虛擬局域網(wǎng)的產(chǎn)生
在LAN交換技術(shù)中,虛擬局域網(wǎng)是一種迅速發(fā)展的技術(shù)。此種技術(shù)的核心是通過路由和交換設(shè)備在網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)基礎(chǔ)上建立一個邏輯網(wǎng)絡(luò),以使得網(wǎng)絡(luò)中任意幾個LAN段或(和)單站能夠組合成一個邏輯上的局域網(wǎng)。
在20世紀(jì)90年代初,具有多端口的路由器開始取代網(wǎng)橋,以達到在第三層對網(wǎng)絡(luò)進行分段的目的,并實現(xiàn)對廣播數(shù)據(jù)的抑制。在此種只使用路由器的網(wǎng)絡(luò)中,網(wǎng)段和廣播域是一一對應(yīng)的。在一個網(wǎng)段,也即一個廣播域中通常只包含有30—100個用戶。
在引入交換技術(shù)之后,人們可以在第二層上將網(wǎng)絡(luò)劃分成更小的分段,這樣做的好處是各網(wǎng)段的帶寬將得以提高,而網(wǎng)絡(luò)中路由器可以集中力量作好廣播數(shù)據(jù)的抑制工作。此時一個廣播城可以跨越多個交換的網(wǎng)段,從而使得在一個廣播域中提供對500個甚至更多的用戶的支持也不再是什么困難的事。而VLAN則代表著—種不用路由器對廣播數(shù)據(jù)進行抑制的解決方案。
在VLAN中,對廣播數(shù)據(jù)的抑制將由交換器完成。此時每一個物理網(wǎng)段可以僅包含一個用戶,而一個廣播域中則可以具有多達1000個以上的用戶。另外VLAN還可以跟蹤各個工作站物理位置的變動,使之在移動位置之后不需要對其網(wǎng)絡(luò)地址重新進行手工配置。
在本章中我們將討論VLAN的特點、結(jié)構(gòu)、實現(xiàn)機制、功能以及將來發(fā)展的情況。
8.1 概 述
8.1.1 什么是VLAN
要對VLAN下一個確切的定義可能是一件比較困難的事,因各廠商有不同的VLAN解決方案,但可以這樣認(rèn)為,VLAN基本上可以看成是一個廣播域。說的具體一點,一個VLAN可以看成是一組客戶工作站的集合。這些工作站不必處于同一個物理網(wǎng)絡(luò)上,它們可以不受地理位置的限制像處于同一個LAN上那樣進行通信和信息交換。
如圖8.1所示,即為VLAN的一個例子。
在整個網(wǎng)絡(luò)結(jié)構(gòu)中,劃分了三個VLAN,分別為工程VLAN、市場VLAN及財會VLAN,每一個VLAN包括了相應(yīng)的客戶站??梢哉J(rèn)為一個VLAN實際上是邏輯上的網(wǎng)段。
此種邏輯上的網(wǎng)段給LAN的管理、安全性以及廣播數(shù)據(jù)的抑制帶來諸多的益處?,F(xiàn)VLAN需要具備以下若干條件:
具有能夠?qū)⑺B接的客戶站進行邏輯分段的高性能交換機。
在網(wǎng)上傳輸VLAN信息的通信協(xié)議。
進行VLAN間通信的第三層路由解決方案。
同已安裝的LAN系統(tǒng)能夠?qū)崿F(xiàn)VLAN的兼容性和互操作性。
提供具有集中控制、配置和流量管理功能的網(wǎng)管方案。
虛擬局域網(wǎng)需要解決的問題:在實現(xiàn)VLAN的過程中有許多需要解決,但最為關(guān)鍵的是如下幾個問題:
如何在整個網(wǎng)絡(luò)范圍內(nèi)定義務(wù)VLAN中的成員,即VLAN劃分方法。
如何在多個交換設(shè)備之間傳遞VLAN成員信息
VLAN的配置問題如何解決
VLAN之間的通信如何進行
這些問題如何解決將影響到某個VLAN實現(xiàn)是否能夠有效地滿足用戶和網(wǎng)絡(luò)管理的要求。由于VLAN都是在交換網(wǎng)絡(luò)環(huán)境中實現(xiàn)的。在此種網(wǎng)絡(luò)環(huán)境中最核心的問題是交換設(shè)備。交換設(shè)備是各客戶工作站連人交換網(wǎng)絡(luò)的入口點,它可以提供對用戶、端口、以及邏輯地址進行分組以構(gòu)成VLAN的能力。
當(dāng)前LAN交換設(shè)備在物理上一般都安裝在共享式的分段HUB和位于主干網(wǎng)的路由器之間,它將在VLAN的分段及實現(xiàn)低延遲的報文轉(zhuǎn)發(fā)方面起到至關(guān)重要的作用。總的來說,VLAN交換設(shè)備除了能夠顯著地提高網(wǎng)絡(luò)的性能和專用帶寬外,同時它還具有完成VLAN的劃分所必需的能力。
8.2 建立虛擬局域網(wǎng)的交換技術(shù)
8.2.1 端口交換
端口交換或稱配置交換,最初的方式是把端口經(jīng)過手工配置到一個或若干個通過背板連接的共享HUB上,可以形成若干個獨立的由端口組合的共享媒體段,每一個連接到端口上的用戶被分配到其中一個段上。(端口連接的配置可人為確定)
近年來發(fā)展成為一種稱為端口交換(Port Switch)的設(shè)備,在一個或幾個通過背板連接的端口交換器上,通過軟硬件的控制和管理,交換器上的所在端口劃分成若干個共享式的互相獨立的VLAN.
