簡介
傳統的共享介質的乙太網和交換式的乙太網中,所有的用戶在同一個廣播域中,會引起網路性能的下降,浪費可貴的頻寬;而且對廣播風暴的控制和網路安全只能在第三層的路由器上實現。
VLAN相當於OSI參考模型的第二層的廣播域,能夠將廣播風暴控制在一個VLAN內部,劃分VLAN後,由於廣播域的縮小,網路中廣播包消耗頻寬所占的比例大大降低,網路的性能得到顯著的提高。不同的VLAN之間的數據傳輸是通過第三層(網路層)的路由來實現的,因此使用VLAN技術,結合數據鏈路層和網路層的交換設備可搭建安全可靠的網路。網路管理員通過控制交換機的每一個連線埠來控制網路用戶對網路資源的訪問,同時VLAN和第三層第四層的交換結合使用能夠為網路提供較好的安全措施。
另外,VLAN具有靈活性和可擴張性等特點,方便於網路維護和管理,這兩個特點正是現代區域網路設計必須實現的兩個基本目標,在區域網路中有效利用虛擬區域網路技術能夠提高網路運行效率。
VLAN實現原理
靜態VLAN
在VLAN管理員最初配置交換機Port和VLAN ID的對應關係時,就已經固定了這種對應關係,即這個Port只能對應這個VLAN ID,之後無法進行更改,除非管理員再重新配置。
當一台設備接到這個Port上的時候,怎么判斷該主機的VLAN ID與Port對應呢,這裡是根據IP配置決定的,我們知道每個VLAN都有一個子網號,並對應著哪些Port,如果設備要求的IP位址和該Port對應的VLAN的子網號不匹配,則連線失敗,該設備將無法正常通信。所以除了連線到正確的Port外,也必須給設備分配屬於該VLAN網路段的IP位址,這樣才能加入到該VLAN中。
動態VLAN
交換機自動配置Port為主機所屬的VLAN。這裡有三種分類:基於MAC,基於IP,基於用戶
基於MAC的VLAN(例如二層交換機)
將所有主機的硬體地址都加入到VALN的管理資料庫中,例如,一主機隨便連線到交換機的一個動態VLAN的Port時,管理資料庫將根據主機的MAC地址查詢到該主機要加入VLAN 2中,然後自動設定該Port為VLAN 2。缺點是當主機更換了網卡之後,管理資料庫需要重新設定。
基於IP的VLAN(例如三層交換機)
與基於MAC不同,這種方法會記錄子網ID與VLAN ID的映射,而不論主機的網卡怎么變換,只要他的IP不變,交換機就可以根據主機的子網ID自動設定對應的VLAN ID。
基於用戶的VLAN
根據作業系統的登錄用戶決定VLAN。
Access接口和Trunk接口
交換機中,有兩種類型的接口:接入連線埠(Access)和中繼連線埠(Trunk),Access接口只能用來連線用戶主機,只能屬於一個VLAN,因此該接口只傳輸本VLAN的數據。
以上介紹的都是基於一台交換機劃分VLAN的情況,當要實現跨兩台甚至更多交換機呢,基於Access接口已經無法實現了,我們需要加入Trunk接口連線交換機。
VLAN優點
控制網路的廣播風暴
採用VLAN技術,可將某個交換連線埠劃到某個VLAN中,而一個VLAN的廣播風暴不會影響其它VLAN的性能。
確保網路安全
共享式區域網路之所以很難保證網路的安全性,是因為只要用戶插入一個活動連線埠,就能訪問網路。而VLAN能限制個別用戶的訪問,控制廣播組的大小和位置,甚至能鎖定某台設備的MAC地址,因此VLAN能確保網路的安全性。
簡化網路管理
網路管理員能藉助於VLAN技術輕鬆管理整個網路。例如需要為完成某個項目建立一個工作組網路,其成員可能遍及全國或全世界,此時,網路管理員只需設定幾條命令,就能在幾分鐘內建立該項目的VLAN網路,其成員使用VLAN網路,就像在本地使用區域網路一樣。
VLAN特點
