虚拟局域网
现代机构的局域网常常配置为层级结构,每个部门通过一个交换机层级结构与其他部门的交换机互连。虽然这样的配置在理想世界中能够很好的工作,但在现实世界常常不尽如人意。如上图所示的配置中,能够发现 3 个缺点:
- 缺乏流量隔离。尽管层级结构把部门流量局域化到一个单一的交换机中,但广播流量(如携带 ARP 和 DHCP 报文或那些目的 MAC 地址还没有被自学习交换机学习到的帧)仍然必须跨越整个机构网络,因为交换机并不隔离广播域。限制这些广播流量的范围将改善局域网的性能,且为了安全 / 隐私的目的也可能希望限制局域网的广播流量。
- 管理用户。如果一个雇员从一个部分移动到了另一个部门,但他仍希望连接原部门的交换机,这是就必须改变物理布线。属于两个部门的雇员将使问题更为困难。
以上问题可以通过支持虚拟局域网(Virtual Local Area Network, VLAN)的交换机来处理,支持 VLAN 的交换机可以在一个物理 LAN 架构上配置、定义多个 VLAN。
在一个基于端口的 VLAN 中,交换机的端口由网络管理员划分为组,每个组构成一个 VLAN,在每个 VLAN 中的端口形成一个广播域(即来自一个端口的广播流量仅能到达该组中的其他端口)。下图显示了具有 16 个端口的支持 VLAN 的交换机,端口 2~8 属于电子工程系(EE)VLAN,而端口 9~15 属于计算机科学系(CS)VLAN。这样 VLAN 实现了 EE VLAN 帧和 CS VLAN 帧彼此隔离,去往/来自端口 2~8 的帧只能到达端口 2~8;当交换机端口 8 的用户加入 CS 系时,网络操作员只需要重新配置 VLAN 软件,使得端口 8 与 CS VLAN 相关联即可,即端口可以动态分配给不同 VLAN。
但是完全隔离两个 VLAN 带来了新的问题,来自 EE 的流量怎样才能发送到 CS 呢?
- 解决这个问题的一种方式是将 VLAN 交换机的一个端口(如上面的端口 1)与一台外部路由器相连,并且将该端口配置为同时属于 EE VLAN 和 CS VLAN。从 EE 发往 CS 的数据报首先跨越 EE VLAN 到达路由器,然后该路由器转发跨越 CS VLAN 到达 CS 主机。
- 实践中,常见会将 VLAN 交换机和路由器集成在一起,这样就不再需要外部路由器了。
如何构造跨越多个交换机的 VLAN 呢?假如说现在有一部分 EE 和 CS 的教职员工在另一座相同建筑物中,他们当然需要网络接入,并且他们希望成为他们系 VLAN 的一部分。这两台交换机应当如何互联呢?
-
一种容易的解决方案是在每台交换机上分别定义一个属于 EE 和 CS 的端口,在这两台交换机上将相应的端口彼此互连起来,这就相当于是交换机的互连。然而,这种方法不具有扩展性,因为在每台交换机上 N 个 VLAN 将要求 N 个端口直接互联这两台交换机;且每台交换机需要的端口数随着与它直接互连的交换机数目增多。
-
一种更具扩展性互连 VLAN 交换机的方案称为 VLAN 干线连接(VLAN trunking),每台交换机上通过一个特殊端口(左侧交换机端口 16,右侧交换机端口 1)来互联两个 VLAN 交换机。该干线端口属于该交换机上所有 VLAN,发送到任何 VLAN 的帧经过干线链路转发到其他路由器。
但是一个交换机怎样知道到达干线端口的帧属于某个特定的 VLAN 呢?IEEE 定义了一种扩展的以太网帧格式——802.1Q帧,用于跨越 VLAN 干线的帧。该帧由标准的以太网帧与加进首部的 4 字节 VLAN 标签组成,前两个字节为标记协议标识符(取固定值 0x8100),后两个字节标记控制信息(12 位 VLAN ID 字段,3 bit 优先级字段)。VLAN 标签由在 VLAN 干线发送侧的交换机加进帧中,解析后并由在 VLAN 干线接收侧的交换机删除。
扫一扫
1442
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
