首页 -> 2008年第2期
虚拟局域网技术的实现及目的
作者:王 乐
[关键词]三层交换 广播风暴 网络阻塞 网络拓扑结构ISO七层模型
(一)局域网中的虚拟局域网的目的
虚拟网技术(VLAN,Virtual Local AreaNetwork)的产生主要源于广播。广播在网络中起着非常重要的作用,如发现新设备、调整网络路径、IP地址租赁等等,许多网络协议都要用到广播。然而,随着网络内计算机数量的增多,广播包的数量也会急剧增加,当广播包的数量占到通讯总量的30%时,网络的传输效率将会明显下降。所以,当局域网内的计算机达到一定数量后(一般在150~200台内),就要采用划分VLAN的方法将网络分隔开,将一个大的广播域划分为若干个小的广播域,以减小广播可能造成的危害。
为了避开广播风暴就应该用一种技术,给一个大的网络分成几个小的网络,这必须在三层交换机或路由器划分,这是几个虚拟的小网,实际还是一个大网络,每个小网内进行广播,就不会出现因为网络风暴引起的网络阻塞。还有另一个更大的优点是可以将一个企业的数据库、财务及各部门的信息分开,达到保护信息的一种手段。这就是实现VLAN重要目的,
(二)VLAN的重要意义
VLAN中的成员与其物理位置无关,既可连接至同一台交换机,也可连接至不同交换机,来降低移动和变更的管理成本。而且VLAN的实现更具有以下意义。
1 控制广播。由于所有的广播都只在本VLAN内进行,而不再扩散到其他VLAN上,所以,把较大的网络适当地划分成若干较小的VLAN,将大大减少广播对网络带宽的占用,从而提高网络传输效率,并有效地避免广播风暴的产生以及在整个网络的蔓延。
2 支持多媒体技术和高效组播控制。组播技术是支持多媒体应用的有效手段,在交换机中用组播组动态定义VLAN,并自动把组播报文只复制给同一VLAN中的终端,可大大提高多媒体数据传输的实时性,更有效地使用带宽,降低网络因拥挤而阻塞的可能性。
3 增强安全性。由于交换机只能在同一VLAN内的端口之间交换数据,不同VLAN的端口不能直接相互访问。同时,可以在Trunk(中继)中设置允许访问的VLAN,从而限制未经允许的VLAN访问,保证VLAN只被授权的用户访问。因此,通过划分VLAN,可以有效地提高网络安全性,防止某些非授权用户对敏感数据的访问。
4 网络监督和管理的自动化。由于可以通过网管软件查看VLANI司和VLAN内的各类通信信息,而这些信息对于确定网络拓扑与路由,以及设置服务器的位置都十分有用。通过划分VLAN,可以使网络管理变得更简单、更轻松、更有效。
(三)虚拟局域网的实现
虽然划分VLAN的方式有许多种,但是,使用最多的仍然是基于端口的VLAN。不同厂商的交换机大多支持以下几种VLAN的划分方式:
1 基于端口VLAN。基于端口VLAN是最常使用的划分VLAN的方式,几乎被所有的交换机所支持。所谓基于端口VLAN,是指由网络管理员使用网管软件或直接设置交换机,将某些端口直接地、强制性地分配给某个VLAN,除非网管人员重新设置,否则,这些端口将一直保持对该VLAN的从属性。即属于该VLAN,因此,这种划分方式也称为静态VLAN。这种方法虽然在网络管理员进行VLAN划分操作时会比较麻烦,但相对安全,并且容易配置和维护。同时,由于不同VLAN间的端口不能直接相互通讯,因此,每个VLAN都有自己独立的生成树。此外,交换机之间在不同VLAN中可以有多个并行链路,以提高VLAN内部的交换速率,增加交换机之间的带宽。
2 基于MAC的VLAN。所谓基于MAC的VLAN,是指借助智能管理软件根据MAC地址来划分VLAN。该划分方式一般用在每一交换机端口只连接一个终端的情况。也就是说,当端口连接至集线器或交换机时,该种划分方式并不适用。端口借助网络包的MAC地址、逻辑地址或协议类型来确定其VLAN的从属,将端口划分至不同VLAN。当一网络节点刚连接到交换机时,此时交换机端口尚未分配,于是,交换机通过读取网络节点的MAC地址,动态地将该端口划入某个虚拟网。一旦网管人员配置好后,用户的计算机就可以随意改变其连接的交换机端口,而不会由此而改变自己的VLAN。当网络中出现未定义的MAC地址,交换机可以按照预先设定的方式向网管人员报警,再由网管人员作相应的处理。因此,基于MAC的VLAN也称为动态VLAN。由于MAC地址具有世界唯一性,因此,该VLAN划分方式的安全性也较高。
3 基于IP的VLAN。所谓基于IP的VALN,是指根据IP地址来划分的VLAN。交换机属OSI第二层,因此,普通交换机不能识别帧中的网络层报文,但随着第二层交换机的出现,将第二层的交换功能和第三层的路由功能结合在一起,从而使交换机也能够识别网络层报文,可以使用报文中的IP地址来定义VLAN。因此,当某一用户设置有多个IP地址时,或该端口连接到的集线器中拥有多个TCP/IP用户时,通过基于IP的VLAN,该用户或该端口就可以同时访问多个虚拟网。在该模式下,位于不同VLAN的多个部门(每种业务设置成一个虚拟网)均可同时访问同一台网络服务器,也可以同时访问多个虚拟网的资源,还可让多个虚拟网间的连接只需一个路由端门即可完成。这种定义方法的优点是当某一终端使用的网络层协议或IP地址改变时,交换机能够自动识别,重新定义VLAN,不需要管理员干预。但由于IP地址可以人为地、不受约束地自由设置,因此,使用该方式划分VLAN也会带来安全上的隐患。
4 基于组播的VLAN。组播作为一点对多点的通信,是节省网络带宽的有效方法之一。在多媒体应用中,当需要将一个节点的多媒体信号传送到多个节点时,无论是采用重复点对点通信方式,还是采用广播的方式,都会严重浪费网络宽带,而只有组播才是最好的选择。组播能够使一个或多个发送者将帧发送给组地址,而不是单个主机。其中,那些希望参加某一特定组的接收者,需要将含有组地址的IGMP“加入消息”发送给最邻近的路由器,然后,路由器使用多点广播路由协议(例如DVMRP、PIM等)建立从源到所有接收者的分发树。接收者在任何时候都可以动态地参加或离开某个多点广播组。支持IP多点广播的应用包括:音频/视频会议、“push”技术(如股票行情、运动记分、报文)和虚拟现实游戏。基于组播的VLAN,就是动态地把那些需要同时通信的端口定义到一个VLAN中,并在VLAN中用广播的方法解决点对多点通信的问题。