2.5.2 DNS服务原理
主机中的应用程序在通信时,把数据交给 TCP 程序。同时需要把目标端口地址、 源端口地址和目标主机的 IP 地址交给 TCP。目标端口地址和源端口地址供 TCP 程序封 装 TCP 报头使用,目标主机的 IP 地址由 TCP 程序转交给 IP,供 IP 程序封装 IP 报头 使用。 如果应用程序拿到的是目标主机的域名而不是它的 IP 地址,就需要调用 TCP/IP 协议中 应用层的 DNS 程序将目标主机的域名解析为它的 IP 地址。 一台主机为了支持域名解析,就需要在配置中指明为自己服务的 DNS 服务器。如 图 2-36 所示,主机 A 为了解析一个域名,把待解析的域名发送给自己机器配置指明的 DNS 服务器。一般都是配置指向一个本地的 DNS 服务器。本地 DNS 服务器收到待解析 的域名后,便查询自己的 DNS 解析数据库,将该域名对应的 IP 地址查到后,发还给 A 主机。 如果本地 DNS 服务器的数据库中无法找到待解析域名的 IP 地址,则将此解析交给上级 DNS 服务器,直到查到需要寻找的 IP 地址。 本地 DNS 服务器中的域名数据库可以从上级 DNS 提供处下载,并得到上级 DNS 服务 器的一种称为“区域传输(Zone Transfer)”的维护。本地 DNS 服务器可以添加本地化的 域名解析。
2.6 VLAN划分
图 2-37 中是一个由 5 台二层交换机(交换机 1~5)连接大量客户机构成的网络。假设 这时计算机 A 需要与计算机 B 通信。在基于以太网的通信中,必须在数据帧中指定目标 MAC 地址才能正常通信,因此计算机 A 必须先广播“ARP 请求(ARP Request)信息”,来 尝试获取计算机 B 的 MAC 地址。 交换机 1 收到广播帧(ARP 请求)后,会将它转发给除接收端口外的其他所有端口。 接着,交换机 2 收到广播帧后也会进行转发,交换机 3、 4、 5 也进行同样的操作。最终 ARP 请求会被转发到同一网络中的所有客户机上。
在实际建设局域网时,会把局域网分割成若干个子网,以隔离广播和实现子网间访问 的限制。如果采用划分子网的方法,需要为每个子网单独配置交换机,然后通过路由器来 连接子网。如图 2-37 所示,假设每个楼层为一个部门的子网。
图 2-38 中的构造有两个缺点。第一,如果三楼的若干节点划归一楼的部门(如办公室 划归给一楼的部门),为了把三楼划归到一楼的主机迁移到一楼的子网中去,就需要重新沿 三楼管线、竖井为这些主机布线,以便连接到一楼子网的交换机上。这样工作量大,也 耗费人力、物力。第二,如果一楼的交换机端口数不够,就需要购买新的交换机(即使 二楼的交换机有空余的端口也不能使用,因为它们不在一个子网上),这样就浪费了网络 的投资。
综上所述,上述子网划分情况下,子网的物理位置变化非常困难,尤其是在建网初期 无法准确确定子网划分的时候,这个问题更加突出。同时,交换机的端口不能充分利用, 浪费网络投资。 为了解决这一问题,可以采用 VLAN(Virtual Local Area Network)技术。 VLAN 是一 种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新 兴技术。 IEEE 于 1999 年颁布了用以标准化 VLAN 实现方案的 802.1Q 协议标准草案。 VLAN 技术允许网络管理者将一个物理的 LAN 逻辑地划分成不同的广播域(即 VLAN),每一个 VLAN 都包含一组有着相同需求的计算机工作站,与物理上形成的 LAN 有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个 VLAN 内的各个工作 站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理 LAN 网段。
一个 VLAN 内部的广播和单播流量都不会转发到其他 VLAN 中,即使两台计算机有着同样的网 段,但是它们没有相同的 VLAN 号,它们各自的广播流也不会相互转发,从而有助于控制 流量、减少设备投资、简化网络管理、提高网络的安全性。 VLAN 是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了 VLAN 头,用 VLAN ID 把用户划分为更小的工作组,限制不同工作组间的用户二层互访, 每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能形成虚拟 工作组,动态管理网络。 既然 VLAN 隔离了广播风暴,同时也隔离了各个不同的 VLAN 之间的通信,所以不同 的 VLAN 之间的通信是需要由路由来完成的。
2.6.1 VLAN的划分方法
VLAN 有以下几种划分方法。
