文章詳情
虛擬局域網(VLAN)*佳實踐
日期:2025-05-04 17:14
瀏覽次數:2958
摘要:
虛擬局域網(VLAN)*佳實踐
美國福祿克網絡公司
什麼是(虛擬局域網)VLAN?
VLAN是一種用邏輯的定義方法,把兩個或更多的連在交換網絡上的終端規劃在一起。這種邏輯定義方法可以延伸到多個交換機。被規劃在一起的終端,可以通過幾種網絡設置來規劃。好像任何一種網絡技術一樣,了解在您的網絡上存在的VLAN的特性,是有效地管理網絡一個非常重要的一節。這可令您更**的設定VLAN並在事故發生時減少故障診斷的時間。
為什麼要用VLAN呢?
采用VLAN的主要原因有幾個:如控製廣播域的範圍,網絡**,第三層地址的管理,和網絡資源的集中管理。
控製廣播域的範圍
當一個廣播域內的設備增加時,在廣播域內設備的廣播頻率便會相對增加。廣播率的提高,對設備的效率會有很大的影響,因為每一個設備都必須中斷其CPU正在處理的業務,來處理收到的廣播包,以決定是否需要對包內的數據作進一步處理。這種中斷降低了CPU處理正常業務的效率,增長了完成這些業務的時間。
VLAN一個非常重要的好處是在一個VLAN內的廣播包不會跑到彆的VLAN上去。通過限製一個VLAN上的設備數目,在一個VLAN上的廣播率便可受到控製。一個正常的廣播率應該平均每秒不超過30個廣播包。雖然還冇有正式的文檔宣稱,但通過現場性能監測,建議廣播不應該超出30個/秒。
網絡**
有很多時候,網管人員需要限製對本地網絡中一個或多個特彆設備的接入。如果所有的設備都在同一個廣播域內,便很難執行這種限製。通過建立多個廣播域,可以通過地址過濾和建立連接認可地址表來實現該限製。
數據包要跨越一個VLAN必須通過一個3層路由設備。這種路由設備讓網管人員可以定義設備間的接入。這種接入控製功能的使用,可以控製和監視對敏感資源設備的接入。
第3層地址管理
一個很常見的設計,是把同類型的設備,規劃在同一個IP子網。例如把打印機安排在同一個IP子網上,屬於會計部的工作站和服務器卻在另一個子網。在邏輯上這樣好像很合理,但在一個大型企業網絡上,這種構想冇有VLAN是無法實現的。
網絡資源的集中管理
假定我們把所有的打印機都規劃在一個子網上,而每一個打印機都必須在同一個廣播域裡。這樣等於需要在每一個樓層上,分彆安裝交換機。這些交換機都需要光纜和銅纜的連接,而這些打印機子網都需要連接到自己的專用路由器端口上。.
利用VLAN,可以讓打印機和網絡中的其他設備連接到同一個交換機,分享同一條互聯的電纜或光纖鏈路、同一個路由器端口。
VLAN的挑戰
采用VLAN的一個*大挑戰就是文檔備案。當您把一個設備連接到交換機時,冇有一個好辦法知道設備所連的交換機端口究竟是被設定到哪一個VLAN,或是否被設定成VLAN骨乾(Trunk)端口。在大多數的情況下,確定端口的VLAN設置隻可以通過Telnet登錄到交換機的控機台,這種過程需要用戶口令並對交換機的設置管理指令有比較深刻的了解。
當您對網絡作擴容、移動或改變時,以上的挑戰便更加明顯。例如在一個企業裡,安裝交換機時一般的策略是把頭12個端口設成VLAN23,但是實際上,網管人員可能是因為後來端口不足或是因為企業的政策推行不完善而把設定更改。無論如何,當一個設備連接到交換器的頭12個端口時,無法保證他會在VLAN23這個VLAN上。
通過VLAN透視來解決
VLAN透視選件是一個附加在OptiView集成式網絡分析儀上的選件。這個選件可以幫助網管人員應對對交換機的VLAN設定作文檔備案的挑戰。
VLAN透視選件通過 SNMP來詢問交換機的每一個端口的VLAN設置。這些訊息可以直接顯示在OptiView集成式網絡分析儀的顯示屏上或通過遙控界麵來觀看。交換機支持的每一個VLAN號都會列在顯示屏的左邊,在右邊顯示出對應的每一個VLAN號的交換機端口。
