IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

虚拟局域网(VLAN)最佳实践(1)

2007年07月28日
PCDOG.COM/佚名
什么是(虚拟局域网)VLAN?

VLAN是一种用逻辑的定义方法,把两个或更多的连在交换网络上的终端规划在一起。

这种逻辑定义方法可以延伸到多个交换机。被规划在一起的终端,可以通过几种网络设置来规划。好像任何一种网络技术一样,了解在您的网络上存在的VLAN的特性,是有效地管理网络一个非常重要的一节。这可令您更精确的设定VLAN并在事故发生时减少故障诊断的时间。

为什么要用VLAN呢?

采用VLAN的主要原因有几个:如控制广播域的范围,网络安全,第三层地址的管理,和网络资源的集中管理。

控制广播域的范围

当一个广播域内的设备增加时,在广播域内设备的广播频率便会相对增加。广播率的提高,对设备的效率会有很大的影响,因为每一个设备都必须中断其CPU正在处理的业务,来处理收到的广播包,以决定是否需要对包内的数据作进一步处理。这种中断降低了CPU处理正常业务的效率,增长了完成这些业务的时间。

VLAN一个非常重要的好处是在一个VLAN内的广播包不会跑到别的VLAN上去。通过限制一个VLAN 上的设备数目,在一个VLAN 上的广播率便可受到控制。一个正常的广播率应该平均每秒不超过30 个广播包。虽然还没有正式的文档宣称,但通过现场性能监测,建议广播不应该超出30 个/秒。

网络安全

有很多时候,网管人员需要限制对本地网络中一个或多个特别设备的接入。如果所有的设备都在同一个广播域内,便很难执行这种限制。通过建立多个广播域,可以通过地址过滤和建立连接认可地址表来实现该限制。

数据包要跨越一个VLAN必须通过一个3层路由设备。这种路由设备让网管人员可以定义设备间的接入。这种接入控制功能的使用,可以控制和监视对敏感资源设备的接入。

第3层地址管理

一个很常见的设计,是把同类型的设备,规划在同一个IP子网。例如把打印机安排在同一个IP子网上,属于会计部的工作站和服务器却在另一个子网。在逻辑上这样好像很合理,但在一个大型企业网络上,这种构想没有VLAN是无法实现的。

网络资源的集中管理

假定我们把所有的打印机都规划在一个子网上,而每一个打印机都必须在同一个广播域里。这样等于需要在每一个楼层上,分别安装交换机。这些交换机都需要光缆和铜缆的连接,而这些打印机子网都需要连接到自己的专用路由器端口上。

利用VLAN,可以让打印机和网络中的其他设备连接到同一个交换机,分享同一条互联的电缆或光纤链路、同一个路由器端口。

VLAN的挑战

采用VLAN的一个最大挑战就是文档备案。当您把一个设备连接到交换机时,没有一个好办法知道设备所连的交换机端口究竟是被设定到哪一个VLAN,或是否被设定成VLAN骨干(Trunk)端口。在大多数的情况下,确定端口的VLAN设置只可以通过Telnet 登录到交换机的控机台,这种过程需要用户口令并对交换机的设置管理指令有比较深刻的了解。

当您对网络作扩容、移动或改变时,以上的挑战便更加明显。例如在一个企业里,安装交换机时一般的策略是把头12个端口设成VLAN23,但是实际上,网管人员可能是因为后来端口不足或是因为企业的政策推行不完善而把设定更改。无论如何,当一个设备连接到交换器的头12个端口时,无法保证他会在VLAN23这个VLAN上。

通过VLAN透视来解决

VLAN透视选件是一个附加在OptiView集成式网络分析仪上的选件。这个选件可以帮助网管人员应对对交换机的VLAN设定作文档备案的挑战。

VLAN透视选件通过SNMP来询问交换机的每一个端口的VLAN 设置。这些讯息可以直接显示在OptiView 集成式网络分析仪的显示屏上或通过遥控界面来观看。交换机支持的每一个VLAN 号都会列在显示屏的左边,在右边显示出对应的每一个VLAN 号的交换机端口。

除了显示VLAN和端口的相关性,VLAN透视选件还会显示每个端口的VLAN配置。这对确定哪些端口被配置成骨干端口、哪些端口被配置成接入端口是非常有用的。对骨干端口,VLAN 协议标记那些显示的帧。这对解决两台交换机通过VLAN 骨干连接产生的连通问题是非常有帮助的。

显示VLAN配置信息的能力,不仅仅对分析仪所在广播域的VLAN有效,只要是综合分析仪通过IP可达的任何交换机都有效。这表明VLAN 透视可以显示综合分析仪经过很多路由器跳数以后达到的交换机VLAN配置信息。除了可以显示VLAN 配置,VLAN 透视可以生成基于每一个交换机的HTML(浏览器格式)报告。该报告描叙交换机的现有VALN 和每个VLAN 的包含的交换机端口。除了显示信息,还可以生成远端IP 子网的交换机报告。

最初的配置

虚拟局域网(VLAN)最佳实践(图一)

1年后的配置

虚拟局域网(VLAN)最佳实践(图二)

VLAN的其中一个优点是交换机端口很容易便可以从一个VLAN改变到另一个VLAN。由于改变太容易,大部分的改变都没有立刻记录下来。这也是对维护VLAN网络、做文档备案的最大挑战。很多企业都需要一个简单的方法来找出当前自己VLAN 的设定情况。

VLAN最佳实践

拥有一个健康的VLAN不能依靠侥幸。需要在脑海中有最优化性能的目标,仔细地设计和维护。如果在VLAN设计的时候就不注意,结果就是网络会非常复杂,在故障查找和维护时都会非常困难。

确定使用VLAN的原因

使用VLAN的4个可能原因在文档的开始已经大概做了描述:控制广播域的范围、网络安全、第3层地址管理、网络资源集中管理。当设计一个VLAN 的时候,这些原因都需要仔细地研究。举例来说,如果在您的环境中,所有的用户都需要接入所有服务器和网络设备,安全性就不再是应用VLAN 的原因。

然而,如果您有语音在IP上传送(VoIP)的应用,语音在一个VLAN上传送,数据在另一个VLAN传送,就是应用VLAN 的一个很好的原因。通过分离这两种类型的业务,对语音流量提供服务质量保证,减少了抖动和丢包。

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

以不变应万变 网络虚拟化应对园区网新挑战
以不变应万变 网络虚拟化应对园区网新挑战Forrester Research的分析师Robert Whiteley认为: “十年以来,虚拟化技术与网络...
OpenShift加入更多新元素 友好面对开发者
OpenShift加入更多新元素 友好面对开发者通过网络进行程序提供的服务称之为SaaS(Software as a Service),而将服务器平台...

本类热点