虚拟局域网VLAN概述-技术篇

arjen

作者：务实
【IT168 专稿】由于VLAN技术的普及，设备的性价比不断提高，越来越多的中小企业和单位在组建新的网络，或者升级改造现有网络时，开始采用VLAN技术。VLAN能更好地满足企业发展的需要，可突破物理网段的限制来建立部门网络，对网络通信进行隔离，提供一定的安全性，提高网络带宽的利用率，简化网络管理，便于网络的调整和扩展。

    VLAN是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。VLAN涉及到多种网络技术，如虚拟网络技术、分布式路由技术、高速交换技术及网络管理技术等。采用VLAN技术，不但可以满足用户对网络灵活性和扩展性方面的要求，而且有助于隔离网络故障和分配网络带宽。
VLAN工作原理

    早期的共享LAN限制了网络带宽的利用，网络交换机的引入解决了共享冲突问题。交换机在网络的源端口与目的端口之间提供直接、快速、准确的点到点连接，提供高速低延时通信，提高了网络的效率，但是从根本上说，它仍是一个高速网桥，无法过滤局域网的广播信息。当网络中节点数足够多时，广播信息包所占用的带宽就可能影响其他信息流的传输，使网络的性能迅速下降，这就是所谓的“广播风暴”。
图1



    路由器所连接的网络是不同的逻辑子网，但这种子网是根据物理网络结构来划分的，配置工作量大。随着网络的不断扩展，接入设备逐渐增多，网络结构日趋复杂，必须使用更多的路由器才能将不同的用户划分到各自的广播域中，在不同的局域网之间提供网络互连。大量使用路由器无疑是一笔不小的投资，同时，路由器所造成的通信“瓶颈”也会使网络的效率大打折扣。

    VLAN是一种不用路由器解决隔离广播域的网络技术。VLAN概念的引入，使交换机代替路由器承担了网络的分段工作，如图2所示。VLAN打破了传统网络的许多固有观念，使网络结构变得灵活、方便、随心所欲。VLAN不必考虑用户的物理位置，根据功能、应用等因素，将用户从逻辑上划分为一个个功能相对独立的工作组，每一个VLAN都可以对应于一个逻辑单位，如部门、项目组等。

    同一个VLAN中的成员都共享广播，而不同VLAN之间广播信息是相互隔离的。这样，将整个网络分割成多个不同的广播域。例如，网络管理员可以把相关的客户和服务器分别构成不同的VLAN，同一VLAN内客户和服务器可以方便地频繁通信，在同一个VLAN中的用户相互存取网络资源就如同在使用传统的局域网一样。

图2


    由于VLAN基于逻辑连接而不是物理连接，因此配置十分灵活。VLAN在逻辑上等价于广播域，可以将VLAN类比成一组最终用户的集合。这些用户可以处在不同的物理局域网上，但他们之间可以像在同一个局域网上那样自行通信，而且不受物理位置的限制。网络的定义和划分与物理位置和物理连接是没有任何必然联系的。网络管理员可以根据不同的需要，通过相应的网络软件灵活地建立和配置VLAN，并为每个VLAN分配它所需要的带宽。可以设置成每个VLAN子网的用户不能访问其他子网的资源，从而提高网络的安全性。

    通常使用VLAN建立虚拟工作组。当企业VLAN建成之后，某一部门或分支机构的职员可以在虚拟工作组模式下共享同一个“局域网”，这样绝大多数的网络流量都限制在VLAN广播域内部了。当部门内的某一个成员移动到另一个网络位置上时，他所使用的工作站不需要做任何改动。另一方面，一个用户根本不用移动他的工作站就可以调整到另一个部门去。管理员只需要在控制台上简单地敲几个键或操作一下鼠标就可以了。
VLAN的技术标准

    VLAN的标准最初是由Cisco公司提出的，后来由IEEE接收，演化为以IEEE为代表的国际规范，这是目前各交换机厂家都遵循的技术规范。VLAN的IEEE专业标准有两个，一个是IEEE 802.10，另外一个是IEEE 802.1Q，主要规定在现有的局域网（如以太网）物理帧的基础上添加用于VLAN信息传输的标志位。另外有些厂家，如Cisco、3Com等公司，还在自己的产品中保留了他们开发的技术协议。影响比较大的是Cisco的ISL协议和VTP协议。下面简单介绍这4种标准。

    1、IEEE 802.10

    IEEE 802.10标准原来是为了安全因素而提出的一种帧标签格式。1995年Cisco公司提倡使用IEEE 802.10协议。在此之前，IEEE 802.10曾经在全球范围内作为VLAN安全性的统一规范。Cisco公司试图采用优化后的IEEE 802.10帧格式在网络上传输帧标签（Frame Tagging）模式中所必需的VLAN标签。

    IEEE 802.10标准本身就是一个LAN/MAN的安全性方面的标准。IEEE 802.10标准定义了一个单独的协议数据单元，通常被称为Secure Data Exchange（简称SDE）PDU，也称为802.10报头，该标准把802.10报头插在了MAC地址的帧头和数据区之间。802.10报头由C1ear Header和Protected Header两部分组成。

    2、IEEE 802.1Q

    IEEE 802.1Q标准制定于1996年3月，它规定了VLAN组成员之间传输的物理帧需要在帧头部增加4个字节的VLAN信息，而且还将规定诸如帧发送与校验、回路检测、对服务质量参数的支持以及对网管系统的支持等方面的标准。IEEE 802.1Q标准包括3个方面：VLAN的体系结构说明，为在不同设备厂商生产的不同设备之间交流VLAN信息而制定的局域网物理帧的改进标准，  VLAN标准的未来发展展望。

    新的标准进一步完善了VLAN的体系结构，统一了帧标签方式中不同厂商的标签格式，并制定了VLAN标准在未来一段时间内的发展方向。IEEE 802.1Q标准提供了对VLAN明确的定义及其在交换式网络中的应用。该标准的发布，确保了不同厂商产品的互操作能力，并在业界获得了广泛的推广。它成为VLAN发展史上的里程碑。IEEE 802.1Q的出现打破了VLAN依赖于单一厂商的僵局，从一个侧面推动了VLAN的迅速发展。

    3、Cisco ISL标签

    ISL（Inter-SwitchLink）是Cisco公司的专有封装方式，因此仅在Cisco的设备上支持。ISL是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议，通过在交换机直接相连的端口配置ISL封装，即可跨越交换机进行整个网络的VLAN分配和配置。ISL主要用在以太网上。

    ISL协议对IEEE 802.1Q进行了很好的补充，使得交换机之间的数据传送具有更高的效率。主要应用于互联多个交换机，并且把VLAN信息作为通信量在交换机间传送。在全双工或半双工模式下，在快速以太网链路上，ISL可提供VLAN的能力，同时仍保持全线速的性能。

    4、VTP（VLAN Trunking Protocol）

    Trunk（链路聚合）也是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。Trunk的主要功能就是仅通过一条链路就可以连接多个VLAN。

    VTP是一种通过Trunk来进行VLAN管理的协议，属于客户/服务器方式。首先，VTP包含域的概念，只有处在同一个域内的交换机才能构成一个管理体系。其次，在整个域内，VLAN的添加和删除都是在服务器端完成的。修改的结果通过Trunk发给客户端，客户端的VLAN数据库也会发生相应的变化，也就是说，客户端内的VLAN数据库总是与服务器端的VLAN数据库保持一致（同步）。

    VTP是一个在交换机之间同步及传递VLAN配置信息的协议。一个VTP Server上的配置将会传递给网络中的所有交换机，VTP通过减少手工配置而支持较大规模的网络。VTP有Server、Client和Transparent 3种模式，交换机在默认情况下设为Server模式。

VLAN的类型

    一般根据交换方式，将VLAN分成3种类型：第二层VLAN、第三层VLAN和ATM VLAN。
   
    1、第二层VLAN

    在网络第二层实现的VLAN，要依赖显式（Explicity）标志技术，通过始发交换机对传统的MAC进行封装，在其中加入VLAN标识，使得其他交换机能够了解到该帧所属的VLAN，从而根据事先确定的VLAN组建的策略，将它传输到适当的交换机端口。采用显示标志封装的MAC帧中必须含有如下信息：源站与目的站的MAC地址；指示封装后的帧所属VLAN的标识；指示所包含的原始MAC帧的类型。

    第二层VLAN可以依赖局域网交换机等硬件实现，具有速度快，延时小等优点。但又引起诸如帧校验、最大传输单元MTU受限、交换机之间交换VLAN信息难等问题。
   
    2、第三层VLAN

    第三层VLAN采用称为隐性（Implicity）标志的方法，主要通过第三层协议的信息来区别不同的虚拟网。此类方案倾向于使用逻辑的而非物理的方法来划分虚拟网，所以比较易于理解，也不复杂，但在具体实现时涉及到比较多的软件处理，因此，在处理速度上比不上用硬件实现的第二层VLAN，划分VLAN的依据主要是协议种类或地址等信息。
   
    3、ATM VLAN

    VLAN既可以在交换式以太网中实现，也可以在ATM骨干网中实现。要让VLAN跨越ATM骨干网进行通信，必须首先对ATM骨干网进行局域网仿真（LAN Emulation，简称LANE）的配置工作。交换机通过局域网仿真客户（LAN Emulation Client，LEC）软件接口连接到ATM网络，LEC与ATM网络上的LAN仿真服务器（LES）配合使用，处理在LAN和ATM交换机之间的VLAN。另外，通过LAN仿真，本地连接的ATM设备可与配置在共享LAN内的VLAN进行通信。
VLAN之间的通信

    交换机必须有一种方式来了解VLAN的成员关系，即那一个工作站属于哪一个虚拟网，否则，VLAN就只能局限在单交换机的应用环境里了。一般来说，基于数据链路层的VLAN（即按端口和MAC地址划分的VLAN），其成员是以直接的形式与其他成员联系的，而基于IP的VLAN成员之间是利用IP地址以间接的方式相互联系的。绝大多数利用网络层划分VLAN的网络产品，其工作方式均属于后一种。有3种方式用来实现VLAN之间的通信。
   
    1、通过路由器

    传统的路由器在网络中有路由转发、防火墙、隔离广播等作用，而在一个划分了VLAN以后的网络中，逻辑上划分的不同网段之间的通信仍然要通过路由器转发。目前普遍采用单臂路由器，不管多少个VLAN，只需要一个链接端口。由于路由器的报文转发速度不高，而随着各种网络应用的发展，通过路由器的报文比率越来越大，因此路由器往往成为网络瓶颈。
   
    2、利用第三层交换技术

    这是一种将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后，会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此表直接从二层通过而不是再次路由，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率，消除了路由器可能产生的网络瓶颈问题。

    可见，三层交换机集路由与交换于一身，在交换机内部实现了路由，提高了网络的整体性能。目前，高性能交换机已经把二层交换功能和三层路由功能结合在一起。这种交换机能识别交换帧和路由帧。该交换就交换，该路由就路由。交换和路由在同一交换机中，并采用各种技术，使路由具有交换速度，极大提高了网络性能。这是目前最具发展前景的技术。
   
    3、交换机列表支持方式

    这种方式采用特定的工作机制。当工作站第一次在网络上广播其存在时，交换机就在自己内置的地址列表中将工作站的MAC地址或交换机的端口号与所属VLAN一一对应起来，并不断地向其他交换机广播。如果工作站的VLAN成员身分改变了；交换机中的地址列表将由网络管理员在控制台上手动修改。随着网络规模的扩充，大量用来升级交换机地址列表的广播信息将导致主干网路上的拥塞。因此，这种方式并不太普及。

    另外，还可通过应用层网关来实现VLAN之间的通信。某些终端，通常是服务器能够成为多个VLAN的成员，这些VLAN可以通过该服务器完成通信。(未完待续)



    抑制广播风暴的基本方法是隔离广播域。显而易见的解决方法是限制以太网上的节点，这就需要对网络进行物理分段。将网络进行物理分段的传统方法是使用路由器，如图1所示。路由器的基本作用是只发送和接收来往于不同物理网段的信息。路由器处于OSI参考模型的第3层，能够实现网络互联，具有许多相对复杂的功能。例如，它不转发广播包，支持路由选择、多路重发以及错误检测等，还能将不同类型的网络连接在一起。

arjen

中小企业VPN组网设置

作者：刀剑笑

【网友提问】大家好！我是一家私企的网管管着100多台机器；现在我想提个问题：最近我们老板想把外地的分公司通过网络VPN连起来，但我不知如何通过ADSL设置VPN；因此我们希望IT168能给解答一下，随便推荐几款VPN路由器产品。

    【网友解答】虚拟专用网络（Virtual Private Network，VPN）是专用网络的延伸，它包含了类似Internet 的共享或公共网络链接。通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。如果说得再通俗一点，VPN实际上是"线路中的线路"，类型于城市大道上的"公交专用线"，所不同的是，由VPN组成的"线路"并不是物理存在的，而是通过技术手段模拟出来，即是"虚拟"的。

    不过，这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用"通道"，它具有良好的保密和不受干扰性，使双方能进行自由而安全的点对点连接，因此被网络管理员们非常广泛地关注着。现在中小企业通过ADSL宽带网络连接互联网并建立自己的局域网比较常见，而VPN的使用范围也已经越来越广了。

    笔者就认识不少把自己家的电脑和单位的局域网通过VPN连接起来的朋友。笔者通过调查发现现在通常有两种方法实现局域网的VPN连接：一种是在局域网中的客户机上可以进行单个VPN连接，通过计算机的VPN功能或客户端软件建立PPTP或IPSEC的VPN连接；另一种是在ADSL路由器上建立B2B（Branch to Branch，网对网的连接）的VPN连接。

    这两种方法各有利弊，如果实现单个计算机的VPN连接，好处是局域网中的计算机建立VPN连接的时候不会影响其它计算机连接公网，缺点是同时只能有一台计算机建立连接，适合于企业用户，尤其是当企业计算机比较多的时候。

    而建立B2B的VPN连接以后，局域网中的计算机都连接VPN了，所有的连接都是建立在VPN之上的，影响了连接INTERNET的速度，因为VPN连接以后建立隧道，数据是加密的，所有的连接都要通过VPN服务器来转接，适合于经常需要连接外网以及局域网中的计算机比较少的情况。

    下面笔者就把自己设置VPN过程写出来和大家分享：
一、局域网组建配置方案

    1、局域网方案  笔者单位是通过硬件路由组建的局域网，网络结构如图1所示，包括一台ADSL路由器、一台ADSL接入设备以及HUB。

宽带VPN接入方案
由于局域网中计算机没有公有IP地址，ADSL连接的时候从ISP那里得到的是一个动态分配的IP地址，所以局域网中同时只能有一台计算机可以单个连接VPN，但连接是任意的，局域网中的一台计算机连接VPN也不会影响到其它计算机连接公网。

    2、局域网配置　通过ADSL路由器组建局域网，理论上最多可以连接253台计算机。路由器从出厂就默认配置Router IP：192.168.1.1，局域网中的其它客户机可以配置IP为192.168.1.*，网关设置为：192.168.1.1，子网掩码为：255.255.255.0，下面笔者以Vigor ADSL路由器为例子说明如何进行配置。

ADSL路由器配置
ADSL路由器配置是通过WEB界面来在控制，客户机上通过IE来访问，有关ADSL路由器的详细配置参看有关文档，这里只涉及连接ADSL的配置方法。


选择INTERNET连接方式
选择INTE在图（ADSL路由器配置）中，点击"Internet Access Setup"，进入图（选择INTERNET连接方式），Vigor ADSL路由器可以连接ADSL、ISDN以及DDN等网络连接方式，ADSL可以通过PPPOE协议来进行连接，点击"PPPOE"进入对PPPOE的配置。


对PPPOE的配置（点击看大图）

    在上图中，在PPPOE Setup中选择"Enable"启用PPPOE的连接功能，在"ISP Access Setup"中填写有关信息：ISP Name为ISP接入服务提供商，Username为ISP分配给用户的帐号，Password为密码。

    这样就实现了局域网中的计算机网络连接，相当于用ADSL路由器来做代理服务器，但是这个服务器是随时可以开通，也是随时关闭的，只要局域网中的计算机启动，ADSL路由器就自动启动服务，进行ADSL的拨号，完成网络连接；当局域网中的计算机都关闭以后，ADSL路由器也自动关闭网络服务。配置好网络连接以后，局域网中的客户机就可以进行单个的VPN连接，但是同时只也许一台计算机进行连接，要实现整个局域网的VPN连接，还要进行配置。

二、局域网VPN接入方案

    设置Router上Internet网以后，就可以进行ADSL路由器的VPN拨号连接，实现整个局域网连接VPN。

    1、VPN连接配置　回到主页（如图ADSL路由器配置所示），


ADSL路由器配置
选择"VPN and Remote Access Setup"（VPN和远程拨号访问配置）进行VPN的设置。


VPN设置（点击看大图）
    在图VPN设置中选择"Remote Access Contorl Setup"，进入图VPN远程访问控制协议；

VPN远程访问控制协议
在图VPN远程访问控制协议中，启动VPN连接过程当中需要启动的协议，LAN-to-LAN 的VPN连接可以用PPTP、IPSEC以及L2TP等协议，全部选中协议都起用。点击"ok"，回到图VPN连接管理中，

VPN连接管理
再点击图VPN连接管理中"LAN-to-LAN Dialer Profile Setup"，进入图 VPN配置。

VPN配置
在图VPN连接管理中，列出了该局域网连接的VPN情况，在ADSL路由器上可以同时进行多个VPN连接，即实现几个局域网互联。点击INDEX下的"1"，进入图VPN配置。在图VPN配置中，首先是命名连接，profile name为：ciecc，选中"Enable the profile"，由于是局域网连接到外网，而不需要提供别的人进行访问内部局域网，所以在"Call Direction"选项中选择"Dial-Out"。在"Dial-Out Settings"中填写用户名和口令，以及要连接的局域网对外的IP地址。

    填入帐号和口令，服务器地址为：*.*.*.250。在"Type of Server I am calling"中选择进行VPN连接所用的协议，这里选择"PPTP"。


VPN配置
在上图中，"Dial-in Settings"不用设置，这里是为外面接到企业局域网提供的设置。在"TCP/IP Network Settings"设置远方接入的网络，主要是IP地址、网络掩码等。

    2、VPN连接管理　回到图VPN设置，点击"VPN Connection Management"，进入图VPN连接管理。

VPN连接管理
在"Dial-out Tool"下的下拉框选择刚建立的VPN连接，点击"Dial"进行VPN连接。连接成功以后就会显示建立的连接，如果想要终止VPN的连接，点击"Drop"。
三、配置VPN服务器

    下面笔者就VPN服务器端使用Win2000；客户机端使用Win98来设置VPN。

    （1）尚未配置：Win2K中的VPN包含在"路由和远程访问服务"中。当Win2K服务器安装好之后，它也就随之自动存在了!不过此时当你打开"管理工具"中的"路由和远程访问"项进入其主窗口后，在左边的"树"栏中选中"服务器准状态"，即可从右边看到其"状态"正处于"已停止（未配置）"的情况下。
    （2）开始配置：要想让Win2K计算机能接受客户机的VPN拨入，必须对VPN服务器进行配置。在左边窗口中选中"SERVER"（服务器名），在其上单击右键，选"配置并启用路由和远程访问"。

配置并启用路由和远程访问
（3）如果以前已经配置过这台服务器，现在需要重新开始，则在"SERVER"（服务器名）上单击右键，选"禁用路由和远程访问"，即可停止此服务，以便重新配置!
    （4）当进入配置向导之后，在"公共设置"中，点选中"虚拟专用网络（VPN）服务器"，以便让用户能通过公共网络（比如Internet）来访问此服务器。

虚拟专用网络（VPN）服务器
（5）在"远程客户协议"的对话框中，一般来说，这里面至少应该已经有了TCP/IP协议，则只需直接点选"是，所有可用的协议都在列表上"再"下一步"即可。
    （6）之后系统会要求你再选择一个此服务器所使用的Internet连接，在其下的列表中选择所用的连接方式（比如已建立好的拨号连接或通过指定的网卡进行连接等）再"下一步"。
    （7）接着在回答"您想如何对远程客户机分配IP地址"的询问时，除非你已在服务器端安装好了DHCP服务器，否则请在此处选"来自一个指定的IP地址范围"（推荐）。
    （8）然后再根据提示输入你要分配给客户端使用的起始IP地址，"添加"进列表中，比如此处为"192.168.1.80~192.168.1.90"。（请注意，此IP地址范围要同服务器本身的IP地址处在同一个网段中，即前面的"192.168.1"部分一定要相同!）
    （9）最后再选"不，我现在不想设置此服务器使用RADIUS"即可完成最后的设置。此时屏幕上将自动出现一个正在开户"路由和远程访问服务"的小窗口，当它消失之后，打开"管理工具"中的"服务"，即可以看到"Routing and Remote Access"（路由和远程访问）项"自动"处于"已启动"状态了!

已启动状态
四、赋予用户拨入的权限

    （1）默认的，任何用户均被拒绝拨入到服务器上。
    （2）欲给一个用户赋予拨入到此服务器的权限，需打开管理工具中的用户管理器（在"计算机管理"项或"Active Directory用户和计算机"中），选中所需要的用户，在其上单击右键，?quot;属性"。
    （3）在该用户属性窗口中选"拨入"项，然后点击"允许访问"项，再"确定"即可完成赋予此用户拨入权限的工作。

用户属性窗口
五、通过局域网来进行的VPN连接

    （1）进入Win98的计算机，它要想连接到VPN服务器，则需要先安装"虚拟专用网络"服务。在控制面板的"网络"下，进入"通讯"即可找到此项并添加上去；安装完成之后再根据提示重启动计算机。
    （2）重新启动之后，在控制面板的"网络"中就有了"Microsoft 虚拟私人网络适配器"，即说明VPN服务已安装成功!

Microsoft 虚拟私人网络适配器
   （3）还需要建立到VPN服务器的连接。首先进入我的电脑?quot;拨号网络"中，双击"建立新连接"，然后在"请键入对方计算机的名称"输入连接名，比如为"局域网内的VPN连接"，在"选择设备"下一定不要忘了选中"Microsoft VPN Adapter"项!再"下一步"。

  （4）接着出现"请输入VPN服务器的名称或IP地址"，在其下的文字框中输入Win2K服务器的名字或IP地址，比如此处为"192.168.1.1"，再根据提示操作即可建立成功!


（5）然后在"拨号网络"中双击刚才建立好的"局域网内的VPN连接"图标，再输入相应的用户名（需具有拨入服务器的权限）和密码，再按"连接"按钮。
    （6）如果成功连接到了VPN服务器，此时就会像普通拨号上网成功一样，在任务栏右下角会出现两个小电脑的图标，双击它即可出现连接状态小窗口。

    当双方建立好了通过Internet的VPN连接后，即相当于又在Internet上建立好了一个双方专用的虚拟通道，而通过此通道，双方可以在网上邻居中进行互访，也就是说相当于又组成了一个局域网络!
这个网络是双方专用的，而且具体良好的保密性能。VPN建立成功之后，双方便可以通过IP地址或"网上邻居"来达到互访的目的，当然也就可以使用对方所共享出来的软硬件资源了!