VLAN中的路由器與交換機角色的改變

VLAN(虛擬局域網(wǎng))的出現(xiàn)無疑對網(wǎng)絡(luò)管理員來說是一個福音。因為我們可以憑借虛擬局域網(wǎng)輕松的實現(xiàn)對網(wǎng)絡(luò)進行分段，隔離廣播域，提高網(wǎng)絡(luò)性能;同時，對各個機要部門進行隔離，提高其安全性。最重要的是，實現(xiàn)這些需求都是非常廉價的。

虛擬局域網(wǎng)可以根據(jù)網(wǎng)絡(luò)工作組的功能、項目組成或者部門構(gòu)成來劃分，而不用考慮具體的地理位置。簡單的說，在一幢辦公樓里四樓跟五樓的研發(fā)部門可以在同一個虛擬局域網(wǎng)內(nèi)。如此可見，可以非常廉價的實現(xiàn)對網(wǎng)絡(luò)進行分段從而提高網(wǎng)絡(luò)的安全性能以及減少沖突的發(fā)生。虛擬局域網(wǎng)可以將用戶與終端設(shè)備分成一個邏輯段，然后通過虛擬局域網(wǎng)交換機把這些邏輯段組成了一個交換網(wǎng)絡(luò)。交換機的每一個端口都可以連接一個獨立的局域網(wǎng)。分配給同一個虛擬局域網(wǎng)的端口共享廣播域，不同虛擬局域網(wǎng)的端口不共享廣播域。如此的話，就可以利用虛擬域網(wǎng)來實現(xiàn)對廣播域的隔離，從而廉價的提高網(wǎng)絡(luò)性能，避免一些常見的如DDOS攻擊，提高網(wǎng)絡(luò)的安全性。

所以說，虛擬局域網(wǎng)的出現(xiàn)改變了我們網(wǎng)絡(luò)管理員的工作方式;同時，使得路由器與交換機的角色也發(fā)生了一定的轉(zhuǎn)變。

網(wǎng)絡(luò)管理員了解這些改變后，有利于我們做好虛擬局域網(wǎng)的設(shè)計與管理。那么下面我們就來看看具體有哪些改變呢?

一、 虛擬局域網(wǎng)中路由器角色的轉(zhuǎn)變

在傳統(tǒng)的局域網(wǎng)中，路由器一般只提供防火墻、路由處理與分配、廣播管理等等。但是，在虛擬局域網(wǎng)中路由器的職責與傳統(tǒng)的局域網(wǎng)所擔負的任務(wù)發(fā)生了明顯的改變，或者說，內(nèi)涵有了衍生。最主要的一點區(qū)別就是，虛擬局域網(wǎng)中的路由器還要承擔起在工作組之間提供信息轉(zhuǎn)發(fā)的功能。路由器在虛擬局域網(wǎng)中主要提供兩方面的功能，一是為虛擬局域網(wǎng)中的用戶提供訪問共享資源的功能;二是幫助各個虛擬局域網(wǎng)之間進行通訊。

我們都知道，虛擬局域網(wǎng)的主要作用就是把企業(yè)的局域網(wǎng)分割成相互獨立的幾塊，就相當于是不同的局域網(wǎng)一樣。而若沒有路由器的幫助，這些工作組之間是不能夠相互通信的。也就是說，銷售部門與財務(wù)部門之間若分處與兩個不同的虛擬局域網(wǎng)之間，若沒有路由器的幫助，他們相互之間就不能夠進行通信。

另外路由器還為虛擬局域網(wǎng)的用戶提供了訪問一些共享資源，如服務(wù)器的路徑�，F(xiàn)在的應(yīng)用軟件大部分是服務(wù)器/客戶端或者服務(wù)器/瀏覽器模式。服務(wù)器的訪問量特別大，對于大部分企業(yè)來說，服務(wù)器的訪問效率是企業(yè)網(wǎng)絡(luò)應(yīng)用的瓶頸。所以，若能夠提高服務(wù)器的訪問性能的話，無疑可以提高整體的網(wǎng)絡(luò)執(zhí)行效率。而這其中比較有效的方式就是把服務(wù)器隔離，減少廣播，從而提高服務(wù)器的網(wǎng)絡(luò)運行效率。而現(xiàn)在若把服務(wù)器與其它的工作組分成兩個虛擬局域網(wǎng)，無疑減少廣播沖突，提高網(wǎng)絡(luò)的運行性能。但是，現(xiàn)在的問題是服務(wù)器與工作組若處于不同的虛擬局域網(wǎng)的話，則企業(yè)的員工就無法正常訪問服務(wù)器。為此，我們還必須要路由器的幫助，讓路由器提供對這些服務(wù)器的訪問路徑。

