為了把幀從一個VLAN傳遞到另一個,必須用一個3層設備進行路由。這個設備可以是一個傳統的路由器,或者是一個3層交換機。從發送者到接收者,路由器每增加一跳都會增加幀的延遲時間,這有可能造成一個性能瓶頸。
設計VLAN網絡的目的應該是把某個設備所需要的所有資源放到與該設備相同的VLAN。使用VLAN允許在保證物理層上的硬件集中的同時、保證服務器邏輯上更靠近用戶。這允許客戶設備直接通過交換網絡接入資源,而不需要通過路由器。在這種方式下,一個單獨的VLAN可以出現在一個校園網的多個交換機上,計算機室的一個服務器可以和相隔幾個建筑物遠的客戶服務器是同一個VLAN。一個通常的設計是把所有服務器放在同一個VLAN。不幸的是,這要求所有的客戶至少要經過一個路由器才能接入這些服務器。在把IP 地址管理變的更容易的同時,引入了額外的延遲和潛在的性能瓶頸。
保持最小的VLAN數目
有一個創建過多的不需要的VLAN的傾向。當交換機本身可以支持上千個VLAN的時候,每增加一個VLAN就會給路由器和網絡其他設備帶來額外的開銷。
這方面的一個例子是有一個42層大樓的網絡。除了用于管理的VLAN和服務器中心的VLAN,每層都有一個自己的VLAN。該網絡運行IP和IPX 協議。總共有超過2000 臺IPX 設備在整個本地網絡,包括打印機、存儲器、時鐘服務器。
每60秒,路由器會對每個VLAN發出服務廣告協議(SAP)包。每個包包含7種服務。這導致每60 秒,每個廣播域內發出286 個SAP 包。由于總共有46 個VLAN,路由器每分鐘不得不發出超過13,000 個SAP 包。人們發現當路由器每分鐘發出的幀超過2000 的時候,已經會給CPU 帶來問題。當交換機可以支持46 個VLAN的時候,我們發現路由器支持不了這么多VLAN。
VLAN類型
把一個設備分配到一個VLAN有3鐘通常的方法:
1)基于端口的VLAN
2)基于協議的VLAN
3)基于MAC的VLAN
基于端口的VLAN
基于端口的VLAN,一個交換機端口可以手工地配置到某個指定的VLAN。任何連接到這個端口的設備就和該VLAN中的所有其他的交換端口處于同一個廣播域。
基于端口的VLAN的挑戰是每個VLAN中有哪些端口的文檔備案。VLAN的成員信息并沒有顯示在交換機端口的外面。確定VLAN 成員不能夠僅僅通過查看交換機物理端口。只有通過查看配置信息采可以確定成員。
基于協議的VLAN
基于協議的VLAN,是通過區分承載數據所用的3層協議來確定VLAN的成員。然而這需要工作在一個多類型協議的環境下,在一個主要以IP為基礎網絡,這種方法不是特別實用。
基于MAC的VLAN
基于端口的VLAN的一個問題是,當一個設備從交換機某個端口移走后,該交換機端口又接入了一個新的設備,新設備會進入原來的那個VLAN。在前面打印機VLAN的例子里,如果一臺打印機從該端口移走了,該端口又接入了一臺財務服務器。財務服務器就和打印機服務器進入同一個VLAN了。這將會限制對財務服務器的接入,不得不重新分配網絡資源。
基于MAC的VLAN可以解決上面的這個問題,VLAN的成員是基于設備的MAC 地址,而不是交換機的物理端口。如果一個設備從交換機的一個端口移到另外一個,該設備屬于哪一個VLAN,還是由設備來決定的。不幸的是,用MAC 地址來確定VLAN 耗費時間,而且現在使用的很少。
VLAN標簽
VLAN標簽用來指示VLAN的成員,它封裝在能夠穿越局域網的幀里。這些標簽在數據包進入VLAN的某一個交換機端口的時候被加上,在從VLAN 的另一個端口出去的時候被去除。根據VLAN 的端口類型會決定是給幀加入還是去除標簽。VLAN 中的兩類接口類型是指接入端口和骨干端口。
接入端口
接入端口用在幀接入或者離開VLAN時。當接入端口收到一個幀的時候,幀并沒有包含一個VLAN標簽。一旦幀進入接入端口,會給幀加入VLAN標簽。
![虛擬局域網(VLAN)最佳實踐(圖三)]("http://cisco.chinaitlab.com/UploadFiles_6776/200612/20061225110257891.jpg")
當幀在交換機里面的時候,附著進入接入端口時被附上的VLAN標簽。當幀通過目的接入端口離開交換機的時候,VLAN標簽就被去除了。傳輸設備和接收設備并不知道收到的幀曾經被加過VLAN標簽。
骨干端口
網絡中包含多于一個交換機的時候,必須把VLAN標簽的幀從一個交換機傳到另一個交換機。骨干端口和接入端口的區別是骨干端口在傳出幀之前,不會去除VLAN的標簽。保留了VLAN標簽,接收交換機就能知道傳輸幀屬于哪一個VLAN。幀就可以傳送到接收交換機的合適端口。
![虛擬局域網(VLAN)最佳實踐(圖四)]("http://cisco.chinaitlab.com/UploadFiles_6776/200612/20061225110258872.jpg")
VLAN標簽技術
每一個VLAN標記幀包含指明自身所屬VLAN的字段。有兩種種主要的VLAN標簽格式,思科公司的Inter-Swith Link(ISL)格式和標準的802.1Q 格式。
思科ISL
Inter-SwithLink(ISL)格式是思科私有VLAN標簽格式。在使用的時候,VLAN標簽在每個幀的頭部增加26 字節信息,在幀尾部附加4 字節CRC。標簽的格式如下:
![虛擬局域網(VLAN)最佳實踐(圖五)]("http://cisco.chinaitlab.com/UploadFiles_6776/200612/20061225110258761.jpg")
基于802.1Q標準的標簽
ISL是思科公司的私有格式,而802.1Q是IEEE的標準格式。802.1Q 標準允許VLAN 標記幀可以在不同廠家的交換機之間傳遞。802.1Q 標簽比ISL 標簽包含更少的域,是插入幀而不是放入幀頭。
![虛擬局域網(VLAN)最佳實踐(圖六)]("http://cisco.chinaitlab.com/UploadFiles_6776/200612/20061225110258150.jpg")
