【文章內(nèi)容簡介】 管理變得非常復(fù)雜。PVLAN(Private VLAN)技術(shù)的出現(xiàn)解決了這些問題。PVLAN將VLAN中的端口分為兩類：與用戶相連的端口為隔離端口(Isolate Port)，上行與路由器相連的端口為混合端口(Promiscuous Port)。隔離端口只能與混合端口通信，相互之間不能通信。這樣就將同一個VLAN下的端口隔離開來，用戶只能與自己的默認網(wǎng)關(guān)通信，網(wǎng)絡(luò)的安全性得到保障。 QinQ原理和配置QinQ是對基于IEEE ，又稱VLAN堆疊。QinQ技術(shù)是在原有VLAN標簽(內(nèi)層標簽)之外再增加一個VLAN標簽(外層標簽)，外層標簽可以將內(nèi)層標簽屏蔽起來。QinQ不需要協(xié)議的支持，通過它可以實現(xiàn)簡單的L2VPN(二層虛擬專用網(wǎng))，特別適合以三層交換機為骨干的小型局域網(wǎng)。QinQ技術(shù)的典型組網(wǎng)，連接用戶網(wǎng)絡(luò)的端口稱為Customer端口，連接服務(wù)提供商網(wǎng)絡(luò)的端口稱為Uplink端口，服務(wù)提供商網(wǎng)絡(luò)邊緣接入設(shè)備稱為PE用戶網(wǎng)絡(luò)一般通過Trunk VLAN方式接入PE，服務(wù)提供商網(wǎng)絡(luò)內(nèi)部的Uplink端口通過Trunk VLAN方式對稱連接。當(dāng)報文從用戶網(wǎng)絡(luò)1到達交換機A的customer端口時，無論報文是tagged還是untagged的，交換機A都強行插入外層標簽(VLAN ID為10)。在服務(wù)提供商網(wǎng)絡(luò)內(nèi)部，報文沿著VLAN 10的端口傳播，直至到達交換機B。交換機B發(fā)現(xiàn)與用戶網(wǎng)絡(luò)2相連的端口為customer端口，恢復(fù)成用戶的原始報文，發(fā)送到用戶網(wǎng)絡(luò)2。樣，用戶網(wǎng)絡(luò)1和2之間的數(shù)據(jù)可以通過服務(wù)提供商網(wǎng)絡(luò)進行透明傳輸，用戶網(wǎng)絡(luò)可以自由規(guī)劃自己的私網(wǎng)VLAN ID，而不會導(dǎo)致和服務(wù)提供商網(wǎng)絡(luò)中的VLAN ID沖突。 SuperVLAN原理和配置傳統(tǒng)的ISP網(wǎng)絡(luò)給每個用戶被分配一個IP子網(wǎng)，每分配一個子網(wǎng)，就有三個IP地址被占用，分別作為子網(wǎng)的網(wǎng)絡(luò)號、廣播地址和缺省網(wǎng)關(guān)。如果一些用戶的子網(wǎng)中有大量未分配的IP地址，也無法給其他用戶使用。因此這種方法會造成IP地址的浪費。SuperVLAN有效的解決了這個問題，它把多個VLAN(稱為子VLAN)聚合成一個SuperVLAN，這些子VLAN使用同一個IP子網(wǎng)和缺省網(wǎng)關(guān)。利用SuperVLAN技術(shù)，ISP只需為SuperVLAN分配一個IP子網(wǎng)，并為每個用戶建立一個子VLAN，所有子VLAN可以靈活分配SuperVLAN子網(wǎng)中的IP地址，使用SuperVLAN的缺省網(wǎng)關(guān)。每個子VLAN都是一個獨立的廣播域，保證不同用戶之間的隔離，子VLAN之間的通信通過SuperVLAN進行路由。第三章 VLAN的劃分方式 基于端口劃分的VLAN以網(wǎng)絡(luò)設(shè)備的哪個端口屬于哪個VLAN的標準來劃分VLAN。例如，在一個有8個端口的網(wǎng)橋中，端口7屬于VLAN1，而端口8屬于VLAN2。則與這些端口相連的設(shè)備、這些設(shè)備收發(fā)的數(shù)據(jù)幀相應(yīng)地也分別屬于VLANVLAN2。究竟如何配置，由管理員決定。如果有多個網(wǎng)絡(luò)設(shè)備，例如有多個交換機，可以指定交換機1的1~6端口和交換機2的1~4端口為同一VLAN，即同一VLAN可以跨越數(shù)個交換機，根據(jù)端口劃分是目前定義VLAN的最常用的方法，IEEE 。這種劃分方法的優(yōu)點和缺點都很明顯：優(yōu)點是定義VLAN成員時非常簡單，只要將所有的端口都指定一下就可以了；缺點是不允許用戶隨便移動。如果屬于某個VLAN的用戶離開了原來的端口，到了一個新的網(wǎng)絡(luò)設(shè)備的某個端口，那么網(wǎng)絡(luò)管理者就必須重新定義VLAN。 基于MAC地址劃分的VLAN以計算機工作站網(wǎng)卡的MAC地址來劃分VLAN。這種劃分方法的最大優(yōu)點就是由于一個MAC地址唯一對應(yīng)一塊計算機網(wǎng)卡，故此當(dāng)某個計算機工作站物理位置改變時、即從一臺交換機轉(zhuǎn)移到另一臺交換機時，不需要重新配置VLAN；而缺點是所有的VLAN成員必須事先定義，這在有數(shù)以百計乃至千計用戶的網(wǎng)絡(luò)中，這并不是一件輕松的事。而且這種劃分方法也導(dǎo)致了交換機執(zhí)行效率的降低，因為交換機的每一個端口都可能連接許多不同VLAN組的成員，這樣就無法限制廣播報文了。另外，對于使用筆記本電腦的用戶來說，他們的網(wǎng)卡可能經(jīng)常更換，VLAN就必須不停的配置。 基網(wǎng)絡(luò)層協(xié)議劃分的VLAN如果網(wǎng)絡(luò)支持多網(wǎng)絡(luò)層協(xié)議，那么根據(jù)數(shù)據(jù)幀頭中的網(wǎng)絡(luò)層協(xié)議類型字段也可以劃分VLAN。這對網(wǎng)絡(luò)管理員來說很重要，同時，這種方法不需要附加的幀標簽來識別VLAN，可以減少網(wǎng)絡(luò)的通信量。 基于網(wǎng)絡(luò)層子網(wǎng)劃分的VLAN根據(jù)數(shù)據(jù)報文頭中的網(wǎng)絡(luò)層子網(wǎng)地址也可以劃分VLAN。雖然這種劃分方法根據(jù)的是第3層信息即網(wǎng)絡(luò)地址(比如IP地址)，但它與網(wǎng)絡(luò)層的路由功能一點關(guān)系也沒有。它只是查看每個數(shù)據(jù)報文的網(wǎng)絡(luò)層地址，并根據(jù)過濾數(shù)據(jù)庫中事先定義好的信息決定其歸屬于哪個VLAN，然后再根據(jù)生成樹算法進行橋交換，并不牽涉任何路由操作。這種方法的優(yōu)點是當(dāng)某個計算機工作站物理位置改變時，即從一臺交換機轉(zhuǎn)移到其它的交換機，不需要重新配置VLAN。其缺點是效率低，因為相對于第2層VLAN的實現(xiàn)技術(shù)，檢查每一個數(shù)據(jù)報文的網(wǎng)絡(luò)層地址是很費時間的。一般的交換機芯片都優(yōu)點是具有更大的靈活性，而且也很容易通過路由器進行擴展。缺點是不適合LAN，主要是效率不高。 基于網(wǎng)絡(luò)層組播劃分的VLAN網(wǎng)絡(luò)層組播實際上是一種VLAN。