現(xiàn)在咱們的安防工程,基本上都IT化了,你會發(fā)現(xiàn)身邊越來越多的IT公司涉足安防監(jiān)控行業(yè),其實(shí)從某種角度來講,他們更具有先天優(yōu)勢。因此作為安防人,更需要惡補(bǔ)一下專業(yè)的網(wǎng)絡(luò)基礎(chǔ)知識。于是乎,這幾天咱們清一色的談的都是關(guān)于網(wǎng)絡(luò)的事,今天再繼續(xù)。
比如:
再就是:
看看:
前幾天,咱們知道了,如何在系統(tǒng)中添加超過255個攝像機(jī)的方法,提到了一個詞 VLAN,那么咱們今天就說說啥叫VLAN,為什么需要VLAN
什么是VLAN?
VLAN( LAN),翻譯成中文是“虛擬局域網(wǎng)”。LAN可以是由少數(shù)幾臺家用計(jì)算機(jī)構(gòu)成的網(wǎng)絡(luò),也可以是數(shù)以百計(jì)的計(jì)算機(jī)構(gòu)成的企業(yè)網(wǎng)絡(luò)。VLAN所指的LAN特指使用路由器分割的網(wǎng)絡(luò)——也就是廣播域。
在此讓我們先復(fù)習(xí)一下廣播域的概念。廣播域,指的是廣播幀(目標(biāo)MAC地址全部為1)所能傳遞到的范圍,亦即能夠直接通信的范圍。嚴(yán)格地說,并不僅僅是廣播幀,多播幀( Frame)和目標(biāo)不明的單播幀( Frame)也能在同一個廣播域中暢行無阻。
本來,二層交換機(jī)只能構(gòu)建單一的廣播域,不過使用VLAN功能后,它能夠?qū)⒕W(wǎng)絡(luò)分割成多個廣播域。
未分割廣播域時……
那么,為什么需要分割廣播域呢?那是因?yàn)椋绻麅H有一個廣播域,有可能會影響到網(wǎng)絡(luò)整體的傳輸性能。具體原因,請參看附圖加深理解。
圖中是一個由5臺二層交換機(jī)(交換機(jī)1~5)連接了大量客戶機(jī)構(gòu)成的網(wǎng)絡(luò)。假設(shè)這時,計(jì)算機(jī)A需要與計(jì)算機(jī)B通信。在基于以太網(wǎng)的通信中,必須在數(shù)據(jù)幀中指定目標(biāo)MAC地址才能正常通信,因此計(jì)算機(jī)A必須先廣播“ARP請求(ARP )信息”,來嘗試獲取計(jì)算機(jī)B的MAC地址。
交換機(jī)1收到廣播幀(ARP請求)后,會將它轉(zhuǎn)發(fā)給除接收端口外的其他所有端口,也就是了。接著,交換機(jī)2收到廣播幀后也會。交換機(jī)3、4、5也還會。最終ARP請求會被轉(zhuǎn)發(fā)到同一網(wǎng)絡(luò)中的所有客戶機(jī)上。
請大家注意一下,這個ARP請求原本是為了獲得計(jì)算機(jī)B的MAC地址而發(fā)出的。也就是說:只要計(jì)算機(jī)B能收到就萬事大吉了。可是事實(shí)上,數(shù)據(jù)幀卻傳遍整個網(wǎng)絡(luò),導(dǎo)致所有的計(jì)算機(jī)都收到了它。如此一來,一方面廣播信息消耗了網(wǎng)絡(luò)整體的帶寬,另一方面,收到廣播信息的計(jì)算機(jī)還要消耗一部分CPU時間來對它進(jìn)行處理。造成了網(wǎng)絡(luò)帶寬和CPU運(yùn)算能力的大量無謂消耗。
廣播信息是那么經(jīng)常發(fā)出的嗎?
讀到這里,您也許會問:廣播信息真是那么頻繁出現(xiàn)的嗎?
