網絡性能是影響的效率的重要因素。
大的廣播域分割方法,旨在提高網絡性能。一個接口上,可是,路由器的LAN接口數量有限,它的主要功能是在網絡間數據傳輸,而不是對終端設備提供網絡接入。
訪問LAN的功能還是由接入層交換機來實現。
與三層交換機相類似,通過在二層交換機上創建VLAN來降低廣播域。現代交換機就是通過VLAN來構造的,因此在某種程度上,學習交換機就是學習VLAN。
1、問題的產生:
上一節已經講過廣播域的概念:即廣播幀傳播覆蓋的范圍。例如以下圖所看到的,當網絡上的全部設備在廣播域產生大量的廣播以及多播幀,就會與數據流競爭帶寬。這是由網絡管理數據流組成,如:ARP,DHCP,STP等。例如以下圖所看到的,如果PC 1產生ARP。Windows登錄。DHCP等請求:
這些廣播幀到達交換機1之后,遍歷整個網絡並到達全部節點直至路由器。
隨着網絡節點添加。開銷的總數也在增長,直至影響交換機性能。
通過實施VLAN斷開廣播域將數據流隔離開來,可以解決這一問題。
2、什么是VLAN:
VLAN(virtual local area network)是一組與位置無關的邏輯port。VLAN就相當於一個獨立的三層網絡。VLAN的成員無需局限於同一交換機的順序或偶數port。
下圖顯示了一個常規的部署。左邊這張圖節點連接到交換機,交換機連接到路由器。全部的節點都位於同一IP網絡,由於他們都連接到路由器同一接口。
圖中沒有顯示的是,缺省情況下,全部節點實際上都是同一VLAN。因此。這樣的拓撲接口可看作是基於同一VLAN的,如上面右圖所看到的。比如,Cisco設備默認VLAN是VLAN 1,也稱為管理VLAN。默認配置下包括全部的port,體如今源地址表(source address table,SAT)中。該表用於交換機依照目的MAC地址將幀轉發至合適的二層port。
引入VLAN之后。源地址表依照VLAN將port與MAC地址相相應起來。從而使得交換機可以做出很多其它高級轉發決策。下圖顯示了show mac address table和show vlan命令的顯示輸出。全部port(FA0/1 – FA0/24)都在VLAN 1。
還有一種經常使用的拓撲結構是兩個交換機被一個路由器分離開來。例如以下圖所看到的。這樣的情況下,每台交換機各連接一組節點。每一個交換機上的各節點共享一個IP地址域,這里有兩個網段:192.168.1.0和192.168.2.0。
注意到兩台交換機的VLAN同樣。非本地網絡數據流必須經過路由器轉發。
路由器不會轉發二層單播,多播以及廣播幀。這樣的拓撲邏輯在兩個地方類似於多VLAN:同一VLAN下的節點共享一個通用地址域,非本地數據流(相應多VLAN情況不同VLAN的節點)需通過路由器轉發。在一台交換機上加入一個VLAN。去掉還有一台交換機的話,結構例如以下所看到的:
每個VLAN相當於一個獨立的三層IP網絡,因此,192.168.1.0上的節點試圖與192.168.2.0上的節點通信時。不同VLAN通信必須通過路由器。即使全部設備都連接到同一交換機。二層單播。多播和廣播數據僅僅會在同一VLAN內轉發及泛洪,因此VLAN 1產生的數據不會為VLAN 2節點所見。僅僅有交換機能看得到VLAN。節點和路由器都感覺不到VLAN的存在。加入了路由決策之后,能夠利用3層的功能來實現很多其它的安全設定,很多其它流量以及負載均衡。
3、VLAN的作用:
安全性:每個分組的敏感數據須要與網絡其它部分隔離開,降低保密信息遭到破壞的可能性。例如以下圖所看到的,VLAN 10上的教職工主機全然與學生和訪客數據隔離。
節約成本:無需昂貴的網絡升級。而且帶寬及上行鏈路利用率更加有效。
性能提高:將二層網絡划分成多個邏輯工作組(廣播域)降低網絡間不必要的數據流並提升性能。
縮小廣播域:降低一個廣播域上的設備數量。
如上圖所看到的:網絡上有六台主機但有三個廣播域:教職工,學生。訪客。
提升IT管理效率:網絡需求相似的用戶共享同一VLAN,從而網絡管理更為簡單。當加入一個新的交換機,在指定portVLAN時。全部策略和步驟已配置好。
簡化項目和應用管理:VLAN將用戶和網絡設備匯集起來,以支持不同的業務或地理位置需求。
每個VLAN相應於一個IP網絡,因此,部署VLAN的時候必須結合考慮網絡地址層級的實現情況。
4、交換機間VLAN:
多交換機的情況下,VLAN是怎么工作的呢?下圖所看到的的這樣的情況,兩個交換機VLAN同樣,都是默認VLAN 1。即兩個交換機之間的聯系同在VLAN 1之內。路由器是全部節點的出口。
這時單播,多播和廣播數據自由傳輸,全部節點屬於同一IP地址。這時節點之間的通信不會有問題。由於交換機的SAT顯示它們在同一VLAN。
而以下這樣的連接方式就會有問題。
因為VLAN在連接port的主機之間創建了三層邊界,它們將無法通信。
細致看上圖,這里有非常多問題。第一,全部主機都在同一IP網,雖然連接到不同的VLAN。第二,路由器在VLAN 1,因此與全部節點隔離。最后,兩台交換機通過不同的VLAN互連。每一點都會造成通信阻礙,合在一起,網絡各元素之間會全然無法通信。
交換機用滿或同一管理單元物理上彼此分離的情形是非經常見的。
這樣的情況下。VLAN須要通過trunk延伸至相鄰交換機。
trunk可以連接交換機,在網絡間傳載VLAN信息。
例如以下圖所看到的:
對之前的拓撲的改進包含:
* PC 1和PC 2分配到192.168.1.0網段以及VLAN 2。
* PC 3和PC 4分配到192.168.2.0網段以及VLAN 3。
* 路由器接口連接到VLAN 2和VLAN 3。
* 交換機間通過trunk線互連。
注意到trunkport出如今VLAN 1。他們沒實用字母T來標識。
trunk在不論什么VLAN都沒有成員。
如今VLAN跨越多交換機。同一VLAN下的節點能夠物理上位於不論什么地方。
5、什么是Trunk:
Trunk是在兩個網絡設備之間承載多於一種VLAN的端到端的連接,將VLAN延伸至整個網絡。沒有VLAN Trunk,VLAN也不會很實用。VLAN Trunk同意VLAN數據流在交換機間傳輸,所以設備在同一VLAN,但連接到不同交換機。可以不通過路由器來進行通信。
一個VLAN trunk不屬於某一特定VLAN,而是交換機和路由器間多個VLAN的通道。例如以下圖所看到的,交換機S1和S2,以及S1和S3之間的鏈路,配置為傳輸從VLAN10,20,30以及90的數據流。
該網絡沒有VLAN trunk就無法工作。
當安裝好trunk線之后。幀在trunk線傳輸是就行使用trunk協議來改動以太網幀。
這也意味着交換機port有不止一種操作模式。
缺省情況下。全部port都稱為接入port。當一個port用於交換機間互連傳輸VLAN信息時,這樣的port模式改變為trunk,節點也路由器通常不知道VLAN的存在並使用標准以太網幀或“untagged”幀。trunk線可以使用“tagged”幀來標記VLAN或優先級。
因此,在trunkport,執行trunk協議來同意幀中包括trunk信息。
例如以下圖所看到的:
PC 1在經過路由表處理后向PC 2發送數據流。這兩個節點在同一VLAN但不同交換機。過程例如以下:
* 以太網幀離開PC 1到達Switch 1。
* Switch 1的SAT表明目的地是trunk線的還有一端。
* Switch 1使用trunk協議在以太網幀中加入VLAN id。
* 新幀離開Switch 1的trunkport被Switch 2接收。
* Switch 2讀取trunk id並解析trunk協議。
* 源幀依照Switch 2的SAT轉發至目的地(port4)。
VLAN tag例如以下圖所看到的,包括類型域,優先級域,CFI(Canonical Format Indicator)指示MAC數據域。VLAN ID。
