VLAN簡介
VLAN(Virtual Local Area Network)的中文名為“虛擬局域網(wǎng)”����。虛擬局域網(wǎng)(VLAN)是一組邏輯上的設(shè)備和用戶����,這些設(shè)備和用戶并不受物理位置的限制����,可以根據(jù)功能、部門及應(yīng)用等因素將它們組織起來�����,相互之間的通信就好像它們在同一個網(wǎng)段中一樣��,由此得名虛擬局域網(wǎng)��。VLAN是一種比較新的技術(shù)���,工作在OSI參考模型的第2層和第3層����,一個VLAN就是一個廣播域���,VLAN之間的通信是通過第3層的路由器來完成的�����。與傳統(tǒng)的局域網(wǎng)技術(shù)相比較�����,VLAN技術(shù)更加靈活��,它具有以下優(yōu)點: 網(wǎng)絡(luò)設(shè)備的移動��、添加和修改的管理開銷減少���;可以控制廣播活動;可提高網(wǎng)絡(luò)的安全性�����。在計算機網(wǎng)絡(luò)中����,一個二層網(wǎng)絡(luò)可以被劃分為多個不同的廣播域,一個廣播域?qū)?yīng)了一個特定的用戶組����,默認情況下這些不同的廣播域是相互隔離的。不同的廣播域之間想要通信��,需要通過一個或多個路由器。這樣的一個廣播域就稱為VLAN�����。
VLAN百科
VLAN(Virtual Local Area Network)的中文名為“虛擬局域網(wǎng)”���。虛擬局域網(wǎng)(VLAN)是一組邏輯上的設(shè)備和用戶����,這些設(shè)備和用戶并不受物理位置的限制����,可以根據(jù)功能、部門及應(yīng)用等因素將它們組織起來����,相互之間的通信就好像它們在同一個網(wǎng)段中一樣,由此得名虛擬局域網(wǎng)�����。VLAN是一種比較新的技術(shù)��,工作在OSI參考模型的第2層和第3層,一個VLAN就是一個廣播域���,VLAN之間的通信是通過第3層的路由器來完成的��。與傳統(tǒng)的局域網(wǎng)技術(shù)相比較����,VLAN技術(shù)更加靈活,它具有以下優(yōu)點: 網(wǎng)絡(luò)設(shè)備的移動�����、添加和修改的管理開銷減少��;可以控制廣播活動��;可提高網(wǎng)絡(luò)的安全性��。在計算機網(wǎng)絡(luò)中����,一個二層網(wǎng)絡(luò)可以被劃分為多個不同的廣播域���,一個廣播域?qū)?yīng)了一個特定的用戶組����,默認情況下這些不同的廣播域是相互隔離的。不同的廣播域之間想要通信���,需要通過一個或多個路由器���。這樣的一個廣播域就稱為VLAN。
VLAN
IEEE于1999年頒布了用于標(biāo)準(zhǔn)化VLAN實現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案���。VLAN技術(shù)的出現(xiàn)���,使得管理員根據(jù)實際應(yīng)用需求,把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域���,每一個VLAN都包含一組有著相同需求的計算機工作站�����,與物理上形成的LAN有著相同的屬性�。由于它是從邏輯上劃分�,而不是從物理上劃分,所以同一個VLAN內(nèi)的各個工作站沒有限制在同一個物理范圍中����,即這些工作站可以在不同物理LAN網(wǎng)段��。由VLAN的特點可知�,一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中�,從而有助于控制流量、減少設(shè)備投資���、簡化網(wǎng)絡(luò)管理�、提高網(wǎng)絡(luò)的安全性�����。交換技術(shù)的發(fā)展��,也加快了新的交換技術(shù)(VLAN)的應(yīng)用速度�����。通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段�����,可以強化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全���,控制不必要的數(shù)據(jù)廣播�����。在共享網(wǎng)絡(luò)中�,一個物理的網(wǎng)段就是一個廣播域��。而在交換網(wǎng)絡(luò)中���,廣播域可以是有一組任意選定的第二層網(wǎng)絡(luò)地址(MAC地址)組成的虛擬網(wǎng)段���。這樣,網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制��,而完全根據(jù)管理功能來劃分��。這種基于工作流的分組模式����,大大提高了網(wǎng)絡(luò)規(guī)劃和重組的管理功能。在同一個VLAN中的工作站�,不論它們實際與哪個交換機連接,它們之間的通訊就好象在獨立的交換機上一樣�����。同一個VLAN中的廣播只有VLAN中的成員才能聽到,而不會傳輸?shù)狡渌腣LAN中去�,這樣可以很好的控制不必要的廣播風(fēng)暴的產(chǎn)生。同時�����,若沒有路由的話�����,不同VLAN之間不能相互通訊�����,這樣增加了企業(yè)網(wǎng)絡(luò)中不同部門之間的安全性��。網(wǎng)絡(luò)管理員可以通過配置VLAN之間的路由來全面管理企業(yè)內(nèi)部不同管理單元之間的信息互訪����。交換機是根據(jù)工作站的MAC地址來劃分VLAN的。所以���,用戶可以自由的在企業(yè)網(wǎng)絡(luò)中移動辦公,不論他在何處接入交換網(wǎng)絡(luò),他都可以與VLAN內(nèi)其他用戶自如通訊��。VLAN網(wǎng)絡(luò)可以是有混合的網(wǎng)絡(luò)類型設(shè)備組成���,比如:10M以太網(wǎng)���、100M以太網(wǎng)、令牌網(wǎng)�����、FDDI��、CDDI等等��,可以是工作站�、服務(wù)器、集線器�、網(wǎng)絡(luò)上行主干等等。VLAN除了能將網(wǎng)絡(luò)劃分為多個廣播域�,從而有效地控制廣播風(fēng)暴的發(fā)生,以及使網(wǎng)絡(luò)的拓撲結(jié)構(gòu)變得非常靈活的優(yōu)點外����,還可以用于控制網(wǎng)絡(luò)中不同部門�����、不同站點之間的互相訪問�。物理位置不同的多個主機如果劃分屬于同一個VLAN�,則這些主機之間可以相互通信。物理位置相同的多個主機如果屬于不同的VLAN�,則這些主機之間不能直接通信。VLAN通常在交換機或路由器上實現(xiàn)�,在以太網(wǎng)幀中增加VLAN標(biāo)簽來給以太網(wǎng)幀分類,具有相同VLAN標(biāo)簽的以太網(wǎng)幀在同一個廣播域中傳送�����。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議���,它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭���,用VLAN ID把用戶劃分為更小的工作組,限制不同工作組間的用戶互訪����,每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍�����,并能夠形成虛擬工作組�,動態(tài)管理網(wǎng)絡(luò)。
目的
VLAN(Virtual Local Area Network���,虛擬局域網(wǎng))的目的非常的多�����。通過認識VLAN的本質(zhì)�,將可以了解到其用處究竟在哪些地方�����。第一���,要知道192.168.1.2/30和192.168.2.6/30都屬于不同的網(wǎng)段���,都必須要通過路由器才能進行訪問,凡是不同網(wǎng)段間要互相訪問�����,都必須通過路由器。第二��,VLAN本質(zhì)就是指一個網(wǎng)段��,之所以叫做虛擬的局域網(wǎng)��,是因為它是在虛擬的路由器的接口下創(chuàng)建的網(wǎng)段�����。下面���,給予說明���。比如一個路由器只有一個用于終端連接的端口(當(dāng)然這種情況基本不可能發(fā)生,只不過簡化舉例)�,這個端口被分配了192.168.1.1/24的地址。然而由于公司有兩個部門��,一個銷售部��,一個企劃部�,每個部門要求單獨成為一個子網(wǎng),有單獨的服務(wù)器�����。那么當(dāng)然可以劃分為192.168.1.0--127/25、192.168.1.128--255/25��。但是路由器的物理端口只應(yīng)該可以分配一個IP地址��,那怎樣來區(qū)分不同網(wǎng)段了�����?這就可以在這個物理端口下����,創(chuàng)建兩個子接口---邏輯接口實現(xiàn)��。比如邏輯接口F0/0.1就分配IP地址192.168.1.1/25��,用于銷售部�����,而F0/0.2就分配IP地址192.168.1.129/25���,用于企劃部�����。這樣就等于用一個物理端口卻實現(xiàn)了兩個邏輯接口的功能����,這樣就將原本只能劃分一個網(wǎng)段的情形,擴展到了可以劃分2個或者更多個網(wǎng)段的情形��。這些網(wǎng)段因為是在邏輯接口下創(chuàng)建的��,所以稱之為虛擬局域網(wǎng)VLAN���。這是在路由器的層次上闡述了VLAN的目的����。第三����,將在交換機的層次上闡述VLAN的目的。在現(xiàn)實中�����,由于很多原因必須劃分出不同網(wǎng)段。比如就簡單的只有銷售部和企劃部兩個網(wǎng)段�����。那么可以簡單的將銷售部全部接入一個交換機�����,然后接入路由器的一個端口����,把企劃部全部接入一個交換機����,然后接入一個路由器端口。這種情況是LAN��。然而正如上面所說����,如果路由器就一個用于終端的接口,那么這兩個交換機就必須接入這同一個路由器的接口���,這個時候��,如果還想保持原來的網(wǎng)段的劃分��,那么就必須使用路由器的子接口��,創(chuàng)建VLAN.同樣��,比如兩個交換機�,如果你想要每個交換機上的端口都分別屬于不同的網(wǎng)段,那么你有幾個網(wǎng)段����,就提供幾個路由器的接口,這個時候����,雖然在路由器的物理接口上可以定義這個接口可以連接哪個網(wǎng)段,但是在交換機的層次上�����,它并不能區(qū)分哪個端口屬于哪個網(wǎng)段�����,那么唯一實現(xiàn)能區(qū)分的方法�,就是劃分VLAN,使用了VLAN就能區(qū)分出某個交換機端口的終端是屬于哪個網(wǎng)段的。綜上���,當(dāng)一個交換機上的所有端口中有至少一個端口屬于不同網(wǎng)段的時候��,當(dāng)路由器的一個物理端口要連接2個或者以上的網(wǎng)段的時候����,就是VLAN發(fā)揮作用的時候�,這就是VLAN的目的。
優(yōu)點
限制網(wǎng)絡(luò)上的廣播����,將網(wǎng)絡(luò)劃分為多個VLAN可減少參與廣播風(fēng)暴的設(shè)備數(shù)量。LAN分段可以防止廣播風(fēng)暴波及整個網(wǎng)絡(luò)���。VLAN可以提供建立防火墻的機制,防止交換網(wǎng)絡(luò)的過量廣播���。使用VLAN���,可以將某個交換端口或用戶賦于某一個特定的VLAN組,該VLAN組可以在一個交換網(wǎng)中或跨接多個交換機����,在一個VLAN中的廣播不會送到VLAN之外��。同樣�,相鄰的端口不會收到其他VLAN產(chǎn)生的廣 播��。這樣可以減少廣播流量�����,釋放帶寬給用戶應(yīng)用�,減少廣播的產(chǎn)生。
安全
增強局域網(wǎng)的安全性���,含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離�����,從而降低泄露機密信息的可能性��。不同VLAN內(nèi)的報文在傳輸時是相互隔離的��,即一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信�����,如果不同VLAN要進行通信�����,則需要通過路由器或三層交換機等三層設(shè)備���。成本高昂的網(wǎng)絡(luò)升級需求減少���,現(xiàn)有帶寬和上行鏈路的利用率更高,因此可節(jié)約成本���。將第二層平面網(wǎng)絡(luò)劃分為多個邏輯工作組(廣播域)可以減少網(wǎng)絡(luò)上不必要的流量并提高性能��。VLAN為網(wǎng)絡(luò)管理帶來了方便����,因為有相似網(wǎng)絡(luò)需求的用戶將共享同一個VLAN�����。VLAN 將用戶和網(wǎng)絡(luò)設(shè)備聚合到一起��,以支持商業(yè)需求或地域上的需求���。通過職能劃分��,項目管理或特殊應(yīng)用的處理都變得十分方便�,例如可以輕松管理教師的電子教學(xué)開發(fā)平臺�。此外,也很容易確定升級網(wǎng)絡(luò)服務(wù)的影響范圍�����。
靈活性
借助VLAN技術(shù)���,能將不同地點����、不同網(wǎng)絡(luò)��、不同用戶組合在一起��,形成一個虛擬的網(wǎng)絡(luò)環(huán)境�����,就像使用本地LAN一樣方便����、靈活���、有效。VLAN可以降低移動或變更工作站地理位置的管理費用�,特別是一些業(yè)務(wù)情況有經(jīng)常性變動的公司使用了VLAN后,這部分管理費用大大降低�。
技術(shù)
局域網(wǎng)的發(fā)展是VLAN產(chǎn)生的基礎(chǔ),所以在介紹VLAN之前�,我們先來了解一下局域網(wǎng)的有關(guān)知識。局域網(wǎng)(LAN)通常是一個單獨的廣播域�,主要由Hub、網(wǎng)橋或交換機等網(wǎng)絡(luò)設(shè)備連接同一網(wǎng)段內(nèi)的所有節(jié)點形成����。處于同一個局域網(wǎng)之內(nèi)的網(wǎng)絡(luò)節(jié)點之間可以直接通信,而處于不同局域網(wǎng)段的設(shè)備之間的通信則必須經(jīng)過路由器才能通信�。圖1所示即為使用路由器構(gòu)建的典型的局域網(wǎng)環(huán)境。隨著網(wǎng)絡(luò)的不斷擴展����,接入設(shè)備逐漸增多,網(wǎng)絡(luò)結(jié)構(gòu)也日趨復(fù)雜�,必須使用更多的路由器才能將不同的用戶劃分到各自的廣播域中�,在不同的局域網(wǎng)之間提供網(wǎng)絡(luò)互聯(lián)���。但這樣做存在兩個缺陷:首先,隨著網(wǎng)絡(luò)中路由器數(shù)量的增多���,網(wǎng)絡(luò)延時逐漸加長��,從而導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)傳輸速度的下降��。這主要是因為數(shù)據(jù)在從一個局域網(wǎng)傳遞到另一個局域網(wǎng)時����,必須經(jīng)過路由器的路由操作:路由器根據(jù)數(shù)據(jù)包中的相應(yīng)信息確定數(shù)據(jù)包的目標(biāo)地址��,然后再選擇合適的路徑轉(zhuǎn)發(fā)出去�����。其次���,用戶是按照它們的物理連接被自然地劃分到不同的用戶組(廣播域)中�����。這種分割方式并不是根據(jù)工作組中所有用戶的共同需要和帶寬的需求來進行的���。因此�,盡管不同的工作組或部門對帶寬的需求有很大的差異�,但它們卻被機械地劃分到同一個廣播域中爭用相同的帶寬。
常見應(yīng)用
Port vlan與Tag vlan
port vlan 基于端口的VLAN�����,處于同一VLAN端口之間才能相互通信�。
tag vlan 基于IEEE 802.1Q(vlan標(biāo)準(zhǔn)),用VID(vlan id)來劃分不同的VLAN
基于端口的VLAN優(yōu)缺點
基于端口的VLAN�����,簡單的講就是交換機的一個端口就是一個虛擬局域網(wǎng)�����,凡是連接在這個端口上的主機屬于同個虛擬局域網(wǎng)之中��?���;诙丝诘腣LAN的優(yōu)點為:由于一個端口就是一個獨立的局域網(wǎng)。所以,當(dāng)數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)臅r候����,交換機就不會把數(shù)據(jù)包轉(zhuǎn)發(fā)給其他的端口�����,如果用戶需要將數(shù)據(jù)發(fā)送到其他的虛擬局域網(wǎng)中����,就需要先由交換機發(fā)往路由器再由路由器發(fā)往其他端口;同時以端口為中心的VLAN中完全由用戶自由支配端口���,無形之中就更利于管理��。但是美中不足的是以端口為中心的VLAN���,當(dāng)用戶位置改變時,往往也伴隨著用戶位置的改變而對網(wǎng)線也要進行遷移����。如果不會經(jīng)常移動客戶機的話,采用這一方式倒也不錯�。
靜態(tài)VLAN的優(yōu)缺點
可以說靜態(tài)VLAN與基于端口的VLAN有一絲相似之處,用戶可在交換機上讓一個或多個交換機端口形成一個略大一些的虛擬局域網(wǎng)。從一定意義上講靜態(tài)虛擬局域網(wǎng)在某些程度上彌補了基于端口的虛擬局域網(wǎng)的缺點���。缺陷方面���,靜態(tài)VLAN雖說是可以使多個端口的設(shè)置成一個虛擬局域網(wǎng),假如兩個不同端口��、不同虛擬局域網(wǎng)的人員聚到一起協(xié)商一些事情�,這時候問題就出現(xiàn)了,因為端口及虛擬局域網(wǎng)的不一致往往就會直接導(dǎo)致某一個虛擬局域網(wǎng)的人員就不能正常的訪問他原先所在的VLAN之中(靜態(tài)虛擬局域網(wǎng)的端口在同一時間只能屬于同一個虛擬局域網(wǎng))�,這樣就需要網(wǎng)絡(luò)管理人員隨時配合及時修改該線路上的端口。
動態(tài)VLAN的優(yōu)缺點
與上面兩種虛擬局域網(wǎng)的組成方式相比動態(tài)的虛擬局域網(wǎng)的優(yōu)點真的是太多了��。首先它適用于當(dāng)前的無線局域網(wǎng)技術(shù)��,其次�����,當(dāng)用戶有需要時對工作基點進行移動時完全不用擔(dān)心在靜態(tài)虛擬局域網(wǎng)與基于端口的虛擬局域網(wǎng)出現(xiàn)的一些問題在動態(tài)的虛擬局域網(wǎng)中出現(xiàn)���,因為動態(tài)的虛擬局域網(wǎng)在建立初期已經(jīng)由網(wǎng)絡(luò)管理員將整個網(wǎng)絡(luò)中的所有MAC地址全部輸入到了路由器之中����,同時如何由路由器通過MAC地址來自動區(qū)分每一臺電腦屬于那一個虛擬局域網(wǎng),之后將這臺電腦連接到對應(yīng)的虛擬局域網(wǎng)之中���。說起缺點�,動態(tài)的虛擬局域網(wǎng)的缺點跟本談不上缺點��,只是在VLAN建立初期��,網(wǎng)絡(luò)管理人員需將所有機器的MAC進行登記之后劃分出MAC所對應(yīng)的機器的不同權(quán)限(虛擬局域網(wǎng))即可����。
小白都能看明白的VLAN原理解釋
為什么需要VLAN
1. 什么是VLAN��?
VLAN(Virtual LAN)����,翻譯成中文是“虛擬局域網(wǎng)”。LAN可以是由少數(shù)幾臺家用計算機構(gòu)成的網(wǎng)絡(luò)����,也可以是數(shù)以百計的計算機構(gòu)成的企業(yè)網(wǎng)絡(luò)。VLAN所指的LAN特指使用路由器分割的網(wǎng)絡(luò)——也就是廣播域����。
在此讓我們先復(fù)習(xí)一下廣播域的概念。廣播域,指的是廣播幀(目標(biāo)MAC地址全部為1)所能傳遞到的范圍�,亦即能夠直接通信的范圍。嚴格地說���,并不僅僅是廣播幀��,多播幀(Multicast Frame)和目標(biāo)不明的單播幀(Unknown Unicast Frame)也能在同一個廣播域中暢行無阻�����。
本來�,二層交換機只能構(gòu)建單一的廣播域�,不過使用VLAN功能后,它能夠?qū)⒕W(wǎng)絡(luò)分割成多個廣播域��。
2.未分割廣播域時……
那么����,為什么需要分割廣播域呢?那是因為�����,如果僅有一個廣播域�����,有可能會影響到網(wǎng)絡(luò)整體的傳輸性能。具體原因��,請參看附圖加深理解�。
圖中,是一個由5臺二層交換機(交換機1~5)連接了大量客戶機構(gòu)成的網(wǎng)絡(luò)���。假設(shè)這時��,計算機A需要與計算機B通信。在基于以太網(wǎng)的通信中�����,必須在數(shù)據(jù)幀中指定目標(biāo)MAC地址才能正常通信��,因此計算機A必須先廣播“ARP請求(ARP Request)信息”�����,來嘗試獲取計算機B的MAC地址���。
交換機1收到廣播幀(ARP請求)后�����,會將它轉(zhuǎn)發(fā)給除接收端口外的其他所有端口����,也就是Flooding了。接著�����,交換機2收到廣播幀后也會Flooding����。交換機3、4�����、5也還會Flooding����。最終ARP請求會被轉(zhuǎn)發(fā)到同一網(wǎng)絡(luò)中的所有客戶機上。
請大家注意一下����,這個ARP請求原本是為了獲得計算機B的MAC地址而發(fā)出的�����。也就是說:只要計算機B能收到就萬事大吉了����?�?墒鞘聦嵣?�,數(shù)據(jù)幀卻傳遍整個網(wǎng)絡(luò)����,導(dǎo)致所有的計算機都收到了它。如此一來�,一方面廣播信息消耗了網(wǎng)絡(luò)整體的帶寬����,另一方面,收到廣播信息的計算機還要消耗一部分CPU時間來對它進行處理�。造成了網(wǎng)絡(luò)帶寬和CPU運算能力的大量無謂消耗。
3. 廣播信息是那么經(jīng)常發(fā)出的嗎�����?
讀到這里,您也許會問:廣播信息真是那么頻繁出現(xiàn)的嗎����?
答案是:是的!實際上廣播幀會非常頻繁地出現(xiàn)����。利用TCP/IP協(xié)議棧通信時,除了前面出現(xiàn)的ARP外�����,還有可能需要發(fā)出DHCP��、RIP等很多其他類型的廣播信息����。
ARP廣播,是在需要與其他主機通信時發(fā)出的���。當(dāng)客戶機請求DHCP服務(wù)器分配IP地址時�����,就必須發(fā)出DHCP的廣播�。而使用RIP作為路由協(xié)議時,每隔30秒路由器都會對鄰近的其他路由器廣播一次路由信息�。RIP以外的其他路由協(xié)議使用多播傳輸路由信息,這也會被交換機轉(zhuǎn)發(fā)(Flooding)���。除了TCP/IP以外��,NetBEUI�����、IPX和Apple Talk等協(xié)議也經(jīng)常需要用到廣播�����。例如在Windows下雙擊打開“網(wǎng)絡(luò)計算機”時就會發(fā)出廣播(多播)信息���。(Windows XP除外……)
總之,廣播就在我們身邊���。下面是一些常見的廣播通信:
(1)ARP請求:建立IP地址和MAC地址的映射關(guān)系�。
(2)RIP:一種路由協(xié)議�����。
(3)DHCP:用于自動設(shè)定IP地址的協(xié)議�。
(4)NetBEUI:Windows下使用的網(wǎng)絡(luò)協(xié)議��。
?����。?)IPX:NovellNetware使用的網(wǎng)絡(luò)協(xié)議��。
?����。?)Apple Talk:蘋果公司的Macintosh計算機使用的網(wǎng)絡(luò)協(xié)議���。
如果整個網(wǎng)絡(luò)只有一個廣播域�,那么一旦發(fā)出廣播信息���,就會傳遍整個網(wǎng)絡(luò)����,并且對網(wǎng)絡(luò)中的主機帶來額外的負擔(dān)。因此����,在設(shè)計LAN時�����,需要注意如何才能有效地分割廣播域。
4.廣播域的分割與VLAN的必要性
分割廣播域時�����,一般都必須使用到路由器�����。使用路由器后�,可以以路由器上的網(wǎng)絡(luò)接口(LAN Interface)為單位分割廣播域。
但是����,通常情況下路由器上不會有太多的網(wǎng)絡(luò)接口,其數(shù)目多在1~4個左右����。隨著寬帶連接的普及,寬帶路由器(或者叫IP共享器)變得較為常見����,但是需要注意的是,它們上面雖然帶著多個(一般為4個左右)連接LAN一側(cè)的網(wǎng)絡(luò)接口��,但那實際上是路由器內(nèi)置的交換機����,并不能分割廣播域。
況且使用路由器分割廣播域的話��,所能分割的個數(shù)完全取決于路由器的網(wǎng)絡(luò)接口個數(shù)�,使得用戶無法自由地根據(jù)實際需要分割廣播域。
與路由器相比����,二層交換機一般帶有多個網(wǎng)絡(luò)接口。因此如果能使用它分割廣播域�����,那么無疑運用上的靈活性會大大提高���。
用于在二層交換機上分割廣播域的技術(shù)�,就是VLAN。通過利用VLAN�,我們可以自由設(shè)計廣播域的構(gòu)成,提高網(wǎng)絡(luò)設(shè)計的自由度�。
實現(xiàn)VLAN的機制
1. 實現(xiàn)VLAN的機制
在理解了“為什么需要VLAN”之后,接下來讓我們來了解一下交換機是如何使用VLAN分割廣播域的�。
首先,在一臺未設(shè)置任何VLAN的二層交換機上�,任何廣播幀都會被轉(zhuǎn)發(fā)給除接收端口外的所有其他端口(Flooding)。例如�,計算機A發(fā)送廣播信息后,會被轉(zhuǎn)發(fā)給端口2�����、3���、4���。
這時,如果在交換機上生成紅�����、藍兩個VLAN;同時設(shè)置端口1、2屬于紅色VLAN����、端口3�、4屬于藍色VLAN。再從A發(fā)出廣播幀的話�����,交換機就只會把它轉(zhuǎn)發(fā)給同屬于一個VLAN的其他端口——也就是同屬于紅色VLAN的端口2�,不會再轉(zhuǎn)發(fā)給屬于藍色VLAN的端口。
同樣��,C發(fā)送廣播信息時�����,只會被轉(zhuǎn)發(fā)給其他屬于藍色VLAN的端口����,不會被轉(zhuǎn)發(fā)給屬于紅色VLAN的端口。
就這樣����,VLAN通過限制廣播幀轉(zhuǎn)發(fā)的范圍分割了廣播域��。上圖中為了便于說明���,以紅、藍兩色識別不同的VLAN�����,在實際使用中則是用“VLAN ID”來區(qū)分的�����。
2.直觀地描述VLAN
如果要更為直觀地描述VLAN的話���,我們可以把它理解為將一臺交換機在邏輯上分割成了數(shù)臺交換機���。在一臺交換機上生成紅、藍兩個VLAN�,也可以看作是將一臺交換機換做一紅一藍兩臺虛擬的交換機。
在紅����、藍兩個VLAN之外生成新的VLAN時,可以想象成又添加了新的交換機���。
但是�����,VLAN生成的邏輯上的交換機是互不相通的����。因此�,在交換機上設(shè)置VLAN后,如果未做其他處理��,VLAN間是無法通信的��。
明明接在同一臺交換機上��,但卻偏偏無法通信——這個事實也許讓人難以接受�。但它既是VLAN方便易用的特征,又是使VLAN令人難以理解的原因���。
3. 需要VLAN間通信時怎么辦
那么���,當(dāng)我們需要在不同的VLAN間通信時又該如何是好呢?
