【摘要】 业务规模的扩大造就了网络规模的不断膨胀,众多中小型企业在扩展网络规模时采用了在原有的网络上直接增加计算机的方法来实现,而VLAN网络灵活的扩展能力也让用户网络规模在不断扩大的同时不会出现网络混乱的情况,VLAN网络所具有的控制广播风暴能力让网络资源的性能得到大幅度提高。
【关键词】 VLAN 三层交换 大型企业 广播域
一. VLAN的发展背景
随着技术的发展,虚拟局域网(VLAN)设计在最近的10年中经历了巨大的变化。在20世纪90年代中期时,部署园区范围VLAN曾被推荐为最佳的设计方法。然而,大家逐渐发现,缺乏层次性是这种设计最主要的不足。园区范围VLAN设计背后的驱动力是2层交换,其较之传统路由器的分组交换有着更快的处理速度。随着多层交换机的广泛使用,以及它们能以与2层交换几乎相同的速度完成3层交换,这种驱动力已经逐渐消失了。目前,基于硬件的3层交换速度已经达到2亿1千万个分组每秒(pps),以前作为部署跨园区VLAN最主要论据之一的“速度”已经不具备说服力了。尽管跨园区VLAN的设计在特定的环境下还在发挥作用,但在设计一个稳定的、可扩展的园区网时,通常不使用这项技术。
在网络刚刚兴起之时,由于用户网络规模小、应用范围的局限性、对Internet接入的认识程度、网络安全及管理的贫乏等原因,使得仅仅限于交换模式的状态。交换技术主要有两种方式:基于以太网的帧交换和基于ATM的信元交换,LAN交换机的每一个端口均为自己独立的碰撞域,但同时对于所有处于一个IP网段或IPX网段的网络设备来说,却同在一个广播域中,当工作站的数量较多、信息流很大的时候,就容易形成广播风暴,甚者造成网络的瘫痪。
在采用交换技术的网络模式中,对于网络结构的划分采用的仅仅是物理网段的划分的手段。这样的网络结构从效率和安全性的角度来考虑都是有所欠缺的,而且在很大程度上限制了网络的灵活性,如果需要将一个广播域分开,那么就需要另外购买交换机并且要人工重新布线。由此,需要进行虚拟网络(VLAN)设置。
VLAN首先针对于网络的改变进行管理,即有关整个网络范围内的用户增加、移动和物理位置变化的管理。借助于VLAN技术,不仅可以减少改变的管理费用,还能够保证原有的访问安全性以及集中化的策略控制。其次,VLAN还应当针对于园区网的带宽和性能进行管理,即在与用户位置无关的前提下,能对广播和多址广播进行限制。
二. VLAN概述
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
三. VLAN的基本划分分类
1. 基于端口划分的VLAN
这种划分VLAN的方法是根据以太网交换机的端口来划分,比如交换机的1~4端口为VLAN0.5~17为VLAN10,18~24为VLAN 100,当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机1的1~6端口和交换机2的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最广泛的方法,IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。
这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。
2.基于MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。
3.基于网络层划分VLAN
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF等路由协议,而是根据生成树算法进行桥交换,
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网祯头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。
4.据IP组播划分VLAN
IP组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。 [Page]
四. 大型企业划分VLAN典型案例分析
从图1可清楚地看出所共享的网络资源(交换机和链路)。在正常情况下,VLAN间的这种影响不被我们所注意,原因是共享的交换机有足够的交换能力,链路不是很拥挤,但在某一VLAN出现异常时(如感染病毒或出现环路)情况就不同了。这时被感染VLAN(如VLAN1)中的大量数据帧将挤占该VLAN所及的所有交换机的CPU资源、背板带宽,并长时间占用物理链路,其他VLAN(如VLAN2)中的设备尽管“看”不到出现异常VLAN中的数据帧,但其所依赖的网络资源已被用尽,因此,VLAN1所覆盖的网络区域就会出现异常。如果故障点发生在核心交换机附近,那么整个网络就有可能瘫痪。这在各网络拓扑层交换机的性能相差不多的情况下尤为严重。
由VLAN的性质所决定,完全消除VLAN间的链路和设备的共享在理论上是不可能的。我们所做的努力只能尽量减少相互影响的范围、降低相互影响的程度。如何做到这一点呢?在实践中我们总结出如下原则:1)应尽量避免在同一交换机中配置多个VLAN;2)不同物理位置上的交换机上的端口尽量不要划归到同一个VLAN。前者较好理解,也容易实现,我们重点讨论后者,即如何做到VLAN不跨越核心交换机和拓扑结构的“层”。从图1可以看出,由于VLAN1(VLAN2也是这样)的范围跨越了整个网络,如果把所有VLAN的覆盖面都限定在核心交换机的同一侧,这些资源被共享的程度不就减轻了吗?按此想法我们可以将图1所示的网络改变为图2所示的结构。
有人可能会说,把核心交换机从二层提到了三层,性能会下降。这种说法无疑是正确的,但这点性能的降低对于当今的三层交换机所能提供的性能来说已经算不得什么了。从图2还可以看出,尽管受单个VLAN影响的程度和范围均变小,但共享链路的长度和强度并没有本质的变化。
分析图2不难看出,尽管核心交换机被共享的形式改变了,但仍存在受到各VLAN出现异常情况的影响。要想避免核心交换机受到各个VLAN的影响、减小影响范围、避免全网瘫痪的发生,很容易想到在核心交换机和划有VLAN的交换机之间加上一层,以隔离核心交换机和各个VLAN。这时就形成了目前较为流行的三层拓扑结构的网络,如图3所示。
在三层网络结构中,汇聚层与核心层之间的区域不再有VLAN,汇聚层交换机的VLAN也仅限于部分端口,这时汇聚层交换机成为被“路由共享”的交换机,而且这种“路由共享”比图2的情况更弱。
目前中央台制播网络交换机主要分布在三层、四层、五层,根据网络应用及安全,划分10个VLAN,其中2个公共管理VLAN,8个私有VLAN。因为在实际运用中,较多的业务必须和公共管理VLAN通信,汇聚层和核心层不可避免要共享VLAN信息,所以我们在部署时,除公共管理VLAN外,其他私有VLAN信息尽量不通过核心交换机,以减少VLAN影响范围。
任何方案都具有利的一面和不利的一面,三层拓扑结构的网络也会带来一些问题:1)利用一般的手段较难实现对各个VLAN进行集中式的远程管理,对于这个问题的解决方案可充分利用网管软件。2)由于VLAN数量的增多、路由协议等技术的引入,此时的网络会比二层平面交换网络要复杂,对网络技术人员的要求更高,管理维护成本会有所增加。
五. 结语
以上探讨了VLAN的发展,基本划分方法,并提出了大型网络VLAN划分的基本方法, 虽然大型网络的VLAN划分会对技术人员提出更高的设计和维护要求,大型网络的管理也不可能不使用网络管理工具,技术人员的缺乏更是各个企业都面临的问题,不断提高公司内部IT人员技术能力也许这就是将来解决这些问题的最终方案。B&P
参考文献
1. 李曦;王方石;企业网络应用模式探讨[A];全国计算机网络应用年会论文集.
2. 冯志杰;王红梅;;VLAN技术应用研究[J];[2008]
3. Net Value ,Jamie Lewis;虚拟LAN的优点和不足[J];电子与电脑. [2009]
4. 张靖 计算机网络建设中IP地址及其虚拟网(VLAN)规划 [2008]