随着交换机应用的普及,VLAN技术的应用也越来越广泛。众所周知,VLAN技术的主要作用是可将分布于不同地理位置的计算机按工作需要组合成一个逻辑网络,同时VLAN的划分可缩小广播域,以提高网络传输速度,由于处于不同VLAN的计算机之间不能直接通信,从而使网络的安全性能得到了很大提高。但事实上在很多网络中要求处于不同VLAN中的计算机间能够相互通信,如何解决VLAN间的通信问题是我们在规划VLAN时必须认真考虑的问题。在校园网络发展的初期,网络中只有10%~20%的信息在VLAN之间传播,但随着多媒体技术在校园网络中应用的迅速普及,VLAN之间信息的传输量增加了许多倍,如果VLAN之间的通信问题解决得不好,将严重影响网络的使用和安全。
在LAN内的通信,是通过数据帧头中指定通信目标的MAC地址来完成的。而为了获取MAC地址,TCP/IP协议下使用ARP地址协议解析MAC地址的方法是通过广播报文来实现的,如果广播报文无法到达目的地,那么就无从解析MAC地址,亦即无法直接通信。当计算机分属不同的VLAN时,就意味着分属不同的广播域,自然收不到彼此的广播报文。因此,属于不同VLAN的计算机之间无法直接互相通信。为了能够在VLAN间通信,需要利用OSI参照模型中更高一层——网络层的信息(IP地址)来进行路由。在目前的网络互连设备中能完成路由功能的设备主要有路由器和三层以上的交换机。
1 通过路由器实现VLAN间的通信
使用路由器实现VLAN间通信时,路由器与交换机的连接方式有两种。第一种通过路由器的不同物理接口与交换机上的每个VLAN分别连接。第二种通过路由器的逻辑子接口与交换机的各个VLAN连接。
1.1通过路由器的不同物理接口与交换机上的每个VLAN分别连接。
这种方式的优点是管理简单,缺点是网络扩展难度大。每增加一个新的VLAN,都需要消耗路由器的端口和交换机上的访问链接,而且还需要重新布设一条网线。而路由器,通常不会带有太多LAN接口的。新建VLAN时,为了对应增加的VLAN所需的端口,就必须将路由器升级成带有多个LAN接口的高端产品,这部分成本、还有重新布线所带来的开销,都使得这种接线法成为一种不受欢迎的办法。
1.2通过路由器的逻辑子接口与交换机的各个VLAN连接。
这种连接方式要求路由器和交换机的端口都支持汇聚链接,且双方用于汇聚链路的协议自然也必须相同。接着在路由器上定义对应各个VLAN的逻辑子接口E1.1和E1.2.由于这种方式是靠在一个物理端口上设置多个逻辑子接口的方式实现网络扩展,因此网络扩展比较容易且成本较低,只是对路由器的配置要复杂一些。
2. 用交换机代替路由器实现VLAN间的通信
目前市场上有许多三层以上的交换机,在这些交换机中,厂家通过硬件或软件的方式将路由功能集成到交换机中,交换机主要用于园区网中,园区网中的路由比较简单,但要求数据交换的速度较快,因此在大型园区网中用交换机代替路由器已是不争的事实。用交换机代替路由器实现VLAN间通信的方式也有两种,其一,就是启用交换机的路由功能,这种方式的实现方法可采用以上介绍的路由器方式的任一种。其二,是利用某些高端交换机所支持的专用VLAN功能来实现VLAN间的通信。下面就对这种方式作重点介绍。
专用VALN将端口分为混杂端口、隔离端口和群体端口三类,只有混杂端口能够和路由器或三层交换机连接。对应混杂端口的VLAN称为Primary VLAN,它可以和映射到混杂端口的所有隔离VLAN(Isolated VLAN)的端口及群体VLAN(Community VLAN)的
端口通信。Community VLAN的端口除了可以和Primary VLAN通信外,内部端口间也可以相互通信。Isolated VLAN内的端口只能和Primary VLAN的端口通信外,内部端口间是互相隔离的。
在神州数码公司的DCRS7504上的配置如下:
DCRS7504(config)#vlan 7
DCRS7504(config-vlan-7)#tagged Ethernet 1/5
DCRS7504(config-vlan-7)#pvlan type Community
DCRS7504(config-vlan-7)#exit
DCRS7504(config)#vlan 5
DCRS7504(config-vlan-5)#tagged Ethernet 1/7
DCRS7504(config-vlan-5)#pvlan type Isolated
DCRS7504(config-vlan-5)#exit
DCRS7504(config)#vlan 9
DCRS7504(config-vlan-9)#untagged Ethernet 1/3
DCRS7504(config-vlan-9)#pvlan type primary
DCRS7504(config-vlan-9)#pvlan mapping 7 ethernet 1/5
DCRS7504(config-vlan-9)#pvlan mapping 5 ethernet 1/7
专用VLAN在城域网建设中得到了广泛的应用,一个专用VLAN 不需要多个VLAN和IP子网就提供了具备第二层数据通信安全性的连接,所有的用户都接入专用VLAN,从而实现了所有用户与缺省网关的连接,而与专用VLAN内的其它用户没有任何访问,专用VLAN同样具有控制广播域的作用。
3 结束语
在当今的网络规划中,VLAN的设计是必不可少的,在考虑网络安全性能和传输速度的同时VLAN 间的通信问题也是十分重要的一个环节,由于网络产品的开发和应用速度相当快,目前VLAN间的通信还没有统一的标准,各厂家生产的网络设备在实现VLAN间通信的技术上各有所长,因此在具体的网络规划中应根据网络设备的特点和具体的网络应用情况来决定采用那种方式。
|