端口交換方式的特點有二:
一是端口用戶組成小規(guī)模的VLAN非常靈活;
二是在全局交換網(wǎng)絡(luò)上,端口交換能夠為全局VLAN提供有效的、靈活的前端配置端口組合的功能。
8.2.2 幀交換(第二層交換)
LAN(Ethernet,Token Ring或FDDI)交換器(機)每一個端口上提供一個獨立的共享媒體端口,在此端口上可以接共享HUB也可以接單獨的一個客戶站。在一個端口上接收到的幀正確地轉(zhuǎn)發(fā)到輸出端口上,在尋找路徑和轉(zhuǎn)發(fā)時,幀是不會被破壞的。
(1)對于廣播幀來說,可以轉(zhuǎn)發(fā)到交換器上的所有端口。
(2)虛擬化后,一個交換器或者互聯(lián)的若干交換器上的每個端口可以被分配給任何VLAN,即在網(wǎng)絡(luò)系統(tǒng)中形成若干個VLAN.
幀交換方式的特點是比端口交換增加了有效的帶寬,LAN交換器上每個端口用戶具有獨占帶寬(例10Mbps,100Mbps)的性能,交換器間互聯(lián)的速率可達數(shù)百兆甚至千兆位傳輸率。服務(wù)器和高速客戶站可以直接連到交換器端口上。
目前,絕大多數(shù)廠家的LAN交換器(機)均按幀交換方式來實現(xiàn)VLAN的交換,Ethernet交換器與端口交換器組合應(yīng)用,使用戶加入VLAN更靈活。
8.2.3 信元交換
ATM交換機上實現(xiàn)信元交換,一個或者多個互聯(lián)的ATM交換機組成網(wǎng)絡(luò)的核心系統(tǒng),類似于幀交換(需查交換表),所不同的是從ATM交換機端口上接收到信元后,正確地轉(zhuǎn)發(fā)到輸出端口。
8.3 劃分虛擬局域網(wǎng)的方法
常用的VLAN劃分方法如下:
8.3.1 按交換端口號
將交換設(shè)備端口進行分組來劃分VLAN,如圖8.3所示。交換器1與交換器2上端口 1、2、3、8與1、7、8所連接的客戶站構(gòu)成VLANA.而相應(yīng)的端口4、5、6、7與4、5、6所連接的客戶站構(gòu)成VLANB.
在最初的實現(xiàn)中,VLAN是不能跨越交換設(shè)備的。后來進一步的發(fā)展使得VLAN可以跨越多個交換設(shè)備。
按端口號劃分VLAN仍然是構(gòu)造VLAN的一個最常用的方法。而且此種方法也確實是比較簡單并且非常有效。但僅靠端口分組而定義VLAN將無法使得同一個物理分段(或交換端口)同時參與到多個VLAN中,而且更要緊的是當(dāng)一個客戶站從一個端口移至另一個端口時,網(wǎng)管人員將不得不對VLAN成員進行重新配置。
8.3.2 按MAC地址
這種方法的特點是由網(wǎng)管人員指定屬于同一個VLAN中的各客戶站的MAC地址。
用MAC地址進行VLAN成員的定義既有優(yōu)點也有缺點。由于MAC地址是固化在網(wǎng)卡中的,故移至網(wǎng)絡(luò)中另外一個地方時它將仍然保持其原先的VLAN成員身份而無需網(wǎng)管人員對之進行重新的配置,從這個意義講,用MAC地址定義的VLAN可以看成是基于用戶的VLAN.
