明明白话VLAN
数码时尚
编者按:经常有读者来信询问这样的问题:如何才能让单位局域网内某些部门的计算机不接受局域网内其他计算机的访问,但它们又可以访问其他一些计算机?其实有个最简单的方式,就是划分VLAN(虚拟局域网)。很多朋友认为这是很高深的东西。其实它并不比你安装一个软件或者架设一个FTP服务器难。而且,一个仅几百元的交换机就能够实现VLAN功能。
一、什么是VLAN
假设一个公司有局域网,但我们出于安全需求不能让其他部门的计算机访问财务部和经理办公室的计算机,这时,我们就需要从交换机上把财务处和经理办公室的端口单独隔离出来。使其他端口无法和这些端口通信。而这些被隔离出来的端口组合便称为VLAN。一个单独的组合,便是一个VLAN。
我们知道,在通常情况下,接在同一台交换机不同端口上的计算机是能够相互通信的。但是VLAN之间的计算机则无法直接交换数据,这样就保证了同一交换机网络上的计算机数据的私有性和安全性。也就是说,即使连接在同一台交换机上,处于不同VLAN里的计算机也是无法相互访问的,就好像在不同的局域网里一样,这也就是“虚拟局域网”一词的来历。
除了可以保证安全以外,VLAN的另外一个作用是隔离网络广播。
即使用户不传输数据,一个网络上还是会存在一定数量的广播(一台计算机向网络上所有计算机发送数据的行为就称为广播)。在进行广播的时候,瞬间会占用网络的大部分带宽。而网络中的广播信息过多时会影响网络的通畅性,甚至形成广播风暴,引起网络堵塞。
但广播帧只会在同一个网段内部传播,也就是说,它无法跨越VLAN。所以,通过划分VLAN,还可以起到缩小广播域,提高网络抗广播风暴的能力。
二、VLAN的种类
VLAN主要有3种:基于端口的VLAN、基于MAC地址的VLAN和基于IP地址的VLAN。
1.基于端口的VLAN
基于端口的VLAN就是将交换机中的某些端口定义为一个单独的区域,从而形成一个VLAN。同一VLAN中的计算机处于同一个网段,不同VLAN之间进行通信需要通过路由器。
基于端口的VLAN的优点是配置起来非常方便,只要在交换机上进行相关的设置就可以了,适用于网络环境比较固定的情况。但不足之处是不够灵活。当一台计算机需要从一个端口移动到另一个新的端口,而新端口与旧端口不属于同一个VLAN时,则要修改端口的VLAN设置,或在用户计算机上对网络地址重新进行配置,这样,才能加入到新的VLAN中。否则,这台计算机将无法进行网络通信。
2.基于MAC地址的VLAN
大家都知道,每块网卡都有一个独一无二的硬件物理地址,这个地址就是MAC地址,俗称为“网卡号”。在Windows中,我们可在“MS-DOS方式”下,用“ipconfig/all”命令来查看这一地址。
在基于MAC地址的VLAN中,交换机对连接到交换机端口的MAC地址进行探测。然后根据需求将某些MAC地址所在的计算机化分为一个VLAN。这样,只要计算机使用的网卡不变,无论计算机本身在网络中的位置如何变化,它所处的VLAN都不会发生变化。这种VLAN划分适用于计算机经常移动的笔记本电脑办公环境。
而这种VLAN技术的不足之处是在计算机加入网络时,交换机需要收集MAC地址,形成一个MAC地址数据库。而这在一些交换机上需要进行手工配置,有些麻烦。当然,也有的交换机可以自动收集MAC地址。
3.基于IP地址的VLAN
在基于IP地址的VLAN中,新站点在入网时不用进行太多配置,只要设置好不同的IP地址和子网掩码即可。交换机会根据计算机的IP地址和子网掩码自动将它们划分到不同的VLAN中。
在3种VLAN的实现技术中,基于IP地址的VLAN智能化程度最高,实现起来也最复杂。