本文是《让我们一起CCNA吧》系列的第八篇,主要探讨Virtual LANs (VLANs)的概念和管理。从Layer 2 Switching过渡到VLANs,讲解了如何在Cisco网络环境中配置和管理VLAN,以及VLAN在提高网络效率和安全性方面的作用。
虽然我知道我已经告诉过你了,不过在这里我还是要再确定一次:默认情况下,交换机分割冲突域而路由器分割广播域。
在以前的网络设计中,往往都是以某样设备作为核心,其它的设备连接上核心设备。今天的网络更趋向于一个平面的结构,即平等结构-----因为有了交换机。那么我们怎样在一个纯交换机环境中分割广播域呢?答案是创建一个虚拟的本地网络(VLAN)!VLAN把网络用户和连接到定义了的交换机端口上的资源进行逻辑分组。通过分配不同的交换机端口给不同的子网来创建VLAN,我们就可以在二层交换网络上创建小的广播域。一个VLAN就象一个子网或者说广播域那样各自处理各自的事情,意思是默认情况下在网络上广播帧只会在同一VLAN中进行,不会传到别的VLAN里。
那么这样意味着我们不再需要路由器了吗?可能是也可能不是,这要看你到底想做什么了。默认情况下在某个VLAN上的主机是不能和其它VLAN上的主机通信的,所以如果你希望在VLAN间通信那么你就还是需要一个路由器。
本章我们将学习什么是VLAN和怎么在交换网络上分配VLAN。同样,我们还要学习VLAN中继协议(VLAN Trunk Protocol ,VTP)是怎样更新交换机的VLAN数据库信息的,以及怎样通过一个中继连接在VLAN内部传输信息。最后还介绍了在你的交换网络上使用路由器构建VLAN间的通信。
VLAN Basics
如图8.1所示,二层交换网络通常都设计成一个平面网络。任何广播数据都被传输到网络的所有设备上,跟设备是否需要接收这个数据无关。
默认情况下路由器只允许广播在本地网络上传播,但交换机会把广播发送到所有的网段上。把交换网络称为平面网络(flat network)的原因就是因为它们在同一个广播域里而不是物理上的平面结构。
在图8.1里我们可以看到Host A发送一个广播,所有交换机的所有端口都会转发这个广播(除了发送广播的源端口外)。
现在我们来看看图8.2,图里显示了Host A发送一个数据帧到Host D,当知道Host D所在的位置后,数据就会只在Host A,Host D之间传输。相对以前的集线器网络来说这是一个巨大的进步,除非你真的希望只要一个冲突域。
现在你已经知道了使用二层交换网络能够获得的最大好处就是它为每个端口上接的设备创建了单独的冲突域。这种方案解决了以太网的距离问题,现在我们可以创建更大的网络了。但是,随着每个新的发展往往都会遇到新的问题:用户和设备越多,那么交换机也必须要处理更多的广播和数据包。
还有一点,那就是安全性!这是一个很大的问题:因为在典型的二层交换网络上,默认所有的用户能够发现所有的设备。并且你不能阻止设备发送广播也不能阻止用户接收广播。这样当你设置服务器或者其他设备的密码时,网络的安全性就受到很大的挑战了。
不过如果你使用了VLAN(virtual LAN)的话,就能够解决许多二层交换网络的问题了。下面是VLAN能够简化网络管理的一些途径:
·可以把交换机的端口放到合适的VLAN里以达到增加,移动或改变网络的目的。
·如果一些用户需要高安全性的话可以把他们放到一个VLAN里,这样其它VLAN的用户就不能访问到他们了。
·VLAN可以把用户逻辑地分组,而跟用户的物理或者说地理位置无关。
·VLAN能够增加网络安全性
·VLAN通过缩小原来的大广播域而增加广播域的数量。
在下面的章节我们将讨论交换的特点和交换机为什么可以比集线器提供更好的服务。
Broadcast Control
广播在任何协议上都会发生,不过什么时候发生跟下面的三个东西有关:
·协议类型
·网络上运行的应用程序
·怎样使用服务
虽然一些旧的软件已经被重写而减少它们需要的带宽了,但一些新的软件对于带宽的需求简直不可想象,能把能找到的带宽都吞吃掉。这些滥用带宽的家伙就是多媒体软件,它们广泛使用广播和组播。不合适的设备,不完全的分段以及拙劣的防火墙只能把这些软件产生的问题搞得更复杂。所有这些问题使得网络设计要增加新的课题,同样也对管理人员提出了新的挑战。弄清楚网络是否适当地分段对于隔离一个网段的故障使故障不能波及到全部网络来说是很必要的。最有效的办法就是通过使用交换和路由。
因为交换机比集线器更有效,所以最近很多公司都把他们原来的集线器网络更新成纯交换的网络(当然要使用VLAN)了。在一个VLAN上的所有设备都属于一个广播域。默认情况下交换机会过滤不同VLAN的广播,这样就可以让你不用为交换网络的广播而烦恼了。
Security
现在我们来谈谈安全性,通常一个平面互连网络的安全性由连接集线器和交换机的路由器负责。不过这样会十分没有效率:首先,连接到物理网络的任何人都可以访问物理局域网上的所有资源。其次,任何人都可以通过简单地在集线器上插一个网络分析器来观察网络上的所有流量。最后,用户可以加入任何工作组,只要简单地把电脑连接上工作组所在的集线器即可。所有这些都得出一个结论:不安全!
而正是这些使VLAN显得那么的棒,通过建立多个广播域(或者工作组)管理员就能够控制每个接口甚至每个用户。这样,用户把电脑连接上设备(交换机或者集线器)端口就可以访问资源的日子已经成为历史。因为现在管理员可以控制每个端口和端口能够访问的资源了。
同样,因为VLAN可以建立一个合适的用户需要的网络资源,这样交换机就可以配置为当出现任何非法访问资源情况时就通知管理工作站。如果你需要VLAN间的通信,那么你可以通过在路由器上面执行限制来到达目的。你也能够在硬件地址,协议或者应用程序上设置限制----现在,这里,我们谈的是安全!
Flexibility and Scalability
如果你前面注意学习了,那么你现在会知道二层交换机只根据数据帧来做过滤,交换机并不关心网络层协议。并且,交换机默认会转发所有的广播,但如果你创建了VLANS,那么你实际在二层建立一个小广播域!
这样某个VLAN的广播就只能在VLAN里的节点上传播而不会转发到属于另外VLAN的端口上。这样,就可以在交换机通过分配交换机的端口或者用户到VLAN上来获得更好的弹性:你可以把你指定的用户分配到指定广播域里而不用去管用户的物理位置。这个设置同样可以阻止由一个出现问题的网卡所引起的广播风暴。还可以阻止中间设备把广播风暴传播到整个互连网络上去。虽然这些情况还是会在VLAN里出现,但也只能在单一的VLAN里而不会传染到别人。
另外一个优点是当某个VLAN变得太大了的时候,你能够创建更多的VLAN来保存由于广播所浪费的大量带宽。VLAN里用户越少,那么就越少人会受到广播的影响。
不过你绝对需要牢记并了解的是当你创建你的VLAN时用户是怎样使用网络服务的。一个好的办法就是把除了e-mail和访问因特网外的所有服务都停掉,因为这两个服务基本上是所有人都需要用到的。
为了理解VLAN,首先我们来看看传统的网络是很必要的。图8.3显示了一个互连网络是怎样通过用集线器把物理局域网连接到路由器上的。
这里你能够看到每个网络通过集线器的端口连接到路由器上(虽然在图里没有明显地画出来,不过你应该知道每个集线器上连接有网络),每个连接到特定网络的节点设备都需要匹配网络的号码才能够和互连网络上的其它设备通信。注意每个部门都有独自的LAN,所当你希望增加一个新的用户到Sales部门上你可以把他接入到Sales LAN上这样用户就可以自动成为Sales部门的一员了。这样的设计的确已经好好地工作了许多年了。
但这样有一个重要的缺陷:当你需要加一个用户到Sales部门,而Sales的集线器已经插满了,该怎么办呢?或者这样,在Sales办公室里已经没有多余的空间多挤一个人下来了,那你怎样才能增加一个Sales的新雇员工呢?好,现在我们假设大楼里只有Finance部门才有许多空的房间或者位置,这样那个新的Sales部门员工只能和Finance部门的员工呆在一起,然后再把那可怜的员工的电脑连接上Finance部门的集线器。
很明显这样会在Finance LAN上增加了一个新用户,而这样做有许多坏处:首先(也是最重要的),这样会出现安全隐患,因为这个新用户处在Finance的广播域里,这样他就能够和Finance的部门员工一样访问同样的网络资源。其次,如果这个新员工需要访问Sales部门的网络来进行工作那么需要穿越路由器并登陆到Sales的服务器上,这样很没有效率。
现在我们来看看如果使用交换机会怎么样。图8.4示范了交换机是怎样解决由地理区域所带给你的问题的。
图8.4里有六个VLAN(从2到7),每个部门有单独的广播域。根据主机要属于什么部门,交换机的每个端口被分配到各自的VLAN。
那么现在,如果我需要增加一个用户到Sales VLAN(VLAN 7),我就可以只分配一个端口给VLAN 7,跟那个新的Sales部门员工所在的物理位置无关了,这不是很好吗?这是一个交换网络划分VLAN比旧的核心网络设计要好的例子。现在多简单明了-----想加什么主机到Sales部门只要把主机分配到VLAN 7就可以了。
注意,我是从VLAN 2开始划分VLAN的。虽然VLAN跟号码没有什么关系,但是你可能注意到了:VLAN 1有什么用的呢?这个VLAN是一个管理VLAN,虽然它也可以被用来划分工作部门,但思科建议你还是只把它用到管理目的就好。你不能命名或者删除VLAN 1。并且默认情况下交换机的所有端口都是属于VLAN 1的,直到你改变端口所属为止。
每个VLAN被认为是一个广播域,所以它也必须有自己的子网号码,就象图8.4显示的一样。并且如果你也使用IPX,那么每个VLAN也得分配各自的IPX网络号码。
现在让我们回到“因为有了交换机我们就可以不再需要路由器”这个误区上,在图8.4注意有六个VLAN或者说六个广播域,加上VLAN 1那么就是七个。在每个VLAN上的节点可以和同一VLAN的进行通信,但不能和别的VLAN节点通信!
那么在图8.4里我们需要什么才能使不同VLAN的主机间能彼此通信呢?可能你已经猜到了-------当然是一个路由器啦!这些主机都必须要通过一个路由器或者其它别的三层设备来把它们连接起来。就象我们需要连接不同的物理网络一样,VLAN也必须通过三层设备连接。所以在任何时候,想都别想可以不要路由器。
VLAN Memberships
VLAN通常都是由一个管理员创建的,然后把交换机的端口分配给每个VLAN。这样的VLAN叫做静态VLAN(static VLAN)。如果管理员想少做一点准备工作并分配所有的主机设备的硬件地址到一个数据库里的话,那么可以把交换机配置为当一个主机接上交换机的时候动态地分配VLAN。这叫做动态VLAN(dynamic VLAN)。
Static VLANs
静态VLAN是常见的构建VLAN的方法,并且也更安全。当你把交换机端口跟VLAN关联起来后只能通过手动设置来改变关联。这种类型的VLAN设置比较容易并且也容易监控,还可以控制用户在网络上移动的位置。虽然这样对使用网络管理软件配置端口时很有帮助,但这不是强制性的,你可以用也可以不用。
在图8.4里,管理员基于主机所要归属的部门把每个交换机端口划分到相应的VLAN里----跟设备的实际物理位置无关。主机将属于什么广播域是一个管理性的选择。要记住的是每个主机也要设置正确的ip地址!例如,在VLAN2上的所有主机的ip地址必须要在172.16.20.0网络范围内,这点是很重要的。如果你想把一个主机接到交换机端口上,你要先确定这个端口是属于什么VLAN的,如果你把一个VLAN的主机接到了属于另外VLAN的端口上,那么这个主机将不能访问其需要的网络服务,如一台工作组服务器等。
Dynamic VLANs
动态VLAN自动检测一个节点的VLAN分配。使用智能的管理软件,你可以基于硬件地址,协议甚至应用程序来进行动态VLAN分配。
举个例子,假设MAC地址被输入到一个集中的VLAN管理软件里,如果一个节点现在连接到一个未分配的交换机端口,VLAN管理软件从数据库里寻找节点硬件地址并分配或配置交换机的端口到正确的VLAN。因为如果一个用户移动了位置,交换机会自动地分配正确的VLAN给用户,这样管理和配置都变得很容易了。但是,你需要做许多的工作来初始化设置数据库。
思科管理员可以使用VMPS(VLAN Management Policy Server)服务来设置一个MAC地址数据库来进行动态分配VLAN。一个VMPS数据库映射MAC地址到VLAN。
Identifying VLANs
一个帧被交换地通过网络时,交换机必须留意帧的不同类型,根据硬件地址来操作帧。还有,当帧通过不同类型的线路时,处理方法也不一样。
在交换环境里有两种不同类型的线路连接:
Access links:访问连接,这种类型的连接只能是VLAN的一部分,被认为是端口的本地VLAN。连接到一条访问连接线路的任何设备都没有意识到它已经作为了一个VLAN的成员------设备只是认为加入了一个广播域,但是它并不清楚物理网络的结构。
交换机在把帧发送到一条访问连接前会剥离掉帧的任何VLAN信息。访问连接设备不能和本VLAN外的其它设备进行通信,除非数据包被路由。
Trunk links:中继连接,中继能够在多个VLAN内部传输信息。中继连接线路是在两个交换机,一个交换机和一个路由器或者是一个交换机和一个服务器间的一条100或者1000Mbps的点到点的连接,它能够同时输送1到1005个VLAN的信息。
中继允许你使一个端口同时属于多个VLAN。这是一个很大的优点。例如,你能够在两个广播域间同时设立一个服务器,这样你的用户就可以不用通过三层设备(路由器)来访问服务器了。另外一个优点是当你连接交换机的时候,能够在几个或者所有的VLAN内部通过中继连接来输送信息。但如果你交换机间没有使用中继线路,那么默认只有VLAN 1的信息能够在交换机间的普通线路传递。(记住,VLAN 1是一个管理VLAN)
所有的VLAN默认都使用了一条中继的线路,除非管理员手动清理该线路上的VLAN。
图8.5显示了在一个交换网络上的两种不同类型的连接。交换机上的所有主机能够访问所有VLAN的端口,那是因为交换机中间有一条中继连接了。还有要记住的是,一个VLAN只能允许使用一条访问连接。
Frame Tagging
前面已经说过,你可以跨越多个交换机来创建你的VLAN,在图8.4中,分布在多个交换机上的主机可以属于不同的VLAN,这个弹性的,组合的能力是VLAN的主要优点。但这样对于一个交换机来说会有点复杂,所以需要有一个办法来使得在通过交换结构和VLAN时能够区分所有的用户和数据帧。(一个基本的交换结构是一组交换机共享同一个VLAN信息)这样,就产生了帧标记鉴别(frame tagging)。这个鉴别帧标记的办法是给每个帧分配了一个独特的用户定义的ID。通常人们把这个用户定义的ID称做“VLAN ID”或者“COLOR”。
帧标记鉴别是这样工作的:首先,数据帧到达交换机的时候,交换机在帧的标记字段那里检查帧的VLAN ID,然后交换机检查MAC表来确定帧要去哪里。如果交换机有一条中继连接,那么帧将会从中继连接的端口转发出去。
