VLAN 技術的基礎
基于交換式以太網(wǎng)的VLAN
在交換式以太網(wǎng)中��,利用VLAN 技術�,可以將由交換機連接成的物理網(wǎng)絡劃分成多個邏輯子網(wǎng)。也就是說�,一個VLAN中的站點所發(fā)送的廣播數(shù)據(jù)包將僅轉(zhuǎn)發(fā)至屬于同一VLAN 的站點。而在傳統(tǒng)局域網(wǎng)中��,由于物理網(wǎng)絡和邏輯子網(wǎng)的對應關系�����,因此任何一個站點所發(fā)送的廣播數(shù)據(jù)包都將被轉(zhuǎn)發(fā)至網(wǎng)絡中的所有站點����。在交換式以太網(wǎng)中,各站點可以分別屬于不同的VLAN �。構成VLAN 的站點不拘泥于所處的物理位置,它們既可以掛接在同一個交換機中����,也可以掛接在不同的交換機中。VLAN 技術使得網(wǎng)絡的拓撲結構變得非常靈活����,例如位于不同樓層的用戶或者不同部門的用戶可以根據(jù)需要加入不同的VLAN 。到目前為止�,基于交換式以太網(wǎng)實現(xiàn)VLAN 主要有三種途徑:基于端口的VLAN 、基于MAC 地址的VLAN 和基于IP 地址的VLAN ����。
1、基于端口的VLAN
基于端口的VLAN 就是將交換機中的若干個端口定義為一個VLAN �����,同一個VLAN 中的站點具有相同的網(wǎng)絡地址��,不同的VLAN 之間進行通信需要通過路由器���。采用這種方式的VLAN 其不足之處是靈活性不好��,例如當一個網(wǎng)絡站點從一個端口移動到另外一個新的端口時��,如果新端口與舊端口不屬于同一個VLAN ����,則用戶必須對該站點重新進行網(wǎng)絡地址配置,否則�,該站點將無法進行網(wǎng)絡通信。
2�����、基于MAC 地址的VLAN
在基于MAC 地址的VLAN 中�,交換機對站點的MAC 地址和交換機端口進行跟蹤,在新站點入網(wǎng)時根據(jù)需要將其劃歸至某一個VLAN �����,而無論該站點在網(wǎng)絡中怎樣移動����,由于其MAC 地址保持不變,因此用戶不需要進行網(wǎng)絡地址的重新配置。這種VLAN 技術的不足之處是在站點入網(wǎng)時����,需要對交換機進行比較復雜的手工配置��,以確定該站點屬于哪一個VLAN 。
3�、基于IP 地址的VLAN
在基于IP 地址的VLAN 中,新站點在入網(wǎng)時無需進行太多配置�,交換機則根據(jù)各站點網(wǎng)絡地址自動將其劃分成不同的VLAN 。在三種VLAN 的實現(xiàn)技術中�,基于IP 地址的VLAN 智能化程度最高,實現(xiàn)起來也最復雜���。VLAN 作為一種新一代的網(wǎng)絡技術�,它的出現(xiàn)為解決網(wǎng)絡站點的靈活配置和網(wǎng)絡安全性等問題提供了良好的手段����。雖然VLAN 技術目前還有許多問題有待解決,例如技術標準的統(tǒng)一問題�����、VLAN 管理的開銷問題和VALN 配置的自動化問題等等��。然而��,隨著技術的不斷進步,上述問題將逐步加以解決�,VLAN 技術也將在網(wǎng)絡建設中得到更加廣泛的應用,從而為提高網(wǎng)絡的工作效率發(fā)揮更大的作用��。事實上一個VLAN(虛擬局域網(wǎng))就是一個廣播域���。為了避免在大型交換機上進行的廣播所引起的廣播風暴����,可將連接到大型交換機上的網(wǎng)絡劃分為多個VLAN(虛擬局域網(wǎng))�����。在一個VLAN(虛擬局域網(wǎng))內(nèi)���,由一個工作站發(fā)出的信息只能發(fā)送到具有相同VLAN(虛擬局域網(wǎng))號的其他站點�����。其它VLAN(虛擬局域網(wǎng))的成員收不到這些信息或廣播幀����。
采用VLAN 有如下優(yōu)勢:
1. 抑制網(wǎng)絡上的廣播風暴�;
2. 增加網(wǎng)絡的安全性�����;
3. 集中化的管理控制。
這就是在局域網(wǎng)交換機上采用VLAN(虛擬局域網(wǎng))技術的初衷�,也確實解決了一些問題。但這種技術也引發(fā)出一些新的問題:隨著應用的升級��,網(wǎng)絡規(guī)劃/實施者可根據(jù)情況在交換式局域網(wǎng)環(huán)境下將用戶劃分在不同VLAN(虛擬局域網(wǎng))上��。但是VLAN(虛擬局域網(wǎng))之間通信是不允許的�����,這也包括地址解析(ARP)封包��。要想通信就需要用路由器橋接這些VLAN(虛擬局域網(wǎng))�。這就是VLAN(虛擬局域網(wǎng))的問題:不用路由器是嫌它慢,用交換機速度快但不能解決廣播風暴問題�����,在交換機中采用VLAN(虛擬局域網(wǎng))技術可以解決廣播風暴問題���,但又必須放置路由器來實現(xiàn)VLAN(虛擬局域網(wǎng))之間的互通����。形成了一個不可逾越的怪圈。這就是網(wǎng)絡的核心和樞紐路由器的問題���。在這種網(wǎng)絡系統(tǒng)集成模式中�,路由器是核心��。
路由器所起的作用是:
1.網(wǎng)段微化(網(wǎng)段之間通過路由器進行連接):
2. 網(wǎng)絡的安全控制�;
3. VLAN(虛擬局域網(wǎng))間互連;
4. 異構網(wǎng)間的互連����。
1.2.3 局域網(wǎng)瓶頸
1、 采用路由器作為網(wǎng)絡的核心將產(chǎn)生的問題:
● 路由器增加了3 層路由選擇的時間���,數(shù)據(jù)的傳輸效率低��;
● 增加����、移動和改變節(jié)點的復雜性有增無減����;
● 路由器價格昂貴�、結構復雜����;
● 增加子網(wǎng)/ VLAN(虛擬局域網(wǎng))的互連意味著要增加路由器端口,投資也增大�。
相比之下,路由器是在OSI 七層網(wǎng)絡模型中的第三層--網(wǎng)絡層操作的�����,它在網(wǎng)絡中�,收到任何一個數(shù)據(jù)包(包括廣播包在內(nèi))��,都要將該數(shù)據(jù)包第二層(數(shù)據(jù)鏈路層)的信息去掉(稱為"拆包")��,查看第三層信息(IP 地址)���。然后���,根據(jù)路由表確定數(shù)據(jù)包的路由,再檢查安全訪問表���;若被通過��,則再進行第二層信息的封裝(稱為"打包")�,最后將該數(shù)據(jù)包轉(zhuǎn)發(fā)�����。如果在路由表中查不到對應MAC 地址的網(wǎng)絡地址,則路由器將向源地址的站點返回一個信息,并把這個數(shù)據(jù)包丟掉�����。與交換機相比�,路由器顯然能夠提供構成企業(yè)網(wǎng)安全控制策略的一系列存取控制機制。由于路由器對任何數(shù)據(jù)包都要有一個"拆打"過程��,即使是同一源地址向同一目的地址發(fā)出的所有數(shù)據(jù)包���,也要重復相同的過程。這導致路由器不可能具有很高的吞吐量,也是路由器成為網(wǎng)絡瓶頸的原因之一。如果路由器的工作僅僅是在子網(wǎng)與子網(wǎng)間�����、網(wǎng)絡與網(wǎng)絡間交換數(shù)據(jù)包的話�����,我們可能會買到比今天便宜得多的路由器。實際上路由器的工作遠不止這些,它還要完成數(shù)據(jù)包過濾���、數(shù)據(jù)包壓縮、協(xié)議轉(zhuǎn)換����、維護路由表、計算路由�����、甚至防火墻等許多工作。而所有這些都需要大量CPU 資源����,因此使得路由器一方面價格昂貴�,另一方面越來越成為網(wǎng)絡瓶頸。
2、 提高路由器的硬件性能�,無法解決路由器瓶頸問題:
提高路由器的硬件性能(采用更高速��,更大容量的內(nèi)存)并不足以改善它的性能。因為路由器除了硬件支撐外,其"復雜的處理與強大的功能"主要是通過軟件來實現(xiàn)的�,這必然使得它成為網(wǎng)絡瓶頸�。另外�,當流經(jīng)路由器的流量超過其吞吐能力時�,將引起路由器內(nèi)部的擁塞�。持續(xù)擁塞不僅會使轉(zhuǎn)發(fā)的數(shù)據(jù)包被延誤���,更嚴重的是使流經(jīng)路由器的數(shù)據(jù)包丟失�。這些都給網(wǎng)絡應用帶來極大的麻煩。路由器的復雜性還對網(wǎng)絡的維護工作造成了沉重的負擔。例如�����,要對網(wǎng)絡上的用戶進行增加、移動或改變時,配置路由器的工作將顯得十分復雜。
3 交換機結合路由器存在不足:
將交換機和路由器結合起來(這也是當今大多數(shù)企業(yè)所采用的網(wǎng)絡解決方案),從功能上來講是可行的�����。然而���,存在顯然不足,不足之出在于:從網(wǎng)絡用戶的角度看��,整個網(wǎng)絡被分為兩種等級的性能:直接經(jīng)過交換機處理的數(shù)據(jù)包享受著高速公路快速���、穩(wěn)定的傳遞性能�;但是那些必須經(jīng)過路由器的數(shù)據(jù)包只能使用慢速通路�,當流量負荷嚴重時����,便會產(chǎn)生另人頭痛的延遲。交換機和路由器是網(wǎng)絡中不同的設備��,須分別購買��、設置和管理���,其花費必然要多于一個基于集成化的單一完整的解決方案的花費��。
