实验技术与管理
86
VLAN成员都在所属VLAN确定的广播域内,隔离了各个不同的VLAN之间的通信,可以控制广播风暴的产生。因此,它们各自的广播流不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理,有利于提高网络的整体性能。不同的VLAN之间的通信可以通过路由来完成。1.2提高网络整体安全性
采用传统局域网技术的网络,只要利用一台PC并装上协议分析软件,连到集线器上就可拦截该网段上的所有数据。采用基于MAC地址的VLAN技术后就不可能拦截该VLAN的数据;VLAN与VLAN间逻辑上是分开的,VLAN成员的数据包只能在同一VLAN内部传送,即使处于同一网络中,不同VLAN间也不能直接通信,有效地避免了广播风暴的传播。校园网中如财务管理、人事档案管理及一些不对外公开的科研数据资料库等应用系统,网络管理员可采用VLAN技术对广播域进行逻辑划分,达到限制非法访问的目的,从而确保重要部门的数据安全,除非设置了监听口,信息交换就不可能存在监听和插入问题,提高了网络的安全性能。对于内网,采用基于MAC地址的VLAN技术,可有效防止IP地址盗用问题∞]。
通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小。将不同用户群划分在不同VLAN,不在同一VLAN的用户要访问其他VLAN中的主机就必须通过路由。同时,还可以控制用户访问权限和逻辑网段大小,从而提高交换式网络的整体性能和安全性。1.3网络管理简单、直观
由于某种原因,用户工作位置发生变化时,采用传统局域网技术的用户需要对站点的IP地址、缺省网关进行修改后才能上网。采用基于MAC地址VLAN技术的用户则可不作任何修改,在网上的任意位置都可上网,因为VLAN成员不是捆绑在某固定工作站上的;反过来,用户的实际位置不发生改变却变更了部门,网络管理员也可以通过改变VLAN成员的方式让用户与VLAN的逻辑关系发生改变。减少了日常管理开销,提供了更大的配置灵活性。
例如:需要为完成某个项目建立一个工作组网络,其成员可能遍及校园网。此时,网络管理员只需设置几条命令,就能在几分钟内建立该项目的VLAN网络,其成员使用VLAN网络就象在本地使用局域网一样。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。
万方数据
2校园网中的VLAN分类
2.1基于端口划分VLAN
这种划分VLAN的方法是根据以太网交换机的端口来划分,当然,这些属于同一BLAN的端口可以不连续,其配制方法有管理员决定。如果有多个交换机‘引,例如,可以指定交换机I的1和3端口和交换机Ⅱ的1和3端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机。根据端口划分是目前定义VLAN最广泛的方法。
2.2基于网络层的VLAN划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。基于路由的VLAN允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。采用在路由器中常用的方法:IP子网和IPX网络号等。其中,局域网交换机允许一个子网扩展到多个局域网交换端口,甚至允许一个端口对应于多个子网。
2.3基于MAC地址的VLAN划分
MAC地址其实就是指网卡的标识符,由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。每一块网卡的MAC地址都是唯一且固化在网卡上的,网络管理员可按MAC地址把一些站点划分为一个逻辑子网。基于MAC地址的VLAN是MAC地址的集合H],允许网络用户从一个物理位置移动到另一个位置,且自动保留所属VLAN的成员身份;但由于MAC地址的唯一性,初始化困难,且网卡更换就必须重新配置。另外它不能防止MAC欺骗攻击,有可能受到假冒MAC地址攻击的危险。2.4根据IP组播划分VLAN
对IP组播的VLAN划分的定义:认为一个组播是一个VLAN。该划分使VLAN的范围扩大到广域网,因此该方法具有更大的灵活性,同时也更容易通过路由器进行扩展,但该方法因其效率低下而不适用于局域网[5]。
3校园网VLAN的管理与配置
VLAN是建立在交换网络设备上的,而且大多数基于交换机的VLAN是专用的。IEEE802.1P委员会开发出一种多址广播标准,使VLAN成员可以在取消VLAN广播抑制任务的情况下通信。在可互操作的软件和硬件中实现上述标准之前,VLAN配置仍将要求维护单一供应商交换机环境。即使在单一供应商VLAN里,网络管理也是一种挑战,而VLAN配置必须定义自己的MIB,或者配置如何根据其他MIB获得上述信息。
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说教育文库VLAN技术在校园网实验中的应用(2)在线全文阅读。
相关推荐: