借助VLAN进行网络管理

过去常常在网络里使用路由器和集线器，而现在很多网络使用交换机，怎样面对路由网络和交换技术的挑战吗?目前，交换机在网络市场上占据了主导地位，其中原因是：首先是交换机性价比高，其次是结构灵活，可以随着未来应用的变化而灵活配置。数字最能说明问题。在有一个100Mbps上行链路的交换机里，每个10Mbps受控交换机端口的成本为100美元。路由选择技术并不真正按给每个端口分配一
个用户的方式来分段网络，每个路由器端口的成本至少是交换机端口的三四倍，因而管理负担大得惊人。尽管用路由器分段的网络只有TCP/IP通信量，但由于成本高，性能不高，子网太多，并且配置工作量大，
所以很快就行不通了。相比而言，交换机和集线器一样，是即插即用设备。目前正在出现具有“自学”功能的路由选择设备，采用所支持的协议自动配置端口。在缺省情况下，纯交换网络是平面网络。如果每个节点
都有自己的交换端口，网络就很难发生争用情况，即入站通信量与节点的出站通信量发生资源争用，反之亦然。相比而言，在传统的共享网段或者环里，每个节点的吞吐量随着节点的增多而下降，
例如有25个节点的10BaseT网络只能给每个节点平均提供400Kbps带宽，而有专业交换端口的节点却拥有10Mbps吞吐量。一般被节点用于做广告或者寻找目前未知的广播技术可大大提供这种网络的吞吐量，而通常的单址广播帧只能广播到一个目的地节点和中间交换端口。自从网桥流行的那一天起，我们就知道我们实际上并不希望有数千个节点的广播域，因为广播风暴无法预测且难以控制。把平面网络变成较小的广播域，无异于使交换网络变成一种
丰富多彩的调色板。与其用路由器定义任意大小的子网，倒不如用交换机建立VLAN。VLAN的管理VLAN与交换网络密不可分，但实施VLAN要重新定义管理环境。VLAN定义的逻辑域涉及网络里的可能视图，因而网络管理平台可显示IP图像，有时
还会显示基于IPX的图像。如果部署VLAN，其拓扑可能与上述视图不匹配。当VLAN部署完毕之后，你很可能对根据逐个VLAN监视通信量并生成警报这一点感兴趣。在目前，大多数基于交换机的VLAN是专用的。IEEE 802.1P委员会开发出一种多址广播标准，使VLAN成员可以在取消VLAN广播抑制任务的情况下通信。在可互操作的软件和硬件里实现上述标准之前，VLAN配置仍将要求维护单一供应商交换机环境。即使在单一供应商VLAN里，网络管理也是一种挑战，例如检查VLAN对话要求管理软件处理的统计信息不同于检查常见的LAN或IP子网对话：RMON MIB和RMON-2 MIB分别提供确定LAN和子网信息的框架，而VLAN配置必须定义自己的MIB，或者配置如何根据其他MIB获得上述信息。此外，为了提供连贯的VLAN行为特性图，管理软件要收集并合并来自多个RMON检测器的数据。如果上述问题很严重，就要考虑捕捉多交换机VALN数据的地方只限于中间交换机链路或者主干网。在大型网络里，主干几乎都在100Mbps以上，高速控制器的部署与常见VLAN不一样，而且成本很高。VLAN的配置如果根据交换机端口定义VLAN，通常很容易用某种拖放软件把一个或多个用户分配到特定的VLAN。在非交换环境里，移动、添加或更改操作很麻烦，有可能要改动接线板上的跳线充一个集线器端口移动到另一个端口。然而，改动VLAN分配仍然要靠人工进行：在大型网络里，这样做很费时，因而很多联网供应商鼓吹采用VLAN可以简化移动、添加和更改操作。基于MAC地址的VLAN分配方案确实可使某些移动、添加和更改操作自动化。如果用户根据MAC地址被分配到一个VLAN或多个VLAN，他们的计算机可以连接交换网络的任何一个端口，所有通信量均能正确无误地到达目的地。显然，管理员要进行VLAN初始分配，但用户移动到不同的物理连接不需要在管理控制台进行人工干预;例如有很多移动用户的站，他们并非总是连接
同一端口――或许因为办公室都是临时性的，采用基于MAC地址的VLAN可避免很多麻烦。传统的Layer3技术怎么样呢?这里离开VLAN最近的是IP子网：每个子网需要一个路由器端口，因为通信量只能通过一个路由器从一个子网移动到另一个子网。由于IP32位地址提供的地址空间很有限，所以很难分配子网地址，还有看你是否熟悉二进制算法。因此，在IP网络里执行移动、添加和更改操作很困难，速度慢，容易出错，而且费用大。另外，在公司更换ISP或者采用新安全策略时，可能有必要重新编号网络，这对于大型网络来说是无法想像的。实际上，如果有人采用现
有的有子网的路由IP网络，并根据IP地址访问任意VLAN成员，路由器就可能会被不必要的通信量淹没。如果很多子网里都有VALN成员，常用的VLAN广播必须通过路由器才能达到所有成员。此外，糟糕的是广域链路会生成额外广播通信量;有WAN连接服务的VLAN成员数通常应该保持在最低水平。实际上，基于Layer3地址的VLAN成员值有可能在增强和修改现有子网分布方面很有用，例如可通过一个全子网给VLAN添加两个新节点，或者可用两个子网组成一个VLAN而无须重新编号。Cabletron的SecureFast Virtual Networking Layer3交换技术采用路由服务器模型而不是传统的路由选择模型。第一个信息包传送到路由服务器进行常规路由计算，但交换机能记忆路径，因而后续信息包可在Layer2交换，而无须查对路由表。由于有了基于纯Layer3地址的VLAN，所以IP地址可以作为通用网络ID，允许任何人连接任何数据链路，从而获得全网络访问，大大简化移动、添加和更改任务。
但是，还有其他方法解决IP子网引起的管理问题。DHCP(动态主机配置协议)已经在连接时给用户分配地址的其他技术，都可用于解决上述问题。VLAN的测试传统上，共享介质如Ethernet冲突网段或者令牌环，已经成为网络管理的级别单元，连接网段或环任何地方的协议分析仪都可捕捉所以节点自己发生的所有对话。集线器的SNMP代理捕捉整个网段通信量，错误和广播统计信息。RMON检测器(一种网络监视器或手持式故障排除设备)可检测共享介质发生的所有重大事件。这些设备提供测试手段即基本数据捕捉作业，旨在有效管理网络。交换网络必须装备类似的工具。网络数或者环数成倍增加，因而必备的设备也相应地成倍增加。对于老式10BaseT来说，大多数独立RMON检测器的价格比较昂贵。同时，任何网段的通信量都可能只有一个源和一个目的地，使问题分析变得很困难。即使是很简单的问题，如观察广播是否正确无误地传送到VLAN成员，而不传送到其他节点，也要把协议分析仪和一个三端口中继器连接到VLAN的每个网段上。但情况并非很糟糕。常用的连接部件如NIC，连接器，电缆和端口可用以前的方法测试，它们并不受交换结构的影响。服务器，路由器，打印机和工作站发生的问题可能会很难解决。如何路由器采用NetBIOS桥结VLAN不当，可以从VLAN里的任何一个节点诊断出来。其他问题如冲突，应该可以消除掉，因为介质不再是共享介质，或者共享程度不象以前
那么高。针对交换网络测试设备不足的问题，交换机供应商做了很多工作。很多交换机都可配置一个监视端口，以便连接协议分析仪或者其他监视器。在有的交换机里，可以配置监视端口检查任何两个端口之间的通信量。在少数基于底板的交换机里，监视端口可用于捕捉交换机传送的所有通信量。这些监视工作可以通过神奇的电子技术来实现，而不影响交换机的性能，如果你的交换机没有监视端口，并且每个端口都没有RMON，就不能执行监视作业，即使可以执行也很难且代价昂贵。因此购买交换机必须考虑它有没有监视端口。另外，很多交换机供应商还为每个端口配备了RMON代理。如果基本的交换机硬件没有集成RMON设备，它不会削弱系统的总体性能。结束语大供应商旨在支持基于端口、MAC地址和Layer3地址建立VLAN。也有一种说法是支持基于应用的VLAN成员，从而压缩视频或音频数据流的多址广播支持。当VLAN定义很丰富而且灵活的时候，其他令人感兴趣的管理服务才可能走向成熟。特别地，管理员再也不必为了建立VLAN成员而把一个图标拖到一个映象上去，VLAN可采用策略管理动态定义。随着可动态定义的VLAN产品和方案的推出和实施，配置和管理网络节点所面对的挑战也将发生根本性的转变。对于陷于沉重管理事务的管理员来说，VLAN似乎并不能改变他们的窘境，因为他们必须忘却某些基于路由器的联网原理。但无论如何，每个管理员都将要面对交换式网络，而VLAN是实现商业目标的重要工具。