设为首页 - 加入收藏
广告 1000x90
您的当前位置:356388黄大仙原创资料 > 局域网广播 > 正文

自考局域网组网工程听课笔记第八章

来源:未知 编辑:admin 时间:2019-06-12

  在LAN交换技术中,虚拟局域网是一种迅速发展的技术。此种技术的核心是通过路由和交换设备在网络的物理拓扑结构基础上建立一个逻辑网络,以使得网络中任意几个LAN段或(和)单站能够组合成一个逻辑上的局域网。

  在20世纪90年代初,具有多端口的路由器开始取代网桥,以达到在第三层对网络进行分段的目的,并实现对广播数据的抑制。在此种只使用路由器的网络中,网段和广播域是一一对应的。在一个网段,也即一个广播域中通常只包含有30—100个用户。

  在引入交换技术之后,人们可以在第二层上将网络划分成更小的分段,这样做的好处是各网段的带宽将得以提高,而网络中路由器可以集中力量作好广播数据的抑制工作。此时一个广播城可以跨越多个交换的网段,从而使得在一个广播域中提供对500个甚至更多的用户的支持也不再是什么困难的事。而VLAN则代表着—种不用路由器对广播数据进行抑制的解决方案。

  在VLAN中,对广播数据的抑制将由交换器完成。此时每一个物理网段可以仅包含一个用户,而一个广播域中则可以具有多达1000个以上的用户。另外VLAN还可以跟踪各个工作站物理位置的变动,使之在移动位置之后不需要对其网络地址重新进行手工配置。

  在本章中我们将讨论VLAN的特点、结构、实现机制、功能以及将来发展的情况。

  要对VLAN下一个确切的定义可能是一件比较困难的事,因各厂商有不同的VLAN解决方案,但可以这样认为,VLAN基本上可以看成是一个广播域。说的具体一点,一个VLAN可以看成是一组客户工作站的集合。这些工作站不必处于同一个物理网络上,它们可以不受地理位置的限制像处于同一个LAN上那样进行通信和信息交换。

  在整个网络结构中,划分了三个VLAN,分别为工程VLAN、市场VLAN及财会VLAN,每一个VLAN包括了相应的客户站。可以认为一个VLAN实际上是逻辑上的网段。

  此种逻辑上的网段给LAN的管理、安全性以及广播数据的抑制带来诸多的益处。现VLAN需要具备以下若干条件:

  虚拟局域网需要解决的问题:在实现VLAN的过程中有许多需要解决,但最为关键的是如下几个问题:

  这些问题如何解决将影响到某个VLAN实现是否能够有效地满足用户和网络管理的要求。由于VLAN都是在交换网络环境中实现的。在此种网络环境中最核心的问题是交换设备。交换设备是各客户工作站连人交换网络的入口点,它可以提供对用户、端口、以及逻辑地址进行分组以构成VLAN的能力。

  当前LAN交换设备在物理上一般都安装在共享式的分段HUB和位于主干网的路由器之间,它将在VLAN的分段及实现低延迟的报文转发方面起到至关重要的作用。总的来说,VLAN交换设备除了能够显著地提高网络的性能和专用带宽外,同时它还具有完成VLAN的划分所必需的能力。

  端换或称配置交换,最初的方式是把端口经过手工配置到一个或若干个通过背板连接的共享HUB上,可以形成若干个独立的由端口组合的共享媒体段,每一个连接到端口上的用户被分配到其中一个段上。(端口连接的配置可人为确定)

  近年来发展成为一种称为端换(Port Switch)的设备,在一个或几个通过背板连接的端换器上,通过软硬件的控制和管理,交换器上的所在端口划分成若干个共享式的互相独立的VLAN.