請大家再次回憶一下:VLAN是廣播域��。而通常兩個廣播域之間由路由器連接,廣播域之間來往的數(shù)據(jù)包都是由路由器中繼的���。因此�����,VLAN間的通信也需要路由器提供中繼服務(wù)�����,這被稱作“VLAN間路由”��。
VLAN間路由���,可以使用普通的路由器,也可以使用三層交換機��。其中的具體內(nèi)容�,等有機會再細說吧。在這里希望大家先記住不同VLAN間互相通信時需要用到路由功能���。
VLAN的訪問鏈接(Access Link)
1.交換機的端口類型
交換機的端口��,可以分為以下兩種:
?�。?)訪問鏈接(Access Link)
?���。?)匯聚鏈接(Trunk Link)
接下來就讓我們來依次學(xué)習(xí)這兩種不同端口的特征。這一講����,首先學(xué)習(xí)“訪問鏈接”。
2.訪問鏈接
訪問鏈接�,指的是“只屬于一個VLAN,且僅向該VLAN轉(zhuǎn)發(fā)數(shù)據(jù)幀”的端口��。在大多數(shù)情況下�����,訪問鏈接所連的是客戶機��。
通常設(shè)置VLAN的順序是:
?�。?)生成VLAN
?���。?)設(shè)定訪問鏈接(決定各端口屬于哪一個VLAN)
設(shè)定訪問鏈接的手法,可以是事先固定的���、也可以是根據(jù)所連的計算機而動態(tài)改變設(shè)定�。前者被稱為“靜態(tài)VLAN”�����、后者自然就是“動態(tài)VLAN”了��。
● 靜態(tài)VLAN——基于端口
靜態(tài)VLAN又被稱為基于端口的VLAN(PortBased VLAN)�����。顧名思義��,就是明確指定各端口屬于哪個VLAN的設(shè)定方法����。
由于需要一個個端口地指定,因此當(dāng)網(wǎng)絡(luò)中的計算機數(shù)目超過一定數(shù)字(比如數(shù)百臺)后���,設(shè)定操作就會變得煩雜無比��。并且��,客戶機每次變更所連端口�����,都必須同時更改該端口所屬VLAN的設(shè)定——這顯然不適合那些需要頻繁改變拓補結(jié)構(gòu)的網(wǎng)絡(luò)��。
● 動態(tài)VLAN
另一方面��,動態(tài)VLAN則是根據(jù)每個端口所連的計算機���,隨時改變端口所屬的VLAN����。這就可以避免上述的更改設(shè)定之類的操作�。動態(tài)VLAN可以大致分為3類:
(1)基于MAC地址的VLAN(MAC Based VLAN)
?����。?)基于子網(wǎng)的VLAN(Subnet Based VLAN)
?。?)基于用戶的VLAN(User Based VLAN)
其間的差異��,主要在于根據(jù)OSI參照模型哪一層的信息決定端口所屬的VLAN����。
● 基于MAC地址的VLAN
基于MAC地址的VLAN�����,就是通過查詢并記錄端口所連計算機上網(wǎng)卡的MAC地址來決定端口的所屬�。假定有一個MAC地址“A”被交換機設(shè)定為屬于VLAN “10”�����,那么不論MAC地址為“A”的這臺計算機連在交換機哪個端口����,該端口都會被劃分到VLAN 10中去。計算機連在端口1時���,端口1屬于VLAN 10;而計算機連在端口2時���,則是端口2屬于VLAN 10。
由于是基于MAC地址決定所屬VLAN的��,因此可以理解為這是一種在OSI的第二層設(shè)定訪問鏈接的辦法�。
但是,基于MAC地址的VLAN��,在設(shè)定時必須調(diào)查所連接的所有計算機的MAC地址并加以登錄。而且如果計算機交換了網(wǎng)卡�,還是需要更改設(shè)定。
● 基于IP地址的VLAN
基于子網(wǎng)的VLAN�����,則是通過所連計算機的IP地址���,來決定端口所屬VLAN的���。不像基于MAC地址的VLAN,即使計算機因為交換了網(wǎng)卡或是其他原因?qū)е翸AC地址改變����,只要它的IP地址不變,就仍可以加入原先設(shè)定的VLAN����。
因此,與基于MAC地址的VLAN相比����,能夠更為簡便地改變網(wǎng)絡(luò)結(jié)構(gòu)���。IP地址是OSI參照模型中第三層的信息���,所以我們可以理解為基于子網(wǎng)的VLAN是一種在OSI的第三層設(shè)定訪問鏈接的方法����。
基于用戶的VLAN��,則是根據(jù)交換機各端口所連的計算機上當(dāng)前登錄的用戶����,來決定該端口屬于哪個VLAN。這里的用戶識別信息��,一般是計算機操作系統(tǒng)登錄的用戶��,比如可以是Windows域中使用的用戶名�����。這些用戶名信息�����,屬于OSI第四層以上的信息���。
總的來說�,決定端口所屬VLAN時利用的信息在OSI中的層面越高���,就越適于構(gòu)建靈活多變的網(wǎng)絡(luò)����。
VLAN的匯聚鏈接(Trunk Link)
1.需要設(shè)置跨越多臺交換機的VLAN時……
到此為止��,我們學(xué)習(xí)的都是使用單臺交換機設(shè)置VLAN時的情況�����。那么����,如果需要設(shè)置跨越多臺交換機的VLAN時又如何呢����?
在規(guī)劃企業(yè)級網(wǎng)絡(luò)時,很有可能會遇到隸屬于同一部門的用戶分散在同一座建筑物中的不同樓層的情況�����,這時可能就需要考慮到如何跨越多臺交換機設(shè)置VLAN的問題了。假設(shè)有如下圖所示的網(wǎng)絡(luò)�����,且需要將不同樓層的A�、C和B、D設(shè)置為同一個VLAN��。
這時最關(guān)鍵的就是“交換機1和交換機2該如何連接才好呢��?”
最簡單的方法��,自然是在交換機1和交換機2上各設(shè)一個紅����、藍VLAN專用的接口并互聯(lián)了。
但是�,這個辦法從擴展性和管理效率來看都不好。例如���,在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上再新建VLAN時�,為了讓這個VLAN能夠互通���,就需要在交換機間連接新的網(wǎng)線�。建筑物樓層間的縱向布線是比較麻煩的,一般不能由基層管理人員隨意進行�。并且���,VLAN越多�����,樓層間(嚴格地說是交換機間)互聯(lián)所需的端口也越來越多����,交換機端口的利用效率低是對資源的一種浪費、也限制了網(wǎng)絡(luò)的擴展�。
為了避免這種低效率的連接方式,人們想辦法讓交換機間互聯(lián)的網(wǎng)線集中到一根上�����,這時使用的就是匯聚鏈接(Trunk Link)�����。
2.何謂匯聚鏈接����?
匯聚鏈接(Trunk Link)指的是能夠轉(zhuǎn)發(fā)多個不同VLAN的通信的端口。
匯聚鏈路上流通的數(shù)據(jù)幀�,都被附加了用于識別分屬于哪個VLAN的特殊信息。
現(xiàn)在再讓我們回過頭來考慮一下剛才那個網(wǎng)絡(luò)如果采用匯聚鏈路又會如何呢����?用戶只需要簡單地將交換機間互聯(lián)的端口設(shè)定為匯聚鏈接就可以了。這時使用的網(wǎng)線還是普通的UTP線���,而不是什么其他的特殊布線�����。圖例中是交換機間互聯(lián)����,因此需要用交叉線來連接��。
接下來���,讓我們具體看看匯聚鏈接是如何實現(xiàn)跨越交換機間的VLAN的�����。
A發(fā)送的數(shù)據(jù)幀從交換機1經(jīng)過匯聚鏈路到達交換機2時����,在數(shù)據(jù)幀上附加了表示屬于紅色VLAN的標(biāo)記。
交換機2收到數(shù)據(jù)幀后�����,經(jīng)過檢查VLAN標(biāo)識發(fā)現(xiàn)這個數(shù)據(jù)幀是屬于紅色VLAN的���,因此去除標(biāo)記后根據(jù)需要將復(fù)原的數(shù)據(jù)幀只轉(zhuǎn)發(fā)給其他屬于紅色VLAN的端口�����。這時的轉(zhuǎn)送�,是指經(jīng)過確認目標(biāo)MAC地址并與MAC地址列表比對后只轉(zhuǎn)發(fā)給目標(biāo)MAC地址所連的端口�����。只有當(dāng)數(shù)據(jù)幀是一個廣播幀����、多播幀或是目標(biāo)不明的幀時�����,它才會被轉(zhuǎn)發(fā)到所有屬于紅色VLAN的端口。
藍色VLAN發(fā)送數(shù)據(jù)幀時的情形也與此相同���。
通過匯聚鏈路時附加的VLAN識別信息����,有可能支持標(biāo)準(zhǔn)的“IEEE 802.1Q”協(xié)議�,也可能是Cisco產(chǎn)品獨有的“ISL(Inter Switch Link)”。如果交換機支持這些規(guī)格�����,那么用戶就能夠高效率地構(gòu)筑橫跨多臺交換機的VLAN�����。
另外�����,匯聚鏈路上流通著多個VLAN的數(shù)據(jù)�,自然負載較重。因此�����,在設(shè)定匯聚鏈接時,有一個前提就是必須支持100Mbps以上的傳輸速度�����。
另外�,默認條件下,匯聚鏈接會轉(zhuǎn)發(fā)交換機上存在的所有VLAN的數(shù)據(jù)��。換一個角度看���,可以認為匯聚鏈接(端口)同時屬于交換機上所有的VLAN��。由于實際應(yīng)用中很可能并不需要轉(zhuǎn)發(fā)所有VLAN的數(shù)據(jù)����,因此為了減輕交換機的負載����、也為了減少對帶寬的浪費,我們可以通過用戶設(shè)定限制能夠經(jīng)由匯聚鏈路互聯(lián)的VLAN��。
關(guān)于IEEE 802.1Q和ISL的具體內(nèi)容���,將在下一講中提到�。
3.訪問鏈接的總結(jié)
綜上所述����,設(shè)定訪問鏈接的手法有靜態(tài)VLAN和動態(tài)VLAN兩種,其中動態(tài)VLAN又可以繼續(xù)細分成幾個小類�。
其中基于子網(wǎng)的VLAN和基于用戶的VLAN有可能是網(wǎng)絡(luò)設(shè)備廠商使用獨有的協(xié)議實現(xiàn)的,不同廠商的設(shè)備之間互聯(lián)有可能出現(xiàn)兼容性問題;因此在選擇交換機時�����,一定要注意事先確認����。
下表總結(jié)了靜態(tài)VLAN和動態(tài)VLAN的相關(guān)信息。
種類解說
靜態(tài)VLAN(基于端口的VLAN)將交換機的各端口固定指派給VLAN
動態(tài)VLAN基于MAC地址的VLAN根據(jù)各端口所連計算機的MAC地址設(shè)定
基于子網(wǎng)的VLAN根據(jù)各端口所連計算機的IP地址設(shè)定
基于用戶的VLAN根據(jù)端口所連計算機上登錄用戶設(shè)定
VLAN的匯聚方式——IEEE802.1Q與ISL
1.匯聚方式
在交換機的匯聚鏈接上����,可以通過對數(shù)據(jù)幀附加VLAN信息,構(gòu)建跨越多臺交換機的VLAN��。
附加VLAN信息的方法��,最具有代表性的有:
?。?)IEEE 802.1Q
(2)ISL
現(xiàn)在就讓我們看看這兩種協(xié)議分別如何對數(shù)據(jù)幀附加VLAN信息。
2.IEEE 802.1Q
IEEE 802.1Q�����,俗稱“Dot One Q”��,是經(jīng)過IEEE認證的對數(shù)據(jù)幀附加VLAN識別信息的協(xié)議���。
在此�����,請大家先回憶一下以太網(wǎng)數(shù)據(jù)幀的標(biāo)準(zhǔn)格式���。
IEEE 802.1Q所附加的VLAN識別信息,位于數(shù)據(jù)幀中“發(fā)送源MAC地址”與“類別域”(Type Field)之間���。具體內(nèi)容為2字節(jié)的TPID(Tag Protocol IDentifier)和2字節(jié)的TCI(Tag Control Information)����,共計4字節(jié)��。
在數(shù)據(jù)幀中添加了4字節(jié)的內(nèi)容���,那么CRC值自然也會有所變化����。這時數(shù)據(jù)幀上的CRC是插入TPID��、TCI后��,對包括它們在內(nèi)的整個數(shù)據(jù)幀重新計算后所得的值����。
而當(dāng)數(shù)據(jù)幀離開匯聚鏈路時,TPID和TCI會被去除����,這時還會進行一次CRC的重新計算。
TPID字段在以太網(wǎng)報文中所處位置與不帶VLAN Tag的報文中協(xié)議類型字段所處位置相同���。TPID的值固定為0x8100�����,它標(biāo)示網(wǎng)絡(luò)幀承載的802.1Q類型�,交換機通過它來確定數(shù)據(jù)幀內(nèi)附加了基于IEEE 802.1Q的VLAN信息�。而實質(zhì)上的VLAN ID����,是TCI中的12位元���。由于總共有12位����,因此最多可供識別4096個VLAN�����。
基于IEEE 802.1Q附加的VLAN信息��,就像在傳遞物品時附加的標(biāo)簽��。因此��,它也被稱作“標(biāo)簽型VLAN”(Tagging VLAN)�。
3.ISL(Inter Switch Link)
ISL,是Cisco產(chǎn)品支持的一種與IEEE 802.1Q類似的����、用于在匯聚鏈路上附加VLAN信息的協(xié)議。
使用ISL后��,每個數(shù)據(jù)幀頭部都會被附加26字節(jié)的“ISL包頭(ISL Header)”,并且在幀尾帶上通過對包括ISL包頭在內(nèi)的整個數(shù)據(jù)幀進行計算后得到的4字節(jié)CRC值���。換而言之�,就是總共增加了30字節(jié)的信息���。
在使用ISL的環(huán)境下,當(dāng)數(shù)據(jù)幀離開匯聚鏈路時���,只要簡單地去除ISL包頭和新CRC就可以了�����。由于原先的數(shù)據(jù)幀及其CRC都被完整保留����,因此無需重新計算CRC��。
ISL有如用ISL包頭和新CRC將原數(shù)據(jù)幀整個包裹起來���,因此也被稱為“封裝型VLAN”(Encapsulated VLAN)���。
需要注意的是��,不論是IEEE802.1Q的“Tagging VLAN”����,還是ISL的“Encapsulated VLAN”��,都不是很嚴密的稱謂��。不同的書籍與參考資料中�����,上述詞語有可能被混合使用��,因此需要大家在學(xué)習(xí)時格外注意���。
并且由于ISL是Cisco獨有的協(xié)議��,因此只能用于Cisco網(wǎng)絡(luò)設(shè)備之間的互聯(lián)�����。
VLAN間路由
1.VLAN間路由的必要性
根據(jù)目前為止學(xué)習(xí)的知識����,我們已經(jīng)知道兩臺計算機即使連接在同一臺交換機上,只要所屬的VLAN不同就無法直接通信����。接下來我們將要學(xué)習(xí)的就是如何在不同的VLAN間進行路由,使分屬不同VLAN的主機能夠互相通信��。
首先���,先來復(fù)習(xí)一下為什么不同VLAN間不通過路由就無法通信���。在LAN內(nèi)的通信�,必須在數(shù)據(jù)幀頭中指定通信目標(biāo)的MAC地址。而為了獲取MAC地址��,TCP/IP協(xié)議下使用的是ARP�����。ARP解析MAC地址的方法�,則是通過廣播。也就是說��,如果廣播報文無法到達�,那么就無從解析MAC地址��,亦即無法直接通信���。
計算機分屬不同的VLAN,也就意味著分屬不同的廣播域�����,自然收不到彼此的廣播報文����。因此,屬于不同VLAN的計算機之間無法直接互相通信�����。為了能夠在VLAN間通信���,需要利用OSI參照模型中更高一層——網(wǎng)絡(luò)層的信息(IP地址)來進行路由�����。關(guān)于路由的具體內(nèi)容�����,以后有機會再詳細解說吧����。
路由功能,一般主要由路由器提供�。但在今天的局域網(wǎng)里,我們也經(jīng)常利用帶有路由功能的交換機——三層交換機(Layer 3 Switch)來實現(xiàn)�����。接下來就讓我們分別看看使用路由器和三層交換機進行VLAN間路由時的情況���。
2.使用路由器進行VLAN間路由
在使用路由器進行VLAN間路由時�����,與構(gòu)建橫跨多臺交換機的VLAN時的情況類似,我們還是會遇到“該如何連接路由器與交換機”這個問題�。路由器和交換機的接線方式,大致有以下兩種:
?���。?)將路由器與交換機上的每個VLAN分別連接
(2)不論VLAN有多少個��,路由器與交換機都只用一條網(wǎng)線連接
最容易想到的,當(dāng)然還是“把路由器和交換機以VLAN為單位分別用網(wǎng)線連接”了����。將交換機上用于和路由器互聯(lián)的每個端口設(shè)為訪問鏈接(Access Link),然后分別用網(wǎng)線與路由器上的獨立端口互聯(lián)��。如下圖所示����,交換機上有2個VLAN,那么就需要在交換機上預(yù)留2個端口用于與路由器互聯(lián);路由器上同樣需要有2個端口;兩者之間用2條網(wǎng)線分別連接����。
如果采用這個辦法,大家應(yīng)該不難想象它的擴展性很成問題���。每增加一個新的VLAN���,都需要消耗路由器的端口和交換機上的訪問鏈接,而且還需要重新布設(shè)一條網(wǎng)線���。而路由器���,通常不會帶有太多LAN接口的��。新建VLAN時��,為了對應(yīng)增加的VLAN所需的端口�,就必須將路由器升級成帶有多個LAN接口的高端產(chǎn)品����,這部分成本、還有重新布線所帶來的開銷����,都使得這種接線法成為一種不受歡迎的辦法。
那么��,第二種辦法“不論VLAN數(shù)目多少��,都只用一條網(wǎng)線連接路由器與交換機”呢���?當(dāng)使用一條網(wǎng)線連接路由器與交換機、進行VLAN間路由時�,需要用到匯聚鏈接。
具體實現(xiàn)過程為:首先將用于連接路由器的交換機端口設(shè)為匯聚鏈接(Trunk Link)���,而路由器上的端口也必須支持匯聚鏈路�����。雙方用于匯聚鏈路的協(xié)議自然也必須相同�。接著在路由器上定義對應(yīng)各個VLAN的“子接口”(Sub Interface)。盡管實際與交換機連接的物理端口只有一個�,但在理論上我們可以把它分割為多個虛擬端口。
VLAN將交換機從邏輯上分割成了多臺��,因而用于VLAN間路由的路由器����,也必須擁有分別對應(yīng)各個VLAN的虛擬接口。
采用這種方法的話�,即使之后在交換機上新建VLAN,仍只需要一條網(wǎng)線連接交換機和路由器���。用戶只需要在路由器上新設(shè)一個對應(yīng)新VLAN的子接口就可以了�����。與前面的方法相比�����,擴展性要強得多����,也不用擔(dān)心需要升級LAN接口數(shù)不足的路由器或是重新布線。
3.同一VLAN內(nèi)的通信
接下來��,我們繼續(xù)學(xué)習(xí)使用匯聚鏈路連接交換機與路由器時����,VLAN間路由是如何進行的。如下圖所示���,為各臺計算機以及路由器的子接口設(shè)定IP地址��。
紅色VLAN(VLAN ID=1)的網(wǎng)絡(luò)地址為192.168.1.0/24��,藍色VLAN(VLAN ID=2)的網(wǎng)絡(luò)地址為192.168.2.0/24���。各計算機的MAC地址分別為A/B/C/D,路由器匯聚鏈接端口的MAC地址為R���。交換機通過對各端口所連計算機MAC地址的學(xué)習(xí)�,生成如下的MAC地址列表��。
首先考慮計算機A與同一VLAN內(nèi)的計算機B之間通信時的情形��。
計算機A發(fā)出ARP請求信息�����,請求解析B的MAC地址�����。交換機收到數(shù)據(jù)幀后�����,檢索MAC地址列表中與收信端口同屬一個VLAN的表項�。結(jié)果發(fā)現(xiàn),計算機B連接在端口2上�����,于是交換機將數(shù)據(jù)幀轉(zhuǎn)發(fā)給端口2�,最終計算機B收到該幀。收發(fā)信雙方同屬一個VLAN之內(nèi)的通信�,一切處理均在交換機內(nèi)完成。
4.不同VLAN間的通信
接下來是這一講的核心內(nèi)容���,不同VLAN間的通信�����。讓我們來考慮一下計算機A與計算機C之間通信時的情況�。
計算機A從通信目標(biāo)的IP地址(192.168.2.1)得出C與本機不屬于同一個網(wǎng)段。因此會向設(shè)定的默認網(wǎng)關(guān)(DefaultGateway�,GW)轉(zhuǎn)發(fā)數(shù)據(jù)幀。在發(fā)送數(shù)據(jù)幀之前���,需要先用ARP獲取路由器的MAC地址�。
得到路由器的MAC地址R后��,接下來就是按圖中所示的步驟發(fā)送往C去的數(shù)據(jù)幀�。①的數(shù)據(jù)幀中,目標(biāo)MAC地址是路由器的地址R�����、但內(nèi)含的目標(biāo)IP地址仍是最終要通信的對象C的地址�����。這一部分的內(nèi)容���,涉及到局域網(wǎng)內(nèi)經(jīng)過路由器轉(zhuǎn)發(fā)時的通信步驟�����,有機會再詳細解說吧�。
交換機在端口1上收到①的數(shù)據(jù)幀后�,檢索MAC地址列表中與端口1同屬一個VLAN的表項。由于匯聚鏈路會被看作屬于所有的VLAN����,因此這時交換機的端口6也屬于被參照對象。這樣交換機就知道往MAC地址R發(fā)送數(shù)據(jù)幀�����,需要經(jīng)過端口6轉(zhuǎn)發(fā)�����。
從端口6發(fā)送數(shù)據(jù)幀時����,由于它是匯聚鏈接,因此會被附加上VLAN識別信息����。由于原先是來自紅色VLAN的數(shù)據(jù)幀�����,因此如圖中②所示�����,會被加上紅色VLAN的識別信息后進入?yún)R聚鏈路��。路由器收到②的數(shù)據(jù)幀后�,確認其VLAN識別信息����,由于它是屬于紅色VLAN的數(shù)據(jù)幀,因此交由負責(zé)紅色VLAN的子接口接收���。
接著�����,根據(jù)路由器內(nèi)部的路由表��,判斷該向哪里中繼����。
由于目標(biāo)網(wǎng)絡(luò)192.168.2.0/24是藍色VLAN,��,且該網(wǎng)絡(luò)通過子接口與路由器直連�����,因此只要從負責(zé)藍色VLAN的子接口轉(zhuǎn)發(fā)就可以了�����。這時����,數(shù)據(jù)幀的目標(biāo)MAC地址被改寫成計算機C的目標(biāo)地址;并且由于需要經(jīng)過匯聚鏈路轉(zhuǎn)發(fā)���,因此被附加了屬于藍色VLAN的識別信息���。這就是圖中③的數(shù)據(jù)幀。
交換機收到③的數(shù)據(jù)幀后����,根據(jù)VLAN標(biāo)識信息從MAC地址列表中檢索屬于藍色VLAN的表項�。由于通信目標(biāo)——計算機C連接在端口3上�、且端口3為普通的訪問鏈接,因此交換機會將數(shù)據(jù)幀去除VLAN識別信息后(數(shù)據(jù)幀④)轉(zhuǎn)發(fā)給端口3�����,最終計算機C才能成功地收到這個數(shù)據(jù)幀���。
進行VLAN間通信時��,即使通信雙方都連接在同一臺交換機上��,也必須經(jīng)過:“發(fā)送方——交換機——路由器——交換機——接收方”這樣一個流程�。
三層交換機
1.使用路由器進行VLAN間路由時的問題
現(xiàn)在���,我們知道只要能提供VLAN間路由�����,就能夠使分屬不同VLAN的計算機互相通信���。但是,如果使用路由器進行VLAN間路由的話,隨著VLAN之間流量的不斷增加��,很可能導(dǎo)致路由器成為整個網(wǎng)絡(luò)的瓶頸���。
交換機使用被稱為ASIC(ApplicationSpecified Integrated Circuit)的專用硬件芯片處理數(shù)據(jù)幀的交換操作��,在很多機型上都能實現(xiàn)以纜線速度(Wired Speed)交換�。而路由器����,則基本上是基于軟件處理的。即使以纜線速度接收到數(shù)據(jù)包����,也無法在不限速的條件下轉(zhuǎn)發(fā)出去�����,因此會成為速度瓶頸����。就VLAN間路由而言,流量會集中到路由器和交換機互聯(lián)的匯聚鏈路部分��,這一部分尤其特別容易成為速度瓶頸。并且從硬件上看�,由于需要分別設(shè)置路由器和交換機,在一些空間狹小的環(huán)境里可能連設(shè)置的場所都成問題�����。
2.三層交換機(Layer 3 Switch)
為了解決上述問題�����,三層交換機應(yīng)運而生�����。三層交換機���,本質(zhì)上就是“帶有路由功能的(二層)交換機”��。路由屬于OSI參照模型中第三層網(wǎng)絡(luò)層的功能����,因此帶有第三層路由功能的交換機才被稱為“三層交換機”��。
關(guān)于三層交換機的內(nèi)部結(jié)構(gòu)�����,可以參照下面的簡圖。
在一臺本體內(nèi)���,分別設(shè)置了交換機模塊和路由器模塊;而內(nèi)置的路由模塊與交換模塊相同���,使用ASIC硬件處理路由。因此�,與傳統(tǒng)的路由器相比,可以實現(xiàn)高速路由��。并且��,路由與交換模塊是匯聚鏈接的�����,由于是內(nèi)部連接����,可以確保相當(dāng)大的帶寬�。
● 使用三層交換機進行VLAN間路由(VLAN內(nèi)通信)
在三層交換機內(nèi)部數(shù)據(jù)究竟是怎樣傳播的呢?基本上��,它和使用匯聚鏈路連接路由器與交換機時的情形相同。
假設(shè)有如下圖所示的4臺計算機與三層交換機互聯(lián)���。當(dāng)使用路由器連接時����,一般需要在LAN接口上設(shè)置對應(yīng)各VLAN的子接口;而三層交換機則是在內(nèi)部生成“VLAN接口”(VLAN Interface)�。VLAN接口�,是用于各VLAN收發(fā)數(shù)據(jù)的接口�����。(注:在Cisco的Catalyst系列交換機上�,VLAN Interface被稱為SVI——Switched Virtual Interface)
為了與使用路由器進行VLAN間路由對比,讓我們同樣來考慮一下計算機A與計算機B之間通信時的情況��。首先是目標(biāo)地址為B的數(shù)據(jù)幀被發(fā)到交換機;通過檢索同一VLAN的MAC地址列表發(fā)現(xiàn)計算機B連在交換機的端口2上;因此將數(shù)據(jù)幀轉(zhuǎn)發(fā)給端口2�����。
● 使用三層交換機進行VLAN間路由(VLAN間通信)
接下來設(shè)想一下計算機A與計算機C間通信時的情形�。針對目標(biāo)IP地址,計算機A可以判斷出通信對象不屬于同一個網(wǎng)絡(luò)�����,因此向默認網(wǎng)關(guān)發(fā)送數(shù)據(jù)(Frame 1)���。
交換機通過檢索MAC地址列表后�,經(jīng)由內(nèi)部匯聚鏈接�,將數(shù)據(jù)幀轉(zhuǎn)發(fā)給路由模塊。在通過內(nèi)部匯聚鏈路時���,數(shù)據(jù)幀被附加了屬于紅色VLAN的VLAN識別信息(Frame 2)����。
路由模塊在收到數(shù)據(jù)幀時�����,先由數(shù)據(jù)幀附加的VLAN識別信息分辨出它屬于紅色VLAN��,據(jù)此判斷由紅色VLAN接口負責(zé)接收并進行路由處理���。因為目標(biāo)網(wǎng)絡(luò)192.168.2.0/24是直連路由器的網(wǎng)絡(luò)�、且對應(yīng)藍色VLAN;因此�����,接下來就會從藍色VLAN接口經(jīng)由內(nèi)部匯聚鏈路轉(zhuǎn)發(fā)回交換模塊��。在通過匯聚鏈路時���,這次數(shù)據(jù)幀被附加上屬于藍色VLAN的識別信息(Frame 3)����。
交換機收到這個幀后���,檢索藍色VLAN的MAC地址列表�,確認需要將它轉(zhuǎn)發(fā)給端口3���。由于端口3是通常的訪問鏈接�����,因此轉(zhuǎn)發(fā)前會先將VLAN識別信息去除(Frame 4)����。最終,計算機C成功地收到交換機轉(zhuǎn)發(fā)來的數(shù)據(jù)幀�。
整體的流程,與使用外部路由器時的情況十分相似——都需要經(jīng)過“發(fā)送方→交換模塊→路由模塊→交換模塊→接收方”�����。
加速VLAN間通信的手段
1.流(Flow)
根據(jù)到此為止的學(xué)習(xí)����,我們已經(jīng)知道VLAN間路由,必須經(jīng)過外部的路由器或是三層交換機的內(nèi)置路由模塊��。但是�,有時并不是所有的數(shù)據(jù)都需要經(jīng)過路由器(或路由模塊)。
例如�����,使用FTP(File Transfer Protocol)傳輸容量為數(shù)MB以上的較大的文件時����,由于MTU的限制�,IP協(xié)議會將數(shù)據(jù)分割成小塊后傳輸�����、并在接收方重新組合�。這些被分割的數(shù)據(jù),“發(fā)送的目標(biāo)”是完全相同的��。發(fā)送目標(biāo)相同���,也就意味著同樣的目標(biāo)IP地址�����、目標(biāo)端口號(注:特別強調(diào)一下�,這里指的是TCP/UDP端口)�����。自然�,源IP地址、源端口號也應(yīng)該相同����。這樣一連串的數(shù)據(jù)流被稱為“流”(Flow)。
只要將流最初的數(shù)據(jù)正確地路由以后���,后繼的數(shù)據(jù)理應(yīng)也會被同樣地路由���。
據(jù)此�����,后繼的數(shù)據(jù)不再需要路由器進行路由處理;通過省略反復(fù)進行的路由操作�,可以進一步提高VLAN間路由的速度���。
2.加速VLAN間路由的機制
接下來�,讓我們具體考慮一下該如何使用三層交換機進行高速VLAN間路由�。
首先,整個流的第一塊數(shù)據(jù)����,照常由交換機轉(zhuǎn)發(fā)→路由器路由→再次由交換機轉(zhuǎn)發(fā)到目標(biāo)所連端口。這時���,將第一塊數(shù)據(jù)路由的結(jié)果記錄到緩存里保存下來��。需要記錄的信息有:
?�。?)目標(biāo)IP地址
?。?)源IP地址
(3)目標(biāo)TCP/UDP端口號
?。?)源TCP/UDP端口號
(5)接收端口號(交換機)
?����。?)轉(zhuǎn)發(fā)端口號(交換機)
?����。?)轉(zhuǎn)發(fā)目標(biāo)MAC地址
等等�����。
同一個流的第二塊以后的數(shù)據(jù)到達交換機后�����,直接通過查詢先前保存在緩存中的信息查出“轉(zhuǎn)發(fā)端口號”后就可以轉(zhuǎn)發(fā)給目標(biāo)所連端口了��。
這樣一來����,就不需要再一次次經(jīng)由內(nèi)部路由模塊中繼��,而僅憑交換機內(nèi)部的緩存信息就足以判斷應(yīng)該轉(zhuǎn)發(fā)的端口。
這時���,交換機會對數(shù)據(jù)幀進行由路由器中繼時相似的處理�,例如改寫MAC地址�、IP包頭中的TTL和Check Sum校驗碼信息等。
通過在交換機上緩存路由結(jié)果�,實現(xiàn)了以纜線速度(Wired Speed)接收發(fā)送方傳輸來數(shù)據(jù)的數(shù)據(jù)、并且能夠全速路由��、轉(zhuǎn)發(fā)給接收方��。
需要注意的是���,類似的加速VLAN間路由的手法多由各廠商獨有的技術(shù)所實現(xiàn)����,并且該功能的稱謂也因廠商而異����。例如,在Cisco的Catalyst系列交換機上����,這種功能被稱為“多層交換”(Multi Layer Switching)���。另外,除了三層交換機的內(nèi)部路由模塊���,外部路由器中的某些機型也支持類似的高速VLAN間路由機制����。
傳統(tǒng)型路由器存在的意義
1.路由器的必要性
三層交換機的價格��,在問世之初非常昂貴����,但是現(xiàn)在它們的價格已經(jīng)下降了許多����。目前國外一些廉價機型的售價,折合成人民幣后僅為一萬多元����,而且還在繼續(xù)下降中。
既然三層交換機能夠提供比傳統(tǒng)型路由器更為高速的路由處理�����,那么網(wǎng)絡(luò)中還有使用路由器的必要嗎?
答案是:“是”�����。
使用路由器的必要性�����,主要表現(xiàn)在以下幾個方面:
?。?)用于與WAN連接
三層交換機終究是“交換機”。也就是說����,絕大多數(shù)機型只配有LAN(以太網(wǎng))接口。在少數(shù)高端交換機上也有用于連接WAN的串行接口或是ATM接口����,但在大多數(shù)情況下,連接WAN還是需要用到路由器�����。
?���。?)保證網(wǎng)絡(luò)安全
在三層交換機上��,通過數(shù)據(jù)包過濾也能確保一定程度的網(wǎng)絡(luò)安全����。但是使用路由器所提供的各種網(wǎng)絡(luò)安全功能��,用戶可以構(gòu)建更為安全可靠的網(wǎng)絡(luò)���。
路由器提供的網(wǎng)絡(luò)安全功能中�,除了最基本的數(shù)據(jù)包過濾功能外�����,還能基于IPSec構(gòu)建VPN(VirtualPrivate Network)�����、利用RADIUS進行用戶認證等等�����。
?���。?)支持除TCP/IP以外的異構(gòu)網(wǎng)絡(luò)架構(gòu)
盡管TCP/IP已經(jīng)成為當(dāng)前網(wǎng)絡(luò)協(xié)議架構(gòu)的主流,但還有不少網(wǎng)絡(luò)利用Novell Netware下的IPX/SPX或Macintosh下的AppleTalk等網(wǎng)絡(luò)協(xié)議���。三層交換機中���,除了部分高端機型外基本上還只支持TCP/IP。因此�����,在需要使用除TCP/IP之外其他網(wǎng)絡(luò)協(xié)議的環(huán)境下��,路由器還是必不可少的����。
注:在少數(shù)高端交換機上,也能支持上述路由器的功能��。例如Cisco的Catalyst 6500系列����,就可以選擇與WAN連接的接口模塊;還有可選的基于IPSec實現(xiàn)VPN的模塊;并且也能支持TCP/IP以外的其他網(wǎng)絡(luò)協(xié)議。
2.路由器和交換機配合構(gòu)建LAN的實例
下面讓我們來看一個路由器和交換機搭配構(gòu)建LAN的實例��。
利用在各樓層配置的二層交換機定義VLAN,連接TCP/IP客戶計算機����。各樓層間的VLAN間通信,利用三層交換機的高速路由加以實現(xiàn)�。如果網(wǎng)絡(luò)環(huán)境要求高可靠性,還可以考慮冗余配置三層交換機�����。
與WAN的連接�����,則通過帶有各種網(wǎng)絡(luò)接口的路由器進行�����。并且����,通過路由器的數(shù)據(jù)包過濾和VPN等功能實現(xiàn)網(wǎng)絡(luò)安全�����。此外�����,使用路由器還能支持Novell Netware等TCP/IP之外的網(wǎng)絡(luò)。
只有在充分掌握了二層��、三層交換機以及傳統(tǒng)路由器的基礎(chǔ)上�����,才能做到物競其用�,構(gòu)筑出高效率、高性價比的網(wǎng)絡(luò)�����。
使用VLAN設(shè)計局域網(wǎng)
1.使用VLAN設(shè)計局域網(wǎng)的特點
通過使用VLAN構(gòu)建局域網(wǎng)����,用戶能夠不受物理鏈路的限制而自由地分割廣播域。
另外�����,通過先前提到的路由器與三層交換機提供的VLAN間路由�,能夠適應(yīng)靈活多變的網(wǎng)絡(luò)構(gòu)成。
但是,由于利用VLAN容易導(dǎo)致網(wǎng)絡(luò)構(gòu)成復(fù)雜化�,因此也會造成整個網(wǎng)絡(luò)的組成難以把握。
可以這樣說���,在利用VLAN時��,除了有“網(wǎng)絡(luò)構(gòu)成靈活多變”這個優(yōu)點外����,還搭配著“網(wǎng)絡(luò)構(gòu)成復(fù)雜化”這個缺點�。
下面,就讓我們來看看具體的實例�。
2.不使用VLAN的局域網(wǎng)中網(wǎng)絡(luò)構(gòu)成的改變
假設(shè)有如圖所示的由1臺路由器、2臺交換機構(gòu)成的“不使用VLAN構(gòu)建”的網(wǎng)絡(luò)�。
圖中的路由器,帶有2個LAN接口��。左側(cè)的網(wǎng)絡(luò)是192.168.1.0/24�,右側(cè)是192.168.2.0/24。
現(xiàn)在如果想將192.168.1.0/24這個網(wǎng)絡(luò)上的計算機A轉(zhuǎn)移到192.168.2.0/24上去�,就需要改變物理連接、將A接到右側(cè)的交換機上���。
并且,當(dāng)需要新增一個地址為192.168.3.0/24的網(wǎng)絡(luò)時,還要在路由器上再占用一個LAN接口并添置一臺交換機�����。而由于這臺路由器上只帶了2個LAN接口�����,因此為了新增網(wǎng)絡(luò)還必須將路由器升級為帶有3個以上LAN接口的產(chǎn)品�。
3.使用VLAN的局域網(wǎng)中網(wǎng)絡(luò)構(gòu)成的改變
接下來再假設(shè)有一個由1臺路由器、2臺交換機構(gòu)成的“使用VLAN”的局域網(wǎng)�����。交換機與交換機�、交換機與路由器之間均為匯聚鏈路;并且假設(shè)192.168.1.0/24對應(yīng)紅色VLAN、192.168.2.0/24對應(yīng)藍色VLAN�。
需要將連接在交換機1上192.168.1.0/24這個網(wǎng)段的計算機A轉(zhuǎn)屬192.168.2.0/24時,無需更改物理布線���。只要在交換機上生成藍色VLAN��,然后將計算機A所連的端口1加入到藍色VLAN中去�,使它成為訪問鏈接即可�。
然后��,根據(jù)需要設(shè)定計算機A的IP地址���、默認網(wǎng)關(guān)等信息就可以了。如果IP地址相關(guān)的設(shè)定是由DHCP獲取的�����,那么在客戶機方面無需進行任何設(shè)定修改���,就可以在不同網(wǎng)段間移動����。
利用VLAN后��,我們可以在免于改動任何物理布線的前提下�����,自由進行網(wǎng)絡(luò)的邏輯設(shè)計��。如果所處的工作環(huán)境恰恰需要經(jīng)常改變網(wǎng)絡(luò)布局��,那么利用VLAN的優(yōu)勢就非常明顯了����。
并且�����,當(dāng)需要新增一個地址為192.168.3.0/24的網(wǎng)段時,也只需要在交換機上新建一個對應(yīng)192.168.3.0/24的VLAN�,并將所需的端口加入它的訪問鏈路就可以了。
如果網(wǎng)絡(luò)環(huán)境中還需要利用外部路由器���,則只要在路由器的匯聚端口上新增一個子接口的設(shè)定就可以完成全部操作���,而不需要消耗更多的物理接口(LAN接口)。要使用的是三層交換機內(nèi)部的路由模塊�,則只需要新設(shè)一個VLAN接口即可。
網(wǎng)絡(luò)環(huán)境的成長��,往往是難以預(yù)測的����,很可能經(jīng)常會出現(xiàn)需要分割現(xiàn)有網(wǎng)絡(luò)或是增加新網(wǎng)絡(luò)的情況。而充分活用VLAN后�,就可以輕易地解決這些問題。
4.利用VLAN而導(dǎo)致的網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化
雖然利用VLAN可以靈活地構(gòu)建網(wǎng)絡(luò)�,但是同時����,它也帶來了網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化的問題��。
特別是由于數(shù)據(jù)流縱橫交錯����,一旦發(fā)生故障時,準(zhǔn)確定位并排除故障會比較困難�。
為了便于理解數(shù)據(jù)流向的復(fù)雜化,假設(shè)有下圖所示的網(wǎng)絡(luò)���。計算機A向計算機C發(fā)送數(shù)據(jù)時�,數(shù)據(jù)流的整體走向如下:
計算機A→交換機1→路由器→交換機1→交換機2→計算機C
首先計算機A向交換機1送出數(shù)據(jù)(①)����,其后數(shù)據(jù)被轉(zhuǎn)發(fā)給路由器(②)進行VLAN間路由。路由后的數(shù)據(jù)�,再從匯聚鏈路返回交換機1(③)。由于通信目標(biāo)計算機C并不直連在交換機1上���,因此還需要經(jīng)過匯聚鏈路轉(zhuǎn)發(fā)到交換機2(④)�。在交換機2上���,數(shù)據(jù)最終被轉(zhuǎn)發(fā)到C所連的端口2上�����,這才完成整個流程(⑤)�����。
在這個例子中��,僅由2臺交換機構(gòu)成網(wǎng)絡(luò)��,其數(shù)據(jù)流已經(jīng)如此復(fù)雜�����,如果構(gòu)建橫跨多臺交換機的VLAN的話��,每個數(shù)據(jù)流的流向顯然會更加難以把握����。
5. 網(wǎng)絡(luò)的邏輯結(jié)構(gòu)與物理結(jié)構(gòu)
為了對應(yīng)日漸復(fù)雜化的數(shù)據(jù)流��,管理員需要從“邏輯結(jié)構(gòu)”與“物理結(jié)構(gòu)”兩方面入手��,把握好網(wǎng)絡(luò)的現(xiàn)狀。
物理結(jié)構(gòu)�,指的是從物理層和數(shù)據(jù)鏈路層觀察到的網(wǎng)絡(luò)的現(xiàn)狀,表示了網(wǎng)絡(luò)的物理布線形態(tài)和VLAN的設(shè)定等等�。
而邏輯結(jié)構(gòu),則表示從網(wǎng)絡(luò)層以上的層面觀察到的網(wǎng)絡(luò)結(jié)構(gòu)�。下面我們就試著以路由器為中心分析一個IP網(wǎng)絡(luò)的邏輯結(jié)構(gòu)。
還是先前的那個例子����,描繪了布線形態(tài)和VLAN設(shè)定的“物理結(jié)構(gòu)”如下圖所示。
分析這個物理結(jié)構(gòu)并轉(zhuǎn)換成以路由器為中心的邏輯結(jié)構(gòu)后����,會得到如下的邏輯結(jié)構(gòu)圖。當(dāng)我們需要進行路由或是數(shù)據(jù)包過濾的設(shè)定時��,都必須在邏輯結(jié)構(gòu)的基礎(chǔ)上進行�。
把握這兩種網(wǎng)絡(luò)結(jié)構(gòu)圖的區(qū)別是十分重要的,特別是在VLAN和三層交換機大行其道的現(xiàn)代企業(yè)級網(wǎng)絡(luò)當(dāng)中�。
工商網(wǎng)監(jiān)