即認為一個組播組就是一個VLAN，這種劃分方法實際將VLAN擴大到了WAN。該方法的應(yīng)用程序的類型乃至兩者的綜合來劃分VLAN也是有可能的。例如，規(guī)定所有的FTP應(yīng)用在一個VLAN里運行而所有的Telnet應(yīng)用在另一個VLAN里運行。這些方法的缺點在于它們都很費時，都要求更高的處理技術(shù)和更快的處理速度，目前的實現(xiàn)尚無法令人們滿意。，雖然它也允許基于協(xié)議類型的VLAN以及3層以上VLAN，但并沒有給出相應(yīng)的標準。 基于網(wǎng)絡(luò)以上協(xié)議乃至應(yīng)用程序的類型劃分的VLAN根據(jù)網(wǎng)絡(luò)層以上協(xié)議的類型、可以自動檢查數(shù)據(jù)幀的幀頭，但檢查數(shù)據(jù)報文的報文頭，則需要更高的技術(shù)(設(shè)備設(shè)計制造成本也會相應(yīng)增加)，同時也更費時。當(dāng)然，這跟各個廠商的實現(xiàn)方法有關(guān)。第四章 VLAN之間的通信 背景隨著交換機應(yīng)用的普及，VLAN技術(shù)的應(yīng)用也越來越廣泛。眾所周知，VLAN技術(shù)的主要作用是可將分布于不同地理位置的計算機按工作需要組合成一個邏輯網(wǎng)絡(luò)，同時VLAN的劃分可縮小廣播域，以提高網(wǎng)絡(luò)傳輸速度，由于處于不同VLAN的計算機之間不能直接通信，從而使網(wǎng)絡(luò)的安全性能得到了很大提高。但事實上在很多網(wǎng)絡(luò)中要求處于不同VLAN中的計算機間能夠相互通信，如何解決VLAN間的通信問題是我們在規(guī)劃VLAN時必須認真考慮的問題。在企業(yè)網(wǎng)絡(luò)發(fā)展的初期，網(wǎng)絡(luò)中只有10%~20%的信息在VLAN之間傳播，但隨著多媒體技術(shù)在企業(yè)網(wǎng)絡(luò)中應(yīng)用的迅速普及，VLAN之間信息的傳輸量增加了許多倍，如果VLAN之間的通信問題解決得不好，將嚴重影響網(wǎng)絡(luò)的使用和安全。在LAN內(nèi)的通信，是通過數(shù)據(jù)幀頭中指定通信目標的MAC地址來完成的。而為了獲取MAC地址，TCP/IP協(xié)議下使用ARP地址協(xié)議解析MAC地址的方法是通過廣播報文來實現(xiàn)的，如果廣播報文無法到達目的地，那么就無從解析MAC地址，亦即無法直接通信。當(dāng)計算機分屬不同的VLAN時，就意味著分屬不同的廣播域，自然收不到彼此的廣播報文。因此，屬于不同VLAN的計算機之間無法直接互相通信。為了能夠在VLAN間通信，需要利用OSI參照模型中更高一層——網(wǎng)絡(luò)層的信息(IP地址)來進行路由。在目前的網(wǎng)絡(luò)互連設(shè)備中能完成路由功能的設(shè)備主要有路由器和三層以上的交換機。 通過路由器實現(xiàn)VLAN之間的通信使用路由器實現(xiàn)VLAN間通信時，路由器與交換機的連接方式有兩種。第一種通過路由器的不同物理接口與交換機上的每個VLAN分別連接。第二種通過路由器的邏輯子接口與交換機的各個VLAN連接。 通過路由器的不同物理接口與交換機上每個VLAN分別連接這種方式的優(yōu)點是管理簡單，缺點是網(wǎng)絡(luò)擴展難度大。每增加一個新的VLAN，都需要消耗路由器的端口和交換機上的訪問鏈接，而且還需要重新布設(shè)