VLAN无处不在。 您可以在大多数具有正确配置的网络的组织中找到它们。 如果不是很明显,VLAN代表“虚拟局域网”,它们在任何小型家庭或超小型办公网络之外的现代网络中都无处不在。
有几种不同的协议,其中许多是特定于供应商的协议,但是从根本上讲,每个VLAN都具有相同的功能,随着网络规模和组织复杂性的增长,VLAN扩展的好处也随之增加。
这些优势是为什么各种规模的专业网络都高度依赖VLAN的重要原因。 实际上,没有它们就很难管理或扩展网络。
VLAN的优势和可扩展性解释了为什么它们在现代网络环境中变得如此普遍。 使用VLAN的用户甚至难以管理或扩展中等复杂的网络。
什么是VLAN?
快速链接
- 什么是VLAN?
- 这个怎么运作
- VLAN与子网
- IP地址子网
- 虚拟局域网
- VLAN与子网
- VLAN的优势
- 静态VLAN与动态VLAN
- 静态VLAN
- 动态VLAN
- 设置VLAN
- 你需要什么
- 路由器
- 管理型交换机
- 客户端网络接口卡(NIC)
- 基本配置
- 设置路由器
- 配置交换机
- 连接客户
- 你需要什么
- VLAN在家
好的,所以您知道首字母缩写词,但是VLAN到底是什么? 使用或使用虚拟服务器的任何人都应该熟悉基本概念。
再想一想虚拟机如何工作。 多个虚拟服务器驻留在运行操作系统和管理程序的一个物理硬件中,以在单个物理服务器上创建和运行虚拟服务器。 通过虚拟化,您可以有效地将一台物理计算机变成多台虚拟计算机,每台虚拟计算机可用于单独的任务和用户。
虚拟LAN的工作方式与虚拟服务器基本相同。 一台或多台受管交换机运行该软件(类似于虚拟机监控程序软件),该软件允许这些交换机在一个物理网络内创建多个虚拟交换机。
每个虚拟交换机都是其自己的独立网络。 虚拟服务器和虚拟LAN之间的主要区别在于,可以使用称为中继的指定电缆将虚拟LAN分布在多个物理硬件之间。
这个怎么运作
想象一下,您正在为一个不断发展的小型企业运行一个网络,增加了员工,将其划分为不同的部门,并且变得更加复杂和组织化。
为了响应这些更改,您已升级到24端口交换机,以适应网络上的新设备。
您可能考虑仅将以太网电缆连接到每个新设备并调用已完成的任务,但是问题是每个部门使用的文件存储和服务必须保持分开。 VLAN是执行此操作的最佳方法。
在交换机的Web界面中,您可以配置三个单独的VLAN,每个部门一个。 划分它们的最简单方法是按端口号。 您可以将端口1-8分配给第一个部门,将端口9-16分配给第二个部门,最后将端口17-24 g分配给最后一个部门。 现在,您已将物理网络组织为三个虚拟网络。
交换机上的软件可以管理每个VLAN中客户端之间的流量。 每个VLAN都充当自己的网络,不能直接与其他VLAN交互。 现在,每个部门都有其自己的更小,更整洁,更高效的网络,您可以通过同一硬件进行管理。 这是一种非常有效且经济高效的网络管理方式。
当您需要部门能够进行交互时,可以使它们通过网络上的路由器进行交互。 路由器可以调节和控制VLAN之间的流量并执行更严格的安全规则。
在许多情况下,部门将需要一起工作和互动。 您可以通过路由器在虚拟网络之间实现通信,设置安全规则以确保各个虚拟网络的适当安全性和私密性。
VLAN与子网
VLAN和子网实际上非常相似,并具有相似的功能。 子网和VLAN都划分了网络和广播域。 在这两种情况下,细分之间的交互只能通过路由器进行。
它们之间的区别在于它们的实现形式以及它们如何改变网络结构。
IP地址子网
子网位于OSI模型的第3层(网络层)。 子网是网络级别的结构,由路由器处理,围绕IP地址进行组织。
