第五章、局域网VLAN设计.pptVIP

网络基础设施设计之第五章 ——局域网中的VLAN设计 一个案例 一个公司，组建了自己的局域网，并在完成了布线、互联设备、接入方式等网络基础设施的建设。（如何进行全面的局域网的基础设施的设计步骤到以后的章节学习） 大概的网络拓扑结构为下图： 出现了问题 （1）?当公司局域网中有时出现某台机器网卡损坏时，整体的网络性能会变差 （2）当网络中某台计算机中毒，有时整个网络会变慢，甚至会瘫痪 （3）其中一个部门想把自己的部门几台电脑连接到集线器上，结果产生广播风暴时，殃及了整个公司的网络 解决办法 上一个例子表明，使得局域网整体瘫痪的首要因素就是广播风暴和广播域的问题。 所以，在局域网的设计中，合理的划分广播域，会提高很多网络效率和减少对网络的影响。 可以把一个LAN划分成多个逻辑的LAN——VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，在没有上层设备相连的前提下，VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。 Vlan的优点 1. 限制广播域。广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。　2. 增强局域网的安全性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。　3. 灵活构建虚拟工作组。用VLAN可以划分不同的用户到不同的工作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。　VLAN是在数据链路层的，划分子网是在网络层的，所以不同子网之间的VLAN即使是同名也不可以相互通信。 深入剖析局域网中VLAN的通信原理 在把VLAN技术真正应用到局域网的基础设施设计案例中，必须要深入的了解VLAN的通信原理。 下面通过一个实例来了解VLAN在局域网中的通信原理。 实例 一个由5台二层交换机（交换机1～5）连接了大量客户机构成的网络。假设这时，计算机A需要与计算机B通信。在基于以太网的通信中，必须在数据帧中指定目标MAC地址才能正常通信，因此计算机A必须先广播“ARP请求（ARP Request）信息”，来尝试获取计算机B的MAC地址。 交换机1收到广播帧（ARP请求）后，会将它转发给除接收端口外的其他所有端口，也就是Flooding了。接着，交换机2收到广播帧后也会Flooding。交换机3、4、5也还会Flooding。最终ARP请求会被转发到同一网络中的所有客户机上。 这个ARP请求原本是为了获得计算机B的MAC地址而发出的，只要计算机B能收到就可以。可是事实上，数据帧却传遍整个网络，导致所有的计算机都收到了它。如此一来，一方面广播信息消耗了网络整体的带宽，另一方面，收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理。造成了网络带宽和CPU运算能力的大量无谓消耗。 广播域的分割与VLAN的必要性 如果整个网络只有一个广播域，那么一旦发出广播信息，就会传遍整个网络，并且对网络中的主机带来额外的负担。因此，在设计LAN时，需要注意如何才能有效地分割广播域。 分割广播域时，一般都使用到路由器。使用路由器后，可以以路由器上的网络接口（LAN Interface）为单位分割广播域。但是，通常情况下路由器上不会有太多的网络接口，其数目多在1～4个左右。与路由器相比，二层交换机一般带有多个网络接口。因此如果能使用它分割广播域，那么灵活性会大大提高。 用于在二层交换机上分割广播域的技术，就是VLAN。 实现VLAN的机制 首先，在一台未设置任何VLAN的二层交换机上，任何广播帧都会被转发给除接收端口外的所有其他端口（Flooding）。例如，计算机A发送广播信息后，会被转发给端口2、3、4。 如果在交换机上生成红、蓝两个VLAN；同时设置端口1、2属于红色VLAN、端口3、4属于蓝色VLAN。再从A发出广播帧的话，交换机就只会把它转发给同属于一个VLAN的其他端口——也就是同属于红色VLAN的端口2，不会再转发给属于蓝色VLAN的端口。 同样，C发送广播信息时，只会被转发给其他属于蓝色VLAN的端口，不会被转发给属于红色VLAN的端口。 在一台交换机上生成红、蓝两个VLAN，也可以看作是将一台交换机换做一红一蓝两台虚拟的交换机。VLAN生成的逻辑上的交换机是互不相通的。因此，在交换机上设置VLAN后，如果未做其他处理，VLAN间是无法通信的。 VLAN的访问链接 交换机的端口，可以分为以下两种： 访问链接（Access Link） 汇聚链接（Trunk Link） 一、访问链接 指的是“只属于一个VLAN，且仅向该VLAN转发数据帧”的端口。在大多数情况下，访问链接所连的是客户机。 通常设置VLA