北京郵電大學“局域網(wǎng)”聽課筆記(7-8章)
- 發(fā)布時間:2024-09-15 16:21:23
- 來源:本站整理
- 閱讀:
-
- 導讀:
- 第7章第三層交換 20世紀90年代中期以來,第三層交換(L3)技術成為IT媒體頻頻出現(xiàn)的詞匯,各網(wǎng)絡供應商把它最為 競爭的法寶?! ?.1概述 1.使用網(wǎng)橋的局限性 網(wǎng)橋的優(yōu)缺點: ?。?)網(wǎng)橋基于MAC地址,實現(xiàn)LAN之間的互聯(lián)。優(yōu)點是:網(wǎng)絡*作簡單,速度快,與OSI的其他層 無
第7章第三層交換
20世紀90年代中期以來,第三層交換(L3)技術成為IT媒體頻頻出現(xiàn)的詞匯,各網(wǎng)絡供應商把它最為
競爭的法寶。
7.1概述
1.使用網(wǎng)橋的局限性
網(wǎng)橋的優(yōu)缺點:
(1)網(wǎng)橋基于MAC地址,實現(xiàn)LAN之間的互聯(lián)。優(yōu)點是:網(wǎng)絡*作簡單,速度快,與OSI的其他層
無關。其易于維護且價格低廉。
(2)網(wǎng)橋無法實現(xiàn)流控,廣播包從一個LAN到另一個LAN,常會引起大量的多路廣播,造成網(wǎng)絡效
率降低。最嚴重時會造成廣播風暴,是整個網(wǎng)絡癱瘓。
(3)當網(wǎng)橋構成網(wǎng)狀結構時,會產生廣播包和不知道目的地址的數(shù)據(jù)包的循環(huán)問題。為此制定了
生成樹的算法。即在一個網(wǎng)絡中,任意兩個終端之間只有一條路徑。
(4)在某些情況下,因網(wǎng)橋擁塞而丟失數(shù)據(jù)包,使網(wǎng)絡不穩(wěn)定、不可靠。
(5)廣播包是需要的,但太多的廣播包會導致網(wǎng)絡效率降低。
2.路由器的引入及其局限性
*路由器的優(yōu)缺點:
(1)網(wǎng)絡分段,這是路由器最主要的功能之一。路由器可以將不同的LAN互聯(lián)。
(2)路徑選擇,通過對數(shù)據(jù)包中的IP地址檢查,選擇出路徑。
(3)隔離廣播,路由器可以住址廣播流量從一個LAN到另一個LAN,可避免廣播風暴。
(4)安全性與防火墻,只有被授權的用戶才能通過路由器。
(5)第三層的特殊服務,如優(yōu)先權控制。
(6)廣域網(wǎng)連接,大多數(shù)網(wǎng)絡目前仍使用路由器作為網(wǎng)絡連接設備。
*路由器的工作原理:(略)
*路由器的限制:
(1)路由器需對每一個數(shù)據(jù)包檢查,即使是同一源地址到同一目的地址的數(shù)據(jù)包也不例外,重復
工作。
(2)軟件是路由器的主要實現(xiàn)方式,由于以上原因,路由器的吞吐量不可能很高。
(3)路由器在流量超過本身的吞吐量時,會造成數(shù)據(jù)包丟失或延誤,給網(wǎng)絡造成危害。
3.局域網(wǎng)交換技術的引入及其局限性
交換式網(wǎng)絡是以交換器為中心構造的網(wǎng)絡體系,交換式網(wǎng)絡與多端口網(wǎng)橋非常相似,他們都工作
在第二層,網(wǎng)橋交換事業(yè)是基于每個數(shù)據(jù)包的終點地址(MAC)。
交換式網(wǎng)絡的實現(xiàn)通常采用全硬件結構實現(xiàn),具有速度快,可以為每一個節(jié)點提供全部網(wǎng)絡帶
寬,但同網(wǎng)橋一樣它也不具備隔離廣播數(shù)據(jù)包的能力。
4.L3交換技術引入的背景
交換技術可以克服網(wǎng)絡帶寬的局限,而路由器又能解決TCP/IP中的地址問題,那么將兩者技術結
合起來,揚長避短,發(fā)揮各自的優(yōu)點,從而解決以上問題。在這種背景下,產生了交換式網(wǎng)絡技
術。
7.2 L3交換技術解決方案的分類
目前已提出的L3交換技術解決方案分為兩類:
一類基于核心模型,另一類基于邊緣多層混合交換模型。
7.2.1解決方案的分類
1.基于核心模型的解決方案
主要解決核心關鍵節(jié)點,即路由器的第三層交換技術。有兩種方案:
(1)對于每一個數(shù)據(jù)包都需檢查源/目的IP地址的方法,改為檢查數(shù)據(jù)分組攜帶的網(wǎng)絡流標志為
依據(jù),這樣就大大減小了檢查的時間,提高了吞吐率。
(2)完全用ASIC(專用集成電路)硬件以線速來實現(xiàn)路由器的路由/轉發(fā)、流控、管理、服務質
量等功能。
2.于邊緣多層混合交換模型的解決方案
一次路由,隨后交換 的方案:
(1)這種方案認為網(wǎng)絡智能應該在網(wǎng)絡的邊緣,而不是在網(wǎng)路的關鍵節(jié)點實現(xiàn),因為這樣可以減
少網(wǎng)絡中繼點的額外開銷。
(2)這種方案認為絕大多數(shù)策略和請求都在端系統(tǒng)上完成,少數(shù)特定的控制功能(如身份認證、
防火墻、流量統(tǒng)計等)則集中在少數(shù)幾個網(wǎng)絡核心節(jié)點的智能系統(tǒng)。
(3)這種方案認為在第三層路由一次,然后在第二層交換端到端的網(wǎng)絡數(shù)據(jù)分組。
7.2.2兩種L3交換實現(xiàn)策略
1.原有設備和系統(tǒng)進行升級和改造
在有關的邊緣和核心設備上,配置新的軟件、硬件或者更換部分部件,使數(shù)據(jù)流效率大大提高。
2.設計全新的、功能完善的高性能L3交換器以代替作為核心設備的傳統(tǒng)路由器
7.3局域網(wǎng)系統(tǒng)中使用的典型的L3交換技術
7.3.1 3Com的FastIP技術
3Com的FastIP技術是一種典型的邊緣多層混合交換模型的解決方案,它采用了 一次路由,隨后交
換 的方案:NHRP(下一條路由協(xié)議)是FastIP的主要技術基礎。
1.NBMA(非廣播多路訪問)網(wǎng)的NHRP協(xié)議簡介
(1)NBMA(非廣播多路訪問)網(wǎng)的NHRP協(xié)議可以參見RFC1735.