在實際工作中，我們網(wǎng)絡(luò)管理員可以通過一條或者多條高速主干線路經(jīng)濟的將路由器連接到虛擬局域網(wǎng)中。在路由器的幫助下，虛擬局域網(wǎng)不僅提供了邏輯分段的功能，而且大幅度的提高了網(wǎng)絡(luò)的性能與安全性�；蛘哒f，虛擬局域網(wǎng)與路由器的結(jié)合，是雙方取長補短的一個過程。

采用了虛擬局域網(wǎng)與路由器的公司網(wǎng)絡(luò)，能夠提高路由器與交換機之間的信息吞吐量。因為我們都知道，以太網(wǎng)中一個數(shù)據(jù)包會發(fā)送到所有局域網(wǎng)中的主機上。這無疑會增加局域網(wǎng)中路由器與交換機端口的工作壓力。而現(xiàn)在有了虛擬局域網(wǎng)，則數(shù)據(jù)包會在一個最小范圍內(nèi)進行轉(zhuǎn)發(fā)，從而不會讓無用的數(shù)據(jù)包占用路由器與交換機寶貴的端口帶寬。這就從另一方面提高了路由器與交換機的信息吞吐量。另外，在路由器的幫助下，還可以強化虛擬局域網(wǎng)中所有物理端口的通信能力與控制能力。

二、 虛擬局域網(wǎng)中交換機角色的轉(zhuǎn)變

交換機是虛擬局域網(wǎng)中的核心網(wǎng)絡(luò)設(shè)備之一，交換機作為終端設(shè)備進入到虛擬局域網(wǎng)中，它是 信息在虛擬局域網(wǎng)中傳輸?shù)娜肟�，在虛擬局域網(wǎng)中有著至關(guān)重要的作用�？梢院翢o夸張的說，沒有交換機的存在，也就沒有虛擬局域網(wǎng)的存在。

傳統(tǒng)的交換機一般沒有網(wǎng)路分段的功能。也就是說，一個交換機上的所有端口都是在同一個局域網(wǎng)中。但是，隨著虛擬局域網(wǎng)技術(shù)的出現(xiàn)，使得一個交換機上的網(wǎng)絡(luò)端口也可以屬于不同的網(wǎng)絡(luò)段。換句話說，可以利用交換機，結(jié)合虛擬局域網(wǎng)技術(shù)，來實現(xiàn)網(wǎng)絡(luò)的分段。

若支持虛擬局域網(wǎng)技術(shù)的交換機，他們可以依據(jù)我們網(wǎng)絡(luò)管理員預先設(shè)定的規(guī)則，根據(jù)數(shù)據(jù)楨來知道能的決定是過濾這個數(shù)據(jù)包呢，還是轉(zhuǎn)發(fā)這個數(shù)據(jù)包。若是轉(zhuǎn)發(fā)的話，會講數(shù)據(jù)轉(zhuǎn)發(fā)給網(wǎng)絡(luò)中的其他交換機或者路由器。一把來說，交換機過濾數(shù)據(jù)最常用的方法包括楨過濾與楨表標記。這兩種方法交換機都會對通過其的數(shù)據(jù)包進行分析，并結(jié)合我們預先定義的虛擬局域網(wǎng)規(guī)則，然后決定是轉(zhuǎn)發(fā)還是過濾。最重要的是，這些工作都可以實現(xiàn)集中管理，并且很容易就被應(yīng)用到企業(yè)局域網(wǎng)中。

