VLAN中的路由器與交換機(jī)角色的改變

VLAN(虛擬局域網(wǎng))的出現(xiàn)無疑對(duì)網(wǎng)絡(luò)管理員來說是一個(gè)福音。因?yàn)槲覀兛梢詰{借虛擬局域網(wǎng)輕松的實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)進(jìn)行分段，隔離廣播域，提高網(wǎng)絡(luò)性能;同時(shí)，對(duì)各個(gè)機(jī)要部門進(jìn)行隔離，提高其安全性。最重要的是，實(shí)現(xiàn)這些需求都是非常廉價(jià)的。

虛擬局域網(wǎng)可以根據(jù)網(wǎng)絡(luò)工作組的功能、項(xiàng)目組成或者部門構(gòu)成來劃分，而不用考慮具體的地理位置。簡單的說，在一幢辦公樓里四樓跟五樓的研發(fā)部門可以在同一個(gè)虛擬局域網(wǎng)內(nèi)。如此可見，可以非常廉價(jià)的實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)進(jìn)行分段從而提高網(wǎng)絡(luò)的安全性能以及減少?zèng)_突的發(fā)生。虛擬局域網(wǎng)可以將用戶與終端設(shè)備分成一個(gè)邏輯段，然后通過虛擬局域網(wǎng)交換機(jī)把這些邏輯段組成了一個(gè)交換網(wǎng)絡(luò)。交換機(jī)的每一個(gè)端口都可以連接一個(gè)獨(dú)立的局域網(wǎng)。分配給同一個(gè)虛擬局域網(wǎng)的端口共享廣播域，不同虛擬局域網(wǎng)的端口不共享廣播域。如此的話，就可以利用虛擬域網(wǎng)來實(shí)現(xiàn)對(duì)廣播域的隔離，從而廉價(jià)的提高網(wǎng)絡(luò)性能，避免一些常見的如DDOS攻擊，提高網(wǎng)絡(luò)的安全性。

所以說，虛擬局域網(wǎng)的出現(xiàn)改變了我們網(wǎng)絡(luò)管理員的工作方式;同時(shí)，使得路由器與交換機(jī)的角色也發(fā)生了一定的轉(zhuǎn)變。

網(wǎng)絡(luò)管理員了解這些改變后，有利于我們做好虛擬局域網(wǎng)的設(shè)計(jì)與管理。那么下面我們就來看看具體有哪些改變呢?

一、 虛擬局域網(wǎng)中路由器角色的轉(zhuǎn)變

在傳統(tǒng)的局域網(wǎng)中，路由器一般只提供防火墻、路由處理與分配、廣播管理等等。但是，在虛擬局域網(wǎng)中路由器的職責(zé)與傳統(tǒng)的局域網(wǎng)所擔(dān)負(fù)的任務(wù)發(fā)生了明顯的改變，或者說，內(nèi)涵有了衍生。最主要的一點(diǎn)區(qū)別就是，虛擬局域網(wǎng)中的路由器還要承擔(dān)起在工作組之間提供信息轉(zhuǎn)發(fā)的功能。路由器在虛擬局域網(wǎng)中主要提供兩方面的功能，一是為虛擬局域網(wǎng)中的用戶提供訪問共享資源的功能;二是幫助各個(gè)虛擬局域網(wǎng)之間進(jìn)行通訊。

我們都知道，虛擬局域網(wǎng)的主要作用就是把企業(yè)的局域網(wǎng)分割成相互獨(dú)立的幾塊，就相當(dāng)于是不同的局域網(wǎng)一樣。而若沒有路由器的幫助，這些工作組之間是不能夠相互通信的。也就是說，銷售部門與財(cái)務(wù)部門之間若分處與兩個(gè)不同的虛擬局域網(wǎng)之間，若沒有路由器的幫助，他們相互之間就不能夠進(jìn)行通信。

另外路由器還為虛擬局域網(wǎng)的用戶提供了訪問一些共享資源，如服務(wù)器的路徑�，F(xiàn)在的應(yīng)用軟件大部分是服務(wù)器/客戶端或者服務(wù)器/瀏覽器模式。服務(wù)器的訪問量特別大，對(duì)于大部分企業(yè)來說，服務(wù)器的訪問效率是企業(yè)網(wǎng)絡(luò)應(yīng)用的瓶頸。所以，若能夠提高服務(wù)器的訪問性能的話，無疑可以提高整體的網(wǎng)絡(luò)執(zhí)行效率。而這其中比較有效的方式就是把服務(wù)器隔離，減少廣播，從而提高服務(wù)器的網(wǎng)絡(luò)運(yùn)行效率。而現(xiàn)在若把服務(wù)器與其它的工作組分成兩個(gè)虛擬局域網(wǎng)，無疑減少廣播沖突，提高網(wǎng)絡(luò)的運(yùn)行性能。但是，現(xiàn)在的問題是服務(wù)器與工作組若處于不同的虛擬局域網(wǎng)的話，則企業(yè)的員工就無法正常訪問服務(wù)器。為此，我們還必須要路由器的幫助，讓路由器提供對(duì)這些服務(wù)器的訪問路徑。

