壹、虛擬局域網(Virtual Local Area Network或簡寫VLAN,?V-LAN)。
是壹種建構於局域網交換技術的網絡管理的技術,網管人員可以借此透過控制交換機有效分派出入局域網的分組到正確的出入端口,達到對不同實體局域網中的設備進行邏輯分群管理,並降低局域網內大量數據流通時,因無用分組過多導致壅塞的問題,以及提升局域網的信息安全保障。
二、VLAN可以為網絡提供以下作用,廣播控制、帶寬利用、降低延遲、安全性(非設計作用,本身功能所附加出的)。
三、
1、物理層(physical layer)
直接以交換機上的端口做為劃分VLAN的基礎。
這個方式的優點是簡單與直觀,因此,運用這種設置VLAN的情況十分普遍。但因為是物理層的設置,所以比較適合在規模不大的組織。
2、數據鏈接層(data link layer)
以每臺主機的MAC地址做為劃分VLAN的基礎。方法是先創建壹個比較復雜的數據庫,通常為某網絡設備的MAC地址與VLAN的映射關系數據庫。當該網絡設備連接到端口後,交換機會向VMPS(VLAN管理策略服務器)來請求這個數據庫。找到相應映射關系,完成端口到VLAN的分配。
這個方式的優點是即使計算機在實體上的位置不同,也不影響VLAN的運作。但缺點是網管人員必須在交換機中設置組織內每壹臺設備MAC地址與VLAN間的映射關系數據庫。因此,這種設置策略的管理復雜度會隨著越來越多的設備、與實體位置的群落、和不同工作任務需要而增加。
3、網絡層(network layer)
以每臺設備的IP地址做為劃分VLAN的基礎,以子網視為VLAN設置的依據。
這個方式的優點是當網管人員已經將內部網段做好規劃與分配的情況下,將可大輻降低網管人員規劃並設置VLANs架構的復雜度。
但缺點是原本傳統交換機不需要對訊框作任何處理,但在這個機制下,交換機不但必須剖析訊框(Frame),還必須進壹步取出Source IP與Destination IP進行比對,連帶降低交換機接收與分派分組的效率。
擴展資料:
為實現交換機以太網絡的廣播隔離,壹種理想的解決方案就是采用虛擬局域網技術。這種對連接到第2層交換機端口的網絡用戶的邏輯分段技術實現非常靈活,它可以不受用戶物理位置限制,根據用戶需求進行VLAN劃分;可在壹個交換機上實現,也可跨交換機實現;可以根據網絡用戶的位置、作用、部門或根據使用的應用程序、上層協議或者以太網通信端口硬件地址來進行劃分。
壹個VLAN相當於OSI模型第2層的廣播域,它能將廣播控制在壹個VLAN內部。而不同VLAN之間或VLAN與LAN / WAN的數據通信必須通過第3層(網絡層)完成。
否則,即便是同壹交換機上的通信端口,假如它們不處於同壹個VLAN,正常情況下也無法進行數據通信,特例是由於某著名廠商生產的交換機帶有VLAN穿越漏洞,外來分組以廣播進到該交換機時,它仍然會流入所有連至交換機上的計算機,而導致信息可能外泄的潛藏風險。
為了解決上述信息安全議題,1995年IEEE?802委員會發表了802.1Q?VLAN技術的實現標準與訊框結構,希望能透過設置邏輯地址(TPID、TCI),對實體局域網區隔成獨立虛擬網段,以規範分組廣播時的最大範圍。
參考資料: