【文章內容簡介】 管理變得非常復雜。PVLAN(Private VLAN)技術的出現(xiàn)解決了這些問題。PVLAN將VLAN中的端口分為兩類：與用戶相連的端口為隔離端口(Isolate Port)，上行與路由器相連的端口為混合端口(Promiscuous Port)。隔離端口只能與混合端口通信，相互之間不能通信。這樣就將同一個VLAN下的端口隔離開來，用戶只能與自己的默認網關通信，網絡的安全性得到保障。 QinQ原理和配置QinQ是對基于IEEE ，又稱VLAN堆疊。QinQ技術是在原有VLAN標簽(內層標簽)之外再增加一個VLAN標簽(外層標簽)，外層標簽可以將內層標簽屏蔽起來。QinQ不需要協(xié)議的支持，通過它可以實現(xiàn)簡單的L2VPN(二層虛擬專用網)，特別適合以三層交換機為骨干的小型局域網。QinQ技術的典型組網，連接用戶網絡的端口稱為Customer端口，連接服務提供商網絡的端口稱為Uplink端口，服務提供商網絡邊緣接入設備稱為PE用戶網絡一般通過Trunk VLAN方式接入PE，服務提供商網絡內部的Uplink端口通過Trunk VLAN方式對稱連接。當報文從用戶網絡1到達交換機A的customer端口時，無論報文是tagged還是untagged的，交換機A都強行插入外層標簽(VLAN ID為10)。在服務提供商網絡內部，報文沿著VLAN 10的端口傳播，直至到達交換機B。交換機B發(fā)現(xiàn)與用戶網絡2相連的端口為customer端口，恢復成用戶的原始報文，發(fā)送到用戶網絡2。樣，用戶網絡1和2之間的數(shù)據(jù)可以通過服務提供商網絡進行透明傳輸，用戶網絡可以自由規(guī)劃自己的私網VLAN ID，而不會導致和服務提供商網絡中的VLAN ID沖突。 SuperVLAN原理和配置傳統(tǒng)的ISP網絡給每個用戶被分配一個IP子網，每分配一個子網，就有三個IP地址被占用，分別作為子網的網絡號、廣播地址和缺省網關。如果一些用戶的子網中有大量未分配的IP地址，也無法給其他用戶使用。因此這種方法會造成IP地址的浪費。SuperVLAN有效的解決了這個問題，它把多個VLAN(稱為子VLAN)聚合成一個SuperVLAN，這些子VLAN使用同一個IP子網和缺省網關。利用SuperVLAN技術，ISP只需為SuperVLAN分配一個IP子網，并為每個用戶建立一個子VLAN，所有子VLAN可以靈活分配SuperVLAN子網中的IP地址，使用SuperVLAN的缺省網關。每個子VLAN都是一個獨立的廣播域，保證不同用戶之間的隔離，子VLAN之間的通信通過SuperVLAN進行路由。第三章 VLAN的劃分方式 基于端口劃分的VLAN以網絡設備的哪個端口屬于哪個VLAN的標準來劃分VLAN。例如，在一個有8個端口的網橋中，端口7屬于VLAN1，而端口8屬于VLAN2。則與這些端口相連的設備、這些設備收發(fā)的數(shù)據(jù)幀相應地也分別屬于VLANVLAN2。究竟如何配置，由管理員決定。如果有多個網絡設備，例如有多個交換機，可以指定交換機1的1~6端口和交換機2的1~4端口為同一VLAN，即同一VLAN可以跨越數(shù)個交換機，根據(jù)端口劃分是目前定義VLAN的最常用的方法，IEEE 。這種劃分方法的優(yōu)點和缺點都很明顯：優(yōu)點是定義VLAN成員時非常簡單，只要將所有的端口都指定一下就可以了；缺點是不允許用戶隨便移動。如果屬于某個VLAN的用戶離開了原來的端口，到了一個新的網絡設備的某個端口，那么網絡管理者就必須重新定義VLAN。 基于MAC地址劃分的VLAN以計算機工作站網卡的MAC地址來劃分VLAN。這種劃分方法的最大優(yōu)點就是由于一個MAC地址唯一對應一塊計算機網卡，故此當某個計算機工作站物理位置改變時、即從一臺交換機轉移到另一臺交換機時，不需要重新配置VLAN；而缺點是所有的VLAN成員必須事先定義，這在有數(shù)以百計乃至千計用戶的網絡中，這并不是一件輕松的事。而且這種劃分方法也導致了交換機執(zhí)行效率的降低，因為交換機的每一個端口都可能連接許多不同VLAN組的成員，這樣就無法限制廣播報文了。另外，對于使用筆記本電腦的用戶來說，他們的網卡可能經常更換，VLAN就必須不停的配置。 