(2)NHRP并不是一個路由協(xié)議,它只是一個IP邏輯子網(wǎng)(LIS)的地址解析協(xié)議,適用于NBMA
(非廣播多路訪問)網(wǎng)(ATM網(wǎng)就是NBMA,因為ATM是面向連接,它和廣播無連接以太網(wǎng)不同)。
(3)NHRP是一個標準的IP格式數(shù)據(jù)包,源站的MAC地址和IP地址以及幀類型,幀類型指出這是
NHRP請求數(shù)據(jù)包。
(4)利用NHRP協(xié)議進行通信:
?在同一個NBMA網(wǎng)中,就使用NHRP協(xié)議進行地址解析;
?在不同一個NBMA網(wǎng)中,則把目的端所在子網(wǎng)的路由器的NBMA地址通知源端。
?在同一個NBMA網(wǎng)中,不管是否劃分為多個子網(wǎng),都不需要路由器交換。
例如:在下例中,(a)為沒使用NHRP協(xié)議的NBMA網(wǎng)絡;(b)為使用NHRP協(xié)議的NBMA網(wǎng)絡,他們
的交換方式如下:
2.局域網(wǎng)環(huán)境中的FastIP技術
FastIP技術介紹:
(1)一個未端系統(tǒng)主機A在需要傳送數(shù)據(jù)給另一個未端系統(tǒng)主機B,A和B分別在不同的IP邏輯子網(wǎng)
或者在不同的虛擬局域網(wǎng)中。
(2)主機A首先初始化一個標準的IP通信進程,然后就可以發(fā)送數(shù)據(jù)分組給它的缺省路由器(一
般稱為缺省網(wǎng)關)。
(3)A首先傳送一個NHRP請求,(包括主機A的MAC地址)給主機B.
(4)但路由器收到NHRP后,如果控制策略允許的話,路由器將這個請求轉發(fā)給主機B,否則就丟
棄,并且后繼的數(shù)據(jù)必須按路由器路徑轉發(fā)。
(5)如果控制策略允許的話,B收到A的NHRP請求后,他立即回送一個NHRP響應,在這個響應的源
地址字段中B填寫自己的MAC地址,在目的地址字段中填寫A的MAC地址。
(6)這個響應通過一條交換路徑(不是路由路徑)返回A.
(7)隨后就可以建立數(shù)據(jù)交換路徑,進行雙方的通信,這就是“一次路由,隨后交換”。
注意:
FastIP有一定的拓撲結構的限制,因為NHRP是基于交換路徑的,在源端和目的端之間必須存在交
換路徑,如下圖,則不支持FastIP.
3.FastIP技術特點
FastIP技術特點總結如下:
(1) FastIP技術的思路是設法在數(shù)據(jù)交換過程中避開第三層路由器。即把基于IP地址路由表功能
轉化成基于端口——MAC地址表的轉發(fā)功能,從而實現(xiàn)完全的端到端高速交換通信。
(2)FastIP是基于局域網(wǎng)的第三層交換解決方案,除了3Com的網(wǎng)絡接口卡和軟件支持外,可以兼容
許多第三方產品和技術。
(3)FastIP并不是要替代路由,而是把交換和路由很好地結合在一起。經測試,F(xiàn)astIP可以把網(wǎng)絡
的吞吐率提高4~5倍。
7.3.2 CISCO的NetFlow交換
CISCO使全球首屈一指的路由器設備供應商。
1.CISCO的NetFlow交換處理
傳統(tǒng)的第三層路由技術為:
對每一個數(shù)據(jù)分組分別獨立地進行處理,即使是源端和目的端相同的分組也要進行分別獨立地進
行處理。過程可記為:MAC——IP——MAC.
