|
如何随着网络的扩大保持它的易管理性,提高性能并且加强安全性呢?一个解决方案是将企业庞大的,平面的局域网划分为虚拟局域网 (VLAN)。
随着网络的扩大,管理成百上千的计算机变得越来越困难。在一个大型,平面,交换的网络中,性能越来越差而且安全问题不断增加。
如何构建不断增长的网络的方法是将其划分虚拟局域网段。可以将工作在一起的用户的计算机分组在同一VLAN中,无论他们是否位于很近的物 理距离。通常,企业为不同的部门或公司创建独立的VLAN。VLAN作为一个安全边界并且通过隔离广播和多播通信来提高性能。
VLAN的优点
一般来说,一个局域网(LAN)作为一个广播域。就是说,LAN中所有设备将收到LAN所有其他设备发出的消息。LAN中的通信穿过诸如集线器,
交换机和桥这样的设备。VLAN通常由交换机隔离,将网络分成多个广播域,以减少穿过所有设备的通信量从而提升性能。
可以将被称为“带宽吞噬者”(换句话说,他们的工作需要持续使用网络以保持和特定服务器的联系)的用户和他们需要访问的服务器放在同 一个VLAN段中。以防止其他VLAN中的用户在和其他服务器进行网络通信时受到这些用户的影响。以提升所有用户的网络性能。
VLAN结构也使得管理员管理网络资源更加轻松。用户可以根据他们需要的资源(服务器,打印机等)被逻辑分组。将用户和计算机从一个VLAN 迁移到另一个VLAN很简单而且可以通过软件实现,无须将计算机从一个子网搬到另一个子网。而且当某个用户的计算机被移动到一个不同的位 置(比如说一台膝上型电脑),VLAN管理软件可以识别出该计算机并且自动将它分配到它应该属于的VLAN中。
最后,使用VLAN可以提高安全性。当像多数公司今天所做的那样,为网络通信使用TCP/IP协议时,VLAN可以通过一台路由器(或“第四层交换 ”,本质上是一台具有路由功能的交换机)相互进行通信,而且处理高度敏感信息的用户以及包含机密数据的服务器可以被放置在高安全性的 VLAN段内。来自不属于相同VLAN的其他LAN的通信将被路由器的访问控制列表和过滤器拒绝。如果不通过路由器,VLAN中的设备不能“看到”或 访问在不同VLAN上的设备,即使它们在物理上连接在相同的交换机上。
技巧
如果正在局域网中使用一个非路由的网络协议栈,VLAN通过网桥来取代路由器进行相互通信。但是这样做缺少了安全优点,因为桥无法像路由
器那样完成更高层的过滤功能。
如果用户或服务器必须保持在一个很高的安全等级上,可以将之放在同一个VLAN中以防止来自VLAN外部的通信。
VLAN也可用于特殊用途,例如应用服务提供商(ASP)可以利用它们隔离许多不同客户的通信,尽管这些客户使用相同的硬件。