VLan介绍网络安全研究资料讲解

2003-11-16计算机网络讲义1VLan介绍2003-11-16计算机网络讲义第2页什么是VLANVLAN（VirtualLocalAreaNetwork）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户互访，每个工作组就是一个虚拟局域网。

2003-11-16计算机网络讲义第3页

冲突的产生降低了以太网的带宽，而且这种情况又是不可避免的。所以，当导线上的节点越来越多后，冲突的数量将会增加。显而易见的解决方法是限制以太网导线上的节点，需要对网络进行物理分段。将网络进行物理分段的网络设备用到了网桥与交换机。网桥和交换机的基本作用是只发送去往其他物理网段的信息。所以，如果所有的信息都只发往本地的物理网段，那么网桥和交换机上就没有信息通过。这样可以有效减少网络上的冲突。网桥和交换机是基于目标MAC地址做出转发决定的，它们是二层设备。2003-11-16计算机网络讲义第5页VLAN的优势控制广播风暴

一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。提高网络整体安全性

通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。2003-11-16计算机网络讲义第6页网络管理简单、直观

对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中，VLAN提供了网段和机构的弹性组合机制2003-11-16计算机网络讲义第7页VLAN如何实现基于端口的VLAN划分

这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。当用户从一个端口移动到另一个端口时，网络管理员必须对VLAN成员进行重新配置。但ＩＰ地址利用率不高，原因是一个完整的子网由网段地址、网关地址、用户地址和广播地址组成。这样，只包含一个用户的ＶＬＡＮ就由４个ＩＰ地址组成，而真正被用户使用的ＩＰ地址只有一个（用户地址）。我们知道，ＩＰ地址是一种有限的资源，这样的划分方法将带来ＩＰ地址的浪费，因此端口ＶＬＡＮ方式的地址使用率较低。

2003-11-16计算机网络讲义第8页2003-11-16计算机网络讲义第9页2003-11-16计算机网络讲义第10页基于MAC地址的VLAN划分这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置。这种方法的缺点是初始化时，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低。另外，用户的网卡一旦更换，VLAN就必须重新配置。2003-11-16计算机网络讲义第11页根据网络层地址划分VLAN这种划分VLAN的方法是根据每个主机的网络层地址的，比如IP地址。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址需要消耗更多的处理时间2003-11-16计算机网络讲义第12页根据IP组播划分VLANIP组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展。这种方法不适合局域网，主要是效率不高。2003-11-16计算机网络讲义第13页三层交换技术传统的路由器在网络中有路由转发、防火墙、隔离广播等作用，而在一个划分了VLAN以后的网络中，逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上，不同VLAN之间的通信数据量是很大的，这样，如果路由器要对每一个数据包都路由一次，随着网络上数据量的不断增大，路由器将不堪重负，路由器将成为整个网络运行的瓶颈。

2003-11-16计算机网络讲义第14页在这种情况下，出现了第三层交换技术，它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后，会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此表直接从二层通过而不是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率，消除了路由器可能产生的网络瓶颈问题。可见，三层交换机集路由与交换于一身，在交换机内部实现了路由，提高了网络的整体性能。

2003-11-16计算机网络讲义第15页跨交换机VLAN通过VLANTrunk来解决。如果交换机1的VLAN1中的机器要访问交换机2的VLAN1中的机器，可以把两台交换机的级联端口设置为Trunk端口当交换机把数据包从级联口发出去的时候，会在数据包中做一个标记（TAG），以使其它交换机识别该数据包属于哪一个VLAN，其它交换机收到这样一个数据包后，只会将该数据包转发到标记中指定的VLAN，从而完成了跨越交换机的VLAN内部数据传输。VLANTrunk目前有两种标准，ISL和802.1Q2003-11-16计算机网络讲义第16页IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

该标准通过VLANID来进行整个企业网络的VLAN划分。802.1q在以太网帧中的以太网类型字段前增加了4个字节，其中最后12个bit用于标识VLAN划分，共支持4096个VLAN。2003-11-16计算机网络讲义第17页ISL是Cisco公司的专有封装