当帧找到一条符合VLAN ID的访问连接时,交换机把帧的VLAN标记去掉,这样接收帧的目标设备就可以不用管帧的VLAN标记了。
在以前的网络设计中,往往都是以某样设备作为核心,其它的设备连接上核心设备。今天的网络更趋向于一个平面的结构,即平等结构-----因为有了交换机。那么我们怎样在一个纯交换机环境中分割广播域呢?答案是创建一个虚拟的本地网络(VLAN)!VLAN把网络用户和连接到定义了的交换机端口上的资源进行逻辑分组。通过分配不同的交换机端口给不同的子网来创建VLAN,我们就可以在二层交换网络上创建小的广播域。一个VLAN就象一个子网或者说广播域那样各自处理各自的事情,意思是默认情况下在网络上广播帧只会在同一VLAN中进行,不会传到别的VLAN里。
那么这样意味着我们不再需要路由器了吗?可能是也可能不是,这要看你到底想做什么了。默认情况下在某个VLAN上的主机是不能和其它VLAN上的主机通信的,所以如果你希望在VLAN间通信那么你就还是需要一个路由器。
本章我们将学习什么是VLAN和怎么在交换网络上分配VLAN。同样,我们还要学习VLAN中继协议(VLAN Trunk Protocol ,VTP)是怎样更新交换机的VLAN数据库信息的,以及怎样通过一个中继连接在VLAN内部传输信息。最后还介绍了在你的交换网络上使用路由器构建VLAN间的通信。
VLAN Basics
如图8.1所示,二层交换网络通常都设计成一个平面网络。任何广播数据都被传输到网络的所有设备上,跟设备是否需要接收这个数据无关。
默认情况下路由器只允许广播在本地网络上传播,但交换机会把广播发送到所有的网段上。把交换网络称为平面网络(flat network)的原因就是因为它们在同一个广播域里而不是物理上的平面结构。
在图8.1里我们可以看到Host A发送一个广播,所有交换机的所有端口都会转发这个广播(除了发送广播的源端口外)。
现在我们来看看图8.2,图里显示了Host A发送一个数据帧到Host D,当知道Host D所在的位置后,数据就会只在Host A,Host D之间传输。相对以前的集线器网络来说这是一个巨大的进步,除非你真的希望只要一个冲突域。
现在你已经知道了使用二层交换网络能够获得的最大好处就是它为每个端口上接的设备创建了单独的冲突域。这种方案解决了以太网的距离问题,现在我们可以创建更大的网络了。但是,随着每个新的发展往往都会遇到新的问题:用户和设备越多,那么交换机也必须要处理更多的广播和数据包。
还有一点,那就是安全性!这是一个很大的问题:因为在典型的二层交换网络上,默认所有的用户能够发现所有的设备。并且你不能阻止设备发送广播也不能阻止用户接收广播。这样当你设置服务器或者其他设备的密码时,网络的安全性就受到很大的挑战了。
不过如果你使用了VLAN(virtual LAN)的话,就能够解决许多二层交换网络的问题了。下面是VLAN能够简化网络管理的一些途径:
·可以把交换机的端口放到合适的VLAN里以达到增加,移动或改变网络的目的。
·如果一些用户需要高安全性的话可以把他们放到一个VLAN里,这样其它VLAN的用户就不能访问到他们了。
·VLAN可以把用户逻辑地分组,而跟用户的物理或者说地理位置无关。
·VLAN能够增加网络安全性
·VLAN通过缩小原来的大广播域而增加广播域的数量。
在下面的章节我们将讨论交换的特点和交换机为什么可以比集线器提供更好的服务。
Broadcast Control
广播在任何协议上都会发生,不过什么时候发生跟下面的三个东西有关:
·协议类型
·网络上运行的应用程序
·怎样使用服务
虽然一些旧的软件已经被重写而减少它们需要的带宽了,但一些新的软件对于带宽的需求简直不可想象,能把能找到的带宽都吞吃掉。这些滥用带宽的家伙就是多媒体软件,它们广泛使用广播和组播。不合适的设备,不完全的分段以及拙劣的防火墙只能把这些软件产生的问题搞得更复杂。所有这些问题使得网络设计要增加新的课题,同样也对管理人员提出了新的挑战。弄清楚网络是否适当地分段对于隔离一个网段的故障使故障不能波及到全部网络来说是很必要的。最有效的办法就是通过使用交换和路由。
因为交换机比集线器更有效,所以最近很多公司都把他们原来的集线器网络更新成纯交换的网络(当然要使用VLAN)了。在一个VLAN上的所有设备都属于一个广播域。默认情况下交换机会过滤不同VLAN的广播,这样就可以让你不用为交换网络的广播而烦恼了。
Security
现在我们来谈谈安全性,通常一个平面互连网络的安全性由连接集线器和交换机的路由器负责。不过这样会十分没有效率:首先,连接到物理网络的任何人都可以访问物理局域网上的所有资源。其次,任何人都可以通过简单地在集线器上插一个网络分析器来观察网络上的所有流量。最后,用户可以加入任何工作组,只要简单地把电脑连接上工作组所在的集线器即可。所有这些都得出一个结论:不安全!
而正是这些使VLAN显得那么的棒,通过建立多个广播域(或者工作组)管理员就能够控制每个接口甚至每个用户。这样,用户把电脑连接上设备(交换机或者集线器)端口就可以访问资源的日子已经成为历史。因为现在管理员可以控制每个端口和端口能够访问的资源了。
同样,因为VLAN可以建立一个合适的用户需要的网络资源,这样交换机就可以配置为当出现任何非法访问资源情况时就通知管理工作站。如果你需要VLAN间的通信,那么你可以通过在路由器上面执行限制来到达目的。你也能够在硬件地址,协议或者应用程序上设置限制----现在,这里,我们谈的是安全!
Flexibility and Scalability
如果你前面注意学习了,那么你现在会知道二层交换机只根据数据帧来做过滤,交换机并不关心网络层协议。并且,交换机默认会转发所有的广播,但如果你创建了VLANS,那么你实际在二层建立一个小广播域!
这样某个VLAN的广播就只能在VLAN里的节点上传播而不会转发到属于另外VLAN的端口上。这样,就可以在交换机通过分配交换机的端口或者用户到VLAN上来获得更好的弹性:你可以把你指定的用户分配到指定广播域里而不用去管用户的物理位置。这个设置同样可以阻止由一个出现问题的网卡所引起的广播风暴。还可以阻止中间设备把广播风暴传播到整个互连网络上去。虽然这些情况还是会在VLAN里出现,但也只能在单一的VLAN里而不会传染到别人。
另外一个优点是当某个VLAN变得太大了的时候,你能够创建更多的VLAN来保存由于广播所浪费的大量带宽。VLAN里用户越少,那么就越少人会受到广播的影响。
不过你绝对需要牢记并了解的是当你创建你的VLAN时用户是怎样使用网络服务的。一个好的办法就是把除了e-mail和访问因特网外的所有服务都停掉,因为这两个服务基本上是所有人都需要用到的。
为了理解VLAN,首先我们来看看传统的网络是很必要的。图8.3显示了一个互连网络是怎样通过用集线器把物理局域网连接到路由器上的。
这里你能够看到每个网络通过集线器的端口连接到路由器上(虽然在图里没有明显地画出来,不过你应该知道每个集线器上连接有网络),每个连接到特定网络的节点设备都需要匹配网络的号码才能够和互连网络上的其它设备通信。注意每个部门都有独自的LAN,所当你希望增加一个新的用户到Sales部门上你可以把他接入到Sales LAN上这样用户就可以自动成为Sales部门的一员了。这样的设计的确已经好好地工作了许多年了。
但这样有一个重要的缺陷:当你需要加一个用户到Sales部门,而Sales的集线器已经插满了,该怎么办呢?或者这样,在Sales办公室里已经没有多余的空间多挤一个人下来了,那你怎样才能增加一个Sales的新雇员工呢?好,现在我们假设大楼里只有Finance部门才有许多空的房间或者位置,这样那个新的Sales部门员工只能和Finance部门的员工呆在一起,然后再把那可怜的员工的电脑连接上Finance部门的集线器。
很明显这样会在Finance LAN上增加了一个新用户,而这样做有许多坏处:首先(也是最重要的),这样会出现安全隐患,因为这个新用户处在Finance的广播域里,这样他就能够和Finance的部门员工一样访问同样的网络资源。其次,如果这个新员工需要访问Sales部门的网络来进行工作那么需要穿越路由器并登陆到Sales的服务器上,这样很没有效率。
现在我们来看看如果使用交换机会怎么样。图8.4示范了交换机是怎样解决由地理区域所带给你的问题的。
图8.4里有六个VLAN(从2到7),每个部门有单独的广播域。根据主机要属于什么部门,交换机的每个端口被分配到各自的VLAN。
那么现在,如果我需要增加一个用户到Sales VLAN(VLAN 7),我就可以只分配一个端口给VLAN 7,跟那个新的Sales部门员工所在的物理位置无关了,这不是很好吗?这是一个交换网络划分VLAN比旧的核心网络设计要好的例子。现在多简单明了-----想加什么主机到Sales部门只要把主机分配到VLAN 7就可以了。
注意,我是从VLAN 2开始划分VLAN的。虽然VLAN跟号码没有什么关系,但是你可能注意到了:VLAN 1有什么用的呢?这个VLAN是一个管理VLAN,虽然它也可以被用来划分工作部门,但思科建议你还是只把它用到管理目的就好。你不能命名或者删除VLAN 1。并且默认情况下交换机的所有端口都是属于VLAN 1的,直到你改变端口所属为止。
每个VLAN被认为是一个广播域,所以它也必须有自己的子网号码,就象图8.4显示的一样。并且如果你也使用IPX,那么每个VLAN也得分配各自的IPX网络号码。
现在让我们回到“因为有了交换机我们就可以不再需要路由器”这个误区上,在图8.4注意有六个VLAN或者说六个广播域,加上VLAN 1那么就是七个。在每个VLAN上的节点可以和同一VLAN的进行通信,但不能和别的VLAN节点通信!
那么在图8.4里我们需要什么才能使不同VLAN的主机间能彼此通信呢?可能你已经猜到了-------当然是一个路由器啦!这些主机都必须要通过一个路由器或者其它别的三层设备来把它们连接起来。就象我们需要连接不同的物理网络一样,VLAN也必须通过三层设备连接。所以在任何时候,想都别想可以不要路由器。
VLAN Memberships
VLAN通常都是由一个管理员创建的,然后把交换机的端口分配给每个VLAN。这样的VLAN叫做静态VLAN(static VLAN)。如果管理员想少做一点准备工作并分配所有的主机设备的硬件地址到一个数据库里的话,那么可以把交换机配置为当一个主机接上交换机的时候动态地分配VLAN。这叫做动态VLAN(dynamic VLAN)。
Static VLANs
静态VLAN是常见的构建VLAN的方法,并且也更安全。当你把交换机端口跟VLAN关联起来后只能通过手动设置来改变关联。这种类型的VLAN设置比较容易并且也容易监控,还可以控制用户在网络上移动的位置。虽然这样对使用网络管理软件配置端口时很有帮助,但这不是强制性的,你可以用也可以不用。
在图8.4里,管理员基于主机所要归属的部门把每个交换机端口划分到相应的VLAN里----跟设备的实际物理位置无关。主机将属于什么广播域是一个管理性的选择。要记住的是每个主机也要设置正确的ip地址!例如,在VLAN2上的所有主机的ip地址必须要在172.16.20.0网络范围内,这点是很重要的。如果你想把一个主机接到交换机端口上,你要先确定这个端口是属于什么VLAN的,如果你把一个VLAN的主机接到了属于另外VLAN的端口上,那么这个主机将不能访问其需要的网络服务,如一台工作组服务器等。