但這種方法也有許多不足之處,首先所有的用戶在最初都必須被配置到(手工方式)至少一個VLAN中,只有在此種手工配置之后方可實現(xiàn)對VLAN成員的自動跟蹤。但在大型的網(wǎng)絡(luò)中完成初始的配置并不是一件容易的事。
8.3.3 按第三層協(xié)議
基于第三層協(xié)議的VLAN實現(xiàn)在決定VLAN成員身份時主要是考慮協(xié)議類型(支持多協(xié)議的情況下)或網(wǎng)絡(luò)層地址(如TCP/IP網(wǎng)絡(luò)的子網(wǎng)地址)。此種類型的VLAN劃分需要將子網(wǎng)地址映射到VLAN,交換設(shè)備則根據(jù)子網(wǎng)地址而將各機器的MAC地址同一個VLAN聯(lián)系起來。交換設(shè)備將決定不同網(wǎng)絡(luò)端口上連接的機器屬于同一個VLAN.
但應(yīng)注意此處對于第三層信息的使用并不構(gòu)成路由功能。我們不應(yīng)將其同網(wǎng)絡(luò)層路由混淆起來。
因為在交換設(shè)備使用報文的IP地址決定VLAN成員身份時并沒有進行任何路由計算,也沒有使用任何路由協(xié)議。交換設(shè)備只是根據(jù)生成樹算法在其各端口之間進行幀的轉(zhuǎn)發(fā)。因此從這個意義上講,任一VLAN內(nèi)部的連接仍然是一種平板式的橋接拓?fù)浣Y(jié)構(gòu)。
第三層定義VLAN的優(yōu)點:
首先,我們可以根據(jù)協(xié)議類型進行VLAN的劃分,這對于那些對基于服務(wù)或基于應(yīng)用VLAN策略的網(wǎng)管人員無疑是極具吸引力的。
其次,用戶可以自由地移動我們的機器而無須對網(wǎng)絡(luò)地址進行重新配置。
在第三層上所定義的VLAN對于TCP/IP特別有效,但對于其它一些協(xié)議如IPX、DECnet或Apple則要差一些,并且對于那些不可進行路由選擇的一些協(xié)議,如Netbios,在第三層上實現(xiàn)VLAN劃分將特別困難,因為使用此種協(xié)議的機器是無法互相區(qū)分的,因此也就無法將其定義成某個網(wǎng)絡(luò)層VLAN的一員。
總之,各種劃分方式側(cè)重點不同,所達到的效果就不盡相同。目前在網(wǎng)絡(luò)產(chǎn)品中融合多種劃分VLAN的方法,以便根據(jù)實際情況尋找最合適的途徑;同時,隨著管理軟件的發(fā)展,VLAN的劃分逐漸趨向于動態(tài)化。
8.3.4 多重屬性的VLAN
大多數(shù)情況下,人們可以同時為不同的工作組工作,即同時屬于多個VLAN.一個好的虛擬網(wǎng)策略不能強迫用戶一定要屬于某個虛擬網(wǎng)而且只能是這一個,這樣設(shè)計的虛擬網(wǎng)缺乏靈活性和擴展性。
舉例:VLAN中組員的多重屬性。
如某一公司的投標(biāo)小組,小組里面需有銷售人員、市場人員及工程技術(shù)人員,他們分別負(fù)責(zé)投標(biāo)的不同任務(wù)并協(xié)同工作,而這些人員原來又分別屬于銷售部、市場部、工程部的不同虛擬網(wǎng)絡(luò)。
(垂直領(lǐng)導(dǎo)與橫向聯(lián)合共有)。
因而,實際上他們組成了一個臨時的投標(biāo)虛擬網(wǎng)。這時,他們既可分別訪問他們原屬的網(wǎng)絡(luò),又可同時在投標(biāo)VLAN中互相交流信息,這就是VLAN中組員的多重屬性。
一個用戶同時具有多個VLAN成員資格雖然是很有必要的,但這意味著工作組的安全性下降,并可能導(dǎo)致可伸縮性的下降。
8.4 虛擬局域網(wǎng)互聯(lián)方式
總的要求:靈活、高效。
一般情況下網(wǎng)絡(luò)環(huán)境中的VLAN實現(xiàn)了網(wǎng)絡(luò)流量的分割。
在大型網(wǎng)絡(luò)中,VLAN內(nèi)數(shù)據(jù)的高速交換同VLAN間數(shù)據(jù)傳輸?shù)挠行酚珊徒粨Q這兩者的集成正變得越來越具有吸引力。
互聯(lián)的各種不同的路由方案具有很大的差別,每一種都有其各自的優(yōu)點和不足,并且將對網(wǎng)絡(luò)的總體結(jié)構(gòu)產(chǎn)生影響。而且路由也并不是解決VLAN間通信技術(shù)的惟一方法。 同選擇一種VLAN解決方案會遇到的其它一些重要問題一樣,解決VLAN間通信的選擇也取決于用戶特定的應(yīng)用需求及總的網(wǎng)絡(luò)結(jié)構(gòu),其中最為關(guān)鍵的問題是要達到較高程度的靈活性。
