虚拟局域网(VLAN)是驻地网必须具备的特性之一。目前普遍应用的802.1q,主要是针对企业应用设置的,起到网段隔离和多址联播的作用。如果用在驻地网上,便可能破坏多址联播特性,引起网络运行效率的降低。例如10个用户同时点播一个视频节目,视频服务器要响应10次请求,在网络骨干层要传输10次,造成大量的带宽消耗。如果用户数目多到一定程度,整个网络便有可能瘫痪。思科的PVLAN技术有效解决了这一问题,在一组端口发出请求时,骨干层只传输一次,再分到每个端口,因此大大提高了网络的运行效率。



IDC环境是一个典型的多客户的服务器群结构,每个托管客户从一个公共的数据中心中的一系列服务器上提供Web服务。这样,属于不同客户的服务器之间的安全就显得至关重要。一个保证托管客户之间安全的通用方法就是给每个客户分配一个VLAN和相关的IP子网。通过使用VLAN,每个客户被从第2层隔离开,可以防止任何恶意的行为和Ethernet的信息探听。然而,这种分配每个客户单一VLAN和IP子网的模型造成了巨大的扩展方面的局限。这些局限主要有以下几方面:

· VLAN的限制:LAN交换机固有的VLAN数目的限制

· 复杂的STP:对于每个VLAN,一个相关的Spanning-tree的拓扑都需要管理

· IP地址的紧缺:IP子网的划分势必造成一些地址的浪费

· 路由的限制:如果使用HSRP,每个子网都需相应的缺省网关的配置



在一个IDC中,流量的流向几乎都是在服务器与客户之间,而服务器间的横向的通信几乎没有。Cisco在IP地址管理方案中引入了一种新的VLAN机制,服务器同在一个子网中,但服务器只能与自己的缺省网关通信。这一新的VLAN特性就是专用VLAN (private VLAN,pVLAN)。这种特性是Cisco公司的专有技术,但特别适用于IDC。



专用VLAN是第2层的机制,在同一个2层域中有两类不同安全级别的访问端口。与服务器连接的端口称作专用端口(private port),一个专用端口限定在第2层,它只能发送流量到混杂端口,也只能检测从混杂端口来的流量。混杂端口(promiscuous port)没有专用端口的限定,它与路由器或第3层交换机接口相连。简单地说,在一个专用VLAN内,专用端口收到的流量只能发往混杂端口,混杂端口收到的流量可以发往所有端口(混杂端口和专用端口)。



下图示出了同一专用VLAN中两类端口的关系。



专用VLAN的应用在多客户的数据中心是非常有效的,因为IDC的网络中,服务器只需与自己的缺省网关连接,一个专用VLAN不需要多个VLAN和IP子网就提供了这样的安全连接。在这一模型中,所有的服务器都接入专用VLAN,从而实现了所有服务器与缺省网关的连接,而与专用VLAN内的其他服务器没有任何访问。目前,Cisco的Catalyst Switch 6000/6500系列交换机支持专用VLAN。



VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。 



VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 



VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。 



VLAN在交换机上的实现方法,可以大致划分为4类: 



1、 基于端口划分的VLAN 



这种划分VLAN的方法是根据以太网交换机的端口来划分,比如Quidway S3526的1~4端口为VLAN 10,5~17为VLAN 20,18~24为VLAN 30,当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最广泛的方法,IEEE 802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。 



这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。 



2、基于MAC地址划分VLAN 



这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。 



3、基于网络层划分VLAN 



这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF等路由协议,而是根据生成树算法进行桥交换, 



这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。 



这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网祯头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。 



4、根据IP组播划分VLAN 



IP 组播实际上也是一种VLAN的定义,即认为一个组播组就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。 



鉴于当前业界VLAN发展的趋势,考虑到各种VLAN划分方式的优缺点,为了最大程度上地满足用户在具体使用过程中需求,减轻用户在VLAN的具体使用和维护中的工作量,Quidway S系列交换机采用根据端口来划分VLAN的方法。