基網絡層協(xié)議劃分的VLAN如果網絡支持多網絡層協(xié)議，那么根據(jù)數(shù)據(jù)幀頭中的網絡層協(xié)議類型字段也可以劃分VLAN。這對網絡管理員來說很重要，同時，這種方法不需要附加的幀標簽來識別VLAN，可以減少網絡的通信量。 基于網絡層子網劃分的VLAN根據(jù)數(shù)據(jù)報文頭中的網絡層子網地址也可以劃分VLAN。雖然這種劃分方法根據(jù)的是第3層信息即網絡地址(比如IP地址)，但它與網絡層的路由功能一點關系也沒有。它只是查看每個數(shù)據(jù)報文的網絡層地址，并根據(jù)過濾數(shù)據(jù)庫中事先定義好的信息決定其歸屬于哪個VLAN，然后再根據(jù)生成樹算法進行橋交換，并不牽涉任何路由操作。這種方法的優(yōu)點是當某個計算機工作站物理位置改變時，即從一臺交換機轉移到其它的交換機，不需要重新配置VLAN。其缺點是效率低，因為相對于第2層VLAN的實現(xiàn)技術，檢查每一個數(shù)據(jù)報文的網絡層地址是很費時間的。一般的交換機芯片都優(yōu)點是具有更大的靈活性，而且也很容易通過路由器進行擴展。缺點是不適合LAN，主要是效率不高。 基于網絡層組播劃分的VLAN網絡層組播實際上是一種VLAN。即認為一個組播組就是一個VLAN，這種劃分方法實際將VLAN擴大到了WAN。該方法的應用程序的類型乃至兩者的綜合來劃分VLAN也是有可能的。例如，規(guī)定所有的FTP應用在一個VLAN里運行而所有的Telnet應用在另一個VLAN里運行。這些方法的缺點在于它們都很費時，都要求更高的處理技術和更快的處理速度，目前的實現(xiàn)尚無法令人們滿意。，雖然它也允許基于協(xié)議類型的VLAN以及3層以上VLAN，但并沒有給出相應的標準。 基于網絡以上協(xié)議乃至應用程序的類型劃分的VLAN根據(jù)網絡層以上協(xié)議的類型、可以自動檢查數(shù)據(jù)幀的幀頭，但檢查數(shù)據(jù)報文的報文頭，則需要更高的技術(設備設計制造成本也會相應增加)，同時也更費時。當然，這跟各個廠商的實現(xiàn)方法有關。第四章 VLAN之間的通信 背景隨著交換機應用的普及，VLAN技術的應用也越來越廣泛。眾所周知，VLAN技術的主要作用是可將分布于不同地理位置的計算機按工作需要組合成一個邏輯網絡，同時VLAN的劃分可縮小廣播域，以提高網絡傳輸速度，由于處于不同VLAN的計算機之間不能直接通信，從而使網絡的安全性能得到了很大提高。但事實上在很多網絡中要求處于不同VLAN中的計算機間能夠相互通信，如何解決VLAN間的通信問題是我們在規(guī)劃VLAN時必須認真考慮的問題。在企業(yè)網絡發(fā)展的初期，網絡中只有10%~20%的信息在VLAN之間傳播，但隨著多媒體技術在企業(yè)網絡中應用的迅速普及，VLAN之間信息的傳輸量增加了許多倍，如果VLAN之間的通信問題解決得不好，將嚴重影響網絡的使用和安全。在LAN內的通信，是通過數(shù)據(jù)幀頭中指定通信目標的MAC地址來完成的。而為了獲取MAC地址，TCP/IP協(xié)議下使用ARP地址協(xié)議解析MAC地址的方法是通過廣播報文來實現(xiàn)的，如果廣播報文無法到達目的地，那么就無從解析MAC地址，亦即無法直接通信。當計算機分屬不同的VLAN時，就意味著分屬不同的廣播域，自然收不到彼此的廣播報文。因此，屬于不同VLAN的計算機之間無法直接互相通信。為了能夠在VLAN間通信，需要利用OSI參照模型中更高一層——網絡層的信息(IP地址)來進行路由。在目前的網絡互連設備中能完成路由功能的設備主要有路由器和三層以上的交換機。 通過路由器實現(xiàn)VLAN之間的通信使用路由器實現(xiàn)VLAN間通信時，路由器與交換機的連接方式有兩種。第一種通過路由器的不同物理接口與交換機上的每個VLAN分別連接。第二種通過路由器的邏輯子接口與交換機的各個VLAN連接。 通過路由器的不同物理接口與交換機上每個VLAN分別連接這種方式的優(yōu)點是管理簡單，缺點是網絡擴展難度大。每增加一個新的VLAN，都需要消耗路由器的端口和交換機上的訪問鏈接，而且還需要重新布設