(1)根据端口划分 VLAN 许多 VLAN 厂商都利用交换机的端口来划分 VLAN 成员。被设定的端口都在同一个广 播域中。例如,一个交换机的 1、 2、 3、 4、 5 端口被定义为虚拟网 AAA,同一交换机的 6、 7、 8 端口组成虚拟网 BBB。这样做允许各端口之间的通信,并允许共享型网络的升 级。但是这种划分模式将虚拟网限制在了一台交换机上。 第二代端口 VLAN 技术允许跨越多个交换机的多个不同端口划分 VLAN,不同交换机 上的若干个端口可以组成同一个虚拟网。
(2)根据 MAC 地址划分 VLAN 这种划分 VLAN 的方法是根据每个主机的 MAC 地址来划分,即对每个 MAC 地址的主 机都配置它属于哪个组。这种划分 VLAN 方法的最大优点就是当用户物理位置移动时,即 从一个交换机换到其他的交换机时, VLAN 不用重新配置,所以可以认为这种根据 MAC 地 址的划分方法是基于用户的 VLAN,这种方法的缺点是初始化时,所有的用户都必须进行 配置,如果有几百个甚至上千个用户的话,配置是非常烦琐的。而且这种划分的方法也导 致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在多个 VLAN 组的成 员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能 经常更换,这样, VLAN 就必须不停地配置。
(3)根据网络层划分 VLAN 这种划分 VLAN 的方法是根据每个主机的网络层地址或协议类型(如果支持多协议) 划分的,虽然这种划分方法的根据是网络地址(如 IP 地址),但它不是路由,与网络层的路 由毫无关系。 这种方法的优点是用户的物理位置改变了,不需要重新配置所属的 VLAN,而且可以 根据协议类型来划分 VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的 帧标签来识别 VLAN,这样可以减少网络的通信量。 这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间 的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧 头,但要让芯片检查 IP 帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实 现方法有关。
(4)根据 IP 组播划分 VLAN IP 组播实际上也是一种 VLAN 的定义,即认为一个组播组就是一个 VLAN,这种划分 方法将 VLAN 扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由 器进行扩展,当然这种方法不适合局域网,主要是效率不高。
(5)基于规则的 VLAN 这是最灵活的 VLAN 划分方法,具有自动配置的能力,能够把相关的用户连成一体, 在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分 VLAN 的规则(或 属性),那么当一个站点加入网络中时,将会被“感知”,并被自动地包含进正确的 VLAN 中。同时,对站点的移动和改变也可自动识别和跟踪。
采用这种方法,整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持 一个端口上的主机分别属于不同的 VLAN,这在交换机与共享式 Hub 共存的环境中显得尤 为重要。自动配置 VLAN 时,交换机中的软件自动检查进入交换机端口的广播信息的 IP 源 地址,然后软件自动将这个端口分配给一个由 IP 子网映射成的 VLAN。 以上划分 VLAN 的方式中,基于端口的 VLAN 端口方式建立在物理层上; MAC 方式 建立在数据链路层上;网络层和 IP 广播方式建立在第三层上。 2.6.2 VLAN的工作过程 以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据 端口来划分 VLAN 的方式仍然是最常用的一种方式。例如,可以把一台 24 口交换机的 1~ 6 端口指定给部门 1 的子网,把 7~20 端口指定给部门 2 的子网,把 21~24 端口指定给部 门 3 的子网,如图 2-39 所示。
要实现上述子网划分的指定,只需要在普通交换机的交换表上增加一列虚网号就可以实现,如图 2-40 所示。
为了实现子网划分的功能,简单修改普通交换机对广播报文的处理就可以完成。我们 知道,普通交换机处理广播报文的方法是向所有端口转发。现在修改成:对收到的广播报 文只向同 VLAN 号的端口转发。这样一来,第一,广播报被限定在本子网中;第二,由于 ARP 广播不能被其他 VLAN 中的主机听到,也就无法直接访问其他子网的主机(尽管在同 一台交换机上)。
