虛擬局域網(wǎng)技術(shù)VLAN的管理與測試

　　目前，交換機在網(wǎng)絡(luò )市場(chǎng)上占據了主導地位，其中原因是：首先是交換機性?xún)r(jià)比高，其次是結構靈活， 可以隨著(zhù)未來(lái)應用的變化而靈活配置。
　　
　　數字最能說(shuō)明問(wèn)題。在有一個(gè)100Mbps上行鏈路的交換機里，每個(gè)10Mbps受控交換機端口的成本為100美元。 路由選擇技術(shù)并不真正按給每個(gè)端口分配一個(gè)用戶(hù)的方式來(lái)分段網(wǎng)絡(luò )，每個(gè)路由器端口的成本至少是交換機端口的三四倍， 因而管理負擔大得驚人。盡管用路由器分段的網(wǎng)絡(luò )只有TCP/IP通信量，但由于成本高，性能不高，子網(wǎng)太多，并且配置工作量大， 所以很快就行不通了。相比而言，交換機和集線(xiàn)器一樣，是即插即用設備。目前正在出現具有“自學(xué)”功能的路由選擇設備， 采用所支持的協(xié)議自動(dòng)配置端口。在缺省情況下，純交換網(wǎng)絡(luò )是平面網(wǎng)絡(luò )。如果每個(gè)節點(diǎn)都有自己的交換端口， 網(wǎng)絡(luò )就很難發(fā)生爭用情況，即入站通信量與節點(diǎn)的出站通信量發(fā)生資源爭用，反之亦然。相比而言，在傳統的共享網(wǎng)段或者環(huán)里， 每個(gè)節點(diǎn)的吞吐量隨著(zhù)節點(diǎn)的增多而下降，例如有25個(gè)節點(diǎn)的10BaseT網(wǎng)絡(luò )只能給每個(gè)節點(diǎn)平均提供400Kbps帶寬， 而有專(zhuān)業(yè)交換端口的節點(diǎn)卻擁有10Mbps吞吐量。
　　
　　一般被節點(diǎn)用于做廣告或者尋找目前未知的廣播技術(shù)可大大提供這種網(wǎng)絡(luò )的吞吐量， 而通常的單址廣播幀只能廣播到一個(gè)目的地節點(diǎn)和中間交換端口。自從網(wǎng)橋流行的那一天起， 我們就知道我們實(shí)際上并不希望有數千個(gè)節點(diǎn)的廣播域，因為廣播風(fēng)暴無(wú)法預測且難以控制。
　　
　　把平面網(wǎng)絡(luò )變成較小的廣播域，無(wú)異于使交換網(wǎng)絡(luò )變成一種豐富多彩的調色板。與其用路由器定義任意大小的子網(wǎng)， 倒不如用交換機建立VLAN?！　?/p>本文引用地址：http://dyxdggzs.com/article/201706/357626.htm

VLAN的管理

　　VLAN與交換網(wǎng)絡(luò )密不可分，但實(shí)施VLAN要重新定義管理環(huán)境。VLAN定義的邏輯域涉及網(wǎng)絡(luò )里的可能視圖， 因而網(wǎng)絡(luò )管理平臺可顯示IP圖像，有時(shí)還會(huì )顯示基于IPX的圖像。如果部署VLAN，其拓撲可能與上述視圖不匹配。 當VLAN部署完畢之后，你很可能對根據逐個(gè)VLAN監視通信量并生成警報這一點(diǎn)感興趣。
　　
　　在目前，大多數基于交換機的VLAN是專(zhuān)用的。IEEE 802.1P委員會(huì )開(kāi)發(fā)出一種多址廣播標準， 使VLAN成員可以在取消VLAN廣播抑制任務(wù)的情況下通信。在可互操作的軟件和硬件里實(shí)現上述標準之前， VLAN配置仍將要求維護單一供應商交換機環(huán)境。
　　
　　即使在單一供應商VLAN里，網(wǎng)絡(luò )管理也是一種挑戰， 例如檢查VLAN對話(huà)要求管理軟件處理的統計信息不同于檢查常見(jiàn)的LAN或IP子網(wǎng)對話(huà)： RMON MIB和RMON-2 MIB分別提供確定LAN和子網(wǎng)信息的框架，而VLAN配置必須定義自己的MIB， 或者配置如何根據其他MIB獲得上述信息。此外，為了提供連貫的VLAN行為特性圖，管理軟件要收集并合并來(lái)自多個(gè)RMON檢測器的數據。
　　
　　如果上述問(wèn)題很?chē)乐?，就要考慮捕捉多交換機VALN數據的地方只限于中間交換機鏈路或者主干網(wǎng)。在大型網(wǎng)絡(luò )里， 主干幾乎都在100Mbps以上，高速控制器的部署與常見(jiàn)VLAN不一樣，而且成本很高。

VLAN的配置

　　如果根據交換機端口定義VLAN，通常很容易用某種拖放軟件把一個(gè)或多個(gè)用戶(hù)分配到特定的VLAN。在非交換環(huán)境里，移動(dòng)、 添加或更改操作很麻煩，有可能要改動(dòng)接線(xiàn)板上的跳線(xiàn)充一個(gè)集線(xiàn)器端口移動(dòng)到另一個(gè)端口。然而，改動(dòng)VLAN分配仍然要靠人工進(jìn)行： 在大型網(wǎng)絡(luò )里，這樣做很費時(shí)，因而很多聯(lián)網(wǎng)供應商鼓吹采用VLAN可以簡(jiǎn)化移動(dòng)、添加和更改操作。

　　基于MAC地址的VLAN分配方案確實(shí)可使某些移動(dòng)、添加和更改操作自動(dòng)化。 如果用戶(hù)根據MAC地址被分配到一個(gè)VLAN或多個(gè)VLAN， 他們的計算機可以連接交換網(wǎng)絡(luò )的任何一個(gè)端口，所有通信量均能正確無(wú)誤地到達目的地。顯然，管理員要進(jìn)行VLAN初始分配， 但用戶(hù)移動(dòng)到不同的物理連接不需要在管理控制臺進(jìn)行人工干預；例如有很多移動(dòng)用戶(hù)的站， 他們并非總是連接同一端口――或許因為辦公室都是臨時(shí)性的，采用基于MAC地址的VLAN可避免很多麻煩。
　　
　　傳統的Layer3技術(shù)怎么樣呢？這里離開(kāi)VLAN最近的是IP子網(wǎng)：每個(gè)子網(wǎng)需要一個(gè)路由器端口， 因為通信量只能通過(guò)一個(gè)路由器從一個(gè)子網(wǎng)移動(dòng)到另一個(gè)子網(wǎng)。由于IP32位地址提供的地址空間很有限，所以很難分配子網(wǎng)地址， 還有看你是否熟悉二進(jìn)制算法。因此，在IP網(wǎng)絡(luò )里執行移動(dòng)、添加和更改操作很困難，速度慢，容易出錯，而且費用大。另外， 在公司更換ISP或者采用新安全策略時(shí)，可能有必要重新編號網(wǎng)絡(luò )，這對于大型網(wǎng)絡(luò )來(lái)說(shuō)是無(wú)法想像的。
　　
　　實(shí)際上，如果有人采用現有的有子網(wǎng)的路由IP網(wǎng)絡(luò )，并根據IP地址訪(fǎng)問(wèn)任意VLAN成員，路由器就可能會(huì )被不必要的通信量淹沒(méi)。
　　
　　如果很多子網(wǎng)里都有VALN成員，常用的VLAN廣播必須通過(guò)路由器才能達到所有成員。此外， 糟糕的是廣域鏈路會(huì )生成額外廣播通信量；有WAN連接服務(wù)的VLAN成員數通常應該保持在最低水平。實(shí)際上， 基于Layer3地址的VLAN成員值有可能在增強和修改現有子網(wǎng)分布方面很有用，例如可通過(guò)一個(gè)全子網(wǎng)給VLAN添加兩個(gè)新節點(diǎn)， 或者可用兩個(gè)子網(wǎng)組成一個(gè)VLAN而無(wú)須重新編號。
　　
　　Cabletron的SecureFast Virtual Networking Layer3交換技術(shù)采用路由服務(wù)器模型而不是傳統的路由選擇模型。 第一個(gè)信息包傳送到路由服務(wù)器進(jìn)行常規路由計算，但交換機能記憶路徑，因而后續信息包可在Layer2交換，而無(wú)須查對路由表。 由于有了基于純Layer3地址的VLAN，所以IP地址可以作為通用網(wǎng)絡(luò )ID，允許任何人連接任何數據鏈路，從而獲得全網(wǎng)絡(luò )訪(fǎng)問(wèn)， 大大簡(jiǎn)化移動(dòng)、添加和更改任務(wù)。
　　　　
　　但是，還有其他方法解決IP子網(wǎng)引起的管理問(wèn)題。DHCP（動(dòng)態(tài)主機配置協(xié)議）已經(jīng)在連接時(shí)給用戶(hù)分配地址的其他技術(shù)， 都可用于解決上述問(wèn)題。