虚拟网间的信息传递 

  交换机必须有一种方式来了解VLAN的成员关系,即哪一个工作站属于哪一个虚拟网。否则,虚拟网就只能局限在单交换机的应用环境里了。一般来说,基于数据链路层的虚拟网(即按端口和MAC地址划分的VLAN),其成员是以直接的形式与其它成员联系的。而基于IP的虚拟网成员之间是利用IP地址以间接的方式相互联系的。绝大多数利用网络层划分虚拟网的网络产品,其工作方式均属于后一种。 

  现在,抛开ATM主干网不谈,已经有三种方式被用来实现VLAN之间的通讯: 

  列表支持方式(TableMaintenance); 

  帧标签方式(FrameTagging); 

  TDM(Time-DivisionMultiplexing,时分复用)方式。 



  下面简要介绍这三种Vlan之间的通讯方式 

  1) 交换机列表支持方式 

  这种方式是按如下步骤工作的:当工作站第一次在网络上广播其存在时,交换机就在自己内置的地址列表中将工作站的MAC地址或交换机的端口号与所属虚拟网一一对应起来。并不断的向其它交换机广播。如果工作站的虚拟网成员身分改变了,交换机中的地址列表将由网络管理员在控制台上手动修改。随着网络规模的扩充,大量用来升级交换机地址列表的广播信息将导致主干网路上的拥塞。因此,这种方式并不太普及。 



  2) 帧标签方式 

  在这种形式下,每个数据包都在包头位置上插入了一个标签以显示该数据帧属于哪个虚拟网。不同厂家的标签长度是不一样的。有时,一个数据包加上标签后的长度甚至超过了网络设备所能处理的极限。另一个问题是,由于标签的存在,网络负载加重了。 



  3) TDM方式 

  TDM在虚拟网上的实现方式与它在广域网上的实现方式非常类似。在这里,每个虚拟网都将拥有自己的网络通路。这样,在一定程度上避免了前两者方式中所遇到的问题。但另一方面,属于某一个虚拟网的时间片断只能被该虚拟网的成员使用。所以,仍然有很多带宽被浪费了。 现在,非常流行的ATM网络也允许内部的两个交换机之间交换虚拟网信息。与上述三种方式都不同的是,ATM使用一种被称作LANE(LANEmula-tion,局域网仿真)的技术来实现这项功能。 



虚拟网的标准 



  从上述内容看来,虚拟网的定义方式以及交换机的通讯方式是多种多样的。每个厂家都有自己独特的虚拟网解决方案。然而,残酷的事实告诉我们,3COM的交换机是不可能与DEC的交换机一起在虚拟网上亲密合作的。这就意味着,用户在购买硬件设备时不得不从头到尾依赖单一的网络厂商。(当然,一个例外就是ATM上的VLAN)因此,在最近的一段时间内,VLAN仍然是与厂商紧密相关的技术产物。 

  迄今为止,业界已经通过了两种VLAN标准。 

?802.10VLAN标准 

  在1995年,Cisco公司提倡使用IEEE802.10协议。在此之前,IEEE802.10曾经在全球范围内作为VLAN安全性的同一规范。Cisco公司试图采用优化后的802.10帧格式在网络上传输FramTagging模式中所必须的VLAN标签。然而,大多数802委员会的成员都反对推广802.10。因为,该协议是基于FrameTagging方式的。这样将导致不定常的数据帧,使A-SIC字符的传输变得非常困难。 

?802.1Q 

  在1996年3月,IEEE802.1Internetworking委员会结束了对VLAN初期标准的修订工作。新出台的标准进一步完善了VLAN的体系结构,统一了Fram-eTagging方式中不同厂商的标签格式,并制定了VLAN标准在未来一段时间内的发展方向。被称为802.1Q的标准在业界获得了广泛的推广。它成为VLAN史上的一块里程碑。802.1Q的出现打破了虚拟网依赖于单一厂商的僵局,从一个侧面推动了VLAN的迅速发展。另外,来自市场的压力使各大网络厂商立刻将新标准融合到他们各自的产品中。3COM,Alanee/FORE,BayNetworks,Cisco和IBM都声称他们的交换机支持802.1Q。 



虚拟网的优势 



  为什么如此多的投资商都这么青睐虚拟网呢?VLAN究竟能给我们带来什么效益?VLAN真的能减轻网络管理员的负担吗? 

1.减少因网络成员变化所带来的开销 

  人们选择虚拟网的主要原因就是虚拟网能够减少用户的增加、删除、移动等工作产生的隐含开销。在任何一种规模的网络中,这笔开销都是不可低估的。考虑到这一点,人们才对VLAN如此的热衷。 

  绝大多数厂商同都抱有这样一种观点。就是虚拟网的应用在很大程度上增强了对动态网络的集中式管理能力并相应的减少了这方面的开支。对于使用IP协议的网络,这点尤为突出。以前,如果一个用户移动到了另一个网段,那么,他所使用的工作站上的IP地址需要手动修改。这种升级过程既浪费时间又消耗精力。现在,VLAN中的用户已经不用再如此了劳神了。IP地址和工作站之间没有永久的必然的联系。用户可以在网络间漫游而不用考虑自己的成员身份。 

  这种新出现的动态网络结构吸引了许多Internet应用服务投资商。然而,遗憾的是,并不是每一种形式的VLAN都能给您带来意想不到的利润。一个VLAN与另一个VLAN之间的对话首先必须建立在物理连接的基础上。其次还需要一个虚拟连接层。这两个层次之间的对应和管理手段都需要大量的投资。那是不是说,虚拟网不能为使用者节省开支了呢?不是的。如果使用得当,VLAN仍然会做得很好。只不过,公司的决策人千万不要简单的把VLAN扔到网络上去而不管实际的需求和应用情况。虚拟网的建设所带来的投资和虚拟网在网络管理上节省下来的开支,孰轻孰重,是必须考虑的。 



2.虚拟工作组 

  使用虚拟网的另一个目的是建立虚拟工作组模型。当企业级的虚拟网建成之后,某一部门或分支结构的职员可以在虚拟工作组模式下共享同一个"局域网"。这样,绝大多数的网络流量都限制在VLAN广播域内部了。当部门内的某一个成员移动到另一个网络位置上时,他所使用工作站不需要作任何改动。相反,一个用户根本不用移动他的工作站就可以调整到另一个部门去。管理员只需要在控制台上简单的敲两个键或挪动一下鼠标就可以了。 

  VLAN的这种功能使人们以前曾设想过的动态网络组织结构成为了可能,并在一定程度上大大推动了交叉工作组的形成。那么,究竟什么是虚拟工作组呢?对一个公司而言,经常会针对某一个具体的开发项目临时组建一个由各个部门的技术人员组成的工作小组。他们可能来自经营部网络部,技术服务部等等。有了虚拟网,小组内的成员不用再集中到一个办公室里了。他们只要坐在自己的计算机旁就可以了解到其他伙伴们的开放情况。另外,虚拟网为我们带来了巨大的灵活性。当有实际需要时,一个虚拟工作组可以应运而生。当项目结束后,虚拟工作组又可以随这消失。这样,无论是对无论用户还是对网络管理员来说,VLAN都是再诱人不过了。 

  当然,还会有几个问题会影响到虚拟网上虚拟工作组模型的实现。 

  虚拟工作组的管理 

  网络管理一直都是令人头疼的问题。对于网络管理员来说,虚拟工作组频繁的变更会给他们带来许多意想不到的工作量。其繁冗程度不亚于手动修改路由列表。而且,从传统意义上讲,人们总还是在心理上希望能和同在一个工作组的其它成员在一起面对面的工作、交谈,而不是待在各自的屋子里通过没有生命力的网络间接的对话。 



  对80/20规范的支持 

  虚拟网对虚拟工作组的支持必须严格遵守80/20规范,即80%的网络流量限制在本地而另外20%的流量参与与其它工作组之间的联系。理论上,如果划分得当,只有20%的非本地数据会通过路由器到达远程节点。这样,既节省了宝贵的网络带宽又减少了网络延迟。但是,80/20规范在某些情况下会限制某些网络软件的使用。对于象LotusNotes这样的群件系统尤其如此。因为,整个网络上所有用户对应用软件的访问概率几乎是一样的。 



  对本地局域网资源的访问 

  这是虚拟工作组模式带来的一个小小的问题。用户经常和某些网络共享资源,如打印机在物理上离的很近。一旦使用起来那可就要费点事了。打个比方说,会计组的一名成员和许多经营组的成员同在一间办公室里。在她本地的计算机上就连接着一台计算机。但遗憾的是,这台打印机被划给经营虚拟组了。这样,所有对本地打印机发出的打印请求都必须首先通过连接两个虚拟网的路由器。您不觉得累了点么?当然,某些情况下,我们可以让两个虚拟网共享同一个网络资源,包括打印机。但如果实际情况不允许我们这么做,那么我们只能在主干网交换机上内置路由功能。虽然这样做会降低交换机的性能,但总比使用外部路由强。 



  对服务器集群的访问 

  服务器集群是指公司将所有的服务器都集中在数据中心。这样做可以实现冗余备份,充分利用良好的外部环境和不间断电源。目前,服务器集群已经成为减少网管开支的主要途径之一。 

  然而,如果网络设备不支持交叉虚拟网的话,服务器集群的使用将使虚拟网络陷入尴尬局面。在这种情况下,中心服务器和处在不同虚拟网段的客户端之间的数据交换必须通过路由器。也许我们可以为每个工作组都提供一系列的本地服务器,但在绝大多数情况下这是不太可能的。另外,在某些网络环境中,MIS系统的工作人员总习惯性在服务器集群和其它网络设备之间放一个路由器。目的是通过对路由器访问扩展列表的管理加强网络的安全性。而对于绝大多数厂商来说,他们的交换机产品是不支持跨越路由器的虚拟网划分的。 

  更糟糕的是,想想吧,我们为什么选择了交换机和虚拟网。其主要原因是为了减少路由器带来的网络延迟。而现在,服务器集群和MIS系统的存在使我们不得不又重新操起了传统的网络拓扑结构。这与虚拟网络的原本意图是格格不入的。 

3.减少了路由器的使用 

  现在,交换机的出现大大动摇了路由器在网络中的地位。新型的交换机集高速网桥和高性能路由于一身。其增长势头远远超过了传统的路由器。人们不禁惊呼"交换机的时代来临了。"即使是路由器生产厂商现在也开始抱有这样一种观点:"Switchwhenyoucan,routcan,routerwhenyoumust。"但另一方面,虽然交换机能够在网络层的基础上为观点用户提供卓越的功能,但在短时间内,交换机仍然和网桥一样,无法过滤局域网内的广播信息。它只是简单的将广播信息进行复制,然后分发给各个端口。这样做经常会导致网络上的"交通"拥挤不堪,使交换机所带来的高带宽大打折扣。因此,用户们不得不使用路由器将本网段和其它网段隔离开。路由器的作用就象是一个针对广播信息的防火墙。顺便插一句,由此看来,交换机本身是不会让用户抛弃路由器的。 

  使用虚拟网的一个优势就是支持虚拟网的交换机可以在没有路由器的情况下很好的控制广播流量。在VLAN中,从服务器到客户端的广播信息只会在连接本虚拟网客户机的交换机端口上被复制,而在其它端口上,广播信息终止了。只有那些需要跨越虚拟网的数据包才会穿过路由器。在这种工作方式下,交换机事实上扮演的是路由器的角色。 

  那么,路由器在虚拟网中究竟处在什么样的地位上呢?聪明的读者应该意识到,就是在VLAN中,路由器业仍然有着它存在的理由:路由器用于连接不同的VLAN,同时,还要为局域网和广域网之间的连接提供有效的广播过滤功能。因为虚拟网在广域网上是不适用的。 



虚拟网和广域网 

  理论上讲,VLAN是可以控制到WAN上的。但是,技术人员并不建议你这样做。因为,来自本地虚拟网上的广播信息会浪费WAN上宝贵的网络带宽。如果,广域网带宽对于某个单位来说根本不是问题,那么跨越广域网的虚拟网也可以考虑。当然,并不是所有形式的VLAN都适合WAN。IP广播组形式的VLAN被证明是行之有效的。对于其它形式的虚拟网,恐怕还需要应该路由器来过滤广播信息。