1.4 园区网络逻辑设计

1.4.1 网络拓扑的选择

随着电子集成技术和通信技术的发展,局域网拓扑结构也在不断地变化和更新。在 20世纪 60 年代推出了环形拓扑结构和星形拓扑结构,随着分布式控制的发展, 20 世纪 70 年代推出了总线型和树形拓扑结构。目前,局域网的拓扑结构主要有:星形、环形、总线型、

        树形、网状型和混合型等几种。其中,前三种是广泛应用的网络拓扑结构单元,实际的企业网络拓扑结构基本上是这三种网络结构单元混合组成的,如后面的树形、混合型结构。网状结构在局域网中目前基本上不单独采用,只是在一个网络中的局部采用,主要用于冗余连接。目前的实际应用中,网络的物理拓扑结构一般都采用星形连接,星形连接在将用户接入网络时具有更大的灵活性,当系统不断发展或当系统发生重大变化时,这种优点将显得更加突出。为网络的平滑升级创造了先天条件。星形结构是目前应用最广、实用性最好的一种拓扑结构,可在不影响系统其他设备工作的情况下很方便地增加或减少设备。无论在局域网中,还是在广域网中都可以见到它的身影,但主要应用于双绞线以太局域网中。它采用的传输介质是常见的是双绞线和光纤,担当集中连接的设备是具有双绞线的 RJ-45以太网端口,或各种光纤端口的集线器或交换机。星形结构的主要优点有网络传输数据快,实现容易,成本低,节点扩展和移动方便,维护容易;主要缺点有核心交换机工作负载重,网络布线比较复杂,广播传输影响网络性能。典型的星形网络扣扑结构如图 1-4所示。

基于vxlan的大型园区网络互联设计 园区网络设计案例_服务器

1.4.2 网络分层结构设计

1. 层次化网络结构设计

三层网络架构采用层次化模型设计,即将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。如图 1-5所示,三层网络架构设计的网络有三个层次:核心层 (网络的高速交换主干)、汇聚层 (提供基于策略的连接)、接入层 (将工作站接入网络)。

基于vxlan的大型园区网络互联设计 园区网络设计案例_IP_02


对于一个中小型园区网络,常见的只有接入层和核心层两层结构。核心层设备充当了接入层的网关功能,既做交换也做路由。这是一种比较简单的方式,但是对于大型园区网络,基本上都是按照三层结构来进行设计和划分的,从二层交换技术的网络架构调整到三层交换技术的网络架构,网络的优化效果明显,配之以网管软件,网络的安全性和可防护性大为提高。通过合理配置核心交换机,充分发挥了核心交换机的硬件性能,调整核心交换机在带宽、网络流量处理能力位置结构,具备良好的扩展性,根据业务需求划分 VLAN,控制广播范围,抑制广播风暴,提高了局域网的整体性能和安全性。如图 1-6展示了一个经典的三层网络架构。


基于vxlan的大型园区网络互联设计 园区网络设计案例_服务器_03


 

( 1 )核心层

核心层的功能主要是实现骨干网络之间的优化传输,负责整个网络的网内数据交换。核心层设计任务的重点通常是在冗余能力、可靠性和高速的传输等方面。核心层是网络的骨干,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。对于大型局域网的核心层,必须提供高性能、高可靠的网络结构。核心交换机设备应该在提供大容量、高性能 L2/L3 交换服务的基础上,能够进一步融合硬件 IPv6 、网络安全、网络业务分析等智能特性,可为校园园区构建融合业务的基础网络平台,进而帮助用户实现 IT 资源整合的需求。

( 2 )汇聚层

汇聚层主要负责连接接入层接点和核心层中心,汇集分散的接入点,扩大核心层设备的


端口密度和种类,汇聚各区域数据流量,实现骨干网络之间的优化传输。汇聚交换机还负责

本区域内的数据交换,汇聚交换机一般与中心交换机同类型,仍需要较高的性能和比较丰富

的功能,但吞吐量较低。

汇聚层来自分布在某个楼宇的接入层交换机的流量,当路由协议应用于这一层时,具有

负载均衡、快速收敛和易于扩展等特点,这一层还可作为接入设备的第一跳网关;对于大型

局域网的汇聚层设备,应该能够承载多种融合业务,能够融合 MPLS 、 IPv6 、网络安全、无

线、无源光网络等多种业务,提供不间断转发、优雅重启 ( GracefulRestart )、环网保护等

多种高可靠技术,能够承载大型园区融合业务的需求。

( 3 )接入层

接入层网络作为二层交换网络,提供工作站等设备的网络接入,设备端口比较密集。接

入层在整个网络中接入交换机的数量最多,具有即插即用的特性。对此类交换机的要求,一

是价格合理;二是可管理性好,易于使用和维护;三是有足够的吞吐量;四是稳定性好,能

够在比较恶劣的环境下稳定地工作。

接入层提供网络的第一级接入功能,完成简单的二、三层交换,安全、 QoS 和 POE 功

能都位于这一层。对于大型局域网的接入层设备,现在普遍采用千兆接入的方式,应该具有

丰富的 ACL 策略以及高级 QoS 策略等功能。

2. 冗余拓扑网络结构设计

很多行业和企业用户,对网络都有实时性的要求,比如金融、证券、航空、铁路、邮政

以及一些企业用户等,其网络一旦出现故障,将会带来巨大的经济损失;但网络涉及环节非

常多,比如说线路、电信的设备等,任何一个环节出现问题,都会导致整个网络传输运行的

停止。所以应该给用户提供冗余的网络,作为重要的网络设备路由器和核心交换机,就是通

过备份来实现网络的冗余,确保网络的畅通。

在具有单点故障隐患的网络连接中,一个核心节点或汇聚节点的故障往往会导致下连所

有节点设备的业务中断;或下连节点设备有大流量业务冲击时,上层设备处理能力不够。所

以在高可用的网络设计中可采用 “网络节点冗余 + 链路冗余”的设计方法。例如,核心级

设备的双机热备、双链路接入。如果网络中存在单点故障的隐患,且该隐患处于核心层位

置,则网络的可用性受到挑战,进而整个企业的 IT 业务应用也存在隐患。

为了提高整个网络的可靠性,核心交换机采用双机热备份、负载平衡方式,即两台核心

交换机正常情况下都参与工作,当其中的任何一台发生故障时,另外一台可以自动、无缝地

接管它的工作,这对网络管理员、用户来说都是透明的,无需人工干预故障切换,提高了网

络对突发事故的自动容错能力,最小化网络的失效时间。

如图 1-7所示,


基于vxlan的大型园区网络互联设计 园区网络设计案例_子网划分与 VLAN_04

核心层采用双机热备的技术,可以防止网络结构中的单点故障,提高企业网络的可用性。在核心层网络中采用双机热备的冗余网络节点的方式,通过冗余协议配置,正常情况下业务应用的数据可通过两台核心设备转发,降低了大业务量对单台核心设备的压力;当一台核心层设备故障的时候,接入层设备的业务可以自动切换到另外一台核心层设备上正常转发,增强了网络对单点设备故障的容错能力。


1.4.3 IP地址规划与分配


IP地址的合理规划是网络设计中的重要一环,在设计大型园区网络时,必须考虑对整个园区网络进行 IP地址的规划和设计。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。因此,对于一个网络的逻辑设计,IP地址规划是最重要的,必须针对全局来统一规划。

1.IP 地址分配原则

IP 地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器 CPU 、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则:

1 )唯一性:一个 IP 网络中不能有两个主机采用相同的 IP 地址。

2 )简单性:地址分配应简单,易于管理,降低网络扩展的复杂性,简化路由表项。

3 )连续性:连续地址在层次结构网络中易于进行路径叠合,大大缩减了路由表,提高

了路由算法的效率。

4 )可扩展性:地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠

合所需的连续性。

5 )灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空

间。

主流的 IP 地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。对于一般

的园区网络而言,通常是使用私网地址,然后在出口设备上实现 NAT 功能。

2.IP 地址规划方案

一般需要对园区网络的 IP 地址进行严格编码,每位代表不同的含义。其编码规则如图

1-8所示。


基于vxlan的大型园区网络互联设计 园区网络设计案例_子网划分与 VLAN_05


通过地址标识可以清楚地区分出 IP 地址的来源,便于路由汇聚和访问控制。从上图中

我们也可以看出,通过规划,我们能从 IP 地址分析出 IP 地址的来源、用途等,这将为网络


的维护带来方便。具体的 IP地址定义将结合实际情况确定。核心交换机支持静态或动态的

IP 地址分配,并支持动态 IP 地址分配方式下 DHCP-Relay 功能, DHCPSERVER 可安放在园

区内部。对于固定 IP 地址用户,需要针对标识符 ( MAC 地址)设定保留 IP 地址。对于所

有的网络设备,还需要配置管理 IP ,以便实现远程管理。

3.IPv4 路由规划

对于大型园区网络,整个骨干网络一般采用 OSPF ( OpenShortestPathFirst ,开放式最短路径优先)路由协议,OSPF 协议在整个骨干网中不会引起路由回环,利于园区网骨干网的健壮性。即在汇聚与核心交换机之间采用 OSPF 路由的方式, OSPF 路由的方式可以减少网络中心人员对于校园网的维护量。OSPF 在校园网中只在核心骨干中进行运行,这样大大减少了骨干节点之间 OSPF 协议的收敛周期,在实际的应用过程中可以提高园区网络的高稳定性。

1.4.4 IPv6地址规划与分配

1.IPv6 地址简介

        IP地址规划主要涉及网络资源利用方便有效的管理网络问题, IPv6 地址有 128 位,其中可供分配为网络前缀的空间有 64bit 。按照最新的 IPv6RFC3513 , IPv6 地址分为全球可路由前缀和子网 ID 两部分,协议并没有明确的规定全球可路由前缀和子网 ID 各自占的 bit 数,目前 APNIC ( Asia-PacificNetworhInformationCenter ,亚太互联网络信息中心)能够申请到的 IPv6 地址空间为 /32 的地址。IPv6的地址使用方式有两类:一类是普通网络申请使用的 IP 地址,这类地址完全遵从前缀 + 接口标识符的 IP 地址表示方法;另外一类就是取消接口标识符的方法,只使用前缀来表示 IP 地址。


        IP地址的分配和网络组织、路由策略以及网络管理等都有密切的关系,IPv6地址规划目前尚没有主流的规则,具体的 IP地址分配通常在工程实施时统一规划实施,可以遵循一些分配原则:

1 )地址资源应全网统一分配。

2 )地址划分应有层次性,便于网络互联,简化路由表。

3 ) IP 地址的规划与划分应该考虑到网络的发展需求。

4 )充分合理地利用已申请的地址空间,提高地址的利用效率。

IP 地址规划应该是网络整体规划的一部分,即 IP 地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP 地址的规划应尽可能和网络层次相对应,应该是自顶向下的一种规划。

全球可聚集 IPv6 地址的前缀为 64 位,后 64 位为主机的 interfaceid ,所以各个驻地网用户用于可分配的 IPv6 地址前缀空间的范围为 /48 至 /64 之间。IPv6的地址分配原则同 IPv4 一样遵循 CIDR ( ClasslessInter-DomainRouting ,无类型域间选路)原则。

IPv6 的地址规划时考虑三大类地址:

1 )公共服务器地址,如 DNS 、 EMAIL 、 FTP 等。

2 )网络设备互联地址和网络设备的 LOOPBACK 地址。

根据 IETFIPv6 工作组的建议, IPv6 网络设备互联地址采用 /64 的地址。 IPv6 网络设备

的 LOOPBACK 地址采用 /128 的地址。

3 )用户终端的业务地址。

此外,由于目前网络设备的 IPv6MIB 信息的获取和 OSPFv3 中 ROUTERID 等均要求即使是一个纯 IPv6 网络也必须要求每个网络设备拥有 IPv4 地址。所以一个纯 IPv6 网络也必须规划 IPv4 地址 (仅需要网络设备互联地址和网络设备的 LOOPBACK 地址)。

2.IPv6 的优势

IPv6 的发展是从 1992 年开始的,经过了 12 年的发展, IPv6 的标准体系已经基本完善,在这个过程中,IPv6 逐步优化了协议体系结构,为业务发展创造机会。归纳起来 IPv6 的优势有如下几个特点:

1 )地址充足: IPv6 产生的初衷主要是针对 IPv4 地址短缺问题,即从 IPv4 的 32bit 地址,扩展到了 IPv6 的 128bit 地址,充分解决地址匮乏问题。同时 IPv6 地址是有范围的,包括链路本地地址、站点本地地址和任意播地址,这也进一步增加了地址应用的扩展性。

2 )简单是美:简化固定的基本报头,采用 64bit 边界定位,取消 IP 头的校验和域等措

施,以提高网络设备对 IP 报文的处理效率。

3 )扩展为先:引入灵活的扩展报头,按照不同协议要求增加扩展头种类,按照处理顺

序合理安排扩展头的顺序,其中网络设备需要处理的扩展头在报文头的前部,而需要宿端处

理的扩展头在报文头的尾部。

4 )层次区划: IPv6 极大的地址空间使层次性的地址规划成为可能,同时国际标准中已

经规定了各个类型地址的层次结构,这样既便于路由快速查找地址格式更具层次性,也有利

于路由聚合,缩减了 IPv6 路由表大小,降低了网络地址规划的难度。

5 )即插即用: IPv6 引入自动配置以及重配置技术,对于 IP 地址等信息实现自动增删更

新配置,提高了 IPv6 的易管理性。


6)贴身安全:IPv6集成了 IPSec,用于网络层的认证与加密,为用户提供端到端安全,

使用起来比 IPv4 简单、方便,可以在迁移到 IPv6 时同步发展 IPSec 。

7 ) QoS 考虑:新增流标记域,为源、宿端快速处理实时业务提供可能,有利于低性能

的业务终端支持 IPv6 的语音、视频等应用。

8 )移动便捷: MobileIPv6 增强了移动终端的移动特性、安全特性、路由特性,降低了

网络部署的难度和投资,为用户提供了永久在线服务。

3.IPv6 网络整体设计

新建 IPv6 网络相对前一种组网模式简单,选取支持双栈的交换机设备,按照现有的园区网建设模式组建网络即可。核心层和汇聚层可选用双栈交换机,接入层可使用现有的二层接入交换机组网。根据用户带宽的需要,分别选用 “百兆到桌面”或 “千兆到桌面”的模式。对一些 IPv6 应用特殊场景可以选择 IPv6 双栈交换机进行接入。为提高网络的可靠性,汇聚层与核心层之间、接入层与汇聚层之间采用双归链路上联实现链路冗余;汇聚设备作为用户接入点网关设备,通过运行 HSRP 或 VRRP 协议实现网关冗余;核心节点采用双核心部署保证节点冗余。

4.IPv6 路由规划

路由协议分为域内路由协议和域间路由协议,目前主要的路由协议都增加了对 IPv6 的支持功能。从路由协议的应用范围来看,OSPFv3 、 RIPng 和 IS-ISv6 适用于自治域内部路由,为内部网关协议;BGP4+ 用来在自治域之间交换网络可达信息,是外部网关协议。

( 1 )域内路由协议选择

支持 IPv6 的内部网关协议有: RIPng 、 OSPFv3 、 IS-ISv6 协议。从路由协议标准化进程看,RIPng 和 OSPFv3 协议已较为成熟,支持 IPv6 的 IS-IS 协议标准草案也已经过多次讨论修改,标准正在形成之中,而且 IS-ISv6 已经在主流厂家的相关设备中得到支持。从协议的应用范围的角度,RIPng 协议适用于小规模的网络,而 OSPF 和 IS-IS 协议可用于较大规模的网络。对于大规模的 IP 网络,为了保证网络的可靠性和可扩展性,内部路由协议 ( IGP )必须使用链路状态路由协议,只能在 OSPF 与 IS-IS 之间进行选择,下面对两种路由协议进行简单的对比。

目前,在 IPv4 网络中大量使用的 OSPF 路由协议版本号为 OSPFv2 ,能够支持 IPv6 路由信息的 OSPF 版本称为 OSPFv3 ,能够支持 IPv6 路由信息交换的 ISIS 路由协议称为 IS-ISv6 。

OSPFv3 与 OSPFv2 相比,虽然在机制和选路算法上并没有本质的改变,但新增了一些

OSPFv2 不具备的功能。 OSPFv3 只能用来交换 IPv6 路由信息, ISISv6 可以同时交换 IPv4 路

由信息和 IPv6 路由信息。

OSPF 是基于 IP 层的协议, OSPFv3 是为 IPv6 开发的一套链路状态路由协议。大体与支

持 IPv4 的 OSPFv2 版本相似。

对比 OSPFv2 ,在 OSPFv3 中有以下区别:

虽然 OSPFv3 是为 IPv6 设计的,但是 OSPF 的 RouterID 、 AreaID 和 LSALinkStateID 依

然保持 IPv4 的 32 位的格式,而不是指定一个 IPv6 的地址。所以即使运行 OSPFv3 也需要为

路由器分配 IPv4 地址。

协议的运行是按照每一条链路 ( Per-link )进行的,而不是按照每个子网进行的 ( per

subnet )







把地址域从 OSPF 包和一些 LSA 数据包中去除掉,使得其成为网络层协议独立的路由协

议。

与 OSPFv2 不同, IPv6 的地址不再出现在 OSPF 包中,而是会在链路状态更新数据包中

作为 LSA 的负载出现。

Router-LSA 和 Network-LSA 也不再包含网络地址,而只是简单地表示拓扑信息。

邻居路由器的识别将一直使用 RouterID ,而不是像 OSPFv2 一样在某些使用端口会将端

口地址作为标识。

Link-Local 地址可以作为 OSPF 的转发地址。除了 Virtuallink 必须使用 Globalunicast 地

址或者使用 Site-local 地址。

去掉了认证信息。在 OSPFv3 中不再有认证方面的信息。如果需要加密,可以使用 IPv6

中定义的 IPAuthenticationHeader 来实现。

OSPF 数据包格式发生了一些变化:

OSPF 的版本号由 2 变成了 3 ;

Hello 包和 Databasedescription 包的选项域增加到 24 位;

去掉了认证域;

Hello 信息中不再包含地址信息;

引入了两个新的选项: R 位和 V6 位;

为实现单链路上多 OSPF 进程,在 OSPF 包头中加入了 InstanceID 域;

类型 LSA3 名字改为: Inter-Area-Prefix-LSA ,类型 LSA4 名字改为: Inter-Area-Router

LSA 。 OSPFv2 和 OSPFv3 都使用最短路径优先算法,在 Area 划分、链路类型、 LSA 传播等

方面基本一致。

总的来说,由于 OSPF 发展成熟,支持厂商广泛,已经成为世界上使用最广泛的 IGP ,

尤其在企业级网络,也是 IETF 推荐的唯一的 IGP 。其他路由协议所能适应的网络, OSPF 都

能适应。

( 2 )域间路由协议选择

域间路由协议采用 BGP4+ ,从而实现不同 ISP 核心网络之间的互通,而且目前大多数

典型的路由器设备都支持这个协议。 BGP4+ 处理各 ISP 间的路由传递,是一种域间路由协

议。其特点是有丰富的路由策略,这是 RIPng 、 OSPFv3 等协议无法做到的,因为它们需要

全局的信息计算路由表。 BGP4+ 通过在 ISP 边界路由器上增加一定的策略,选择过滤路由,

把 RIPng 、 OSPFv3 、 BGP4+ 等路由发送到对方。随着 IPv6 网络的大量组建, BGP4+ 将得到

越来越多的应用。

( 3 ) IPv6 路由规划建议

以高效接入 IPv6 为例,相比 CERNET2 核心网和城域网,驻地网 (校园网) 内部的

IPv6 网络的路由规划较为简单。 IGP 可以选择 ISISv6 或者 OSPFv3 ,但是考虑到使用者的习

惯,大多数三层交换机不支持 ISISv6 路由,以及必要性,部署 OSPFv3 可能更为实际。 OS

PFv3 域的设计可以沿用 OSPFv2 的思路。

新建校园网全网部署双协议栈, IPv4 部分和原有校园网平滑对接。三层设备上同时运

行 OSPFv2 和 OSPFv3 两套协议,尽管运行在同一个设备上,这两套协议是互相独立的。 OS


PFv3的逻辑拓扑图 (AREA规划)和 OSPFv2可以完全不同。

在校园网 IPv6 出口的路由规划上,按照国际上 IPv6 地址的分配规则, CERNET2 城域网

会分配一块或几块 IPv6PREFIX :: /48 的地址给校园网。对于单出口的情况,可能较为简

单。 CERNET2 城域网接入路由器将指向驻地网 (校园网)的静态路由引入到 IBGP4+ 中

去。

1.4.5 子网划分与 VLAN

一个网络实际上可能会有多个物理网段,我们把这些网段称为子网,其使用的 IP 地址

是由某个网络号派生而得到的。将一个网络划分成若干个子网,需要使用不同的网络号或子

网号。

在划分子网之前,要先分析一下用户需求以及将来的规划。一般情况下我们遵循这样的

准则:

1 )确定网络中的物理段数量 (就是子网个数)。

2 )确定每个子网需要的主机数。注意,一个主机至少一个 IP 地址。

3 )基于此需求,定义整个网络的子网屏蔽、每个子网唯一的子网号和每个子网的主机

号范围。

在定义一个子网屏蔽之前,确定一下将来需要的子网数量及子网的主机数是必不可少的

一步。因为当更多的位用于子网屏蔽时,就有更多的可用子网,但每个子网中的主机数将减

少 (这和定义 IP 地址的概念正好相反)。

VLAN ( VirtualLocalAreaNetwork )即虚拟局域网,是一种通过将局域网内的设备逻辑

地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。 IEEE 于 1999 年颁布了

用以标准化 VLAN 实现方案的 802.1Q 协议标准草案。 VLAN 技术允许网络管理者将一个物

理的 LAN 逻辑地划分成不同的广播域 (或称虚拟 LAN ,即 VLAN ),每一个 VLAN 都包含一

组有着相同需求的计算机工作站,与物理上形成的 LAN 有着相同的属性。但由于它是逻辑

地而不是物理地划分,所以同一个 VLAN 内的各个工作站无须被放置在同一个物理空间里,

即这些工作站不一定属于同一个物理 LAN 网段。一个 VLAN 内部的广播和单播流量都不会

转发到其他 VLAN 中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安

全性。 VLAN 是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础

上增加了 VLAN 头,用 VLANID 把用户划分为更小的工作组,限制不同工作组间的用户二

层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够

形成虚拟工作组,动态管理网络。

VLAN 在交换机上的实现方法,可以大致划分为 4 类。

1. 基于端口划分的 VLAN

这种划分 VLAN 的方法是根据以太网交换机的端口来划分,比如交换机的 1~4 端口为

VLAN10 , 5~17 为 VLAN20 , 18~24 为 VLAN30 。当然,这些属于同一 VLAN 的端口可以

不连续,如何配置,由管理员决定。如果有多个交换机,例如,可以指定交换机 1 的 1~6

端口和交换机 2 的 1~4 端口为同一 VLAN ,即同一 VLAN 可以跨越数个以太网交换机,根

据端口划分是目前定义 VLAN 的最广泛的方法。 IEEE802.1Q 规定了依据以太网交换机的端

口来划分 VLAN 的国际标准。


这种划分方法的优点是定义 VLAN成员时非常简单,只要将所有的端口都指定一下就可

以了。它的缺点是如果 VLANA 的用户离开了原来的端口,到了一个新的交换机的某个端

口,那么就必须重新定义。

2. 基于 MAC 地址划分 VLAN

这种划分 VLAN 的方法是根据每个主机的 MAC 地址来划分,即对每个 MAC 地址的主机

都配置其属于哪个组。这种划分 VLAN 方法的最大优点就是当用户物理位置移动时,即从一

个交换机换到其他的交换机时, VLAN 不用重新配置,所以,可以认为这种根据 MAC 地址

的划分方法是基于用户的 VLAN 。

这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用

户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每

一个交换机的端口都可能存在很多个 VLAN 组的成员,这样就无法限制广播包了。另外,对

于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样 VLAN 就必须不停地配置。

3. 基于网络层划分 VLAN

这种划分 VLAN 的方法是根据每个主机的网络层地址或协议类型 (如果支持多协议)

划分的,虽然这种划分方法是根据网络地址,比如 IP 地址,但它不是路由,与网络层的路

由毫无关系。它虽然查看每个数据包的 IP 地址,但由于不是路由,所以没有 RIP 、 OSPF 等

路由协议,而是根据生成树算法进行桥交换。

这种方法的优点是用户的物理位置改变了,不需要重新配置所属的 VLAN ,而且可以根

据协议类型来划分 VLAN ,这对网络管理者来说很重要。还有这种方法不需要附加的帧标签

来识别 VLAN ,可以减少网络的通信量。其缺点是效率低,因为检查每一个数据包的网络层

地址是需要消耗处理时间的 (相对于前面两种方法),一般的交换机芯片都可以自动检查网

络上数据包的以太网帧头,但要让芯片能检查 IP 帧头,需要更高的技术,同时也更费时。

这也与各个厂商的实现方法有关。

4. 根据 IP 组播划分 VLAN

IP 组播实际上也是一种 VLAN 的定义,即认为一个组播就是一个 VLAN ,这种划分的方

法将 VLAN 扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进

行扩展。当然这种方法不适合局域网,主要因为是效率不高。