網路規劃與管理技術第 八章 VLAN 網路規劃與管理     下一頁

第八章 VLAN 網路規劃與管理

8-1 虛擬區域網路簡介

內容:

8-1-1 VLAN Switch

虛擬區域網路(Virtual Local Area Network, VLAN)(IEEE 802.1Q 規範)即是利用某一特定技術,將某些工作站(或電腦)組織設定一個『邏輯網路』(Logical Network)。經過  VLAN 技術的處理,一個網路區段 (或稱 IP 子網路) 裡可再區分成多個虛擬區域網路(VLAN),我們先來探討分割出來的現象,再來討論其功能。

8-1 192.168.1.0/24 網路區段的區域網路,利用三只具有『虛擬區域網路功能』的 Switch/Hub 設備,串接了 12 部電腦(可能是工作站或伺服器)。吾人利用 VLAN 技術將此 12 部電腦組合成三個虛擬區域網路,被組合 VLAN 電腦可以不是同一 Switch 底下的電腦,可以跨接其他 Switch下電腦的組合。譬如 VLAN0 中的 PC0PC1 Sw0 上,又 PC4 PC5 SW1 交換器上。目前工業技術進步神速,網路連結設備幾乎很難買到 Hub,大多是具有 VLAN Layer 2 Switch Layer 3 Switch。我們這裡就用 Layer 2 Switch 做範例說明。

又每一個 VLAN 為何會連接那些電腦,大多為了劃分工作群組,也就是同一 VLAN 內的電腦通訊非常頻繁,期望他們之間通訊不要影響到其他電腦。假設 PC0 是一個資料庫伺服器,專供應 PC1PC4PC5 電腦使用,其他電腦甚少使用到,則將他們組合一個 VLAN

 

8-1 實體區域網路範例

8-2 為圖 8-1 分割成三個 VLAN 的邏輯架構圖。假設圖 8-1 Switch 皆是 Layer 2 Switch,它們僅負責訊框轉送,並不理會 IP 位址。由外部來看圖 8-2 還是 192.168.1.0/24 網路區段,但它內部已被虛擬化三個 VLAN0 ~ VALN2,之間並利用一只『虛擬橋接區域網路』(Virtual Bridged LAN, VBLAN) 連結。VBLAN 如同實體橋接器相同,具有學習與訊框轉送(Relay) 功能。

 

8-2 虛擬區域網路的邏輯概念圖

8-1-2 VLAN 網路優點

規劃虛擬區域網路的優點,如下:

(1) 減抵『廣播網域』(Broadcast Domain)

每一個虛擬區域網路即是一個廣播網域。在網路上廣播封包是非常普遍的,譬如發送 ARPARAP 或群播訊框時,會將廣播訊框發送到網路區段的每一角落。如果經過虛擬區域網路分割後,廣播訊框會被 VBLAN 橋接器隔離,不會亂竄到所有網路角落上。以發送 ARP 為例,當 PC0 發送 ARP 訊框查詢某一工作站的 MAC 位址時,VBLAN 收到該訊框並由其內容得知查詢哪  IP MAC 位址時,如果在它的 ARP Catch 裡查詢出來,便直接回應,不用再往後廣播,如此即可減低廣播訊框的流量。

(2) 具有『防火牆』(Firewall) 功能

訊框(或封包)僅限於虛擬網路上廣播,則其外部網路就很難偷窺視訊框內容,如此即具有隱藏訊框達到防火牆內容。

(3) 劃分『工作群組』(Workgroup)

CSMA/CD 協定(Ethernet 網路)的特性而言,傳送訊框都用廣播方式。當某一部電腦要傳送給另一部電腦時,它就將訊框廣播到網路上,網路上所有電腦都收到該訊框,再由訊框標頭內的目地位址判斷是否傳送給自己,如果是就將它收起來,如果不是就將它拋棄。由此可見,任何訊框的發送都會影響到所有電腦。在企業內網路系統,大多有依其工作需求,劃分若干個工作群組。同一群組內電腦間通訊會比較頻繁,如果虛擬區域網路能配合工作群組劃分,則可減低許多不需要的訊框流量,如此可以提供網路效益許多,也可以達到安全隱密的功能( VLAN 網路之間無法收到訊息)

(4) 散居『子網路區段』位置

如果利用 Router 劃分子網路區段,並以 Switch 擴充連接工作站(Switch/Router 網路),那麼子網路區段將侷限於 Switch 放置。如果 Switch 具有 VLAN 功能,則任何埠口都可以被分配到某一子網路區段,如此一來,多部 Switch 散居地理環境任何位置,經過埠口指定子網路區段,則某一子網路區段的工作站也可以散居各處。

8-1-3 VLAN 網路 組態

劃分虛擬區域網路的方法大多與網路設備有關(Layer 2 Layer 3 Switch),有下列幾種方法:

(1) 『埠口基礎的虛擬區域網路』(Port-based VLAN)

劃分虛擬區域網路是依照交換器的埠口而定,即是指定某些埠口為一個 VLAN 範圍,但埠口可以在同一網路的不同交換器上。此方式 Layer 2 Layer 2 Switch 都可以。以 Layer 2 Switch 為例,大多僅具有訊框交換的功能,它依照訊框標頭的目地位址傳送到相對應埠口上,因此它具有學習(如橋接器)與轉送的功能,但大多沒有擴張樹展開的功能,無法避免網路迴圈會造成學習困難。如果我們將它設定成虛擬區域網路,則 VBVLAN 橋接器就具有擴張樹功能,可以避免網路迴圈的問題。

