【TechTarget中国原创】在企业网络中,虚拟局域网一直用于创建逻辑工作组、独立的物理地址和局域网拓扑结构。本条技巧中,讲述了如何使用这些在有线设备和无线设备中发现的虚拟局域网的相同性能,来标记和分隔Wi-Fi信息流,支持公司的安全和流量管理策略。
走虚拟化路线
在以太网的局域网中,连接到相同物理交换器的工作站是“广播域”中的一部分。每个工作站发送的广播数据包是由该域中的其它工作站分别接收。但是争论和费用随着域的规模增加;最后,局域网由于冲突而堵塞并停顿下来。
通过将物理局域网分割成几个较小的逻辑广播域、或者虚拟局域网(VLAN),就可以阻止局域网的堵塞和停顿。虽然虚拟局域网中的工作站可以共享相同的物理媒介,但是流量被分割进入了独立的广播域。参与特定局域网的工作站接收该虚拟局域网中所有其它站点发送的信息包,而不接受其它虚拟局域网中的站点发送的信息包。
为了创建虚拟局域网,以太网交换器可以配置到编好号的虚拟局域网中的组端口。比如。当信息包到达端口#9 (VLAN #1)时,交换器可以迫使这些信息包穿过所有其它属于VLAN #1的端口,而且只通过这些端口。这种简单的、静态的方法就是人们熟知的基于端口的虚拟局域网。
或者,这个交换器可以监测到达的信息包是否内嵌有“标记”,迫使信息包通过已标识的虚拟局域网的所有端口。IEEE 802.1Q讲述了如何在每个信息包的包头添加虚拟局域网的标识符(1-4096)和优先次序(1-7)。标记可以使802.1Q-资格的设备在信息包的整个传播路径中执行虚拟局域网的分割。这些设备有Layer 2交换器和Layer 3交换器、路由器和防火墙。
比如,边缘交换器A可以通过端口#9接收信息包,应用标签#1,然后促使这个信息包通过虚拟局域网的主干,到达VLAN #1中的所有端口和核心交换器B。在促使信息包到达VLAN #1中的所有边缘交换器之前,交换器B会对其标签进行检查,然后通过其主路径传到上游路由器。这个路由器使用信息包的入口界面、虚拟局域网标签、以及源/目标IP/端口,进而使用可以允许/拒绝进一步转发的访问控制列表(ACL)。
虚拟局域网允许你创建独立于物理地址的局域网工作组。参与某个特定虚拟局域网的工作站可以跨不同楼层、建筑物、甚至城市而分布。可以添加或者删除工作组成员,配置集中管理的设备可以改变ACL。除了减少广播的费用,虚拟局域网标签可以用于赋予某个工作组的信息流高于其它工作组的优先权,还可以允许成员听取信息流并获取网络资源,只有工作组成员可以获取这些资源,其他人不可以。