NetFlow交換如下:
(1)每一個數(shù)據(jù)分組仍然采用一般的第三層路由/交換方式,處理之后的路由器把第一個數(shù)據(jù)分
組的信息記錄在NetFlow的高速緩存中;
(2)后繼的分組到達后,首先在高速緩存(CACHE)中進行匹配查找,如果命中,就使用高速緩存
(CACHE)中緩存的路由信息,直接進行交換轉發(fā),否則再進行通常的路由轉發(fā)。
(3)NetFlow技術中,網(wǎng)絡流的劃分標準是源和目的IP地址,因此NetFlow必須首先識別一個分組
所攜帶的源和目的IP地址域,并查找。
(4)NetFlow速度可達到每秒30萬個分組。
(5)CISCO還采用了一種專用的技術,可以支持流狀態(tài)信息的搜集和輸出,便于管理者管理。
2.CISCO NetFlow“交換”的意義
(1)NetFlow仍然工作在第三層,而不是第二層。
(2)NetFlow交換是一種傳統(tǒng)的路由轉發(fā)的改進方法,即使用高速緩存(CACHE)的一個變種,在技術
上做了一些改進。
(3)NetFlow并沒有建立連接源和目的端系統(tǒng)的第二層交換路徑,它只是單獨的路由器上完成的。
數(shù)據(jù)分組被“交換”只有局部意義,這與通常意義上的交換是完全不同的。
7.4廣域網(wǎng)中的L3交換技術
廣域網(wǎng)的速率可達到G和T比特。
7.4.1廣域網(wǎng)存在的問題
1.廣域網(wǎng)的數(shù)據(jù)傳輸及其存在問題
舉例:(1)CEP路由器A到CEP路由器B
(2)CEP路由器A到CEP路由器ZZ
存在的問題:
(1)核心路由器匯集了大量的網(wǎng)絡流量,因此會成為網(wǎng)絡通信的瓶頸;
(2)所有的通信數(shù)據(jù)分組都必須經過核心路由器的路由/轉發(fā);
(3)廣域網(wǎng)的多個路由器中繼影響了網(wǎng)絡的吞吐量;
(4)如果網(wǎng)絡擴大,就必須不斷地投資來提高核心路由器的處理能力;
(5)網(wǎng)絡不夠健壯,一旦關鍵節(jié)點崩潰就會癱瘓。
2.管理和服務面臨的問題
(1)呈幾何級數(shù)膨脹的虛擬連接的管理。虛擬連接的復雜度為:N×N,N為節(jié)點數(shù);
(2)吞吐率:路由器必須提高轉發(fā)速度,才能滿足全雙工信元傳輸。(ATM)
(3)支持端到端的服務質量。
7.4.2 CISCO的標記交換
標記交換的思想是增強廣域網(wǎng)的核心路由器的路由/轉發(fā)功能。
1.標記交換的處理概述
(1)相鄰的標記交換路由器(TSR)之間的路由信息的交互都是基于網(wǎng)絡層的路由協(xié)議。
(2)標記:是一個很短的長度固定的標號,路由表使用標記而不是用傳統(tǒng)的查找方法,前者要比
后者快的多。
(3)標記交換路由器的原理:
一般來說,只在廣域網(wǎng)邊緣路由器進行路由選擇,在輸入端路由器生成一個很長的
標記,每經過一個路由器,就把標記去掉一個域,一直到出端路由器。
(4)每個標記交換路由器(TSR)要實現(xiàn)兩個功能:
?基于標記的轉發(fā)/交換功能,用硬件實現(xiàn)。
?管理互聯(lián)TSR的合法標記集。用軟件實現(xiàn)。
2.基于標記交換的轉發(fā)/交換功能
標記信息存放的地方:
(1)插在第二層的幀頭之后,但在第三層的分組頭之前;
(2)添入ATM信元的VPI/VCI域。
第8章?虛擬局域網(wǎng)
虛擬局域網(wǎng)的產生
在LAN交換技術中,虛擬局域網(wǎng)是一種迅速發(fā)展的技術。此種技術的核心是通過路由和交換設備在
網(wǎng)絡的物理拓撲結構基礎上建立一個邏輯網(wǎng)絡,以使得網(wǎng)絡中任意幾個LAN段或(和)單站能夠組合
成一個邏輯上的局域網(wǎng)。
在20世紀90年代初,具有多端口的路由器開始取代網(wǎng)橋,以達到在第三層對網(wǎng)絡進行分段的目
的,并實現(xiàn)對廣播數(shù)據(jù)的抑制。在此種只使用路由器的網(wǎng)絡中,網(wǎng)段和廣播域是一一對應的。在
一個網(wǎng)段,也即一個廣播域中通常只包含有30—100個用戶。
在引入交換技術之后,人們可以在第二層上將網(wǎng)絡劃分成更小的分段,這樣做的好處是各網(wǎng)段的
帶寬將得以提高,而網(wǎng)絡中路由器可以集中力量作好廣播數(shù)據(jù)的抑制工作。此時一個廣播城可以
跨越多個交換的網(wǎng)段,從而使得在一個廣播域中提供對500個甚至更多的用戶的支持也不再是什么
困難的事。而VLAN則代表著—種不用路由器對廣播數(shù)據(jù)進行抑制的解決方案。
在VLAN中,對廣播數(shù)據(jù)的抑制將由交換器完成。此時每一個物理網(wǎng)段可以僅包含一個用戶,而一
個廣播域中則可以具有多達1000個以上的用戶。另外VLAN還可以跟蹤各個工作站物理位置的變
動,使之在移動位置之后不需要對其網(wǎng)絡地址重新進行手工配置。
在本章中我們將討論VLAN的特點、結構、實現(xiàn)機制、功能以及將來發(fā)展的情況。
8.1?概?述
8.1.1?什么是VLAN
要對VLAN下一個確切的定義可能是一件比較困難的事,因各廠商有不同的VLAN解決方案,但可以
這樣認為,VLAN基本上可以看成是一個廣播域。說的具體一點,一個VLAN可以看成是一組客戶工
作站的集合。這些工作站不必處于同一個物理網(wǎng)絡上,它們可以不受地理位置的限制像處于同一
個LAN上那樣進行通信和信息交換。
如圖8.1所示,即為VLAN的一個例子。
在整個網(wǎng)絡結構中,劃分了三個VLAN,分別為工程VLAN、市場VLAN及財會VLAN,每一個VLAN包括
了相應的客戶站。可以認為一個VLAN實際上是邏輯上的網(wǎng)段。
此種邏輯上的網(wǎng)段給LAN的管理、安全性以及廣播數(shù)據(jù)的抑制帶來諸多的益處。現(xiàn)VLAN需要具備以
下若干條件:
?具有能夠將所連接的客戶站進行邏輯分段的高性能交換機。
?在網(wǎng)上傳輸VLAN信息的通信協(xié)議。
?進行VLAN間通信的第三層路由解決方案。
?同已安裝的LAN系統(tǒng)能夠實現(xiàn)VLAN的兼容性和互操作性。
?提供具有集中控制、配置和流量管理功能的網(wǎng)管方案。
虛擬局域網(wǎng)需要解決的問題:在實現(xiàn)VLAN的過程中有許多需要解決,但最為關鍵的是如下幾個問
題:
?如何在整個網(wǎng)絡范圍內定義務VLAN中的成員,即VLAN劃分方法。
?如何在多個交換設備之間傳遞VLAN成員信息
?VLAN的配置問題如何解決
?VLAN之間的通信如何進行
這些問題如何解決將影響到某個VLAN實現(xiàn)是否能夠有效地滿足用戶和網(wǎng)絡管理的要求。由于VLAN
都是在交換網(wǎng)絡環(huán)境中實現(xiàn)的。在此種網(wǎng)絡環(huán)境中最核心的問題是交換設備。交換設備是各客戶
工作站連人交換網(wǎng)絡的入口點,它可以提供對用戶、端口、以及邏輯地址進行分組以構成VLAN的
能力。
當前LAN交換設備在物理上一般都安裝在共享式的分段HUB和位于主干網(wǎng)的路由器之間,它將在
VLAN的分段及實現(xiàn)低延遲的報文轉發(fā)方面起到至關重要的作用。總的來說,VLAN交換設備除了能
夠顯著地提高網(wǎng)絡的性能和專用帶寬外,同時它還具有完成VLAN的劃分所必需的能力。
8.2?建立虛擬局域網(wǎng)的交換技術
8.2.1?端口交換
端口交換或稱配置交換,最初的方式是把端口經過手工配置到一個或若干個通過背板連接的共享
HUB上,可以形成若干個獨立的由端口組合的共享媒體段,每一個連接到端口上的用戶被分配到其
中一個段上。(端口連接的配置可人為確定)
近年來發(fā)展成為一種稱為端口交換(Port Switch)的設備,在一個或幾個通過背板連接的端口交換
器上,通過軟硬件的控制和管理,交換器上的所在端口劃分成若干個共享式的互相獨立的VLAN.
