【文章內容簡介】 商的了。而現在，VLAN 的標準是 IEEE 提出的 協議，只有支持相同的開放標準才能保證網絡的互連互通，以及保護網絡設備投資。下面講述一下 VLAN 的優(yōu)點:減少移動和改變的代價，即所說的動態(tài)管理網絡，也就是當一個用戶從一個位置移動到另一個位置是，他的網絡屬性不需要重新配置，而是動態(tài)的完成，這種動態(tài)管理網絡給網絡管理者和使用者都帶來了極大的好處，一個用戶，無論他到哪里，他都能不做任何修改地接入網絡，這種前景是非常美好的。 當然，并不是所有的 VLAN 定義方法都能做到這一點。12 / 52虛擬工作組，VLAN 的最具雄心的目標就是建立虛擬工作組模型，例如，在校園網中，同一個系的就好象在同一個 LAN 上一樣，很容易的互相訪問，交流信息，同時，所有的廣播包也都限制在該虛擬 LAN 上，而不影響其他 VLAN 的人，一個人如果從一個辦公地點換到另外一個地點，而他仍然在該系，那么，他的配置無須改變，同時，如果一個人雖然辦公地點沒有變，但他換了一個系，那么，只需網絡管理者那配置一下就行了。這個功能的目標就是建立一個動態(tài)的組織環(huán)境，當然，這只是一個遠大的目標，要實現它，還需要一些其他包括管理等方面的支持。限制廣播包，按照 透明網橋的算法，如果一個數據包找不到路由，那么交換機就會將該數據包向所有的其他端口發(fā)送，這就是橋的廣播方式的轉發(fā)，這樣的結果，毫無疑問極大的浪費了帶寬，如果配置了 VLAN，那么，當一個數據包沒有路由時，交換機只會將此數據包發(fā)送到所有屬于該 VLAN 的其他端口，而不是所有的交換機的端口，這樣，就將數據包限制到了一個 VLAN 內。在一定程度上可以節(jié)省帶寬。安全性，由于配置了 VLAN 后，一個 VLAN 的數據包不會發(fā)送到另一個 VLAN，這樣，其他 VLAN 的用戶的網絡上是收不到任何該 VLAN 的數據包，從而就確保了該 VLAN 的信息不會被其他 VLAN 的人竊聽，從而實現了信息的保密。理論上，VLAN 可以擴展到 WAN 上，但是，這是不明智的做法，因為 VLAN 允許廣播包發(fā)送出去，而且它沒有很好的路由算法，經常是以廣播的形式轉發(fā)數據包，這樣，毫無疑問，極大地浪費了 WAN 的寶貴的帶寬，所以說，將基于端口的，MAC 地址和網絡地址的 VLAN 擴展到 WAN，是不合理的，而基于多播的 VLAN 概念則可以靈活有效的擴展到 WAN。一般的以太網交換機實現的都是基于端口的 VLAN，個別的會實現基于MAC 地址和網絡層地址的 VLAN，而路由器中可以通過 IGMP 多播協議實現所謂的組播形式的 VLAN 。綜上所述，建議 華康醫(yī)藥公司域網實行 VLAN 的劃分，各個二級節(jié)點和關鍵部門可以劃分不同的 VLAN，以保證華康醫(yī)藥公司網絡的可靠性能。13 / 52 第三層交換與路由一、交換技術的發(fā)展 計算機技術與通信技術的結合促進了計算機局域網的飛速發(fā)展，從 20 世紀 60 年代末 Aloha 網的出現，到 90 年代后期千兆交換式以太網的登臺亮相，短短的 30 年間，經歷了從單工到雙工、從共享到交換、從低速到高速、從簡單到復雜、從昂貴到普及、從第二層交換到多層交換的飛躍。 1．第二層交換 在剛開始組建局域網時，主要局限于主機連接、文件和打印共享，多個用戶共享10Mbps 帶寬就能滿足這些需求。