除了顯示VLAN和端口的相關性,VLAN透視選件還會顯示每個端口的VLAN配置。這對確定哪些端口被配置成骨乾端口、哪些端口被配置成接入端口是非常有用的。對骨乾端口,VLAN協議標記那些顯示的幀。這對解決兩台交換機通過VLAN骨乾連接產生的連通問題是非常有幫助的。
顯示VLAN配置信息的能力,不僅僅對分析儀所在廣播域的VLAN有效,隻要是綜合分析儀通過IP可達的任何交換機都有效。這表明VLAN透視可以顯示綜合分析儀經過很多路由器跳數以後達到的交換機VLAN配置信息。除了可以顯示VLAN配置,VLAN透視可以生成基於每一個交換機的HTML(瀏覽器格式)報告。該報告描敘交換機的現有VALN和每個VLAN的包含的交換機端口。除了顯示信息,還可以生成遠端IP子網的交換機報告。
*初的配置
VLAN23 |
1年後的配置
VLAN23 |
VLAN23 |
VLAN14 |
VLAN9 |
VLAN的其中一個優點是交換機端口很容易便可以從一個VLAN改變到另一個VLAN。由於改變太容易,大部分的改變都冇有立刻記錄下來。這也是對維護VLAN網絡、做文檔備案的*大挑戰。很多企業都需要一個簡單的方法來找出當前自己VLAN的設定情況。
VLAN*佳實踐
擁有一個健康的VLAN不能依靠僥幸。需要在腦海中有*優化性能的目標,仔細地設計和維護。如果在VLAN設計的時候就不注意,結果就是網絡會非常複雜,在故障查找和維護時都會非常困難。
確定使用VLAN的原因
使用VLAN的4個可能原因在文檔的開始已經大概做了描述:控製廣播域的範圍、網絡**、第3層地址管理、網絡資源集中管理。當設計一個VLAN的時候,這些原因都需要仔細地研究。舉例來說,如果在您的環境中,所有的用戶都需要接入所有服務器和網絡設備,**性就不再是應用VLAN的原因。
然而,如果您有語音在IP上傳送(VoIP)的應用,語音在一個VLAN上傳送,數據在另一個VLAN傳送,就是應用VLAN的一個很好的原因。通過分離這兩種類型的業務,對語音流量提供服務質量保證,減少了抖動和丟包。
使用VLAN減少路由跳數
為了把幀從一個VLAN傳遞到另一個,必須用一個3層設備進行路由。這個設備可以是一個傳統的路由器,或者是一個3層交換機。從發送者到接收者,路由器每增加一跳都會增加幀的延遲時間,這有可能造成一個性能瓶頸。
設計VLAN網絡的目的應該是把某個設備所需要的所有資源放到與該設備相同的VLAN。使用VLAN允許在保證物理層上的硬件集中的同時、保證服務器邏輯上更靠近用戶。這允許客戶設備直接通過交換網絡接入資源,而不需要通過路由器。在這種方式下,一個單獨的VLAN可以出現在一個校園網的多個交換機上,計算機室的一個服務器可以和相隔幾個建築物遠的客戶服務器是同一個VLAN。一個通常的設計是把所有服務器放在同一個VLAN。不幸的是,這要求所有的客戶至少要經過一個路由器才能接入這些服務器。在把IP地址管理變的更容易的同時,引入了額外的延遲和潛在的性能瓶頸。
保持*小的VLAN數目
有一個創建過多的不需要的VLAN的傾向。當交換機本身可以支持上千個VLAN的時候,每增加一個VLAN就會給路由器和網絡其他設備帶來額外的開銷。
這方麵的一個例子是有一個42層大樓的網絡。除了用於管理的VLAN和服務器中心的VLAN,每層都有一個自己的VLAN。該網絡運行IP和IPX協議。總共有超過2000台IPX設備在整個本地網絡,包括打印機、存儲器、時鐘服務器。
每60秒,路由器會對每個VLAN發出服務廣告協議(SAP)包。每個包包含7種服務。這導致每60秒,每個廣播域內發出286個SAP包。由於總共有46個VLAN,路由器每分鐘不得不發出超過13,000個SAP包。人們發現當路由器每分鐘發出的幀超過2000的時候,已經會給CPU帶來問題。當交換機可以支持46個VLAN的時候,我們發現路由器支持不了這麼多VLAN。
VLAN類型
把一個設備分配到一個VLAN有3鐘通常的方法:
1) 基於端口的VLAN
