VLAN的功能分析.docx
- 文档编号:20691124
- 上传时间:2023-04-25
- 格式:DOCX
- 页数:35
- 大小:202.43KB
VLAN的功能分析.docx
《VLAN的功能分析.docx》由会员分享,可在线阅读,更多相关《VLAN的功能分析.docx(35页珍藏版)》请在冰豆网上搜索。
VLAN的功能分析
过去常常在网络里使用路由器和集线器,而现在很多网络使用交换机,怎样面对路由网络和交换技术的挑战吗?
目前,交换机在网络市场上占据了主导地位,其中原因是:
首先是交换机性价比高,其次是结构灵活,可以随着未来应用的变化而灵活配置。
数字最能说明问题。
在有一个100Mbps上行链路的交换机里,每个10Mbps受控交换机端口的成本为100美元。
路由选择技术并不真正按给每个端口分配一个用户的方式来分段网络,每个路由器端口的成本至少是交换机端口的三四倍,因而管理负担大得惊人。
尽管用路由器分段的网络只有TCP/IP通信量,但由于成本高,性能不高,子网太多,并且配置工作量大,所以很快就行不通了。
相比而言,交换机和集线器一样,是即插即用设备。
目前正在出现具有“自学”功能的路由选择设备,采用所支持的协议自动配置端口。
在缺省情况下,纯交换网络是平面网络。
如果每个节点都有自己的交换端口,网络就很难发生争用情况,即入站通信量与节点的出站通信量发生资源争用,反之亦然。
相比而言,在传统的共享网段或者环里,每个节点的吞吐量随着节点的增多而下降,例如有25个节点的10BaseT网络只能给每个节点平均提供400Kbps带宽,而有专业交换端口的节点却拥有10Mbps吞吐量。
一般被节点用于做广告或者寻找目前未知的广播技术可大大提供这种网络的吞吐量,而通常的单址广播帧只能广播到一个目的地节点和中间交换端口。
自从网桥流行的那一天起,我们就知道我们实际上并不希望有数千个节点的广播域,因为广播风暴无法预测且难以控制。
把平面网络变成较小的广播域,无异于使交换网络变成一种丰富多彩的调色板。
与其用路由器定义任意大小的子网,倒不如用交换机建立VLAN。
●VLAN的一些基本概念
广播域的概念
广播域,指的是广播帧(目标MAC地址全部为1)所能传递到的范围,亦即能够直接通信的范围。
严格地说,并不仅仅是广播帧,多播帧(MulticastFrame)和目标不明的单播帧(UnknownUnicastFrame)也能在同一个广播域中畅行无阻。
本来,二层交换机只能构建单一的广播域,不过使用VLAN功能后,它能够将网络分割成多个广播域。
未分割广播域时……
那么,为什么需要分割广播域呢?