隨著網絡規(guī)模的日益擴大，先前的網絡系統已不能勝任，這是因為在局域網中，最早的網絡互聯設備是集線器，它是第一層（物理層）設備。由于在這種基于 CSMA/CD 物理層協議的網絡中，經常發(fā)生用戶數據的沖突，并由此導致重發(fā)數據，使傳輸的效率大大降低。當時采用了第二層（數據鏈路層）設備網橋，它起到細化網段和減小沖突域的作用，從而優(yōu)化了局域網的性能。但網橋是對高層(第三層以上)協議透明的設備，不能有效阻止廣播風暴，因此需要采用路由器。路由器在子網間互聯、安全控制和廣播風暴限制等方面起了關鍵的作用，但復雜的算法、較低的數據吞吐量使其成為網絡的瓶頸。為了解決以上問題，業(yè)界對網橋進行了改進，制造出局域網交換機，用它來替代集線器，以提高網絡的性能。 局域網交換機是一種第二層網絡設備，它在運行過程中不斷收集和建立自己的MAC 地址表，并且定時刷新。它的引入使網絡各站點之間可獨享帶寬，消除了無謂的沖突檢測和出錯重發(fā)，提高了傳輸效率，而且是點對點傳送用戶數據，其他節(jié)點是不可見的。但第二層交換也有其弱點，包括不能有效解決廣播風暴、異種網絡互聯和安全性控制等問題。因此，產生了交換機上的 VLAN（虛擬局域網）技術。 2．第三層交換 14 / 52 第二層交換機工作在 OSI 參考模型的第二層數據鏈路層上，主要功能包括物理編址、網絡拓撲結構、錯誤校驗、幀序列以及流量控制等。為了改進交換機的性能，又推出了第三層交換機，它在保留第二層計算機所有功能的前提上，增加了許多新的功能，如對 VLAN 的支持、對鏈路匯聚的支持，甚至具有防火墻的功能等。簡單來說，所謂的第三層交換機就是在基于協議的 VLAN 劃分時，增加了路由功能。 第三層交換機是 Intra 應用的關鍵，它將第二層交換機和第三層路由器兩者的優(yōu)勢有機而智能化地結合成一個靈活的解決方案，可在各個層次提供線速性能。這種集成化的結構還引進了策略管理屬性，不僅使第二層與第三層相互關聯起來，而且還提供流量優(yōu)先化處理、安全訪問機制以及其他多種功能。 第三層交換機分為接口層、交換層和路由層等 3 個部分。接口層包含了所有重要的局域網接口，如 10/100Mbps 以太網、千兆以太網、FDDI 和 ATM 等；交換層集成了多種局域網接口，并輔之以策略管理，同時還提供鏈路匯聚、VLAN 和標記機制；路由層提供主要的局域網路由協議，包括 IP、IPX 和 AppleTalk 等，并通過策略管理，提供傳統路由或直通的第三層轉發(fā)技術。策略管理和行政管理相結合，使得網絡管理員能夠根據企業(yè)的特定需求調整網絡。 一般來說，第三層交換產品都采用可編程可擴展的 ASIC 芯片技術，可以提供以下一些豐富的特性： (1)在所有端口，針對所有網絡接口和協議的無阻塞線速交換和路由； (2)具有極高的吞吐量，數據包的轉發(fā)速度（即轉發(fā)包／每秒，pps）通常比中高端路由器還要快 10～100 倍； (3)多種協議的路由選擇，如 IP（RIPv1/vOSPF）、IP Multicast（DVMRP、PIM）和 IPX 等； (4)支持多種 VLAN 的劃分，能夠根據端口/MAC 地址、協議、IP 子網、IEEE 或 3COM ISL 等劃分； 15 / 52 (5)具有帶寬預留（RSVP）及具有服務類別（CoS）和服務質量（QoS）的業(yè)務量優(yōu)先級處理，支持 IEEE 和業(yè)務分類（DifferServ）； （6)可設定訪問列表控制(Access List Control)的過濾規(guī)則，或基于防火墻的安全策略； (7)支持通過以太網的點到點協議（PPPoE），支持安全用戶認證，配合用戶計費，增強用戶管理特性； (8)支持以太網帶寬單元遞增分配服務； (9)ASIC 的可編程性，支持諸如 IPv6 的技術和其他未來技術，保護用戶投資。 