分类: 系统运维
2010-04-17 16:08:31
1、什么是VLAN?
在实现或管理一个 VLAN 之前,我们必须理解什么是VLAN。VLAN,即虚拟(逻辑)LAN,是一个带有与地理位置无关的工作站映射定义的局域网。例如,一个 VLAN 可能有根据部门、用户等进行映射的工作站定义。VLAN 的优点包括简化工作站管理、负载均衡、带宽分配和实现更高安全性。
VLAN 在服务器虚拟化中变得更加高效。在一个虚拟化数据中心环境中,VLAN 能够将物理服务器连接在一起并创建一条路由。通过允许虚拟机在相同 VLAN 中的物理服务器之间迁移,管理员应能监视虚拟机并更有效地对它们进行管理。
问:与应用IP子网相比,应用VLAN有何益处?
答:VLAN允许我们创建不同的逻辑网络和物理网络,而IP子网只允许我们在相同的物理网络上创建逻辑网络。
如果你只有一个物理网络(举例来说,只有一个网络交换机),可以通过简单的分配不同的IP网络来配置两个或更多的逻辑网络,如192.168.0.0/24和192.168.1.0/24等等。这其中的问题是即使你已经创建了不同的网络,它们还是在使用相同的交换机。通过交换机的流量能够被其他的主机所看到,不论他们位于哪一个逻辑网络中。结果是安全是不容忽视的,敏感信息很容易被获取,但是带宽会逐渐减少因为每个网络都在使用同一台交换机。(想象 一下将卡车、摩托车和小汽车放到同一单向车道上。)
而另一方面,你的交换机也能架构VLAN,你可以为每一个逻辑网络创建一个VLAN。这就意味着卡车被放在了它所属的高速路上,小汽车和摩托车也如此。每一个VLAN的带宽都达到了最大化,而且安全也达到了一定的水平,因为连接每一个VLAN的交换机不会允许流量在两个VLAN间流动,除非配置要求这样做。
2、配置VLAN 的最佳方法是什么?
配置一个 VLAN 有三种方法:静态、动态和以端口为中心。配置方法是基于 VLAN 的需求。例如,为了增加安全性,管理员可以选择静态 VLAN,这种方法是将 VLAN 成员设定为一个交换机端口;而动态 VLAN 则将 VLAN 成员设置为主机或设备的 MAC 地址。
支持 VLAN 的交换机是通过帧标记或过滤来建立 VLAN 的,这两种方法都会检查帧,然后决定它的发送目标。帧标记会对一个帧进行“标记”,从而在它通过交换机结构时跟踪它。帧过程会通过专门为交换机开发的过滤表来检查每一个帧的具体信息,其中这个过滤表能够用来检查许多不同的帧属性。但是帧过滤的可扩展性不如帧标记,因为每一个帧都需要被过滤表所引用。根据 IEEE 802.1q,帧标记被认为是最高效的方法。
3、VLAN 和无线 LAN(WLAN)
VLAN 中继可以应用到无线网络以协助流量优先级划分。VLAN 接入端(AP)可以配置为多个虚拟 WLAN 基础架构使用,其中不同安全级别使用不同的 VLAN,一些用于低安全级别访客的 Internet 访问,另外一些则被最低安全级别的企业用户使用,管理员使用高安全级别的 VLAN等。通过使用 VLAN 802.1q 标签,网络管理员能够将无线流量映射到多个 VLAN 并给它们指定优先级。
这实际是如何实现的呢?无线 AP 流量是集中通过一台支持 802.1q 的无线交换机或网关;这个设备会在转发数据包之前对它们进行标记。通过恰当的标记,这些数据包会到达标签所定义的角色,这个角色可能是访客或员工。
由于管理流量与最终用户流量是相互隔离的,网络管理员在管理时会更轻松些,他们知道由于 VALN 标记的作用,无线数据已经正确地转发了。