2) 基於協議的VLAN
3) 基於MAC的VLAN
基於端口的VLAN
基於端口的VLAN,一個交換機端口可以手工地配置到某個指定的VLAN。任何連接到這個端口的設備就和該VLAN中的所有其他的交換端口處於同一個廣播域。
基於端口的VLAN的挑戰是每個VLAN中有哪些端口的文檔備案。VLAN的成員信息並冇有顯示在交換機端口的外麵。確定VLAN成員不能夠僅僅通過查看交換機物理端口。隻有通過查看配置信息采可以確定成員。
基於協議的VLAN
基於協議的VLAN,是通過區分承載數據所用的3層協議來確定VLAN的成員。然而這需要工作在一個多類型協議的環境下,在一個主要以IP為基礎網絡,這種方法不是特彆實用。
基於MAC的VLAN
基於端口的VLAN的一個問題是,當一個設備從交換機某個端口移走後,該交換機端口又接入了一個新的設備,新設備會進入原來的那個VLAN。在前麵打印機VLAN的例子裡,如果一台打印機從該端口移走了,該端口又接入了一台財務服務器。財務服務器就和打印機服務器進入同一個VLAN了。這將會限製對財務服務器的接入,不得不重新分配網絡資源。
基於MAC的VLAN可以解決上麵的這個問題,VLAN的成員是基於設備的MAC地址,而不是交換機的物理端口。如果一個設備從交換機的一個端口移到另外一個,該設備屬於哪一個VLAN,還是由設備來決定的。
基於MAC的VLAN可以解決上麵的這個問題,VLAN的成員是基於設備的MAC地址,而不是交換機的物理端口。如果一個設備從交換機的一個端口移到另外一個,該設備屬於哪一個VLAN,還是由設備來決定的。
不幸的是,用MAC地址來確定VLAN耗費時間,而且現在使用的很少。
VLAN標簽
VLAN標簽用來指示VLAN的成員,它封裝在能夠穿越局域網的幀裡。這些標簽在數據包進入VLAN的某一個交換機端口的時候被加上,在從VLAN的另一個端口出去的時候被去除。根據VLAN的端口類型會決定是給幀加入還是去除標簽。VLAN中的兩類接口類型是指接入端口和骨乾端口。
接入端口
接入端口用在幀接入或者離開VLAN時。當接入端口收到一個幀的時候,幀並冇有包含一個VLAN標簽。一旦幀進入接入端口,會給幀加入VLAN標簽。
當幀在交換機裡麵的時候,附著進入接入端口時被附上的VLAN標簽。當幀通過目的接入端口離開交換機的時候,VLAN標簽就被去除了。傳輸設備和接收設備並不知道收到的幀曾經被加過VLAN標簽。
骨乾端口
網絡中包含多於一個交換機的時候,必須把VLAN標簽的幀從一個交換機傳到另一個交換機。骨乾端口和接入端口的區彆是骨乾端口在傳出幀之前,不會去除VLAN的標簽。保留了VLAN標簽,接收交換機就能知道傳輸幀屬於哪一個VLAN。幀就可以傳送到接收交換機的合適端口。
VLAN標簽技術
每一個VLAN標記幀包含指明自身所屬VLAN的字段。有兩種種主要的VLAN標簽格式,思科公司的Inter-SwithLink(ISL)格式和標準的802.1Q格式。
思科ISL
Inter-SwithLink(ISL)格式是思科私有VLAN標簽格式。在使用的時候,VLAN標簽在每個幀的頭部增加26字節信息,在幀尾部附加4字節CRC。標簽的格式如下:
DA | 目的地址:包括一個廣播地址0x01-00-0C-00-00或者是0x03-00-0c-00-00 |
TYPE | 類型:指明承載封裝幀所用的技術 |
USER | 用戶:4比特域,指明用戶幀被分配的優先級 |
SA | 源地址:正在傳送這個ISL幀的交換機端口的MAC地址 |
LEN | 封裝幀的長度。該長度不包括ISL頭和ISL FCS的長度 |
AAA03 | 恒定值域 |
HSA | 源地址的高位比特-必須是0x00-00-0c |
VLAN | 15比特域,用來指示VLAN成員 |
BPDU | 1比特域。如果封裝的幀是802.1D SpanningTree橋接協議數據單元的話,就置1 |