基於連線埠的VLAN,簡單的講就是交換機的一個連線埠就是一個虛擬區域網路,凡是連線在這個連線埠上的主機屬於同個虛擬區域網路之中。基於連線埠的VLAN的優點為:由於一個連線埠就是一個獨立的區域網路。所以,當數據在網路中傳輸的時候,交換機就不會把數據包轉發給其他的連線埠,如果用戶需要將數據傳送到其他的虛擬區域網路中,就需要先由交換機發往路由器再由路由器發往其他連線埠;同時以連線埠為中心的VLAN中完全由用戶自由支配連線埠,無形之中就更利於管理。但是美中不足的是以連線埠為中心的VLAN,當用戶位置改變時,往往也伴隨著用戶位置的改變而對網線也要進行遷移。如果不會經常移動客戶機的話,採用這一方式倒也不錯。
靜態VLAN的優缺點
可以說靜態VLAN與基於連線埠的VLAN有一絲相似之處,用戶可在交換機上 讓一個或多個交換機連線埠形成一個略大一些的虛擬區域網路。從一定意義上講靜態虛擬區域網路在某些程度上彌補了基於連線埠的虛擬區域網路的缺點。缺陷方面,靜態 VLAN雖說是可以使多個連線埠的設定成一個虛擬區域網路,假如兩個不同連線埠、不同虛擬區域網路的人員聚到一起協商一些事情,這時候問題就出現了,因為連線埠及虛 擬區域網路的不一致往往就會直接導致某一個虛擬區域網路的人員就不能正常的訪問他原先所在的VLAN之中(靜態虛擬區域網路的連線埠在同一時間只能屬於同一個虛擬 區域網路),這樣就需要網路管理人員隨時配合及時修改該線路上的連線埠。
動態VLAN的優缺點
與上面兩種虛擬區域網路的組成方式相比動態的虛擬區域網路的優點真的是太多了。首先它適用於當前的無線區域網路技術,其次,當用戶有需要時對工作基點進行移動時完全不用擔心在靜態虛擬區域網路與基於連線埠的虛擬區域網路出現的一些問題在動態的虛擬區域網路中出現,因為動態的虛擬區域網路在建立初期已經由網路管理員將整個網路中的所有MAC地址全部輸入到了路由器之 中,同時如何由路由器通過MAC地址來自動區分每一台電腦屬於那一個虛擬區域網路,之後將這台電腦連線到對應的虛擬區域網路之中。說起缺點,動態的虛擬區域網路 的缺點跟本談不上缺點,只是在VLAN建立初期,網路管理人員需將所有機器的MAC進行登記之後劃分出MAC所對應的機器的不同許可權(虛擬區域網路)即可。
VLAN套用
近來參加了不少醫院網路方案的討論和評標活動,在幾乎所有醫院的方案中都或多或少地採用了虛擬區域網路(VLAN)技術,但筆者發現大多數方案中的VLAN設計都存在一個共同且致命的缺陷,那就是VLAN跨越網路的核心。本文就這個問題談一談自己的看法,供同行們參考。
VLAN相互受影響
根據VLAN的定義和技術規範,VLAN不是由獨享的物理設備和物理鏈路搭建的物理子網或網段,VLAN與實實在在的物理子網的本質區別在於,VLAN之間要共享物理設備和物理鏈路,因此,VLAN間就會通過所共享的設備和鏈路相互影響。這種影響是如何產生的呢?VLAN是通過將一個物理拓撲中的兩個或多個節點通過邏輯組合而形成的,要想實現這種邏輯的組合就必須使用支持VLAN的交換設備,但真正提供VLAN功能的是這些設備內部的軟體。也就是說,VLAN所構造的子網(廣播域)是軟體實現的,而不是由網路拓撲所決定的。網路拓撲僅對由軟體所建立的VLAN有所限制。
知道了VLAN的工作原理,就不難解釋VLAN間的影響了,同一交換機上的不同VLAN要共享交換機、要爭奪交換機的CPU和背板資源。VLAN對交換機和鏈路的共享可分為兩種類型:一種是“廣播共享”,即VLAN劃定的廣播域貫穿共享設備和鏈路(如圖1所示),換句話說廣播共享是二層的共享。另一種我們稱之為“路由共享”,也可以說是三層共享,在這種類型的共享中,不同VLAN的數據包是以路由(三層交換)方式穿過交換機的(如圖2中虛線所示),通過的包基本上不含有一般的廣播包(DHCP和特殊協定的廣播除外)。VLAN在“廣播共享”網路資源時的相互影響要比“路由共享”時更大。
