轉(zhuǎn)載請(qǐng)?jiān)谖氖妆A粼某鎏帲篍MC中文支持論壇https://community.emc.com/go/chinese
介紹
網(wǎng)絡(luò)性能是影響業(yè)務(wù)效率的一個(gè)重要因素贮勃。將大型廣播域分段是提高網(wǎng)絡(luò)性能的方法之一惨驶。路由器能夠?qū)V播包阻隔在一個(gè)接口上眷篇,但是,路由器的LAN接口數(shù)量有限幻梯,它的主要功能是在網(wǎng)絡(luò)間傳輸數(shù)據(jù),而不是對(duì)終端設(shè)備提供網(wǎng)絡(luò)接入进泼。訪問LAN的功能還是由接入層交換機(jī)來實(shí)現(xiàn)任岸。與三層交換機(jī)相類似,通過在二層交換機(jī)上創(chuàng)建VLAN來減少廣播域∶缯停現(xiàn)代交換機(jī)就是通過VLAN來構(gòu)造的襟诸,因此在某種程度上,學(xué)習(xí)交換機(jī)就是學(xué)習(xí)VLAN基协。
更多信息
問題的產(chǎn)生:
上一節(jié)已經(jīng)講過廣播域的概念:即廣播幀傳播覆蓋的范圍歌亲。如下圖所示,當(dāng)網(wǎng)絡(luò)上的所有設(shè)備在廣播域產(chǎn)生大量的廣播以及多播幀澜驮,就會(huì)與數(shù)據(jù)流競(jìng)爭帶寬陷揪。這是由網(wǎng)絡(luò)管理數(shù)據(jù)流組成,如:ARP杂穷,DHCP悍缠,STP等。如下圖所示亭畜,假設(shè)PC 1產(chǎn)生ARP扮休,Windows登錄,DHCP等請(qǐng)求:
這些廣播幀到達(dá)交換機(jī)1之后拴鸵,遍歷整個(gè)網(wǎng)絡(luò)并到達(dá)所有節(jié)點(diǎn)直至路由器玷坠。隨著網(wǎng)絡(luò)節(jié)點(diǎn)增加,開銷的總數(shù)也在增長劲藐,直至影響交換機(jī)性能八堡。通過實(shí)施VLAN斷開廣播域?qū)?shù)據(jù)流隔離開來,能夠解決這一問題聘芜。
什么是VLAN:
VLAN(virtual local area network)是一組與位置無關(guān)的邏輯端口兄渺。VLAN就相當(dāng)于一個(gè)獨(dú)立的三層網(wǎng)絡(luò)。VLAN的成員無需局限于同一交換機(jī)的順序或偶數(shù)端口汰现。下圖顯示了一個(gè)常規(guī)的部署挂谍,左邊這張圖節(jié)點(diǎn)連接到交換機(jī),交換機(jī)連接到路由器瞎饲。所有的節(jié)點(diǎn)都位于同一IP網(wǎng)絡(luò)口叙,因?yàn)樗麄兌歼B接到路由器同一接口。
圖中沒有顯示的是嗅战,缺省情況下妄田,所有節(jié)點(diǎn)實(shí)際上都是同一VLAN俺亮。因此,這種拓?fù)浣涌诳煽醋魇腔谕籚LAN的疟呐,如上面右圖所示脚曾。例如,Cisco設(shè)備默認(rèn)VLAN是VLAN 1启具,也稱為管理VLAN本讥。默認(rèn)配置下包含所有的端口,體現(xiàn)在源地址表(source address table鲁冯,SAT)中囤踩。該表用于交換機(jī)按照目的MAC地址將幀轉(zhuǎn)發(fā)至合適的二層端口。引入VLAN之后晓褪,源地址表按照VLAN將端口與MAC地址相對(duì)應(yīng)起來,從而使得交換機(jī)能夠做出更多高級(jí)轉(zhuǎn)發(fā)決策综慎。下圖顯示了show mac address table和show vlan命令的顯示輸出涣仿。所有端口(FA0/1 – FA0/24)都在VLAN 1。
另一種常用的拓?fù)浣Y(jié)構(gòu)是兩個(gè)交換機(jī)被一個(gè)路由器分離開來示惊,如下圖所示好港。這種情況下,每臺(tái)交換機(jī)各連接一組節(jié)點(diǎn)米罚。每個(gè)交換機(jī)上的各節(jié)點(diǎn)共享一個(gè)IP地址域钧汹,這里有兩個(gè)網(wǎng)段:192.168.1.0和192.168.2.0。
注意到兩臺(tái)交換機(jī)的VLAN相同录择。非本地網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過路由器轉(zhuǎn)發(fā)拔莱。路由器不會(huì)轉(zhuǎn)發(fā)二層單播,多播以及廣播幀隘竭。這種拓?fù)溥壿嬙趦蓚€(gè)地方類似于多VLAN:同一VLAN下的節(jié)點(diǎn)共享一個(gè)通用地址域塘秦,非本地?cái)?shù)據(jù)流(對(duì)應(yīng)多VLAN情況不同VLAN的節(jié)點(diǎn))需通過路由器轉(zhuǎn)發(fā)。在一臺(tái)交換機(jī)上添加一個(gè)VLAN动看,去掉另一臺(tái)交換機(jī)的話尊剔,結(jié)構(gòu)如下所示:
每一個(gè)VLAN相當(dāng)于一個(gè)獨(dú)立的三層IP網(wǎng)絡(luò),因此菱皆,192.168.1.0上的節(jié)點(diǎn)試圖與192.168.2.0上的節(jié)點(diǎn)通信時(shí)须误,不同VLAN通信必須通過路由器,即使所有設(shè)備都連接到同一交換機(jī)仇轻。二層單播京痢,多播和廣播數(shù)據(jù)只會(huì)在同一VLAN內(nèi)轉(zhuǎn)發(fā)及泛洪,因此VLAN 1產(chǎn)生的數(shù)據(jù)不會(huì)為VLAN 2節(jié)點(diǎn)所見拯田。只有交換機(jī)能看得到VLAN历造,節(jié)點(diǎn)和路由器都感覺不到VLAN的存在。添加了路由決策之后,可以利用3層的功能來實(shí)現(xiàn)更多的安全設(shè)定吭产,更多流量以及負(fù)載均衡侣监。
VLAN的作用:
安全性:每一個(gè)分組的敏感數(shù)據(jù)需要與網(wǎng)絡(luò)其他部分隔離開,減少保密信息遭到破壞的可能性臣淤。如下圖所示橄霉,VLAN 10上的教職工主機(jī)完全與學(xué)生和訪客數(shù)據(jù)隔離。
節(jié)約成本:無需昂貴的網(wǎng)絡(luò)升級(jí)邑蒋,并且?guī)捈吧闲墟溌防寐矢佑行А?/p>
性能提高:將二層網(wǎng)絡(luò)劃分成多個(gè)邏輯工作組(廣播域)減少網(wǎng)絡(luò)間不必要的數(shù)據(jù)流并提升性能姓蜂。
縮小廣播域:減少一個(gè)廣播域上的設(shè)備數(shù)量。如上圖所示:網(wǎng)絡(luò)上有六臺(tái)主機(jī)但有三個(gè)廣播域:教職工医吊,學(xué)生钱慢,訪客。
提升IT管理效率:網(wǎng)絡(luò)需求相似的用戶共享同一VLAN卿堂,從而網(wǎng)絡(luò)管理更為簡單束莫。當(dāng)添加一個(gè)新的交換機(jī),在指定端口VLAN時(shí)草描,所有策略和步驟已配置好览绿。
簡化項(xiàng)目和應(yīng)用管理:VLAN將用戶和網(wǎng)絡(luò)設(shè)備匯集起來,以支持不同的業(yè)務(wù)或地理位置需求穗慕。
每一個(gè)VLAN對(duì)應(yīng)于一個(gè)IP網(wǎng)絡(luò)饿敲,因此,部署VLAN的時(shí)候必須結(jié)合考慮網(wǎng)絡(luò)地址層級(jí)的實(shí)現(xiàn)情況逛绵。
交換機(jī)間VLAN:
多交換機(jī)的情況下怀各,VLAN是怎么工作的呢红选?下圖所示的這種情況戒祠,兩個(gè)交換機(jī)VLAN相同,都是默認(rèn)VLAN 1惠爽,即兩個(gè)交換機(jī)之間的聯(lián)系同在VLAN 1之內(nèi)添吗。路由器是所有節(jié)點(diǎn)的出口沥曹。
這時(shí)單播,多播和廣播數(shù)據(jù)自由傳輸碟联,所有節(jié)點(diǎn)屬于同一IP地址妓美。這時(shí)節(jié)點(diǎn)之間的通信不會(huì)有問題,因?yàn)榻粨Q機(jī)的SAT顯示它們?cè)谕籚LAN鲤孵。
而下面這種連接方式就會(huì)有問題壶栋。由于VLAN在連接端口的主機(jī)之間創(chuàng)建了三層邊界,它們將無法通信普监。
仔細(xì)看上圖贵试,這里有很多問題琉兜。第一,所有主機(jī)都在同一IP網(wǎng)毙玻,盡管連接到不同的VLAN豌蟋。第二,路由器在VLAN 1,因此與所有節(jié)點(diǎn)隔離桑滩。最后梧疲,兩臺(tái)交換機(jī)通過不同的VLAN互連。每一點(diǎn)都會(huì)造成通信阻礙运准,合在一起幌氮,網(wǎng)絡(luò)各元素之間會(huì)完全無法通信。
交換機(jī)用滿或同一管理單元物理上彼此分離的情形是很常見的胁澳。這種情況下该互,VLAN需要通過trunk延伸至相鄰交換機(jī)。trunk能夠連接交換機(jī)韭畸,在網(wǎng)絡(luò)間傳載VLAN信息慢洋。如下圖所示:
對(duì)之前的拓?fù)涞母倪M(jìn)包括:
PC 1和PC 2分配到192.168.1.0網(wǎng)段以及VLAN 2。
PC 3和PC 4分配到192.168.2.0網(wǎng)段以及VLAN 3陆盘。
路由器接口連接到VLAN 2和VLAN 3。
交換機(jī)間通過trunk線互連败明。
注意到trunk端口出現(xiàn)在VLAN 1隘马,他們沒有用字母T來標(biāo)識(shí)。trunk在任何VLAN都沒有成員∑薅ィ現(xiàn)在VLAN跨越多交換機(jī)酸员,同一VLAN下的節(jié)點(diǎn)可以物理上位于任何地方。
什么是Trunk:
Trunk是在兩個(gè)網(wǎng)絡(luò)設(shè)備之間承載多于一種VLAN的端到端的連接讳嘱,將VLAN延伸至整個(gè)網(wǎng)絡(luò)幔嗦。沒有VLAN Trunk,VLAN也不會(huì)非常有用沥潭。VLAN Trunk允許VLAN數(shù)據(jù)流在交換機(jī)間傳輸邀泉,所以設(shè)備在同一VLAN,但連接到不同交換機(jī)钝鸽,能夠不通過路由器來進(jìn)行通信汇恤。
一個(gè)VLAN trunk不屬于某一特定VLAN,而是交換機(jī)和路由器間多個(gè)VLAN的通道拔恰。如下圖所示因谎,交換機(jī)S1和S2,以及S1和S3之間的鏈路颜懊,配置為傳輸從VLAN10,20,30以及90的數(shù)據(jù)流财岔。該網(wǎng)絡(luò)沒有VLAN trunk就無法工作风皿。
當(dāng)安裝好trunk線之后,幀在trunk線傳輸是就可以使用trunk協(xié)議來修改以太網(wǎng)幀匠璧。這也意味著交換機(jī)端口有不止一種操作模式桐款。缺省情況下,所有端口都稱為接入端口患朱。當(dāng)一個(gè)端口用于交換機(jī)間互連傳輸VLAN信息時(shí)鲁僚,這種端口模式改變?yōu)閠runk,節(jié)點(diǎn)也路由器通常不知道VLAN的存在并使用標(biāo)準(zhǔn)以太網(wǎng)幀或“untagged”幀裁厅。trunk線能夠使用“tagged”幀來標(biāo)記VLAN或優(yōu)先級(jí)冰沙。
因此,在trunk端口执虹,運(yùn)行trunk協(xié)議來允許幀中包含trunk信息拓挥。如下圖所示:
PC 1在經(jīng)過路由表處理后向PC 2發(fā)送數(shù)據(jù)流。這兩個(gè)節(jié)點(diǎn)在同一VLAN但不同交換機(jī)袋励。步驟如下:
以太網(wǎng)幀離開PC 1到達(dá)Switch 1侥啤。
Switch 1的SAT表明目的地是trunk線的另一端。
Switch 1使用trunk協(xié)議在以太網(wǎng)幀中添加VLAN id茬故。
新幀離開Switch 1的trunk端口被Switch 2接收盖灸。
Switch 2讀取trunk id并解析trunk協(xié)議。
源幀按照Switch 2的SAT轉(zhuǎn)發(fā)至目的地(端口4)磺芭。
VLAN tag如下圖所示赁炎,包含類型域,優(yōu)先級(jí)域钾腺,CFI(Canonical Format Indicator)指示MAC數(shù)據(jù)域徙垫,VLAN ID。
