王海泉网络安全(研究生)5.Vlan200507161whq.ppt

2003-11-16 计算机网络讲义 VLan介绍 北航软件学院 王海泉 whq@ 冲突的产生降低了以太网的带宽，而且这种情况又是不可避免的。所以，当导线上的节点越来越多后，冲突的数量将会增加。显而易见的解决方法是限制以太网导线上的节点，需要对网络进行物理分段。 将网络进行物理分段的网络设备用到了网桥与交换机。网桥和交换机的基本作用是只发送去往其他物理网段的信息。所以，如果所有的信息都只发往本地的物理网段，那么网桥和交换机上就没有信息通过。这样可以有效减少网络上的冲突。 网桥和交换机是基于目标MAC地址做出转发决定的，它们是二层设备。 另外一种导致网络降低运行速度的原因：广播。 由于各种各样的原因，网络操作系统（NOS）使用了广播，TCP/IP使用广播从IP地址中解析MAC地址，还使用广播通过RIP和IGRP协议进行宣告，所以，广播也是不可避免的。 广播存在于所有的网络上，如果不对它们进行适当的控制，它们便会充斥于整个网络，产生大量的网络通信。广播不仅消耗了带宽，而且也降低了用户工作站的处理效率。 网桥和交换机将对所有的广播信息进行转发，而路由器不会。所以，为了对广播进行控制，就必须使用路由器。路由器是3层设备。 VLAN的优势 控制广播风暴 　　一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。 提高网络整体安全性　　通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。 网络管理简单、直观　　对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中，VLAN提供了网段和机构的弹性组合机制 VLAN如何实现 基于端口的VLAN划分 　这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。 该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。 当用户从一个端口移动到另一个端口时，网络管理员必须对VLAN成员进行重新配置。 但ＩＰ地址利用率不高，原因是一个完整的子网由网段地址、网关地址、用户地址和广播地址组成。这样，只包含一个用户的ＶＬＡＮ就由４个ＩＰ地址组成，而真正被用户使用的ＩＰ地址只有一个（用户地址）。我们知道，ＩＰ地址是一种有限的资源，这样的划分方法将带来ＩＰ地址的浪费，因此端口ＶＬＡＮ方式的地址使用率较低。 　　 基于MAC地址的VLAN划分 这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。 这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置。 这种方法的缺点是初始化时，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低。另外，用户的网卡一旦更换，VLAN就必须重新配置。 根据网络层地址划分VLAN 这种划分VLAN的方法是根据每个主机的网络层地址的，比如IP地址。 这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。 这种方法的缺点是效率低，因为检查每一个数据包的网络层地址需要消耗更多的处理时间 根据IP组播划分VLAN IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展。 这种方法不适合局域网，主要是效率不高。 三层交换技术 传统的路由器在网络中有路由转发、防火墙、隔离广播等作用，而在一个划分了VLAN以后的网络中，逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上，不同VLAN之间的通信数据量是很大的，这样，如果路由器要对每一个数据包都路由一次，随着网络上数据量的不断增大，路由器将不堪重负，路由器将成为整个网络运行的瓶颈。???? 在这种情况下，出现了第三层交换技术，它是将路由技术与交换技术合二为一的技术。 三层交换机在对第一个数据流进行路由后，会产生一个MAC地址与IP地址的映射