目前基本上有五種不同的VLAN路由模式:
邊界路由。
“獨臂”路由器
路由服務(wù)器/路由客戶機。
ATM上的多協(xié)議(MPOA)路由。
第三層交換。
下面我們將具體討論各種不同模式的工作方式及其各自的優(yōu)缺點。
課堂筆記(第8章)2
8.4.1 邊界路由
邊界路由指的是將路由功能包含在位于主干網(wǎng)絡(luò)邊界的每一個LAN交換設(shè)備中,此時,VLAN間的報文將由交換設(shè)備內(nèi)在的路由能力進行處理,從而無需再將其傳送至某個外部的路由器上,數(shù)據(jù)的轉(zhuǎn)發(fā)延遲因而也將得以降低。
此種路由方式的主要優(yōu)點:在于不像集中式路由那樣會因中央路由站點的崩潰而導(dǎo)致整個網(wǎng)絡(luò)的癱瘓。
主要的不利之處在于:相對于統(tǒng)一路由功能的集中式管理而言,邊界路由需要對多個物理設(shè)備行管理。另外此種方式可能比由一個集中式路由器和多個較便宜的邊界路由器組成的集中式方案在價格上要貴一些。
8.4.2 “獨臂”路由器
采用“獨臂”路由器的網(wǎng)絡(luò)方案因能消除主干網(wǎng)上集中式處理和高延遲的路由功能而越來越受廣泛的關(guān)注。
要求:
大部分報文在VLAN內(nèi)傳輸;
少量的報文通過路由器進行傳輸。
這種路由器一般接在主干網(wǎng)上的一個交換設(shè)備上,以使得網(wǎng)絡(luò)中的大部分報文在通過主干網(wǎng)時無需通過路由器進行處理,而且此種方式配置和管理起來也比較方便。此種路由模式由圖8.4所示。
優(yōu)點:我們可以看到同一個VLAN內(nèi)的報文將用不著通過路由器而直接在交換設(shè)備間進行高速傳輸。
這種路由方式的不足之處在于它仍然是一種集中式的路由策略,因此在主干網(wǎng)上一般均設(shè)置有多個冗余“獨臂”路由器,但如果網(wǎng)絡(luò)中VLAN之間的數(shù)據(jù)傳輸量比較大,那么在路由器處將形成瓶頸。
8.4.3 ATM上的多協(xié)議路由(MPOA)
人們現(xiàn)在正在致力于將路由服務(wù)器的方法標(biāo)準(zhǔn)化。ATM論壇的MPOA標(biāo)準(zhǔn)工作組正在進行的工作就是此種努力中的一個代表。
MPOA的目的是給可能屬于不同路由子網(wǎng)的多個用ATM網(wǎng)絡(luò)連接的設(shè)備提供直接的虛擬連接。也就是說,MPOA將使得多個屬于不同E—LAN(仿真局域網(wǎng))的站點通過ATM網(wǎng)絡(luò)直接進行通信,而用不著經(jīng)過一個中間的路由器。其中ELAN可以看成為另一種的VLAN,它是在ATM網(wǎng)絡(luò)環(huán)境下用LANEmulation(模仿)標(biāo)準(zhǔn)建立起來的。
8.4.4 第三層交換技術(shù)
在第三層交換技術(shù)的章節(jié)中,已經(jīng)詳細(xì)地討論了各種技術(shù)的原理和特點,有的技術(shù)方案本身就是一個帶有路由功能的交換器。特別是基于智能可編程ASIC技術(shù)的第三層交換器,它既包括了第二層和第三層的交換功能,而且還具備路由尋址功能。因此利用它來作為網(wǎng)絡(luò)的主干交換器,既可以根據(jù)多種方法來定義VLAN成員,繼后配置VLAN,又能不附加其它路由設(shè)備來實現(xiàn)VLAN之間的通信。不論從網(wǎng)絡(luò)結(jié)構(gòu)還是降低網(wǎng)絡(luò)傳輸延遲來說,用第三層交換技術(shù)不失是一個很好的選擇。
8.5 虛擬局域網(wǎng)標(biāo)準(zhǔn)(IEEE 802.1Q)
虛擬局域網(wǎng)標(biāo)準(zhǔn)(IEEE 802.1Q)的建立:
近幾年來,在實現(xiàn)VLAN的過程中,各廠家紛紛推出自己的技術(shù)和相應(yīng)的產(chǎn)品,但往往這些技術(shù)和產(chǎn)品所遵循的協(xié)議和標(biāo)準(zhǔn)是不相同的,致使各廠家的VLAN產(chǎn)品自成系統(tǒng),互不兼容。妨礙了VLAN技術(shù)和市場的進一步發(fā)展。
目前第三層上實現(xiàn)的VLAN往往是基于Internet TCP/IP的組播技術(shù)及相應(yīng)的協(xié)議,其中涉及的技術(shù)和協(xié)議如下:
IP組播地址確定。
IGMP.
MVONE(Intemet Multicast Backbone)。
DVMRP(Distance Vector Multieast Routing Protoc01)。
標(biāo)準(zhǔn)協(xié)議:
而在MAC層上VLAN實現(xiàn)的標(biāo)準(zhǔn)最有代表性則為IEEE 802.1Q.
1996年3月IEEE 802.1 Internetworking小組完成了制定VLAN標(biāo)準(zhǔn)而進行的初步調(diào)查工作,解決了三大問題,即VLAN的體系結(jié)構(gòu)、幀標(biāo)記的標(biāo)準(zhǔn)格式以及VLAN標(biāo)準(zhǔn)化未來發(fā)展方向。特別是幀標(biāo)記的標(biāo)準(zhǔn)化格式使用了802.1Q標(biāo)準(zhǔn)。
幀格式標(biāo)準(zhǔn)化后,各廠家可以迅速將其融入到它們生產(chǎn)的交換機產(chǎn)品中,目前所有的主要廠商,其中包括3C0M,Bay,IBM以及Cisco都表示支持802.1Q.
IEEE802.1Q目前還是標(biāo)準(zhǔn)草案,該標(biāo)準(zhǔn)草案是基于IEEE 802.1D和IEEE802.1p等標(biāo)準(zhǔn),定義了基于MAC層橋接局域網(wǎng)(Bridged LAN)實現(xiàn)VLAN的方法。
在802.1Q中定義了兩種類型的幀標(biāo)記:
隱式的幀標(biāo)記(Implicittagging):隱式的幀標(biāo)記表示幀所屬的VLAN信息并未被明顯地標(biāo)記,該幀屬于哪一個VLAN,缺省地由網(wǎng)橋的接收端口號或幀中data域的信息決定。
顯式的幀標(biāo)記。(Explicit、tagging):顯式的幀標(biāo)記表示幀所屬哪一個VLAN由網(wǎng)橋(LAN交換器)所加的標(biāo)記(VID)顯式地決定。
形成以太網(wǎng)顯式的幀標(biāo)記包括以下幾個步驟:
在以太網(wǎng)幀中插入VLAN頭部。頭部插在DA(目的地址)和SA(源地址)之后。
重新計算FCS(幀檢驗)
VLAN頭部包括(4字節(jié))如下信息域:
VPID(VLAN Protocol Identifier),2字節(jié),它表明此幀已按802.1Q協(xié)議顯式標(biāo)記。
VCI(VLAN Control Information),2字節(jié),它由以下幾部分組成: (見圖8.5)
a.User-priority(用戶優(yōu)先)它允許VLAN幀在那些不具備表示用戶優(yōu)先權(quán)的網(wǎng)段(如Ethernet)攜
帶用戶優(yōu)先權(quán)信息;
b.TR-encap它置位時(=1)表示該幀data域中攜帶的是未經(jīng)翻譯和封裝的TokenRing幀;
c.VID(VLAN Identifier)它表明此幀屬于哪一個VLAN.
