方对本部门的访问权限,提高了网络安全性。在总部和分部组成的网络中,严格意义上讲,总部和分部并不在同一局域网(通过若干个路由器实现跨网段通信),但是由于VLAN的存在,可将网络中间路由器组网方式看成一根网线直连,并将总部和分部的相同部门划分到同一VLAN域中。这种组网方式不仅体现了VLAN是在二层网络上建立的逻辑局域网,更体现了VLAN可实现跨区域组建局域网的特点(由于路由器存在,中间跨越了若干个网段)。
5 结束语
本文介绍了VLAN的优势、VLAN的技术原理和工作场景。VLAN由于具有隔离广播域、提高信息安全、实现跨区域组建局域网以及简单易学易配置的优点,所以被广泛应用于数据通信领域,已成为网络开发者必不可少的技能。
参考文献:
[1] 刘怀峰.浅析VLAN技术原理[J].科技信息,2014(13):236-237.
[2] 蒋磊.浅谈VLAN技术原理[J].科技视界,2012(29):180-181,203.
[3] 伍国良.浅谈VLAN技术[J].今日科苑,2009(4):197.
[4] 周红梅.网络中的VLAN技术[J].铁道通信信号,2006,42(3):41-43.
[5] 刘向东,李志洁,焉德军,等.IEEE 802 1Q VLAN原理实验的设计与实现[J].实验室研究与探索,2011,30(4):46-48,77.
.【通联编辑:代影】2B3BCD10-E106-4109-9F40-D991B651E0F8