端口交換方式的特點有二:
?一是端口用戶組成小規(guī)模的VLAN非常靈活;
?二是在全局交換網(wǎng)絡上,端口交換能夠為全局VLAN提供有效的、靈活的前端配置端口
組合的功能。?
8.2.2?幀交換(第二層交換)
LAN(Ethernet,Token Ring或FDDI)交換器(機)每一個端口上提供一個獨立的共享媒體端口,在此
端口上可以接共享HUB也可以接單獨的一個客戶站。在一個端口上接收到的幀正確地轉發(fā)到輸出端
口上,在尋找路徑和轉發(fā)時,幀是不會被破壞的。
(1)對于廣播幀來說,可以轉發(fā)到交換器上的所有端口。
(2)虛擬化后,一個交換器或者互聯(lián)的若干交換器上的每個端口可以被分配給任何VLAN,即在網(wǎng)
絡系統(tǒng)中形成若干個VLAN.
幀交換方式的特點是比端口交換增加了有效的帶寬,LAN交換器上每個端口用戶具有獨占帶寬(例
10Mbps,100Mbps)的性能,交換器間互聯(lián)的速率可達數(shù)百兆甚至千兆位傳輸率。服務器和高速客
戶站可以直接連到交換器端口上。
目前,絕大多數(shù)廠家的LAN交換器(機)均按幀交換方式來實現(xiàn)VLAN的交換,Ethernet交換器與端口
交換器組合應用,使用戶加入VLAN更靈活。
8.2.3?信元交換
ATM交換機上實現(xiàn)信元交換,一個或者多個互聯(lián)的ATM交換機組成網(wǎng)絡的核心系統(tǒng),類似于幀交換
(需查交換表),所不同的是從ATM交換機端口上接收到信元后,正確地轉發(fā)到輸出端口。
8.3?劃分虛擬局域網(wǎng)的方法
常用的VLAN劃分方法如下:
8.3.1?按交換端口號
將交換設備端口進行分組來劃分VLAN,如圖8.3所示。交換器1與交換器2上端口?1、2、3、8與
1、7、8所連接的客戶站構成VLANA.而相應的端口4、5、6、7與4、5、6所連接的客戶站構成
VLANB.?
在最初的實現(xiàn)中,VLAN是不能跨越交換設備的。后來進一步的發(fā)展使得VLAN可以跨越多個交換設
備。
按端口號劃分VLAN仍然是構造VLAN的一個最常用的方法。而且此種方法也確實是比較簡單并且非
常有效。但僅靠端口分組而定義VLAN將無法使得同一個物理分段(或交換端口)同時參與到多個
VLAN中,而且更要緊的是當一個客戶站從一個端口移至另一個端口時,網(wǎng)管人員將不得不對VLAN
成員進行重新配置。
8.3.2?按MAC地址
這種方法的特點是由網(wǎng)管人員指定屬于同一個VLAN中的各客戶站的MAC地址。
用MAC地址進行VLAN成員的定義既有優(yōu)點也有缺點。由于MAC地址是固化在網(wǎng)卡中的,故移至網(wǎng)絡
中另外一個地方時它將仍然保持其原先的VLAN成員身份而無需網(wǎng)管人員對之進行重新的配置,從
這個意義講,用MAC地址定義的VLAN可以看成是基于用戶的VLAN.
但這種方法也有許多不足之處,首先所有的用戶在最初都必須被配置到(手工方式)至少一個VLAN
中,只有在此種手工配置之后方可實現(xiàn)對VLAN成員的自動跟蹤。但在大型的網(wǎng)絡中完成初始的配
置并不是一件容易的事。
8.3.3?按第三層協(xié)議
基于第三層協(xié)議的VLAN實現(xiàn)在決定VLAN成員身份時主要是考慮協(xié)議類型(支持多協(xié)議的情況下)或
網(wǎng)絡層地址(如TCP/IP網(wǎng)絡的子網(wǎng)地址)。此種類型的VLAN劃分需要將子網(wǎng)地址映射到VLAN,交換
設備則根據(jù)子網(wǎng)地址而將各機器的MAC地址同一個VLAN聯(lián)系起來。交換設備將決定不同網(wǎng)絡端口上
連接的機器屬于同一個VLAN.