8.6 虛擬局域網(wǎng)的功能
上面我們討論了VLAN的技術(shù)特點,人們發(fā)展VLAN技術(shù)的一個主要原因是減少在網(wǎng)絡(luò)中的站點發(fā)生移動、增加和修改時增加管理開銷,同時解決因數(shù)據(jù)的廣播而引起的一些性能問題。
主要優(yōu)點:
效率高;如同在一個局域網(wǎng)中。
易管理;在VLAN中變動方便。
減小對路由的需求;
安全性更高。
我們將發(fā)現(xiàn)上面所討論的VLAN技術(shù)確實能夠達到上述目的,同時還可以實現(xiàn)其它一些引人注意功能。例如安全性、對廣播數(shù)據(jù)的更好的管理和控制,網(wǎng)絡(luò)的微分段、負(fù)載分擔(dān)等等。下面我們將這些問題進行詳細(xì)的討論。
提高管理效率
網(wǎng)絡(luò)中站點的移動、增加和改變是最讓網(wǎng)管人員頭疼的問題之一,同時也是網(wǎng)絡(luò)維護過程中相對來說開銷比較大的一部分。因為此時一般都需要重新進行布線,并且?guī)缀跛械恼军c移動都伴隨著地址的重新分配以及對交換器和路由器重新配置。
VLAN為控制上述修改而提供了有效的手段,同時對交換器和路由器重新進行配置的開銷將得以減少。當(dāng)某個VLAN中的一個用戶從一個地點移動至另一個地點時,只要他們?nèi)耘f保持在同一個VIAN中并且能夠連接到一個交換端口上。那么無需對他們的網(wǎng)絡(luò)地址進行修改。最多只是需要將此交換端口重新配置到相應(yīng)的VLAN中。此種方式將極大地簡化配置和調(diào)試工作,這對于目前大量使用的配線間技術(shù)是一個很大的改進。并且此時路由器的配置可以保持不變。
廣播數(shù)據(jù)的控制、站點的移動、增加和修改、以及網(wǎng)絡(luò)資源訪問權(quán)限的設(shè)置都是集中式管理的一般性功能。VLAN通信為此種管理方式大開了方便之門,因為在VLAN解決方案中一般都帶有可集中配置管理和監(jiān)控的VLAN管理軟件。
控制廣播數(shù)據(jù)
廣播數(shù)據(jù)是在每一個網(wǎng)絡(luò)中都會出現(xiàn)的。此種數(shù)據(jù)量的多少主要取決于應(yīng)用的類型、服務(wù)器的類型、邏輯分段的數(shù)目、以及這些網(wǎng)絡(luò)資源是如何使用的。
廣播風(fēng)暴的預(yù)防:
目前各種Group Ware應(yīng)用將會產(chǎn)生大量的廣播數(shù)據(jù),網(wǎng)絡(luò)設(shè)備的故障也可能會導(dǎo)致廣播數(shù)據(jù)的大量出現(xiàn)。如果管理得不好的話,廣播數(shù)據(jù)將嚴(yán)重地?fù)p害網(wǎng)絡(luò)的性能并可能導(dǎo)致整個網(wǎng)絡(luò)的崩潰。
因此網(wǎng)管人員必須采取措施對因廣播數(shù)據(jù)而可能導(dǎo)致的問題加以預(yù)防。
早期使用的有效的措施是用防火墻對網(wǎng)絡(luò)進行適當(dāng)?shù)姆侄?,以防止因某個網(wǎng)段出現(xiàn)問題而使整個網(wǎng)絡(luò)受到影響。這種功能一般可借助于路由器來實現(xiàn)。
當(dāng)交換型體系結(jié)構(gòu)在網(wǎng)絡(luò)中大量使用時,廣播數(shù)據(jù)(第二層數(shù)據(jù))將被傳送到各個交換端口那里。
此種結(jié)構(gòu)通常被稱作是“平板式”的網(wǎng)絡(luò),整個網(wǎng)絡(luò)構(gòu)成一個廣播域。
平板式交換型網(wǎng)絡(luò)的優(yōu)點是它給用戶提供了非常低的傳輸延遲和非常高的數(shù)據(jù)傳輸率,但廣播數(shù)據(jù)卻將被傳送到所有的交換設(shè)備、端口、主干網(wǎng)連接和用戶那里,大量地浪費網(wǎng)絡(luò)資源特別是寶貴的廣域網(wǎng)資源。為減少此種不利影響,在網(wǎng)絡(luò)中還得加上一定數(shù)量的路由器以對網(wǎng)絡(luò)進行分段。一旦使用了路由器,傳輸延遲將會隨之而增加,從而喪失交換型網(wǎng)絡(luò)的優(yōu)點。
