基于交換式以太網(wǎng)的VLAN
在交換式以太網(wǎng)中,利用VLAN 技術(shù),可以將由交換機(jī)連接成的物理網(wǎng)絡(luò)劃分成多個(gè)邏輯子網(wǎng)。也就是說(shuō),一個(gè)VLAN中的站點(diǎn)所發(fā)送的廣播數(shù)據(jù)包將僅轉(zhuǎn)發(fā)至屬于同一VLAN 的站點(diǎn)。而在傳統(tǒng)局域網(wǎng)中,由于物理網(wǎng)絡(luò)和邏輯子網(wǎng)的對(duì)應(yīng)關(guān)系,因此任何一個(gè)站點(diǎn)所發(fā)送的廣播數(shù)據(jù)包都將被轉(zhuǎn)發(fā)至網(wǎng)絡(luò)中的所有站點(diǎn)。在交換式以太網(wǎng)中,各站點(diǎn)可以分別屬于不同的VLAN 。構(gòu)成VLAN 的站點(diǎn)不拘泥于所處的物理位置,它們既可以掛接在同一個(gè)交換機(jī)中,也可以掛接在不同的交換機(jī)中。VLAN 技術(shù)使得網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活,例如位于不同樓層的用戶或者不同部門的用戶可以根據(jù)需要加入不同的VLAN 。到目前為止,基于交換式以太網(wǎng)實(shí)現(xiàn)VLAN 主要有三種途徑:基于端口的VLAN 、基于MAC 地址的VLAN 和基于IP 地址的VLAN 。
1、基于端口的VLAN
基于端口的VLAN 就是將交換機(jī)中的若干個(gè)端口定義為一個(gè)VLAN ,同一個(gè)VLAN 中的站點(diǎn)具有相同的網(wǎng)絡(luò)地址,不同的VLAN 之間進(jìn)行通信需要通過(guò)路由器。采用這種方式的VLAN 其不足之處是靈活性不好,例如當(dāng)一個(gè)網(wǎng)絡(luò)站點(diǎn)從一個(gè)端口移動(dòng)到另外一個(gè)新的端口時(shí),如果新端口與舊端口不屬于同一個(gè)VLAN ,則用戶必須對(duì)該站點(diǎn)重新進(jìn)行網(wǎng)絡(luò)地址配置,否則,該站點(diǎn)將無(wú)法進(jìn)行網(wǎng)絡(luò)通信。
2、基于MAC 地址的VLAN
在基于MAC 地址的VLAN 中,交換機(jī)對(duì)站點(diǎn)的MAC 地址和交換機(jī)端口進(jìn)行跟蹤,在新站點(diǎn)入網(wǎng)時(shí)根據(jù)需要將其劃歸至某一個(gè)VLAN ,而無(wú)論該站點(diǎn)在網(wǎng)絡(luò)中怎樣移動(dòng),由于其MAC 地址保持不變,因此用戶不需要進(jìn)行網(wǎng)絡(luò)地址的重新配置。這種VLAN 技術(shù)的不足之處是在站點(diǎn)入網(wǎng)時(shí),需要對(duì)交換機(jī)進(jìn)行比較復(fù)雜的手工配置,以確定該站點(diǎn)屬于哪一個(gè)VLAN 。
3、基于IP 地址的VLAN
在基于IP 地址的VLAN 中,新站點(diǎn)在入網(wǎng)時(shí)無(wú)需進(jìn)行太多配置,交換機(jī)則根據(jù)各站點(diǎn)網(wǎng)絡(luò)地址自動(dòng)將其劃分成不同的VLAN 。在三種VLAN 的實(shí)現(xiàn)技術(shù)中,基于IP 地址的VLAN 智能化程度最高,實(shí)現(xiàn)起來(lái)也最復(fù)雜。VLAN 作為一種新一代的網(wǎng)絡(luò)技術(shù),它的出現(xiàn)為解決網(wǎng)絡(luò)站點(diǎn)的靈活配置和網(wǎng)絡(luò)安全性等問(wèn)題提供了良好的手段。雖然VLAN 技術(shù)目前還有許多問(wèn)題有待解決,例如技術(shù)標(biāo)準(zhǔn)的統(tǒng)一問(wèn)題、VLAN 管理的開(kāi)銷問(wèn)題和VALN 配置的自動(dòng)化問(wèn)題等等。然而,隨著技術(shù)的不斷進(jìn)步,上述問(wèn)題將逐步加以解決,VLAN 技術(shù)也將在網(wǎng)絡(luò)建設(shè)中得到更加廣泛的應(yīng)用,從而為提高網(wǎng)絡(luò)的工作效率發(fā)揮更大的作用。事實(shí)上一個(gè)VLAN(虛擬局域網(wǎng))就是一個(gè)廣播域。為了避免在大型交換機(jī)上進(jìn)行的廣播所引起的廣播風(fēng)暴,可將連接到大型交換機(jī)上的網(wǎng)絡(luò)劃分為多個(gè)VLAN(虛擬局域網(wǎng))。在一個(gè)VLAN(虛擬局域網(wǎng))內(nèi),由一個(gè)工作站發(fā)出的信息只能發(fā)送到具有相同VLAN(虛擬局域網(wǎng))號(hào)的其他站點(diǎn)。其它VLAN(虛擬局域網(wǎng))的成員收不到這些信息或廣播幀。
采用VLAN 有如下優(yōu)勢(shì):
1. 抑制網(wǎng)絡(luò)上的廣播風(fēng)暴;
2. 增加網(wǎng)絡(luò)的安全性;
3. 集中化的管理控制。
這就是在局域網(wǎng)交換機(jī)上采用VLAN(虛擬局域網(wǎng))技術(shù)的初衷,也確實(shí)解決了一些問(wèn)題。但這種技術(shù)也引發(fā)出一些新的問(wèn)題:隨著應(yīng)用的升級(jí),網(wǎng)絡(luò)規(guī)劃/實(shí)施者可根據(jù)情況在交換式局域網(wǎng)環(huán)境下將用戶劃分在不同VLAN(虛擬局域網(wǎng))上。但是VLAN(虛擬局域網(wǎng))之間通信是不允許的,這也包括地址解析(ARP)封包。要想通信就需要用路由器橋接這些VLAN(虛擬局域網(wǎng))。這就是VLAN(虛擬局域網(wǎng))的問(wèn)題:不用路由器是嫌它慢,用交換機(jī)速度快但不能解決廣播風(fēng)暴問(wèn)題,在交換機(jī)中采用VLAN(虛擬局域網(wǎng))技術(shù)可以解決廣播風(fēng)暴問(wèn)題,但又必須放置路由器來(lái)實(shí)現(xiàn)VLAN(虛擬局域網(wǎng))之間的互通。形成了一個(gè)不可逾越的怪圈。這就是網(wǎng)絡(luò)的核心和樞紐路由器的問(wèn)題。在這種網(wǎng)絡(luò)系統(tǒng)集成模式中,路由器是核心。
路由器所起的作用是:
1.網(wǎng)段微化(網(wǎng)段之間通過(guò)路由器進(jìn)行連接):
2. 網(wǎng)絡(luò)的安全控制;
3. VLAN(虛擬局域網(wǎng))間互連;
4. 異構(gòu)網(wǎng)間的互連。
1.2.3 局域網(wǎng)瓶頸
1、 采用路由器作為網(wǎng)絡(luò)的核心將產(chǎn)生的問(wèn)題:
● 路由器增加了3 層路由選擇的時(shí)間,數(shù)據(jù)的傳輸效率低;
● 增加、移動(dòng)和改變節(jié)點(diǎn)的復(fù)雜性有增無(wú)減;
● 路由器價(jià)格昂貴、結(jié)構(gòu)復(fù)雜;
● 增加子網(wǎng)/ VLAN(虛擬局域網(wǎng))的互連意味著要增加路由器端口,投資也增大。
相比之下,路由器是在OSI 七層網(wǎng)絡(luò)模型中的第三層--網(wǎng)絡(luò)層操作的,它在網(wǎng)絡(luò)中,收到任何一個(gè)數(shù)據(jù)包(包括廣播包在內(nèi)),都要將該數(shù)據(jù)包第二層(數(shù)據(jù)鏈路層)的信息去掉(稱為"拆包"),查看第三層信息(IP 地址)。然后,根據(jù)路由表確定數(shù)據(jù)包的路由,再檢查安全訪問(wèn)表;若被通過(guò),則再進(jìn)行第二層信息的封裝(稱為"打包"),最后將該數(shù)據(jù)包轉(zhuǎn)發(fā)。如果在路由表中查不到對(duì)應(yīng)MAC 地址的網(wǎng)絡(luò)地址,則路由器將向源地址的站點(diǎn)返回一個(gè)信息,并把這個(gè)數(shù)據(jù)包丟掉。與交換機(jī)相比,路由器顯然能夠提供構(gòu)成企業(yè)網(wǎng)安全控制策略的一系列存取控制機(jī)制。由于路由器對(duì)任何數(shù)據(jù)包都要有一個(gè)"拆打"過(guò)程,即使是同一源地址向同一目的地址發(fā)出的所有數(shù)據(jù)包,也要重復(fù)相同的過(guò)程。這導(dǎo)致路由器不可能具有很高的吞吐量,也是路由器成為網(wǎng)絡(luò)瓶頸的原因之一。如果路由器的工作僅僅是在子網(wǎng)與子網(wǎng)間、網(wǎng)絡(luò)與網(wǎng)絡(luò)間交換數(shù)據(jù)包的話,我們可能會(huì)買到比今天便宜得多的路由器。實(shí)際上路由器的工作遠(yuǎn)不止這些,它還要完成數(shù)據(jù)包過(guò)濾、數(shù)據(jù)包壓縮、協(xié)議轉(zhuǎn)換、維護(hù)路由表、計(jì)算路由、甚至防火墻等許多工作。而所有這些都需要大量CPU 資源,因此使得路由器一方面價(jià)格昂貴,另一方面越來(lái)越成為網(wǎng)絡(luò)瓶頸。
2、 提高路由器的硬件性能,無(wú)法解決路由器瓶頸問(wèn)題:
提高路由器的硬件性能(采用更高速,更大容量的內(nèi)存)并不足以改善它的性能。因?yàn)槁酚善鞒擞布瓮猓?復(fù)雜的處理與強(qiáng)大的功能"主要是通過(guò)軟件來(lái)實(shí)現(xiàn)的,這必然使得它成為網(wǎng)絡(luò)瓶頸。另外,當(dāng)流經(jīng)路由器的流量超過(guò)其吞吐能力時(shí),將引起路由器內(nèi)部的擁塞。持續(xù)擁塞不僅會(huì)使轉(zhuǎn)發(fā)的數(shù)據(jù)包被延誤,更嚴(yán)重的是使流經(jīng)路由器的數(shù)據(jù)包丟失。這些都給網(wǎng)絡(luò)應(yīng)用帶來(lái)極大的麻煩。路由器的復(fù)雜性還對(duì)網(wǎng)絡(luò)的維護(hù)工作造成了沉重的負(fù)擔(dān)。例如,要對(duì)網(wǎng)絡(luò)上的用戶進(jìn)行增加、移動(dòng)或改變時(shí),配置路由器的工作將顯得十分復(fù)雜。
3 交換機(jī)結(jié)合路由器存在不足:
將交換機(jī)和路由器結(jié)合起來(lái)(這也是當(dāng)今大多數(shù)企業(yè)所采用的網(wǎng)絡(luò)解決方案),從功能上來(lái)講是可行的。然而,存在顯然不足,不足之出在于:從網(wǎng)絡(luò)用戶的角度看,整個(gè)網(wǎng)絡(luò)被分為兩種等級(jí)的性能:直接經(jīng)過(guò)交換機(jī)處理的數(shù)據(jù)包享受著高速公路快速、穩(wěn)定的傳遞性能;但是那些必須經(jīng)過(guò)路由器的數(shù)據(jù)包只能使用慢速通路,當(dāng)流量負(fù)荷嚴(yán)重時(shí),便會(huì)產(chǎn)生另人頭痛的延遲。交換機(jī)和路由器是網(wǎng)絡(luò)中不同的設(shè)備,須分別購(gòu)買、設(shè)置和管理,其花費(fèi)必然要多于一個(gè)基于集成化的單一完整的解決方案的花費(fèi)。
1.2.4 第三層交換技術(shù)
局域網(wǎng)交換機(jī)的引入,使得網(wǎng)絡(luò)站點(diǎn)間可獨(dú)享帶寬,消除了無(wú)謂的碰撞檢測(cè)和出錯(cuò)重發(fā),提高了傳輸效率,在交換機(jī)中可并行地維護(hù)幾個(gè)獨(dú)立的、互不影響的通信進(jìn)程。在交換網(wǎng)絡(luò)環(huán)境下,用戶信息只在源節(jié)點(diǎn)與目的節(jié)點(diǎn)之間進(jìn)行傳送,其他節(jié)點(diǎn)是不可見(jiàn)的。但有一點(diǎn)例外,當(dāng)某一節(jié)點(diǎn)在網(wǎng)上發(fā)送廣播或組播時(shí),或某一節(jié)點(diǎn)發(fā)送了一個(gè)交換機(jī)不認(rèn)識(shí)的MAC 地址封包時(shí),交換機(jī)上的所有節(jié)點(diǎn)都將收到這一廣播信息。整個(gè)交換環(huán)境構(gòu)成一個(gè)大的廣播域。點(diǎn)到點(diǎn)是在第二層快速、有效的交換,但廣播風(fēng)暴會(huì)使網(wǎng)絡(luò)的效率大打折扣。交換機(jī)的速度實(shí)在快,比路由器快的多,而且價(jià)格便宜的多?梢哉f(shuō),在網(wǎng)絡(luò)系統(tǒng)集成的技術(shù)中,直接面向用戶的第一層接口和第二層交換技術(shù)方面已得到令人滿意的答案。交換式局域網(wǎng)技術(shù)使專用的帶寬為用戶所獨(dú)享,極大的提高了局域網(wǎng)傳輸?shù)男省5诙䦟咏粨Q也暴露出弱點(diǎn):對(duì)廣播風(fēng)暴、異種網(wǎng)絡(luò)互連、安全性控制等不能有效地解決。作為網(wǎng)絡(luò)核心、起到網(wǎng)間互連作用的路由器技術(shù)卻沒(méi)有質(zhì)的突破。當(dāng)今絕大部分的企業(yè)網(wǎng)都已變成實(shí)施TCP/IP 協(xié)議的Web 技術(shù)的內(nèi)聯(lián)網(wǎng),用戶的數(shù)據(jù)往往越過(guò)本地的網(wǎng)絡(luò)在網(wǎng)際間傳送,因而,路由器常常不堪重負(fù)。傳統(tǒng)的路由器基于軟件,協(xié)議復(fù)雜,與局域網(wǎng)速度相比,其數(shù)據(jù)傳輸?shù)男瘦^低。但同時(shí)它又作為網(wǎng)段(子網(wǎng),VLAN)互連的樞紐,這就使傳統(tǒng)的路由器技術(shù)面臨嚴(yán)峻的挑戰(zhàn)。隨著Internet/Intranet 的迅猛發(fā)展和B/S(瀏覽器/服務(wù)器)計(jì)算模式的廣泛應(yīng)用,跨地域、跨網(wǎng)絡(luò)的業(yè)務(wù)急劇增長(zhǎng),業(yè)界和用戶深感傳統(tǒng)的路由器在網(wǎng)絡(luò)中的瓶頸效應(yīng)。改進(jìn)傳統(tǒng)的路由技術(shù)迫在眉睫。一種辦法是安裝性能更強(qiáng)的超級(jí)路由器,然而,這樣做開(kāi)銷太大,如果是建設(shè)交換網(wǎng),這種投資顯然是不合理的。
在這種情況下,一種新的路由技術(shù)應(yīng)運(yùn)而生,這就是第三層交換技術(shù):第三層交換技術(shù)也稱為IP 交換技術(shù)、高速路由技術(shù)等。第三層交換技術(shù)是相對(duì)于傳統(tǒng)交換概念而提出的。眾所周知,傳統(tǒng)的交換技術(shù)是在OSI 網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第二層—數(shù)據(jù)鏈路層進(jìn)行操作的,而第三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實(shí)現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。簡(jiǎn)單地說(shuō),第三層交換技術(shù)就是:第二層交換技術(shù)+第三層轉(zhuǎn)發(fā)技術(shù)。這是一種利用第三層協(xié)議中的信息來(lái)加強(qiáng)第二層交換功能的機(jī)制。一個(gè)具有第三層交換功能的設(shè)備是一個(gè)帶有第三層路由功能的第二層交換機(jī),但它是二者的有機(jī)結(jié)合,并不是簡(jiǎn)單的把路由器設(shè)備的硬件及軟件簡(jiǎn)單地疊加在局域網(wǎng)交換機(jī)上。從硬件的實(shí)現(xiàn)上看,目前,第二層交換機(jī)的接口模塊都是通過(guò)高速背板/總線(速率可高達(dá)幾十Gbit/s)交換數(shù)據(jù)的,在第三層交換機(jī)中,與路由器有關(guān)的第三層路由硬件模塊也插接在高速背板/總線上,這種方式使得路由模塊可以與需要路由的其他模塊間高速的交換數(shù)據(jù),從而突破了傳統(tǒng)的外接路由器接口速率的限制(10Mbit/s---100Mbit/s)。在軟件方面,第三層交換機(jī)也有重大的舉措,它將傳統(tǒng)的基于軟件的路由器軟件進(jìn)行了界定,其作法是:
北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內(nèi)蒙古 |