答案是:是的!實(shí)際上廣播幀會非常頻繁地出現(xiàn)。利用TCP/IP協(xié)議棧通信時,除了前面出現(xiàn)的ARP外,還有可能需要發(fā)出DHCP、RIP等很多其他類型的廣播信息。
ARP廣播,是在需要與其他主機(jī)通信時發(fā)出的。當(dāng)客戶機(jī)請求DHCP服務(wù)器分配IP地址時
,就必須發(fā)出DHCP的廣播。而使用RIP作為路由協(xié)議時,每隔30秒路由器都會對鄰近的其他路由器廣播一次路由信息。RIP以外的其他路由協(xié)議使用多播傳輸路由信息,這也會被交換機(jī)轉(zhuǎn)發(fā)()。除了TCP/IP以外,、IPX和Apple Talk等協(xié)議也經(jīng)常需要用到廣播。例如在下雙擊打開“網(wǎng)絡(luò)計(jì)算機(jī)”時就會發(fā)出廣播(多播)信息。( XP除外……)
總之,廣播就在我們身邊。下面是一些常見的廣播通信:
lARP請求:建立IP地址和MAC地址的映射關(guān)系。
lRIP:一種路由協(xié)議。
lDHCP:用于自動設(shè)定IP地址的協(xié)議。
:下使用的網(wǎng)絡(luò)協(xié)議。
lIPX: 使用的網(wǎng)絡(luò)協(xié)議。
Talk:蘋果公司的計(jì)算機(jī)使用的網(wǎng)絡(luò)協(xié)議。
如果整個網(wǎng)絡(luò)只有一個廣播域,那么一旦發(fā)出廣播信息,就會傳遍整個網(wǎng)絡(luò),并且對網(wǎng)絡(luò)中的主機(jī)帶來額外的負(fù)擔(dān)。因此,在設(shè)計(jì)LAN時,需要注意如何才能有效地分割廣播域。
廣播域的分割與VLAN的必要性
分割廣播域時,一般都必須使用到路由器。使用路由器后,可以以路由器上的網(wǎng)絡(luò)接口(LAN )為單位分割廣播域。
但是,通常情況下路由器上不會有太多的網(wǎng)絡(luò)接口,其數(shù)目多在1~4個左右。隨著寬帶連接的普及,寬帶路由器(或者叫IP共享器)變得較為常見,但是需要注意的是,它們上面雖然帶著多個(一般為4個左右)連接LAN一側(cè)的網(wǎng)絡(luò)接口,但那實(shí)際上是路由器內(nèi)置的交換機(jī),并不能分割廣播域。
況且使用路由器分割廣播域的話,所能分割的個數(shù)完全取決于路由器的網(wǎng)絡(luò)接口個數(shù),使得用戶無法自由地根據(jù)實(shí)際需要分割廣播域。
與路由器相比,二層交換機(jī)一般帶有多個網(wǎng)絡(luò)接口。因此如果能使用它分割廣播域,那么無疑運(yùn)用上的靈活性會大大提高。
用于在二層交換機(jī)上分割廣播域的技術(shù),就是VLAN。通過利用VLAN,我們可以自由設(shè)計(jì)廣播域的構(gòu)成,提高網(wǎng)絡(luò)設(shè)計(jì)的自由度。
實(shí)現(xiàn)VLAN的機(jī)制
實(shí)現(xiàn)VLAN的機(jī)制
在理解了“為什么需要VLAN”之后,接下來讓我們來了解一下交換機(jī)是如何使用VLAN分割廣播域的。
首先,在一臺未設(shè)置任何VLAN的二層交換機(jī)上,任何廣播幀都會被轉(zhuǎn)發(fā)給除接收端口外的所有其他端口()。例如,計(jì)算機(jī)A發(fā)送廣播信息后,會被轉(zhuǎn)發(fā)給端口2、3、4。
這時,如果在交換機(jī)上生成紅、藍(lán)兩個VLAN;同時設(shè)置端口1、2屬于紅色VLAN、端口3、4屬于藍(lán)色VLAN。再從A發(fā)出廣播幀的話,交換機(jī)就只會把它轉(zhuǎn)發(fā)給同屬于一個VLAN的其他端口——也就是同屬于紅色VLAN的端口2,不會再轉(zhuǎn)發(fā)給屬于藍(lán)色VLAN的端口。
同樣,C發(fā)送廣播信息時,只會被轉(zhuǎn)發(fā)給其他屬于藍(lán)色VLAN的端口,不會被轉(zhuǎn)發(fā)給屬于紅色VLAN的端口。
就這樣,VLAN通過限制廣播幀轉(zhuǎn)發(fā)的范圍分割了廣播域。上圖中為了便于說明,以紅、藍(lán)兩色識別不同的VLAN,在實(shí)際使用中則是用“VLAN ID”來區(qū)分的。
直觀地描述VLAN
如果要更為直觀地描述VLAN的話,我們可以把它理解為將一臺交換機(jī)在邏輯上分割成了數(shù)臺交換機(jī)。在一臺交換機(jī)上生成紅、藍(lán)兩個VLAN,也可以看作是將一臺交換機(jī)換做一紅一藍(lán)兩臺虛擬的交換機(jī)。
在紅、藍(lán)兩個VLAN之外生成新的VLAN時,可以想象成又添加了新的交換機(jī)。
但是,VLAN生成的邏輯上的交換機(jī)是互不相通的。因此,在交換機(jī)上設(shè)置VLAN后,如果未做其他處理,VLAN間是無法通信的。
明明接在同一臺交換機(jī)上交換機(jī)vlan打標(biāo)記是指,但卻偏偏無法通信——這個事實(shí)也許讓人難以接受。但它既是VLAN方便易用的特征,又是使VLAN令人難以理解的原因。
需要VLAN間通信時怎么辦
那么,當(dāng)我們需要在不同的VLAN間通信時又該如何是好呢?
請大家再次回憶一下:VLAN是廣播域。而通常兩個廣播域之間由路由器連接,廣播域之間來往的數(shù)據(jù)包都是由路由器中繼的。因此,VLAN間的通信也需要路由器提供中繼服務(wù),這被稱作“VLAN間路由”。
VLAN間路由,可以使用普通的路由器,也可以使用三層交換機(jī)。其中的具體內(nèi)容,等有機(jī)會再細(xì)說吧。在這里希望大家先記住不同VLAN間互相通信時需要用到路由功能。
VLAN的訪問鏈接
交換機(jī)的端口
交換機(jī)的端口,可以分為以下兩種:
l訪問鏈接( Link)
l匯聚鏈接(Trunk Link)
接下來就讓我們來依次學(xué)習(xí)這兩種不同端口的特征。這一講,首先學(xué)習(xí)“訪問鏈接”。
訪問鏈接
訪問鏈接交換機(jī)vlan打標(biāo)記是指,指的是“只屬于一個VLAN,且僅向該VLAN轉(zhuǎn)發(fā)數(shù)據(jù)幀”的端口。在大多數(shù)情況下,訪問鏈接所連的是客戶機(jī)。
通常設(shè)置VLAN的順序是:
l生成VLAN
l設(shè)定訪問鏈接(決定各端口屬于哪一個VLAN)
設(shè)定訪問鏈接的手法,可以是事先固定的、也可以是根據(jù)所連的計(jì)算機(jī)而動態(tài)改變設(shè)定。前者被稱為“靜態(tài)VLAN”、后者自然就是“動態(tài)VLAN”了。
靜態(tài)VLAN
靜態(tài)VLAN又被稱為基于端口的VLAN(Port Based VLAN)。顧名思義,就是明確指定各端口屬于哪個VLAN的設(shè)定方法。
由于需要一個個端口地指定,因此當(dāng)網(wǎng)絡(luò)中的計(jì)算機(jī)數(shù)目超過一定數(shù)字(比如數(shù)百臺)后,設(shè)定操作就會變得煩雜無比。并且,客戶機(jī)每次變更所連端口,都必須同時更改該端口所屬VLAN的設(shè)定——這顯然不適合那些需要頻繁改變拓補(bǔ)結(jié)構(gòu)的網(wǎng)絡(luò)。
動態(tài)VLAN
另一方面,動態(tài)VLAN則是根據(jù)每個端口所連的計(jì)算機(jī),隨時改變端口所屬的VLAN。這就可以避免上述的更改設(shè)定之類的操作。動態(tài)VLAN可以大致分為3類:
l基于MAC地址的VLAN(MAC Based VLAN)
l基于子網(wǎng)的VLAN( Based VLAN)
l基于用戶的VLAN(User Based VLAN)
其間的差異,主要在于根據(jù)OSI參照模型哪一層的信息決定端口所屬的VLAN。
基于MAC地址的VLAN,就是通過查詢并記錄端口所連計(jì)算機(jī)上網(wǎng)卡的MAC地址來決定端口的所屬。假定有一個MAC地址“A”被交換機(jī)設(shè)定為屬于VLAN“10”,那么不論MAC地址為“A”的這臺計(jì)算機(jī)連在交換機(jī)哪個端口,該端口都會被劃分到中去。計(jì)算機(jī)連在端口1時,端口1屬于;而計(jì)算機(jī)連在端口2時,則是端口2屬于。
由于是基于MAC地址決定所屬VLAN的,因此可以理解為這是一種在OSI的第二層設(shè)定訪問鏈接的辦法。
但是,基于MAC地址的VLAN,在設(shè)定時必須調(diào)查所連接的所有計(jì)算機(jī)的MAC地址并加以登錄。而且如果計(jì)算機(jī)交換了網(wǎng)卡,還是需要更改設(shè)定。
基于子網(wǎng)的VLAN,則是通過所連計(jì)算機(jī)的IP地址,來決定端口所屬VLAN的。不像基于MAC地址的VLAN,即使計(jì)算機(jī)因?yàn)榻粨Q了網(wǎng)卡或是其他原因?qū)е翸AC地址改變,只要它的IP地址不變,就仍可以加入原先設(shè)定的VLAN。
因此,與基于MAC地址的VLAN相比,能夠更為簡便地改變網(wǎng)絡(luò)結(jié)構(gòu)。IP地址是OSI參照模型中第三層的信息,所以我們可以理解為基于子網(wǎng)的VLAN是一種在OSI的第三層設(shè)定訪問鏈接的方法。
基于用戶的VLAN,則是根據(jù)交換機(jī)各端口所連的計(jì)算機(jī)上當(dāng)前登錄的用戶,來決定該端口屬于哪個VLAN。這里的用戶識別信息,一般是計(jì)算機(jī)操作系統(tǒng)登錄的用戶,比如可以是域中使用的用戶名。這些用戶名信息,屬于OSI第四層以上的信息。
總的來說,決定端口所屬VLAN時利用的信息在OSI中的層面越高,就越適于構(gòu)建靈活多變的網(wǎng)絡(luò)。
訪問鏈接的總結(jié)
綜上所述,設(shè)定訪問鏈接的手法有靜態(tài)VLAN和動態(tài)VLAN兩種,其中動態(tài)VLAN又可以繼續(xù)細(xì)分成幾個小類。
其中基于子網(wǎng)的VLAN和基于用戶的VLAN有可能是網(wǎng)絡(luò)設(shè)備廠商使用獨(dú)有的協(xié)議實(shí)現(xiàn)的,不同廠商的設(shè)備之間互聯(lián)有可能出現(xiàn)兼容性問題;因此在選擇交換機(jī)時,一定要注意事先確認(rèn)。
下表總結(jié)了靜態(tài)VLAN和動態(tài)VLAN的相關(guān)信息。
種類
解說
靜態(tài)VLAN(基于端口的VLAN)
將交換機(jī)的各端口固定指派給VLAN
動態(tài)VLAN
基于MAC地址的VLAN
根據(jù)各端口所連計(jì)算機(jī)的MAC地址設(shè)定
基于子網(wǎng)的VLAN
根據(jù)各端口所連計(jì)算機(jī)的IP地址設(shè)定
基于用戶的VLAN
根據(jù)端口所連計(jì)算機(jī)上登錄用戶設(shè)定
VLAN的匯聚鏈接
需要設(shè)置跨越多臺交換機(jī)的VLAN時……
到此為止,我們學(xué)習(xí)的都是使用單臺交換機(jī)設(shè)置VLAN時的情況。那么,如果需要設(shè)置跨越多臺交換機(jī)的VLAN時又如何呢?
在規(guī)劃企業(yè)級網(wǎng)絡(luò)時,很有可能會遇到隸屬于同一部門的用戶分散在同一座建筑物中的不同樓層的情況,這時可能就需要考慮到如何跨越多臺交換機(jī)設(shè)置VLAN的問題了。假設(shè)有如下圖所示的網(wǎng)絡(luò),且需要將不同樓層的A、C和B、D設(shè)置為同一個VLAN。
這時最關(guān)鍵的就是“交換機(jī)1和交換機(jī)2該如何連接才好呢?”
最簡單的方法,自然是在交換機(jī)1和交換機(jī)2上各設(shè)一個紅、藍(lán)VLAN專用的接口并互聯(lián)了。
但是,這個辦法從擴(kuò)展性和管理效率來看都不好。例如,在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上再新建VLAN時,為了讓這個VLAN能夠互通,就需要在交換機(jī)間連接新的網(wǎng)線。建筑物樓層間的縱向布線是比較麻煩的,一般不能由基層管理人員隨意進(jìn)行。并且,VLAN越多,樓層間(嚴(yán)格地說是交換機(jī)間)互聯(lián)所需的端口也越來越多,交換機(jī)端口的利用效率低是對資源的一種浪費(fèi)、也限制了網(wǎng)絡(luò)的擴(kuò)展。
為了避免這種低效率的連接方式,人們想辦法讓交換機(jī)間互聯(lián)的網(wǎng)線集中到一根上,這時使用的就是匯聚鏈接(Trunk Link)。
何謂匯聚鏈接?
匯聚鏈接(Trunk Link)指的是能夠轉(zhuǎn)發(fā)多個不同VLAN的通信的端口。
匯聚鏈路上流通的數(shù)據(jù)幀,都被附加了用于識別分屬于哪個VLAN的特殊信息。
現(xiàn)在再讓我們回過頭來考慮一下剛才那個網(wǎng)絡(luò)如果采用匯聚鏈路又會如何呢?用戶只需要簡單地將交換機(jī)間互聯(lián)的端口設(shè)定為匯聚鏈接就可以了。這時使用的網(wǎng)線還是普通的UTP線,而不是什么其他的特殊布線。圖例中是交換機(jī)間互聯(lián),因此需要用交叉線來連接。
接下來,讓我們具體看看匯聚鏈接是如何實(shí)現(xiàn)跨越交換機(jī)間的VLAN的。
A發(fā)送的數(shù)據(jù)幀從交換機(jī)1經(jīng)過匯聚鏈路到達(dá)交換機(jī)2時,在數(shù)據(jù)幀上附加了表示屬于紅色VLAN的標(biāo)記。
交換機(jī)2收到數(shù)據(jù)幀后,經(jīng)過檢查VLAN標(biāo)識發(fā)現(xiàn)這個數(shù)據(jù)幀是屬于紅色VLAN的,因此去除標(biāo)記后根據(jù)需要將復(fù)原的數(shù)據(jù)幀只轉(zhuǎn)發(fā)給其他屬于紅色VLAN的端口。這時的轉(zhuǎn)送,是指經(jīng)過確認(rèn)目標(biāo)MAC地址并與MAC地址列表比對后只轉(zhuǎn)發(fā)給目標(biāo)MAC地址所連的端口。只有當(dāng)數(shù)據(jù)幀是一個廣播幀、多播幀或是目標(biāo)不明的幀時,它才會被轉(zhuǎn)發(fā)到所有屬于紅色VLAN的端口。
藍(lán)色VLAN發(fā)送數(shù)據(jù)幀時的情形也與此相同。
通過匯聚鏈路時附加的VLAN識別信息,有可能支持標(biāo)準(zhǔn)的“IEEE 802.1Q”協(xié)議,也可能是Cisco產(chǎn)品獨(dú)有的“ISL(Inter Link)”。如果交換機(jī)支持這些規(guī)格,那么用戶就能夠高效率地構(gòu)筑橫跨多臺交換機(jī)的VLAN。
另外,匯聚鏈路上流通著多個VLAN的數(shù)據(jù),自然負(fù)載較重。因此,在設(shè)定匯聚鏈接時,有一個前提就是必須支持以上的傳輸速度。
另外,默認(rèn)條件下,匯聚鏈接會轉(zhuǎn)發(fā)交換機(jī)上存在的所有VLAN的數(shù)據(jù)。換一個角度看,可以認(rèn)為匯聚鏈接(端口)同時屬于交換機(jī)上所有的VLAN。由于實(shí)際應(yīng)用中很可能并不需要轉(zhuǎn)發(fā)所有VLAN的數(shù)據(jù),因此為了減輕交換機(jī)的負(fù)載、也為了減少對帶寬的浪費(fèi),我們可以通過用戶設(shè)定限制能夠經(jīng)由匯聚鏈路互聯(lián)的VLAN。
三層交換機(jī)(1)
使用路由器進(jìn)行VLAN間路由時的問題
現(xiàn)在,我們知道只要能提供VLAN間路由,就能夠使分屬不同VLAN的計(jì)算機(jī)互相通信。但是,如果使用路由器進(jìn)行VLAN間路由的話,隨著VLAN之間流量的不斷增加,很可能導(dǎo)致路由器成為整個網(wǎng)絡(luò)的瓶頸。
交換機(jī)使用被稱為ASIC( )的專用硬件芯片處理數(shù)據(jù)幀的交換操作,在很多機(jī)型上都能實(shí)現(xiàn)以纜線速度(Wired Speed)交換。而路由器,則基本上是基于軟件處理的。即使以纜線速度接收到數(shù)據(jù)包,也無法在不限速的條件下轉(zhuǎn)發(fā)出去,因此會成為速度瓶頸。就VLAN間路由而言,流量會集中到路由器和交換機(jī)互聯(lián)的匯聚鏈路部分,這一部分尤其特別容易成為速度瓶頸。并且從硬件上看,由于需要分別設(shè)置路由器和交換機(jī),在一些空間狹小的環(huán)境里可能連設(shè)置的場所都成問題。
三層交換機(jī)(Layer 3 )
為了解決上述問題,三層交換機(jī)應(yīng)運(yùn)而生。三層交換機(jī),本質(zhì)上就是“帶有路由功能的(二層)交換機(jī)”。路由屬于OSI參照模型中第三層網(wǎng)絡(luò)層的功能,因此帶有第三層路由功能的交換機(jī)才被稱為“三層交換機(jī)”。
關(guān)于三層交換機(jī)的內(nèi)部結(jié)構(gòu),可以參照下面的簡圖。
在一臺本體內(nèi),分別設(shè)置了交換機(jī)模塊和路由器模塊;而內(nèi)置的路由模塊與交換模塊相同,使用ASIC硬件處理路由。因此,與傳統(tǒng)的路由器相比,可以實(shí)現(xiàn)高速路由。并且,路由與交換模塊是匯聚鏈接的,由于是內(nèi)部連接,可以確保相當(dāng)大的帶寬。
三層交換機(jī)(2)
使用三層交換機(jī)進(jìn)行VLAN間路由(VLAN內(nèi)通信)
在三層交換機(jī)內(nèi)部數(shù)據(jù)究竟是怎樣傳播的呢?基本上,它和使用匯聚鏈路連接路由器與交換機(jī)時的情形相同。
假設(shè)有如下圖所示的4臺計(jì)算機(jī)與三層交換機(jī)互聯(lián)。當(dāng)使用路由器連接時,一般需要在LAN接口上設(shè)置對應(yīng)各VLAN的子接口;而三層交換機(jī)則是在內(nèi)部生成“VLAN接口(VLAN )”。VLAN接口,是用于各VLAN收發(fā)數(shù)據(jù)的接口。(注:在Cisco的系列交換機(jī)上,VLAN 被稱為SVI—— )
為了與使用路由器進(jìn)行VLAN間路由對比,讓我們同樣來考慮一下計(jì)算機(jī)A與計(jì)算機(jī)B之間通信時的情況。首先是目標(biāo)地址為B的數(shù)據(jù)幀被發(fā)到交換機(jī);通過檢索同一VLAN的MAC地址列表發(fā)現(xiàn)計(jì)算機(jī)B連在交換機(jī)的端口2上;因此將數(shù)據(jù)幀轉(zhuǎn)發(fā)給端口2。
使用三層交換機(jī)進(jìn)行VLAN間路由(VLAN間通信)
接下來設(shè)想一下計(jì)算機(jī)A與計(jì)算機(jī)C間通信時的情形。針對目標(biāo)IP地址,計(jì)算機(jī)A可以判斷出通信對象不屬于同一個網(wǎng)絡(luò),因此向默認(rèn)網(wǎng)關(guān)發(fā)送數(shù)據(jù)(Frame 1)。
交換機(jī)通過檢索MAC地址列表后,經(jīng)由內(nèi)部匯聚鏈接,將數(shù)據(jù)幀轉(zhuǎn)發(fā)給路由模塊。在通過內(nèi)部匯聚鏈路時,數(shù)據(jù)幀被附加了屬于紅色VLAN的VLAN識別信息(Frame 2)。
路由模塊在收到數(shù)據(jù)幀時,先由數(shù)據(jù)幀附加的VLAN識別信息分辨出它屬于紅色VLAN,據(jù)此判斷由紅色VLAN接口負(fù)責(zé)接收并進(jìn)行路由處理。因?yàn)槟繕?biāo)網(wǎng)絡(luò)192.168.2.0/24是直連路由器的網(wǎng)絡(luò)、且對應(yīng)藍(lán)色VLAN;因此,接下來就會從藍(lán)色VLAN接口經(jīng)由內(nèi)部匯聚鏈路轉(zhuǎn)發(fā)回交換模塊。在通過匯聚鏈路時,這次數(shù)據(jù)幀被附加上屬于藍(lán)色VLAN的識別信息(Frame 3)。
交換機(jī)收到這個幀后,檢索藍(lán)色VLAN的MAC地址列表,確認(rèn)需要將它轉(zhuǎn)發(fā)給端口3。由于端口3是通常的訪問鏈接,因此轉(zhuǎn)發(fā)前會先將VLAN識別信息除去(Frame 4)。最終,計(jì)算機(jī)C成功地收到交換機(jī)轉(zhuǎn)發(fā)來的數(shù)據(jù)幀。
整體的流程,與使用外部路由器時的情況十分相似——都需要經(jīng)過發(fā)送方→交換模塊→路由模塊→交換模塊→接收方。
使用VLAN設(shè)計(jì)局域網(wǎng)
使用VLAN設(shè)計(jì)局域網(wǎng)的特點(diǎn)
通過使用VLAN構(gòu)建局域網(wǎng),用戶能夠不受物理鏈路的限制而自由地分割廣播域。
另外,通過先前提到的路由器與三層交換機(jī)提供的VLAN間路由,能夠適應(yīng)靈活多變的網(wǎng)絡(luò)構(gòu)成。
但是,由于利用VLAN容易導(dǎo)致網(wǎng)絡(luò)構(gòu)成復(fù)雜化,因此也會造成整個網(wǎng)絡(luò)的組成難以把握。
可以這樣說,在利用VLAN時,除了有:
l網(wǎng)絡(luò)構(gòu)成靈活多變
這個優(yōu)點(diǎn)外,還搭配著:
l網(wǎng)絡(luò)構(gòu)成復(fù)雜化
這個缺點(diǎn)。
下面,就讓我們來看看具體的實(shí)例。
不使用VLAN的局域網(wǎng)中網(wǎng)絡(luò)構(gòu)成的改變
假設(shè)有如圖所示的由1臺路由器、2臺交換機(jī)構(gòu)成的“不使用VLAN構(gòu)建”的網(wǎng)絡(luò)。
圖中的路由器,帶有2個LAN接口。左側(cè)的網(wǎng)絡(luò)是192.168.1.0/24,右側(cè)是192.168.2.0/24。
現(xiàn)在如果想將192.168.1.0/24這個網(wǎng)絡(luò)上的計(jì)算機(jī)A轉(zhuǎn)移到192.168.2.0/24上去,就需要改變物理連接、將A接到右側(cè)的交換機(jī)上。
并且,當(dāng)需要新增一個地址為192.168.3.0/24的網(wǎng)絡(luò)時,還要在路由器上再占用一個LAN接口并添置一臺交換機(jī)。而由于這臺路由器上只帶了2個LAN接口,因此為了新增網(wǎng)絡(luò)還必須將路由器升級為帶有3個以上LAN接口的產(chǎn)品。
使用VLAN的局域網(wǎng)中網(wǎng)絡(luò)構(gòu)成的改變
接下來再假設(shè)有一個由1臺路由器、2臺交換機(jī)構(gòu)成的“使用VLAN”的局域網(wǎng)。交換機(jī)與交換機(jī)、交換機(jī)與路由器之間均為匯聚鏈路;并且假設(shè)192.168.1.0/24對應(yīng)紅色VLAN、192.168.2.0/24對應(yīng)藍(lán)色VLAN。
需要將連接在交換機(jī)1上192.168.1.0/24這個網(wǎng)段的計(jì)算機(jī)A轉(zhuǎn)屬192.168.2.0/24時,無需更改物理布線。只要在交換機(jī)上生成藍(lán)色VLAN,然后將計(jì)算機(jī)A所連的端口1加入到藍(lán)色VLAN中去,使它成為訪問鏈接即可。
然后,根據(jù)需要設(shè)定計(jì)算機(jī)A的IP地址、默認(rèn)網(wǎng)關(guān)等信息就可以了。如果IP地址相關(guān)的設(shè)定是由DHCP獲取的,那么在客戶機(jī)方面無需進(jìn)行任何設(shè)定修改,就可以在不同網(wǎng)段間移動。
利用VLAN后,我們可以在免于改動任何物理布線的前提下,自由進(jìn)行網(wǎng)絡(luò)的邏輯設(shè)計(jì)。如果所處的工作環(huán)境恰恰需要經(jīng)常改變網(wǎng)絡(luò)布局,那么利用VLAN的優(yōu)勢就非常明顯了。
并且,當(dāng)需要新增一個地址為192.168.3.0/24的網(wǎng)段時,也只需要在交換機(jī)上新建一個對應(yīng)192.168.3.0/24的VLAN,并將所需的端口加入它的訪問鏈路就可以了。
如果網(wǎng)絡(luò)環(huán)境中還需要利用外部路由器,則只要在路由器的匯聚端口上新增一個子接口的設(shè)定就可以完成全部操作,而不需要消耗更多的物理接口(LAN接口)。要使用的是三層交換機(jī)內(nèi)部的路由模塊,則只需要新設(shè)一個VLAN接口即可。
網(wǎng)絡(luò)環(huán)境的成長,往往是難以預(yù)測的,很可能經(jīng)常會出現(xiàn)需要分割現(xiàn)有網(wǎng)絡(luò)或是增加新網(wǎng)絡(luò)的情況。而充分活用VLAN后,就可以輕易地解決這些問題。
使用VLAN設(shè)計(jì)局域網(wǎng)(2)
利用VLAN而導(dǎo)致的網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化
雖然利用VLAN可以靈活地構(gòu)建網(wǎng)絡(luò),但是同時,它也帶來了網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化的問題。
特別是由于數(shù)據(jù)流縱橫交錯,一旦發(fā)生故障時,準(zhǔn)確定位并排除故障會比較困難。
為了便于理解數(shù)據(jù)流向的復(fù)雜化,假設(shè)有下圖所示的網(wǎng)絡(luò)。計(jì)算機(jī)A向計(jì)算機(jī)C發(fā)送數(shù)據(jù)時,數(shù)據(jù)流的整體走向如下:
計(jì)算機(jī)A→交換機(jī)1→路由器→交換機(jī)1→交換機(jī)2→計(jì)算機(jī)C
首先計(jì)算機(jī)A向交換機(jī)1送出數(shù)據(jù)(①),其后數(shù)據(jù)被轉(zhuǎn)發(fā)給路由器(②)進(jìn)行VLAN間路由。路由后的數(shù)據(jù),再從匯聚鏈路返回交換機(jī)1(③)。由于通信目標(biāo)計(jì)算機(jī)C并不直連在交換機(jī)1上,因此還需要經(jīng)過匯聚鏈路轉(zhuǎn)發(fā)到交換機(jī)2(④)。在交換機(jī)2上,數(shù)據(jù)最終被轉(zhuǎn)發(fā)到C所連的端口2上,這才完成整個流程(⑤)。
在這個例子中,僅由2臺交換機(jī)構(gòu)成網(wǎng)絡(luò),其數(shù)據(jù)流已經(jīng)如此復(fù)雜,如果構(gòu)建橫跨多臺交換機(jī)的VLAN的話,每個數(shù)據(jù)流的流向顯然會更加難以把握。
網(wǎng)絡(luò)的邏輯結(jié)構(gòu)與物理結(jié)構(gòu)
為了對應(yīng)日漸復(fù)雜化的數(shù)據(jù)流,管理員需要從“邏輯結(jié)構(gòu)”與“物理結(jié)構(gòu)”兩方面入手,把握好網(wǎng)絡(luò)的現(xiàn)狀。
物理結(jié)構(gòu),指的是從物理層和數(shù)據(jù)鏈路層觀察到的網(wǎng)絡(luò)的現(xiàn)狀,表示了網(wǎng)絡(luò)的物理布線形態(tài)和VLAN的設(shè)定等等。
而邏輯結(jié)構(gòu),則表示從網(wǎng)絡(luò)層以上的層面觀察到的網(wǎng)絡(luò)結(jié)構(gòu)。下面我們就試著以路由器為中心分析一個IP網(wǎng)絡(luò)的邏輯結(jié)構(gòu)。
還是先前的那個例子,描繪了布線形態(tài)和VLAN設(shè)定的“物理結(jié)構(gòu)”如下圖所示。
分析這個物理結(jié)構(gòu)并轉(zhuǎn)換成以路由器為中心的邏輯結(jié)構(gòu)后,會得到如下的邏輯結(jié)構(gòu)圖。當(dāng)我們需要進(jìn)行路由或是數(shù)據(jù)包過濾的設(shè)定時,都必須在邏輯結(jié)構(gòu)的基礎(chǔ)上進(jìn)行。
把握這兩種網(wǎng)絡(luò)結(jié)構(gòu)圖的區(qū)別是十分重要的,特別是在VLAN和三層交換機(jī)大行其道的現(xiàn)代企業(yè)級網(wǎng)絡(luò)當(dāng)中。
跨界融合,寵物到家!
相關(guān)技術(shù)文章:
2019年最火爆安防公眾號推薦