Dynamic VLANs
动态VLAN自动检测一个节点的VLAN分配。使用智能的管理软件,你可以基于硬件地址,协议甚至应用程序来进行动态VLAN分配。
举个例子,假设MAC地址被输入到一个集中的VLAN管理软件里,如果一个节点现在连接到一个未分配的交换机端口,VLAN管理软件从数据库里寻找节点硬件地址并分配或配置交换机的端口到正确的VLAN。因为如果一个用户移动了位置,交换机会自动地分配正确的VLAN给用户,这样管理和配置都变得很容易了。但是,你需要做许多的工作来初始化设置数据库。
思科管理员可以使用VMPS(VLAN Management Policy Server)服务来设置一个MAC地址数据库来进行动态分配VLAN。一个VMPS数据库映射MAC地址到VLAN。
Identifying VLANs
一个帧被交换地通过网络时,交换机必须留意帧的不同类型,根据硬件地址来操作帧。还有,当帧通过不同类型的线路时,处理方法也不一样。
在交换环境里有两种不同类型的线路连接:
Access links:访问连接,这种类型的连接只能是VLAN的一部分,被认为是端口的本地VLAN。连接到一条访问连接线路的任何设备都没有意识到它已经作为了一个VLAN的成员------设备只是认为加入了一个广播域,但是它并不清楚物理网络的结构。
交换机在把帧发送到一条访问连接前会剥离掉帧的任何VLAN信息。访问连接设备不能和本VLAN外的其它设备进行通信,除非数据包被路由。
Trunk links:中继连接,中继能够在多个VLAN内部传输信息。中继连接线路是在两个交换机,一个交换机和一个路由器或者是一个交换机和一个服务器间的一条100或者1000Mbps的点到点的连接,它能够同时输送1到1005个VLAN的信息。
中继允许你使一个端口同时属于多个VLAN。这是一个很大的优点。例如,你能够在两个广播域间同时设立一个服务器,这样你的用户就可以不用通过三层设备(路由器)来访问服务器了。另外一个优点是当你连接交换机的时候,能够在几个或者所有的VLAN内部通过中继连接来输送信息。但如果你交换机间没有使用中继线路,那么默认只有VLAN 1的信息能够在交换机间的普通线路传递。(记住,VLAN 1是一个管理VLAN)
所有的VLAN默认都使用了一条中继的线路,除非管理员手动清理该线路上的VLAN。
图8.5显示了在一个交换网络上的两种不同类型的连接。交换机上的所有主机能够访问所有VLAN的端口,那是因为交换机中间有一条中继连接了。还有要记住的是,一个VLAN只能允许使用一条访问连接。
Frame Tagging
前面已经说过,你可以跨越多个交换机来创建你的VLAN,在图8.4中,分布在多个交换机上的主机可以属于不同的VLAN,这个弹性的,组合的能力是VLAN的主要优点。但这样对于一个交换机来说会有点复杂,所以需要有一个办法来使得在通过交换结构和VLAN时能够区分所有的用户和数据帧。(一个基本的交换结构是一组交换机共享同一个VLAN信息)这样,就产生了帧标记鉴别(frame tagging)。这个鉴别帧标记的办法是给每个帧分配了一个独特的用户定义的ID。通常人们把这个用户定义的ID称做“VLAN ID”或者“COLOR”。
帧标记鉴别是这样工作的:首先,数据帧到达交换机的时候,交换机在帧的标记字段那里检查帧的VLAN ID,然后交换机检查MAC表来确定帧要去哪里。如果交换机有一条中继连接,那么帧将会从中继连接的端口转发出去。
当帧找到一条符合VLAN ID的访问连接时,交换机把帧的VLAN标记去掉,这样接收帧的目标设备就可以不用管帧的VLAN标记了。
最低0.47元/天 解锁文章
扫一扫
3415
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