但應注意此處對于第三層信息的使用并不構成路由功能。我們不應將其同網(wǎng)絡層路由混淆起來。
因為在交換設備使用報文的IP地址決定VLAN成員身份時并沒有進行任何路由計算,也沒有使用任
何路由協(xié)議。交換設備只是根據(jù)生成樹算法在其各端口之間進行幀的轉發(fā)。因此從這個意義上
講,任一VLAN內部的連接仍然是一種平板式的橋接拓撲結構。?
第三層定義VLAN的優(yōu)點:
首先,我們可以根據(jù)協(xié)議類型進行VLAN的劃分,這對于那些對基于服務或基于應用VLAN策略的網(wǎng)
管人員無疑是極具吸引力的。
其次,用戶可以自由地移動我們的機器而無須對網(wǎng)絡地址進行重新配置。
在第三層上所定義的VLAN對于TCP/IP特別有效,但對于其它一些協(xié)議如IPX、DECnet或Apple則要
差一些,并且對于那些不可進行路由選擇的一些協(xié)議,如Netbios,在第三層上實現(xiàn)VLAN劃分將特
別困難,因為使用此種協(xié)議的機器是無法互相區(qū)分的,因此也就無法將其定義成某個網(wǎng)絡層VLAN
的一員。
總之,各種劃分方式側重點不同,所達到的效果就不盡相同。目前在網(wǎng)絡產品中融合多種劃分
VLAN的方法,以便根據(jù)實際情況尋找最合適的途徑;同時,隨著管理軟件的發(fā)展,VLAN的劃分逐
漸趨向于動態(tài)化。
8.3.4?多重屬性的VLAN
大多數(shù)情況下,人們可以同時為不同的工作組工作,即同時屬于多個VLAN.一個好的虛擬網(wǎng)策略
不能強迫用戶一定要屬于某個虛擬網(wǎng)而且只能是這一個,這樣設計的虛擬網(wǎng)缺乏靈活性和擴展
性。
舉例:VLAN中組員的多重屬性。
如某一公司的投標小組,小組里面需有銷售人員、市場人員及工程技術人員,他們分別負責投標
的不同任務并協(xié)同工作,而這些人員原來又分別屬于銷售部、市場部、工程部的不同虛擬網(wǎng)絡。
(垂直領導與橫向聯(lián)合共有)。
因而,實際上他們組成了一個臨時的投標虛擬網(wǎng)。這時,他們既可分別訪問他們原屬的網(wǎng)絡,又
可同時在投標VLAN中互相交流信息,這就是VLAN中組員的多重屬性。
一個用戶同時具有多個VLAN成員資格雖然是很有必要的,但這意味著工作組的安全性下降,并可
能導致可伸縮性的下降。
8.4?虛擬局域網(wǎng)互聯(lián)方式
總的要求:靈活、高效。
一般情況下網(wǎng)絡環(huán)境中的VLAN實現(xiàn)了網(wǎng)絡流量的分割。
在大型網(wǎng)絡中,VLAN內數(shù)據(jù)的高速交換同VLAN間數(shù)據(jù)傳輸?shù)挠行酚珊徒粨Q這兩者的集成正變得
越來越具有吸引力。
互聯(lián)的各種不同的路由方案具有很大的差別,每一種都有其各自的優(yōu)點和不足,并且將對網(wǎng)絡的
總體結構產生影響。而且路由也并不是解決VLAN間通信技術的惟一方法。
同選擇一種VLAN解決方案會遇到的其它一些重要問題一樣,解決VLAN間通信的選擇也取決于用戶
特定的應用需求及總的網(wǎng)絡結構,其中最為關鍵的問題是要達到較高程度的靈活性。
目前基本上有五種不同的VLAN路由模式:
?邊界路由。
?“獨臂”路由器
?路由服務器/路由客戶機。
?ATM上的多協(xié)議(MPOA)路由。
?第三層交換。
下面我們將具體討論各種不同模式的工作方式及其各自的優(yōu)缺點。?
課堂筆記(第8章)2
8.4.1?邊界路由
邊界路由指的是將路由功能包含在位于主干網(wǎng)絡邊界的每一個LAN交換設備中,此時,VLAN間的報
文將由交換設備內在的路由能力進行處理,從而無需再將其傳送至某個外部的路由器上,數(shù)據(jù)的
轉發(fā)延遲因而也將得以降低。
此種路由方式的主要優(yōu)點:在于不像集中式路由那樣會因中央路由站點的崩潰而導致整個網(wǎng)絡的
癱瘓。
主要的不利之處在于:相對于統(tǒng)一路由功能的集中式管理而言,邊界路由需要對多個物理設備進
行管理。另外此種方式可能比由一個集中式路由器和多個較便宜的邊界路由器組成的集中式方案
在價格上要貴一些。
8.4.2?“獨臂”路由器
采用“獨臂”路由器的網(wǎng)絡方案因能消除主干網(wǎng)上集中式處理和高延遲的路由功能而越來越受廣
泛的關注。
要求:
?大部分報文在VLAN內傳輸;
?少量的報文通過路由器進行傳輸。
這種路由器一般接在主干網(wǎng)上的一個交換設備上,以使得網(wǎng)絡中的大部分報文在通過主干網(wǎng)時無
需通過路由器進行處理,而且此種方式配置和管理起來也比較方便。此種路由模式由圖8.4所
示。?
