虚拟网技术概述

/ns/wz/net/data/20010716230227.htm

尚久济 尚世雄

  虚拟网(VLAN)技术已经逐渐被人们所接收。在国外,各个标准制定组织正在努力寻找厂 商将他们的VLAN技术融合到最终产品中,以实现他们各自的虚拟网战略。

  虚拟网技术的出现是和局域网交换技术分不开的。局域网交换技术使用户抛弃了传统的路由器,并在很大程度上代替了人们早已熟知的共享型介质。随着以太网和令牌网交换设备平均端口价格的降低。一些有远见的厂商开始将目光投向大型局域网交换体系。这种网络工作方式非常适合虚拟网技术的应用,并迅速成为降低成本、增加带宽的一种有效手段。然而 ,早期的交换机是不具备路由功能的。从某种程度上说,它只是一个高速网桥。因此,在这种以交换为主的网络里,路由器在定义广播域的过程中发挥了主要作用。路由器可以很容易的跨越不同网段,支持多达500用户的广播域。但是,交换技术的应用也产生了其它一些问题。大量的广播信息所带来的带宽消耗和网络延迟对于很多用户来讲是不容忽视的。

  VLAN为路由器提供了一种可供选择的解决方案。VLAN中仍然需要路由器,仍然存在着广 播流量。不同的是,在我们将交换技术和虚拟网技术相结合后,网段中的用户可以尽可能的少,甚至可以只有一个User;而广播域则能大到包含1000以上的用户。另外,如果使用 得当,VLAN中的工作站可以移动到新的物理位置而不需要重新配置任何参数。


一、虚拟网的定义

  那么,究竟什么是VLAN呢?可以说,迄今为止,人们对于VLAN的理解是各不相同的。不过, 不管怎样,绝大多数人都会同意,VLAN在逻辑上等价于广播域。更具体的说,我们可以将VLAN 类比成一组最终用户的集合。这些用户可以处在不同的物理LAN上,但他们之间可以象在同一 个LAN上那样自收通信而不受物理位置的限制。在这里,网络的定义和划分与物理位置和物理连接是没有任何必然联系的。网络管理员可以根据不同的需要,通过相应的网络软件灵活的建立和配置虚拟网,并为每个虚拟网分配它所需要的带宽。


二、虚拟网的划分

  有很多种方式可以用来划分VLAN。本文中只讨论以下四种常见的方法:根据端口定义;根 据MAC地址定义;根据网络层定义;根据IP地址定义。

1.根据端口定义

  最初,许多VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广 播域中。例如,一个交换机的1,2,3,7,8端口被定义为虚拟网A,同一交换机的4,5,6端口组成 虚拟网B。这样做允许各端口之间的通讯,并允许共享型网络的升级。但遗憾的是,这种划分 模式将虚拟网限制在了一台交换机上。

  第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若 干个端口可以组成同一个虚拟网。

  按交换机端口来划分网络成员,其配置过程简单明了。因此,迄今为止,仍然是最常用的一种方式。但是,这种方式不允许多个VLAN种方式不允许多个VLAN共享一个物理网段或交换 机端口。而且,更糟糕的是,如果某一个用户从一个端口所在的虚拟网移动到另一个端口所在的虚拟网,网络管理员需要重新进行设置。这对于拥有众多移动用户的网络来说是不可想象的。


2.根据MAC地址定义

  按MAC地址定义的VLAN有其特有的优势。因为MAC地址是捆绑在网络接口卡上的,所以这 种形式的虚拟网允许网络用户从一个物理位置移动到另一个物理位置,并且自动保留其所属虚拟网段的成员身份。同时,这种方式独立于网络的高层协议(如TCP/IP,IP,IPX 等)。因此,从某种意义上讲,利用MAC地址定义虚拟网可以看成是一种基于用户的网络划分手 段。

  这种方法的一个缺点是所有的用户必须被明确的分配给一个虚拟网。在这种初始化工作完成之后,对用户的自动跟踪才成为可能。然而,在一个拥有成千上万用户的大型网络中,如果要求管理员将每个用户都一一划分到某一个虚拟网,这实在是太困难了。因此,有些厂商便将这项配置MAC地址的复杂劳动推给了他们的网络管理工具。这些网管工具可以根据当前网络的使用情况,在MAC地址的基础上自动划分虚拟网。


3.基于网络层的VLAN

  基于网络层的虚拟网使用协议(如果网络中存在多协议的话)或网络层地址(如TCP/IP中 的子网段地址)来确定网络成员的划分。

  利用网络层定义虚拟网有以下几点优势。第一,这种方式可以按传输协议划分网段。这对于希望针对具体应用和服务来组织用户的网络管理员来说无疑是非常有诱惑力的。其次, 用户可以在网络内部自由移动而不用重新配置自己的工作站,尤其是使用TCP/IP的朋友们。 第三,这种类型的虚拟网可以减少由于协议转换而造成的网络延迟。

  当然,缺点也总是有的。与利用MAC地址的形式相比,基于网络层的虚拟网需要分析各种协议的地址格式并进行相应的转换。因此,使用网络层信息来定义虚拟网的交换机要比使用数据链路层信息的交换机在速度上占劣劣势。而且,这种差异在绝大多数网络产品中都存在。另外,虽然按网络层划分的虚拟网对于使用TCP/IP协议的用户群来说是十分有效的。 但是,象IPX,DECnet,AppleTalk这样的协议运行在这种虚拟网络结构中似乎就不太合适了。 再者,对于某些"无法路由"的协议,如NetBIOS,按网络层定义虚拟网就更困难了。运行不可呼 由的协议的工作站是不能被识别的。因此也就不能成为虚拟网的一员。

  需要注意的是,虽然这种类型的虚拟网是建立在网络层的基础上,但交换机本身并不参与路由工作。当一个交换机捕捉到一个IP包,并利用IP地址确定其身份时,没有任何与路由有关 的计算产生。RIP以及OSPF等路由传输协议也不被采用。交换机只是作为一个高速网桥,简单 的利用扩展树算法将包转发给下一个节点上的交换机。这样看来,基于网络层的虚拟网之间的连接应该看成是一个类似于桥的拓扑结构。


4.根据IP广播组划分

  根据IP广播组定义是指任何属于同一IP广播组的计算机都属于同一虚拟网。这样的虚拟网是如下建立的:当IP包广播到网络上时,它将被传送到一组IP地址的受托者那里。这组被明 确定义地的广播组是在网络运行中动态生成的。任何一个工作站都有机会成为某一个广播组的成员,只要它对该广播组的广播确认信息给予肯定的回答。所有加入同一个广播组的工作站被视为同一个虚拟网的成员。然而,他们的这种成员身分可根据实际需求保留一定的时间。因此,利用IP广播域来划分虚拟网的方法给使用者带来了巨大的灵活性和可延展性。而且,在这种方式下,整个网络可以非常方便地通过路由器扩展网络规模。

  综上所述,有很多方式可以用来定义虚拟网。每种方法的侧重点不同,所达到的效果也不尽相同。现在,许多厂家已经开始着手在各自的网络产品中融合众多定义虚拟网的方法,以便使网络管理员能够根据实际情况选择一种最适合当前需要的途径。例如,一个使用IP和 NetBIOS协议的单位可以在原有IP子网的基础上定义IP虚拟网。而在IP网段内部又可以通过M AC 址进行虚拟网的进一步划分。另外,在某些情况下,网络用户和网络共享资源可以同时属 于多个虚拟网。(我们姑且成之为"交叉虚拟网"吧。)这种实际需求在后面我们将会遇到。


三、虚拟网间的信息传递

  交换机必须有一种方式来了解VLAN的成员关系,即哪一个工作站属于哪一个虚拟网。否则,虚拟网就只能局限在单交换机的应用环境里了。一般来说,基于数据链路层的虚拟网 (即按端口和MAC地址划分的VLAN),其成员是以直接的形式与其它成员联系的。而基于IP的虚 拟网成员之间是利用IP地址以间接的方式相互联系的。绝大多数利用网络层划分虚拟网的网络产品,其工作方式均属于后一种。

  现在,抛开ATM主干网不谈,已经有三种方式被用来实现VLAN之间的通讯:列表支持方式(T able Maintenance);帧标签方式(Frame Tagging);TDM(Time-Division Multiplexing,时分 复用)方式。

・交换机列表支持方式

  这种方式是按如下步骤工作的:当工作站第一次在网络上广播其存在时,交换机就在自己内置的地址列表中将工作站的MAC地址或交换机的端口号与所属虚拟网一一对应起来。并不断的向其它交换机广播。如果工作站的虚拟网成员身分改变了,交换机中的地址列表将由网络管理员在控制台上手动修改。随着网络规模的扩充,大量用来升级交换机地址列表的广播信息将导致主干网路上的拥塞。因此,这种方式并不太普及。

・帧标签方式

  在这种形式下,每个数据包都在包头位置上插入了一个标签以显示该数据帧属于哪个虚拟网。不同厂家的标签长度是不一样的。有时,一个数据包加上标签后的长度甚至超过了网络设备所能处理的极限。另一个问题是,由于标签的存在,网络负载加重了。

・TDM方式

  TDM在虚拟网上的实现方式与它在广域网上的实现方式非常类似。在这里,每个虚拟网都将拥有自己的网络通路。这样,在一定程度上避免了前两者方式中所遇到的问题。但另一方面,属于某一个虚拟网的时间片断只能被该虚拟网的成员使用。所以,仍然有很多带宽被浪费了。

  现在,非常流行的ATM网络也允许内部的两个交换机之间交换虚拟网信息。与上述三种方式都不同的是,ATM使用一种被称作LANE(LAN Emula-tion,局域网仿真)的技术来实现这项功 能。


四、虚拟网的标准

  从上述内容看来,虚拟网的定义方式以及交换机的通讯方式是多种多样的。每个厂家都有自己独特的虚拟网解决方案。然而,残酷的事实告诉我们,3COM的交换机是不可能与DEC的 交换机一起在虚拟网上亲密合作的。这就意味着,用户在购买硬件设备时不得不从头到尾依赖单一的网络厂商。(当然,一个例外就是ATM上的VLAN)因此,在最近的一段时间内,VL AN仍然是与厂商紧密相关的技术产物。

  迄今为止,业界已经通过了两种VLAN标准。

・802.10VLAN标准

  在1995年,Cisco公司提倡使用IEEE 802.10协议。在此之前,IEEE802.10曾经在全球范围 内作为VLAN安全性的同一规范。Cisco公司试图采用优化后的802.10帧格式在网络上传输Fra m Tagging模式中所必须的VLAN标签。然而,大多数802委员会的成员都反对推广802.10。因 为,该协议是基于Frame Tagging方式的。这样将导致不定常的数据帧,使A-SIC字符的传输变 得非常困难。

・802.1Q

  在1996年3月,IEEE 802.1 Internetworking委员会结束了对VLAN初期标准的修订工作。 新出台的标准进一步完善了VLAN的体系结构,统一了Fram-eTagging方式中不同厂商的标签格 式,并制定了VLAN标准在未来一段时间内的发展方向。被称为802.1Q的标准在业界获得了广 泛的推广。它成为VLAN史上的一块里程碑。802.1Q的出现打破了虚拟网依赖于单一厂商的僵 局,从一个侧面推动了VLAN的迅速发展。另外,来自市场的压力使各大网络厂商立刻将新标准 融合到他们各自的产品中。3COM,Alanee/FORE,Bay Networks,Cisco和IBM都声称他们的交换机支 持802.1Q。


五、虚拟网的优势

  为什么如此多的投资商都这么青睐虚拟网呢?VLAN究竟能给我们带来什么效益?VLAN真的 能减轻网络管理员的负担吗?

  1.减少因网络成员变化所带来的开销

  人们选择虚拟网的主要原因就是虚拟网能够减少用户的增加、删除、移动等工作产生的隐含开销。在任何一种规模的网络中,这笔开销都是不可低估的。考虑到这一点,人们才对V LAN如此的热衷。

  绝大多数厂商同都抱有这样一种观点。就是虚拟网的应用在很大程度上增强了对动态网络的集中式管理能力并相应的减少了这方面的开支。对于使用IP协议的网络,这点尤为突出。以前,如果一个用户移动到了另一个网段,那么,他所使用的工作站上的IP地址需要手动修改。这种升级过程既浪费时间又消耗精力。现在,VLAN中的用户已经不用再如此了劳神了。IP地址和工作站之间没有永久的必然的联系。用户可以在网络间漫游而不用考虑自己的成员身份。

  这种新出现的动态网络结构吸引了许多Internet应用服务投资商。然而,遗憾的是,并不 是每一种形式的VLAN都能给您带来意想不到的利润。一个VLAN与另一个VLAN之间的对话首先 必须建立在物理连接的基础上。其次还需要一个虚拟连接层。这两个层次之间的对应和管理手段都需要大量的投资。那是不是说,虚拟网不能为使用者节省开支了呢?不是的。如果使用得当,VLAN仍然会做得很好。只不过,公司的决策人千万不要简单 的把VLAN扔到网络上去而不管实际的需求和应用情况。虚拟网的建设所带来的投资和虚拟网在网络管理上节省下来的开支,孰轻孰重,是必须考虑的。

  2.虚拟工作组

  使用虚拟网的另一个目的是建立虚拟工作组模型。当企业级的虚拟网建成之后,某一部门或分支结构的职员可以在虚拟工作组模式下共享同一个"局域网"。这样,绝大多数的网络流量都限制在VLAN广播域内部了。当部门内的某一个成员移动到另一个网络位置上时,他所使用工作站不需要作任何改动。相反,一个用户根本不用移动他的工作站就可以调整到另一个部门去。管理员只需要在控制台上简单的敲两个键或挪动一下鼠标就可以了。

  VLAN的这种功能使人们以前曾设想过的动态网络组织结构成为了可能,并在一定程度上大大推动了交叉工作组的形成。那么,究竟什么是虚拟工作组呢?对一个公司而言,经常会针对某一个具体的开发项目临时组建一个由各个部门的技术人员组成的工作小组。他们可能来自经营部网络部,技术服务部等等。有了虚拟网,小组内的成员不用再集中到一个办公室里了。他们只要坐在自己的计算机旁就可以了解到其他伙伴们的开放情况。另外,虚拟网为我们带来了巨大的灵活性。当有实际需要时,一个虚拟工作组可以应运而生。当项目结束后,虚拟工作组又可以随这消失。这样,无论是对无论用户还是对网络管理员来说,VLAN都 是再诱人不过了。

  当然,还会有几个问题会影响到虚拟网上虚拟工作组模型的实现。


・虚拟工作组的管理

  网络管理一直都是令人头疼的问题。对于网络管理员来说,虚拟工作组频繁的变更会给他们带来许多意想不到的工作量。其繁冗程度不亚于手动修改路由列表。而且,从传统意义上讲,人们总还是在心理上希望能和同在一个工作组的其它成员在一起面对面的工作、交谈 ,而不是待在各自的屋子里通过没有生命力的网络间接的对话。

・对80/20规范的支持

  虚拟网对虚拟工作组的支持必须严格遵守80/20规范,即80%的网络流量限制在本地而另 外20%的流量参与与其它工作组之间的联系。理论上,如果划分得当,只有20%的非本地数据会 通过路由器到达远程节点。这样,既节省了宝贵的网络带宽又减少了网络延迟。但是,80/20规范在某些情况下会限制某些网络软件的使用。对于象Lotus Notes这样 的群件系统尤其如此。因为,整个网络上所有用户对应用软件的访问概率几乎是一样的。

・对本地局域网资源的访问

  这是虚拟工作组模式带来的一个小小的问题。用户经常和某些网络共享资源,如打印机在物理上离的很近。一旦使用起来那可就要费点事了。打个比方说,会计组的一名成员和许多经营组的成员同在一间办公室里。在她本地的计算机上就连接着一台计算机。但遗憾的是 ,这台打印机被划给经营虚拟组了。这样,所有对本地打印机发出的打印请求都必须首先通过连接两个虚拟网的路由器。您不觉得累了点么?当然,某些情况下,我们可以让两个虚拟网共享同一个网络资源,包括打印机。但如果实际情况不允许我们这么做,那么我们只能在主干网交换机上内置路由功能。虽然这样做会降低交换机的性能,但总比使用外部路由强。

・对服务器集群的访问

  服务器集群是指公司将所有的服务器都集中在数据中心。这样做可以实现冗余备份,充分利用良好的外部环境和不间断电源。目前,服务器集群已经成为减少网管开支的主要途径之一。然而,如果网络设备不支持交叉虚拟网的话,服务器集群的使用将使虚拟网络陷入尴尬局面。在这种情况下,中心服务器和处在不同虚拟网段的客户端之间的数据交换必须通过路由器。也许我们可以为每个工作组都提供一系列的本地服务器,但在绝大多数情况下这是不太可能的。另外,在某些网络环境中,MIS系统的工作人员总习惯性在服务器集群和其它网络设备之间放一个路由器。目的是通过对路由器访问扩展列表的管理加强网络的安全性。而对于绝大多数厂商来说,他们的交换机产品是不支持跨越路由器的虚拟网划分的。更糟糕的是,想想吧,我们为什么选择了交换机和虚拟网。其主要原因是为了减少路由器带来的网络延迟。而现在,服务器集群和MIS系统的存在使我们不得不又重新操起了传统的网络拓扑结构。这与虚拟网络的原本意图是格格不入的。


3.减少了路由器的使用

  现在,交换机的出现大大动摇了路由器在网络中的地位。新型的交换机集高速网桥和高性能路由于一身。其增长势头远远超过了传统的路由器。人们不禁惊呼"交换机的时代来临了。"即使是路由器生产厂商现在也开始抱有这样一种观点:"Switch when you can,routcan ,router when you must。"但另一方面,虽然交换机能够在网络层的基础上为观点用户提供 卓越的功能,但在短时间内,交换机仍然和网桥一样,无法过滤局域网内的广播信息。它只是简单的将广播信息进行复制,然后分发给各个端口。这样做经常会导致网络上的"交通"拥挤不堪,使交换机所带来的高带宽大打折扣。因此,用户们不得不使用路由器将本网段和其它网段隔离开。路由器的作用就象是一个针对广播信息的防火墙。顺便插一句,由此看来,交换机本身是不会让用户抛弃路由器的。

  使用虚拟网的一个优势就是支持虚拟网的交换机可以在没有路由器的情况下很好的控制广播流量。在VLAN中,从服务器到客户端的广播信息只会在连接本虚拟网客户机的交换机端口上被复制,而在其它端口上,广播信息终止了。只有那些需要跨越虚拟网的数据包才会穿过路由器。在这种工作方式下,交换机事实上扮演的是路由器的角色。

  那么,路由器在虚拟网中究竟处在什么样的地位上呢?聪明的读者应该意识到,就是在VL AN中,路由器业仍然有着它存在的理由:路由器用于连接不同的VLAN,同时,还要为局域网和广 域网之间的连接提供有效的广播过滤功能。因为虚拟网在广域网上是不适用的。


六、虚拟网和广域网

  理论上讲,VLAN是可以控制到WAN上的。但是,技术人员并不建议你这样做。因为,来自本 地虚拟网上的广播信息会浪费WAN上宝贵的网络带宽。如果,广域网带宽对于某个单位来说根本不是问题,那么跨越广域网的虚拟网也可以考虑。当然,并不是所有形式的 VLAN都适合WAN。IP广播组形式的VLAN被证明是行之有效的。对于其它形式的虚拟网,恐怕还 需要应该路由器来过滤广播信息。