|
VLAN技术在网络中的应用(王钧、杨善林)
在传统的局域网中,各站点共享传输信道所造成的信道冲突和广播风暴是影响网络
性能的重要因素。为了解决发生在网络第二层的信道冲突和发生在网络第三层的广播风
暴问题,网桥和路由器被广泛应用于局域网中。由网桥连接的网络属于同一逻辑子网,
逻辑子网是指该网络中的网络站点具有相同的网络层地址,例如具有相同的IP网络号或
者IPX网络号。由路由器将不同逻辑子网连接在一起,逻辑子网间的通信必须经路由器
进行。
在这种网络结构中,由集线器、粗缆和细缆所构成的物理网络与逻辑子网相应。通
常一个IP子网或者IPX子网属于一个广播域,因此网络中的广播域是根据物理网络来划分
的。这样的网络结构无论从效率和安全性角度来考虑都有所欠缺。同时,由于网络中的
站点被束缚在所处的物理网络中,而不能够根据需要将其划分至相应的逻辑子网,因此
网络的结构缺乏灵活性。例如分属于不同的案线器的站点不能属于同一个逻辑子网。为
解决这一问题,从而引发了虚拟局域网(VLAN)的概念。所谓VLAN是指网络中的站点不
拘泥于所处的物理位置,而可以根据需要灵活地加入不同的逻辑子网中的一种网络技术。
一、交换技术是VLAN技术的基础
交换技术是近年来迅速发展起来的一种网络技术,交换方式主要有基于LAN交换机的
帧交换和基于异步传输模式(ATM)机的信元交换。交换技术的出现为VLAN的实现奠定了
坚实的基础。
1.基于LAN交换机方式
传统的解决网络带宽的方法是网络微元化,通过网桥/路由器将LAN分段、但由于网
桥/路由器的增加,网络费用增加,同时给网络管理员带来了重大负担,而且当跨段业
务增加时,网桥/路由器将成为网络中的瓶颈,引起网络阻塞。传统集线器是被动的,
只转发信息,不对信息帧进行处理。而LAN交换机类似于多端口网桥,利用快速分组交换
技术,在读取LAN段传来的信息帧地址后,在源和目的瑞口间建立连接,提供一个并行的
交换通路。
系统是由以太网分组处理器(EPP)、交换矩阵、系统控制模块组成。从以太网来的
信息帧进入EPP,根据系统模块提供的地址表,在交换矩阵中进行硬件交换,地址表的生
成和更新由系统控制模块完成。这种LAN交换机提供广端口和网络交换的功能,利用配置
于网络管理中心的增值软件,可以在任何端口间形成逻辑工作组,用户可以按任何方式
组合成VLAN。
2基于ATM的方式
ATM的核心技术是ATM交换机。ATM交换机的主要功能是提供一种把来自输人端口的信
元快速而有效地转发到输出端口,在转发过程中,要对单个信元输入、信元头转换和输
出进行处理。信地头必须按输出端口的要求进行处理。输出处理是确保信元进入适当的
物理链路。
ATM交换机由交换机构模块、控制模块和输入/输出接口模块3个基本部分组成。
输入/输出接口模块完成信元收发以及所需的一些处理,其中包括光/电转换、帧
的拆/装、信元定界,虚通道(VP)和虚通路(VC)标识的识别和转换,头部差错控制
以及路由标识的形成等。交换机构模块根据路由标识完成信元从输入端日到指定输出端
口的转移。控制机构完成呼叫/连接控制,分配虚拟连接的标识号,以实现路由信息(
路由表)的生成和更新,以及资源的管理和分配等。
ATM交换机全部用硬件处理代替软件处理,根据输入的信元标头确定输出端口,信元
很小(固定为53字节),所以交换延时非常小。
本文是基于LAN网络用户中最为常见的交换式以太网为模型,来介绍VLAN的工作方式。
二、VLAN的工作方式
1.基于交换端口的VLAN
这种方式是把LAN交换机的某些端口的集合,作为VLAN的成员。这些集合有时只在单
个LAN交换机上,有时则跨越多台LAN交换机。虚拟局域网的管理应用程序,根据交换机
端口的标识ID,将不同的端口分到对应的分组中,分配到一个VLAN的各个端口上的所有
站点都在一个广播域中,它们相互可以通信,不同的VLAN站点之间进行通信需经过路由
器来进行。这种VLAN方式的优点在于简单,容易实现,从一个端口发出的广播,直接发
送到VLAN内的其他端口,也便于直接监控。它的缺点是自动化程度低,灵活性不好。比
如,不能在给定的端日上支持一个以上的VLAN;一个网络站点从一个端日移动到另一个
新的端口时,如新端口与旧端口不属于同一个VLAN,则用户必须对该站点重新进行网络
地址配置。
2.基于MAC地址的VLAN
这种方式的VLAN,要求交换机对站点的MAC地址和交换机端口进行跟踪,在新站点入
网时,根据需要将其划归至某一个VLAN。不论该站点在网络中怎样移动,由于其MAC地址
保持不变,因此用户不需对网络地址重新配置。然而所有的用户必须明确地分配给一个
VLAN,在这种初始化工作完成后,对用户的自动跟踪才成为可能。在一个大型网络中,要
求网络管理人员将每个用户—一划分到某一个VLAN,是十分繁琐的。
3.基于网络层的VLAN
它是利用网络层的业务属性来自动生成VLAN,把使用不同的路由协议的站点分在相对
应的VLAN中。IP子网1为第1个VLAN,IP子网2第2个VLAN,IPX子网 1为第3个VLAN……依此
类推。通过检查所有的广播和多点广播帧,交换机能自动生成VLAN。
这种方式构成的VLAN,在不同的LAN网段上的站点可以属于同一VLAN,同一物理端日
上的站点也可分属于不同的VLAN,从而保证了用户完全自由地进行增加。移动和修改等操
作。这种根据网络上应用的网络协议和网络地址划分VLAN的方式,对于那些想针对具体应
用和服务来组织用户的网络管理人员来说是十分有效的。它减少了人工参与配置VLAN,使
VLAN有更大灵活性,比基于MAC地址的VLAN更容易做到自动化管理。
三、VLAN的应用价值
1.增加了网络连接的灵活性
网络管理员对网络上工作站可以按业务功能,而不必按地理位置分组。VLAN可以降低
移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了
VLAN后,这部分管理费用大大降低
2.控制网络上的广播风暴
随着网络向交换结构转变,人们失去了路由器提供防火墙功能。这样,广播风暴将发
送到每一个交换端口,这就是常说的整个网络是一个广播域。使用交换网络的优势是可以
提供低延时和高吞吐量。缺点是增加了整个交换网络的广播风暴。
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播风暴。使用VLAN,可以将
某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个
交换机,在一个VLAN中的广播风暴不会送到VLAN之外。同样,相邻的端口不会收到其他V
LAN产生的广播风暴。这样,可以减少广播流量,释放带宽给用户应用,减少广播风暴的
产生。
3.增加网络的安全性
人们在LAN上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安
全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组,网络管理员限制
了VLAN中用户的数量,禁止未经允许而访问VLAN中的应用。交换端口可以基于应用类型和
访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。
4.增加了集中化的管理控制
通过集中化的VLAN管理程序,网络管理员可以确定VLAN组,分配特定用户和交换端口
给这些VLAN组,设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,
跨越交换机配置VLAN通信,监控交通流量和VLAN使用的网络带宽。这些能力有效地提高了
网络管理程序的可控性、灵活性和监视功能,减少了管理的费用。
VLAN技术仍在发展中,有关它的一些技术标准制订和完善,预计它的应用在未来的数
年内将会得到极大的发展。
|