優(yōu)點:我們可以看到同一個VLAN內的報文將用不著通過路由器而直接在交換設備間進行高速傳
輸。
這種路由方式的不足之處在于它仍然是一種集中式的路由策略,因此在主干網(wǎng)上一般均設置有多
個冗余“獨臂”路由器,但如果網(wǎng)絡中VLAN之間的數(shù)據(jù)傳輸量比較大,那么在路由器處將形成瓶
頸。
8.4.3?ATM上的多協(xié)議路由(MPOA)
人們現(xiàn)在正在致力于將路由服務器的方法標準化。ATM論壇的MPOA標準工作組正在進行的工作就是
此種努力中的一個代表。
MPOA的目的是給可能屬于不同路由子網(wǎng)的多個用ATM網(wǎng)絡連接的設備提供直接的虛擬連接。也就是
說,MPOA將使得多個屬于不同E—LAN(仿真局域網(wǎng))的站點通過ATM網(wǎng)絡直接進行通信,而用不著
經過一個中間的路由器。其中ELAN可以看成為另一種的VLAN,它是在ATM網(wǎng)絡環(huán)境下用LAN
Emulation(模仿)標準建立起來的。
8.4.4?第三層交換技術
在第三層交換技術的章節(jié)中,已經詳細地討論了各種技術的原理和特點,有的技術方案本身就是
一個帶有路由功能的交換器。特別是基于智能可編程ASIC技術的第三層交換器,它既包括了第二
層和第三層的交換功能,而且還具備路由尋址功能。因此利用它來作為網(wǎng)絡的主干交換器,既可
以根據(jù)多種方法來定義VLAN成員,繼后配置VLAN,又能不附加其它路由設備來實現(xiàn)VLAN之間的通
信。不論從網(wǎng)絡結構還是降低網(wǎng)絡傳輸延遲來說,用第三層交換技術不失是一個很好的選擇。
8.5?虛擬局域網(wǎng)標準(IEEE 802.1Q)
虛擬局域網(wǎng)標準(IEEE 802.1Q)的建立:
近幾年來,在實現(xiàn)VLAN的過程中,各廠家紛紛推出自己的技術和相應的產品,但往往這些技術和
產品所遵循的協(xié)議和標準是不相同的,致使各廠家的VLAN產品自成系統(tǒng),互不兼容。妨礙了VLAN
技術和市場的進一步發(fā)展。
目前第三層上實現(xiàn)的VLAN往往是基于Internet TCP/IP的組播技術及相應的協(xié)議,其中涉及的技
術和協(xié)議如下:
?IP組播地址確定。
?IGMP.?
?MVONE(Intemet Multicast Backbone)。
?DVMRP(Distance Vector Multieast Routing Protoc01)。
標準協(xié)議:?
而在MAC層上VLAN實現(xiàn)的標準最有代表性則為IEEE 802.1Q.
1996年3月IEEE 802.1 Internetworking小組完成了制定VLAN標準而進行的初步調查工作,解決了
三大問題,即VLAN的體系結構、幀標記的標準格式以及VLAN標準化未來發(fā)展方向。特別是幀標記
的標準化格式使用了802.1Q標準。
幀格式標準化后,各廠家可以迅速將其融入到它們生產的交換機產品中,目前所有的主要廠商,
其中包括3C0M,Bay,IBM以及Cisco都表示支持802.1Q.
IEEE802.1Q目前還是標準草案,該標準草案是基于IEEE 802.1D和IEEE802.1p等標準,定義了基于
MAC層橋接局域網(wǎng)(Bridged LAN)實現(xiàn)VLAN的方法。
在802.1Q中定義了兩種類型的幀標記:
?隱式的幀標記(Implicittagging):隱式的幀標記表示幀所屬的VLAN信息并未被明顯
地標記,該幀屬于哪一個VLAN,缺省地由網(wǎng)橋的接收端口號或幀中data域的信息決定。
?顯式的幀標記。(Explicit、tagging):顯式的幀標記表示幀所屬哪一個VLAN由網(wǎng)橋
(LAN交換器)所加的標記(VID)顯式地決定。
形成以太網(wǎng)顯式的幀標記包括以下幾個步驟:
?在以太網(wǎng)幀中插入VLAN頭部。頭部插在DA(目的地址)和SA(源地址)之后。
?重新計算FCS(幀檢驗)
VLAN頭部包括(4字節(jié))如下信息域:
?VPID(VLAN Protocol Identifier),2字節(jié),它表明此幀已按802.1Q協(xié)議顯式標記。
?VCI(VLAN Control Information),2字節(jié),它由以下幾部分組成:?(見圖8.5)
a.User-priority(用戶優(yōu)先)它允許VLAN幀在那些不具備表示用戶優(yōu)先權的網(wǎng)段(如Ethernet)攜
帶用戶優(yōu)先權信息;
b.TR-encap它置位時(=1)表示該幀data域中攜帶的是未經翻譯和封裝的TokenRing幀;
c.VID(VLAN Identifier)它表明此幀屬于哪一個VLAN.?
8.6?虛擬局域網(wǎng)的功能
上面我們討論了VLAN的技術特點,人們發(fā)展VLAN技術的一個主要原因是減少在網(wǎng)絡中的站點發(fā)生
移動、增加和修改時增加管理開銷,同時解決因數(shù)據(jù)的廣播而引起的一些性能問題。
主要優(yōu)點:
?效率高;如同在一個局域網(wǎng)中。
?易管理;在VLAN中變動方便。
?減小對路由的需求;
?安全性更高。
我們將發(fā)現(xiàn)上面所討論的VLAN技術確實能夠達到上述目的,同時還可以實現(xiàn)其它一些引人注意功
能。例如安全性、對廣播數(shù)據(jù)的更好的管理和控制,網(wǎng)絡的微分段、負載分擔等等。下面我們將
這些問題進行詳細的討論。?