路由器划分IP地址范围并协商它们之间的连接。 这给路由器带来了网络管理的所有压力。 随着网络规模和复杂性的扩展,子网也可能变得复杂。
虚拟局域网
VLAN在OSI模型的第2层上找到自己的家。 数据链接级别更接近于硬件,并且不那么抽象。 虚拟LAN模拟充当单个交换机的硬件。
但是,虚拟LAN能够分解广播域而无需重新连接到路由器,从而减轻了路由器的管理负担。
因为VLAN是它们自己的虚拟网络,所以它们的行为必须像它们具有内置路由器一样。 结果,VLAN至少包含一个子网,并且可以支持多个子网。
VLAN分配网络负载。 多台交换机可以在VLAN内处理流量,而无需路由器,从而可以提高系统效率。
VLAN的优点
到目前为止,您已经看到了VLAN带给桌面的两个优势。 仅凭它们的功能,VLAN便具有许多有价值的属性。
VLAN有助于提高安全性。 划分流量限制了任何未经授权访问网络部分的机会。 如果有任何恶意软件进入网络,它还有助于阻止恶意软件的传播。 潜在的入侵者不能使用诸如Wireshark之类的工具来嗅探其所在虚拟LAN以外的任何位置的数据包,从而也限制了这种威胁。
网络效率很重要。 实施VLAN可以为企业节省或花费数千美元。 通过限制一次通信中涉及的设备数量,中断广播域可以大大提高网络效率。 VLAN减少了部署路由器来管理网络的需求。
通常,网络工程师会选择基于每个服务构建虚拟LAN,从而将重要的或网络密集型流量分离出来,例如存储区域网络(SAN)或IP语音(VOIP)。 某些交换机还允许管理员对VLAN进行优先级排序,从而为更多要求更高且缺少关键性的流量提供更多资源。
需要建立一个独立的物理网络来分离流量将是非常糟糕的。 想象一下,为进行更改而必须费力地纠缠的布线难题。 没什么说增加的硬件成本和功耗。 这也将非常僵化。 VLAN通过虚拟化单个硬件上的多个交换机来解决所有这些问题。
VLAN通过便捷的软件界面为网络管理员提供了高度的灵活性。 说两个部门调换办公室。 IT人员是否必须随身携带硬件以适应变化? 否。他们可以将交换机上的端口重新分配给正确的VLAN。 某些VLAN配置甚至都不需要这样做。 他们会动态适应。 这些VLAN不需要分配端口。 相反,它们基于MAC或IP地址。 无论哪种方式,都不需要改组开关或电缆。 实施软件解决方案来更改网络位置要比移动物理硬件更为有效和具有成本效益。
静态VLAN与动态VLAN
VLAN有两种基本类型,按计算机连接它们的方式分类。 每种类型都有优点和缺点,应根据特定的网络情况考虑。
静态VLAN
静态VLAN通常称为基于端口的VLAN,因为设备通过连接到分配的端口来加入。 到目前为止,本指南仅以静态VLAN为例。
在使用静态VLAN建立网络时,工程师将交换机按端口划分,并将每个端口分配给VLAN。 连接到该物理端口的任何设备都将加入该VLAN。
静态VLAN提供了非常简单,易于配置的网络,而无需过多依赖软件。 但是,很难将访问限制在物理位置内,因为个人可以简单地插入。静态VLAN还需要网络管理员更改端口分配,以防网络上的某人更改物理位置。
动态VLAN
动态VLAN严重依赖于软件,并具有高度的灵活性。 管理员可以将MAC和IP地址分配给特定的VLAN,从而可以在物理空间中进行无阻碍的移动。 动态虚拟LAN中的计算机可以移动到网络中的任何位置,并保留在同一VLAN中。
尽管动态VLAN在适应性方面无与伦比,但它们仍具有一些严重的缺点。 高端交换机必须承担称为VLAN管理策略服务器(VMPS()的服务器的角色,以将地址信息存储并传递到网络上的其他交换机。VMPS与任何服务器一样,都需要定期管理和维护。并可能导致停机。
