VLAN中的路由器与交换机角色

VLAN(虚拟局域网)的出现无疑对网络管理员来说是一个福音。因为我们可以凭借虚拟局域网轻松的实现对网络进行分段,隔离广播域,提高网络性能;同时,对各个机要部门进行隔离,提高其安全性。最重要的是,实现这些需求都是非常廉价的。

虚拟局域网可以根据网络工作组的功能、项目组成或者部门构成来划分,而不用考虑具体的地理位置。简单的说,在一幢办公楼里四楼跟五楼的研发部门可以在同一个虚拟局域网内。如此可见,可以非常廉价的实现对网络进行分段从而提高网络的安全性能以及减少冲突的发生。

虚拟局域网可以将用户与终端设备分成一个逻辑段,然后通过虚拟局域网交换机把这些逻辑段组成了一个交换网络。交换机的每一个端口都可以连接一个独立的局域网。

分配给同一个虚拟局域网的端口共享广播域,不同虚拟局域网的端口不共享广播域。如此的话,就可以利用虚拟域网来实现对广播域的隔离,从而廉价的提高网络性能,避免一些常见的如DDOS攻击,提高网络的安全性。

所以说,虚拟局域网的出现改变了我们网络管理员的工作方式;同时,使得路由器与交换机的角色也发生了一定的转变。

网络管理员了解这些改变后,有利于我们做好虚拟局域网的设计与管理。那么下面我们就来看看具体有哪些改变呢?

一、 虚拟局域网中路由器角色的转变

在传统的局域网中,路由器一般只提供防火墙、路由处理与分配、广播管理等等。但是,在虚拟局域网中路由器的职责与传统的局域网所担负的任务发生了明显的改变,或者说,内涵有了衍生。最主要的一点区别就是,虚拟局域网中的路由器还要承担起在工作组之间提供信息转发的功能。路由器在虚拟局域网中主要提供两方面的功能,一是为虚拟局域网中的用户提供访问共享资源的功能;二是帮助各个虚拟局域网之间进行通讯。

我们都知道,虚拟局域网的主要作用就是把企业的局域网分割成相互独立的几块,就相当于是不同的局域网一样。而若没有路由器的帮助,这些工作组之间是不能够相互通信的。也就是说,销售部门与财务部门之间若分处与两个不同的虚拟局域网之间,若没有路由器的帮助,他们相互之间就不能够进行通信。

另外路由器还为虚拟局域网的用户提供了访问一些共享资源,如服务器的路径。现在的应用软件大部分是服务器/客户端或者服务器/浏览器模式。服务器的访问量特别大,对于大部分企业来说,服务器的访问效率是企业网络应用的瓶颈。

所以,若能够提高服务器的访问性能的话,无疑可以提高整体的网络执行效率。而这其中比较有效的方式就是把服务器隔离,减少广播,从而提高服务器的网络运行效率。而现在若把服务器与其它的工作组分成两个虚拟局域网,无疑减少广播冲突,提高网络的运行性能。

但是,现在的问题是服务器与工作组若处于不同的虚拟局域网的话,则企业的员工就无法正常访问服务器。为此,我们还必须要路由器的帮助,让路由器提供对这些服务器的访问路径。

在实际工作中,我们网络管理员可以通过一条或者多条高速主干线路经济的将路由器连接到虚拟局域网中。在路由器的帮助下,虚拟局域网不仅提供了逻辑分段的功能,而且大幅度的提高了网络的性能与安全性。或者说,虚拟局域网与路由器的结合,是双方取长补短的一个过程。

采用了虚拟局域网与路由器的公司网络,能够提高路由器与交换机之间的信息吞吐量。因为我们都知道,以太网中一个数据包会发送到所有局域网中的主机上。这无疑会增加局域网中路由器与交换机端口的工作压力。

而现在有了虚拟局域网,则数据包会在一个最小范围内进行转发,从而不会让无用的数据包占用路由器与交换机宝贵的端口带宽。这就从另一方面提高了路由器与交换机的信息吞吐量。另外,在路由器的帮助下,还可以强化虚拟局域网中所有物理端口的通信能力与控制能力。

二、 虚拟局域网中交换机角色的转变

交换机是虚拟局域网中的核心网络设备之一,交换机作为终端设备进入到虚拟局域网中,它是 信息在虚拟局域网中传输的入口,在虚拟局域网中有着至关重要的作用。可以毫无夸张的说,没有交换机的存在,也就没有虚拟局域网的存在。

传统的交换机一般没有网路分段的功能。也就是说,一个交换机上的所有端口都是在同一个局域网中。但是,随着虚拟局域网技术的出现,使得一个交换机上的网络端口也可以属于不同的网络段。换句话说,可以利用交换机,结合虚拟局域网技术,来实现网络的分段。

若支持虚拟局域网技术的交换机,他们可以依据我们网络管理员预先设定的规则,根据数据桢来知道能的决定是过滤这个数据包呢,还是转发这个数据包。若是转发的话,会讲数据转发给网络中的其他交换机或者路由器。

一般来说,交换机过滤数据最常用的方法包括桢过滤与桢表标记。这两种方法交换机都会对通过其的数据包进行分析,并结合我们预先定义的虚拟局域网规则,然后决定是转发还是过滤。最重要的是,这些工作都可以实现集中管理,并且很容易就被应用到企业局域网中。

采用桢过滤方法的交换机会检查经过这个交换机的所有桢信息。并且,在每一台交换机中都有一个过滤表。如此的话,交换机就可以灵活的控制数据的转发,提供一种比较高层次的管理控制。如我们可以根据终端用户的IP地址、MAC地址、以及网络层协议等等将企业局域网分解成不同的段。

当数据包在这个交换机进行转发的时候,交换机就会结合数据桢的相关信息,参照内部的过滤表,然后决定相关的操作。不过这种处理机制是比较早期的处理方法,由于交换机要对通过其的所有数据桢都进行类似的检验、判断、处理过程,所以,采用这种模式的话,其虚拟局域网的运行效率并不是很高。所以,在早期的时候,企业即使采用了虚拟局域网,也不会感觉到局域网性能有什么提升。

现在很多虚拟局域网交换机其采用的是桢标记的方法。当桢在网路主干线路上转发的时候,会在每一桢的头部加上一个唯一的标识。虚拟局域网交换机在将这个桢进行转发的时候,如广播给其他的交换机、路由器或者其他中断设备之间,都会对这个标记进行检查。当桢离开这个主干线路的时候,或者说,当数据桢离开虚拟局域网交换机的时候,都会清除这个标识。也就是说,其他设备不用对这个标识进行检查。

因为在网络协议的第二层对桢进行检查,其好用的资源是比较少的,对网络性能的影响也是非常有限。

另外,这种方法还提供了比较好的灵活性,在后续网络升级的时候,也可以很好的实现。所以,在大型的企业网络中,我还是建立采用桢过滤方法的虚拟局域网交换机。现在这种技术已经被IEEE组织所采用。

可见,虚拟局域网的出现,扩大了交换机的应用范围,让交换机从传统的数据转发,到现在对局域网进行智能分段的过渡。这是一个交换机质的改善,大大提高了交换机的性价比。

最后笔者要提醒大家,虽然虚拟局域网管理比较灵活,但是,其具体的灵活程度也是跟虚拟局域网的设计以及所采用的设备紧密相关的。为了提高虚拟局域网的灵活性与可升级性,我们在设计虚拟局域网的时候,就要多采用动态的虚拟局域网;而在采用端口为中心的虚拟局域网或者静态的虚拟局域网的时候就要慎重。

相对来说,动态虚拟局域网的灵活性与可扩展性要比后面的两者高,但是,其安全性却比其他两种方式要差一点。

相反,采用以端口为中心的虚拟局域网或者静态的虚拟局域网其在灵活性与扩展性上稍有不足,但是,在安全性上,却要略胜一筹。所以,企业在设计虚拟局域网的时候,还需要在这里取得一个均衡点。

根据笔者的建议,对于扩展性的企业,最好还是采用动态的虚拟局域网为好。因为根据笔者这么多年的工作经验,对于一些正在成长的企业来说,其可能经常需要调整组织结构。

所以,这种成长行的企业,对于网络应用的灵活性要求比较高。