提高管理效率
網(wǎng)絡中站點的移動、增加和改變是最讓網(wǎng)管人員頭疼的問題之一,同時也是網(wǎng)絡維護過程中相對
來說開銷比較大的一部分。因為此時一般都需要重新進行布線,并且?guī)缀跛械恼军c移動都伴隨
著地址的重新分配以及對交換器和路由器重新配置。
VLAN為控制上述修改而提供了有效的手段,同時對交換器和路由器重新進行配置的開銷將得以減
少。當某個VLAN中的一個用戶從一個地點移動至另一個地點時,只要他們仍舊保持在同一個VIAN
中并且能夠連接到一個交換端口上。那么無需對他們的網(wǎng)絡地址進行修改。最多只是需要將此交
換端口重新配置到相應的VLAN中。此種方式將極大地簡化配置和調試工作,這對于目前大量使用
的配線間技術是一個很大的改進。并且此時路由器的配置可以保持不變。
廣播數(shù)據(jù)的控制、站點的移動、增加和修改、以及網(wǎng)絡資源訪問權限的設置都是集中式管理的一
般性功能。VLAN通信為此種管理方式大開了方便之門,因為在VLAN解決方案中一般都帶有可集中
配置管理和監(jiān)控的VLAN管理軟件。
控制廣播數(shù)據(jù)
廣播數(shù)據(jù)是在每一個網(wǎng)絡中都會出現(xiàn)的。此種數(shù)據(jù)量的多少主要取決于應用的類型、服務器的類
型、邏輯分段的數(shù)目、以及這些網(wǎng)絡資源是如何使用的。
廣播風暴的預防:
目前各種Group Ware應用將會產生大量的廣播數(shù)據(jù),網(wǎng)絡設備的故障也可能會導致廣播數(shù)據(jù)的大
量出現(xiàn)。如果管理得不好的話,廣播數(shù)據(jù)將嚴重地損害網(wǎng)絡的性能并可能導致整個網(wǎng)絡的崩潰。
因此網(wǎng)管人員必須采取措施對因廣播數(shù)據(jù)而可能導致的問題加以預防。
早期使用的有效的措施是用防火墻對網(wǎng)絡進行適當?shù)姆侄?,以防止因某個網(wǎng)段出現(xiàn)問題而使整個
網(wǎng)絡受到影響。這種功能一般可借助于路由器來實現(xiàn)。?
當交換型體系結構在網(wǎng)絡中大量使用時,廣播數(shù)據(jù)(第二層數(shù)據(jù))將被傳送到各個交換端口那里。
此種結構通常被稱作是“平板式”的網(wǎng)絡,整個網(wǎng)絡構成一個廣播域。
平板式交換型網(wǎng)絡的優(yōu)點是它給用戶提供了非常低的傳輸延遲和非常高的數(shù)據(jù)傳輸率,但廣播數(shù)
據(jù)卻將被傳送到所有的交換設備、端口、主干網(wǎng)連接和用戶那里,大量地浪費網(wǎng)絡資源特別是寶
貴的廣域網(wǎng)資源。為減少此種不利影響,在網(wǎng)絡中還得加上一定數(shù)量的路由器以對網(wǎng)絡進行分
段。一旦使用了路由器,傳輸延遲將會隨之而增加,從而喪失交換型網(wǎng)絡的優(yōu)點。
VLAN的主要好處之一是支持VLAN的交換設備也可以有效地對廣播數(shù)據(jù)進行控制,某VLAN中的廣播
數(shù)據(jù)將只是被復制到那些連接有此VLAN的某個成員的交換端口上,在除此而外的那些端口上將不
會出現(xiàn)這些數(shù)據(jù)。這實際上是為在交換型網(wǎng)絡中建立起同路由器功能類似的防火墻提供了一種有
效的手段。
但同使用路由器的解決方案相比,VLAN技術有幾個顯著的優(yōu)點是路由器所無法具備的。
(1)首先是性能上的問題,使用路由器最大的問題是傳輸延遲比較高,而在VLAN結構中大部分數(shù)
據(jù)都是借助于交換而傳輸?shù)?,只是在VLAN間的數(shù)據(jù)才要經過路由器的處理。在配置得比較好的
VLAN結構中,VLAN間的數(shù)據(jù)量將比較少,因而總的網(wǎng)絡性能將不會受到太大的影響。
(2)其次路由器的配置和管理更為復雜,減少網(wǎng)絡中路由器的數(shù)量可以降低網(wǎng)絡的維護和管理開
銷。另外同路由器端口比較起來,交換端口的價格要便宜一些,這使得我們可以用比較少的費用
而獲得比較好的效果。?
(3)網(wǎng)管人員可以非常方便地通過多種手段對廣播域的大小進行控制。
例如限制在同一個VLAN中的交換端口的數(shù)目以及連接這些端口上的用戶的數(shù)目等。一般來說,
VLAN中的用戶數(shù)越少,此VLAN中的廣播數(shù)據(jù)對于網(wǎng)絡中其它用戶的影響將越小。另外可以基于所
用的應用類型及這些應用所產生的廣播數(shù)據(jù)量的大小進行VLAN的劃分。共享同一個會產生大量廣
播數(shù)據(jù)的應用程序的那些用戶可以劃分到同一個VLAN中,同時網(wǎng)管人員也可以將此應用分布到整
個網(wǎng)絡上。
增強網(wǎng)絡安全性
目前共享型的LAN已經大量地安裝在各行各業(yè)中,這會導致一個嚴重的問題就是如何對數(shù)據(jù)進行保
密,共享型LAN的一個最大的不足就是易于受到入侵。因為只要把機器接人到一個端口中就可以收
到相應網(wǎng)段上的所有數(shù)據(jù)。廣播域越大,此種危險也將越大,除非是HUB本身具有安全控制功能。
增強網(wǎng)絡安全性的一種最有效和最易于管理的方法是將整個網(wǎng)絡劃分成一個個互相獨立的廣播組
(VLAN)。(相關的用戶連接在一起,保證了數(shù)據(jù)的安全)。
另外網(wǎng)管人員可以限制某個VLAN中的用戶的數(shù)量,并且可以禁止那些沒有得到許可的用戶加入到
某個VLAN中。按照此種方式,VLAN可以提供一道安全性防火墻,以控制用戶對于網(wǎng)絡資源的訪
問,控制廣播組的大小和構成,并且可借助于網(wǎng)管軟件在發(fā)生非法入侵時及時通知管理人
員。?
