虚拟局域网

虚拟局域网或簡寫, )是一種建構於區域網路交換技術(LAN Switch)的網路管理的技術,網管人員可以藉此透過控制交換器有效分派出入區域網的封包到正確的出入埠,達到對不同實體區域網中的設備進行邏輯分群(Grouping)管理,並降低區域網內大量資料流通時,因無用封包過多導致壅塞的問題,以及提昇區域網的資訊安全保障。

概述

為實現交换机乙太網路的廣播隔離,一種理想的解決方案就是採用虛擬區域網路技術。這種對連接到第2層交换机端口的網路使用者的邏輯分段技術實現非常靈活,它可以不受使用者物理位置限制,根據使用者需求進行VLAN劃分;可在一個交換器上實現,也可跨交換器實現;可以根據網路使用者的位置、作用、部門或根據使用的應用程序、上層協議或者乙太網路連接埠硬體地址來進行劃分。

一個VLAN相當於OSI模型第2層的廣播域,它能將廣播控制在一個VLAN內部。而不同VLAN之間或VLAN與LAN / WAN的數據通訊必須通過第3層(網路層)完成。否則,即便是同一交換器上的連接埠,假如它們不處於同一個VLAN,正常情況下也無法進行數據通訊,特例是由於思科生產的交換機帶有VLAN穿越漏洞,外來封包以廣播進到該交换机時,它仍然會流入所有連至交換器上的電腦,而導致資訊可能外洩的潛藏風險。[1]

為瞭解決上述資訊安全議題,1995年IEEE 802委員會發表了802.1Q VLAN技術的實作標準與訊框結構,希望能透過設定邏輯位址(TPIDTCI),對實體區域網區隔成獨立虛擬網段,以規範封包廣播時的最大範圍。

VLAN的作用

VLAN可以為網路提供以下作用:

  • 廣播控制
  • 頻寬利用
  • 降低延遲
  • 安全性(非設計作用,本身功能所附加出的)

VLAN的運作原理與實作方式

實體層(physical layer)

直接以交換器上的埠做為劃分VLAN的基礎。

這個方式的優點是簡單與直觀,因此,運用這種設定VLAN的情況十分普遍。但因為是實體層的設定,所以比較適合在規模不大的組織。

以每台主機的MAC地址做為劃分VLAN的基礎。方法是先建立一個比較複雜的資料庫,通常為某網路設備的MAC地址與VLAN的映射關係資料庫。當該網路設備連接到端口後,交換器會向VMPS(VLAN管理策略伺服器)來請求這個資料庫。找到相應映射關係,完成端口到VLAN的分配。

這個方式的優點是即使電腦在實體上的位置不同,也不影響VLAN的運作。但缺點是網管人員必須在交換器中設定組織內每一台設備MAC地址與VLAN間的映射關係資料庫。因此,這種設定策略的管理複雜度會隨著越來越多的設備、與實體位置的群落、和不同工作任務需要而增加。

網路層(network layer)

以每台設備的IP地址做為劃分VLAN的基礎,以子網路視為VLAN設定的依據。

這個方式的優點是當網管人員已經將內部網段做好規劃與分配的情況下,將可大輻降低網管人員規劃並設定VLANs架構的複雜度。但缺點是原本傳統交換器不需要對訊框作任何處理,但在這個機制下,交換器不但必須剖析訊框(Frame),還必須進一步取出Source IP與Destination IP進行比對,連帶降低交換器接收與分派封包的效率。

相關內容

參考文獻

  1. . Cisco. Jan 30, 2014 (英语).
This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.