《現(xiàn)代網(wǎng)絡技術》課件第10章

第10章虛擬局域網(wǎng)技術10.1VLAN概述10.2VLAN的交換方式10.3VLAN的劃分方法10.4VLAN成員信息的傳遞10.5VLAN配置方法10.6VLAN間路由與通信10.7VLAN的協(xié)議和標準10.8VLAN的功能習題10.1VLAN概述10.1.1VLAN的產(chǎn)生在20世紀90年代初，具有多端口的路由器開始取代網(wǎng)橋，以達到在第三層對網(wǎng)絡進行分段的目的，并實現(xiàn)對廣播數(shù)據(jù)的抑制。但在這種使用路由器的網(wǎng)絡中，網(wǎng)段和廣播域是相對應的。在引入交換技術之后，可以在第2層上將網(wǎng)絡進行分段，以使各網(wǎng)段的帶寬得以提高，網(wǎng)絡中路由器負責廣播數(shù)據(jù)的抑制工作。此時，一個廣播域可以跨越多個交換的網(wǎng)段，從而使得在一個廣播域中提供對成百上千個用戶的支持并非難事。但是大量的交換設備將網(wǎng)絡分成越來越多的網(wǎng)段并不能降低對于廣播數(shù)據(jù)抑制的要求。這種網(wǎng)絡仍然要靠使用路由器來抑制廣播數(shù)據(jù)。

VLAN技術就是在這樣的背景下提出的，它代表著一種不用路由器實現(xiàn)對廣播數(shù)據(jù)進行抑制的解決方案。在VLAN中，對廣播數(shù)據(jù)的抑制將由交換機來完成。此時，每一個物理網(wǎng)段可以僅包含一個用戶，而一個廣播域中則可以具有多達上千個以上的用戶。通過VLAN的劃分可以跟蹤各個工作站物理位置的變動，使之在移動位置之后不需要對其網(wǎng)絡地址重新進行手工配置，或者雖然物理位置沒有變化，但邏輯上與其他工作站組成邏輯上的網(wǎng)絡段。

VLAN技術出現(xiàn)的另一原因是，當前高性價比的LAN交換設備給用戶提供了非常好的網(wǎng)絡分段能力，并具有極低的報文轉發(fā)延遲以及很高的傳輸帶寬。這些為實現(xiàn)VLAN技術提供了有力的基礎保證。近年來，各主要的LAN設備廠商均在其交換設備中提供VLAN的集成方案。

10.1.2實現(xiàn)VLAN的前提條件

VLAN實現(xiàn)策略：將VLAN看成是一個廣播域，一個VLAN就是一組客戶工作站的集合，這些工作站不必處于同一個物理網(wǎng)絡上，它們可以不受地理位置的限制而像處于同一個LAN上那樣進行通信和信息交換。圖10-1給出了VLAN的一個示例，在整個網(wǎng)絡結構中，劃分了三個VLAN，分別為工程VLAN、市場VLAN及財會VLAN，每一個VLAN包括了相應的客戶站。圖10-1VLAN示意圖可以認為一個VLAN實際上就是邏輯上的網(wǎng)段，這種邏輯上的網(wǎng)段給LAN的管理、安全性以及廣播數(shù)據(jù)的抑制帶來諸多的益處。要實現(xiàn)VLAN技術，需要具備以下條件：

(1)具有能夠將所連接的客戶站進行邏輯分段的高性能交換設備。

(2)提供在主干網(wǎng)(如高速以太網(wǎng)、ATM、FDDI)上傳輸VLAN信息的通信協(xié)議。

(3)提供VLAN間通信的第3層路由解決方案。

(4)滿足已安裝的LAN系統(tǒng)的兼容性和互操作性。

(5)提供集中控制、配置和流量管理功能的網(wǎng)管方案。上述這些條件對于企業(yè)網(wǎng)范圍內(Intranet)的VLAN解決方案是至關重要的。10.1.3VLAN的解決方案在實現(xiàn)VLAN的過程中有許多問題需要解決，但最為關鍵的有以下幾個問題：●如何在整個網(wǎng)絡范圍內定義各VLAN中的成員，即VLAN劃分方法?！袢绾卧诙鄠€交換設備之間傳遞VLAN成員信息?！馰LAN的配置問題?！馰LAN之間的通信如何進行。如何解決這些問題將影響到VLAN的實現(xiàn)是否能夠有效地滿足用戶和網(wǎng)絡管理的要求。由于VLAN都是在交換網(wǎng)絡環(huán)境中實現(xiàn)的，所以在這種網(wǎng)絡環(huán)境中最核心的問題是交換設備。交換設備是各客戶站連入交換網(wǎng)絡的入口點，它可以提供對用戶、端口和邏輯地址進行分組以構成VLAN的能力。每一個交換設備均可根據(jù)網(wǎng)管人員所定義的VLAN劃分方法對報文進行過濾和轉發(fā)，并能夠將這種劃分信息傳遞到網(wǎng)絡中其他的交換設備和路由器那里。當前LAN交換設備在物理上一般都安裝在共享式的分段HUB和位于主干網(wǎng)的路由器之間，它在VLAN的分段實現(xiàn)以及低延遲的報文轉發(fā)方面起到至關重要的作用?？偟膩碚f，VLAN交換設備除了能夠顯著地提高網(wǎng)絡的性能和專用帶寬外，同時它還具有完成VLAN的劃分所必需的能力。10.2VLAN的交換方式實現(xiàn)VLAN技術有端口交換、幀交換和信元交換三種交換方式。10.2.1端口交換端口交換(PortSwitch)，也稱配置交換，是把端口配置到一個或若干個通過背板連接的共享HUB上，可以形成若干個獨立的由端口組合的共享網(wǎng)絡段，每一個連接到端口上的用戶被分配到其中一個段上。有一種稱為端口交換的設備，在一個或幾個通過背板連接的端口交換模塊上通過軟硬件的控制和管理把交換模塊上的所在端口劃分成若干個共享式的互相獨立的VLAN。端口交換方式的特點有：端口用戶組成小規(guī)模的VLAN非常靈活。在全局交換網(wǎng)絡上，端口交換能夠為全局VLAN提供有效的、靈活的前端配置端口組合的功能。由于端口交換形成的VLAN還是共享網(wǎng)段，因此使用這種方式形成的VLAN，端口用戶以及整個VLAN的帶寬仍受到限制。如果端口用戶需要高帶寬，或者網(wǎng)絡規(guī)模較大，這時VLAN對帶寬的要求很高，那么選用全交換的網(wǎng)絡設備是必要的。目前市場上3COM公司的端口交換機是端口交換方式最典型、用得最廣泛的設備，它可以單獨使用，形成若干個獨立的共享端口組，也可以作為核心交換機的前端處理設備(如圖10-2所示)，端口交換機的各個端口組的形成是按用戶需求用相應的管理軟件進行配置。圖10-2端口交換機作為前端處理設備10.2.2幀交換幀交換(FrameSwitch)是指LAN(Ethernet、TokenRing、FDDI)交換機的每一個端口都能夠提供一個獨立的共享網(wǎng)絡端口，在此端口上既可以連接共享HUB，也可以連接單獨的一個客戶站。在一個端口上接收到的幀正確地轉發(fā)到輸出端口上，在尋找路由和轉發(fā)時，幀不會被破壞。對于廣播幀來說，可以轉發(fā)到交換機的所有端口。虛擬化后，一個交換機或者互連的若干交換機上的每個端口均可以被分配給任何VLAN，即在網(wǎng)絡系統(tǒng)中形成若干個VLAN。交換機能隔離VLAN之間的信息傳遞，因此不同VLAN上的端口間的交通被阻止了。另外，端口若接收到一個廣播幀，則該幀只能在該端口所屬的VLAN中轉發(fā)到其他端口去。幀交換方式比端口交換方式增加了有效的帶寬，LAN交換機上每個端口用戶具有獨占帶寬(例10?Mb/s、100?Mb/s)的性能，交換機間互連的速率可達數(shù)百兆位甚至千兆位傳輸率。服務器和高速客戶站可以直接連到交換器端口上。目前，絕大多數(shù)廠家的LAN交換機均按幀交換方式來實現(xiàn)VLAN交換技術，將以太交換機與端口交換機組合應用，使用戶加入VLAN更加靈活。10.2.3信元交換這種VLAN方式的核心是由一個或者多個互連的ATM交換機組成，它是在ATM交換機上實現(xiàn)信元交換。與幀交換不同的是，從ATM交換機端口上接收到信元后，正確地轉發(fā)到輸出端口。目前端口的傳輸率有155?Mb/s甚至622?Mb/s。ATM允許端點客戶站加入多個VLAN，允許一條物理電纜上實現(xiàn)多個邏輯連接，ATM上實現(xiàn)VLAN目前常用ATM/LAN仿真技術。10.3VLAN的劃分方法

VLAN劃分方法是指在一個VLAN中應包含哪些站點(服務器、客戶站)。處在同一個VLAN中的所有站點將共享廣播數(shù)據(jù)，而這些廣播數(shù)據(jù)將不會被擴散到其他不在此VLAN中的站點那里。VLAN劃分有以下幾種方法：●按交換端口號?！癜碝AC地址?！癜吹?層協(xié)議?！袷褂肐P組播?！窕诓呗?。

1．按交換端口號按交換設備端口進行分組來劃分VLAN，例如一個交換設備上的端口1、2、5、7所連接的客戶站可以構成VLAN-A，而端口3、4、6、8則構成VLAN-B等。在最初的實現(xiàn)中，VLAN是不能跨越交換設備的。到后來進一步的發(fā)展使得VLAN可以跨越多個交換設備。此種VLAN的構成可以用圖10-3來表示。現(xiàn)在，按端口號劃分VLAN仍然是構造VLAN的常用方法之一。這種劃分方法確實比較簡單并且非常有效。但是，僅靠端口分組而定義VLAN將無法使得同一個物理分段(或交換端口)同時參與到多個VLAN中，而且更主要的是當一個客戶站從一個端口移至另一個端口時，網(wǎng)管人員將不得不對VLAN成員進行重新配置。圖10-3按端口號進行VLAN分組

2．按MAC地址這種劃分方法由網(wǎng)管人員指定屬于同一個VLAN中的各客戶站的MAC地址。用MAC地址進行VLAN成員的定義既有優(yōu)點也有缺點。由于MAC地址是固化在網(wǎng)卡中的，故移至網(wǎng)絡中另外一個地方時，它將仍然保持其原先的VLAN成員身份，而無需網(wǎng)管人員對之進行重新的配置。從這個意義上講，用MAC地址定義的VLAN可以看成是基于用戶的VLAN。另外在這種方式中，同一個MAC地址處于多個VLAN中是可行的。但這種方法也有許多不足之處，首先所有的用戶在最初都必須被配置到至少一個VLAN中，只有在這種配置之后方可實現(xiàn)對VLAN成員的自動跟蹤。但在大型的網(wǎng)絡中完成初始的配置并不是一件容易的事。在共享介質環(huán)境下實現(xiàn)基于MAC地址的VLAN，在多個不同VLAN的成員同時存在于同一個交換端口時，可能會導致嚴重的性能下降。另外，在大規(guī)模的這種VLAN中交換設備之間進行VLAN成員身份信息的交換也可能會引起性能降低。

3．按第3層協(xié)議在實現(xiàn)基于第3層協(xié)議的VLAN時，決定VLAN成員身份主要是考慮協(xié)議類型(支持多協(xié)議的情況下)或網(wǎng)絡層地址(如IP網(wǎng)絡的子網(wǎng)地址)。這種方式的VLAN劃分需要將子網(wǎng)地址映射到VLAN，交換設備根據(jù)子網(wǎng)地址將各機器的MAC地址同一個VLAN聯(lián)系起來，交換設備將不同網(wǎng)絡端口上連接的機器劃歸于同一個VLAN。但應注意此時對于第3層信息的使用并不構成路由功能。應注意不要將其同網(wǎng)絡層路由混淆起來。因為在交換設備使用報文的IP地址決定VLAN成員身份時并沒有進行任何路由計算，也沒有使用任何路由協(xié)議。交換設備只是根據(jù)生成樹算法在其他的各端口之間進行幀的轉發(fā)。因此從這個意義上講，任一VLAN內部的連接仍然是一種平板式的橋接拓樸結構。用第3層協(xié)議定義VLAN有許多的優(yōu)點。首先，可以根據(jù)協(xié)議類型進行VLAN的劃分，這對于那些基于服務或基于應用VLAN策略的網(wǎng)管人員無疑是極具吸引力的。其次，用戶可以自由地移動他們的機器而無需對網(wǎng)絡地址進行重新配置，并且在第3層上定義VLAN將不再需要報文標識，從而可以消除因在交換設備之間傳遞VLAN成員信息而花費的開銷。第3層協(xié)議的VLAN劃分方法同前兩種方法相比的一個缺點可能是其性能問題。對報文中的網(wǎng)絡地址進行檢查將比對幀中的MAC地址進行檢查開銷更大。正是由于這個原因，使用第3層信息進行VLAN劃分的交換設備一般都比使用第2層信息的交換設備要慢。目前第3層交換機的出現(xiàn)會大大改善VLAN成員間的通信效率。在第3層上所定義的VLAN對于TCP/IP特別有效，但對于其他一些協(xié)議如IPX、DEC-net或Apple則要差一些，并且對于那些不可進行路由選擇的一些協(xié)議(如Netbios)，在第3層上實現(xiàn)VLAN劃分將特別困難，因為使用此種協(xié)議的機器是無法互相區(qū)分的，因此也就無法將其定義成某個網(wǎng)絡層VLAN的一員。

4．IP組播VLAN

IP組播代表著一種與眾不同的VLAN定義方法。在這種分組方法中VLAN作為廣播域的基本概念仍然適用。各站點可以自由地動態(tài)決定參加到哪一個或哪一些IP組播組中。一個IP組播組實際上是用一個D類地址表示的，當向一個組播組發(fā)送一個IP報文時，此報文將被傳送到此組中的各個站點處。從這個意義上講，可以將一個IP組播組看成是一個VLAN。但此VLAN中的各個成員都只具有臨時性的特點，由IP組播定義VLAN的動態(tài)特性可以達到很高的靈活性，并且借助于路由器，此種VLAN可以很容易地擴展到整個WAN上。

5．基于策略的VLAN這是實現(xiàn)VLAN的最有力的方法。它允許網(wǎng)絡管理員使用任何VLAN策略的組合來創(chuàng)建滿足其需求的VLAN。通過上面列出的VLAN策略把設備指定給VLAN，當一個策略被指定到一個交換機時，該策略就在整個網(wǎng)絡上應用，而設備被置入VLAN中。從設備發(fā)出的幀總是經(jīng)過重新計算，以使VLAN成員身份能隨著設備產(chǎn)生的流量類型而改變。基于策略的VLAN可以使用上面提到的任何一種劃分VLAN的方法，并可以把不同方法組合成一種新的策略來劃分VLAN?？傊鞣N劃分方法側重點不同，所達到的效果也不盡相同。目前在網(wǎng)絡產(chǎn)品中融合多種劃分VLAN的方法，以便根據(jù)實際情況尋找最合適的途徑。同時，隨著管理軟件的發(fā)展，VLAN的劃分逐漸趨向于動態(tài)化。大多數(shù)情況下，用戶可以同時處在不同的工作組，并同時屬于多個VLAN。一個好的虛擬網(wǎng)策略不能強迫用戶一定要屬于某個虛擬網(wǎng)，這樣設計的虛擬網(wǎng)缺乏靈活性和擴展性。如某公司的工作小組，小組里面需有銷售人員、市場人員及工程技術人員，他們分別負責不同任務并協(xié)同工作，而這些人員原來又分別屬于銷售部、市場部、工程部的不同虛擬網(wǎng)絡，實際上他們組成了一個臨時的工作虛擬網(wǎng)。這時，他們既可分別訪問他們原屬的網(wǎng)絡，又可同時在工作VLAN中互相交流信息，這就是VLAN中組員的多重屬性。一個用戶同時具有多個VLAN成員資格雖然是很有必要的，但這意味著工作組的安全性下降，并可能導致可伸縮性的下降。對于必須具有多個VLAN成員資格的資源(如服務器等)，可以直接把它連接到主干網(wǎng)上，并定義到每個VLAN上，這既提供了資源共享也維持了VLAN的安全性。這種方式在ATM上是通過LANE定義的。虛擬網(wǎng)應該支持多個LAN交換機，同時也應支持遠程聯(lián)接。網(wǎng)絡管理員應不受任何地域的限制，而在虛擬網(wǎng)中的成員也可在虛擬網(wǎng)中自由移動。如在物理上連接在廣州辦公室的PC機A，其主人可能攜帶它到北京辦事處，這時如果沒有虛擬網(wǎng)，他就要讓北京辦事處的MIS人員分配網(wǎng)絡地址給PC機A，以便他能夠訪問整個網(wǎng)絡。反之，如果北京和廣州的辦事處同處于一個虛擬網(wǎng)中，則PC機A從廣州帶到北京，只需插入任何一個結構化市線盒即可，無需改變機器的網(wǎng)絡地址。10.4VLAN成員信息的傳遞

VLAN成員信息傳遞的關鍵是要解決多個交換設備互連時它們之間的協(xié)調問題，有隱式和顯式兩種不同的傳遞方式。一般隱式傳遞方式的VLAN適用于單個交換設備上通過對端口進行分組的方法所定義的VLAN。對于按第3層協(xié)議所定義的VLAN符合隱式傳遞方式。此種方式的特點是VLAN成員信息包含報文的頭部。顯示傳遞方式的VLAN適用于交換設備間VLAN成員的信息傳送。它可分為三類，第一類是在ATM主干網(wǎng)上使用ATM論壇的ATMLAN仿真標準；第二類是使用IEEE802.1Q標準；第三類則為各廠商自行開發(fā)的幀標記或幀封裝技術，如CISCO公司的用于快速以太網(wǎng)環(huán)境下的ISL(Inter-SwitchLink)協(xié)議以及用于FDDI主干網(wǎng)上的IEEE802.10協(xié)議的修改版本等。第一類和第二類目前都已成為工業(yè)標準。從具體技術上看，除ATMLAN仿真外，這種傳遞方式包括：信令支持的列表維護方式(TableMaintenceViaSignaling)，幀標記方式(FrameTagging)和時分復用方式(TDM)三種。

(1)信令支持的列表維護方式。當工作站在網(wǎng)絡上第一次發(fā)廣播幀時，交換機就在自己Cache中的地址表中將工作站的MAC地址或它所連接的端口號與所屬VLAN對應起來，該信息被不斷地廣播到其他的交換機。當VLAN成員發(fā)生變動時，交換機中的地址表就需要管理員在控制臺上進行更新。隨著網(wǎng)絡規(guī)模的擴大，用以請求更新交換機地址表的廣播信息將導致主干網(wǎng)的擁塞，因此，這種方式較少采用。

(2)幀標記方式。在幀標記方式下，每個數(shù)據(jù)幀都在幀頭位置插入一個惟一的標簽以標明一個特定的MAC層幀屬于交換機間干線上的哪個VLAN。不同廠家的標簽長度是不同的，有時數(shù)據(jù)幀加上標簽后可能超過MAC幀的最大長度。

(3)?TDM方式。TDM在VLAN上的實現(xiàn)方式與它在廣域網(wǎng)上的實現(xiàn)非常類似。就像在WAN環(huán)境中支持多種流量類型一樣，TDM以同樣的方式在交換機間的干線網(wǎng)上工作以支持VLAN，就是說，時隙是保留給每個VLAN的。這種方式在一定程度上避免了前兩種方式帶來的問題，但是，劃分給一個VLAN的時隙只能被該虛擬網(wǎng)的成員使用，所以仍然有很多帶寬被浪費了。10.5VLAN配置方法網(wǎng)絡中的各個站點可以按照幾種不同的方法劃分到相應的VLAN中，這些方法包括使用靜態(tài)端口分配、動態(tài)端口分配或多VLAN端口分配。具體采取哪種方法取決于交換設備的功能、各站點連接到交換端口的方式以及VLAN管理軟件的功能。當各站點直接連到交換設備端口上時，VLAN的配置和管理將獲得最大的靈活性。此時所有的站點均可惟一地被分配到某個或某些VLAN中，當這些站點的位置發(fā)生變化之后，如果仍然是直接連接到交換端口上的，那么它們將保持其原有的VLAN標識。借助于共享式的HUB連接到交換設備上的所有站點，一般情況下因共享同一個交換端口而均被劃分在同一個VLAN中，此種方法對網(wǎng)絡中的每個用戶來說靈活性降低了，但對于網(wǎng)管人員來說是一個比較理想的解決方法。如果HUB具有端口交換功能的話，將提高VLAN分配的靈活性，此時每一個HUB(或多個HUB疊難)可預先配置成若干共享組，然后每個共享組均可單獨地被配置到一個VLAN中。

1．靜態(tài)端口分配靜態(tài)VLAN是指網(wǎng)管人員靜態(tài)地把交換設備的每組端口分別分配給每一個VLAN。這種分配可以借助于網(wǎng)管軟件完成或直接在交換設備中進行配置。分配好之后這些端口將保持其VLAN配置直至被修改為止。雖然這種方式在VLAN劃分發(fā)生變化時需要管理人員進行修改，但因其比較安全，配置起來比較容易而且易于監(jiān)視，故站點移動會受到嚴格控制和管理，并且在靠VLAN管理軟件來配置交換端口的情況下，這種方法還是非常有效的。此種方式的VLAN如圖10-4所示。圖10-4靜態(tài)端口分配

2．動態(tài)端口分配動態(tài)VLAN端口分配是指交換設備上那些能夠在智能管理軟件的幫助下自動地進行VLAN端口分配的方法。一般是根據(jù)站點的MAC地址、邏輯地址或協(xié)議類型來劃分的。這些劃分VLAN信息將被存放到一個集中式管理軟件內并在那里進行維護。當某個站點連接到一個交換端口上時，交換設備對其MAC地址在VLAN管理數(shù)據(jù)庫中進行檢查，并動態(tài)地用相應的VLAN配置對此端口進行配置。此種方法的一個主要好處是當客戶站移動位置之后無需進行重新的配置，并且當某個不能被識別的站點連入到網(wǎng)絡中之后可以在管理站點處給出消息。但其缺點也是明顯的，那就是必須在VLAN管理軟件內建立一個數(shù)據(jù)庫并維護一個能精確地反映所有網(wǎng)絡用戶狀況的數(shù)據(jù)庫。這種形式的VLAN分配如圖10-5所示。圖10-5動態(tài)端口分配

3．多VLAN端口分配多VLAN端口配置可以使單個交換端口或用戶能同時參與到多個VLAN中進行通信，這種能力對于那些供多個不同的工作組共享的服務器或能夠屬于多個不同的工作組的用戶而言無疑是很方便的。這種方式的VLAN帶來的一個問題就是在多個工作組間進行端口共享將使得VLAN所提供的工作組間隔離功能明顯地減弱，從而導致網(wǎng)絡安全性的降低。這些被共享的端口實際上充當了VLAN間的網(wǎng)關，實際上是構成了一個更大的VLAN，并且這種方法在VLAN之間的交叉越來越大時擴充起來將比較困難。對于需要在多個VLAN之間共享的資源，一種更好的解決方法是將相應的站點直接接到主干網(wǎng)上，并使每一個VLAN對之均有一個惟一的訪問路徑，從而達到既實現(xiàn)資源共享又能維護VLAN隔離完整性的目的。此種方法是在ATMLANEmulation標準草案中定義的，但在共享LAN主干網(wǎng)和交換結構主干網(wǎng)中也可實現(xiàn)。這種方式的VLAN劃分如圖10-6所示。圖10-6多端口VLAN配置10.6VLAN間路由與通信一般情況下網(wǎng)絡環(huán)境中的VLAN實現(xiàn)了網(wǎng)絡流量的分割，但VLAN之間的數(shù)據(jù)傳輸仍要借助于路由手段來實現(xiàn)。在大型網(wǎng)絡中，VLAN內數(shù)據(jù)的高速交換同VLAN間數(shù)據(jù)傳輸?shù)挠行酚珊徒粨Q這兩者的集成正變得越來越具有吸引力。各種不同的路由方案具有很大的差別，每一種都有其各自的優(yōu)點和不足，并且將對網(wǎng)絡的總體結構產(chǎn)生影響，而且路由也并不是解決VLAN間通信技術的惟一方法。同選擇一種VLAN解決方案會遇到的其他一些重要問題一樣，解決VLAN間通信的選擇也取決于用戶特定的應用需求及總的網(wǎng)絡結構，其中最為關鍵的是要達到較高程度的靈活性。根據(jù)路由功能位置的不同，目前基本上有五種不同的VLAN路由模式：●邊界路由?！瘛蔼毐邸甭酚善??！衤酚煞掌?路由客戶機?！馎TM上的多協(xié)議路由MPOA?！竦?層交換。對于各種不同路由模式的支持已成為各VLAN廠商的主要差別所在。某些廠商也宣布將在他們的產(chǎn)品中提供對多種不同路由模式的支持。

1．邊界路由邊界路由是指將路由功能包含在位于主干網(wǎng)絡邊界的每一個LAN交換設備中，此時VLAN間的報文將由交換設備內在的路由能力進行處理，而無需再將其傳送至某個外部的路由器上，數(shù)據(jù)的轉發(fā)延遲因而也將得以降低。使用此種路由方式的主要優(yōu)點在于不像集中式路由那樣會因中央路由站點的崩潰而導致整個網(wǎng)絡的癱瘓。其主要的不利之處在于：相對于統(tǒng)一路由功能的集中式管理而言，邊界路由需要對多個物理設備進行管理。另外此種方式可能比由一個集中式路由器和多個較便宜的邊界路由器組成的集中式方案在價格上要貴一些。

2．“獨臂”路由器采用“獨臂”路由器的網(wǎng)絡方案因能消除主干網(wǎng)上集中式處理和高延遲的路由功能而越來越受廣泛的關注。這種路由器一般接在主干網(wǎng)上的一個交換設備上，以使得網(wǎng)絡中的大部分報文在通過主干網(wǎng)時無需通過路由器進行處理，而且此種方式配置和管理起來也比較方便。此種路由模式如圖10-7所示。圖10-7“獨臂”路由器圖中表示了一個ATM網(wǎng)絡環(huán)境。可以看到同一個VLAN內的報文將不需要通過路由器，而直接在交換設備間進行高速傳輸。顯然這種路由方式只是在大部分報文都無需經(jīng)過路由器進行處理時效果才能比較理想。為此在規(guī)劃VLAN解決方案時應盡可能地減少VLAN之間的數(shù)據(jù)傳輸量。目前已有幾家廠商提供了此種解決方案。但這種路由方式的不足之處在于，它仍然是一種集中式的路由策略，因此在主干網(wǎng)上一般均設置有多個冗余“獨臂”路由器，但如果當網(wǎng)絡中VLAN之間的數(shù)據(jù)傳輸量比較大時，在路由器處將形成瓶頸。

3．路由服務器/路由客戶機從物理配置上看，路由服務器同“獨臂”路由器模式是相似的，但這兩種路由模式在工作方式上則有很大的不同。后者的路由功能將被分散到網(wǎng)絡中的多個設備中。在“獨臂”路由器模式下，要將一個報文從VLAN傳到另一個VLAN中時，此報文將被首先傳到獨臂路由器上，在那里進行地址解析和路由計算，在有些類型的主干網(wǎng)(如ATM主干網(wǎng))上可能還需建立連接，然后才能進行報文的傳輸。在路由服務器方式下，VLAN間的報文將被緩存在主干網(wǎng)邊界上的LAN交換設備中。交換設備同路由服務器之間所交換的僅僅是為建立跨越主干網(wǎng)的LAN交換設備之間的連接而必須交換的信息。這種模式同“獨臂”路由器比較起來，其最大的優(yōu)點在于路由服務器同交換設備間的數(shù)據(jù)傳輸量得以降低，同時也減少了報文在主干網(wǎng)上傳輸時所經(jīng)過的站點數(shù)量，降低傳輸延遲。這種路由模式如圖10-8所示。由此看到這種模式仍具有集中式路由的特點。圖10-8路由服務器路由服務器模式也有不足。集中式路由所遇到的一個最大問題就是如何對付路由器的崩潰。另外這種解決方案中的交換設備必須具有一定的路由功能，因而其價格比較貴，而且配置起來也將更為復雜一些。

4．ATM上的多協(xié)議路由(MPOA)人們現(xiàn)在正在致力于將路由服務器的方法標準化。ATM論壇的MPOA標準工作組正在進行的工作就是這種努力中的一個代表。MPOA的目的是給可能屬于不同路由子網(wǎng)的多個用ATM網(wǎng)絡連接的設備提供直接的虛擬連接。也就是說，MPOA將使得多個屬于不同ELAN的站點通過ATM網(wǎng)絡直接進行通信，而不需要經(jīng)過一個中間的路由器。其中ELAN可以看成是另一種形式的VLAN，它是在ATM網(wǎng)絡環(huán)境下用LANEmulation標準建立起來的。MPOA實際上可以看成是將路由功能集成從路由服務器到LAN-ATM邊界交換設備中，這樣一來，在VLAN之間的通信中將不再需要外部路由器，從而降低了網(wǎng)絡傳輸?shù)难舆t。

5．第3層交換技術前面章節(jié)已經(jīng)詳細地討論了第3層交換的各種技術的原理和特點，有的技術方案本身就是一個帶有路由功能的交換機。特別是基于智能可編程ASIC技術的第三層交換機(3Com與Bay等公司的產(chǎn)品)，它既包括了第2層和第3層的交換功能，而且還具備路由尋址功能。因此利用它來作為網(wǎng)絡的主干交換器，既可以根據(jù)多種方法來定義VLAN成員，隨后配置VLAN，又能不附加其他路由設備來實現(xiàn)VLAN之間的通信。不論從網(wǎng)絡結構還是降低網(wǎng)絡傳輸延遲來說，用第3層交換技術不失是一個很好的選擇。10.7VLAN的協(xié)議和標準近幾年來，在實現(xiàn)VLAN的過程中，各廠家紛紛推出自己的技術和相應的產(chǎn)品，但往往這些技術和產(chǎn)品所遵循的協(xié)議和標準(特別是在MAC層的交換技術上)是不相同的，致使各廠家的VLAN產(chǎn)品自成系統(tǒng)，互不兼容，妨礙了VLAN技術和市場的進一步發(fā)展。目前第3層上實現(xiàn)的VLAN往往是基于InternetTCP/IP的組播技術及相應的協(xié)議，其中涉及的技術和協(xié)議主要有：●IP組播地址確定。●IGMP?！馦VONE(InternetMulticastBackbone)?！馜VMRP(DistanceVectorMulticastRoutingProtocol)。而在MAC層上VLAN實現(xiàn)的標準最有代表性的則為IEEE802.1Q。前幾年有廠家曾提出以802.10作為VLAN實現(xiàn)的一種標準，即把原來用于安全信息的幀頭改成幀標記使用，這種方法技術上雖然可行，但是由于域長度可變，難以采用硬件ASIC芯片對幀作處理，造成處理速度慢且價格昂貴的解決方案，因此遭到大多數(shù)廠家的反對，因此802.10無法成為大家公認的實現(xiàn)VLAN的標準。1996年3月IEEE802.1Internetworking小組完成了制定VLAN標準而進行的初步調查工作，解決了三大問題，即VLAN的體系結構、幀標記的標準格式以及VLAN標準化未來的發(fā)展方向。特別是幀標記的標準化格式使用了802.1Q標準，這是VLAN朝開放方向發(fā)展的重要里程碑，將成為VLAN迅速應用的關鍵因素。幀格式標準化后，各廠家可以迅速將其融入到它們生產(chǎn)的交換機產(chǎn)品中，目前所有的主要廠商，其中包括3Com、Bay、IBM以及Cisco都表示支持802.1Q。

IEEE802.1Q目前還是標準草案，該標準草案是基于IEEE802.1D和IEEE802.1p等標準，定義了基于MAC層橋接局域網(wǎng)實現(xiàn)VLAN的方法。在802.1Q中定義了兩種類型的幀標記：

(1)隱式的幀標記(Implicittagging)：表示幀所屬的VLAN信息并未被明顯地標記，該幀屬于哪一個VLAN缺省則由網(wǎng)橋的接收端口號或幀中data域的信息決定。

(2)顯式的幀標記(Explicittagging)：表示幀所屬的VLAN由網(wǎng)橋所加的標記顯式地決定。形成以太網(wǎng)顯式的幀標記包括以下幾個步驟，如圖10-9所示：

(1)在以太網(wǎng)幀中插入VLAN頭部。頭部插在DA(目的地址)和SA(源地址)之后。

(2)重新計算FCS(幀檢驗序列)。圖10-9以太網(wǎng)VLAN幀標記

VLAN頭部包括如下信息域：

(1)?VPID(VLANProtocolIdentifier)，它表明此幀已按802.1Q協(xié)議顯式標記。

(2)?VCI(VLANControlInformation)，它由以下幾部分組成：①?User_priority，它允許VLAN幀在那些不具備表示用戶優(yōu)先權的網(wǎng)段(如Ethernet)攜帶用戶優(yōu)先權信息。②TR_encap，它置位時表示該幀data域中攜帶的是未經(jīng)翻譯和封裝的TokenRing幀的數(shù)據(jù)。

VID(VLANIdentifier)，它表明此幀屬于哪一VLAN。10.8VLAN的功能人們發(fā)展VLAN技術的一個主要原因是：減少在網(wǎng)絡中的站點發(fā)生移動、增加和修改時的管理開銷，同時解決因數(shù)據(jù)廣播而引起的一些性能問題。如安全性、對廣播數(shù)據(jù)更好的管理和控制、網(wǎng)絡的微分段、負載分擔等。

1．提高管理效率網(wǎng)絡中站點的移動、增加和改變是最讓網(wǎng)管人員頭疼的問題之一，同時也是網(wǎng)絡維護過程中相對來說開銷比較大的一部分。因為此時一般都需要重新進行布線，并且?guī)缀跛械恼军c移動都伴隨著地址的重新分配以及對HUB和路由器進行重新配置。

VLAN為此提供了有效的手段，同時對HUB和路由器重新進行配置的開銷將得以減少。當某個VLAN中的一個用戶從一個地點移動至另一個地點時，只要他們仍舊保持在同一個VLAN中并且能夠連接到一個交換端口上，那么就無需對他們的網(wǎng)絡地址進行修改，最多只是需要將此交換端口重新配置到相應的VLAN中。這種方式將極大地簡化配置和調試工作。這對于目前大量使用的配線間技術是一個很大的改進，并且此時路由器的配置可以保持不變。廣播數(shù)據(jù)的控制，站點的移動、增加和修改的規(guī)劃，以及網(wǎng)絡資源訪問權限的設置都是集中式管理的一般性功能。VLAN通信為這種管理方式打開了方便之門，因為在VLAN解決方案中一般都帶有可集中配置、管理和監(jiān)控的VLAN管理軟件。

2．控制廣播數(shù)據(jù)廣播數(shù)據(jù)是在每一個網(wǎng)絡中都會出現(xiàn)的。其數(shù)據(jù)量的多少主要取決于應用的類型、服務器的類型、邏輯分段的數(shù)目以及這些網(wǎng)絡資源的如何使用。目前各種GroupWare應用將會產(chǎn)生大量的廣播數(shù)據(jù)，網(wǎng)絡設備的故障也可能會導致廣播數(shù)據(jù)的大量出現(xiàn)。如果管理得不好，廣播數(shù)據(jù)將嚴重地損害網(wǎng)絡的性能并可能導致整個網(wǎng)絡的崩潰。因此，網(wǎng)管人員必須采取措施對因廣播數(shù)據(jù)而可能導致的問題加以預防。早期使用的有效的措施是用防火墻對網(wǎng)絡進行適當?shù)姆侄?，以防止因某個網(wǎng)段出現(xiàn)問題而使整個網(wǎng)絡受到影響。這種功能一般可借助于路由器來實現(xiàn)。當交換型體系結構在網(wǎng)絡中大量使用時，廣播數(shù)據(jù)(第2層數(shù)據(jù))將被傳送到各個交換端口那里。此種結構通常被稱做是“平板式”的網(wǎng)絡，整個網(wǎng)絡構成一個廣播域。平板式交換型網(wǎng)絡的優(yōu)點是，它給用戶提供了非常低的傳輸延遲和非常高的數(shù)據(jù)傳輸率。但廣播數(shù)據(jù)卻將被傳送到所有的交換設備、端口、主干網(wǎng)連接和用戶那里，大量地浪費了網(wǎng)絡資源特別是寶貴的廣域網(wǎng)資源。為減少這種不利影響，在網(wǎng)絡中還得加上一定數(shù)量的路由器以對網(wǎng)絡進行分段。一旦使用了路由器，傳輸延遲將會隨之增加，從而喪失交換型網(wǎng)絡的優(yōu)點。

VLAN的主要好處之一是支持VLAN的交換設備，也可以有效地對廣播數(shù)據(jù)進行控制，某VLAN中的廣播數(shù)據(jù)將只是被復制到那些連接有此VLAN的某個成員的交換端口上，在除此而外的那些端口上將不會出現(xiàn)這些數(shù)據(jù)。這實際上是為在交換型網(wǎng)絡中建立起同路由器功能類似的防火墻提供了一種有效的手段。但同使用路由器的解決方案相比，VLAN技術有幾個顯著的優(yōu)點是路由器所無法具備的。首先是性能上的問題，使用路由器最大的問題是傳輸延遲比較高，而在VLAN結構中大部分數(shù)據(jù)都是借助于交換而傳輸?shù)?，只有在VLAN間的數(shù)據(jù)才要經(jīng)過路由器的處理。在配置得比較好的VLAN結構中，VLAN間的數(shù)據(jù)量將比較少，因而總的網(wǎng)絡性能將不會受到太大的影響。其次路由器的配置和管理更為復雜，減少網(wǎng)絡中路由器的數(shù)量可以降低網(wǎng)絡的維護和管理開銷。另外同路由器端口比較起來，交換端口的價格要便宜一些，這使得我們可以用比較少的費用獲得比較好的效果。網(wǎng)管人員可以非常方便地通過多種手段對廣播域的大小進行控制，例如限制在同一個VLAN中的交換端口的數(shù)目以及連接在這些端口上的用戶的數(shù)目等。一般來說，VLAN中的用戶數(shù)越小，此VLAN中的廣播數(shù)據(jù)對于網(wǎng)絡中其他用戶的影響將越小。另外可以基于所用的應用類型及這些應用所產(chǎn)生的廣播數(shù)據(jù)量的大小進行VLAN的劃分。共享同一個會產(chǎn)生大量廣播數(shù)據(jù)的應用程序的那些用戶可以劃分到同一個VLAN中，同時網(wǎng)管人員也可以將此應用分布到整個網(wǎng)絡上。

3．增強網(wǎng)絡安全性目前共享型的LAN已經(jīng)大量地安裝在各行各業(yè)中，這會導致的一個嚴重問題就是如何對數(shù)據(jù)進行保密，共享型LAN的一個最大的不足就是易于受到入侵。只要把機器接入到一個端口中就可以收到相應網(wǎng)段上的所有數(shù)據(jù)。廣播域越大，此種危險也將越大，除非是HUB本身具有安全控制功能。增強網(wǎng)絡安全性的一種最有效和最易于管理的方法是，將整個網(wǎng)絡劃分成一個個互相獨立的廣播組(VLAN)。通過網(wǎng)管人員可以限制某個VLAN中的用戶的數(shù)量，并且可以禁止那些沒有得到許可的用戶進入到某個VLAN中。按照這種方式，VLAN可以提供一道安全性防火墻，以控制用戶對于網(wǎng)絡資源的訪問，控制廣播組的大小和構成，并且可借助于網(wǎng)管軟件在發(fā)生非法入侵時及時通知管理人員。實現(xiàn)此種類型的分段相對來說還是比較簡單的。例如可以根據(jù)應用類型和訪問權限對交換端口進行分組，那些受限的應用和資源一般均被放到一個VLAN中。試圖侵入某個VLAN中的非法用戶將被網(wǎng)管軟件標記出來，通過使用路由器訪問表還可以使安全性得到更進一步的增強，這對于VLAN間的數(shù)據(jù)傳輸將特別有用。在此種安全性的VLAN上，路由器將根據(jù)在交換設備和路由器中的配置而限制對于某些VLAN中數(shù)據(jù)的訪問。此種限制可以根據(jù)站點的地址、應用類型、協(xié)議類型、甚至時間等加以設置。

4．減少站點的移動和改變開銷

VLAN最突出的特點是，它可以減少處理用戶站點的移動和改變所帶來的開銷。由于這些開銷一般來說都比較大，因此VLAN方案也越來越引人注目。各廠商也都在宣揚他們的產(chǎn)品將如何能夠有效地實現(xiàn)對網(wǎng)絡的動態(tài)管理以達到節(jié)省開銷的目的。事實上，VLAN方案也確實能實現(xiàn)這一目的。舉例來說，對于IP類型的網(wǎng)絡，當用戶從一個子網(wǎng)移至另一個子網(wǎng)時，一般都需要對其IP地址進行手工修改，而此種修改可能需要花費比較長的時間才能使站點正常工作，而這些時間本來是可以用于其他一些更具有創(chuàng)造性的活動上的。使用VLAN則可以完全消除這些不必要的時間浪費，因VLAN的成員身份同站點所在的地址是無關的，這樣一來站點可以發(fā)生移動，而其IP地址和子網(wǎng)成員身份則可以保持不變。但任何事物都是具有兩面性的，VLAN的實現(xiàn)雖然可以降低對于網(wǎng)絡動態(tài)管理的開銷，但VLAN在物理連接的基礎上多出了一個虛擬連接，而對此虛擬連接的管理也是要有一定的開銷的。但只要規(guī)則得當，總的網(wǎng)絡管理開銷還是將得以降低。

5．實現(xiàn)虛擬工作組

VLAN方案的另一個突出特點是，要建立起虛擬工作組模型。虛擬工作組是指當在整個園區(qū)網(wǎng)絡環(huán)境下實現(xiàn)了VLAN之后，同一個部門的所有成員將可以像處于同一個LAN上那樣進行通信，大部分網(wǎng)絡通信將不會傳出此VLAN廣播域。當某個用戶從一個地方移動到另一個地方時，如果他的工作部門不發(fā)生變化，那么就用不著對其機器進行重新配置。與此類似，如果某個用戶改變了工作部門，他可以不改變其工作地點，而只需網(wǎng)管人員修改一下其VLAN成員身份即可。這種功能模型使得我們可以建立起更為動態(tài)化的組織環(huán)境，以增強向功能交叉的工作組方向演化的趨勢。虛擬工作組模型的工作方式是：以某個臨時性的項目為基礎的工作組可以虛擬地連接到同一個VLAN上，這樣此工作組中的人員將用不著改變其工作地點。另外這些工作組可以是動態(tài)的。同某個功能有關的工作組相應的VLAN可以在項目的生存期內動態(tài)地創(chuàng)建起來，而在此項目完成之后則可以將此VLAN“拆除”，用戶的地理位置都不用發(fā)生任何變化。雖然這種操作確實很誘人，但實際情況是VLAN本身并不能完全實現(xiàn)這種虛擬工作組模型。目前要實現(xiàn)這模型至少要考慮以下幾個管理和結構方面的問題：

(1)虛擬工作組的管理。從網(wǎng)絡管理的角度出發(fā)，虛擬工作組的暫時性可能會使得修改VLAN成員和身份同修改路由表一樣麻煩，而且從人們的心理角度來講，他們可能更習慣于同他們的同事呆在同一個地方，這對于虛擬工作組的實現(xiàn)無疑是一個最大的障礙。

(2)?80/20規(guī)則的保持。虛擬工作組的VLAN通常假設80%以上的網(wǎng)絡通信量是本VLAN內的，而只有不到20％是跨越