VLAN的測試

　　傳統上，共享介質(zhì)如Ethernet沖突網(wǎng)段或者令牌環(huán)，已經(jīng)成為網(wǎng)絡(luò )管理的級別單元， 連接網(wǎng)段或環(huán)任何地方的協(xié)議分析儀都可捕捉所以節點(diǎn)自己發(fā)生的所有對話(huà)。集線(xiàn)器的SNMP代理捕捉整個(gè)網(wǎng)段通信量， 錯誤和廣播統計信息。RMON檢測器（一種網(wǎng)絡(luò )監視器或手持式故障排除設備）可檢測共享介質(zhì)發(fā)生的所有重大事件。 這些設備提供測試手段即基本數據捕捉作業(yè)，旨在有效管理網(wǎng)絡(luò )。
　　
　　交換網(wǎng)絡(luò )必須裝備類(lèi)似的工具。網(wǎng)絡(luò )數或者環(huán)數成倍增加，因而必備的設備也相應地成倍增加。對于老式10BaseT來(lái)說(shuō)， 大多數獨立RMON檢測器的價(jià)格比較昂貴。
　　
　　同時(shí)，任何網(wǎng)段的通信量都可能只有一個(gè)源和一個(gè)目的地，使問(wèn)題分析變得很困難。即使是很簡(jiǎn)單的問(wèn)題， 如觀(guān)察廣播是否正確無(wú)誤地傳送到VLAN成員，而不傳送到其他節點(diǎn)，也要把協(xié)議分析儀和一個(gè)三端口中繼器連接到VLAN的每個(gè)網(wǎng)段上。
　　
　　但情況并非很糟糕。常用的連接部件如NIC，連接器，電纜和端口可用以前的方法測試，它們并不受交換結構的影響。服務(wù)器，路由器， 打印機和工作站發(fā)生的問(wèn)題可能會(huì )很難解決。如何路由器采用NetBIOS橋結VLAN不當，可以從VLAN里的任何一個(gè)節點(diǎn)診斷出來(lái)。 其他問(wèn)題如沖突，應該可以消除掉，因為介質(zhì)不再是共享介質(zhì)，或者共享程度不象以前那么高。
　　
　　針對交換網(wǎng)絡(luò )測試設備不足的問(wèn)題，交換機供應商做了很多工作。很多交換機都可配置一個(gè)監視端口， 以便連接協(xié)議分析儀或者其他監視器。在有的交換機里，可以配置監視端口檢查任何兩個(gè)端口之間的通信量。在少數基于底板的交換機里， 監視端口可用于捕捉交換機傳送的所有通信量。這些監視工作可以通過(guò)神奇的電子技術(shù)來(lái)實(shí)現，而不影響交換機的性能， 如果你的交換機沒(méi)有監視端口，并且每個(gè)端口都沒(méi)有RMON，就不能執行監視作業(yè)，即使可以執行也很難且代價(jià)昂貴。因此購買(mǎi)交換機必須考慮它有沒(méi)有監視端口。
　　
　　另外，很多交換機供應商還為每個(gè)端口配備了RMON代理。如果基本的交換機硬件沒(méi)有集成RMON設備，它不會(huì )削弱系統的總體性能。

結束語(yǔ)

　　大供應商旨在支持基于端口、MAC地址和Layer3地址建立VLAN。也有一種說(shuō)法是支持基于應用的VLAN成員， 從而壓縮視頻或音頻數據流的多址廣播支持。當VLAN定義很豐富而且靈活的時(shí)候，其他令人感興趣的管理服務(wù)才可能走向成熟。 特別地，管理員再也不必為了建立VLAN成員而把一個(gè)圖標拖到一個(gè)映象上去，VLAN可采用策略管理動(dòng)態(tài)定義。
　　
　　隨著(zhù)可動(dòng)態(tài)定義的VLAN產(chǎn)品和方案的推出和實(shí)施，配置和管理網(wǎng)絡(luò )節點(diǎn)所面對的挑戰也將發(fā)生根本性的轉變。 對于陷于沉重管理事務(wù)的管理員來(lái)說(shuō)，VLAN似乎并不能改變他們的窘境，因為他們必須忘卻某些基于路由器的聯(lián)網(wǎng)原理。 但無(wú)論如何，每個(gè)管理員都將要面對交換式網(wǎng)絡(luò )，而VLAN是實(shí)現商業(yè)目標的重要工具。