  二是在全局交换网络上,端换能够为全局VLAN提供有效的、灵活的前端配置端口组合的功能。

  LAN(Ethernet,Token Ring或FDDI)交换器(机)每一个端口上提供一个独立的共享媒体端口,在此端口上可以接共享HUB也可以接单独的一个客户站。在一个端口上接收到的帧正确地转发到输出端口上,在寻找路径和转发时,帧是不会被破坏的。

  (2)虚拟化后,一个交换器或者互联的若干交换器上的每个端口可以被分配给任何VLAN,即在网络系统中形成若干个VLAN.

  帧交换方式的特点是比端换增加了有效的带宽,LAN交换器上每个端口用户具有独占带宽(例10Mbps,100Mbps)的性能,交换器间互联的速率可达数百兆甚至千兆位传输率。服务器和高速客户站可以直接连到交换器端口上。

  目前,绝大多数厂家的LAN交换器(机)均按帧交换方式来实现VLAN的交换,Ethernet交换器与端换器组合应用,使用户加入VLAN更灵活。

  ATM交换机上实现信元交换,一个或者多个互联的ATM交换机组成网络的核心系统,类似于帧交换(需查交换表),所不同的是从ATM交换机端口上接收到信元后,正确地转发到输出端口。

  将交换设备端口进行分组来划分VLAN,如图8.3所示。交换器1与交换器2上端口 1、2、3、8与1、7、8所连接的客户站构成VLANA.而相应的端口4、5、6、7与4、5、6所连接的客户站构成VLANB.

  在最初的实现中,VLAN是不能跨越交换设备的。后来进一步的发展使得VLAN可以跨越多个交换设备。

  按端口号划分VLAN仍然是构造VLAN的一个最常用的方法。而且此种方法也确实是比较简单并且非常有效。但仅靠端口分组而定义VLAN将无法使得同一个物理分段(或交换端口)同时参与到多个VLAN中,而且更要紧的是当一个客户站从一个端口移至另一个端口时,网管人员将不得不对VLAN成员进行重新配置。

  这种方法的特点是由网管人员指定属于同一个VLAN中的各客户站的MAC地址。

  用MAC地址进行VLAN成员的定义既有优点也有缺点。由于MAC地址是固化在网卡中的,故移至网络中另外一个地方时它将仍然保持其原先的VLAN成员身份而无需网管人员对之进行重新的配置,从这个意义讲,用MAC地址定义的VLAN可以看成是基于用户的VLAN.

  但这种方法也有许多不足之处,首先所有的用户在最初都必须被配置到(手工方式)至少一个VLAN中,只有在此种手工配置之后方可实现对VLAN成员的自动跟踪。但在大型的网络中完成初始的配置并不是一件容易的事。

  基于第三层协议的VLAN实现在决定VLAN成员身份时主要是考虑协议类型(支持多协议的情况下)或网络层地址(如TCP/IP网络的子网地址)。此种类型的VLAN划分需要将子网地址映射到VLAN,交换设备则根据子网地址而将各机器的MAC地址同一个VLAN联系起来。交换设备将决定不同网络端口上连接的机器属于同一个VLAN.

  但应注意此处对于第三层信息的使用并不构成路由功能。我们不应将其同网络层路由混淆起来。

  因为在交换设备使用报文的IP地址决定VLAN成员身份时并没有进行任何路由计算,也没有使用任何路由协议。交换设备只是根据生成树算法在其各端口之间进行帧的转发。因此从这个意义上讲,任一VLAN内部的连接仍然是一种平板式的桥接拓扑结构。

  首先,我们可以根据协议类型进行VLAN的划分,这对于那些对基于服务或基于应用VLAN策略的网管人员无疑是极具吸引力的。

  在第三层上所定义的VLAN对于TCP/IP特别有效,但对于其它一些协议如IPX、DECnet或Apple则要差一些,并且对于那些不可进行路由选择的一些协议,如Netbios,在第三层上实现VLAN划分将特别困难,因为使用此种协议的机器是无法互相区分的,因此也就无法将其定义成某个网络层VLAN的一员。

  总之,各种划分方式侧重点不同,所达到的效果就不尽相同。目前在网络产品中融合多种划分VLAN的方法,以便根据实际情况寻找最合适的途径;同时,随着管理软件的发展,VLAN的划分逐渐趋向于动态化。

  大多数情况下,人们可以同时为不同的工作组工作,即同时属于多个VLAN.一个好的虚拟网策略不能强迫用户一定要属于某个虚拟网而且只能是这一个,这样设计的虚拟网缺乏灵活性和扩展性。

  如某一公司的投标小组,小组里面需有销售人员、市场人员及工程技术人员,他们分别负责投标的不同任务并协同工作,而这些人员原来又分别属于销售部、市场部、工程部的不同虚拟网络。

  因而,实际上他们组成了一个临时的投标虚拟网。这时,他们既可分别访问他们原属的网络,又可同时在投标VLAN中互相交流信息,这就是VLAN中组员的多重属性。

  一个用户同时具有多个VLAN成员资格虽然是很有必要的,但这意味着工作组的安全性下降,并可能导致可伸缩性的下降。

  在大型网络中,VLAN内数据的高速交换同VLAN间数据传输的有效路由和交换这两者的集成正变得越来越具有吸引力。

  互联的各种不同的路由方案具有很大的差别,每一种都有其各自的优点和不足,并且将对网络的总体结构产生影响。而且路由也并不是解决VLAN间通信技术的惟一方法。 同选择一种VLAN解决方案会遇到的其它一些重要问题一样,解决VLAN间通信的选择也取决于用户特定的应用需求及总的网络结构,其中最为关键的问题是要达到较高程度的灵活性。

  边界路由指的是将路由功能包含在位于主干网络边界的每一个LAN交换设备中,此时,VLAN间的报文将由交换设备内在的路由能力进行处理,从而无需再将其传送至某个外部的路由器上,数据的转发延迟因而也将得以降低。

  此种路由方式的主要优点:在于不像集中式路由那样会因中央路由站点的崩溃而导致整个网络的瘫痪。

  主要的不利之处在于:相对于统一路由功能的集中式管理而言,边界路由需要对多个物理设备行管理。另外此种方式可能比由一个集中式路由器和多个较便宜的边界路由器组成的集中式方案在价格上要贵一些。

  采用“独臂”路由器的网络方案因能消除主干网上集中式处理和高延迟的路由功能而越来越受广泛的关注。

  这种路由器一般接在主干网上的一个交换设备上,以使得网络中的大部分报文在通过主干网时无需通过路由器进行处理,而且此种方式配置和管理起来也比较方便。此种路由模式由图8.4所示。

  优点:我们可以看到同一个VLAN内的报文将用不着通过路由器而直接在交换设备间进行高速传输。

  这种路由方式的不足之处在于它仍然是一种集中式的路由策略,因此在主干网上一般均设置有多个冗余“独臂”路由器,但如果网络中VLAN之间的数据传输量比较大,那么在路由器处将形成瓶颈。

  人们现在正在致力于将路由服务器的方法标准化。ATM论坛的MPOA标准工作组正在进行的工作就是此种努力中的一个代表。

  MPOA的目的是给可能属于不同路由子网的多个用ATM网络连接的设备提供直接的虚拟连接。也就是说,MPOA将使得多个属于不同E—LAN(仿真局域网)的站点通过ATM网络直接进行通信,而用不着经过一个中间的路由器。其中ELAN可以看成为另一种的VLAN,它是在ATM网络环境下用LANEmulation(模仿)标准建立起来的。

  在第三层交换技术的章节中,已经详细地讨论了各种技术的原理和特点,有的技术方案本身就是一个带有路由功能的交换器。特别是基于智能可编程ASIC技术的第三层交换器,它既包括了第二层和第三层的交换功能,而且还具备路由寻址功能。因此利用它来作为网络的主干交换器,既可以根据多种方法来定义VLAN成员,继后配置VLAN,又能不附加其它路由设备来实现VLAN之间的通信。不论从网络结构还是降低网络传输延迟来说,用第三层交换技术不失是一个很好的选择。

  近几年来,在实现VLAN的过程中,各厂家纷纷推出自己的技术和相应的产品,但往往这些技术和产品所遵循的协议和标准是不相同的,致使各厂家的VLAN产品自成系统,互不兼容。妨碍了VLAN技术和市场的进一步发展。

  目前第三层上实现的VLAN往往是基于Internet TCP/IP的组播技术及相应的协议,其中涉及的技术和协议如下:

  1996年3月IEEE 802.1 Internetworking小组完成了制定VLAN标准而进行的初步调查工作,解决了三大问题,即VLAN的体系结构、帧标记的标准格式以及VLAN标准化未来发展方向。特别是帧标记的标准化格式使用了802.1Q标准。

  帧格式标准化后,各厂家可以迅速将其融入到它们生产的交换机产品中,目前所有的主要厂商,其中包括3C0M,Bay,IBM以及Cisco都表示支持802.1Q.

  隐式的帧标记(Implicittagging):隐式的帧标记表示帧所属的VLAN信息并未被明显地标记,该帧属于哪一个VLAN,缺省地由网桥的接收端口号或帧中data域的信息决定。

  显式的帧标记。(Explicit、tagging):显式的帧标记表示帧所属哪一个VLAN由网桥(LAN交换器)所加的标记(VID)显式地决定。

  在以太网帧中插入VLAN头部。头部插在DA(目的地址)和SA(源地址)之后。

  b.TR-encap它置位时(=1)表示该帧data域中携带的是未经翻译和封装的TokenRing帧;

  上面我们讨论了VLAN的技术特点,人们发展VLAN技术的一个主要原因是减少在网络中的站点发生移动、增加和修改时增加管理开销,同时解决因数据的广播而引起的一些性能问题。

  我们将发现上面所讨论的VLAN技术确实能够达到上述目的,同时还可以实现其它一些引人注意功能。例如安全性、对广播数据的更好的管理和控制,网络的微分段、负载分担等等。下面我们将这些问题进行详细的讨论。

  网络中站点的移动、增加和改变是最让网管人员头疼的问题之一,同时也是网络维护过程中相对来说开销比较大的一部分。因为此时一般都需要重新进行布线,并且几乎所有的站点移动都伴随着地址的重新分配以及对交换器和路由器重新配置。

  VLAN为控制上述修改而提供了有效的手段,同时对交换器和路由器重新进行配置的开销将得以减少。当某个VLAN中的一个用户从一个地点移动至另一个地点时,只要他们仍旧保持在同一个VIAN中并且能够连接到一个交换端口上。那么无需对他们的网络地址进行修改。最多只是需要将此交换端口重新配置到相应的VLAN中。此种方式将极大地简化配置和调试工作,这对于目前大量使用的配线间技术是一个很大的改进。并且此时路由器的配置可以保持不变。

  广播数据的控制、站点的移动、增加和修改、以及网络资源访问权限的设置都是集中式管理的一般性功能。VLAN通信为此种管理方式大开了方便之门,因为在VLAN解决方案中一般都带有可集中配置管理和监控的VLAN管理软件。

  广播数据是在每一个网络中都会出现的。此种数据量的多少主要取决于应用的类型、服务器的类型、逻辑分段的数目、以及这些网络资源是如何使用的。

  目前各种Group Ware应用将会产生大量的广播数据,网络设备的故障也可能会导致广播数据的大量出现。如果管理得不好的话,广播数据将严重地损害网络的性能并可能导致整个网络的崩溃。

  早期使用的有效的措施是用防火墙对网络进行适当的分段,以防止因某个网段出现问题而使整个网络受到影响。这种功能一般可借助于路由器来实现。

  当交换型体系结构在网络中大量使用时,广播数据(第二层数据)将被传送到各个交换端口那里。

  平板式交换型网络的优点是它给用户提供了非常低的传输延迟和非常高的数据传输率,但广播数据却将被传送到所有的交换设备、端口、主干网连接和用户那里,大量地浪费网络资源特别是宝贵的广域网资源。为减少此种不利影响,在网络中还得加上一定数量的路由器以对网络进行分段。一旦使用了路由器,传输延迟将会随之而增加,从而丧失交换型网络的优点。

  VLAN的主要好处之一是支持VLAN的交换设备也可以有效地对广播数据进行控制,某VLAN中的广播数据将只是被复制到那些连接有此VLAN的某个成员的交换端口上,在除此而外的那些端口上将不会出现这些数据。这实际上是为在交换型网络中建立起同路由器功能类似的防火墙提供了一种有效的手段。

  但同使用路由器的解决方案相比,VLAN技术有几个显著的优点是路由器所无法具备的。

  (1)首先是性能上的问题,使用路由器最大的问题是传输延迟比较高,而在VLAN结构中大部分数据都是借助于交换而传输的,只是在VLAN间的数据才要经过路由器的处理。在配置得比较好的VLAN结构中,VLAN间的数据量将比较少,因而总的网络性能将不会受到太大的影响。

  (2)其次路由器的配置和管理更为复杂,减少网络中路由器的数量可以降低网络的维护和管理开销。另外同路由器端口比较起来,交换端口的价格要便宜一些,这使得我们可以用比较少的费用而获得比较好的效果。

  例如限制在同一个VLAN中的交换端口的数目以及连接这些端口上的用户的数目等。一般来说,VLAN中的用户数越少,此VLAN中的广播数据对于网络中其它用户的影响将越小。另外可以基于所用的应用类型及这些应用所产生的广播数据量的大小进行VLAN的划分。共享同一个会产生大量广播数据的应用程序的那些用户可以划分到同一个VLAN中,同时网管人员也可以将此应用分布到整个网络上。

  目前共享型的LAN已经大量地安装在各行各业中,这会导致一个严重的问题就是如何对数据进行保密,共享型LAN的一个最大的不足就是易于受到入侵。因为只要把机器接人到一个端口中就可以收到相应网段上的所有数据。广播域越大,此种危险也将越大,除非是HUB本身具有安全控制功能。

  增强网络安全性的一种最有效和最易于管理的方法是将整个网络划分成一个个互相独立的广播组(VLAN)。(相关的用户连接在一起,保证了数据的安全)。

  另外网管人员可以限制某个VLAN中的用户的数量,并且可以禁止那些没有得到许可的用户加入到某个VLAN中。按照此种方式,VLAN可以提供一道安全性防火墙,以控制用户对于网络资源的访问,控制广播组的大小和构成,并且可借助于网管软件在发生非法入侵时及时通知管理人员。

  实现此种类型的分段相对来说还是比较简单的。例如我们可以根据应用类型和访问权限对交换端口进行分组,那些受限的应用和资源一般均被放到一个VLAN中。试图侵入某个VLAN中的非法用户将被网管软件标记出来。

  通过使用路由器访问表还可以使安全性得到更进一步的增强。这对于VLAN间的数据传输特别有用。在此种安全性的VLAN上,路由器将根据在交换设备和路由器中的配置而限制对于某些VLAN中数据的访问。此种限制可以根据站点的地址、应用类型、协议类型、甚至时间等加以设置。

  对于为什么要使用VLAN,提得最多的是VLAN可以减少处理用户站点的移动和改变所带来的开销。

  由于这些开销一般来说都比较大,因此VLAN方案也越来越引人注目。事实上VLAN方案也确实能实现这一目的。

  举例来说,对于IP类型的网络,当用户从一个子网移至另一个子网时,一般都需要对其IP地址进行手工修改,而此种修改可能需要花费比较长的时间才能使站点正常工作,而这些时间本来是可以用于其它一些更具有创造性的活动上的。使用VLAN则可以完全消除这些不必要的时间浪费,因VLAN的成员身份同站点所在的地址是无关的,这样一来站点可以发生移动而其IP地址和子网成员身份则可以保持不变。

  但任何事物都是具有两面性的,VLAN的实现虽然可以降低对于网络动态管理的开销,但VLAN在物理连接的基础上多出了一个虚拟连接,而对此虚拟连接的管理也是要有一定的开销的。但只要规划得当,总的网络管理开销还是可以降低的。

  VLAN方案的另一个更为雄伟的目标是要建立起虚拟工作组模型。虚拟工作组指的是当在整个园区网络环境下实现了VLAN之后,同一个部门的所有成员将可以像处于同一个LAN上那样进行通信,大部分网络通信将不会传出此VLAN广播域。当某个用户从一个地方移动到另一个地方时,如果他的工作部门不发生变化(表示它仍在同一个VLAN),那么就用不着对其机器进行重新配置。

  与此类似,如果某个用户改变了工作部门,他可以不改变其工作地点,而只需网管人员修改一下其VLAN成员身份即可。

  此种功能模型使得我们可以建立起来更为动态化的组织环境,以增强向功能交靠的工作组方向演化的趋势。

  虚拟工作组模型的工作方式是:以某个临时性的项目为基础的工作组可以虚拟地连接到同一个VLAN上,这样此工作组中的人员将用不着改变其工作地点。

  另外这些工作组可以是动态的,同某个功能有关的工作组相应的VLAN可以在项目的生存期内动态地创建起来;而在此项目完成之后则可以将此VLAN“拆除”,用户的地理位置不用发生任何变化。

  虽然此种操作方式确实是很诱人的,但实际情况是VLAN本身并不能完全实现此种虚拟工作组模型。目前要实现此种模型至少要考虑以下几个管理和结构方面的问题:

  (1)虚拟工作组的管理:从网络管理的角度出发,虚拟工作组的暂时性可能会使得修改VLAN成员身份同修改路由表一样麻烦(虽然这比移动用户的工作站可能要省事一些)。而且,从人们的心理角度来讲,他们可能更习惯于同他们的同事呆在同一个地方,这对于虚拟工作组的实现无疑是一个最大的障碍。

  (2) 80/20规则的保持:虚拟工作组的VLAN支持通常假设80%以上的网络通信量是在本VLAN内的而只有不到20%是跨越VLAN之间的或者是远程的。此即著名的80/20规则。

  从理论上讲,如果VLAN配置得好的的话,确实是可以做到这一点的。但许多类型的应用却使人们对于在VLAN 中能否保持这一点产生怀疑,如大量地安装服务器以及某些类型的网络应用如E—Mail等都将使80/20规则失效。(大量的E—Mail是跨越VLAN之间的或者是远程的)。

  (3)对本地网络资源的访问:虚拟工作组可能会遇到的一个问题就是用户虽然离某个资源(如打印机)很近但却只能“望洋兴叹”,因为此种资源可能被配置在另外一个不同的VLAN中。当然此种问题可以使得此种共享资源同时是多个VLAN中的成员,但将增加VLAN之间的数据传输量。

  服务器Farm指的是将各部门的服务器放到某数据中心,在那里可以进行统一的备份、并提供良好 的供电系统以及合适的操作环境。此种向服务器Farms演化的趋势近来正在不断加快,并且此种趋 势将继续下去以降低管理开销,但此种结构对于虚拟工作组模型而言是有问题的,最大的困难在 于当服务器不具备同时参加到多个VLAN中的能力时。

  此时服务器同某个不在服务器所属VLAN中的客户之间的通信必须经过路由器。但如果交换设备本 身具有路由功能,那么在此种情况下网络的性能将不会受到什么损害。目前已有几家厂商的产品 支持此种功能。

本文链接:http://klickieaiken.com/juyuwangguangbo/207.html

相关推荐:

网友评论:

栏目分类

现金彩票 联系QQ:24498872301 邮箱:24498872301@qq.com

Copyright © 2002-2011 DEDECMS. 现金彩票 版权所有 Power by DedeCms

Top