因此,这样的改进完全实现了子网划分所要求的功能。 由此可见,在交换机上通过简单地设置就能分割出子网。通过 VLAN 设置分割出的子 网与分别使用几个交换机来物理分割出的子网,同样能实现以下功能: ① 子网之间的广播隔离; ② 子网之间主机相互通信需要路由器来转发。 一个数据报进入交换机后,交换机根据它是从哪个端口进入的,查交换表就可以得知它属于哪个 VLAN。
使用 VLAN 划分子网后的交换机级联时,级联导线上既传送 VLAN1 也传送 VLAN2 和 VLAN3 中的数据报。两个交换机的级联端口需要配置成属于所有 VLAN。问题是,图 2-41 所示的交换机 A 如果从级联端口收到一个交换机 B 的数据报后,它怎么知道这个数据报属 于哪个 VLAN 呢? 802.1q 协议规定了,当交换机需要将一个数据报发往另外一个交换机时,需要把这个 数据报上做一个帧标记,把 VLAN 号同时发往对方交换机。对方交换机收到这个数据报 时,根据帧标记中的 VLAN 号,确定该数据报属于第几号虚拟子网。 802.1q 协议规定帧标记插入到以太网帧报头中源 MAC 地址和上层协议两个字段之间, 如图 2-42 所示。
802.1q 的帧标记用于把报文送往其他交换机时,通知对方交换机,发送该报文主机所 属的 VLAN。对方交换机据此将新的 MAC 地址连同其 VLAN 号一起收录到自己交换表的 级联端口中。 帧标记由源交换机从级联端口发送出去前嵌入帧报头中,再由接收方交换机从报头中 卸下。(卸掉帧标记是非常重要的。如果没有这个操作,带有帧标记的数据报送到接收主机 或路由器中时,接收主机或路由器就不能按照 802.3 协议正确解析帧报头中的各个字段。) 交换机的一个端口,如果对发出的数据报都插入帧标记,则称该端口工作在“Tag 方 式”。交换机在刚出厂时,所有端口都默认为是“Untag 方式”。如果一个端口用于级联其他 支持 VLAN 的交换机,则需要设置其为“Tag 方式”;否则,交换机就不能完成 802.1q 的帧 标记操作。 接入交换机的主机之间,尽管在同一台交换机上,但是如果不在同一个 VLAN 内,仍 然是无法通信的。不同 VLAN 之间的主机之间需要通信的话,就要借助路由器来在 VLAN之间转发数据报。如图 2-43 所示的连接中,为了使 VLAN1 的主机与 VLAN2 的主机之间 通信,需要接入路由器。路由器的两个以太端口分别接入 VLAN1 和 VLAN2,在两个子网 之间形成一个转发通路。
参照图 2-43,使用路由器连接一个交换机中两个不同虚网的工作过程如下。 ① 当 VLAN1 中的 A 主机需要与 VLAN2 中的 B 主机通信时,因为交换机隔离了虚网 之间的广播, A 主机查询 B 主机 MAC 地址的 ARP 广播, B 主机是无法收听到的。 ② 路由器从 200.1.75.1 端口收听到这个 ARP 广播,就会用自己的 MAC 地址应答 A 主机。 ③ A 主机把发给 B 主机的报文发给路由器。 ④ 路由器收到这个数据报,从 IP 报头得知目标主机是 195.112.30.75,所在网络是 195.112.30.0。 ⑤ 路由器在 VLAN2 上发 ARP 广播,寻找 195.112.30.75 主机,以获得它的 MAC 地址。 ⑥ 获得了 B 主机的 MAC 地址后,路由器就可以从其 195.112.30.1 端口把报文发给 B 主机了。 更复杂的连接如图 2-44 所示。在 3 个级联的交换机上,路由器需要为每个 VLAN 提供 1 个端口,以确保为 3 个 VLAN 之间的通信提供数据转发服务。
另外,我们需要明确,交换机的级联端口需要配置为同时属于 VLAN1、 VLAN2 和 VLAN3,才能同时为三个子网提供数据链路。级联端口配置了 802.1q 协议,可以在向其他 交换机转发数据报时,把该数据报所属的虚网号报告给下一个交换机。读者可以自己分析一个虚网中的主机向另外一个虚网的主机发送数据报的过程。 图 2-44 所示的路由器为了互连 3 个 VLAN,需要使用 3 个以太网端口。同时,还需要 占用 3 个交换机的端口。图 2-45 所示的路由器只需要使用 1 个端口,也能完成相同的任 务。这时,交换机与路由器连接的端口,也应该属于所有子网,并配置 802.1q 协议。
通过子网掩码划分子网和划分 VLAN 有很多相似之处,但其实两种技术存在区别:划 分子网的主要目的是提高 IP 地址的利用率,而 VLAN 主要是完成分割广播域的功能。同一 个交换机下分成两个 VLAN,那么这两段之间通信必须通过路由实现,这两个 VLAN 之间 的广播风暴是不通的,可视为两个单独的交换机。而在同一个交换机下划分的两个子网之 间的通信也要通过路由,但是由于这两个子网接在同一个交换机上,所以当出现广播时, 所有的端口都要接收。因为广播是以 MAC 地址为依据的,所以同一个交换机上所有的端口 都要接收广播。 不同的应用环境下有不同的配置方法,子网和 VLAN 不是相对独立的,也并不矛盾, 而应该配合使用。
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
