通信人家园
标题:
[转帖]VLAN
[查看完整版帖子]
[打印本页]
时间:
2006-8-7 15:30
作者:
txu
标题:
[转帖]VLAN
VLAN
VLAN,是英文Virtual Local Area Network的缩写,中文名为"虚拟局域网", VLAN是一种将局域网(LAN)设备从逻辑上划分(注意,不是从物理上划分)成一个个网段(或者说是更小的局域网LAN),从而实现虚拟工作组(单元)的数据交换技术。
VLAN这一新兴技术主要应用于交换机和路由器中,但目前主流应用还是在交换机之中。不过不是所有交换机都具有此功能,只有三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。VLAN的好处主要有三个:
(1) 端口的分隔。即便在同一个交换机上,处于不同VLAN的端口也是不能通信的。这样一个物理的交换机可以当作多个逻辑的交换机使用。
(2) 网络的安全。不同VLAN不能直接通信,杜绝了广播信息的不安全性。
(3)灵活的管理。更改用户所属的网络不必换端口和连线,只更改软件配置就可以了。
VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问。
VLAN在交换机上的实现方法,可以大致划分为六类:
1. 基于端口的VLAN
这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。
对于不同部门需要互访时,可通过路由器转发,并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上,设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。
从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口,到了一个新的交换机的某个端口,必须重新定义。
2. 基于MAC地址的VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组,它实现的机制就是每一块网卡都对应唯一的MAC地址,VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时,自动保留其所属VLAN的成员身份。
由这种划分的机制可以看出,这种VLAN的划分方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,因为它是基于用户,而不是基于交换机的端口。这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的,所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,保存了许多用户的MAC地址,查询起来相当不容易。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样VLAN就必须经常配置。
3. 基于网络层协议的VLAN
VLAN按网络层协议来划分,可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来组成的VLAN,可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且,用户可以在网络内部自由移动,但其VLAN成员身份仍然保留不变。
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。
4. 根据IP组播的VLAN
IP 组播实际上也是一种VLAN的定义,即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,主要适合于不在同一地理范围的局域网用户组成一个VLAN,不适合局域网,主要是效率不高。
5. 按策略划分的VLAN
基于策略组成的VLAN能实现多种分配方法,包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN 。
6. 按用户定义、非用户授权划分的VLAN
基于用户定义、非用户授权来划分VLAN,是指为了适应特别的VLAN网络,根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可以加入一个VLAN。
802.1Q VLAN协议和802.1P协议的实现
一、802.1Q协议
802.1Q协议,即Virtual Bridged Local Area Networks协议,主要规定了VLAN的实现,下面我们首先讲述一下有关VLAN的基本观念。
