VLAN是一種用邏輯的定義方法,把兩個或更多的連在交換網絡上的終端規劃在一起。
這種邏輯定義方法可以延伸到多個交換機。被規劃在一起的終端,可以通過幾種網絡設置來規劃。好像任何一種網絡技術一樣,了解在您的網絡上存在的VLAN的特性,是有效地管理網絡一個非常重要的一節。這可令您更精確的設定VLAN并在事故發生時減少故障診斷的時間。
為什么要用VLAN呢?
采用VLAN的主要原因有幾個:如控制廣播域的范圍,網絡安全,第三層地址的管理,和網絡資源的集中管理。
控制廣播域的范圍
當一個廣播域內的設備增加時,在廣播域內設備的廣播頻率便會相對增加。廣播率的提高,對設備的效率會有很大的影響,因為每一個設備都必須中斷其CPU正在處理的業務,來處理收到的廣播包,以決定是否需要對包內的數據作進一步處理。這種中斷降低了CPU處理正常業務的效率,增長了完成這些業務的時間。
VLAN一個非常重要的好處是在一個VLAN內的廣播包不會跑到別的VLAN上去。通過限制一個VLAN 上的設備數目,在一個VLAN 上的廣播率便可受到控制。一個正常的廣播率應該平均每秒不超過30 個廣播包。雖然還沒有正式的文檔宣稱,但通過現場性能監測,建議廣播不應該超出30 個/秒。
網絡安全
有很多時候,網管人員需要限制對本地網絡中一個或多個特別設備的接入。如果所有的設備都在同一個廣播域內,便很難執行這種限制。通過建立多個廣播域,可以通過地址過濾和建立連接認可地址表來實現該限制。
數據包要跨越一個VLAN必須通過一個3層路由設備。這種路由設備讓網管人員可以定義設備間的接入。這種接入控制功能的使用,可以控制和監視對敏感資源設備的接入。
第3層地址管理
一個很常見的設計,是把同類型的設備,規劃在同一個IP子網。例如把打印機安排在同一個IP子網上,屬于會計部的工作站和服務器卻在另一個子網。在邏輯上這樣好像很合理,但在一個大型企業網絡上,這種構想沒有VLAN是無法實現的。
網絡資源的集中管理
假定我們把所有的打印機都規劃在一個子網上,而每一個打印機都必須在同一個廣播域里。這樣等于需要在每一個樓層上,分別安裝交換機。這些交換機都需要光纜和銅纜的連接,而這些打印機子網都需要連接到自己的專用路由器端口上。
利用VLAN,可以讓打印機和網絡中的其他設備連接到同一個交換機,分享同一條互聯的電纜或光纖鏈路、同一個路由器端口。
VLAN的挑戰
采用VLAN的一個最大挑戰就是文檔備案。當您把一個設備連接到交換機時,沒有一個好辦法知道設備所連的交換機端口究竟是被設定到哪一個VLAN,或是否被設定成VLAN骨干(Trunk)端口。在大多數的情況下,確定端口的VLAN設置只可以通過Telnet 登錄到交換機的控機臺,這種過程需要用戶口令并對交換機的設置管理指令有比較深刻的了解。
當您對網絡作擴容、移動或改變時,以上的挑戰便更加明顯。例如在一個企業里,安裝交換機時一般的策略是把頭12個端口設成VLAN23,但是實際上,網管人員可能是因為后來端口不足或是因為企業的政策推行不完善而把設定更改。無論如何,當一個設備連接到交換器的頭12個端口時,無法保證他會在VLAN23這個VLAN上。
通過VLAN透視來解決
VLAN透視選件是一個附加在OptiView集成式網絡分析儀上的選件。這個選件可以幫助網管人員應對對交換機的VLAN設定作文檔備案的挑戰。
VLAN透視選件通過SNMP來詢問交換機的每一個端口的VLAN 設置。這些訊息可以直接顯示在OptiView 集成式網絡分析儀的顯示屏上或通過遙控界面來觀看。交換機支持的每一個VLAN 號都會列在顯示屏的左邊,在右邊顯示出對應的每一個VLAN 號的交換機端口。
除了顯示VLAN和端口的相關性,VLAN透視選件還會顯示每個端口的VLAN配置。這對確定哪些端口被配置成骨干端口、哪些端口被配置成接入端口是非常有用的。對骨干端口,VLAN 協議標記那些顯示的幀。這對解決兩臺交換機通過VLAN 骨干連接產生的連通問題是非常有幫助的。
顯示VLAN配置信息的能力,不僅僅對分析儀所在廣播域的VLAN有效,只要是綜合分析儀通過IP可達的任何交換機都有效。這表明VLAN 透視可以顯示綜合分析儀經過很多路由器跳數以后達到的交換機VLAN配置信息。除了可以顯示VLAN 配置,VLAN 透視可以生成基于每一個交換機的HTML(瀏覽器格式)報告。該報告描敘交換機的現有VALN 和每個VLAN 的包含的交換機端口。除了顯示信息,還可以生成遠端IP 子網的交換機報告。
最初的配置
![虛擬局域網(VLAN)最佳實踐(圖一)]("http://cisco.chinaitlab.com/UploadFiles_6776/200612/20061225110256424.jpg")
1年后的配置
![虛擬局域網(VLAN)最佳實踐(圖二)]("http://cisco.chinaitlab.com/UploadFiles_6776/200612/20061225110257699.jpg")
VLAN的其中一個優點是交換機端口很容易便可以從一個VLAN改變到另一個VLAN。由于改變太容易,大部分的改變都沒有立刻記錄下來。這也是對維護VLAN網絡、做文檔備案的最大挑戰。很多企業都需要一個簡單的方法來找出當前自己VLAN 的設定情況。
VLAN最佳實踐
擁有一個健康的VLAN不能依靠僥幸。需要在腦海中有最優化性能的目標,仔細地設計和維護。如果在VLAN設計的時候就不注意,結果就是網絡會非常復雜,在故障查找和維護時都會非常困難。
確定使用VLAN的原因
使用VLAN的4個可能原因在文檔的開始已經大概做了描述:控制廣播域的范圍、網絡安全、第3層地址管理、網絡資源集中管理。當設計一個VLAN 的時候,這些原因都需要仔細地研究。舉例來說,如果在您的環境中,所有的用戶都需要接入所有服務器和網絡設備,安全性就不再是應用VLAN 的原因。
然而,如果您有語音在IP上傳送(VoIP)的應用,語音在一個VLAN上傳送,數據在另一個VLAN傳送,就是應用VLAN 的一個很好的原因。通過分離這兩種類型的業務,對語音流量提供服務質量保證,減少了抖動和丟包。
