VLAN技术白皮书
VLAN技术白皮书
基于MAC地址的VLAN分配方案确实可使某些移动、添加和更改操作自动化。如果用户根据MAC地址被分配到一个VLAN或多个VLAN,他们的计算机可以连接交换网络的任何一个端口,所有通信量均能正确无误地到达目的地。显然,管理员要进行VLAN初始分配,但用户移动到不同的物理连接不需要在管理控制台进行人工干预;例如有很多移动用户的站,他们并非总是连接同一端口――或许因为办公室都是临时性的,采用基于MAC地址的VLAN可避免很多麻烦。
传统的Layer3技术怎么样呢?这里离开VLAN最近的是IP子网:每个子网需要一个路由器端口,因为通信量只能通过一个路由器从一个子网移动到另一个子网。由于IP32位地址提供的地址空间很有限,所以很难分配子网地址,还有看你是否熟悉二进制算法。因此,在IP网络里执行移动、添加和更改操作很困难,速度慢,容易出错,而且费用大。另外,在公司更换ISP或者采用新安全策略时,可能有必要重新编号网络,这对于大型网络来说是无法想像的。
实际上,如果有人采用现有的有子网的路由IP网络,并根据IP地址访问任意VLAN成员,路由器就可能会被不必要的通信量淹没。
如果很多子网里都有VALN成员,常用的VLAN广播必须通过路由器才能达到所有成员。此外,糟糕的是广域链路会生成额外广播通信量;有WAN连接服务的VLAN成员数通常应该保持在最低水平。实际上,基于Layer3地址的VLAN成员值有可能在增强和修改现有子网分布方面很有用,例如可通过一个全子网给VLAN添加两个新节点,或者可用两个子网组成一个VLAN而无须重新编号。
Cabletron的SecureFast Virtual Networking Layer3交换技术采用路由服务器模型而不是传统的路由选择模型。第一个信息包传送到路由服务器进行常规路由计算,但交换机能记忆路径,因而后续信息包可在Layer2交换,而无须查对路由表。由于有了基于纯Layer3地址的VLAN,所以IP地址可以作为通用网络ID,允许任何人连接任何数据链路,从而获得全网络访问,大大简化移动、添加和更改任务。
但是,还有其他方法解决IP子网引起的管理问题。DHCP(动态主机配置协议)已经在连接时给用户分配地址的其他技术,都可用于解决上述问题。
VLAN的测试
传统上,共享介质如Ethernet冲突网段或者令牌环,已经成为网络管理的级别单元,连接网段或环任何地方的协议分析仪都可捕捉所以节点自己发生的所有对话。集线器的SNMP代理捕捉整个网段通信量,错误和广播统计信息。RMON检测器(一种网络监视器或手持式故障排除设备)可检测共享介质发生的所有重大事件。这些设备提供测试手段即基本数据捕捉作业,旨在有效管理网络。
交换网络必须装备类似的工具。网络数或者环数成倍增加,因而必备的设备也相应地成倍增加。对于老式10BaseT来说,大多数独立RMON检测器的价格比较昂贵。
同时,任何网段的通信量都可能只有一个源和一个目的地,使问题分析变得很困难。即使是很简单的问题,如观察广播是否正确无误地传送到VLAN成员,而不传送到其他节点,也要把协议分析仪和一个三端口中继器连接到VLAN的每个网段上。
但情况并非很糟糕。常用的连接部件如NIC,连接器,电缆和端口可用以前的方法测试,它们并不受交换结构的影响。服务器,路由器,打印机和工作站发生的问题可能会很难解决。如何路由器采用NetBIOS桥结VLAN不当,可以从VLAN里的任何一个节点诊断出来。其他问题如冲突,应该可以消除掉,因为介质不再是共享介质,或者共享程度不象以前那么高。
针对交换网络测试设备不足的问题,交换机供应商做了很多工作。很多交换机都可配置一个监视端口,以便连接协议分析仪或者其他监视器。在有的交换机里,可以配置监视端口检查任何两个端口之间的通信量。在少数基于底板的交换机里,监视端口可用于捕捉交换机传送的所有通信量。这些监视工作可以通过神奇的电子技术来实现,而不影响交换机的性能,如果你的交换机没有监视端口,并且每个端口都没有RMON,就不能执行监视作业,即使可以执行也很难且代价昂贵。因此购买交换机必须考虑它有没有监视端口。
另外,很多交换机供应商还为每个端口配备了RMON代理。如果基本的交换机硬件没有集成RMON设备,它不会削弱系统的总体性能。
结束语
大供应商旨在支持基于端口、MAC地址和Layer3地址建立VLAN。也有一种说法是支持基于应用的VLAN成员,从而压缩视频或音频数据流的多址广播支持。当VLAN定义很丰富而且灵活的时候,其他令人感兴趣的管理服务才可能走向成熟。特别地,管理员再也不必为了建立VLAN成员而把一个图标拖到一个映象上去,VLAN可采用策略管理动态定义。
随着可动态定义的VLAN产品和方案的推出和实施,配置和管理网络节点所面对的挑战也将发生根本性的转变。对于陷于沉重管理事务的管理员来说,VLAN似乎并不能改变他们的窘境,因为他们必须忘却某些基于路由器的联网原理。但无论如何,每个管理员都将要面对交换式网络,而VLAN是实现商业目标的重要工具。
企业网中的VLAN设计
---- 在企业网络刚刚兴起之时,由于规模小、应用面窄、对Internet接入认识程度低以及关于网络安全和管理知识贫乏等原因,使得企业网仅仅局限于交换模式状态。交换技术主要有2种方式: 基于以太网的帧交换和基于ATM的信元交换,它相对于共享式网络性能有很大提高,但对于所有处于一个IP网段或IPX网段的网络设备来说,却同在一个广播域中。当工作站数量较多和信息流较大时,容易形成广播风暴,严重影响了网络运行速度,甚至容易造成网络瘫痪。怎样避免这个问题出现呢?采用划分网络的办法是个不错的选择。
---- 在采用交换技术的网络模式中,一般采用划分物理网段的手段进行网络结构的划分。从效率和安全性等方面来看,这种结构划分有一定缺陷,而且在很大程度上限制了网络的灵活性。因为如果要将一个广播域分开,必须另外购买交换机,并且需要重新进行人工布线。好在虚拟局域网(Virtual Local AreaNetwork,VLAN)技术的出现解决了上述问题。实际上,VLAN就是一个广播域,它不受地理位置的限制,可以跨多个局域网交换机。一个VLAN可以根据部门职能、对象组或者应用来将不同地理位置的网络用户划分为一个逻辑网段。对于局域网交换机,其每一个端口只能标记一个VLAN,一个VLAN中的所有端口拥有一个广播域,而处于不同VLAN的端口则共享不同的广播域,这样就避免了广播风暴的产生。可以说,在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。
---- 通常,一个规模较大的企业,其下属一般拥有多个二级单位,为保证对不同职能部门管理的方便性和安全性以及整体网络运行的稳定性,可以采用VLAN划分技术,进行虚拟网络划分。下面,我们通过对一个实际案例的分析,让大家了解和掌握应用VLAN技术的真谛。
网络状况
---- 某大型起重设备总公司下属有2个二级单位,主要进行研发、服务与销售等工作。由于地理位置相对较远,业务规模尚未发展壮大,在企业成立之初,公司总部、二级单位1和二级单位2分别建立了独立的网络环境,各网络系统均采用以交换技术为主的方式,3网主干均采用千兆以太网技术。公司总部中心交换机采用