1.2.4 第三層交換技術
局域網(wǎng)交換機的引入,使得網(wǎng)絡站點間可獨享帶寬���,消除了無謂的碰撞檢測和出錯重發(fā)���,提高了傳輸效率,在交換機中可并行地維護幾個獨立的�����、互不影響的通信進程。在交換網(wǎng)絡環(huán)境下�,用戶信息只在源節(jié)點與目的節(jié)點之間進行傳送,其他節(jié)點是不可見的����。但有一點例外,當某一節(jié)點在網(wǎng)上發(fā)送廣播或組播時��,或某一節(jié)點發(fā)送了一個交換機不認識的MAC 地址封包時���,交換機上的所有節(jié)點都將收到這一廣播信息。整個交換環(huán)境構成一個大的廣播域�����。點到點是在第二層快速�����、有效的交換�,但廣播風暴會使網(wǎng)絡的效率大打折扣。交換機的速度實在快�����,比路由器快的多,而且價格便宜的多����。可以說����,在網(wǎng)絡系統(tǒng)集成的技術中,直接面向用戶的第一層接口和第二層交換技術方面已得到令人滿意的答案�����。交換式局域網(wǎng)技術使專用的帶寬為用戶所獨享����,極大的提高了局域網(wǎng)傳輸?shù)男省5诙䦟咏粨Q也暴露出弱點:對廣播風暴�����、異種網(wǎng)絡互連����、安全性控制等不能有效地解決����。作為網(wǎng)絡核心��、起到網(wǎng)間互連作用的路由器技術卻沒有質(zhì)的突破���。當今絕大部分的企業(yè)網(wǎng)都已變成實施TCP/IP 協(xié)議的Web 技術的內(nèi)聯(lián)網(wǎng)�����,用戶的數(shù)據(jù)往往越過本地的網(wǎng)絡在網(wǎng)際間傳送�����,因而,路由器常常不堪重負�。傳統(tǒng)的路由器基于軟件,協(xié)議復雜����,與局域網(wǎng)速度相比,其數(shù)據(jù)傳輸?shù)男瘦^低��。但同時它又作為網(wǎng)段(子網(wǎng)��,VLAN)互連的樞紐,這就使傳統(tǒng)的路由器技術面臨嚴峻的挑戰(zhàn)��。隨著Internet/Intranet 的迅猛發(fā)展和B/S(瀏覽器/服務器)計算模式的廣泛應用�,跨地域、跨網(wǎng)絡的業(yè)務急劇增長�,業(yè)界和用戶深感傳統(tǒng)的路由器在網(wǎng)絡中的瓶頸效應。改進傳統(tǒng)的路由技術迫在眉睫���。一種辦法是安裝性能更強的超級路由器����,然而�,這樣做開銷太大,如果是建設交換網(wǎng)����,這種投資顯然是不合理的。
在這種情況下����,一種新的路由技術應運而生,這就是第三層交換技術:第三層交換技術也稱為IP 交換技術�����、高速路由技術等。第三層交換技術是相對于傳統(tǒng)交換概念而提出的���。眾所周知�,傳統(tǒng)的交換技術是在OSI 網(wǎng)絡標準模型中的第二層—數(shù)據(jù)鏈路層進行操作的���,而第三層交換技術是在網(wǎng)絡模型中的第三層實現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)�����。簡單地說����,第三層交換技術就是:第二層交換技術+第三層轉(zhuǎn)發(fā)技術���。這是一種利用第三層協(xié)議中的信息來加強第二層交換功能的機制。一個具有第三層交換功能的設備是一個帶有第三層路由功能的第二層交換機�����,但它是二者的有機結合�����,并不是簡單的把路由器設備的硬件及軟件簡單地疊加在局域網(wǎng)交換機上。從硬件的實現(xiàn)上看��,目前�,第二層交換機的接口模塊都是通過高速背板/總線(速率可高達幾十Gbit/s)交換數(shù)據(jù)的,在第三層交換機中��,與路由器有關的第三層路由硬件模塊也插接在高速背板/總線上�,這種方式使得路由模塊可以與需要路由的其他模塊間高速的交換數(shù)據(jù),從而突破了傳統(tǒng)的外接路由器接口速率的限制(10Mbit/s---100Mbit/s)���。在軟件方面�����,第三層交換機也有重大的舉措����,它將傳統(tǒng)的基于軟件的路由器軟件進行了界定����,其作法是:
