VLAN(虚拟局域网)

2020-04-27 17:41:51 云杰 110

VLAN(虚拟局域网)


VLAN(虚拟LAN)是一个子网,可以将单独的物理局域网(LAN)上的设备集合组合在一起。局域网是一组计算机和设备,它们共享与同一地理区域内的服务器的通信线路或无线链路。

VLAN使网络管理员可以轻松地对 单个交换网络进行分区,以适应其系统的功能和安全性要求,而无需运行新电缆或对当前网络基础结构进行重大更改。大型企业通常会设置VLAN以对设备进行重新分区,以实现更好的流量管理。

VLAN也很重要,因为它们可以通过将通信频率最高的设备组合在一起来帮助提高网络的整体性能。VLAN还允许对哪些设备可以相互访问进行更高程度的控制,从而在较大的网络上提供安全性。VLAN倾向于灵活,因为它们基于逻辑连接而不是物理连接。

一个或多个网络交换机可以支持多个独立的VLAN,从而创建子网的第2数据链路实现。VLAN与广播域关联。它通常由一个或多个网络交换机组成。

 

VLAN的类型

VLAN的类型包括基于协议的VLAN,静态VLAN和动态VLAN

协议VLAN:根据其协议处理流量。交换机将根据流量协议隔离或转发流量。  

静态VLAN:(也称为基于端口的VLAN)需要网络管理员将网络交换机上的端口分配给虚拟网络。

动态VLAN:允许网络管理员仅根据设备特征(而不是交换机端口位置)定义网络成员身份。

 

VLAN和安全性

VLAN并不是很好的安全设备。许多以太网交换机都有一些错误,这些错误允许将源自一个VLAN的帧发送到分配给另一个VLAN的端口。以太网交换机制造商一直在努力解决这些错误,但令人怀疑的是,是否将有一个完全没有错误的实现。

在我们的示例中,可能无法通过为另一位租户提供免费系统管理服务的第二层员工将其流量隔离到VLAN中而停止了这样做。不过,他可能还会想出如何利用交换机固件中的错误来使流量也泄漏到另一个租户的VLAN上。

城域以太网提供商越来越依赖VLAN标记功能和交换机提供的隔离。公平地说,使用VLAN 无法提供安全性。可以公平地说,在具有不受信任的Internet连接或DMZ网络的情况下,最好使用物理上分开的交换机来承载这种敏感的流量,而不是在交换机上也承载您的受信任的防火墙后流量的VLAN

 

IP子网和VLAN

为了促进隔离以及由于ARP协议的工作原理,VLANIP子网之间通常存在一对一的关系。

可以在同一物理以太网上使用两个不同的IP子网而不会出现问题。如果您使用VLAN来缩小广播域,那么您将不希望与两个不同的IP子网共享同一VLAN,因为您将把它们的ARP和其他广播流量结合在一起。

如果出于安全或策略原因使用VLAN隔离流量,则您可能也不想将多个子网合并在同一个VLAN中,因为这将使您无法达到隔离的目的。

IP使用基于广播的协议地址解析协议(ARP)将IP地址映射到物理(以太网MAC)地址。由于ARP是基于广播的,因此将同一IP子网的不同部分分配给不同的VLAN会出现问题,因为一个VLAN中的主机将无法从另一个VLAN中的主机接收ARP答复,因为广播不会在VLAN之间转发。您可以通过使用代理ARP解决此问题但是除非您确实有充分的理由需要将IP子网划分为多个VLAN,一般是不太建议使用该方法

 

VLAN的优缺点

VLAN的优点减少广播流量,安全性,易于管理和广播域限制。

VLAN的缺点包括每个交换域限制4,096VLAN,这给大型托管服务提供商带来了问题,大型托管服务提供商经常需要为每个客户分配数十个或数百个VLAN。为了解决此限制,其他协议,例如  VXLAN(虚拟可扩展LAN),  NVGRE  (使用通用路由封装的网络虚拟化)和Geneve,都支持更大的标签以及在3 网络数据包中建立第2层帧的通道的能力  

最后,VLAN之间的数据通信由路由器执行现代交换机通常包含路由功能,并称为  3层交换机。