采用楨過濾方法的交換機會檢查經(jīng)過這個交換機的所有楨信息。并且，在每一臺交換機中都有一個過濾表。如此的話，交換機就可以靈活的控制數(shù)據(jù)的轉(zhuǎn)發(fā)，提供一種比較高層次的管理控制。如我們可以根據(jù)終端用戶的IP地址、MAC地址、以及網(wǎng)絡(luò)層協(xié)議等等將企業(yè)局域網(wǎng)分解成不同的段。當數(shù)據(jù)包在這個交換機進行轉(zhuǎn)發(fā)的時候，交換機就會結(jié)合數(shù)據(jù)楨的相關(guān)信息，參照內(nèi)部的過濾表，然后決定相關(guān)的操作。不過這種處理機制是比較早期的處理方法，由于交換機要對通過其的所有數(shù)據(jù)楨都進行類似的檢驗、判斷、處理過程，所以，采用這種模式的話，其虛擬局域網(wǎng)的運行效率并不是很高。所以，在早期的時候，企業(yè)即使采用了虛擬局域網(wǎng)，也不會感覺到局域網(wǎng)性能有什么提升。

現(xiàn)在很多虛擬局域網(wǎng)交換機其采用的是楨標記的方法。當楨在網(wǎng)路主干線路上轉(zhuǎn)發(fā)的時候，會在每一楨的頭部加上一個唯一的標識。虛擬局域網(wǎng)交換機在將這個楨進行轉(zhuǎn)發(fā)的時候，如廣播給其他的交換機、路由器或者其他中斷設(shè)備之間，都會對這個標記進行檢查。當楨離開這個主干線路的時候，或者說，當數(shù)據(jù)楨離開虛擬局域網(wǎng)交換機的時候，都會清除這個標識。也就是說，其他設(shè)備不用對這個標識進行檢查。因為在網(wǎng)絡(luò)協(xié)議的第二層對楨進行檢查，其好用的資源是比較少的，對網(wǎng)絡(luò)性能的影響也是非常有限。另外，這種方法還提供了比較好的靈活性，在后續(xù)網(wǎng)絡(luò)升級的時候，也可以很好的實現(xiàn)。所以，在大型的企業(yè)網(wǎng)絡(luò)中，我還是建立采用楨過濾方法的虛擬局域網(wǎng)交換機�，F(xiàn)在這種技術(shù)已經(jīng)被IEEE組織所采用。

可見，虛擬局域網(wǎng)的出現(xiàn)，擴大了交換機的應(yīng)用范圍，讓交換機從傳統(tǒng)的數(shù)據(jù)轉(zhuǎn)發(fā)，到現(xiàn)在對局域網(wǎng)進行智能分段的過渡。這是一個交換機質(zhì)的改善，大大提高了交換機的性價比。

最后筆者要提醒大家，雖然虛擬局域網(wǎng)管理比較靈活，但是，其具體的靈活程度也是跟虛擬局域網(wǎng)的設(shè)計以及所采用的設(shè)備緊密相關(guān)的。為了提高虛擬局域網(wǎng)的靈活性與可升級性，我們在設(shè)計虛擬局域網(wǎng)的時候，就要多采用動態(tài)的虛擬局域網(wǎng);而在采用端口為中心的虛擬局域網(wǎng)或者靜態(tài)的虛擬局域網(wǎng)的時候就要慎重。相對來說，動態(tài)虛擬局域網(wǎng)的靈活性與可擴展性要比后面的兩者高，但是，其安全性卻比其他兩種方式要差一點。相反，采用以端口為中心的虛擬局域網(wǎng)或者靜態(tài)的虛擬局域網(wǎng)其在靈活性與擴展性上稍有不足，但是，在安全性上，卻要略勝一籌。所以，企業(yè)在設(shè)計虛擬局域網(wǎng)的時候，還需要在這里取得一個均衡點。根據(jù)筆者的建議，對于擴展性的企業(yè)，最好還是采用動態(tài)的虛擬局域網(wǎng)為好。因為根據(jù)筆者這么多年的工作經(jīng)驗，對于一些正在成長的企業(yè)來說，其可能經(jīng)常需要調(diào)整組織結(jié)構(gòu)。所以，這種成長行的企業(yè)，對于網(wǎng)絡(luò)應(yīng)用的靈活性要求比較高。