實現(xiàn)此種類型的分段相對來說還是比較簡單的。例如我們可以根據(jù)應用類型和訪問權限對交換端
口進行分組,那些受限的應用和資源一般均被放到一個VLAN中。試圖侵入某個VLAN中的非法用戶
將被網(wǎng)管軟件標記出來。
通過使用路由器訪問表還可以使安全性得到更進一步的增強。這對于VLAN間的數(shù)據(jù)傳輸特別有
用。在此種安全性的VLAN上,路由器將根據(jù)在交換設備和路由器中的配置而限制對于某些VLAN中
數(shù)據(jù)的訪問。此種限制可以根據(jù)站點的地址、應用類型、協(xié)議類型、甚至時間等加以設置。
減少站點的移動和改變開銷
對于為什么要使用VLAN,提得最多的是VLAN可以減少處理用戶站點的移動和改變所帶來的開銷。
由于這些開銷一般來說都比較大,因此VLAN方案也越來越引人注目。事實上VLAN方案也確實能實
現(xiàn)這一目的。
舉例來說,對于IP類型的網(wǎng)絡,當用戶從一個子網(wǎng)移至另一個子網(wǎng)時,一般都需要對其IP地址進
行手工修改,而此種修改可能需要花費比較長的時間才能使站點正常工作,而這些時間本來是可
以用于其它一些更具有創(chuàng)造性的活動上的。使用VLAN則可以完全消除這些不必要的時間浪費,因
VLAN的成員身份同站點所在的地址是無關的,這樣一來站點可以發(fā)生移動而其IP地址和子網(wǎng)成員
身份則可以保持不變。
不足:增加了虛擬連接的管理的開銷。
但任何事物都是具有兩面性的,VLAN的實現(xiàn)雖然可以降低對于網(wǎng)絡動態(tài)管理的開銷,但VLAN在物
理連接的基礎上多出了一個虛擬連接,而對此虛擬連接的管理也是要有一定的開銷的。但只要規(guī)
劃得當,總的網(wǎng)絡管理開銷還是可以降低的。
實現(xiàn)虛擬工作組
VLAN方案的另一個更為雄偉的目標是要建立起虛擬工作組模型。虛擬工作組指的是當在整個園區(qū)
網(wǎng)絡環(huán)境下實現(xiàn)了VLAN之后,同一個部門的所有成員將可以像處于同一個LAN上那樣進行通信,大
部分網(wǎng)絡通信將不會傳出此VLAN廣播域。當某個用戶從一個地方移動到另一個地方時,如果他的
工作部門不發(fā)生變化(表示它仍在同一個VLAN),那么就用不著對其機器進行重新配置。
與此類似,如果某個用戶改變了工作部門,他可以不改變其工作地點,而只需網(wǎng)管人員修改一下
其VLAN成員身份即可。
此種功能模型使得我們可以建立起來更為動態(tài)化的組織環(huán)境,以增強向功能交叉的工作組方向演
化的趨勢。
虛擬工作組模型的工作方式是:以某個臨時性的項目為基礎的工作組可以虛擬地連接到同一個
VLAN上,這樣此工作組中的人員將用不著改變其工作地點。
另外這些工作組可以是動態(tài)的,同某個功能有關的工作組相應的VLAN可以在項目的生存期內動態(tài)
地創(chuàng)建起來;而在此項目完成之后則可以將此VLAN“拆除”,用戶的地理位置不用發(fā)生任何變
化。
雖然此種操作方式確實是很誘人的,但實際情況是VLAN本身并不能完全實現(xiàn)此種虛擬工作組模
型。目前要實現(xiàn)此種模型至少要考慮以下幾個管理和結構方面的問題:
(1)虛擬工作組的管理:從網(wǎng)絡管理的角度出發(fā),虛擬工作組的暫時性可能會使得修改VLAN成員身
份同修改路由表一樣麻煩(雖然這比移動用戶的工作站可能要省事一些)。而且,從人們的心理角
度來講,他們可能更習慣于同他們的同事呆在同一個地方,這對于虛擬工作組的實現(xiàn)無疑是一個
最大的障礙。
(2) 80/20規(guī)則的保持:虛擬工作組的VLAN支持通常假設80%以上的網(wǎng)絡通信量是在本VLAN內的
而只有不到20%是跨越VLAN之間的或者是遠程的。此即著名的80/20規(guī)則。
從理論上講,如果VLAN配置得好的的話,確實是可以做到這一點的。但許多類型的應用卻使人們
對于在VLAN中能否保持這一點產生懷疑,如大量地安裝服務器以及某些類型的網(wǎng)絡應用如E—
Mail等都將使80/20規(guī)則失效。(大量的E—Mail是跨越VLAN之間的或者是遠程的)。
(3)對本地網(wǎng)絡資源的訪問:虛擬工作組可能會遇到的一個問題就是用戶雖然離某個資源(如打印
機)很近但卻只能“望洋興嘆”,因為此種資源可能被配置在另外一個不同的VLAN中。當然此種問
題可以使得此種共享資源同時是多個VLAN中的成員,但將增加VLAN之間的數(shù)據(jù)傳輸量。
集中式服務器Farms:
服務器Farm指的是將各部門的服務器放到某數(shù)據(jù)中心,在那里可以進行統(tǒng)一的備份、并提供良好的供電系統(tǒng)以及合適的操作環(huán)境。此種向服務器Farms演化的趨勢近來正在不斷加快,并且此種趨勢將繼續(xù)下去以降低管理開銷,但此種結構對于虛擬工作組模型而言是有問題的,最大的困難在于當服務器不具備同時參加到多個VLAN中的能力時。
此時服務器同某個不在服務器所屬VLAN中的客戶之間的通信必須經過路由器。但如果交換設備本身具有路由功能,那么在此種情況下網(wǎng)絡的性能將不會受到什么損害。目前已有幾家廠商的產品支持此種功能。