Port-based 劃分虛擬區域網路的缺點是工作站的位置不可隨意變遷,需固定連結在某埠口上,有時候會造成許多困擾。埠口經過設定哪一個 VLAN 後,大致不能再任意改變,此方法又稱為『靜態虛擬區域網路』(Static VLAN)

(2) MAC 基礎的虛擬區域網路』(MAC-based VLAN)

以連接埠口劃分 VLAN 的缺點是工作站位置不可以隨意變遷。如果以 MAC 位址來區分,可能就能解決此問題,這種方式可適用於 Layer 2 Layer 3 Switch 上。但必須查詢每部電腦上網路卡的 MAC 位址,也會造成困擾。具有 MAC-based VLAN 功能的交換器( Cisco 5000 系列交換器)支援 VMPS(VLAN Management Policy Server) 功能,它內部有一個資料庫,可供輸入工作站的 MAC 位址,以及相對應的 VLAN 編號。

利用 MAC-based 分割的 VLAN,將不限制於工作站連接於哪一個傳輸埠口,並可以任意變更連接埠口及位置,又稱為『動態虛擬區域網路』(Dynamic VLAN)

Layer 3 Switch 又稱為多埠口路由器,在每一連接埠口可以設定靜態路由表,轉送子網路 IP 封包功能,但大多沒有動態路由功能。如果經由虛擬網路設定後,VBLAN 就具有動態路由的功能,就好像多個路由器共用一只動態路由功能一樣。

看起來利用 IP 子網路劃分可以解決許多工作站配置的問題,但它還是有缺點。利用 IP subnet 劃分子網路後,還是必須保『預定路由』與『廣播位址』兩個 IP 位址,無形之中也浪費了兩個 IP 位址,這也是考慮的因素之一。

8-1-4 VLAN 訊框轉送

了解 VLAN 運作原理之後,接下來討論其『訊框轉送』(Frame Relay)(IEEE 802.1q)方式如何,做法是交換器內部有一個『虛擬橋接 VLAN(Virtual Bridge VLAN, VBVLAN) 負責轉送訊框。當交換器埠口收到訊框(Ethernet 訊框)後,埠口(Port-based VLAN)再依照它所屬的 VLAN 網路序號 (Vlan id)製作一個標籤,並貼在訊框的前面,轉送給 VBVLANVBVLAN 取出標籤並讀取內容,再將它所送到該 Vlan id 網路下所有埠口。我用幾個網路架構來探討

(A) 單一交換器架構

8-3 是利用一個交換器依照埠口劃分兩個 VLAN 的架構圖。圖 8-3 (A) 表示由同一交換器上,依照埠口劃分 Vlan 0 Vlan 1 兩個虛擬區域網路。同 8-3 (B) 是它的內部示意圖。當 PC0 欲傳送訊框給 PC3 時,兩者不在同一 VLAN 上。對 PC0 而言,它根本無須理會到底在哪一個 VLAN 上,他將原訊框發送出去,但它所接的埠口已經被設定為 VLAN0 成員,埠口會將收到的訊框包裝成 VLAN 訊框,以 CISCO ISL 為例,則將 ISL 標頭加在訊框前面,再傳送 VBLANVBLAN 橋接器再依照內部過濾資料庫轉送到 PC3 所接的埠口,該埠口也是被設定成具有 VLAN 功能,它會將 VLAN 訊框還原,再發送給 PC3。到底如何轉送,則由 ISL 內訊息而定,下一節將會討論到。

 

8-3 單一交換器劃分虛擬區域網路架構

(B) 多交換器架構

8-4 是利用 3 個交換器架構網路,並劃分為 VLAN0VLAN1 VLAN2 3 個虛擬區域網路。以  CISCO 交換器為例,其傳輸埠口如設定為 Trunk 功能,則具有傳輸骨幹的功能列用 Trunk 埠口將若干個交換器組織成一個較大的區域網路。如 VLAN0 PC0 電腦欲傳送訊息給 PC2PC0 發送原訊框到 SW0SW0 交換器將訊框前面加入 ISL 標頭(下一節討論),再發送給 SW2 交換器,再傳送給 SW1SW1交換器拆解回原來訊框,再發送給 PC2 電腦。

虛擬區域網路即是利用 ISL 訊框標頭來註明,該訊框是屬於哪一個 VLAN(VLAN0 ~ VLAN2) 網路下的成員,虛擬化功能即是利用 ISL 標頭內訊息來達成。

 

8-4 多交換器架構

(C) TrunkNative VLAN VLAN ID

VLAN Trunking Protocol(VTP)(IEEE 802.1q) 是建構 VLAN 的主要功能,並非所有交換器都具有,但隨著時代的進步,目前 Cisco 交換器上 Fast EthernetGigabit Ethernet 連接埠口都具有此功能。交換器之間利用 Trunk protocol 交換訊息達到 VLAN 的功能。另外,一般交換器都具有多種 VLAN 的組態方法,但較普遍使用的還是 Port-based VLAN 較常見。設定方法是分別指定傳輸埠口是屬於哪一個 VLAN 成員,如果沒有指定的話,該埠口就屬於『原生 VLAN(Native VLAN)。內定 Native VLAN 成員的傳輸埠口都可以相互通訊,簡單的說,就是所屬埠口沒有被規劃 VLAN 功能的意思。

每一個 VLAN 都需指定一個VLAN ID (VID) 識別碼,由 12 位元組合,由 1 ~ 212之間號碼,且『原生 VLAN』大多設定在 VID = 1

 

翻轉工作室:粘添壽

 

網路規劃與管理技術:

 

 

翻轉電子書系列: