{
\"code\": 200,
\"title\": \"\",
\"content\": \"VLAN(虛擬局域網)是對連接到的第二層交換機的網絡用戶的邏輯分段,不受網絡用戶的物理位置限製而根據用戶需求進行網絡分段。一個VLAN可以在一個交換機或者跨交換機實現。VLAN可以根據網絡用戶的位置、作用、部門或者根據網絡用戶所使用的應用程式和協議來進行分組。基於交換機的虛擬局域網能夠為局域網解決衝突域、廣播域、帶寬問題。\\n\\n傳統的共享介質的以太網和交換式的以太網中,所有的用戶在同一個廣播域中,會引起網絡效能的下降,浪費可貴的帶寬;而且對廣播風暴的控製和網絡安全隻能在第三層的路由器上實現。\\n\\nVLAN相當於OSI參考模型的第二層的廣播域,能夠將廣播風暴控製在一個VLAN內部,劃分VLAN後,由於廣播域的縮小,網絡中廣播包消耗帶寬所占的比例大大降低,網絡的效能得到顯著的提高。不同的VLAN之間的數據傳輸是通過第三層(網絡層)的路由來實現的,因此使用VLAN技術,結合數據鏈路層和網絡層的交換設備可搭建安全可靠的網絡。網絡管理員通過控製交換機的每一個來控製網絡用戶對網絡資源的訪問,同時VLAN和第三層第四層的交換結合使用能夠為網絡提供較好的安全措施。\\n\\n另外,VLAN具有靈活性和可擴張性等特點,方便於網絡維護和管理,這兩個特點正是現代局域網設計必須實現的兩個基本目標,在局域網中有效利用虛擬局域網技術能夠提高網絡運行效率。\\n\\nVLAN技術的應用\\n\\n近來參加了不少醫院網絡方案的討論和評標活動,在幾乎所有醫院的方案中都或多或少地采用了虛擬局域網(VLAN)技術,但筆者發現大多數方案中的VLAN設計都存在一個共同且致命的缺陷,那就是VLAN跨越網絡的核心。本文就這個問題談一談自己的看法,供同行們參考。\\n\\nVLAN相互受影響\\n\\n根據VLAN的定義和技術規範,VLAN不是由獨享的物理設備和物理鏈路搭建的物理子網或網段,VLAN與實實在在的物理子網的本質區彆在於,VLAN之間要共享物理設備和物理鏈路,因此,VLAN間就會通過所共享的設備和鏈路相互影響。這種影響是如何產生的呢?VLAN是通過將一個物理拓撲中的兩個或多個節點通過邏輯組合而形成的,要想實現這種邏輯的組合就必須使用支援VLAN的交換設備,但真正提供VLAN功能的是這些設備內部的軟件。也就是說,VLAN所構造的子網(廣播域)是軟件實現的,而不是由網絡拓撲所決定的。網絡拓撲僅對由軟件所建立的VLAN有所限製。\\n\\n知道了VLAN的工作原理,就不難解釋VLAN間的影響了,同一交換機上的不同VLAN要共享交換機、要爭奪交換機的CPU和背板資源。VLAN對交換機和鏈路的共享可分為兩種類型:一種是“廣播共享”,即VLAN劃定的廣播域貫穿共享設備和鏈路(如圖1所示),換句話說廣播共享是二層的共享。另一種我們稱之為“路由共享”,也可以說是三層共享,在這種類型的共享中,不同VLAN的數據包是以路由(三層交換)方式穿過交換機的(如圖2中虛線所示),通過的包基本上不含有一般的廣播包(DHCP和特殊協議的廣播除外)。VLAN在“廣播共享”網絡資源時的相互影響要比“路由共享”時更大。\\n\\n從圖1可清楚地看出所共享的網絡資源(交換機和鏈路)。在正常情況下,VLAN間的這種影響不被我們所注意,原因是共享的交換機有足夠的交換能力,鏈路不是很擁擠,但在某一VLAN出現異常時(如感染病毒或出現環路)情況就不同了。這時被感染VLAN(如VLAN1)中的大量數據幀將擠占該VLAN所及的所有交換機的CPU資源、背板帶寬,並長時間占用物理鏈路,其他VLAN(如VLAN2)中的設備儘管“看”不到出現異常VLAN中的數據幀,但其所依賴的網絡資源已被用儘,因此,VLAN1所覆蓋的網絡區域就會出現異常。如果故障點發生在覈心交換機附近,那麼整個網絡就有可能癱瘓。這在各網絡拓撲層交換機的效能相差不多的情況下尤為嚴重。\\n\\n三層共享有作用\\n\\n由VLAN的性質所決定,完全消除VLAN間的鏈路和設備的共享在理論上是不可能的。我們所做的努力隻能儘量減少相互影響的範圍、降低相互影響的程度。如何做到這一點呢?在實踐中我們總結出如下原則:1)應儘量避免在同一交換機中配置多個VLAN;2)不同物理位置上的交換機上的儘量不要劃歸到同一個VLAN。前者較好理解,也容易實現,我們重點討論後者,即如何做到VLAN不跨越核心交換機和拓撲結構的“層”。從圖1可以看出,由於VLAN1(VLAN2也是這樣)的範圍跨越了整個網絡,如果把所有VLAN的覆蓋麵都限定在覈心交換機的同一側,這些資源被共享的程度不就減輕了嗎?按此想法我們可以將圖1所示的網絡改變為圖2所示的結構。\\n\\n由於在這種結構中不存在跨越核心交換機的虛網,因此各VLAN的廣播包就不會穿過核心交換機,但這些廣播包卻均能到達核心交換機,同時核心交換機上還會有ACL允許的VLAN間的正常數據流(如圖2中的虛線所示)通過。很顯然,這時的核心交換機既阻擋了各VLAN的廣播包,又轉發了VLAN間的正常數據流,其被共享的形式由“廣播式”變成了“路由式”,受VLAN影響的程度變小。\\n\\n有人可能會說,把核心交換機從二層提到了三層,效能會下降。這種說法無疑是正確的,但這點效能的降低對於當今的三層交換機所能提供的效能來說已經算不得什麼了。從圖2還可以看出,儘管受單個VLAN影響的程度和範圍均變小,但共享鏈路的長度和強度並冇有本質的變化。\\n\\n三層結構最有效\\n\\n細心的讀者可能還會發現,圖2所示網絡中的VLAN冇有體現VLAN技術的原始目的——不同物理位置上的計算機能像在同一物理網中一樣相互訪問。這個問題正是本文涉及的核心問題,也是針對規劃、部署VLAN提出的新觀點:在網絡中,特彆是較大型網絡,不要企圖利用VLAN去實現不同物理位置上計算機的互聯互通,互通性要由路由策略去實現。這在以往會有些問題,但網絡技術發展到今天,交換機與路由器間的差彆變得越來越小,原來用二層實現的方法很多都能夠用三層技術所代替。用三層技術代替二層的功能有很多優點,主要表現在:結構更加清晰、控製更加豐富、擴展更加靈活、網絡更加穩定、實現更加容易。\\n\\n繼續分析圖2中所存在的問題不難看出,儘管核心交換機被共享的形式改變了,但仍存在受到各VLAN出現異常情況的影響。要想避免核心交換機受到各個VLAN的影響、減小影響範圍、避免全網癱瘓的發生,很容易想到在覈心交換機和劃有VLAN的交換機之間加上一層,以隔離核心交換機和各個VLAN。這時就形成了目前較為流行的三層拓撲結構的網絡,如圖3所示。\\n\\n在三層網絡結構中,彙聚層與核心層之間的區域不再有VLAN,彙聚層交換機的VLAN也僅限於部分,這時彙聚層交換機成為被“路由共享”的交換機,而且這種“路由共享”比圖2的情況更弱。\\n\\n如果使彙聚層交換機的效能遠高於接入層的交換機,那麼由VLAN的廣播(多由病毒引起)所引起的整網癱瘓問題就基本解決了。\\n\\n任何方案都具有利的一麵和不利的一麵,三層拓撲結構的網絡也會帶來一些問題:1)利用一般的手段較難實現對各個VLAN進行集中式的遠程管理,對於這個問題的解決方案可充分利用網管軟件。2)由於VLAN數量的增多、路由協議等技術的引入,此時的網絡會比二層平麵交換網絡要複雜,對網絡技術人員的要求更高,管理維護成本會有所增加。\\n\\n這兩點是大型網絡管理本身的要求,大型網絡的管理不可能不使用網絡管理工具,技術人員的缺乏更是各個企業都麵臨的問題,對此有的專家提出了“IT物業”的理念,也許這就是將來解決這個問題的最終方案。\\n\\n\"
}