在我们之前的博客中,我们与您分享了虚拟局域网 (VLAN) 的初学者指南,其中我们讨论了 VLAN 在业务环境中发挥的关键作用。我们还讨论了 VLAN 的工作原理、它们的不同类型以及它们的优势。在这篇博文中,我们将探讨 VLAN 的主题,进一步概述配置 VLAN、连接链路和标记的不同方式。那么让我们开始吧……
如何配置 VLAN?
VLAN 通常以下列方式之一进行配置:
静态 VLAN
静态 VLAN 也称为基于端口的 VLAN,是属于同一广播域的一组端口。它是通过为每个交换机端口手动分配 VLAN 来创建的。如果任何用户将其访问端口更改为 VLAN,则需要重新配置端口。这使得静态 VLAN 难以管理。因此,它们并不常用。
动态 VLAN
动态 VLAN 是网络交换机根据来自用户设备的信息自动将端口分配给 VLAN 的一种。VLAN 是使用软件或协议配置的。它们的灵活性和易于管理性使它们成为受欢迎的选择。
动态 VLAN 可以进一步分为以下几类:
-
基于 MAC 地址的 VLAN
在基于 MAC 地址的 VLAN 中,VLAN 成员资格根据设备的媒体访问控制 (MAC) 地址而不是交换机端口分配给设备。因此,网络访问是通过验证主机源的 MAC 地址并将传入的数据包源 MAC 映射到 VLAN 来控制的。
-
基于 IP 子网的 VLAN
在基于IP(互联网协议)子网的 VLAN 中,VLAN 成员资格是根据设备的 IP 子网分配的。只要不更改 IP,用户就可以在不影响其 VLAN 成员资格的情况下移动其设备。网络管理员可以通过为设备分配不同的 IP 地址将设备移动到新的 VLAN。这种灵活性和简化的管理使基于 IP 子网的 VLAN 成为大型网络的热门选择。
-
基于用户的 VLAN
在基于用户的 VLAN 中,成员资格是根据用于登录设备的用户名分配的。
-
基于策略的 VLAN
在基于策略的 VLAN 中,成员资格是根据定义的策略分配的,这些策略通常是 MAC 地址、IP 地址等的组合。基于策略的 VLAN 成员资格可以增强网络安全性,同时保持动态 VLAN 所特有的灵活性和易于管理性.
VLAN 连接链路
在构建 VLAN 时,您通常需要将多个交换机或其他网络设备连接在一起。这种连接在网络世界中称为连接链路或接口。VLAN 连接链路有以下几种类型:
-
访问链接
访问链路是仅属于一个 VLAN 的链路,通常连接终端设备。
为了访问本地网络,主机连接到交换机的访问链路。这些链接是普通的交换机端口,但配置方式允许您将设备插入其中并访问您的网络。
连接到接入链路的设备不知道其 VLAN 成员资格,并假定它只是单个广播域的一部分。由于它只能理解标准以太网帧,因此在数据传输期间,交换机会从帧中剥离任何 VLAN 信息,因此接收设备没有关于它们的信息。
-
中继链路
中继链路不同于接入链路,因为它们通常配置为承载多个 VLAN 流量。中继链路通常用于将交换机连接到其他交换机或路由器。这允许网络管理员在整个网络中扩展 VLAN。由于中继链路可以跨越多个交换机,因此它们需要能够承载来自所有可用 VLAN 的数据包。
VLAN 标记
在上一节中,我们提到了中继链路承载来自多个 VLAN 的数据包(帧)。那么,在中继链路中传输的数据包如何找到到达正确目的地的路径,而不会在来自不同 VLAN 的所有数据包中混淆和丢失呢?这就是 VLAN 标记(也称为帧标记)发挥作用的地方。
VLAN 标记方法为通过中继链路发送的帧添加特殊标记,并帮助识别数据包。一个数据包在以太网帧中被标记了一个 VLAN 标签,这个标签用于告诉哪个数据包属于哪个 VLAN。当数据包到达中继链路的末端时,标签被移除,帧被发送到正确的接入链路端口。
VLAN 标记是通过在标头中添加 VLAN ID来识别它所属的网络来完成的。这有助于确定需要将数据包发送到的正确广播域。在处理标记过程之前,需要配置这些开关。这样,VLAN 标记可用于处理一个端口上的多个 VLAN。
-
标记的 VLAN
当接口需要包含 VLAN 标记的帧时,端口被称为标记。当设备发送带有 VLAN 标记的帧时,交换机会检查该标记,如果允许,它将将该帧转发到配置有该 VLAN 的所有端口。
-
未标记的 VLAN
未标记的端口连接到服务器等主机,并期望帧上没有任何 VLAN 标记的流量。当帧到达未标记的端口时,交换机会添加带有端口配置的 VLAN ID 的 VLAN 标记。当帧离开未标记的端口时,交换机会从帧中删除 VLAN 标记,以便将流量作为正常流量转发。
-
本机 VLAN
有时,未标记的帧可以到达标记的端口并进行处理,标记的端口上配置了一个称为本地 VLAN 的特殊 VLAN。因此,本地 VLAN 提供了一种跨一个或多个交换机传输未标记流量的方法。例如,当两台交换机之间存在中继链路时,一台交换机可以在本地 VLAN 上发送未标记的流量。
VLAN 使您能够聚合用户和网络设备以最好地支持业务和安全要求,而不受设备的物理位置或连接的限制,从而简化了网络管理。在将网络的一部分保持在同一物理基础设施上的同时,逻辑上分离一部分网络的能力使网络管理员的工作变得更加简单。这可能会腾出他们的时间来专注于其他关键领域,例如网络安全和合规性。您的组织是否需要更好的网络管理?您对当前网络设置的性能和安全性满意吗?单击下面的按钮与我们联系,了解我们如何满足您的所有网络要求。