《计算机网络工程》第4篇 网络的互联2.ppt

4.3 VLAN、DHCP、NAT 第4章 网络的互联（TCP/IP） VLAN 通过主干，LAN 被分隔为连接的工作组，来形成 VLAN 拓朴。VLAN 逻辑上将物理 LAN 结构分隔为不同的子网络 (或是以太网络的广播域)。广播帧只会在相同 VLAN 之间的端口做交换 最初 VLAN 提供端口对应的功能，在设备的默认组之间建立一个广播域。目前的网络设备会要求 VLAN 涵盖整个网络的功能。这个 VLAN 的方法 允许我们将网络中被地理位置分隔的用户，分成若干个组的虚拟拓朴。VLAN 设置将用户依照逻辑联系组成群，而不是物理位置 VLAN 传统的LAN 传统的LAN会依照连接的物理结构来设定。使用者依照连接集线器插入的位置以及缆线如何连接分线箱来进行分组 目前安装的大部分网络只能提供十分有限的逻辑区段。用户通常根据与共享式集线器及集线器之间的路由器端口的连接来组成群。这个拓朴只提供在不同集线器(一般位于不同的楼层)之间的区段，而不是在连接到相同集线器的用户之间的区段。这会给网络带来实际的限制，而且会限制用户可以组成群的方式。有少数的共享式集线器结构拥有一些组成群的功能，但是会限制设定逻辑定义工作组的方式 传统LAN vs VLAN VLAN的特点 在使用 LAN 交换式设备的 LAN 中，VLAN 拓扑是一个非常有经济效益与效率的方式。它将网络用户组成虚拟工作组，而不用顾虑物理的网络位置 VLAN在OSI参考模型的第2层与第3层中运作 VLAN之间的通讯由第3层路由所提供 VLAN提供一种控制网络广播的方法 网络管理员将用户指定到VLAN VLAN可以通过定义哪一个网络节点可以与其它节点通讯来增加网络安全性 VLAN的分组 使用VLAN技术，你可以将交换端口与连接的用户定义为逻辑工作组，例如： 在同一部门共同工作者 功能交叉的生产组 不同的用户组分享相同的网络应用程序或软件 可以将这些端口与用户在单一的交换机或连接的交换机上分组为工作组。利用通过多个交换机将端口与用户组成群的方式，VLAN 可以扩充单一的建筑结构、相互连接的建筑、甚至是广域网络 (WAN) VLAN的分组 VLAN的主干传输 对任何 VLAN 结构而言，重要的是要有能力在位于企业主干互相连接的交换机与路由器中传输 VLAN 信息。这些传输的能力包括： 消除使用者之间的物理边界 当使用者移动后，增加 VLAN 解决方案的配置的灵活性 提供主干系统之间的互操作性的机制 VLAN的主干传输 主干网络通常扮演大量流量的收集点。同时它会传输最终用户 VLAN 的信息，以及位于交换机、路由器与直接连接的服务器的识别信息 在主干网络中，高带宽、高容量链接通常会被选来传送遍及整个企业的流量 路由器和VLAN 路由器传统的角色是提供挡火墙、广播管理以及路径处理与转发。当 VLAN 交换机处理一些这样的工作，路由器在 VLAN 结构中仍然很重要，因为它们在不同 VLAN 之间提供连接 路由器也连接网路的其它部份，可能是多个传统子网络通路的逻辑区段，或是需要通过广域链接访问的网站 第3层通讯是任何高效能交换式结构不可缺少的部分，可能内嵌于交换机中或是由外部提供 路由器和VLAN 可以使用一个或多个高速的主干网络连接，将经济、有效的综合外部路由器结合到交换式结构中。这些连接通常是高速以太网或是ATM连接，并且它们提供以下的优点： 增加交换机与路由器之间的吞吐量 巩固加强 VLAN 之间，需要通讯的所有物理路由器的端口 VLAN 结构不只提供逻辑区段，如果仔细的规划，也可以大量的增进网络的效率 交换机和VLAN 交换机是VLAN通讯核心组件中的一个。根据网络管理员所定义的VLAN权值，每个交换机都可以智能作出过滤与转发帧的决定 交换机也可以把这个信息与网络中其它交换机与路由器做通讯 交换机和VLAN 将用户逻辑划分成组，在VLAN标识，最普遍的方式是帧过滤与帧识别 frame filtering frame identification (frame tagging） 这二个技术在交换机接收与转送时会寻找帧 交换机和VLAN 根据由管理员定义的规则设定，这些技术会决定帧要转发、过滤或广播到哪里 这些控制机制可以被集中管理 (利用网络管理软件) 并且可以轻易的在网络中完成 帧过滤 帧过滤会测试关于每个帧的特殊信息。依照 LAN 交换机的复杂性，可以根据工作站的MAC地址或网络层协议类型来组成群用户 交换机会比较表格条目与需要过滤的帧，并且会根据条目做出适当的动作 帧标签 在早期，VLAN 是以过滤为基础，并且根据过滤表来组成用户群。这个模型的扩展能力并不好，因为每个帧都必须参考过滤表 另一方面，帧标签会指定唯一的 V