如果整個網絡只有一個廣播域,那麼一旦發出廣播信息,就會傳遍整個網絡,並且對網絡中的主機帶來額外的負擔。因此,在設計LAN時,需要注意如何才能有效地分割廣播域。
4.廣播域的分割與VLAN的必要性
分割廣播域時,一般都必須使用到路由器。使用路由器後,可以以路由器上的網絡接口(LAN Interface)為單位分割廣播域。
但是,通常情況下路由器上不會有太多的網絡接口,其數目多在1~4個左右。隨著寬帶連接的普及,寬帶路由器(或者叫IP共享器)變得較為常見,但是需要注意的是,它們上面雖然帶著多個(一般為4個左右)連接LAN一側的網絡接口,但那實際上是路由器內置的交換機,並不能分割廣播域。
況且使用路由器分割廣播域的話,所能分割的個數完全取決於路由器的網絡接口個數,使得用戶無法自由地根據實際需要分割廣播域。
與路由器相比,二層交換機一般帶有多個網絡接口。因此如果能使用它分割廣播域,那麼無疑運用上的靈活性會大大提高。
用於在二層交換機上分割廣播域的技術,就是VLAN。通過利用VLAN,我們可以自由設計廣播域的構成,提高網絡設計的自由度。
實現VLAN的機制
1. 實現VLAN的機制
在理解了“為什麼需要VLAN”之後,接下來讓我們來了解一下交換機是如何使用VLAN分割廣播域的。
首先,在一臺未設置任何VLAN的二層交換機上,任何廣播幀都會被轉發給除接收端口外的所有其他端口(Flooding)。例如,計算機A發送廣播信息後,會被轉發給端口2、3、4。
這時,如果在交換機上生成紅、藍兩個VLAN;同時設置端口1、2屬於紅色VLAN、端口3、4屬於藍色VLAN。再從A發出廣播幀的話,交換機就只會把它轉發給同屬於一個VLAN的其他端口——也就是同屬於紅色VLAN的端口2,不會再轉發給屬於藍色VLAN的端口。
同樣,C發送廣播信息時,只會被轉發給其他屬於藍色VLAN的端口,不會被轉發給屬於紅色VLAN的端口。
就這樣,VLAN通過限制廣播幀轉發的範圍分割了廣播域。上圖中為了便於說明,以紅、藍兩色識別不同的VLAN,在實際使用中則是用“VLAN ID”來區分的。
2.直觀地描述VLAN
如果要更為直觀地描述VLAN的話,我們可以把它理解為將一臺交換機在邏輯上分割成了數臺交換機。在一臺交換機上生成紅、藍兩個VLAN,也可以看作是將一臺交換機換做一紅一藍兩臺虛擬的交換機。
在紅、藍兩個VLAN之外生成新的VLAN時,可以想象成又添加了新的交換機。
但是,VLAN生成的邏輯上的交換機是互不相通的。因此,在交換機上設置VLAN後,如果未做其他處理,VLAN間是無法通信的。
明明接在同一臺交換機上,但卻偏偏無法通信——這個事實也許讓人難以接受。但它既是VLAN方便易用的特徵,又是使VLAN令人難以理解的原因。
3. 需要VLAN間通信時怎麼辦
那麼,當我們需要在不同的VLAN間通信時又該如何是好呢?
請大家再次回憶一下:VLAN是廣播域。而通常兩個廣播域之間由路由器連接,廣播域之間來往的數據包都是由路由器中繼的。因此,VLAN間的通信也需要路由器提供中繼服務,這被稱作“VLAN間路由”。
VLAN間路由,可以使用普通的路由器,也可以使用三層交換機。其中的具體內容,等有機會再細說吧。在這裡希望大家先記住不同VLAN間互相通信時需要用到路由功能。
VLAN的訪問鏈接(Access Link)
1.交換機的端口類型
交換機的端口,可以分為以下兩種:
(1)訪問鏈接(Access Link)
(2)匯聚鏈接(Trunk Link)
接下來就讓我們來依次學習這兩種不同端口的特徵。這一講,首先學習“訪問鏈接”。
2.訪問鏈接
訪問鏈接,指的是“只屬於一個VLAN,且僅向該VLAN轉發數據幀”的端口。在大多數情況下,訪問鏈接所連的是客戶機。
通常設置VLAN的順序是:
(1)生成VLAN
(2)設定訪問鏈接(決定各端口屬於哪一個VLAN)
設定訪問鏈接的手法,可以是事先固定的、也可以是根據所連的計算機而動態改變設定。前者被稱為“靜態VLAN”、後者自然就是“動態VLAN”了。
● 靜態VLAN——基於端口
靜態VLAN又被稱為基於端口的VLAN(PortBased VLAN)。顧名思義,就是明確指定各端口屬於哪個VLAN的設定方法。
由於需要一個個端口地指定,因此當網絡中的計算機數目超過一定數字(比如數百臺)後,設定操作就會變得煩雜無比。並且,客戶機每次變更所連端口,都必須同時更改該端口所屬VLAN的設定——這顯然不適合那些需要頻繁改變拓補結構的網絡。
● 動態VLAN
另一方面,動態VLAN則是根據每個端口所連的計算機,隨時改變端口所屬的VLAN。這就可以避免上述的更改設定之類的操作。動態VLAN可以大致分為3類:
(1)基於MAC地址的VLAN(MAC Based VLAN)
(2)基於子網的VLAN(Subnet Based VLAN)
(3)基於用戶的VLAN(User Based VLAN)
其間的差異,主要在於根據OSI參照模型哪一層的信息決定端口所屬的VLAN。
● 基於MAC地址的VLAN
基於MAC地址的VLAN,就是通過查詢並記錄端口所連計算機上網卡的MAC地址來決定端口的所屬。假定有一個MAC地址“A”被交換機設定為屬於VLAN “10”,那麼不論MAC地址為“A”的這臺計算機連在交換機哪個端口,該端口都會被劃分到VLAN 10中去。計算機連在端口1時,端口1屬於VLAN 10;而計算機連在端口2時,則是端口2屬於VLAN 10。
由於是基於MAC地址決定所屬VLAN的,因此可以理解為這是一種在OSI的第二層設定訪問鏈接的辦法。
但是,基於MAC地址的VLAN,在設定時必須調查所連接的所有計算機的MAC地址並加以登錄。而且如果計算機交換了網卡,還是需要更改設定。
● 基於IP地址的VLAN
基於子網的VLAN,則是通過所連計算機的IP地址,來決定端口所屬VLAN的。不像基於MAC地址的VLAN,即使計算機因為交換了網卡或是其他原因導致MAC地址改變,只要它的IP地址不變,就仍可以加入原先設定的VLAN。
因此,與基於MAC地址的VLAN相比,能夠更為簡便地改變網絡結構。IP地址是OSI參照模型中第三層的信息,所以我們可以理解為基於子網的VLAN是一種在OSI的第三層設定訪問鏈接的方法。
基於用戶的VLAN,則是根據交換機各端口所連的計算機上當前登錄的用戶,來決定該端口屬於哪個VLAN。這裡的用戶識別信息,一般是計算機操作系統登錄的用戶,比如可以是Windows域中使用的用戶名。這些用戶名信息,屬於OSI第四層以上的信息。
總的來說,決定端口所屬VLAN時利用的信息在OSI中的層面越高,就越適於構建靈活多變的網絡。
VLAN的匯聚鏈接(Trunk Link)
1.需要設置跨越多臺交換機的VLAN時……
到此為止,我們學習的都是使用單臺交換機設置VLAN時的情況。那麼,如果需要設置跨越多臺交換機的VLAN時又如何呢?
在規劃企業級網絡時,很有可能會遇到隸屬於同一部門的用戶分散在同一座建築物中的不同樓層的情況,這時可能就需要考慮到如何跨越多臺交換機設置VLAN的問題了。假設有如下圖所示的網絡,且需要將不同樓層的A、C和B、D設置為同一個VLAN。
這時最關鍵的就是“交換機1和交換機2該如何連接才好呢?”
最簡單的方法,自然是在交換機1和交換機2上各設一個紅、藍VLAN專用的接口並互聯了。
但是,這個辦法從擴展性和管理效率來看都不好。例如,在現有網絡基礎上再新建VLAN時,為了讓這個VLAN能夠互通,就需要在交換機間連接新的網線。建築物樓層間的縱向佈線是比較麻煩的,一般不能由基層管理人員隨意進行。並且,VLAN越多,樓層間(嚴格地說是交換機間)互聯所需的端口也越來越多,交換機端口的利用效率低是對資源的一種浪費、也限制了網絡的擴展。
為了避免這種低效率的連接方式,人們想辦法讓交換機間互聯的網線集中到一根上,這時使用的就是匯聚鏈接(Trunk Link)。
2.何謂匯聚鏈接?
匯聚鏈接(Trunk Link)指的是能夠轉發多個不同VLAN的通信的端口。
匯聚鏈路上流通的數據幀,都被附加了用於識別分屬於哪個VLAN的特殊信息。
現在再讓我們回過頭來考慮一下剛才那個網絡如果採用匯聚鏈路又會如何呢?用戶只需要簡單地將交換機間互聯的端口設定為匯聚鏈接就可以了。這時使用的網線還是普通的UTP線,而不是什麼其他的特殊佈線。圖例中是交換機間互聯,因此需要用交叉線來連接。
接下來,讓我們具體看看匯聚鏈接是如何實現跨越交換機間的VLAN的。
A發送的數據幀從交換機1經過匯聚鏈路到達交換機2時,在數據幀上附加了表示屬於紅色VLAN的標記。
交換機2收到數據幀後,經過檢查VLAN標識發現這個數據幀是屬於紅色VLAN的,因此去除標記後根據需要將復原的數據幀只轉發給其他屬於紅色VLAN的端口。這時的轉送,是指經過確認目標MAC地址並與MAC地址列表比對後只轉發給目標MAC地址所連的端口。只有當數據幀是一個廣播幀、多播幀或是目標不明的幀時,它才會被轉發到所有屬於紅色VLAN的端口。
藍色VLAN發送數據幀時的情形也與此相同。
通過匯聚鏈路時附加的VLAN識別信息,有可能支持標準的“IEEE 802.1Q”協議,也可能是Cisco產品獨有的“ISL(Inter Switch Link)”。如果交換機支持這些規格,那麼用戶就能夠高效率地構築橫跨多臺交換機的VLAN。
另外,匯聚鏈路上流通著多個VLAN的數據,自然負載較重。因此,在設定匯聚鏈接時,有一個前提就是必須支持100Mbps以上的傳輸速度。
另外,默認條件下,匯聚鏈接會轉發交換機上存在的所有VLAN的數據。換一個角度看,可以認為匯聚鏈接(端口)同時屬於交換機上所有的VLAN。由於實際應用中很可能並不需要轉發所有VLAN的數據,因此為了減輕交換機的負載、也為了減少對帶寬的浪費,我們可以通過用戶設定限制能夠經由匯聚鏈路互聯的VLAN。
關於IEEE 802.1Q和ISL的具體內容,將在下一講中提到。
3.訪問鏈接的總結
綜上所述,設定訪問鏈接的手法有靜態VLAN和動態VLAN兩種,其中動態VLAN又可以繼續細分成幾個小類。
其中基於子網的VLAN和基於用戶的VLAN有可能是網絡設備廠商使用獨有的協議實現的,不同廠商的設備之間互聯有可能出現兼容性問題;因此在選擇交換機時,一定要注意事先確認。
下表總結了靜態VLAN和動態VLAN的相關信息。
種類解說
靜態VLAN(基於端口的VLAN)將交換機的各端口固定指派給VLAN
動態VLAN基於MAC地址的VLAN根據各端口所連計算機的MAC地址設定
基於子網的VLAN根據各端口所連計算機的IP地址設定
基於用戶的VLAN根據端口所連計算機上登錄用戶設定
閱讀更多 專注分享網絡技術 的文章