Virtual LANs目前发展很快,世界上主要的大网络厂商在他们的交换机设备中都实现了VLAN协议,顾名思义,VLAN就是虚拟局域网,比如对于QuidwayS2403交换机来说,可以将它的24个10M以太网口划分为几个组,比如协议组,ATM组,测试组等,这样,组内的各个用户就象在同一个局域网内(可能协议组的用户位于很多的交换机上,而非一个交换机)一样,同时,不是本组的用户也无法访问本组的成员。
实际上,VLAN成员的定义可以分为4种:
1. 根据端口划分VLAN
这种划分VLAN的方法是根据以太网交换机的端口来划分,比如S2403的1~4端口为VLAN A,5~17为VLAN B,18~24为VLAN C,当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定,如果有多个交换机的话,例如,可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最常用的方法,IEEE 802.1Q协议规定的就是如何根据交换机的端口来划分VLAN。这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。
2. 根据MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。
3. 根据网络层划分VLAN
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法可能是根据网络地址,比如IP地址,但它不是路由,不要与网络层的路由混淆。它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF等路由协议,而是根据生成树算法进行桥交换
这种方法的优点是用户的物理位置改变了,不需要重新配置他所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的桢标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率,因为检查每一个数据包的网络层地址是很费时的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网桢头,但要让芯片能检查IP桢头,需要更高的技术,同时也更费时。当然,这也跟各个厂商的实现方法有关。
4. IP组播作为VLAN
IP 组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高,对于局域网的组播,有二层组播协议GMRP。
通过上面可以看出,各种不同的VLAN定义方法有各自的优缺点,所以,很多厂商的交换机都实现了不只一种方法,这样,网络管理者可以根据自己的实际需要进行选择,另外,许多厂商在实现VLAN的时候,考虑到VLAN配置的复杂性,还提供了一定程度的自动配置和方便的网络管理工具。
以前,各个厂商都声称他们的交换机实现了VLAN,但各个厂商实现的方法都不相同,所以彼此是无法互连,这样,用户一旦买了某个厂商的交换机,就没法买其他厂商的了。而现在,VLAN的标准是IEEE 提出的802.1Q协议,只有支持相同的开放标准才能保证网络的互连互通,以及保护网络设备投资。
下面讲述一下VLAN的优点:
1. 减少移动和改变的代价,即所说的动态管理网络,也就是当一个用户从一个位置移动到另一个位置是,他的网络属性不需要重新配置,而是动态的完成,这种动态管理网络给网络管理者和使用者都带来了极大的好处,一个用户,无论他到哪里,他都能不做任何修改地接入网络,这种前景是非常美好的。 当然,并不是所有的VLAN定义方法都能做到这一点。
2. 虚拟工作组,VLAN的最具雄心的目标就是建立虚拟工作组模型,例如,在校园网中,同一个系的就好象在同一个LAN上一样,很容易的互相访问,交流信息,同时,所有的广播包也都限制在该虚拟LAN上,而不影响其他VLAN的人,一个人如果从一个办公地点换到另外一个地点,而他仍然在该系,那么,他的配置无须改变,同时,如果一个人虽然办公地点没有变,但他换了一个系,那么,只需网络管理者那配置一下就行了。这个功能的目标就是建立一个动态的组织环境,当然,这只是一个远大的目标,要实现它,还需要一些其他包括管理等方面的支持。
3. 限制广播包,按照802.1D透明网桥的算法,如果一个数据包找不到路由,那么交换机就会将该数据包向所有的其他端口发送,这就是桥的广播方式的转发,这样的结果,毫无疑问极大的浪费了带宽,如果配置了VLAN,那么,当一个数据包没有路由时,交换机只会将此数据包发送到所有属于该VLAN的其他端口,而不是所有的交换机的端口,这样,就将数据包限制到了一个VLAN内。在一定程度上可以节省带宽。
4. 安全性,由于配置了VLAN后,一个VLAN的数据包不会发送到另一个VLAN,这样,其他VLAN的用户的网络上是收不到任何该VLAN的数据包,从而就确保了该VLAN的信息不会被其他VLAN的人窃听,从而实现了信息的保密。
理论上,VLAN可以扩展到WAN上,但是,这是不明智的做法,因为VLAN允许广播包发送出去,而且它没有很好的路由算法,经常是以广播的形式转发数据包,这样,毫无疑问,极大地浪费了WAN的宝贵的带宽,所以说,将基于端口的,MAC地址和网络地址的VLAN扩展到WAN,是不合理的,而基于多播的VLAN概念则可以灵活有效的扩展到WAN。一般的以太网交换机实现的都是基于端口的VLAN,个别的会实现基于MAC地址和网络层地址的VLAN,而路由器中可以通过IGMP多播协议实现所谓的组播形式的VLAN 。
802.1Q协议定义了基于端口的VLAN模型,这是使用得最多的一种方式。下面我们重点讲述一下交换机芯片是如何实现VLAN的,如果想了解更细节的内容,可以参考802.1Q协议,由于协议文本讲的非常抽象,所以,我们以TI公司的交换芯片为例来讲述,更便于理解。例子中的TNETX4090提供了8个100M以太网口和1个1G以太网口。
如图1所示,每一个支持802.1Q协议的主机,在发送数据包时,都在原来的以太网桢头中的源地址后增加了一个4字节的802.1Q桢头,之后接原来以太网的长度或类型域,关于以太网桢头的封装格式,参见以太网方面的培训教材。
图1 带有802.1Q标签头的以太网桢
这4个字节的802.1Q标签头包含了2个字节的标签协议标识(TPID--Tag Protocol Identifier,它的值是8100),和两个字节的标签控制信息(TCI--Tag Control Information),TPID是IEEE定义的新的类型,表明这是一个加了802.1Q标签的本文,图2显示了802.1Q标签头的详细内容。
图2 802.1Q标签头
该标签头中的信息解释如下:
LAN Identified( VLAN ID ): 这是一个12位的域,指明VLAN的ID,一共4096个,每个支持802.1Q协议的主机发送出来的数据包都会包含这个域,以指明自己属于哪一个VLAN,目前TNETX 3270只支持32个VLAN。
Canonical Format Indicator( cfi ):这一位主要用于总线型的以太网与FDDI、令牌环网交换数据时的桢格式,TNETX 3270忽略此位。
Priority:这3 位指明桢的优先级。一共有8种优先级,主要用于当交换机阻塞时,优先发送哪个数据包。TNETX 3270和TNETX 4090只支持一种优先级,所以这一位也没有用,
不难看出,802.1Q标签头的4 个字节是新增加的,目前我们使用的计算机并不支持802.1Q,即我们计算机发送出去的数据包的以太网桢头还不包含这4个字节,同时也无法识别这4个字节,将来会有软件和硬件支持802.1Q协议的。 对于交换机来说,如果它所连接的以太网段的所有主机都能识别和发送这种带802.1Q标签头的数据包,那么我们把这种端口称为Tag Aware 端口;相反,如果该交换机端口说连接的以太网段有只要有一台主机不支持这种以太网桢头,那么交换机的这个端口我们称为Access端口,从目前的情况可以看出,所有的交换机的端口都属于后一种。
那么,在现在的情况下,交换机是如何支持VLAN的呢?是这样的,比如交换机的1~4端口属于同一个VLAN,那么当 1 端口进来一个数据包是,交换机看到该数据包没有802.1Q标签头,那么,它会根据1号端口所属的VLAN组,自动给该数据包添加一个该VLAN的标签头,然后再将数据包交给数据库查询模块,数据库查询模块会根据数据包的目的地址和所属的VLAN进行路由,之后交给转发模块,转发模块看到这是一个包含标签头的数据包,而实际上发送的端口所连的以太网段的计算机不能识别这种数据包,所以,它会再将数据包进来是交换机给添加的标签头再去掉。如果计算机支持这种标签头,那么就不需要交换机添加或删除标签头了,至于到底是添加还是删除要看交换机所连的以太网段的主机是否识别这种数据包,即该交换机的端口是哪种类型的端口。当然,对于两个交换机互连的端口一般都是Tag Aware端口,这样,交换机和交换机之间交换数据包时是无须去掉标签头的。
一般交换机的连接方式如图3所示
图3 多个交换机的组网图
图中虚线是Tag Aware端口,实线是Access端口。
以太网交换机处理数据包的流程如图4所示。
图4 数据包处理流程
处理流程包括3个步骤:
1. 接收过程:该过程负责接收数据包,数据包可以是带标签头的,也可以不带标签头,如果不带,交换机会知道根据该端口所属的VLAN添加上相应的标签头。
2. 查找/路由过程:该过程根据数据包的目的MAC地址、VLAN 标识已经数据库中注册的信息决定把数据包发送到哪个端口。
3. 发送过程:将数据包发送到以太网段上,如果该网段的主机不能识别802.1Q标签头,那么就将该标签头去掉,如果是与其他交换机互连的端口,一般不去掉。
具体的接收、查询和发送过程可以参考TNETX 3270的相关资料,下面是一个无标签头的数据包的接收到发送的过程。
图5 一个无标签头的数据包的处理流程
其中具体的路由过程参考TNETX 3270资料。图6 是另外的一个例子。
图6 一个互连的例子
以图6为例,假如Chris 发送一个数据包给Jackie,那么,处理的过程如下:
1. Chris 发送一个数据包给Jackie。
2. 数据包到达交换机1的端口9,这是一个无标签头的包,所以交换机1 给该数据包添加一个VLAN ID。
3. 根据目的MAC地址和VLAN ID,查询数据库,知道该数据包需要发送到24(或25、26号端口,这3 个端口被捆绑到一起,对上层来说,这3 个端口就好象一个端口,实际上交换机会根据3 个端口的流量来决定是从哪个端口往外发送)。如果不知道,则该数据包还会被发送到端口6,当然,在发送到端口6 的以太网段时,会先将标签头去掉,Altaf收到后会丢弃这个数据包,因为目的地址不是它。由于端口24是Tag Aware端口,所以,发送到24 好端口的数据包的标签头不去掉。
4. TNETX 4090交换机收到这个数据包后,根据VLANID和目的MAC 地址在它的数据库中查找路由,最后,它知道该数据包应该发送到端口4(5或6),标签头仍然不去掉。
5. 交换机2收到后,根据VLAN ID和目的MAC地址,在它的数据库中查找路由,知道该数据包需要发送到端口2。于是将该数据包发送出去。注意,发送出去的数据包需要去掉标签头。
以上我们讨论了VLAN收发数据包的过程,它的具体实现已经由以太网交换机的交换芯片实现了,有兴趣者可参考交换芯片的技术资料。
二、802.1P协议
802.1p协议定义了优先级的概念,对于那些实时性要求很高的数据包,主机在发送时就在前面提到MAC桢头增加的3位优先级中指明该数据包优先级高,这样,当以太网交换机数据流量比较多时,它就会考虑优先转发这些优先级高的数据包。
目前部分以太网交换机所采用的交换芯片只支持2种优先级,也有一些能支持4个优先级。
802.1p协议还定义了GARP--Generic Attribute Registration Protocol。这里的Attribute是指组播MAC地址、端口过滤模式和VLAN等属性,GARP协议实际上可以定义很多交换机应该具有的特性,目前,它定义了GMRP--GARP Multicast Registration Protocol和GVRP--GARP VLAN Registration Protocol两个协议,以后会根据网络发展的需要定义其他的特性。GARP定义了以太网交换机之间交换这些特性信息的方法,如何发送数据包,接收的数据包如何处理等等。
GMRP协议是一个动态二层组播注册协议,它的很多方面跟IGMP(三层组播协议)类似,对于IP地址来说,D类IP地址是组播地址,实际上,对于每一个IP组播地址,都有一个组播MAC地址跟它对应,802.1p协议就是根据组播MAC地址来在以太网交换机上注册和取消组播成员身份的,而IGMP是根据组播IP来管理的。当然,如果以太网交换机没有实现GMRP协议,那么就只能通过静态配置来实现组播了。
关于为什么需要二层组播协议?我们在详细讨论一下。与协议IGMP一样,如果我们在自己的局域网内成立一个组播组,可能我们的局域网包含了很多交换机,如果这些交换机没有实现二层组播协议的话,那么,某个组员给其他组员发送数据包时,交换机就会将该数据包向所有的端口广播,因为交换机不知道哪个端口有人加入了该组播组,唯一的解决办法就是管理员配置交换机,这样,才能将这种广播转发数据包的发送方式限制住,而组播本身是动态的,所以,通过这种靠管理员的配置来实现组播的方式是不现实的。因此,就需要有一个二层组播协议来动态管理组员。这就是为什么需要二层组播协议的原因,目前,许多高档的交换机都把实现802.1p和802.1Q协议作为一个主要的性能指标。
GVRP是VLAN协议,由于它与GMRP都是基于GARP之上的,所以它们之间的关系很紧密,它们都要对交换机的数据库进行操作,这个协议的具体定义在802.1Q中。
参考文献
1. 802.1Q协议
2. 802.1p协议
TNETX 3270技术资料
VLAN的网络管理
过去常常在网络里使用路由器和集线器,而现在很多网络使用交换机,怎样面对路由网络和交换技术的挑战吗?
目前,交换机在网络市场上占据了主导地位,其中原因是:首先是交换机性价比高,其次是结构灵活, 可以随着未来应用的变化而灵活配置。
数字最能说明问题。在有一个100Mbps上行链路的交换机里,每个10Mbps受控交换机端口的成本为100美元。 路由选择技术并不真正按给每个端口分配一个用户的方式来分段网络,每个路由器端口的成本至少是交换机端口的三四倍, 因而管理负担大得惊人。尽管用路由器分段的网络只有TCP/IP通信量,但由于成本高,性能不高,子网太多,并且配置工作量大, 所以很快就行不通了。相比而言,交换机和集线器一样,是即插即用设备。目前正在出现具有“自学”功能的路由选择设备, 采用所支持的协议自动配置端口。在缺省情况下,纯交换网络是平面网络。如果每个节点都有自己的交换端口, 网络就很难发生争用情况,即入站通信量与节点的出站通信量发生资源争用,反之亦然。相比而言,在传统的共享网段或者环里, 每个节点的吞吐量随着节点的增多而下降,例如有25个节点的10BaseT网络只能给每个节点平均提供400Kbps带宽, 而有专业交换端口的节点却拥有10Mbps吞吐量。
一般被节点用于做广告或者寻找目前未知的广播技术可大大提供这种网络的吞吐量, 而通常的单址广播帧只能广播到一个目的地节点和中间交换端口。自从网桥流行的那一天起, 我们就知道我们实际上并不希望有数千个节点的广播域,因为广播风暴无法预测且难以控制。
把平面网络变成较小的广播域,无异于使交换网络变成一种丰富多彩的调色板。与其用路由器定义任意大小的子网, 倒不如用交换机建立VLAN。
VLAN的管理
VLAN与交换网络密不可分,但实施VLAN要重新定义管理环境。VLAN定义的逻辑域涉及网络里的可能视图, 因而网络管理平台可显示IP图像,有时还会显示基于IPX的图像。如果部署VLAN,其拓扑可能与上述视图不匹配。 当VLAN部署完毕之后,你很可能对根据逐个VLAN监视通信量并生成警报这一点感兴趣。
在目前,大多数基于交换机的VLAN是专用的。IEEE 802.1P委员会开发出一种多址广播标准, 使VLAN成员可以在取消VLAN广播抑制任务的情况下通信。在可互操作的软件和硬件里实现上述标准之前, VLAN配置仍将要求维护单一供应商交换机环境。
即使在单一供应商VLAN里,网络管理也是一种挑战, 例如检查VLAN对话要求管理软件处理的统计信息不同于检查常见的LAN或IP子网对话: RMON MIB和RMON-2 MIB分别提供确定LAN和子网信息的框架,而VLAN配置必须定义自己的MIB, 或者配置如何根据其他MIB获得上述信息。此外,为了提供连贯的VLAN行为特性图,管理软件要收集并合并来自多个RMON检测器的数据。
如果上述问题很严重,就要考虑捕捉多交换机VALN数据的地方只限于中间交换机链路或者主干网。在大型网络里, 主干几乎都在100Mbps以上,高速控制器的部署与常见VLAN不一样,而且成本很高。
VLAN的配置
如果根据交换机端口定义VLAN,通常很容易用某种拖放软件把一个或多个用户分配到特定的VLAN。在非交换环境里,移动、 添加或更改操作很麻烦,有可能要改动接线板上的跳线充一个集线器端口移动到另一个端口。然而,改动VLAN分配仍然要靠人工进行: 在大型网络里,这样做很费时,因而很多联网供应商鼓吹采用VLAN可以简化移动、添加和更改操作。
基于MAC地址的VLAN分配方案确实可使某些移动、添加和更改操作自动化。 如果用户根据MAC地址被分配到一个VLAN或多个VLAN, 他们的计算机可以连接交换网络的任何一个端口,所有通信量均能正确无误地到达目的地。显然,管理员要进行VLAN初始分配, 但用户移动到不同的物理连接不需要在管理控制台进行人工干预;例如有很多移动用户的站, 他们并非总是连接同一端口――或许因为办公室都是临时性的,采用基于MAC地址的VLAN可避免很多麻烦。
传统的Layer3技术怎么样呢?这里离开VLAN最近的是IP子网:每个子网需要一个路由器端口, 因为通信量只能通过一个路由器从一个子网移动到另一个子网。由于IP32位地址提供的地址空间很有限,所以很难分配子网地址, 还有看你是否熟悉二进制算法。因此,在IP网络里执行移动、添加和更改操作很困难,速度慢,容易出错,而且费用大。另外, 在公司更换ISP或者采用新安全策略时,可能有必要重新编号网络,这对于大型网络来说是无法想像的。
实际上,如果有人采用现有的有子网的路由IP网络,并根据IP地址访问任意VLAN成员,路由器就可能会被不必要的通信量淹没。
如果很多子网里都有VALN成员,常用的VLAN广播必须通过路由器才能达到所有成员。此外, 糟糕的是广域链路会生成额外广播通信量;有WAN连接服务的VLAN成员数通常应该保持在最低水平。实际上, 基于Layer3地址的VLAN成员值有可能在增强和修改现有子网分布方面很有用,例如可通过一个全子网给VLAN添加两个新节点, 或者可用两个子网组成一个VLAN而无须重新编号。
Cabletron的SecureFast Virtual Networking Layer3交换技术采用路由服务器模型而不是传统的路由选择模型。 第一个信息包传送到路由服务器进行常规路由计算,但交换机能记忆路径,因而后续信息包可在Layer2交换,而无须查对路由表。 由于有了基于纯Layer3地址的VLAN,所以IP地址可以作为通用网络ID,允许任何人连接任何数据链路,从而获得全网络访问, 大大简化移动、添加和更改任务。
但是,还有其他方法解决IP子网引起的管理问题。DHCP(动态主机配置协议)已经在连接时给用户分配地址的其他技术, 都可用于解决上述问题。
VLAN的测试
传统上,共享介质如Ethernet冲突网段或者令牌环,已经成为网络管理的级别单元, 连接网段或环任何地方的协议分析仪都可捕捉所以节点自己发生的所有对话。集线器的SNMP代理捕捉整个网段通信量, 错误和广播统计信息。RMON检测器(一种网络监视器或手持式故障排除设备)可检测共享介质发生的所有重大事件。 这些设备提供测试手段即基本数据捕捉作业,旨在有效管理网络。
交换网络必须装备类似的工具。网络数或者环数成倍增加,因而必备的设备也相应地成倍增加。对于老式10BaseT来说, 大多数独立RMON检测器的价格比较昂贵。
同时,任何网段的通信量都可能只有一个源和一个目的地,使问题分析变得很困难。即使是很简单的问题, 如观察广播是否正确无误地传送到VLAN成员,而不传送到其他节点,也要把协议分析仪和一个三端口中继器连接到VLAN的每个网段上。
但情况并非很糟糕。常用的连接部件如NIC,连接器,电缆和端口可用以前的方法测试,它们并不受交换结构的影响。服务器,路由器, 打印机和工作站发生的问题可能会很难解决。如何路由器采用NetBIOS桥结VLAN不当,可以从VLAN里的任何一个节点诊断出来。 其他问题如冲突,应该可以消除掉,因为介质不再是共享介质,或者共享程度不象以前那么高。
针对交换网络测试设备不足的问题,交换机供应商做了很多工作。很多交换机都可配置一个监视端口, 以便连接协议分析仪或者其他监视器。在有的交换机里,可以配置监视端口检查任何两个端口之间的通信量。在少数基于底板的交换机里, 监视端口可用于捕捉交换机传送的所有通信量。这些监视工作可以通过神奇的电子技术来实现,而不影响交换机的性能, 如果你的交换机没有监视端口,并且每个端口都没有RMON,就不能执行监视作业,即使可以执行也很难且代价昂贵。
因此购买交换机必须考虑它有没有监视端口。
另外,很多交换机供应商还为每个端口配备了RMON代理。如果基本的交换机硬件没有集成RMON设备,它不会削弱系统的总体性能。
结束语
大供应商旨在支持基于端口、MAC地址和Layer3地址建立VLAN。也有一种说法是支持基于应用的VLAN成员, 从而压缩视频或音频数据流的多址广播支持。当VLAN定义很丰富而且灵活的时候,其他令人感兴趣的管理服务才可能走向成熟。 特别地,管理员再也不必为了建立VLAN成员而把一个图标拖到一个映象上去,VLAN可采用策略管理动态定义。
随着可动态定义的VLAN产品和方案的推出和实施,配置和管理网络节点所面对的挑战也将发生根本性的转变。 对于陷于沉重管理事务的管理员来说,VLAN似乎并不能改变他们的窘境,因为他们必须忘却某些基于路由器的联网原理。但无论如何,每个管理员都将要面对交换式网络,而VLAN是实现商业目标的重要工具。
通信人家园 (https://www.txrjy.com/)
Powered by C114