從圖1可清楚地看出所共享的網路資源(交換機和鏈路)。在正常情況下,VLAN間的這種影響不被我們所注意,原因是共享的交換機有足夠的交換能力,鏈路不是很擁擠,但在某一VLAN出現異常時(如感染病毒或出現環路)情況就不同了。這時被感染VLAN(如VLAN1)中的大量數據幀將擠占該VLAN所及的所有交換機的CPU資源、背板頻寬,並長時間占用物理鏈路,其他VLAN(如VLAN2)中的設備儘管“看”不到出現異常VLAN中的數據幀,但其所依賴的網路資源已被用盡,因此,VLAN1所覆蓋的網路區域就會出現異常。如果故障點發生在核心交換機附近,那么整個網路就有可能癱瘓。這在各網路拓撲層交換機的性能相差不多的情況下尤為嚴重。
三層共享有作用
由VLAN的性質所決定,完全消除VLAN間的鏈路和設備的共享在理論上是不可能的。我們所做的努力只能儘量減少相互影響的範圍、降低相互影響的程度。如何做到這一點呢?在實踐中我們總結出如下原則:1)應儘量避免在同一交換機中配置多個VLAN;2)不同物理位置上的交換機上的連線埠儘量不要劃歸到同一個VLAN。前者較好理解,也容易實現,我們重點討論後者,即如何做到VLAN不跨越核心交換機和拓撲結構的“層”。從圖1可以看出,由於VLAN1(VLAN2也是這樣)的範圍跨越了整個網路,如果把所有VLAN的覆蓋面都限定在核心交換機的同一側,這些資源被共享的程度不就減輕了嗎?按此想法我們可以將圖1所示的網路改變為圖2所示的結構。
由於在這種結構中不存在跨越核心交換機的虛網,因此各VLAN的廣播包就不會穿過核心交換機,但這些廣播包卻均能到達核心交換機,同時核心交換機上還會有ACL允許的VLAN間的正常數據流(如圖2中的虛線所示)通過。很顯然,這時的核心交換機既阻擋了各VLAN的廣播包,又轉發了VLAN間的正常數據流,其被共享的形式由“廣播式”變成了“路由式”,受VLAN影響的程度變小。
有人可能會說,把核心交換機從二層提到了三層,性能會下降。這種說法無疑是正確的,但這點性能的降低對於當今的三層交換機所能提供的性能來說已經算不得什麼了。從圖2還可以看出,儘管受單個VLAN影響的程度和範圍均變小,但共享鏈路的長度和強度並沒有本質的變化。
三層結構最有效
繼續分析圖2中所存在的問題不難看出,儘管核心交換機被共享的形式改變了,但仍存在受到各VLAN出現異常情況的影響。要想避免核心交換機受到各個VLAN的影響、減小影響範圍、避免全網癱瘓的發生,很容易想到在核心交換機和劃有VLAN的交換機之間加上一層,以隔離核心交換機和各個VLAN。這時就形成了較為流行的三層拓撲結構的網路,如圖3所示。
在三層網路結構中,匯聚層與核心層之間的區域不再有VLAN,匯聚層交換機的VLAN也僅限於部分連線埠,這時匯聚層交換機成為被“路由共享”的交換機,而且這種“路由共享”比圖2的情況更弱。
如果使匯聚層交換機的性能遠高於接入層的交換機,那么由VLAN的廣播(多由病毒引起)所引起的整網癱瘓問題就基本解決了。
任何方案都具有利的一面和不利的一面,三層拓撲結構的網路也會帶來一些問題:1)利用一般的手段較難實現對各個VLAN進行集中式的遠程管理,對於這個問題的解決方案可充分利用網管軟體。2)由於VLAN數量的增多、路由協定等技術的引入,此時的網路會比二層平面交換網路要複雜,對網路技術人員的要求更高,管理維護成本會有所增加。
這兩點是大型網路管理本身的要求,大型網路的管理不可能不使用網路管理工具,技術人員的缺乏更是各個企業都面臨的問題,對此有的專家提出了“IT物業”的理念,也許這就是將來解決這個問題的最終方案。