VLAN的主要好處之一是支持VLAN的交換設(shè)備也可以有效地對廣播數(shù)據(jù)進行控制,某VLAN中的廣播數(shù)據(jù)將只是被復(fù)制到那些連接有此VLAN的某個成員的交換端口上,在除此而外的那些端口上將不會出現(xiàn)這些數(shù)據(jù)。這實際上是為在交換型網(wǎng)絡(luò)中建立起同路由器功能類似的防火墻提供了一種有效的手段。
但同使用路由器的解決方案相比,VLAN技術(shù)有幾個顯著的優(yōu)點是路由器所無法具備的。
(1)首先是性能上的問題,使用路由器最大的問題是傳輸延遲比較高,而在VLAN結(jié)構(gòu)中大部分?jǐn)?shù)據(jù)都是借助于交換而傳輸?shù)?,只是在VLAN間的數(shù)據(jù)才要經(jīng)過路由器的處理。在配置得比較好的VLAN結(jié)構(gòu)中,VLAN間的數(shù)據(jù)量將比較少,因而總的網(wǎng)絡(luò)性能將不會受到太大的影響。
(2)其次路由器的配置和管理更為復(fù)雜,減少網(wǎng)絡(luò)中路由器的數(shù)量可以降低網(wǎng)絡(luò)的維護和管理開銷。另外同路由器端口比較起來,交換端口的價格要便宜一些,這使得我們可以用比較少的費用而獲得比較好的效果。
(3)網(wǎng)管人員可以非常方便地通過多種手段對廣播域的大小進行控制。
例如限制在同一個VLAN中的交換端口的數(shù)目以及連接這些端口上的用戶的數(shù)目等。一般來說,VLAN中的用戶數(shù)越少,此VLAN中的廣播數(shù)據(jù)對于網(wǎng)絡(luò)中其它用戶的影響將越小。另外可以基于所用的應(yīng)用類型及這些應(yīng)用所產(chǎn)生的廣播數(shù)據(jù)量的大小進行VLAN的劃分。共享同一個會產(chǎn)生大量廣播數(shù)據(jù)的應(yīng)用程序的那些用戶可以劃分到同一個VLAN中,同時網(wǎng)管人員也可以將此應(yīng)用分布到整個網(wǎng)絡(luò)上。
增強網(wǎng)絡(luò)安全性
目前共享型的LAN已經(jīng)大量地安裝在各行各業(yè)中,這會導(dǎo)致一個嚴(yán)重的問題就是如何對數(shù)據(jù)進行保密,共享型LAN的一個最大的不足就是易于受到入侵。因為只要把機器接人到一個端口中就可以收到相應(yīng)網(wǎng)段上的所有數(shù)據(jù)。廣播域越大,此種危險也將越大,除非是HUB本身具有安全控制功能。
增強網(wǎng)絡(luò)安全性的一種最有效和最易于管理的方法是將整個網(wǎng)絡(luò)劃分成一個個互相獨立的廣播組(VLAN)。(相關(guān)的用戶連接在一起,保證了數(shù)據(jù)的安全)。
另外網(wǎng)管人員可以限制某個VLAN中的用戶的數(shù)量,并且可以禁止那些沒有得到許可的用戶加入到某個VLAN中。按照此種方式,VLAN可以提供一道安全性防火墻,以控制用戶對于網(wǎng)絡(luò)資源的訪問,控制廣播組的大小和構(gòu)成,并且可借助于網(wǎng)管軟件在發(fā)生非法入侵時及時通知管理人員。
實現(xiàn)此種類型的分段相對來說還是比較簡單的。例如我們可以根據(jù)應(yīng)用類型和訪問權(quán)限對交換端口進行分組,那些受限的應(yīng)用和資源一般均被放到一個VLAN中。試圖侵入某個VLAN中的非法用戶將被網(wǎng)管軟件標(biāo)記出來。
通過使用路由器訪問表還可以使安全性得到更進一步的增強。這對于VLAN間的數(shù)據(jù)傳輸特別有用。在此種安全性的VLAN上,路由器將根據(jù)在交換設(shè)備和路由器中的配置而限制對于某些VLAN中數(shù)據(jù)的訪問。此種限制可以根據(jù)站點的地址、應(yīng)用類型、協(xié)議類型、甚至?xí)r間等加以設(shè)置。
減少站點的移動和改變開銷
對于為什么要使用VLAN,提得最多的是VLAN可以減少處理用戶站點的移動和改變所帶來的開銷。
由于這些開銷一般來說都比較大,因此VLAN方案也越來越引人注目。事實上VLAN方案也確實能實現(xiàn)這一目的。
舉例來說,對于IP類型的網(wǎng)絡(luò),當(dāng)用戶從一個子網(wǎng)移至另一個子網(wǎng)時,一般都需要對其IP地址進行手工修改,而此種修改可能需要花費比較長的時間才能使站點正常工作,而這些時間本來是可以用于其它一些更具有創(chuàng)造性的活動上的。使用VLAN則可以完全消除這些不必要的時間浪費,因VLAN的成員身份同站點所在的地址是無關(guān)的,這樣一來站點可以發(fā)生移動而其IP地址和子網(wǎng)成員身份則可以保持不變。
不足:增加了虛擬連接的管理的開銷。
但任何事物都是具有兩面性的,VLAN的實現(xiàn)雖然可以降低對于網(wǎng)絡(luò)動態(tài)管理的開銷,但VLAN在物理連接的基礎(chǔ)上多出了一個虛擬連接,而對此虛擬連接的管理也是要有一定的開銷的。但只要規(guī)劃得當(dāng),總的網(wǎng)絡(luò)管理開銷還是可以降低的。
實現(xiàn)虛擬工作組
VLAN方案的另一個更為雄偉的目標(biāo)是要建立起虛擬工作組模型。虛擬工作組指的是當(dāng)在整個園區(qū)網(wǎng)絡(luò)環(huán)境下實現(xiàn)了VLAN之后,同一個部門的所有成員將可以像處于同一個LAN上那樣進行通信,大部分網(wǎng)絡(luò)通信將不會傳出此VLAN廣播域。當(dāng)某個用戶從一個地方移動到另一個地方時,如果他的工作部門不發(fā)生變化(表示它仍在同一個VLAN),那么就用不著對其機器進行重新配置。
與此類似,如果某個用戶改變了工作部門,他可以不改變其工作地點,而只需網(wǎng)管人員修改一下其VLAN成員身份即可。
此種功能模型使得我們可以建立起來更為動態(tài)化的組織環(huán)境,以增強向功能交靠的工作組方向演化的趨勢。
虛擬工作組模型的工作方式是:以某個臨時性的項目為基礎(chǔ)的工作組可以虛擬地連接到同一個VLAN上,這樣此工作組中的人員將用不著改變其工作地點。
另外這些工作組可以是動態(tài)的,同某個功能有關(guān)的工作組相應(yīng)的VLAN可以在項目的生存期內(nèi)動態(tài)地創(chuàng)建起來;而在此項目完成之后則可以將此VLAN“拆除”,用戶的地理位置不用發(fā)生任何變化。
雖然此種操作方式確實是很誘人的,但實際情況是VLAN本身并不能完全實現(xiàn)此種虛擬工作組模型。目前要實現(xiàn)此種模型至少要考慮以下幾個管理和結(jié)構(gòu)方面的問題:
(1)虛擬工作組的管理:從網(wǎng)絡(luò)管理的角度出發(fā),虛擬工作組的暫時性可能會使得修改VLAN成員身份同修改路由表一樣麻煩(雖然這比移動用戶的工作站可能要省事一些)。而且,從人們的心理角度來講,他們可能更習(xí)慣于同他們的同事呆在同一個地方,這對于虛擬工作組的實現(xiàn)無疑是一個最大的障礙。
(2) 80/20規(guī)則的保持:虛擬工作組的VLAN支持通常假設(shè)80%以上的網(wǎng)絡(luò)通信量是在本VLAN內(nèi)的而只有不到20%是跨越VLAN之間的或者是遠(yuǎn)程的。此即著名的80/20規(guī)則。
從理論上講,如果VLAN配置得好的的話,確實是可以做到這一點的。但許多類型的應(yīng)用卻使人們對于在VLAN 中能否保持這一點產(chǎn)生懷疑,如大量地安裝服務(wù)器以及某些類型的網(wǎng)絡(luò)應(yīng)用如E—Mail等都將使80/20規(guī)則失效。(大量的E—Mail是跨越VLAN之間的或者是遠(yuǎn)程的)。
(3)對本地網(wǎng)絡(luò)資源的訪問:虛擬工作組可能會遇到的一個問題就是用戶雖然離某個資源(如打印機)很近但卻只能“望洋興嘆”,因為此種資源可能被配置在另外一個不同的VLAN中。當(dāng)然此種問題可以使得此種共享資源同時是多個VLAN中的成員,但將增加VLAN之間的數(shù)據(jù)傳輸量。
集中式服務(wù)器Farms:
服務(wù)器Farm指的是將各部門的服務(wù)器放到某數(shù)據(jù)中心,在那里可以進行統(tǒng)一的備份、并提供良好 的供電系統(tǒng)以及合適的操作環(huán)境。此種向服務(wù)器Farms演化的趨勢近來正在不斷加快,并且此種趨 勢將繼續(xù)下去以降低管理開銷,但此種結(jié)構(gòu)對于虛擬工作組模型而言是有問題的,最大的困難在 于當(dāng)服務(wù)器不具備同時參加到多個VLAN中的能力時。
此時服務(wù)器同某個不在服務(wù)器所屬VLAN中的客戶之間的通信必須經(jīng)過路由器。但如果交換設(shè)備本 身具有路由功能,那么在此種情況下網(wǎng)絡(luò)的性能將不會受到什么損害。目前已有幾家廠商的產(chǎn)品 支持此種功能。