虚拟局域网

在数据链路层隔离的网络广播域

虚拟局域网Virtual Local Area Network或簡寫VLANV-LAN)是一種建構於區域網路交換技術(LAN Switch)的網路管理的技術,網管人員可以藉此透過控制交換器有效分派出入區域網封包到正確的出入埠,達到對不同實體區域網中的設備進行邏輯分群(Grouping)管理,並降低區域網內大量資料流通時,因無用封包過多導致壅塞的問題,以及提昇區域網的資訊安全保障。

概述

為實現交换机乙太網路廣播隔離,一種理想的解決方案就是採用虛擬區域網路技術。這種對連接到第2層交换机端口的網路使用者的邏輯分段技術實現非常靈活,它可以不受使用者物理位置限制,根據使用者需求進行VLAN劃分;可在一個交換器上實現,也可跨交換器實現;可以根據網路使用者的位置、作用、部門或根據使用的應用程序、上層協議或者乙太網路連接埠硬體地址來進行劃分。

一個VLAN相當於OSI模型第2層的廣播域,它能將廣播控制在一個VLAN內部。而不同VLAN之間或VLAN與LAN / WAN的數據通訊必須通過第3層(網路層)完成。否則,即便是同一交換器上的連接埠,假如它們不處於同一個VLAN,正常情況下也無法進行數據通訊,特例是由於思科生產的交換機帶有VLAN穿越漏洞,外來封包以廣播進到該交换机時,它仍然會流入所有連至交換器上的電腦,而導致資訊可能外洩的潛藏風險。[1]

為瞭解決上述資訊安全議題,1995年IEEE 802委員會發表了802.1Q VLAN技術的實作標準與訊框結構,希望能透過設定邏輯位址(TPID英语Tag Protocol IdentifierTCI英语Tag Control Information),對實體區域網區隔成獨立虛擬網段,以規範封包廣播時的最大範圍。

VLAN的作用

VLAN可以為網路提供以下作用:

  • 廣播控制
  • 頻寬利用
  • 降低延遲
  • 安全性(非設計作用,本身功能所附加出的)

VLAN的運作原理與實作方式

實體層(physical layer)

直接以交換器上的埠做為劃分VLAN的基礎。

這個方式的優點是簡單與直觀,因此,運用這種設定VLAN的情況十分普遍。但因為是實體層的設定,所以比較適合在規模不大的組織。

以每台主機的MAC地址做為劃分VLAN的基礎。方法是先建立一個比較複雜的資料庫,通常為某網路設備的MAC地址與VLAN的映射關係資料庫。當該網路設備連接到端口後,交換器會向VMPS(VLAN管理策略伺服器)來請求這個資料庫。找到相應映射關係,完成端口到VLAN的分配。

這個方式的優點是即使電腦在實體上的位置不同,也不影響VLAN的運作。但缺點是網管人員必須在交換器中設定組織內每一台設備MAC地址與VLAN間的映射關係資料庫。因此,這種設定策略的管理複雜度會隨著越來越多的設備、與實體位置的群落、和不同工作任務需要而增加。

網路層(network layer)

以每台設備的IP地址做為劃分VLAN的基礎,以子網路視為VLAN設定的依據。

這個方式的優點是當網管人員已經將內部網段做好規劃與分配的情況下,將可大輻降低網管人員規劃並設定VLANs架構的複雜度。但缺點是原本傳統交換器不需要對訊框作任何處理,但在這個機制下,交換器不但必須剖析訊框(Frame),還必須進一步取出Source IP與Destination IP進行比對,連帶降低交換器接收與分派封包的效率。

VLAN 中標記 ( tagged ) 與未標記 ( untagged ) 的差異

VLAN分為未標記和已標記。已標記的VLAN會在數據封包中加上"標記",這樣交換器和路由器才能正確處理它們。大多數網路設備都使用IEEE 802.1Q標準,它在封包中加入四個位元組的標籤,這個額外的訊息將告訴我們這個數據包屬於哪個VLAN,同時還有一個VLAN ID號碼(在同一網路上最多可以有4094個VLAN)。已標記的VLAN可以可共用同一交換器埠,就是所謂的中繼埠

未標記的VLAN是建立在交換器的實體連接埠上,通常稱為存取連接埠。這種VLAN在封包中不添加額外的標記資訊,實際上,每個連接埠都被分配給特定的VLAN,就像將單一實體交換器分成多個虛擬小交換器。當某設備僅連接到某個VLAN的連接埠時,該連接埠將被視為未標記的,因此不會在封包中添加額外的標記。这種方式能有效管理不同的VLAN。 [2]

VLAN在網路管理上的實際應用

只有網管型交換機和少數非網管型交換機可以支援 VLAN 設定,從而使網路提升安全。 [3]

VLAN分割網段

可透過管理型網路交換器將VLAN進行分段,可將單一實體網路細分為多個邏輯網路。這項技術透過最大限度地減少廣播流量、分隔不同類型的流量和使用者,以及簡化不同網段的故障和配置,從而顯著增強了智慧運輸系統(英語:Intelligent Transport System、Intelligent Transportation System,縮寫:ITS,又名:智慧型交通系統)的網路的性能、安全性和可管理性。

虛擬區域網路(VLAN)技術之於智慧交通系統的概念與應用:

為了減少網路後台的通信混亂,複雜架構下的眾多設備可以以VLAN技術按照分類分割後各自獨立,就能避免後台通訊網路負擔過度。VLAN分隔提供了將每個設備邏輯分組以隔離廣播流量的方法。例如,用5個獨立的網路來分割交通路網 - 控制區、感測系統區、探測器區、攝影機區和管理區。 以物理方式觀看,網路的基礎結構沒有變化。但就邏輯而言,每一個區塊的流量已被個別獨立在每個單獨的VLAN中。管理VLAN被用來處理交換器之間的通訊,網路與設備分離提供了更高的安全性。管理VLAN與設備分離,需要特定的憑證才能存取和設定,將有助於保護網路免受未經授權的登入和配置修改。 [4]

相關內容

參考文獻

  1. ^ Cisco IOS Switching Services Configuration Guide, Release 12.2. Cisco. Jan 30, 2014 [2018-10-25]. (原始内容存档于2019-06-03) (英语). 
  2. ^ 化繁為簡: 虛擬區域網路(VLAN). EtherWAN Systems. 
  3. ^ VLANs: Navigate your Network’s Security Armor. EtherWAN Systems. 
  4. ^ VLAN:優化ITS網路管理的關鍵利器. EtherWAN Systems.