那是因为,如果仅有一个广播域,有可能会影响到网络整体的传输性能。
具体原因,请参看附图加深理解。
图中,是一个由5台二层交换机(交换机1~5)连接了大量客户机构成的网络。
假设这时,计算机A需要与计算机B通信。
在基于以太网的通信中,必须在数据帧中指定目标MAC地址才能正常通信,因此计算机A必须先广播“ARP请求(ARPRequest)信息”,来尝试获取计算机B的MAC地址。
交换机1收到广播帧(ARP请求)后,会将它转发给除接收端口外的其他所有端口,也就是Flooding了。
接着,交换机2收到广播帧后也会Flooding。
交换机3、4、5也还会Flooding。
最终ARP请求会被转发到同一网络中的所有客户机上。
这个ARP请求原本是为了获得计算机B的MAC地址而发出的。
也就是说:
只要计算机B能收到就万事大吉了。
可是事实上,数据帧却传遍整个网络,导致所有的计算机都收到了它。
如此一来,一方面广播信息消耗了网络整体的带宽,另一方面,收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。
造成了网络带宽和CPU运算能力的大量无谓消耗。
ARP广播,是在需要与其他主机通信时发出的。
当客户机请求DHCP服务器分配IP地址时,就必须发出DHCP的广播。
而使用RIP作为路由协议时,每隔30秒路由器都会对邻近的其他路由器广播一次路由信息。
RIP以外的其他路由协议使用多播传输路由信息,这也会被交换机转发(Flooding)。
除了TCP/IP以外,NetBEUI、IPX和AppleTalk等协议也经常需要用到广播。
例如在Windows下双击打开“网络计算机”时就会发出广播(多播)信息。
(WindowsXP除外……)
总之,广播就在我们身边。
下面是一些常见的广播通信:
● ARP请求:
建立IP地址和MAC地址的映射关系。
● RIP:
一种路由协议。
● DHCP:
用于自动设定IP地址的协议。
● NetBEUI:
Windows下使用的网络协议。
● IPX:
NovellNetware使用的网络协议。
● AppleTalk:
苹果公司的Macintosh计算机使用的网络协议。
如果整个网络只有一个广播域,那么一旦发出广播信息,就会传遍整个网络,并且对网络中的主机带来额外的负担。
因此,在设计LAN时,需要注意如何才能有效地分割广播域。
广播域的分割与VLAN的必要性
分割广播域时,一般都必须使用到路由器。
使用路由器后,可以以路由器上的网络接口(LANInterface)为单位分割广播域。
但是,通常情况下路由器上不会有太多的网络接口,其数目多在1~4个左右。
随着宽带连接的普及,宽带路由器(或者叫IP共享器)变得较为常见,但是需要注意的是,它们上面虽然带着多个(一般为4个左右)连接LAN一侧的网络接口,但那实际上是路由器内置的交换机,并不能分割广播域。
况且使用路由器分割广播域的话,所能分割的个数完全取决于路由器的网络接口个数,使得用户无法自由地根据实际需要分割广播域。
与路由器相比,二层交换机一般带有多个网络接口。
因此如果能使用它分割广播域,那么无疑运用上的灵活性会大大提高。
用于在二层交换机上分割广播域的技术,就是VLAN。
通过利用VLAN,我们可以自由设计广播域的构成,提高网络设计的自由度。
VLAN的访问链接
交换机的端口
交换机的端口,可以分为以下两种:
● 访问链接(AccessLink)
● 汇聚链接(TrunkLink)
接下来就让我们来依次学习这两种不同端口的特征。
这一讲,首先学习“访问链接”。
访问链接
访问链接,指的是“只属于一个VLAN,且仅向该VLAN转发数据帧”的端口。
在大多数情况下,访问链接所连的是客户机。
通常设置VLAN的顺序是:
● 生成VLAN
● 设定访问链接(决定各端口属于哪一个VLAN)
设定访问链接的手法,可以是事先固定的、也可以是根据所连的计算机而动态改变设定。
前者被称为“静态VLAN”、后者自然就是“动态VLAN”了。
静态VLAN
静态VLAN又被称为基于端口的VLAN(PortBasedVLAN)。
顾名思义,就是明确指定各端口属于哪个VLAN的设定方法。