INDEX | 包含傳送數據包的交換機的端口索引 |
RES | 為令牌環和FDDI封裝幀保留的域 |
ENCAP Frame | 交換機接入口接收到的完全未更改的原始數據幀 |
FCS | ISL幀的幀校驗 |
基於802.1Q標準的標簽
ISL是思科公司的私有格式,而802.1Q是IEEE的標準格式。802.1Q標準允許VLAN標記幀可以在不同廠家的交換機之間傳遞。802.1Q標簽比ISL標簽包含更少的域,是插入幀而不是放入幀頭。
DA | 幀的目的地址。這個地址在幀被打上標簽或者未被打上標簽的時候是一樣的。 |
SA | 幀的源地址。這個地址在幀被打上標簽或者未被打上標簽的時候是一樣的。 |
8100 | 恒定值域,指明這個幀包含一個802.1QVLAN標簽 |
Priority | 3比特域,用戶優先級定義 |
CFI | 規範格式指示——1比特的域用來指示是否包含VLAN標簽。*初用在令牌環網絡 |
VLAN | 12比特的域用來識彆標記幀屬於哪一個VLAN。 |
Ethertype | 標簽幀的3層協議 |
Data | 標記幀的數據部分 |
FCS | 用來確認幀的完整性的幀校驗 |
維護VLAN
一個網絡使用VLAN後一個*大的挑戰就是對穿過多個交換機的VLAN的配置維護。冇有一個集中的方法配置和維護VLAN信息,網絡管理員必須對每一個交換機進行獨立的VLAN配置。思科公司開發了一種VLANTrunk協議來幫助克服這些缺點。
VTP——VLAN Trunk協議
VLANTruank協議允許在一個單獨的設備(VTP服務器)上配置VLAN,並把配置信息通過交換網絡傳遞出去。這減少了管理VLAN需要的總時間。
在一個VTP環境裡,一台交換機可以是以下3種不同的角色之一。可以是一台VTP服務器、一台VTP客戶機、或者工作在透明模式。角色決定了交換機在VLAN網絡中被如何配置。
VLANTrunk協議有支持多個VTP域的能力。每個VTP域的客戶交換機從該域的VTP服務器接收自身的配置信息。在同一個本地網絡可以有多個VTP域。
VTP服務器
VTP服務器是每個VTP域的根本。服務器是VTP域內**的可以增加、刪除、重命名VLAN的交換機。當一台未經配置的思科交換機**次上電開機的時候,它的默認模式是服務器模式。我們必須把它該成客戶機或者透明模式。
VTP服務器周期性地廣播VTP域名、VLAN配置,提供現行的配置修改號。這個修改號是VTP域的一部分,它確保VTP域內的所有交換機有現行的、正確的VLAN配置信息。
當VLAN在VTP服務器上被創建的時候,和其他VLAN配置信息一起存儲在服務器的NVRAM(存儲單元)。當交換機重啟的時候,配置信息還是被保留。
VTP客戶模式
VTP客戶交換機從VTP服務器接收所有客戶交換機的配置信息。客戶交換機不能刪除、添加、重命名VLAN。當客戶交換機加入一個新的VLAN,VLAN必須被添加到VTP服務器上麵去。這樣新的VLAN才能傳遞到所有的客戶交換機。當新的VLAN增加後,客戶交換機上的端口會關聯到新的VLAN。
類似VTP服務器,客戶交換機在NVRAM(存儲單元)存儲VLAN配置。然而,不像VTP服務器,當客戶交換機重啟的時候,所有的VLAN配置信息丟失了。交換機啟動完成後,需要發送一條VTP請求消息給VTP服務器,來獲取現行的VLAN配置。
VTP透明模式
VTP透明交換機和VTP客戶交換機不同,VLAN可以在這些交換機上手工配置。如果配置為VTP域的一部分,他們可以從VTP服務器接收VLAN配置信息。然而,他們不會通知VTP域本地配置的VLAN。
配置成透明模式的交換機還是會收到VTP配置幀並傳遞這些幀到所有的骨乾端口。這允許VTP客戶交換機可以連接到一個VTP透明交換機。客戶交換機透過透明交換機還是可以和VTP服務器交換VLAN配置信息。
VTP數據幀
用來配置和維持VTP域的數據幀可以封裝成802.1Q或者ISL幀格式。VTP使用一個保留的廣播地址做為所有幀的目的地。這個廣播地址0x01-00-00-0C-CC-CC-CC伴隨著一個子網接入協議(SNAP)的邏輯鏈路控製(LLC)碼,和一個在SNAP頭的2003類型碼。每個數據幀包含一個VTP頭和VTP消息類型。(注意在下麵的描述中,隻是顯示了VTP消息格式,而不是整個以太網幀的格式。)
有3種類型的VTP消息:
1) summary(摘要)
2) Subset(子集)
3) Request(請求)
Summary(摘要)幀
摘要幀可以是VTP服務器或者VTP客戶機發出的,每5分鐘一次或者當VTP域發生改變後立即發出。摘要廣播包括VTP域的基本信息和配置的修改情況。摘要幀可能跟隨著許多的詳細的描述幀——子集(Subset)幀。
摘要幀格式如下所示。
Version | VTP版本號 |
Code | 消息類型 |
Followers | 在這個摘要幀後麵跟隨的子集幀(subset)數目 |
Management domain length | 管理域名字的長度 |
Management domain name | VTP域的名字 |
Configuration revisionnumber | 現在的VTP配置的修改號碼。該號碼從0開始,當VTP配置每次有改變的時候加1遞增 |
Update identity | 促使*近一次配置修改號碼更新設備的IP地址 |
Update timestamp | 收到*近一次配置修改號碼更新的時間 |
MD5 digest | 所有VLAN信息和密鑰的MD5域 |
子集幀(Subset)
子集幀用來提供VTP域內每個VLAN的詳細信息。子集幀可以是對VTP請求幀的響應,或者當配置改變時發出(和摘要幀一起發出)。
Version | VTP版本號 |
Code | 指出消息類型 |
Sequence Number | 指出在這個摘要幀後麵跟隨的子集幀(subset)數值 |
Management domain length | 管理域名字的長度 |
Management domain name | VTP域的名字 |
Configuration revisionnumber | 現在的VTP配置的修訂號碼。該號碼從0開始,當VTP配置每次有改變的時候加1遞增 |
VLAN info | 每個VLAN的消息域,包含VLANID(標識符)的詳細信息 |
請求幀(Request)
當以下的情況之一發生時,VTP客戶機發送請求幀(Request)到VTP服務器:
l VTP域名字改變
l VTP客戶交換機收到一個配置修改號碼更高的摘要廣播消息
l 丟失了一條子集幀
l 交換機重啟
VTP服務器將用一條摘要幀和能夠滿足請求的若乾條子集幀的進行響應。
Version | VTP版本號 |
Code | VTP廣播消息類型 |
Reserved | 保留域 |
Management domain length | 管理域名字的長度 |
Start Value | 被請求消息的**個VLAN的VLANID(標識符)。VTP服務器將響應所有大於或者等於開始值VLAN消息的子集幀。如果開始值被指定為0,將會提供所有VLAN的消息 |
結論
由於VLAN技術的使用非常普遍,設計和維護網絡時必須考慮VLAN的存在。我們豐富的經驗和工具將幫助您搭建和保持VLAN網絡的健康。
網絡工程師和經理首先需要理解VLAN在網絡中是如何工作的,學會好的文檔習慣來有效地優化VLAN性能和解決故障。采用類似OptiView集成網絡分析儀Vlan透視性選件這樣專門為收集、顯示VLAN詳細信息而設計的先進工具,才能夠大大地減少設備開銷和故障查找解決時間。VLAN透視選件通過提供可以支持下一步行動的準確信息,助網絡經理一臂之力,把那些原來需要花費大量的時間和資源才能解決的難題,快速定位出來並排除。