VLAN 无处不在。您可以在大多数具有正确配置网络的组织中找到它们。万一它不明显,VLAN 代表“虚拟局域网”,它们在任何现代网络中无处不在,超出了小型家庭或非常小的办公室网络的规模。
有几种不同的协议,其中许多是特定于供应商的,但在其核心,每个 VLAN 做的事情大致相同,并且随着您的网络规模和组织复杂性的增长,VLAN 规模的优势也越来越大。
这些优势是各种规模的专业网络如此严重依赖 VLAN 的重要原因。事实上,没有它们就很难管理或扩展网络。
VLAN 的优势和可扩展性解释了为什么它们在现代网络环境中变得如此普遍。即使是使用 VLAN 的中等复杂网络,也很难管理或扩展。
什么是 VLAN?
好的,您知道首字母缩略词,但 VLAN 究竟是什么?任何使用过或使用过虚拟服务器的人都应该熟悉基本概念。
想一想虚拟机是如何工作的。多个虚拟服务器驻留在运行操作系统和管理程序的一个物理硬件中,以在单个物理服务器上创建和运行虚拟服务器。通过虚拟化,您可以有效地将单台物理计算机转变为多台虚拟计算机,每台虚拟计算机可用于不同的任务和用户。
虚拟 LAN 的工作方式与虚拟服务器大致相同。一台或多台托管交换机运行软件(类似于管理程序软件),允许交换机在一个物理网络中创建多个虚拟交换机。
每个虚拟交换机都是它自己的独立网络。虚拟服务器和虚拟 LAN 之间的主要区别在于,虚拟 LAN 可以使用称为中继的指定电缆分布在多个物理硬件上。
怎么运行的
想象一下,您正在为成长中的小型企业运行网络,增加员工,划分为不同的部门,并且变得更加复杂和有组织。
为了应对这些变化,您升级到 24 端口交换机以适应网络上的新设备。
您可能会考虑将以太网电缆连接到每个新设备并调用完成的任务,但问题是每个部门使用的文件存储和服务必须保持分开。 VLAN 是最好的方法。
在交换机的 Web 界面中,您可以配置三个独立的 VLAN,每个部门一个。划分它们的最简单方法是通过端口号。您可以将端口 1-8 分配给第一个部门,将端口 9-16 分配给第二个部门,最后将端口 17-24g 分配给最后一个部门。现在您已将物理网络组织成三个虚拟网络。
交换机上的软件可以管理每个 VLAN 中客户端之间的流量。每个 VLAN 都充当自己的网络,不能直接与其他 VLAN 交互。现在,每个部门都有自己的更小、更整洁、更高效的网络,您可以通过同一个硬件来管理它们。这是一种非常有效且经济高效的网络管理方式。
当您需要部门能够交互时,您可以通过网络上的路由器让他们这样做。路由器可以调节和控制 VLAN 之间的流量并执行更强大的安全规则。
在许多情况下,部门需要协同工作和互动。您可以通过路由器实现虚拟网络之间的通信,设置安全规则以确保各个虚拟网络的适当安全和隐私。
VLAN 与子网
VLAN 和子网实际上非常相似并且具有相似的功能。子网和 VLAN 都划分网络和广播域。在这两种情况下,细分之间的交互只能通过路由器发生。
它们之间的区别在于它们的实现形式以及它们如何改变网络结构。
IP 地址子网
子网存在于 OSI 模型的第 3 层,即网络层。子网是网络级别的构造,由路由器处理,围绕 IP 地址进行组织。
路由器划分 IP 地址范围并协商它们之间的连接。这将网络管理的所有压力都放在路由器上。随着网络规模和复杂性的扩大,子网也可能变得复杂。
虚拟局域网
VLAN 位于 OSI 模型的第 2 层。数据链路层更接近硬件,抽象程度较低。虚拟 LAN 模拟充当独立交换机的硬件。
但是,虚拟 LAN 能够分解广播域而无需重新连接到路由器,从而减轻了路由器的一些管理负担。
因为 VLAN 是它们自己的虚拟网络,所以它们的行为必须有点像内置路由器。因此,VLAN 至少包含一个子网,并且可以支持多个子网。
VLAN 分配网络负载,并且。多个交换机可以在不涉及路由器的情况下处理 VLAN 内的流量,从而使系统更高效。
VLAN 的优势
到目前为止,您已经看到了 VLAN 带来的几个优势。仅仅凭借它们的作用,VLAN 就具有许多有价值的属性。
VLAN 有助于提高安全性。划分流量限制了未经授权访问网络部分的任何机会。如果任何恶意软件进入网络,它还有助于阻止恶意软件的传播。潜在的入侵者无法使用 Wireshark 之类的工具在他们所在的虚拟 LAN 之外的任何地方嗅探数据包,从而也限制了这种威胁。
网络效率是一个大问题。实施 VLAN 可为企业节省或花费数千美元。通过限制一次参与通信的设备数量,分解广播域大大提高了网络效率。 VLAN 减少了部署路由器来管理网络的需要。
通常,网络工程师选择在每个服务的基础上构建虚拟 LAN,将重要的或网络密集型流量分开,如存储区域网络 (SAN) 或 IP 语音 (VOIP)。某些交换机还允许管理员对 VLAN 进行优先级排序,从而为要求更高且丢失的关键流量提供更多资源。
需要建立一个独立的物理网络来分离流量是很糟糕的。想象一下复杂的布线,您必须努力进行更改。更不用说增加的硬件成本和功耗了。它也将非常不灵活。 VLAN 通过在单个硬件上虚拟化多个交换机来解决所有这些问题。