由于需要一个个端口地指定,因此当网络中的计算机数目超过一定数字(比如数百台)后,设定操作就会变得烦杂无比。
并且,客户机每次变更所连端口,都必须同时更改该端口所属VLAN的设定——这显然不适合那些需要频繁改变拓补结构的网络。
动态VLAN
另一方面,动态VLAN则是根据每个端口所连的计算机,随时改变端口所属的VLAN。
这就可以避免上述的更改设定之类的操作。
动态VLAN可以大致分为3类:
● 基于MAC地址的VLAN(MACBasedVLAN)
● 基于子网的VLAN(SubnetBasedVLAN)
● 基于用户的VLAN(UserBasedVLAN)
其间的差异,主要在于根据OSI参照模型哪一层的信息决定端口所属的VLAN。
基于MAC地址的VLAN,就是通过查询并记录端口所连计算机上网卡的MAC地址来决定端口的所属。
假定有一个MAC地址“A”被交换机设定为属于VLAN“10”,那么不论MAC地址为“A”的这台计算机连在交换机哪个端口,该端口都会被划分到VLAN10中去。
计算机连在端口1时,端口1属于VLAN10;而计算机连在端口2时,则是端口2属于VLAN10。
由于是基于MAC地址决定所属VLAN的,因此可以理解为这是一种在OSI的第二层设定访问链接的办法。
但是,基于MAC地址的VLAN,在设定时必须调查所连接的所有计算机的MAC地址并加以登录。
而且如果计算机交换了网卡,还是需要更改设定。
基于子网的VLAN,则是通过所连计算机的IP地址,来决定端口所属VLAN的。
不像基于MAC地址的VLAN,即使计算机因为交换了网卡或是其他原因导致MAC地址改变,只要它的IP地址不变,就仍可以加入原先设定的VLAN。
因此,与基于MAC地址的VLAN相比,能够更为简便地改变网络结构。
IP地址是OSI参照模型中第三层的信息,所以我们可以理解为基于子网的VLAN是一种在OSI的第三层设定访问链接的方法。
基于用户的VLAN,则是根据交换机各端口所连的计算机上当前登录的用户,来决定该端口属于哪个VLAN。
这里的用户识别信息,一般是计算机操作系统登录的用户,比如可以是Windows域中使用的用户名。
这些用户名信息,属于OSI第四层以上的信息。
总的来说,决定端口所属VLAN时利用的信息在OSI中的层面越高,就越适于构建灵活多变的网络。
访问链接的总结
综上所述,设定访问链接的手法有静态VLAN和动态VLAN两种,其中动态VLAN又可以继续细分成几个小类。
其中基于子网的VLAN和基于用户的VLAN有可能是网络设备厂商使用独有的协议实现的,不同厂商的设备之间互联有可能出现兼容性问题;因此在选择交换机时,一定要注意事先确认。
下表总结了静态VLAN和动态VLAN的相关信息。
种类
解说
静态VLAN(基于端口的VLAN)
将交换机的各端口固定指派给VLAN
动态VLAN
基于MAC地址的VLAN
根据各端口所连计算机的MAC地址设定
基于子网的VLAN
根据各端口所连计算机的IP地址设定
基于用户的VLAN
根据端口所连计算机上登录用户设定
交换机
广播帧
交换机收到广播帧后,转发到除接收端口外的其他所有端口。
这时,如果在交换机上生成红、蓝两个VLAN;同时设置端口1、2属于红色VLAN、端口3、4属于蓝色VLAN。
再从A发出广播帧的话,交换机就只会把它转发给同属于一个VLAN的其他端口——也就是同属于红色VLAN的端口2,不会再转发给属于蓝色VLAN的端口。
同样,C发送广播信息时,只会被转发给其他属于蓝色VLAN的端口,不会被转发给属于红色VLAN的端口。
就这样,VLAN通过限制广播帧转发的范围分割了广播域。
上图中为了便于说明,以红、蓝两色识别不同的VLAN,在实际使用中则是用“VLANID”来区分的。
VLAN间路由的必要性
根据目前为止学习的知识,我们已经知道两台计算机即使连接在同一台交换机上,只要所属的VLAN不同就无法直接通信。
接下来我们将要学习的就是如何在不同的VLAN间进行路由,使分属不同VLAN的主机能够互相通信。
在LAN内的通信,必须在数据帧头中指定通信目标的MAC地址。
而为了获取MAC地址,TCP/IP协议下使用的是ARP。
ARP解析MAC地址的方法,则是通过广播。
也就是说,如果广播报文无法到达,那么就无从解析MAC地址,亦即无法直接通信。
计算机分属不同的VLAN,也就意味着分属不同的广播域,自然收不到彼此的广播报文。
因此,属于不同VLAN的计算机之间无法直接互相通信。
为了能够在VLAN间通信,需要利用OSI参照模型中更高一层——网络层的信息(IP地址)来进行路由。
关于路由的具体内容,以后有机会再详细解说吧。
路由功能,一般主要由路由器提供。
但在今天的局域网里,我们也经常利用带有路由功能的交换机——三层交换机(Layer3Switch)来实现。
接下来就让我们分别看看使用路由器和三层交换机进行VLAN间路由时的情况。
使用路由器进行VLAN间路由
在使用路由器进行VLAN间路由时,与构建横跨多台交换机的VLAN时的情况类似,我们还是会遇到“该如何连接路由器与交换机”这个问题。
路由器和交换机的接线方式,大致有以下两种:
● 将路由器与交换机上的每个VLAN分别连接
● 不论VLAN有多少个,路由器与交换机都只用一条网线连接
ISL有如用ISL包头和新CRC将原数据帧整个包裹起来,因此也被称为“封装型VLAN(EncapsulatedVLAN)”。
需要注意的是,不论是IEEE802.1Q的“TaggingVLAN”,还是ISL的“EncapsulatedVLAN”,都不是很严密的称谓。
不同的书籍与参考资料中,上述词语有可能被混合使用,因此需要大家在学习时格外注意。
并且由于ISL是Cisco独有的协议,因此只能用于Cisco网络设备之间的互联。
最容易想到的,当然还是“把路由器和交换机以VLAN为单位分别用网线连接”了。
将交换机上用于和路由器互联的每个端口设为访问链接,然后分别用网线与路由器上的独立端口互联。
如下图所示,交换机上有2个VLAN,那么就需要在交换机上预留2个端口用于与路由器互联;路由器上同样需要有2个端口;两者之间用2条网线分别连接。
如果采用这个办法,大家应该不难想象它的扩展性很成问题。
每增加一个新的VLAN,都需要消耗路由器的端口和交换机上的访问链接,而且还需要重新布设一条网线。
而路由器,通常不会带有太多LAN接口的。
新建VLAN时,为了对应增加的VLAN所需的端口,就必须将路由器升级成带有多个LAN接口的高端产品,这部分成本、还有重新布线所带来的开销,都使得这种接线法成为一种不受欢迎的办法。
那么,第二种办法“不论VLAN数目多少,都只用一条网线连接路由器与交换机”呢?
当使用一条网线连接路由器与交换机、进行VLAN间路由时,需要用到汇聚链接。
具体实现过程为:
首先将用于连接路由器的交换机端口设为汇聚链接,而路由器上的端口也必须支持汇聚链路。
双方用于汇聚链路的协议自然也必须相同。
接着在路由器上定义对应各个VLAN的“子接口(SubInterface)”。
尽管实际与交换机连接的物理端口只有一个,但在理论上我们可以把它分割为多个虚拟端口。
VLAN将交换机从逻辑上分割成了多台,因而用于VLAN间路由的路由器,也必须拥有分别对应各个VLAN的虚拟接口。
采用这种方法的话,即使之后在交换机上新建VLAN,仍只需要一条网线连接交换机和路由器。
用户只需要在路由器上新设一个对应新VLAN的子接口就可以了。
与前面的方法相比,扩展性要强得多,也不用担心需要升级LAN接口数不足的路由器或是重新布线。
●为什么需要虚拟局域网
人们发明VLAN,主要是因为IP的特性。
原因如下:
•IP需要在同一个局域网上的站点拥有同样的
IP前缀。
因而,当一个站点移动到其他局域
网上去时,需要改变它的IP地址。
•改变IP地址是一个很麻烦的手工操作(注意,虽然DHCP可以很容易地改变
IP地址,但是VLAN在DHCP广泛使用之前已经出现)。
•IP的广播在一个局域网的范围内进行,如果这个局域网过大,会发生某些问题,特别是执
行或者配置错误可能导致广播风暴。
•IP路由(而不是通过桥接)比较慢而且昂贵(这个结论现在已经不成立了,因为人们已经
制造出了更快的IP路由。
基于IP判断和基于以太网的包头判断,两者的难度相当)。
如果把所有的设备都桥接起来,使得从IP的角度上看起来,整个拓扑结构就是一个巨大的局
域网,这种设想是很诱人的。
它可以让IP站点在局域网内移动时,无须改变其IP地址。
而且,还
可以用便宜、简单且快速的L2交换机来连接整个网络,而无须使用相对较慢且较昂贵的路由器。
这种做法的缺点是:
•广播包(如ARP)的传输量与局域网中的站点数目成正比。
但如果把用户按组划分,位于
某个组内的用户就不会受其他组的广播包传输量的影响,这样做的效果会好得多。
•同一局域网内的用户,可以偷听到其他用户的传输,因而把用户按组划分为几个不同的局
域网,可能会更安全一些(注意:
我不是很赞成这种观念。
通过使用星型结构以及L2转发,
当目的站点的MAC地址已知时,数据包将只会往目的站点所在端口转发。
如果真有这种窃
听的事情发生,正确的做法是使用加密。
虚拟局域网并不提供很大的安全保证)。
•有些协议发送的包过多,它们可能陷入广播风暴的困境中。
把这些协议分处在不同的局域
网中,这样一个协议出现的问题,不会影响到其他协议的工作。
综上所述,较好的做法是,把需要经常联系的用户划分在一个局域网中(这样它们之间就可以
通过网桥连接,而无须通过路由器),然后把需要分开的组划分到不同的局域网中(这样每个组都不
会受到其他组的广播包的影响)。
这样做的前提是,每个组的用户可以分散在不同交换机的端口上。
以上就是虚拟局域网的基本思想,它可以让你拥有你所希望得到的广播域的范围。
一个VLAN可以是某台交换机的一个端口子集,也可以包含多个交换机的端口。
一、什么是三层交换和VLAN
要回答这个问题我们还是先看看以太网的工作原理。
以太网的工作原理是利用二进制位形成的一个个字节组合成一帧帧的数据(其实是一些电脉冲)在导线中进行传播。
首先,以太网网段上需要进行数据传送的节点对导线进行监听,这个过程称为CSMA/CD(CarrierSenseMultipleAccesswithCollisionDetection带有冲突监测的载波侦听多址访问)的载波侦听。
如果,这时有另外的节点正在传送数据,监听节点将不得不等待,直到传送节点的传送任务结束。
如果某时恰好有两个工作站同时准备传送数据,以太网网段将发出“冲突”信号。
这时,节点上所有的工作站都将检测到冲突信号,因为这时导线上的电压超出了标准电压。
这时以太网网段上的任何节点都要等冲突结束后才能够传送数据。
也就是说在CSMA/CD方式下,在一个时间段,只有一个节点能够在导线上传送数据。
而转发以太网数据帧的联网设备是集线器,它是一层设备,传输效率比较低。
冲突的产生降低了以太网的带宽,而且这种情况又是不可避免的。
所以,当导线上的节点越来越多后,冲突的数量将会增加。
显而易见的解决方法是限制以太网导线上的节点,需要对网络进行物理分段。
将网络进行物理分段的网络设备用到了网桥与交换机。
网桥和交换机的基本作用是只发送去往其他物理网段的信息。
所以,如果所有的信息都只发往本地的物理网段,那么网桥和交换机上就没有信息通过。
这样可以有效减少网络上的冲突。
网桥和交换机是基于目标MAC(介质访问控制)地址做出转发决定的,它们是二层设备。
我们已经知道了以太网的缺点及物理网段中冲突的影响,现在,我们来看看另外一种导致网络降低运行速度的原因:
广播。
广播存在于所有的网络上,如果不对它们进行适当的控制,它们便会充斥于整个网络,产生大量的网络通信。
广播不仅消耗了带宽,而且也降低了用户工作站的处理效率。
由于各种各样的原因,网络操作系统(NOS)使用了广播,TCP/IP使用广播从IP地址中解析MAC地址,还使用广播通过RIP和IGRP协议进行宣告,所以,广播也是不可避免的。
网桥和交换机将对所有的广播信息进行转发,而路由器不会。
所以,为了对广播进行控制,就必须使用路由器。
路由器是基于第3层报头、目标IP寻址、目标IPX寻址或目标Appletalk寻址做出转发决定。
路由器是3层设备。
在这里,我们就容易理解三层交换技术了,通俗地讲,就是将路由与交换合二为一的技术。
路由器在对第一个数据流进行路由后,将会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此映射表直接从二层进行交换而不是再次路由,提供线速性能,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率。
采用此技术的交换机我们常称为三层交换机。
那么,什么是VLAN呢?
VLAN(VirtualLocalAreaNetwork)就是虚拟局域网的意思。
VLAN可以不考虑用户的物理位置,而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组,每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。
同一个VLAN中的成员都共享广播,形成一个广播域,而不同VLAN之间广播信息是相互隔离的。
这样,将整个网络分割成多个不同的广播域(VLAN)。
一般来说,如果一个VLAN里面的工作站发送一个广播,那么这个VLAN里面所有的工作站都接收到这个广播,但是交换机不会将广播发送至其他VLAN上的任何一个端口。
如果要将广播发送到其它的VLAN端口,就要用到三层交换机。
二、如何配置三层交换机创建VLAN
以下的介绍都是基于Cisco交换机的VLAN。
Cisco的VLAN实现通常是以端口为中心的。
与节点相连的端口将确定它所驻留的VLAN。
将端口分配给VLAN的方式有两种,分别是静态的和动态的.形成静态VLAN的过程是将端口强制性地分配给VLAN的过程。
即我们先在VTP(VLANTrunkingProtocol)Server上建立VLAN,然后将每个端口分配给相应的VLAN的过程。
这是我们创建VLAN最常用的方法。
动态VLAN形成很简单,由端口决定自己属于哪个VLAN。
即我们先建立一个VMPS(VLANMembershipPolicyServer)VLAN管理策略服务器,里面包含一个文本文件,文件中存有与VLAN映射的MAC地址表。
交换机根据这个映射表决定将端口分配给何种VLAN。
这种方法有很大的优势,但是创建数据库是一项非常艰苦而且非常繁琐的工作。
下面以实例说明如何在一个典型的快速以太局域网中实现VLAN。
所谓典型的局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机(不一定具备三层交换能力)。
我们假设核心交换机名称为:
COM;分支交换机分别为:
PAR1、PAR2、PAR3……,分别通过Port1的光线模块与核心交换机相连;并且假设VLAN名称分别为COUNTER、MARKET、MANAGING……。
1、设置VTPDOMAIN
VTPDOMAIN称为管理域。
交换VTP更新信息的所有交换机必须配置为相同的管理域。
如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的VLAN列表。
COM#vlandatabase进入VLAN配置模式
COM(vlan)#vtpdomainCOM设置VTP管理域名称COM
COM(vlan)#vtpserver设置交换机为服务器模式
PAR1#vlandatabase进入VLAN配置模式
PAR1(vlan)#vtpdomainCOM设置VTP管理域名称COM
PAR1(vlan)#vtpClient设置交换机为客户端模式
PAR2#vlandatabase进入VLAN配置模式
PAR2(vlan)#vtpdomainCOM设置VTP管理域名称COM
PAR2(vlan)#vtpClient设置交换机为客户端模式
PAR3#vlandatabase进入VLAN配置模式
PAR3(vlan)#vtpdomainCOM设置VTP管理域名称COM
PAR3(vlan)#vtpClient设置交换机为客户端模式
注意:
这里设置交换机为Server模式是指允许在本交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数,同步本VTP域中其他交换机传递来的最
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VLAN 功能分析