二、第三層交換與路由器的比較 在過去，網絡中的數據大都遵守80/20規(guī)則，即網絡中只有大約 20%的數據包是通過骨干路由器與中央服務器或企業(yè)網絡的其他部分進行通信，而 80%的網絡流量主要仍集中在不同的部門子網內。而現在，情況卻發(fā)生了根本性的變化，以至形成了20/80規(guī)則。為了應付不斷增長的數據流量，共享介質型的網絡紛紛被交換型網絡所替代。這種變化對原來用于網絡分段的傳統路由器產生了直接的沖擊。鑒于大部分的數據流量都跨越 IP 子網，路由器事實上已經成為了網絡傳輸的瓶頸。 傳統的路由器主要功能是實現路由選擇與網絡互聯，即通過一定途徑獲得子網的拓撲信息與各物理線路的網絡特性，并通過一定的路由算法獲得達到各子網的最佳路徑，建立相應路由表，從而將每個 IP 包跳到跳（hop to hop）傳到目的地。 其次，它必須處理不同的鏈路協議。IP 包途經每個路由器時，需經過排隊、協議處理和尋址選擇路由等軟件處理環(huán)節(jié)，造成延時加大。同時路由器采用共享總線方式，總的吞吐量受到限制，當用戶數量增加時，每個用戶的接入速率降低。路由器更注重對多種介質類型和多種傳輸速度的支持，而目前數據緩沖和轉換能力比線速吞吐能力和低時延更為重要。雖然路由器的性能最近也得到了一定的提高，大約達到 1Mpps，但采用這種路由器的費用也高得驚人。 16 / 52 和路由技術相比，交換技術的好處就是速度快，當網絡規(guī)模很大時，高速、大容量路由器是十分必要的。另一方面，由于現代通信網絡大都采用光纖技術，所以現在數據網絡的主要瓶頸是節(jié)點路由器?，F在的第三層交換、路由交換或其他名詞都是這種思路的結果。雖然第三層交換最初是為局域網設計的，它采用目的 IP 地址進行交換，但是現在這種技術也已經開始在廣域網中使用。 第三層交換在現在的網絡建設中起著越來越重要的作用，它不需要將廣播封包擴散，而是直接利用動態(tài)建立的 MAC 地址來通信，如 IP 地址、ARP 等，具有多路廣播和虛擬網間基于 IP 和 IPX 等協議的路由功能，這方面功能的順利實現，主要依靠專用集成電路（ASIC）。把傳統的路由軟件處理的指令改為 ASIC 芯片的嵌入式指令，從而加速了對包的轉發(fā)和過濾，使得高速下的線性路由和服務質量都有了可靠的保證。 三、第三層交換的應用 第三層交換機的應用其實很簡單，主要用途是代替?zhèn)鹘y路由器作為網絡的核心。因此，凡是沒有廣域網連接需求，同時又需要路由器的地方，都可以用第三層交換機來代替。 在企業(yè)網和校園網中，一般會將第三層交換機用在網絡的核心層，用第三層交換機上的千兆端口或百兆端口連接不同的子網或 VLAN。這樣網絡結構相對簡單，節(jié)點數相對較少。 另外，其不需要較多的控制功能，并且成本較低。 在目前火爆的寬帶網絡建設中，第三層交換機一般被放置在小區(qū)的中心和多個小區(qū)的匯聚層，第三層交換機的出現動搖了企業(yè)路由器的地位。正如路由器統治廣域網一樣，第三層交換機將在今后主宰局域網已成為不爭的事實。 從當前國內的情況來看，第三層交換機發(fā)展勢頭良好?？上驳氖?，許多國內廠商紛紛推出第三層以太網交換機，而且性能良好。第三層交換機在應用方面具有以下特點。 1．擔當骨干交換機 17 / 52 第三層交換機一般用于網絡的骨干交換機和服務器群交換機，也可作為網絡節(jié)點交換機。在網絡中，同其他以太網交換機配合使用，網絡管理員能構造無縫的10/100/1000Mbps 以太網交換系統，為整個信息系統提供統一的網絡服務。這樣的網絡系統結構簡單，同時還具有可伸縮性和基于策略的 QoS 服務等功能。第三層交換機為網絡提供 QoS 服務的內容包括優(yōu)先級管理、帶寬管理、VLAN 交換等?；诓呗缘腝oS 使得網絡管理員能為各種不同類型的網絡流量包括 TCP/UDP 會話按優(yōu)先級分配帶寬，而且沒有任何交換性能上的損失。 由于應用的需求，骨干交換機多為千兆交換機，所以目前第三層交換機也多為千兆交換機，可以提供 10/100Mbps 自適應端口和千兆端口，既可以連接銅線，也可以連接光纖，并提供高性能的背板通道。這類交換機有機柜式的，也有可堆疊的，可以根據不同的情況選用。 2．支持 Trunk 協議 在應用中，經常有以太網交換機相互連接或以太網交換機與服務器互聯的情況，其中互聯用的單根連線往往會成為網絡的瓶頸。采用 Trunk 技術能將若干條相同的源交換機與目的交換機的以太網連接線從邏輯上看成一條連接線。這樣既保證局域網不會出現環(huán)路，同時也有效地加大了連接帶寬。性能良好的第三層交換機全面支持Trunk 協議，一些可支持 8 組 Trunk，從而能夠有效解決了企業(yè)局域網中的連接帶寬問題。 3．實現組播和自學 一些第三層除了支持動態(tài)路由協議 RIP 和 OSPF 外，針對日漸流行的支持多點組播的需求，還能夠實施基于標準的多點組播協議，如距離矢量多點組播路由協議（DVMRP）。 第三層交換機還可以支持自學習功能，它能自動發(fā)現主機的 IP 地址與連接端口的對應關系，而不使用任何路由協議。一旦把交換機接入網絡，它就通過不斷地偵聽18 / 52ARP、RIP 和 ICMP 數據包來學習所有連接的主機的 IP 地址和子網掩碼信息。根據學習到的信息，交換機將建立和維護路由表中的路由信息，并且自動地為所有 IP 數據包提供路由服務。 4．提高安全性 在網絡中，對于所傳輸數據包，出于安全考慮，需要根據很多規(guī)則對數據進行過濾，確保只有符合規(guī)定的數據包才能通過第三層交換機。第三層交換機支持內部具有硬件的過濾器，能在不降低系統性能的情況下對所有數據包進行過濾，而且能根據從第二層到第七層的任意內容對數據包進行過濾。 第三層交換機的典型應用如圖所示。 在上圖中，是一個三級交換結構的局域網，其中骨干交換機是一臺第三層交換機，通過它來劃分不同功能的邏輯子網（圖中有 4 個），并通過網絡管理系統對整個網絡進行集中式控制和管理，包括監(jiān)控、調整網絡的運行狀態(tài)、自動分配用戶的 IP 地址、統計網上信息流量及用戶的使用情況等內容?？芍苯舆B到骨干交換機的設備有路由器、各種服務器、中心工作站和二級交換機。二級交換機可選用普通的第二層交換機。第三級交換機可以選用第二層交換機或集線器。19 / 52 綜上所述，第三層交換技術是現在解決虛擬網通訊的最成熟的技術，它在路由交換機中運行 RIP、OSPF 或 PIM 等路由協議，獲得網絡拓撲信息，通過監(jiān)