第7章第三层交换
20世纪90年代中期以来,第三层交换(L3)技术成为IT媒体频频出现的词汇,各网络供应商把它较为
竞争的法宝。
7.1概述
1.使用网桥的局限性
网桥的优缺点:
(1)网桥基于MAC地址,实现LAN之间的互联。优点是:网络*作简单,速度快,与OSI的其他层
无关。其易于维护且价格低廉。
(2)网桥无法实现流控,广播包从一个LAN到另一个LAN,常会引起大量的多路广播,造成网络效
率降低。较严重时会造成广播风暴,是整个网络瘫痪。
(3)当网桥构成网状结构时,会产生广播包和不知道目的地址的数据包的循环问题。为此制定了
生成树的算法。即在一个网络中,任意两个终端之间只有一条路径。
(4)在某些情况下,因网桥拥塞而丢失数据包,使网络不稳定、不可靠。
(5)广播包是需要的,但太多的广播包会导致网络效率降低。
2.路由器的引入及其局限性
*路由器的优缺点:
(1)网络分段,这是路由器较主要的功能之一。路由器可以将不同的LAN互联。
(2)路径选择,通过对数据包中的IP地址检查,选择出路径。
(3)隔离广播,路由器可以住址广播流量从一个LAN到另一个LAN,可避免广播风暴。
(4)安全性与防火墙,只有被授权的用户才能通过路由器。
(5)第三层的特殊服务,如优先权控制。
(6)广域网连接,大多数网络目前仍使用路由器作为网络连接设备。
*路由器的工作原理:(略)
*路由器的限制:
(1)路由器需对每一个数据包检查,即使是同一源地址到同一目的地址的数据包也不例外,重复
工作。
(2)软件是路由器的主要实现方式,由于以上原因,路由器的吞吐量不可能很高。
(3)路由器在流量超过本身的吞吐量时,会造成数据包丢失或延误,给网络造成危害。
3.局域网交换技术的引入及其局限性
交换式网络是以交换器为中心构造的网络体系,交换式网络与多端口网桥非常相似,他们都工作
在第二层,网桥交换事业是基于每个数据包的终点地址(MAC)。
交换式网络的实现通常采用全硬件结构实现,具有速度快,可以为每一个节点提供全部网络带
宽,但同网桥一样它也不具备隔离广播数据包的能力。
4.L3交换技术引入的背景
交换技术可以克服网络带宽的局限,而路由器又能解决TCP/IP中的地址问题,那么将两者技术结
合起来,扬长避短,发挥各自的优点,从而解决以上问题。在这种背景下,产生了交换式网络技
术。
7.2 L3交换技术解决方案的分类
目前已提出的L3交换技术解决方案分为两类:
一类基于核心模型,另一类基于边缘多层混合交换模型。
7.2.1解决方案的分类
1.基于核心模型的解决方案
主要解决核心关键节点,即路由器的第三层交换技术。有两种方案:
(1)对于每一个数据包都需检查源/目的IP地址的方法,改为检查数据分组携带的网络流标志为
依据,这样就大大减小了检查的时间,提高了吞吐率。
(2)完全用ASIC(专用集成电路)硬件以线速来实现路由器的路由/转发、流控、管理、服务质
量等功能。
2.于边缘多层混合交换模型的解决方案
"一次路由,随后交换"的方案:
(1)这种方案认为网络智能应该在网络的边缘,而不是在网路的关键节点实现,因为这样可以减
少网络中继点的额外开销。
(2)这种方案认为绝大多数策略和请求都在端系统上完成,少数特定的控制功能(如身份认证、
防火墙、流量统计等)则集中在少数几个网络核心节点的智能系统。
(3)这种方案认为在第三层路由一次,然后在第二层交换端到端的网络数据分组。
7.2.2两种L3交换实现策略
1.原有设备和系统进行升级和改造
在有关的边缘和核心设备上,配置新的软件、硬件或者更换部分部件,使数据流效率大大提高。
2.设计全新的、功能完善的高性能L3交换器以代替作为核心设备的传统路由器
7.3局域网系统中使用的典型的L3交换技术
7.3.1 3Com的FastIP技术
3Com的FastIP技术是一种典型的边缘多层混合交换模型的解决方案,它采用了"一次路由,随后交
换"的方案:NHRP(下一条路由协议)是FastIP的主要技术基础。
1.NBMA(非广播多路访问)网的NHRP协议简介
(1)NBMA(非广播多路访问)网的NHRP协议可以参见RFC1735.
(2)NHRP并不是一个路由协议,它只是一个IP逻辑子网(LIS)的地址解析协议,适用于NBMA
(非广播多路访问)网(ATM网就是NBMA,因为ATM是面向连接,它和广播无连接以太网不同)。
(3)NHRP是一个标准的IP格式数据包,源站的MAC地址和IP地址以及帧类型,帧类型指出这是
NHRP请求数据包。
(4)利用NHRP协议进行通信:
?在同一个NBMA网中,就使用NHRP协议进行地址解析;
?在不同一个NBMA网中,则把目的端所在子网的路由器的NBMA地址通知源端。
?在同一个NBMA网中,不管是否划分为多个子网,都不需要路由器交换。
例如:在下例中,(a)为没使用NHRP协议的NBMA网络;(b)为使用NHRP协议的NBMA网络,他们
的交换方式如下:
2.局域网环境中的FastIP技术
FastIP技术介绍:
(1)一个未端系统主机A在需要传送数据给另一个未端系统主机B,A和B分别在不同的IP逻辑子网
或者在不同的虚拟局域网中。
(2)主机A首先初始化一个标准的IP通信进程,然后就可以发送数据分组给它的缺省路由器(一
般称为缺省网关)。
(3)A首先传送一个NHRP请求,(包括主机A的MAC地址)给主机B.
(4)但路由器收到NHRP后,如果控制策略允许的话,路由器将这个请求转发给主机B,否则就丢
弃,并且后继的数据必须按路由器路径转发。
(5)如果控制策略允许的话,B收到A的NHRP请求后,他立即回送一个NHRP响应,在这个响应的源
地址字段中B填写自己的MAC地址,在目的地址字段中填写A的MAC地址。
(6)这个响应通过一条交换路径(不是路由路径)返回A.
(7)随后就可以建立数据交换路径,进行双方的通信,这就是“一次路由,随后交换”。
注意:
FastIP有一定的拓扑结构的限制,因为NHRP是基于交换路径的,在源端和目的端之间必须存在交
换路径,如下图,则不支持FastIP.
3.FastIP技术特点
FastIP技术特点总结如下:
(1) FastIP技术的思路是设法在数据交换过程中避开第三层路由器。即把基于IP地址路由表功能
转化成基于端口——MAC地址表的转发功能,从而实现完全的端到端高速交换通信。
(2)FastIP是基于局域网的第三层交换解决方案,除了3Com的网络接口卡和软件支持外,可以兼容
许多第三方产品和技术。
(3)FastIP并不是要替代路由,而是把交换和路由很好地结合在一起。经测试,FastIP可以把网络
的吞吐率提高4~5倍。
7.3.2 CISCO的NetFlow交换
CISCO使全球首屈一指的路由器设备供应商。
1.CISCO的NetFlow交换处理
传统的第三层路由技术为:
对每一个数据分组分别独立地进行处理,即使是源端和目的端相同的分组也要进行分别独立地进
行处理。过程可记为:MAC——IP——MAC.
NetFlow交换如下:
(1)每一个数据分组仍然采用一般的第三层路由/交换方式,处理之后的路由器把第一个数据分
组的信息记录在NetFlow的高速缓存中;
(2)后继的分组到达后,首先在高速缓存(CACHE)中进行匹配查找,如果命中,就使用高速缓存
(CACHE)中缓存的路由信息,直接进行交换转发,否则再进行通常的路由转发。
(3)NetFlow技术中,网络流的划分标准是源和目的IP地址,因此NetFlow必须首先识别一个分组
所携带的源和目的IP地址域,并查找。
(4)NetFlow速度可达到每秒30万个分组。
(5)CISCO还采用了一种专用的技术,可以支持流状态信息的搜集和输出,便于管理者管理。
2.CISCO NetFlow“交换”的意义
(1)NetFlow仍然工作在第三层,而不是第二层。
(2)NetFlow交换是一种传统的路由转发的改进方法,即使用高速缓存(CACHE)的一个变种,在技术
上做了一些改进。
(3)NetFlow并没有建立连接源和目的端系统的第二层交换路径,它只是单独的路由器上完成的。
数据分组被“交换”只有局部意义,这与通常意义上的交换是完全不同的。
7.4广域网中的L3交换技术
广域网的速率可达到G和T比特。
7.4.1广域网存在的问题
1.广域网的数据传输及其存在问题
举例:(1)CEP路由器A到CEP路由器B
(2)CEP路由器A到CEP路由器ZZ
存在的问题:
(1)核心路由器汇集了大量的网络流量,因此会成为网络通信的瓶颈;
(2)所有的通信数据分组都必须经过核心路由器的路由/转发;
(3)广域网的多个路由器中继影响了网络的吞吐量;
(4)如果网络扩大,就必须不断地投资来提高核心路由器的处理能力;
(5)网络不够健壮,一旦关键节点崩溃就会瘫痪。
2.管理和服务面临的问题
(1)呈几何级数膨胀的虚拟连接的管理。虚拟连接的复杂度为:N×N,N为节点数;
(2)吞吐率:路由器必须提高转发速度,才能满足全双工信元传输。(ATM)
(3)支持端到端的服务质量。
7.4.2 CISCO的标记交换
标记交换的思想是增强广域网的核心路由器的路由/转发功能。
1.标记交换的处理概述
(1)相邻的标记交换路由器(TSR)之间的路由信息的交互都是基于网络层的路由协议。
(2)标记:是一个很短的长度固定的标号,路由表使用标记而不是用传统的查找方法,前者要比
后者快的多。
(3)标记交换路由器的原理:
一般来说,只在广域网边缘路由器进行路由选择,在输入端路由器生成一个很长的
标记,每经过一个路由器,就把标记去掉一个域,一直到出端路由器。
(4)每个标记交换路由器(TSR)要实现两个功能:
?基于标记的转发/交换功能,用硬件实现。
?管理互联TSR的合法标记集。用软件实现。
2.基于标记交换的转发/交换功能
标记信息存放的地方:
(1)插在第二层的帧头之后,但在第三层的分组头之前;
(2)添入ATM信元的VPI/VCI域。
第8章?虚拟局域网
虚拟局域网的产生
在LAN交换技术中,虚拟局域网是一种迅速发展的技术。此种技术的核心是通过路由和交换设备在
网络的物理拓扑结构基础上建立一个逻辑网络,以使得网络中任意几个LAN段或(和)单站能够组合
成一个逻辑上的局域网。
在20世纪90年代初,具有多端口的路由器开始取代网桥,以达到在第三层对网络进行分段的目
的,并实现对广播数据的抑制。在此种只使用路由器的网络中,网段和广播域是一一对应的。在
一个网段,也即一个广播域中通常只包含有30—100个用户。
在引入交换技术之后,人们可以在第二层上将网络划分成更小的分段,这样做的好处是各网段的
带宽将得以提高,而网络中路由器可以集中力量作好广播数据的抑制工作。此时一个广播城可以
跨越多个交换的网段,从而使得在一个广播域中提供对500个甚至更多的用户的支持也不再是什么
困难的事。而VLAN则代表着—种不用路由器对广播数据进行抑制的解决方案。
在VLAN中,对广播数据的抑制将由交换器完成。此时每一个物理网段可以仅包含一个用户,而一
个广播域中则可以具有多达1000个以上的用户。另外VLAN还可以跟踪各个工作站物理位置的变
动,使之在移动位置之后不需要对其网络地址重新进行手工配置。
在本章中我们将讨论VLAN的特点、结构、实现机制、功能以及将来发展的情况。
8.1?概?述
8.1.1?什么是VLAN
要对VLAN下一个确切的定义可能是一件比较困难的事,因各厂商有不同的VLAN解决方案,但可以
这样认为,VLAN基本上可以看成是一个广播域。说的具体一点,一个VLAN可以看成是一组客户工
作站的集合。这些工作站不必处于同一个物理网络上,它们可以不受地理位置的限制像处于同一
个LAN上那样进行通信和信息交换。
如图8.1所示,即为VLAN的一个例子。
在整个网络结构中,划分了三个VLAN,分别为工程VLAN、市场VLAN及财会VLAN,每一个VLAN包括
了相应的客户站。可以认为一个VLAN实际上是逻辑上的网段。
此种逻辑上的网段给LAN的管理、安全性以及广播数据的抑制带来诸多的益处。现VLAN需要具备以
下若干条件:
?具有能够将所连接的客户站进行逻辑分段的高性能交换机。
?在网上传输VLAN信息的通信协议。
?进行VLAN间通信的第三层路由解决方案。
?同已安装的LAN系统能够实现VLAN的兼容性和互操作性。
?提供具有集中控制、配置和流量管理功能的网管方案。
虚拟局域网需要解决的问题:在实现VLAN的过程中有许多需要解决,但较为关键的是如下几个问
题:
?如何在整个网络范围内定义务VLAN中的成员,即VLAN划分方法。
?如何在多个交换设备之间传递VLAN成员信息
?VLAN的配置问题如何解决
?VLAN之间的通信如何进行
这些问题如何解决将影响到某个VLAN实现是否能够有效地满足用户和网络管理的要求。由于VLAN
都是在交换网络环境中实现的。在此种网络环境中较核心的问题是交换设备。交换设备是各客户
工作站连人交换网络的入口点,它可以提供对用户、端口、以及逻辑地址进行分组以构成VLAN的
能力。
当前LAN交换设备在物理上一般都安装在共享式的分段HUB和位于主干网的路由器之间,它将在
VLAN的分段及实现低延迟的报文转发方面起到至关重要的作用。总的来说,VLAN交换设备除了能
够显著地提高网络的性能和专用带宽外,同时它还具有完成VLAN的划分所必需的能力。
8.2?建立虚拟局域网的交换技术
8.2.1?端口交换
端口交换或称配置交换,较初的方式是把端口经过手工配置到一个或若干个通过背板连接的共享
HUB上,可以形成若干个独立的由端口组合的共享媒体段,每一个连接到端口上的用户被分配到其
中一个段上。(端口连接的配置可人为确定)
近年来发展成为一种称为端口交换(Port Switch)的设备,在一个或几个通过背板连接的端口交换
器上,通过软硬件的控制和管理,交换器上的所在端口划分成若干个共享式的互相独立的VLAN.
端口交换方式的特点有二:
?一是端口用户组成小规模的VLAN非常灵活;
?二是在全局交换网络上,端口交换能够为全局VLAN提供有效的、灵活的前端配置端口
组合的功能。?
8.2.2?帧交换(第二层交换)
LAN(Ethernet,Token Ring或FDDI)交换器(机)每一个端口上提供一个独立的共享媒体端口,在此
端口上可以接共享HUB也可以接单独的一个客户站。在一个端口上接收到的帧正确地转发到输出端
口上,在寻找路径和转发时,帧是不会被破坏的。
(1)对于广播帧来说,可以转发到交换器上的所有端口。
(2)虚拟化后,一个交换器或者互联的若干交换器上的每个端口可以被分配给任何VLAN,即在网
络系统中形成若干个VLAN.
帧交换方式的特点是比端口交换增加了有效的带宽,LAN交换器上每个端口用户具有独占带宽(例
10Mbps,100Mbps)的性能,交换器间互联的速率可达数百兆甚至千兆位传输率。服务器和高速客
户站可以直接连到交换器端口上。
目前,绝大多数厂家的LAN交换器(机)均按帧交换方式来实现VLAN的交换,Ethernet交换器与端口
交换器组合应用,使用户加入VLAN更灵活。
8.2.3?信元交换
ATM交换机上实现信元交换,一个或者多个互联的ATM交换机组成网络的核心系统,类似于帧交换
(需查交换表),所不同的是从ATM交换机端口上接收到信元后,正确地转发到输出端口。
8.3?划分虚拟局域网的方法
常用的VLAN划分方法如下:
8.3.1?按交换端口号
将交换设备端口进行分组来划分VLAN,如图8.3所示。交换器1与交换器2上端口?1、2、3、8与
1、7、8所连接的客户站构成VLANA.而相应的端口4、5、6、7与4、5、6所连接的客户站构成
VLANB.?
在较初的实现中,VLAN是不能跨越交换设备的。后来进一步的发展使得VLAN可以跨越多个交换设
备。
按端口号划分VLAN仍然是构造VLAN的一个较常用的方法。而且此种方法也确实是比较简单并且非
常有效。但仅靠端口分组而定义VLAN将无法使得同一个物理分段(或交换端口)同时参与到多个
VLAN中,而且更要紧的是当一个客户站从一个端口移至另一个端口时,网管人员将不得不对VLAN
成员进行重新配置。
8.3.2?按MAC地址
这种方法的特点是由网管人员指定属于同一个VLAN中的各客户站的MAC地址。
用MAC地址进行VLAN成员的定义既有优点也有缺点。由于MAC地址是固化在网卡中的,故移至网络
中另外一个地方时它将仍然保持其原先的VLAN成员身份而无需网管人员对之进行重新的配置,从
这个意义讲,用MAC地址定义的VLAN可以看成是基于用户的VLAN.
但这种方法也有许多不足之处,首先所有的用户在较初都必须被配置到(手工方式)至少一个VLAN
中,只有在此种手工配置之后方可实现对VLAN成员的自动跟踪。但在大型的网络中完成初始的配
置并不是一件容易的事。
8.3.3?按第三层协议
基于第三层协议的VLAN实现在决定VLAN成员身份时主要是考虑协议类型(支持多协议的情况下)或
网络层地址(如TCP/IP网络的子网地址)。此种类型的VLAN划分需要将子网地址映射到VLAN,交换
设备则根据子网地址而将各机器的MAC地址同一个VLAN联系起来。交换设备将决定不同网络端口上
连接的机器属于同一个VLAN.
但应注意此处对于第三层信息的使用并不构成路由功能。我们不应将其同网络层路由混淆起来。
因为在交换设备使用报文的IP地址决定VLAN成员身份时并没有进行任何路由计算,也没有使用任
何路由协议。交换设备只是根据生成树算法在其各端口之间进行帧的转发。因此从这个意义上
讲,任一VLAN内部的连接仍然是一种平板式的桥接拓扑结构。?
第三层定义VLAN的优点:
首先,我们可以根据协议类型进行VLAN的划分,这对于那些对基于服务或基于应用VLAN策略的网
管人员无疑是极具吸引力的。
其次,用户可以自由地移动我们的机器而无须对网络地址进行重新配置。
在第三层上所定义的VLAN对于TCP/IP特别有效,但对于其它一些协议如IPX、DECnet或Apple则要
差一些,并且对于那些不可进行路由选择的一些协议,如Netbios,在第三层上实现VLAN划分将特
别困难,因为使用此种协议的机器是无法互相区分的,因此也就无法将其定义成某个网络层VLAN
的一员。
总之,各种划分方式侧重点不同,所达到的效果就不尽相同。目前在网络产品中融合多种划分
VLAN的方法,以便根据实际情况寻找较合适的途径;同时,随着管理软件的发展,VLAN的划分逐
渐趋向于动态化。
8.3.4?多重属性的VLAN
大多数情况下,人们可以同时为不同的工作组工作,即同时属于多个VLAN.一个好的虚拟网策略
不能强迫用户一定要属于某个虚拟网而且只能是这一个,这样设计的虚拟网缺乏灵活性和扩展
性。
举例:VLAN中组员的多重属性。
如某一公司的投标小组,小组里面需有销售人员、市场人员及工程技术人员,他们分别负责投标
的不同任务并协同工作,而这些人员原来又分别属于销售部、市场部、工程部的不同虚拟网络。
(垂直领导与横向联合共有)。
因而,实际上他们组成了一个临时的投标虚拟网。这时,他们既可分别访问他们原属的网络,又
可同时在投标VLAN中互相交流信息,这就是VLAN中组员的多重属性。
一个用户同时具有多个VLAN成员资格虽然是很有必要的,但这意味着工作组的安全性下降,并可
能导致可伸缩性的下降。
8.4?虚拟局域网互联方式
总的要求:灵活、高效。
一般情况下网络环境中的VLAN实现了网络流量的分割。
在大型网络中,VLAN内数据的高速交换同VLAN间数据传输的有效路由和交换这两者的集成正变得
越来越具有吸引力。
互联的各种不同的路由方案具有很大的差别,每一种都有其各自的优点和不足,并且将对网络的
总体结构产生影响。而且路由也并不是解决VLAN间通信技术的惟一方法。
同选择一种VLAN解决方案会遇到的其它一些重要问题一样,解决VLAN间通信的选择也取决于用户
特定的应用需求及总的网络结构,其中较为关键的问题是要达到较高程度的灵活性。
目前基本上有五种不同的VLAN路由模式:
?边界路由。
?“独臂”路由器
?路由服务器/路由客户机。
?ATM上的多协议(MPOA)路由。
?第三层交换。
下面我们将具体讨论各种不同模式的工作方式及其各自的优缺点。?
课堂笔记(第8章)2
8.4.1?边界路由
边界路由指的是将路由功能包含在位于主干网络边界的每一个LAN交换设备中,此时,VLAN间的报
文将由交换设备内在的路由能力进行处理,从而无需再将其传送至某个外部的路由器上,数据的
转发延迟因而也将得以降低。
此种路由方式的主要优点:在于不像集中式路由那样会因中央路由站点的崩溃而导致整个网络的
瘫痪。
主要的不利之处在于:相对于统一路由功能的集中式管理而言,边界路由需要对多个物理设备进
行管理。另外此种方式可能比由一个集中式路由器和多个较便宜的边界路由器组成的集中式方案
在价格上要贵一些。
8.4.2?“独臂”路由器
采用“独臂”路由器的网络方案因能消除主干网上集中式处理和高延迟的路由功能而越来越受广
泛的关注。
要求:
?大部分报文在VLAN内传输;
?少量的报文通过路由器进行传输。
这种路由器一般接在主干网上的一个交换设备上,以使得网络中的大部分报文在通过主干网时无
需通过路由器进行处理,而且此种方式配置和管理起来也比较方便。此种路由模式由图8.4所
示。?
优点:我们可以看到同一个VLAN内的报文将用不着通过路由器而直接在交换设备间进行高速传
输。
这种路由方式的不足之处在于它仍然是一种集中式的路由策略,因此在主干网上一般均设置有多
个冗余“独臂”路由器,但如果网络中VLAN之间的数据传输量比较大,那么在路由器处将形成瓶
颈。
8.4.3?ATM上的多协议路由(MPOA)
人们现在正在致力于将路由服务器的方法标准化。ATM论坛的MPOA标准工作组正在进行的工作就是
此种努力中的一个代表。
MPOA的目的是给可能属于不同路由子网的多个用ATM网络连接的设备提供直接的虚拟连接。也就是
说,MPOA将使得多个属于不同E—LAN(仿真局域网)的站点通过ATM网络直接进行通信,而用不着
经过一个中间的路由器。其中ELAN可以看成为另一种的VLAN,它是在ATM网络环境下用LAN
Emulation(模仿)标准建立起来的。
8.4.4?第三层交换技术
在第三层交换技术的章节中,已经详细地讨论了各种技术的原理和特点,有的技术方案本身就是
一个带有路由功能的交换器。特别是基于智能可编程ASIC技术的第三层交换器,它既包括了第二
层和第三层的交换功能,而且还具备路由寻址功能。因此利用它来作为网络的主干交换器,既可
以根据多种方法来定义VLAN成员,继后配置VLAN,又能不附加其它路由设备来实现VLAN之间的通
信。不论从网络结构还是降低网络传输延迟来说,用第三层交换技术不失是一个很好的选择。
8.5?虚拟局域网标准(IEEE 802.1Q)
虚拟局域网标准(IEEE 802.1Q)的建立:
近几年来,在实现VLAN的过程中,各厂家纷纷推出自己的技术和相应的产品,但往往这些技术和
产品所遵循的协议和标准是不相同的,致使各厂家的VLAN产品自成系统,互不兼容。妨碍了VLAN
技术和市场的进一步发展。
目前第三层上实现的VLAN往往是基于Internet TCP/IP的组播技术及相应的协议,其中涉及的技
术和协议如下:
?IP组播地址确定。
?IGMP.?
?MVONE(Intemet Multicast Backbone)。
?DVMRP(Distance Vector Multieast Routing Protoc01)。
标准协议:?
而在MAC层上VLAN实现的标准较有代表性则为IEEE 802.1Q.
1996年3月IEEE 802.1 Internetworking小组完成了制定VLAN标准而进行的初步调查工作,解决了
三大问题,即VLAN的体系结构、帧标记的标准格式以及VLAN标准化未来发展方向。特别是帧标记
的标准化格式使用了802.1Q标准。
帧格式标准化后,各厂家可以迅速将其融入到它们生产的交换机产品中,目前所有的主要厂商,
其中包括3C0M,Bay,IBM以及Cisco都表示支持802.1Q.
IEEE802.1Q目前还是标准草案,该标准草案是基于IEEE 802.1D和IEEE802.1p等标准,定义了基于
MAC层桥接局域网(Bridged LAN)实现VLAN的方法。
在802.1Q中定义了两种类型的帧标记:
?隐式的帧标记(Implicittagging):隐式的帧标记表示帧所属的VLAN信息并未被明显
地标记,该帧属于哪一个VLAN,缺省地由网桥的接收端口号或帧中data域的信息决定。
?显式的帧标记。(Explicit、tagging):显式的帧标记表示帧所属哪一个VLAN由网桥
(LAN交换器)所加的标记(VID)显式地决定。
形成以太网显式的帧标记包括以下几个步骤:
?在以太网帧中插入VLAN头部。头部插在DA(目的地址)和SA(源地址)之后。
?重新计算FCS(帧检验)
VLAN头部包括(4字节)如下信息域:
?VPID(VLAN Protocol Identifier),2字节,它表明此帧已按802.1Q协议显式标记。
?VCI(VLAN Control Information),2字节,它由以下几部分组成:?(见图8.5)
a.User-priority(用户优先)它允许VLAN帧在那些不具备表示用户优先权的网段(如Ethernet)携
带用户优先权信息;
b.TR-encap它置位时(=1)表示该帧data域中携带的是未经翻译和封装的TokenRing帧;
c.VID(VLAN Identifier)它表明此帧属于哪一个VLAN.?
8.6?虚拟局域网的功能
上面我们讨论了VLAN的技术特点,人们发展VLAN技术的一个主要原因是减少在网络中的站点发生
移动、增加和修改时增加管理开销,同时解决因数据的广播而引起的一些性能问题。
主要优点:
?效率高;如同在一个局域网中。
?易管理;在VLAN中变动方便。
?减小对路由的需求;
?安全性更高。
我们将发现上面所讨论的VLAN技术确实能够达到上述目的,同时还可以实现其它一些引人注意功
能。例如安全性、对广播数据的更好的管理和控制,网络的微分段、负载分担等等。下面我们将
这些问题进行详细的讨论。?
提高管理效率
网络中站点的移动、增加和改变是较让网管人员头疼的问题之一,同时也是网络维护过程中相对
来说开销比较大的一部分。因为此时一般都需要重新进行布线,并且几乎所有的站点移动都伴随
着地址的重新分配以及对交换器和路由器重新配置。
VLAN为控制上述修改而提供了有效的手段,同时对交换器和路由器重新进行配置的开销将得以减
少。当某个VLAN中的一个用户从一个地点移动至另一个地点时,只要他们仍旧保持在同一个VIAN
中并且能够连接到一个交换端口上。那么无需对他们的网络地址进行修改。较多只是需要将此交
换端口重新配置到相应的VLAN中。此种方式将极大地简化配置和调试工作,这对于目前大量使用
的配线间技术是一个很大的改进。并且此时路由器的配置可以保持不变。
广播数据的控制、站点的移动、增加和修改、以及网络资源访问权限的设置都是集中式管理的一
般性功能。VLAN通信为此种管理方式大开了方便之门,因为在VLAN解决方案中一般都带有可集中
配置管理和监控的VLAN管理软件。
控制广播数据
广播数据是在每一个网络中都会出现的。此种数据量的多少主要取决于应用的类型、服务器的类
型、逻辑分段的数目、以及这些网络资源是如何使用的。
广播风暴的预防:
目前各种Group Ware应用将会产生大量的广播数据,网络设备的故障也可能会导致广播数据的大
量出现。如果管理得不好的话,广播数据将严重地损害网络的性能并可能导致整个网络的崩溃。
因此网管人员必须采取措施对因广播数据而可能导致的问题加以预防。
早期使用的有效的措施是用防火墙对网络进行适当的分段,以防止因某个网段出现问题而使整个
网络受到影响。这种功能一般可借助于路由器来实现。?
当交换型体系结构在网络中大量使用时,广播数据(第二层数据)将被传送到各个交换端口那里。
此种结构通常被称作是“平板式”的网络,整个网络构成一个广播域。
平板式交换型网络的优点是它给用户提供了非常低的传输延迟和非常高的数据传输率,但广播数
据却将被传送到所有的交换设备、端口、主干网连接和用户那里,大量地浪费网络资源特别是宝
贵的广域网资源。为减少此种不利影响,在网络中还得加上一定数量的路由器以对网络进行分
段。一旦使用了路由器,传输延迟将会随之而增加,从而丧失交换型网络的优点。
VLAN的主要好处之一是支持VLAN的交换设备也可以有效地对广播数据进行控制,某VLAN中的广播
数据将只是被复制到那些连接有此VLAN的某个成员的交换端口上,在除此而外的那些端口上将不
会出现这些数据。这实际上是为在交换型网络中建立起同路由器功能类似的防火墙提供了一种有
效的手段。
但同使用路由器的解决方案相比,VLAN技术有几个显著的优点是路由器所无法具备的。
(1)首先是性能上的问题,使用路由器较大的问题是传输延迟比较高,而在VLAN结构中大部分数
据都是借助于交换而传输的,只是在VLAN间的数据才要经过路由器的处理。在配置得比较好的
VLAN结构中,VLAN间的数据量将比较少,因而总的网络性能将不会受到太大的影响。
(2)其次路由器的配置和管理更为复杂,减少网络中路由器的数量可以降低网络的维护和管理开
销。另外同路由器端口比较起来,交换端口的价格要便宜一些,这使得我们可以用比较少的费用
而获得比较好的效果。?
(3)网管人员可以非常方便地通过多种手段对广播域的大小进行控制。
例如限制在同一个VLAN中的交换端口的数目以及连接这些端口上的用户的数目等。一般来说,
VLAN中的用户数越少,此VLAN中的广播数据对于网络中其它用户的影响将越小。另外可以基于所
用的应用类型及这些应用所产生的广播数据量的大小进行VLAN的划分。共享同一个会产生大量广
播数据的应用程序的那些用户可以划分到同一个VLAN中,同时网管人员也可以将此应用分布到整
个网络上。
增强网络安全性
目前共享型的LAN已经大量地安装在各行各业中,这会导致一个严重的问题就是如何对数据进行保
密,共享型LAN的一个较大的不足就是易于受到入侵。因为只要把机器接人到一个端口中就可以收
到相应网段上的所有数据。广播域越大,此种危险也将越大,除非是HUB本身具有安全控制功能。
增强网络安全性的一种较有效和较易于管理的方法是将整个网络划分成一个个互相独立的广播组
(VLAN)。(相关的用户连接在一起,保证了数据的安全)。
另外网管人员可以限制某个VLAN中的用户的数量,并且可以禁止那些没有得到许可的用户加入到
某个VLAN中。按照此种方式,VLAN可以提供一道安全性防火墙,以控制用户对于网络资源的访
问,控制广播组的大小和构成,并且可借助于网管软件在发生非法入侵时及时通知管理人
员。?
实现此种类型的分段相对来说还是比较简单的。例如我们可以根据应用类型和访问权限对交换端
口进行分组,那些受限的应用和资源一般均被放到一个VLAN中。试图侵入某个VLAN中的非法用户
将被网管软件标记出来。
通过使用路由器访问表还可以使安全性得到更进一步的增强。这对于VLAN间的数据传输特别有
用。在此种安全性的VLAN上,路由器将根据在交换设备和路由器中的配置而限制对于某些VLAN中
数据的访问。此种限制可以根据站点的地址、应用类型、协议类型、甚至时间等加以设置。
减少站点的移动和改变开销
对于为什么要使用VLAN,提得较多的是VLAN可以减少处理用户站点的移动和改变所带来的开销。
由于这些开销一般来说都比较大,因此VLAN方案也越来越引人注目。事实上VLAN方案也确实能实
现这一目的。
举例来说,对于IP类型的网络,当用户从一个子网移至另一个子网时,一般都需要对其IP地址进
行手工修改,而此种修改可能需要花费比较长的时间才能使站点正常工作,而这些时间本来是可
以用于其它一些更具有创造性的活动上的。使用VLAN则可以完全消除这些不必要的时间浪费,因
VLAN的成员身份同站点所在的地址是无关的,这样一来站点可以发生移动而其IP地址和子网成员
身份则可以保持不变。
不足:增加了虚拟连接的管理的开销。
但任何事物都是具有两面性的,VLAN的实现虽然可以降低对于网络动态管理的开销,但VLAN在物
理连接的基础上多出了一个虚拟连接,而对此虚拟连接的管理也是要有一定的开销的。但只要规
划得当,总的网络管理开销还是可以降低的。
实现虚拟工作组
VLAN方案的另一个更为雄伟的目标是要建立起虚拟工作组模型。虚拟工作组指的是当在整个园区
网络环境下实现了VLAN之后,同一个部门的所有成员将可以像处于同一个LAN上那样进行通信,大
部分网络通信将不会传出此VLAN广播域。当某个用户从一个地方移动到另一个地方时,如果他的
工作部门不发生变化(表示它仍在同一个VLAN),那么就用不着对其机器进行重新配置。
与此类似,如果某个用户改变了工作部门,他可以不改变其工作地点,而只需网管人员修改一下
其VLAN成员身份即可。
此种功能模型使得我们可以建立起来更为动态化的组织环境,以增强向功能交叉的工作组方向演
化的趋势。
虚拟工作组模型的工作方式是:以某个临时性的项目为基础的工作组可以虚拟地连接到同一个
VLAN上,这样此工作组中的人员将用不着改变其工作地点。
另外这些工作组可以是动态的,同某个功能有关的工作组相应的VLAN可以在项目的生存期内动态
地创建起来;而在此项目完成之后则可以将此VLAN“拆除”,用户的地理位置不用发生任何变
化。
虽然此种操作方式确实是很诱人的,但实际情况是VLAN本身并不能完全实现此种虚拟工作组模
型。目前要实现此种模型至少要考虑以下几个管理和结构方面的问题:
(1)虚拟工作组的管理:从网络管理的角度出发,虚拟工作组的暂时性可能会使得修改VLAN成员身
份同修改路由表一样麻烦(虽然这比移动用户的工作站可能要省事一些)。而且,从人们的心理角
度来讲,他们可能更习惯于同他们的同事呆在同一个地方,这对于虚拟工作组的实现无疑是一个
较大的障碍。
(2) 80/20规则的保持:虚拟工作组的VLAN支持通常假设80%以上的网络通信量是在本VLAN内的
而只有不到20%是跨越VLAN之间的或者是远程的。此即著名的80/20规则。
从理论上讲,如果VLAN配置得好的的话,确实是可以做到这一点的。但许多类型的应用却使人们
对于在VLAN中能否保持这一点产生怀疑,如大量地安装服务器以及某些类型的网络应用如E—
Mail等都将使80/20规则失效。(大量的E—Mail是跨越VLAN之间的或者是远程的)。
(3)对本地网络资源的访问:虚拟工作组可能会遇到的一个问题就是用户虽然离某个资源(如打印
机)很近但却只能“望洋兴叹”,因为此种资源可能被配置在另外一个不同的VLAN中。当然此种问
题可以使得此种共享资源同时是多个VLAN中的成员,但将增加VLAN之间的数据传输量。
集中式服务器Farms:
服务器Farm指的是将各部门的服务器放到某数据中心,在那里可以进行统一的备份、并提供良好的供电系统以及合适的操作环境。此种向服务器Farms演化的趋势近来正在不断加快,并且此种趋势将继续下去以降低管理开销,但此种结构对于虚拟工作组模型而言是有问题的,较大的困难在于当服务器不具备同时参加到多个VLAN中的能力时。
此时服务器同某个不在服务器所属VLAN中的客户之间的通信必须经过路由器。但如果交换设备本身具有路由功能,那么在此种情况下网络的性能将不会受到什么损害。目前已有几家厂商的产品支持此种功能。