攻击者可以欺骗MAC地址并获得对动态VLAN的访问权限,从而增加了另一个潜在的安全挑战。
设置VLAN
你需要什么
设置一个或多个VLAN需要几个基本项目。 如前所述,存在许多不同的标准,但是最通用的标准是IEEE 802.1Q。 这就是本示例将要遵循的内容。
路由器
从技术上讲,您不需要路由器来设置VLAN,但是如果您想要多个VLAN进行交互,则将需要一个路由器。
许多现代路由器都以某种形式支持VLAN功能。 家用路由器可能不支持VLAN,或者仅支持有限容量。 像DD-WRT这样的自定义固件确实可以更全面地支持它。
说到自定义,您不需要现成的路由器即可与您的虚拟LAN协同工作。 自定义路由器固件通常基于类似Unix的操作系统,例如Linux或FreeBSD,因此您可以使用任何一种开源操作系统来构建自己的路由器。
您需要的所有路由功能均适用于Linux,并且您可以自定义配置Linux安装,以定制您的路由器来满足您的特定需求。 有关功能更完整的信息,请查看pfSense。 pfSense是FreeBSD的出色发行版,旨在将其作为强大的开源路由解决方案。 它支持VLAN,并包括防火墙以更好地保护虚拟网络之间的通信。
无论选择哪种路由,请确保其支持所需的VLAN功能。
管理型交换机
交换机是VLAN网络的核心。 他们就是魔术发生的地方。 但是,您需要管理型交换机才能利用VLAN功能。
实际上,要使事情更上一层楼,可以使用第3层托管交换机。 这些交换机能够处理某些第3层网络流量,并且在某些情况下可以代替路由器。
重要的是要记住,这些交换机不是路由器,并且它们的功能受到限制。 第3层交换机的确降低了网络延迟的可能性,这在某些网络延迟非常低的环境中至关重要。
客户端网络接口卡(NIC)
您在客户端计算机上使用的NIC应该支持802.1Q。 他们确实有机会,但是在前进之前,有一些事情需要研究。
基本配置
这是困难的部分。 如何配置网络有成千上万种不同的可能性。 没有一个指南可以涵盖所有这些。 从本质上讲,几乎所有配置背后的想法都是相同的,一般过程也是如此。
设置路由器
您可以通过两种不同的方式开始使用。 您可以将路由器连接到每个交换机或每个VLAN。 如果仅选择每个交换机,则需要配置路由器以区分流量。
然后,您可以配置路由器以处理VLAN之间的传递流量。
配置交换机
假设这些是静态VLAN,则可以通过其Web界面进入交换机的VLAN管理实用程序,然后开始将端口分配给不同的VLAN。 许多交换机使用表格布局,允许您检查端口的选项。
如果使用多个交换机,则将端口之一分配给所有VLAN,并将其设置为中继端口。 在每个开关上执行此操作。 然后,使用这些端口在交换机之间进行连接,并将VLAN分布在多个设备上。
连接客户
最后,让客户进入网络是不言而喻的。 将客户端计算机连接到与您要在其上的VLAN对应的端口。
VLAN在家
即使可能不会将其视为逻辑组合,但VLAN实际上在家庭网络空间(来宾网络)中具有出色的应用。 如果您不想在家中建立WPA2 Enterprise网络并为朋友和家人单独创建登录凭据,则可以使用VLAN来限制来宾对家庭网络中的文件和服务的访问。
许多高端家用路由器和自定义路由器固件都支持创建基本VLAN。 您可以使用其自己的登录信息设置来宾VLAN,以使您的朋友连接他们的移动设备。 如果您的路由器支持,则来宾VLAN将是一个很好的安全保护层,可防止朋友的受病毒困扰的笔记本电脑破坏您的干净网络。