VLAN 通过方便的软件界面为网络管理员提供了高度的灵活性。假设两个部门交换办公室。 IT 员工是否必须移动硬件以适应变化?不可以。他们只需将交换机上的端口重新分配给正确的 VLAN。某些 VLAN 配置甚至不需要这样做。他们会动态适应。这些 VLAN 不需要分配的端口。相反,它们基于 MAC 或 IP 地址。无论哪种方式,都不需要重新排列开关或电缆。实施软件解决方案来改变网络的位置比移动物理硬件更有效、更具成本效益。
静态 VLAN 与动态 VLAN
有两种基本类型的 VLAN,按机器连接到它们的方式分类。每种类型都有优缺点,应根据特定的网络情况加以考虑。
静态VLAN
静态 VLAN 通常称为基于端口的 VLAN,因为设备通过连接到分配的端口来加入。到目前为止,本指南仅使用静态 VLAN 作为示例。
在设置具有静态 VLAN 的网络时,工程师将按端口划分交换机并将每个端口分配给一个 VLAN。任何连接到该物理端口的设备都将加入该 VLAN。
静态 VLAN 提供非常简单且易于配置的网络,而无需过多依赖软件。但是,很难限制物理位置内的访问,因为个人只需插入即可。静态 VLAN 还需要网络管理员更改端口分配,以防网络上的某人更改物理位置。
动态VLAN
动态 VLAN 严重依赖软件并具有高度的灵活性。管理员可以将 MAC 和 IP 地址分配给特定的 VLAN,允许在物理空间中不受阻碍地移动。动态虚拟 LAN 中的机器可以移动到网络内的任何地方,并保持在同一个 VLAN 上。
尽管动态 VLAN 在适应性方面是无与伦比的,但它们也有一些严重的缺点。高端交换机必须承担称为 VLAN 管理策略服务器(VMPS(用于存储地址信息并将其传递给网络上的其他交换机)的服务器的角色。VMPS 与任何服务器一样,需要定期管理和维护并且可能会停机。
攻击者可以欺骗 MAC 地址并获得对动态 VLAN 的访问权限,从而增加了另一个潜在的安全挑战。
设置 VLAN
你需要什么
设置一个 VLAN 或多个 VLAN 需要几个基本项目。如前所述,有许多不同的标准,但最通用的是 IEEE 802.1Q。这就是本示例将遵循的那个。
路由器
从技术上讲,您不需要路由器来设置 VLAN,但如果您希望多个 VLAN 交互,则需要路由器。
许多现代路由器以某种形式支持 VLAN 功能。家用路由器可能不支持 VLAN 或仅在有限的容量中支持它。像 DD-WRT 这样的自定义固件确实更全面地支持它。
说到自定义,您不需要现成的路由器来处理您的虚拟 LAN。自定义路由器固件通常基于类 Unix 操作系统,例如 Linux 或 FreeBSD,因此您可以使用其中任一开源操作系统构建自己的路由器。
您需要的所有路由功能都可用于 Linux,您可以自定义配置 Linux 安装来定制您的路由器以满足您的特定需求。对于功能更完整的东西,请查看 pfSense。 pfSense 是 FreeBSD 的优秀发行版,旨在成为强大的开源路由解决方案。它支持 VLAN 并包含防火墙以更好地保护虚拟网络之间的流量。
无论您选择哪条路由,请确保它支持您需要的 VLAN 功能。
管理型交换机
交换机是 VLAN 网络的核心。他们是魔法发生的地方。但是,您需要一个管理型交换机才能利用 VLAN 功能。
从字面上看,有可用的第 3 层管理型交换机。这些交换机能够处理一些第 3 层网络流量,并且在某些情况下可以代替路由器。
重要的是要记住,这些交换机不是路由器,它们的功能是有限的。第 3 层交换机确实降低了网络延迟的可能性,这在某些具有极低延迟网络至关重要的环境中可能至关重要。
客户端网络接口卡 (NIC)
您在客户端计算机上使用的 NIC 应支持 802.1Q。有可能,他们确实如此,但在继续前进之前需要研究一下。
基本配置
这是困难的部分。如何配置网络有成千上万种不同的可能性。没有一个指南可以涵盖所有这些。从本质上讲,几乎任何配置背后的想法都是相同的,一般过程也是如此。
设置路由器
您可以通过几种不同的方式开始。您可以将路由器连接到每个交换机或每个 VLAN。如果您只选择每个交换机,则需要配置路由器以区分流量。
然后,您可以配置路由器以处理 VLAN 之间的传输流量。
配置交换机
假设这些是静态 VLAN,您可以通过其 Web 界面进入交换机的 VLAN 管理实用程序,并开始将端口分配给不同的 VLAN。许多交换机使用表格布局,允许您检查端口的选项。
如果您使用多个交换机,请将其中一个端口分配给所有 VLAN,并将其设置为中继端口。在每个交换机上执行此操作。然后,使用这些端口在交换机之间进行连接,并将您的 VLAN 分布在多个设备上。
连接客户
最后,在网络上获取客户端是不言自明的。将您的客户端计算机连接到与您希望它们所在的 VLAN 相对应的端口。
家庭 VLAN
尽管它可能不被视为逻辑组合,但 VLAN 实际上在家庭网络空间、访客网络中具有很好的应用。如果您不想在家中设置 WPA2 企业网络并为您的朋友和家人单独创建登录凭据,您可以使用 VLAN 来限制您的客人对家庭网络上的文件和服务的访问。
许多高端家用路由器和自定义路由器固件支持创建基本 VLAN。您可以使用自己的登录信息设置访客 VLAN,让您的朋友连接他们的移动设备。如果您的路由器支持它,访客 VLAN 是一个很好的附加安全层,可以防止您朋友的带病毒的笔记本电脑破坏您的干净网络。