在實(shí)際工作中，我們網(wǎng)絡(luò)管理員可以通過一條或者多條高速主干線路經(jīng)濟(jì)的將路由器連接到虛擬局域網(wǎng)中。在路由器的幫助下，虛擬局域網(wǎng)不僅提供了邏輯分段的功能，而且大幅度的提高了網(wǎng)絡(luò)的性能與安全性�；蛘哒f，虛擬局域網(wǎng)與路由器的結(jié)合，是雙方取長補(bǔ)短的一個(gè)過程。

采用了虛擬局域網(wǎng)與路由器的公司網(wǎng)絡(luò)，能夠提高路由器與交換機(jī)之間的信息吞吐量。因?yàn)槲覀兌贾�道，以太網(wǎng)中一個(gè)數(shù)據(jù)包會(huì)發(fā)送到所有局域網(wǎng)中的主機(jī)上。這無疑會(huì)增加局域網(wǎng)中路由器與交換機(jī)端口的工作壓力。而現(xiàn)在有了虛擬局域網(wǎng)，則數(shù)據(jù)包會(huì)在一個(gè)最小范圍內(nèi)進(jìn)行轉(zhuǎn)發(fā)，從而不會(huì)讓無用的數(shù)據(jù)包占用路由器與交換機(jī)寶貴的端口帶寬。這就從另一方面提高了路由器與交換機(jī)的信息吞吐量。另外，在路由器的幫助下，還可以強(qiáng)化虛擬局域網(wǎng)中所有物理端口的通信能力與控制能力。

二、 虛擬局域網(wǎng)中交換機(jī)角色的轉(zhuǎn)變

交換機(jī)是虛擬局域網(wǎng)中的核心網(wǎng)絡(luò)設(shè)備之一，交換機(jī)作為終端設(shè)備進(jìn)入到虛擬局域網(wǎng)中，它是 信息在虛擬局域網(wǎng)中傳輸?shù)娜肟�，在虛擬局域網(wǎng)中有著至關(guān)重要的作用�？梢院翢o夸張的說，沒有交換機(jī)的存在，也就沒有虛擬局域網(wǎng)的存在。

傳統(tǒng)的交換機(jī)一般沒有網(wǎng)路分段的功能。也就是說，一個(gè)交換機(jī)上的所有端口都是在同一個(gè)局域網(wǎng)中。但是，隨著虛擬局域網(wǎng)技術(shù)的出現(xiàn)，使得一個(gè)交換機(jī)上的網(wǎng)絡(luò)端口也可以屬于不同的網(wǎng)絡(luò)段。換句話說，可以利用交換機(jī)，結(jié)合虛擬局域網(wǎng)技術(shù)，來實(shí)現(xiàn)網(wǎng)絡(luò)的分段。

若支持虛擬局域網(wǎng)技術(shù)的交換機(jī)，他們可以依據(jù)我們網(wǎng)絡(luò)管理員預(yù)先設(shè)定的規(guī)則，根據(jù)數(shù)據(jù)楨來知道能的決定是過濾這個(gè)數(shù)據(jù)包呢，還是轉(zhuǎn)發(fā)這個(gè)數(shù)據(jù)包。若是轉(zhuǎn)發(fā)的話，會(huì)講數(shù)據(jù)轉(zhuǎn)發(fā)給網(wǎng)絡(luò)中的其他交換機(jī)或者路由器。一把來說，交換機(jī)過濾數(shù)據(jù)最常用的方法包括楨過濾與楨表標(biāo)記。這兩種方法交換機(jī)都會(huì)對(duì)通過其的數(shù)據(jù)包進(jìn)行分析，并結(jié)合我們預(yù)先定義的虛擬局域網(wǎng)規(guī)則，然后決定是轉(zhuǎn)發(fā)還是過濾。最重要的是，這些工作都可以實(shí)現(xiàn)集中管理，并且很容易就被應(yīng)用到企業(yè)局域網(wǎng)中。

采用楨過濾方法的交換機(jī)會(huì)檢查經(jīng)過這個(gè)交換機(jī)的所有楨信息。并且，在每一臺(tái)交換機(jī)中都有一個(gè)過濾表。如此的話，交換機(jī)就可以靈活的控制數(shù)據(jù)的轉(zhuǎn)發(fā)，提供一種比較高層次的管理控制。如我們可以根據(jù)終端用戶的IP地址、MAC地址、以及網(wǎng)絡(luò)層協(xié)議等等將企業(yè)局域網(wǎng)分解成不同的段。當(dāng)數(shù)據(jù)包在這個(gè)交換機(jī)進(jìn)行轉(zhuǎn)發(fā)的時(shí)候，交換機(jī)就會(huì)結(jié)合數(shù)據(jù)楨的相關(guān)信息，參照內(nèi)部的過濾表，然后決定相關(guān)的操作。不過這種處理機(jī)制是比較早期的處理方法，由于交換機(jī)要對(duì)通過其的所有數(shù)據(jù)楨都進(jìn)行類似的檢驗(yàn)、判斷、處理過程，所以，采用這種模式的話，其虛擬局域網(wǎng)的運(yùn)行效率并不是很高。所以，在早期的時(shí)候，企業(yè)即使采用了虛擬局域網(wǎng)，也不會(huì)感覺到局域網(wǎng)性能有什么提升。

現(xiàn)在很多虛擬局域網(wǎng)交換機(jī)其采用的是楨標(biāo)記的方法。當(dāng)楨在網(wǎng)路主干線路上轉(zhuǎn)發(fā)的時(shí)候，會(huì)在每一楨的頭部加上一個(gè)唯一的標(biāo)識(shí)。虛擬局域網(wǎng)交換機(jī)在將這個(gè)楨進(jìn)行轉(zhuǎn)發(fā)的時(shí)候，如廣播給其他的交換機(jī)、路由器或者其他中斷設(shè)備之間，都會(huì)對(duì)這個(gè)標(biāo)記進(jìn)行檢查。當(dāng)楨離開這個(gè)主干線路的時(shí)候，或者說，當(dāng)數(shù)據(jù)楨離開虛擬局域網(wǎng)交換機(jī)的時(shí)候，都會(huì)清除這個(gè)標(biāo)識(shí)。也就是說，其他設(shè)備不用對(duì)這個(gè)標(biāo)識(shí)進(jìn)行檢查。因?yàn)樵诰W(wǎng)絡(luò)協(xié)議的第二層對(duì)楨進(jìn)行檢查，其好用的資源是比較少的，對(duì)網(wǎng)絡(luò)性能的影響也是非常有限。另外，這種方法還提供了比較好的靈活性，在后續(xù)網(wǎng)絡(luò)升級(jí)的時(shí)候，也可以很好的實(shí)現(xiàn)。所以，在大型的企業(yè)網(wǎng)絡(luò)中，我還是建立采用楨過濾方法的虛擬局域網(wǎng)交換機(jī)�，F(xiàn)在這種技術(shù)已經(jīng)被IEEE組織所采用。

可見，虛擬局域網(wǎng)的出現(xiàn)，擴(kuò)大了交換機(jī)的應(yīng)用范圍，讓交換機(jī)從傳統(tǒng)的數(shù)據(jù)轉(zhuǎn)發(fā)，到現(xiàn)在對(duì)局域網(wǎng)進(jìn)行智能分段的過渡。這是一個(gè)交換機(jī)質(zhì)的改善，大大提高了交換機(jī)的性價(jià)比。

最后筆者要提醒大家，雖然虛擬局域網(wǎng)管理比較靈活，但是，其具體的靈活程度也是跟虛擬局域網(wǎng)的設(shè)計(jì)以及所采用的設(shè)備緊密相關(guān)的。為了提高虛擬局域網(wǎng)的靈活性與可升級(jí)性，我們在設(shè)計(jì)虛擬局域網(wǎng)的時(shí)候，就要多采用動(dòng)態(tài)的虛擬局域網(wǎng);而在采用端口為中心的虛擬局域網(wǎng)或者靜態(tài)的虛擬局域網(wǎng)的時(shí)候就要慎重。相對(duì)來說，動(dòng)態(tài)虛擬局域網(wǎng)的靈活性與可擴(kuò)展性要比后面的兩者高，但是，其安全性卻比其他兩種方式要差一點(diǎn)。相反，采用以端口為中心的虛擬局域網(wǎng)或者靜態(tài)的虛擬局域網(wǎng)其在靈活性與擴(kuò)展性上稍有不足，但是，在安全性上，卻要略勝一籌。所以，企業(yè)在設(shè)計(jì)虛擬局域網(wǎng)的時(shí)候，還需要在這里取得一個(gè)均衡點(diǎn)。根據(jù)筆者的建議，對(duì)于擴(kuò)展性的企業(yè)，最好還是采用動(dòng)態(tài)的虛擬局域網(wǎng)為好。因?yàn)楦鶕?jù)筆者這么多年的工作經(jīng)驗(yàn)，對(duì)于一些正在成長的企業(yè)來說，其可能經(jīng)常需要調(diào)整組織結(jié)構(gòu)。所以，這種成長行的企業(yè)，對(duì)于網(wǎng)絡(luò)應(yīng)用的靈活性要求比較高。