文章标签 ‘VLAN’
由于VLAN技术的普及,设备的性价比不断提高,越来越多的中小企业和单位在组建新的网络,或者升级改造现有网络时,开始采用VLAN技术。VLAN能更好地满足企业发展的需要,可突破物理网段的限制来建立部门网络,对网络通信进行隔离,提供一定的安全性,提高网络带宽的利用率,简化网络管理,便于网络的调整和扩展。
VLAN是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。VLAN涉及到多种网络技术,如虚拟网络技术、分布式路由技术、高速交换技术及网络管理技术等。采用VLAN技术,不但可以满足用户对网络灵活性和扩展性方面的要求,而且有助于隔离网络故障和分配网络带宽。
VLAN工作原理
早期的共享LAN限制了网络带宽的利用,网络交换机的引入解决了共享冲突问题。交换机在网络的源端口与目的端口之间提供直接、快速、准确的点到点连接,提供高速低延时通信,提高了网络的效率,但是从根本上说,它仍是一个高速网桥,无法过滤局域网的广播信息。当网络中节点数足够多时,广播信息包所占用的带宽就可能影响其他信息流的传输,使网络的性能迅速下降,这就是所谓的“广播风暴”。
抑制广播风暴的基本方法是隔离广播域。显而易见的解决方法是限制以太网上的节点,这就需要对网络进行物理分段。将网络进行物理分段的传统方法是使用路由器,如图1所示。路由器的基本作用是只发送和接收来往于不同物理网段的信息。路由器处于OSI参考模型的第3层,能够实现网络互联,具有许多相对复杂的功能。例如,它不转发广播包,支持路由选择、多路重发以及错误检测等,还能将不同类型的网络连接在一起。
图1
路由器所连接的网络是不同的逻辑子网,但这种子网是根据物理网络结构来划分的,配置工作量大。随着网络的不断扩展,接入设备逐渐增多,网络结构日趋复杂,必须使用更多的路由器才能将不同的用户划分到各自的广播域中,在不同的局域网之间提供网络互连。大量使用路由器无疑是一笔不小的投资,同时,路由器所造成的通信“瓶颈”也会使网络的效率大打折扣。
VLAN是一种不用路由器解决隔离广播域的网络技术。VLAN概念的引入,使交换机代替路由器承担了网络的分段工作,如图2所示。VLAN打破了传统网络的许多固有观念,使网络结构变得灵活、方便、随心所欲。VLAN不必考虑用户的物理位置,根据功能、应用等因素,将用户从逻辑上划分为一个个功能相对独立的工作组,每一个VLAN都可以对应于一个逻辑单位,如部门、项目组等。
同一个VLAN中的成员都共享广播,而不同VLAN之间广播信息是相互隔离的。这样,将整个网络分割成多个不同的广播域。例如,网络管理员可以把相关的客户和服务器分别构成不同的VLAN,同一VLAN内客户和服务器可以方便地频繁通信,在同一个VLAN中的用户相互存取网络资源就如同在使用传统的局域网一样。
图2
由于VLAN基于逻辑连接而不是物理连接,因此配置十分灵活。VLAN在逻辑上等价于广播域,可以将VLAN类比成一组最终用户的集合。这些用户可以处在不同的物理局域网上,但他们之间可以像在同一个局域网上那样自行通信,而且不受物理位置的限制。网络的定义和划分与物理位置和物理连接是没有任何必然联系的。网络管理员可以根据不同的需要,通过相应的网络软件灵活地建立和配置VLAN,并为每个VLAN分配它所需要的带宽。可以设置成每个VLAN子网的用户不能访问其他子网的资源,从而提高网络的安全性。
通常使用VLAN建立虚拟工作组。当企业VLAN建成之后,某一部门或分支机构的职员可以在虚拟工作组模式下共享同一个“局域网”,这样绝大多数的网络流量都限制在VLAN广播域内部了。当部门内的某一个成员移动到另一个网络位置上时,他所使用的工作站不需要做任何改动。另一方面,一个用户根本不用移动他的工作站就可以调整到另一个部门去。管理员只需要在控制台上简单地敲几个键或操作一下鼠标就可以了。
VLAN的技术标准
VLAN的标准最初是由Cisco公司提出的,后来由IEEE接收,演化为以IEEE为代表的国际规范,这是目前各交换机厂家都遵循的技术规范。VLAN的IEEE专业标准有两个,一个是IEEE 802.10,另外一个是IEEE 802.1Q,主要规定在现有的局域网(如以太网)物理帧的基础上添加用于VLAN信息传输的标志位。另外有些厂家,如Cisco、3Com等公司,还在自己的产品中保留了他们开发的技术协议。影响比较大的是Cisco的ISL协议和VTP协议。下面简单介绍这4种标准。
1、IEEE 802.10
IEEE 802.10标准原来是为了安全因素而提出的一种帧标签格式。1995年Cisco公司提倡使用IEEE 802.10协议。在此之前,IEEE 802.10曾经在全球范围内作为VLAN安全性的统一规范。Cisco公司试图采用优化后的IEEE 802.10帧格式在网络上传输帧标签(Frame Tagging)模式中所必需的VLAN标签。
IEEE 802.10标准本身就是一个LAN/MAN的安全性方面的标准。IEEE 802.10标准定义了一个单独的协议数据单元,通常被称为Secure Data Exchange(简称SDE)PDU,也称为802.10报头,该标准把802.10报头插在了MAC地址的帧头和数据区之间。802.10报头由C1ear Header和Protected Header两部分组成。
2、IEEE 802.1Q
IEEE 802.1Q标准制定于1996年3月,它规定了VLAN组成员之间传输的物理帧需要在帧头部增加4个字节的VLAN信息,而且还将规定诸如帧发送与校验、回路检测、对服务质量参数的支持以及对网管系统的支持等方面的标准。IEEE 802.1Q标准包括3个方面:VLAN的体系结构说明,为在不同设备厂商生产的不同设备之间交流VLAN信息而制定的局域网物理帧的改进标准, VLAN标准的未来发展展望。
新的标准进一步完善了VLAN的体系结构,统一了帧标签方式中不同厂商的标签格式,并制定了VLAN标准在未来一段时间内的发展方向。IEEE 802.1Q标准提供了对VLAN明确的定义及其在交换式网络中的应用。该标准的发布,确保了不同厂商产品的互操作能力,并在业界获得了广泛的推广。它成为VLAN发展史上的里程碑。IEEE 802.1Q的出现打破了VLAN依赖于单一厂商的僵局,从一个侧面推动了VLAN的迅速发展。
3、Cisco ISL标签
ISL(Inter-SwitchLink)是Cisco公司的专有封装方式,因此仅在Cisco的设备上支持。ISL是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接相连的端口配置ISL封装,即可跨越交换机进行整个网络的VLAN分配和配置。ISL主要用在以太网上。
ISL协议对IEEE 802.1Q进行了很好的补充,使得交换机之间的数据传送具有更高的效率。主要应用于互联多个交换机,并且把VLAN信息作为通信量在交换机间传送。在全双工或半双工模式下,在快速以太网链路上,ISL可提供VLAN的能力,同时仍保持全线速的性能。
4、VTP(VLAN Trunking Protocol)
Trunk(链路聚合)也是一种封装技术,它是一条点到点的链路,链路的两端可以都是交换机,也可以是交换机和路由器,还可以是主机和交换机或路由器。Trunk的主要功能就是仅通过一条链路就可以连接多个VLAN。
VTP是一种通过Trunk来进行VLAN管理的协议,属于客户/服务器方式。首先,VTP包含域的概念,只有处在同一个域内的交换机才能构成一个管理体系。其次,在整个域内,VLAN的添加和删除都是在服务器端完成的。修改的结果通过Trunk发给客户端,客户端的VLAN数据库也会发生相应的变化,也就是说,客户端内的VLAN数据库总是与服务器端的VLAN数据库保持一致(同步)。
VTP是一个在交换机之间同步及传递VLAN配置信息的协议。一个VTP Server上的配置将会传递给网络中的所有交换机,VTP通过减少手工配置而支持较大规模的网络。VTP有Server、Client和Transparent 3种模式,交换机在默认情况下设为Server模式。
VLAN的类型
一般根据交换方式,将VLAN分成3种类型:第二层VLAN、第三层VLAN和ATM VLAN。
1、第二层VLAN
在网络第二层实现的VLAN,要依赖显式(Explicity)标志技术,通过始发交换机对传统的MAC进行封装,在其中加入VLAN标识,使得其他交换机能够了解到该帧所属的VLAN,从而根据事先确定的VLAN组建的策略,将它传输到适当的交换机端口。采用显示标志封装的MAC帧中必须含有如下信息:源站与目的站的MAC地址;指示封装后的帧所属VLAN的标识;指示所包含的原始MAC帧的类型。
第二层VLAN可以依赖局域网交换机等硬件实现,具有速度快,延时小等优点。但又引起诸如帧校验、最大传输单元MTU受限、交换机之间交换VLAN信息难等问题。
2、第三层VLAN
第三层VLAN采用称为隐性(Implicity)标志的方法,主要通过第三层协议的信息来区别不同的虚拟网。此类方案倾向于使用逻辑的而非物理的方法来划分虚拟网,所以比较易于理解,也不复杂,但在具体实现时涉及到比较多的软件处理,因此,在处理速度上比不上用硬件实现的第二层VLAN,划分VLAN的依据主要是协议种类或地址等信息。
3、ATM VLAN
VLAN既可以在交换式以太网中实现,也可以在ATM骨干网中实现。要让VLAN跨越ATM骨干网进行通信,必须首先对ATM骨干网进行局域网仿真(LAN Emulation,简称LANE)的配置工作。交换机通过局域网仿真客户(LAN Emulation Client,LEC)软件接口连接到ATM网络,LEC与ATM网络上的LAN仿真服务器(LES)配合使用,处理在LAN和ATM交换机之间的VLAN。另外,通过LAN仿真,本地连接的ATM设备可与配置在共享LAN内的VLAN进行通信。
VLAN之间的通信
交换机必须有一种方式来了解VLAN的成员关系,即那一个工作站属于哪一个虚拟网,否则,VLAN就只能局限在单交换机的应用环境里了。一般来说,基于数据链路层的VLAN(即按端口和MAC地址划分的VLAN),其成员是以直接的形式与其他成员联系的,而基于IP的VLAN成员之间是利用IP地址以间接的方式相互联系的。绝大多数利用网络层划分VLAN的网络产品,其工作方式均属于后一种。有3种方式用来实现VLAN之间的通信。
1、通过路由器
传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了VLAN以后的网络中,逻辑上划分的不同网段之间的通信仍然要通过路由器转发。目前普遍采用单臂路由器,不管多少个VLAN,只需要一个链接端口。由于路由器的报文转发速度不高,而随着各种网络应用的发展,通过路由器的报文比率越来越大,因此路由器往往成为网络瓶颈。
2、利用第三层交换技术
这是一种将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后,会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。
可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。目前,高性能交换机已经把二层交换功能和三层路由功能结合在一起。这种交换机能识别交换帧和路由帧。该交换就交换,该路由就路由。交换和路由在同一交换机中,并采用各种技术,使路由具有交换速度,极大提高了网络性能。这是目前最具发展前景的技术。
3、交换机列表支持方式
这种方式采用特定的工作机制。当工作站第一次在网络上广播其存在时,交换机就在自己内置的地址列表中将工作站的MAC地址或交换机的端口号与所属VLAN一一对应起来,并不断地向其他交换机广播。如果工作站的VLAN成员身分改变了;交换机中的地址列表将由网络管理员在控制台上手动修改。随着网络规模的扩充,大量用来升级交换机地址列表的广播信息将导致主干网路上的拥塞。因此,这种方式并不太普及。
另外,还可通过应用层网关来实现VLAN之间的通信。某些终端,通常是服务器能够成为多个VLAN的成员,这些VLAN可以通过该服务器完成通信。
传统的局域网使用的是HUB,HUB只有一根总线,一根总线就是一个冲突域。所以传统的局域网是一个扁平的网络,一个局域网属于同一个冲突域。任何一台主机发出的报文都会被同一冲突域中的所有其它机器接收到。后来,组网时使用网桥(二层交换机)代替集线器(HUB),每个端口可以看成是一根单独的总线,冲突域缩小到每个端口,使得网络发送单播报文的效率大大提高,极大地提高了二层网络的性能。但是网络中所有端口仍然处于同一个广播域,网桥在传递广播报文的时候依然要将广播报文复制多份,发送到网络的各个角落。随着网络规模的扩大,网络中的广播报文越来越多,广播报文占用的网络资源越来越多,严重影响网络性能,这就是所谓的广播风暴的问题。
由于网桥二层网络工作原理的限制,网桥对广播风暴的问题无能为力。为了提高网络的效率,一般需要将网络进行分段:把一个大的广播域划分成几个小的广播域。
过去往往通过路由器对LAN进行分段。图中用路由器替换上一图中的中心节点交换机,使得广播报文的发送范围大大减小。这种方案解决了广播风暴的问题,但是用路由器是在网络层上分段将网络隔离,网络规划复杂,组网方式不灵活,并且大大增加了管理维护的难度。作为替代的LAN分段方法,虚拟局域网被引入到网络解决方案中来,用于解决大型的二层网络环境面临的问题。
虚拟局域网(VLAN——Virtual Local Area Network)逻辑上把网络资源和网络用户按照一定的原则进行划分,把一个物理上实际的网络划分成多个小的逻辑的网络。这些小的逻辑的网络形成各自的广播域,也就是虚拟局域网VLAN。图中几个部门都使用一个中心交换机,但是各个部门属于不同的VLAN,形成各自的广播域,广播报文不能跨越这些广播域传送。
虚拟局域网将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内,在功能和操作上与传统LAN基本相同,可以提供一定范围内终端系统的互联。VLAN与传统的LAN相比,具有以下优势:
减少移动和改变的代价
即所说的动态管理网络,也就是当一个用户从一个位置移动到另一个位置是,他的网络属性不需要重新配置,而是动态的完成,这种动态管理网络给网络管理者和使用者都带来了极大的好处,一个用户,无论他到哪里,他都能不做任何修改地接入网络,这种前景是非常美好的。 当然,并不是所有的VLAN定义方法都能做到这一点;
虚拟工作组
使用VLAN的最终目标就是建立虚拟工作组模型,例如,在企业网中,同一个部门的就好像在同一个LAN上一样,很容易的互相访问,交流信息,同时,所有的广播包也都限制在该虚拟LAN上,而不影响其他VLAN的人。一个人如果从一个办公地点换到另外一个地点,而他仍然在该部门,那么,该用户的配置无须改变;同时,如果一个人虽然办公地点没有变,但他更换了部门,那么,只需网络管理员更改一下该用户的配置即可。这个功能的目标就是建立一个动态的组织环境,当然,这只是一个理想的目标,要实现它,还需要一些其他方面的支持;
用户不受到物理设备的限制,VLAN用户可以处于网络中的任何地方;
VLAN对用户的应用不产生影响;
VLAN的应用解决了许多大型二层交换网络产生的问题:
限制广播包,提高带宽的利用率:
有效地解决了广播风暴带来的性能下降问题。一个VLAN形成一个小的广播域,同一个VLAN成员都在由所属VLAN确定的广播域内,那么,当一个数据包没有路由时,交换机只会将此数据包发送到所有属于该VLAN的其他端口,而不是所有的交换机的端口,这样,就将数据包限制到了一个VLAN内。在一定程度上可以节省带宽;
增强通讯的安全性:
一个VLAN的数据包不会发送到另一个VLAN,这样,其他VLAN的用户的网络上是收不到任何该VLAN的数据包,这样就确保了该VLAN的信息不会被其他VLAN的人窃听,从而实现了信息的保密;
增强网络的健壮性:
当网络规模增大时,部分网络出现问题往往会影响整个网络,引入VLAN之后,可以将一些网络故障限制在一个VLAN之内。
由于VLAN是逻辑上对网络进行划分,组网方案灵活,配置管理简单,降低了管理维护的成本。
1.2 VLAN的类型
1.2.1 基于端口的VLAN
这种划分VLAN的方法是根据以太网交换机的端口来划分,比如交换机的1~4端口为VLAN A,5~17为VLAN B,18~24为VLAN C。当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定。
图中端口1和端口7被指定属于VLAN 5,端口2和端口10被指定属于VLAN10。主机A和主机C连接在端口1、7上,因此它们就属于VLAN5;同理,主机B和主机D属于VLAN10。
如果有多个交换机的话,例如,可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最常用的方法。这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。
1.2.2 基于MAC地址的VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对所有主机都根据它的MAC地址配置主机属于哪个VLAN;交换机维护一张VLAN映射表,这个VLAN表记录MAC地址和VLAN的对应关系。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN。
这种方法的缺点是初始化时,所有的用户都必须进行配置,如果用户很多,配置的工作量是很大的。此外这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。
1.2.3 基于协议的VLAN
这种情况是根据二层数据帧中协议字段进行VLAN的划分。通过二层数据中协议字段,可以判断出上层运行的网络协议,如IP协议或者是IPX协议。如果一个物理网络中既有IP网络又有IPX等多种协议运行的时候,可以采用这种VLAN的划分方法。
这种类型的VLAN在实际应用中用的很少。
1.2.4 基于子网的VLAN
基于IP子网的VLAN根据报文中的IP地址决定报文属于哪个VLAN:同一个IP子网的所有报文属于同一个VLAN。这样,可以将同一个IP子网中的用户被划分在一个VLAN内。
上图表明交换机如何根据IP地址来划分VLAN:主机A、主机C的都属于IP子网1.1.1.xxx,根据VLAN表的定义,它们因此属于VLAN5;同理,主机B、主机D属于VLAN10。如果主机C修改自己的IP地址,变成1.1.1.9,那么主机C就不再属于VLAN10,而是属于VLAN5了。
利用IP子网定义VLAN有以下几点优势:
这种方式可以按传输协议划分网段。这对于希望针对具体应用的服务来组织用户的网络管理者来说是非常有诱惑力的。
用户可以在网络内部自由移动而不用重新配置自己的工作站,尤其是使用TCP/IP的用户。
这种方法的缺点是效率,因为检查每一个数据包的网络层地址是很费时的。同时由于一个端口也可能存在多个VLAN的成员,对广播报文也无法有效抑制。
第2章 IEEE802.1Q协议
2.1 协议概述
IEEE802.1Q是虚拟桥接局域网的正式标准,定义了同一个物理链路上承载多个子网的数据流的方法。IEEE 802.1Q定义了VLAN帧格式,为识别帧属于哪个VLAN提供了一个标准的方法。这个格式统一了标识VLAN的方法,有利于保证不同厂家设备配置的VLAN可以互通。
IEEE 802.1Q定义了以下内容:
VLAN的架构;
VLAN中所提供的服务;
VLAN实施中涉及的协议和算法
IEEE802.1Q协议不仅规定VLAN中的MAC帧的格式,而且还制定诸如帧发送及校验、回路检测,对业务质量(QOS)参数的支持以及对网管系统的支持等方面的标准。
2.2 VLAN帧格式
这四个字节的802.1Q标签头包含了2个字节的标签协议标识(TPID)和2个字节的标签控制信息(TCI)。
TPID(Tag Protocol Identifier)是IEEE定义的新的类型,表明这是一个加了802.1Q标签的帧。TPID包含了一个固定的值0x8100。
TCI是包含的是帧的控制信息,它包含了下面的一些元素:
Priority:这3 位指明帧的优先级。一共有8种优先级,0-7。IEEE 802.1Q标准使用这三位信息。
Canonical Format Indicator( CFI ):CFI值为0说明是规范格式,1为非规范格式。它被用在令牌环/源路由FDDI介质访问方法中来指示封装帧中所带地址的比特次序信息。
VLAN Identified( VLAN ID ): 这是一个12位的域,指明VLAN的ID,一共4096个,每个支持802.1Q协议的交换机发送出来的数据包都会包含这个域,以指明自己属于哪一个VLAN。
在一个交换网络环境中,以太网的帧有两种格式:有些帧是没有加上这四个字节标志的,称为未标记的帧(ungtagged frame),有些帧加上了这四个字节的标志,称为带有标记的帧(tagged frame)。
2.3 VLAN链路
2.3.1 VLAN链路的类型
接入链路指的是用于连接主机和交换机的链路。通常情况下主机并不需要知道自己属于哪些VLAN,主机的硬件也不一定支持带有VLAN标记的帧。主机要求发送和接收的帧都是没有打上标记的帧。
接入链路属于某一个特定的端口,这个端口属于一个并且只能是一个VLAN。这个端口不能直接接收其它VLAN的信息,也不能直接向其它VLAN发送信息。不同VLAN的信息必须通过三层路由处理才能转发到这个端口上。
干道链路是可以承载多个不同VLAN数据的链路。干道链路通常用于交换机间的互连,或者用于交换机和路由器之间的连接。干道链路的英文叫做“trunk link”。
数据帧在干道链路上传输的时候,交换机必须用一种方法来识别数据帧是属于哪个VLAN的。IEEE 802.1Q定义了VLAN帧格式,所有在干道链路上传输的帧都是打上标记的帧(tagged frame)。通过这些标记,交换机就可以确定哪些帧分别属于哪个VLAN。
和接入链路不同,干道链路是用来在不同的设备之间(如交换机和路由器之间、交换机和交换机之间)承载VLAN数据的,因此干道链路是不属于任何一个具体的VLAN的。通过配置,干道链路可以承载所有的VLAN数据,也可以配置为只能传输指定的VLAN的数据。
干道链路虽然不属于任何一个具体的VLAN,但是可以给干道链路配置一个pvid(port VLAN ID)。当干道链路不论因为什么原因,trunk链路上出现了没有带标记的帧,交换机就给这个帧增加带有pvid的VLAN标记,然后进行处理。
2.3.2 VLAN帧在网络中的通信
图中表示一个局域网环境,网络中有两台交换机,并且配置了两个VLAN。主机和交换机之间的链路是接入链路,交换机之间通过干道链路互相连接。
对于主机来说,它是不需要知道VLAN的存在的。主机发出的报文都是untagged的报文;交换机接收到这样的报文之后,根据配置规则(如端口信息)判断出报文所属VLAN进行处理。如果报文需要通过另外一台交换机发送,则该报文必须通过干道链路传输到另外一台交换机上。为了保证其它交换机正确处理报文的VLAN信息,在干道链路上发送的报文都带上了VLAN标记。
当交换机最终确定报文发送端口后,将报文发送给主机之前,将VLAN的标记从以太网帧中删除,这样主机接收到的报文都是不带VLAN的标记的以太网帧。
所以,一般情况下,干道链路上传送的都是Tagged Frame,接入链路上传送的都是Untagged Frame。这样做的最终结果是:网络中配置的VLAN可以被所有的交换机正确处理,而主机不需要了解VLAN信息。
2.3.3 Trunk和VLAN
无论一个网络由多少个交换机构成,也无论一个VLAN跨越了多少个交换机,按照VLAN的定义,一个VLAN就确定了一个广播域。广播报文能够被在一个广播域中的所有主机接收到,也就是说,广播报文必须被发送到一个VLAN中的所有端口。因为VLAN可能跨越多个交换机,当一个交换机从某VLAN的一个端口收到广播报文之后,为了保证同属一个VLAN的所有主机都接收到这个广播报文,交换机必须按照如下原则将报文进行转发:
1、发送给本交换机中同一个VLAN中的其它端口;
2、将这个报文发送给本交换机的包含这个VLAN的所有干道链路,以便让其它交换机上的同一个VLAN的端口也发送该报文。
将一个端口设置为Trunk端口,也就是说,和这个端口相连的链路被设置为Trunk链路,同时还可以配置哪些VLAN的报文可以通过这个干道链路。配置允许通过的VLAN,需要根据网络的配置情况进行考虑,而不应该让干道链路传输所有的VLAN:因为某一VLAN的所有广播报文必须被发送到这个VLAN的每一个端口,如果让干道链路传输所有的VLAN,这些广播报文将被干道链路传送到所有的其它交换机上。如果在干道链路的另外一端没有这个VLAN的成员端口,那么带宽和处理时间就会被白白浪费。
对于多数用户来说,手工配置太麻烦了。一个规模比较大的网络可能包含多个VLAN,而且网络的配置也会随时发生变化,导致根据网络的拓扑结构逐个交换机配置Trunk端口过于复杂。这个问题可以由GVRP协议来解决:GVRP协议根据网络情况动态配置干道链路。
什么是VLAN?
VLAN(Virtual LAN),翻译成中文是“虚拟局域网”。LAN可以是由少数几台家用计算机构成的网络,也可以是数以百计的计算机构成的企业网络。VLAN所指的LAN特指使用路由器分割的网络——也就是广播域。
在此让我们先复习一下广播域的概念。广播域,指的是广播帧(目标MAC地址全部为1)所能传递到的范围,亦即能够直接通信的范围。严格地说,并不仅仅是广播帧,多播帧(Multicast Frame)和目标不明的单播帧(Unknown Unicast Frame)也能在同一个广播域中畅行无阻。
本来,二层交换机只能构建单一的广播域,不过使用VLAN功能后,它能够将网络分割成多个广播域。
未分割广播域时……
那么,为什么需要分割广播域呢?那是因为,如果仅有一个广播域,有可能会影响到网络整体的传输性能。具体原因,请参看附图加深理解。
图中,是一个由5台二层交换机(交换机1~5)连接了大量客户机构成的网络。假设这时,计算机A需要与计算机B通信。在基于以太网的通信中,必须在数据帧中指定目标MAC地址才能正常通信,因此计算机A必须先广播“ARP请求(ARP Request)信息”,来尝试获取计算机B的MAC地址。
交换机1收到广播帧(ARP请求)后,会将它转发给除接收端口外的其他所有端口,也就是Flooding了。接着,交换机2收到广播帧后也会Flooding。交换机3、4、5也还会Flooding。最终ARP请求会被转发到同一网络中的所有客户机上。
请大家注意一下,这个ARP请求原本是为了获得计算机B的MAC地址而发出的。也就是说:只要计算机B能收到就万事大吉了。可是事实上,数据帧却传遍整个网络,导致所有的计算机都收到了它。如此一来,一方面广播信息消耗了网络整体的带宽,另一方面,收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能力的大量无谓消耗。
广播信息是那么经常发出的吗?
读到这里,也许会问:广播信息真是那么频繁出现的吗?
答案是:是的!实际上广播帧会非常频繁地出现。利用TCP/IP协议栈通信时,除了前面出现的ARP外,还有可能需要发出DHCP、RIP等很多其他类型的广播信息。
ARP广播,是在需要与其他主机通信时发出的。当客户机请求DHCP服务器分配IP地址时,就必须发出DHCP的广播。而使用RIP作为路由协议时,每隔30秒路由器都会对邻近的其他路由器广播一次路由信息。RIP以外的其他路由协议使用多播传输路由信息,这也会被交换机转发(Flooding)。除了TCP/IP以外,NetBEUI、IPX和Apple Talk等协议也经常需要用到广播。例如在Windows下双击打开“网络计算机”时就会发出广播(多播)信息。(Windows XP除外……)
总之,广播就在我们身边。下面是一些常见的广播通信:
l ARP请求:建立IP地址和MAC地址的映射关系。
l RIP:一种路由协议。
l DHCP:用于自动设定IP地址的协议。
l NetBEUI:Windows下使用的网络协议。
l IPX:Novell Netware使用的网络协议。
l Apple Talk:苹果公司的Macintosh计算机使用的网络协议。
如果整个网络只有一个广播域,那么一旦发出广播信息,就会传遍整个网络,并且对网络中的主机带来额外的负担。因此,在设计LAN时,需要注意如何才能有效地分割广播域。
广播域的分割与VLAN的必要性
分割广播域时,一般都必须使用到路由器。使用路由器后,可以以路由器上的网络接口(LAN Interface)为单位分割广播域。
但是,通常情况下路由器上不会有太多的网络接口,其数目多在1~4个左右。随着宽带连接的普及,宽带路由器(或者叫IP共享器)变得较为常见,但是需要注意的是,它们上面虽然带着多个(一般为4个左右)连接LAN一侧的网络接口,但那实际上是路由器内置的交换机,并不能分割广播域。
况且使用路由器分割广播域的话,所能分割的个数完全取决于路由器的网络接口个数,使得用户无法自由地根据实际需要分割广播域。
与路由器相比,二层交换机一般带有多个网络接口。因此如果能使用它分割广播域,那么无疑运用上的灵活性会大大提高。
用于在二层交换机上分割广播域的技术,就是VLAN。通过利用VLAN,我们可以自由设计广播域的构成,提高网络设计的自由度。
计算机网络技术的发展犹如戏剧舞台,你方唱罢我登台。从传统的以太网(10Mb/s)发展到快速以太网(100Mb/s)和千兆以太网(1000Mb/s)也不过几年的时间,其迅猛的势头实在令人吃惊。而现在中大型规模网络建设中,以千兆三层交换机为核心的所谓“千兆主干跑、百兆到桌面”的主流网络模型已不胜枚举。现在,网络业界对“三层交换”和VLAN这两词已经不感到陌生了。
一、什么是三层交换和VLAN
要回答这个问题我们还是先看看以太网的工作原理。以太网的工作原理是利用二进制位形成的一个个字节组合成一帧帧的数据(其实是一些电脉冲)在导线中进行传播。首先,以太网网段上需要进行数据传送的节点对导线进行监听,这个过程称为CSMA/CD(Carrier Sense Multiple Access with Collision Detection带有冲突监测的载波侦听多址访问)的载波侦听。如果,这时有另外的节点正在传送数据,监听节点将不得不等待,直到传送节点的传送任务结束。如果某时恰好有两个工作站同时准备传送数据,以太网网段将发出“冲突”信号。这时,节点上所有的工作站都将检测到冲突信号,因为这时导线上的电压超出了标准电压。这时以太网网段上的任何节点都要等冲突结束后才能够传送数据。也就是说在CSMA/CD方式下,在一个时间段,只有一个节点能够在导线上传送数据。而转发以太网数据帧的联网设备是集线器,它是一层设备,传输效率比较低。
冲突的产生降低了以太网的带宽,而且这种情况又是不可避免的。所以,当导线上的节点越来越多后,冲突的数量将会增加。显而易见的解决方法是限制以太网导线上的节点,需要对网络进行物理分段。将网络进行物理分段的网络设备用到了网桥与交换机。网桥和交换机的基本作用是只发送去往其他物理网段的信息。所以,如果所有的信息都只发往本地的物理网段,那么网桥和交换机上就没有信息通过。这样可以有效减少网络上的冲突。网桥和交换机是基于目标MAC(介质访问控制)地址做出转发决定的,它们是二层设备。我们已经知道了以太网的缺点及物理网段中冲突的影响,现在,我们来看看另外一种导致网络降低运行速度的原因:广播。广播存在于所有的网络上,如果不对它们进行适当的控制,它们便会充斥于整个网络,产生大量的网络通信。广播不仅消耗了带宽,而且也降低了用户工作站的处理效率。由于各种各样的原因,网络操作系统(NOS)使用了广播,TCP/IP使用广播从IP地址中解析MAC地址,还使用广播通过RIP和IGRP协议进行宣告,所以,广播也是不可避免的。网桥和交换机将对所有的广播信息进行转发,而路由器不会。所以,为了对广播进行控制,就必须使用路由器。路由器是基于第3层报头、目标IP寻址、目标IPX寻址或目标Appletalk寻址做出转发决定。路由器是3层设备。
在这里,我们就容易理解三层交换技术了,通俗地讲,就是将路由与交换合二为一的技术。路由器在对第一个数据流进行路由后,将会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此映射表直接从二层进行交换而不是再次路由,提供线速性能,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率。采用此技术的交换机我们常称为三层交换机。
那么,什么是VLAN呢?VLAN(Virtual Local Area Network)就是虚拟局域网的意思。VLAN可以不考虑用户的物理位置,而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的工作组,每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同一个VLAN中的成员都共享广播,形成一个广播域,而不同VLAN之间广播信息是相互隔离的。这样,将整个网络分割成多个不同的广播域(VLAN)。
一般来说,如果一个VLAN里面的工作站发送一个广播,那么这个VLAN里面所有的工作站都接收到这个广播,但是交换机不会将广播发送至其他VLAN上的任何一个端口。如果要将广播发送到其它的VLAN端口,就要用到三层交换机。
二、如何配置三层交换机创建VLAN
以下的介绍都是基于Cisco交换机的VLAN。Cisco的VLAN实现通常是以端口为中心的。与节点相连的端口将确定它所驻留的VLAN。将端口分配给VLAN的方式有两种,分别是静态的和动态的.形成静态VLAN的过程是将端口强制性地分配给VLAN的过程。即我们先在VTP (VLAN Trunking Protocol)Server上建立VLAN,然后将每个端口分配给相应的VLAN的过程。这是我们创建VLAN最常用的方法。
动态VLAN形成很简单,由端口决定自己属于哪个VLAN。即我们先建立一个VMPS(VLAN Membership Policy Server)VLAN管理策略服务器,里面包含一个文本文件,文件中存有与VLAN映射的MAC地址表。交换机根据这个映射表决定将端口分配给何种VLAN。这种方法有很大的优势,但是创建数据库是一项非常艰苦而且非常繁琐的工作。
下面以实例说明如何在一个典型的快速以太局域网中实现VLAN。所谓典型的局域网就是指由一台具备三层交换功能的核心交换机接几台分支交换机(不一定具备三层交换能力)。我们假设核心交换机名称为:COM;分支交换机分别为:PAR1、PAR2、PAR3……,分别通过Port1的光线模块与核心交换机相连;并且假设VLAN名称分别为COUNTER、MARKET、MANAGING……。
1、设置VTP DOMAIN VTP DOMAIN
称为管理域。交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的VLAN列表。
COM#vlan database 进入VLAN配置模式
COM(vlan)#vtp domain COM 设置VTP管理域名称COM
COM(vlan)#vtp server 设置交换机为服务器模式
PAR1#vlan database 进入VLAN配置模式
PAR1(vlan)#vtp domain COM 设置VTP管理域名称COM
PAR1(vlan)#vtp Client 设置交换机为客户端模式
PAR2#vlan database 进入VLAN配置模式
PAR2(vlan)#vtp domain COM 设置VTP管理域名称COM
PAR2(vlan)#vtp Client 设置交换机为客户端模式
PAR3#vlan database 进入VLAN配置模式
PAR3(vlan)#vtp domain COM 设置VTP管理域名称COM
PAR3(vlan)#vtp Client 设置交换机为客户端模式
注意:这里设置交换机为Server模式是指允许在本交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数,同步本VTP域中其他交换机传递来的最新的VLAN信息;Client模式是指本交换机不能创建、删除、修改VLAN配置,也不能在NVRAM中存储VLAN配置,但可以同步由本VTP域中其他交换机传递来的VLAN信息。
2、配置中继
为了保证管理域能够覆盖所有的分支交换机,必须配置中继。Cisco交换机能够支持任何介质作为中继线,为了实现中继可使用其特有的ISL标签。ISL(Inter-Switch Link)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接相连的端口配置ISL封装,即可跨越交换机进行整个网络的VLAN分配和进行配置。
在核心交换机端配置如下:
COM(config)#interface gigabitEthernet 2/1
COM(config-if)#switchport
COM(config-if)#switchport trunk encapsulation isl
COM(config-if)#switchport mode trunk
COM(config)#interface gigabitEthernet 2/2
COM(config-if)#switchport
COM(config-if)#switchport trunk encapsulation isl
COM(config-if)#switchport mode trunk
COM(config)#interface gigabitEthernet 2/3
COM(config-if)#switchport
COM(config-if)#switchport trunk encapsulation isl
COM(config-if)#switchport mode trunk
在分支交换机端配置如下:
PAR1(config)#interface gigabitEthernet 0/1
PAR1(config-if)#switchport mode trunk
PAR2(config)#interface gigabitEthernet 0/1
PAR2(config-if)#switchport mode trunk
PAR3(config)#interface gigabitEthernet 0/1
PAR3(config-if)#switchport mode trunk
……
此时,管理域算是设置完毕了。
3、创建VLAN
一旦建立了管理域,就可以创建VLAN了。
COM(vlan)#Vlan 10 name COUNTER 创建了一个编号为10名字为COUNTER的 VLAN
COM(vlan)#Vlan 11 name MARKET 创建了一个编号为11名字为MARKET的 VLAN
COM(vlan)#Vlan 12 name MANAGING 创建了一个编号为12名字为MANAGING的 VLAN
……
注意,这里的VLAN是在核心交换机上建立的,其实,只要是在管理域中的任何一台VTP属性为Server的交换机上建立VLAN,它就会通过VTP通告整个管理域中的所有的交换机。但是如果要将交换机的端口划入某个VLAN,就必须在该端口所属的交换机上进行设置。
4、将交换机端口划入VLAN
例如,要将PAR1、PAR2、PAR3……分支交换机的端口1划入COUNTER VLAN,端口2划入MARKET VLAN,端口3划入MANAGING VLAN……
PAR1(config)#interface fastEthernet 0/1 配置端口1
PAR1(config-if)#switchport access vlan 10 归属COUNTER VLAN
PAR1(config)#interface fastEthernet 0/2 配置端口2
PAR1(config-if)#switchport access vlan 11 归属MARKET VLAN
PAR1(config)#interface fastEthernet 0/3 配置端口3
PAR1(config-if)#switchport access vlan 12 归属MANAGING VLAN
PAR2(config)#interface fastEthernet 0/1 配置端口1
PAR2(config-if)#switchport access vlan 10 归属COUNTER VLAN
PAR2(config)#interface fastEthernet 0/2 配置端口2
PAR2(config-if)#switchport access vlan 11 归属MARKET VLAN
PAR2(config)#interface fastEthernet 0/3 配置端口3
PAR2(config-if)#switchport access vlan 12 归属MANAGING VLAN
PAR3(config)#interface fastEthernet 0/1 配置端口1
PAR3(config-if)#switchport access vlan 10 归属COUNTER VLAN
PAR3(config)#interface fastEthernet 0/2 配置端口2
PAR3(config-if)#switchport access vlan 11 归属MARKET VLAN
PAR3(config)#interface fastEthernet 0/3 配置端口3
PAR3(config-if)#switchport access vlan 12 归属MANAGING VLAN
……
5、配置三层交换
到这里,VLAN已经基本划分完毕。但是,VLAN间如何实现三层(网络层)交换呢?这时就要给各VLAN分配网络(IP)地址了。给VLAN分配IP地址分两种情况,其一,给VLAN所有的节点分配静态IP地址;其二,给VLAN所有的节点分配动态IP地址。下面就这两种情况分别介绍。
我们假设给VLAN COUNTER分配的接口Ip地址为172.16.58.1/24,网络地址为:172.16.58.0,VLAN
MARKET分配的接口Ip地址为172.16.59.1/24,网络地址为172.16.59.0,VLAN
MANAGING分配的接口Ip地址为172.16.60.1/24,网络地址为172.16.60.0……。如果动态分配IP地址,则设网络上的DHCP服务器IP地址为172.16.1.11。
(1)给VLAN所有的节点分配静态IP地址
首先在核心交换机上分别设置各VLAN的接口IP地址,如下所示:
COM(config)#interface vlan 10
COM(config-if)#ip address 172.16.58.1 255.255.255.0 VLAN10接口IP
COM(config)#interface vlan 11
COM(config-if)#ip address 172.16.59.1 255.255.255.0 VLAN11接口IP
COM(config)#interface vlan 12
COM(config-if)#ip address 172.16.60.1 255.255.255.0 VLAN12接口IP
……
再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址,并且把默认网关设置为该VLAN的接口地址。这样,所有的VLAN也可以互访了。
(2)给VLAN所有的节点分配动态IP地址
首先在核心交换机上分别设置各VLAN的接口IP地址和DHCP服务器的IP地址,如下所示:
COM(config)#interface vlan 10
COM(config-if)#ip address 172.16.58.1 255.255.255.0 VLAN10接口IP
COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP
COM(config)#interface vlan 11
COM(config-if)#ip address 172.16.59.1 255.255.255.0 VLAN11接口IP
COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP
COM(config)#interface vlan 12
COM(config-if)#ip address 172.16.60.1 255.255.255.0 VLAN12接口IP
COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP
……
再在DHCP服务器上设置网络地址分别为172.16.58.0,172.16.59.0,172.16.60.0的作用域,并将这些作用域的“路由器”选项设置为对应VLAN的接口IP地址。这样,可以保证所有的VLAN也可以互访了。
最后在各接入VLAN的计算机进行网络设置,将IP地址选项设置为自动获得IP地址即可。
三、总结
本文是笔者在实际工作中的一些总结。笔者力图用通俗易懂的文字来阐述创建VLAN的全过程。并且给出了详细的设置步骤,只要你对Cisco交换机的IOS有所了解,看懂本文并不难。按照本文所示的步骤一步一步地做,你完全可以给一个典型的快速以太网络建立多个VLAN。
什么是VLAN
VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。
组建VLAN的条件
VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。
划分VLAN的基本策略
从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法:
1、基于端口的VLAN划分
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
2、基于MAC地址的VLAN划分
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。
3、基于路由的VLAN划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。
使用VLAN优点
使用VLAN具有以下优点:
1、控制广播风暴
一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。
2、提高网络整体安全性
通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。
3、网络管理简单、直观
对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。
三层交换技术
传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了VLAN以后的网络中,逻辑上划分的不同网段之间通信仍然要通过路由器转发。由于在局域网上,不同VLAN之间的通信数据量是很大的,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量的不断增大,路由器将不堪重负,路由器将成为整个网络运行的瓶颈。
在这种情况下,出现了第三层交换技术,它是将路由技术与交换技术合二为一的技术。三层交换机在对第一个数据流进行路由后,会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题。可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能。
在以三层交换机为核心的千兆网络中,为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性,可采用VLAN技术进行虚拟网络划分。VLAN子网隔离了广播风暴,对一些重要部门实施了安全保护;且当某一部门物理位置发生变化时,只需对交换机进行设置,就可以实现网络的重组,非常方便、快捷,同时节约了成本。
