新型交換器不可或缺的技術重心
對於新型的第二層交換器而言,VLAN堪稱近年來最重要的技術發展,大幅提升了網路管理的彈性及效能,尤其可以大幅降低使用第三層路由通訊協定的必要性。我們現在就來深度介紹這VLAN技術,並且探討其應用上的可能性。
摘錄至 iThome採購情報
VLAN的實作方式
我們在前面已經簡單介紹VLAN的原理,不過VLAN的實作方式有很多種,而各種都有其優缺點。值得注意的是,雖然VLAN一開始是針對第二層發展的技術,現在也逐漸延伸至第三層的應用。當然,第二層以上的VLAN目前並沒有業界標準,而是靠各廠商自行研發。這些不同的VLAN架構,也多半是可以混合使用的,但也不是所有的廠商及產品都會實作這些VLAN。另外,802.1Q規格提供了連接(Trunk)多臺交換器的VLAN功能,這使得橫跨多臺交換器的VLAN架構有了可行性。
Port-based VLAN
這是最簡單的實作方式,將交換器的連接埠指定至特定的VLAN之中,例如一臺交換器有16埠,你可以將8埠指定為「iThome」,而另外8埠則為在同層樓的「PC Shopper」。假如有其它的集線器或交換器連結至對應特定VLAN的連接埠,也會成為該VLAN的一部分。很多早期的交換器僅支援此種VLAN。不過,管理者必須隨時紀錄每個埠和VLAN的對應,而且如果將某臺電腦更換連接埠,也需要重新的設定。
MAC Address-based VLAN
我們都知道每張網路介面卡都有一個獨立的MAC位址。如果我們可以透過紀錄每個MAC位址對應的VLAN,如此一來,就算任意更動電腦的位置(例如筆記型電腦),也不需要重新設定交換器,這對於管理大量行動工作者相當的便利。不過,這種方式的缺點也很明顯,因為管理者需要手動輸入每個MAC位址,尤其當網路卡或電腦發生故障或是被置換的時候,這都會造成管理上的困難。
Tag-based VLAN
Tag-based VLAN透過在每個框包增加額外的欄位,指定不同的VLAN號碼,如此一來,每個框包就屬於其指定的VLAN。目前Ethernet的VLAN標準802.1Q就是Tag-based VLAN。Tag-based VLAN除了實作上比較簡易(目前主流的Switching Fabric晶片都是硬體比對Tag)、便於實作高數量及高效能的VLAN外,另一個優點就在於便於達成某種程度的QoS,讓每個VLAN擁有不同的傳輸優先權。
L3 Protocol-based VLAN
往往在一個區網內,可能有不同的電腦執行著不同的第三層通訊協定,例如某部門都使用IP,而另外一個部門則使用IPX,或著是有些電腦同時執行兩者。所以,我們就可以針對不同的通訊協定來產生不同的VLAN,例如負責連外的Windows NT檔案伺服器採用IP,而負責對內的Novell Netware伺服器則採用IPX,同時執行IP/IPX的用戶端則同時加入兩組VLAN。這樣做的優點是,除了只要不更動通訊協定即可任意更換實體位置,更可以針對不同的應用作網路頻寬的彈性規劃。不過,相較於前述兩種方式,判斷第三層通訊協定是一件非常消耗運算能量的工作,這會降低交換器的效率。
IP Address/Subnet-based VLAN
前述的MAC address位址方式既然有管理不易的缺點,那麼我們為何不直接採用IP位址呢?這樣子就可以解除麻煩的限制。另外,我們更進一步,將不同的子網路對應不同的VLAN,如此一來,就可以針對實際上的子網路規模進行彈性的規畫,管理上也相當的簡便。
值得注意的是,一般而言,具備此種VLAN的交換器多為第三層交換器,所以這是取代既有路由器功能的最好方式。當然,這種實作的缺點,除了這只能適用於使用IP協定的電腦外,正如同MAC位址的實作,當電腦位置更動,管理者還是得追蹤每臺電腦的IP位址。
但是,如果採用DCHP動態分配IP,然後DHCP伺服器僅有一臺,為了要同時處理多個VLAN的動態IP分配,交換器就必須支援VLAN relay的功能。這是採購上必須注意的地方。
IP Multicast
Address-based VLAN
對於大多透過Multicast方式傳輸的網路視訊影音應用,如果可以針對不同的Multicast位址產生VLAN,就可以避免大多數的電腦受到這些僅少數電腦的Multicast影響而降低網路效能。這些VLAN僅暫時存在,每臺電腦可以隨時離開這些Multicast網域。此種VLAN並無法提供對Broadcast的限制,只能將不同的節點予以組群化。
L4-based VLAN
不同的網路應用程式,也會使用不同的TCP Port,我們就可以針對這些不同的TCP Port來設定不同的VLAN。例如企業對於HTTP有很大的需求,希望FTP的頻寬可以縮小,所以我們將Port 80和Port 20/21予以分割、再分配不同的頻寬。當然,這已經屬於第四層交換器的範圍。
雙層式Tag-based VLAN架構:Q in Q
雖然802.1Q定義了12位元的VLAN Tagging,相當於4096個VLAN,但是這個數目對於大型企業不見得夠用,尤其對金融業的網路系統而言,如果要做到專線等級的安全性,勢必要將每一個客戶的封包都牢牢鎖在自己的網域內部,這會大幅增加VLAN的需求量。因此,發展出802.1Q in Q「Super VLAN」的雙層式VLAN架構,可將VLAN可用數量大幅增加至4096的平方,也就約為1600萬個VLAN可用,這樣除了可以滿足大型客戶(可自由放任客戶於專屬的網路內規劃其802.1Q VLAN),也可以滿足未來的容量需求。另外,雖然802.1s VLAN Port Spanning Tree規格仍在制定中(針對個別的VLAN埠執行獨立的Spanning Tree路由),但已經有不少廠商的交換器提供支援,這對提升Super VLAN的可靠性及效能也有相當程度的助益。
802.1Q/p需求優先式交換機制的應用
VLAN與優先式交換機制(Priority Switching)的搭配是非常值得研究的話題,由於除了12位元的VLAN指定位元外,802.1Q已經具備了802.1p所定義的3組優先權位元,所以我們也可以針對不同的VLAN提供不同的傳輸優先權。
如果交換器支援802.1Q/p,管理者也可以針對不同的優先權等級分配頻寬,增加管理上的彈性。不過,雖然理論上3位元可以定義8種優先權,並非所有廠商的產品都會實作8組佇列緩衝區,例如僅實作2組或4組等,這對實際上的效果會有相當程度的影響。
值得注意的是,802.1Q/p畢竟是第二層的規範,如果想要實作真正的點對點(End-to-End)QoS,最好可以另外搭配RSVP之類的第三層QoS機制。
不過正如同作業系統和應用程式的搭配,要發揮最大的效能,現有的Ethernet交換器和路由器架構也必須進行相當程度的調整,不同廠商的做法也都不盡相同。更重要的是,要實作有效的QoS,需要整個網路環境的高度配合。這也是網路管理者在決定實作QoS前,所必須斟酌的地方。
VLAN的限制
VLAN雖然可以大幅提升網路管理的彈性,不過對於提升網路效能的訴求卻仍有商榷的空間。當初VLAN技術發展有一個前提:80%的網路流量來自內部區網,而20%的流量則來自外部網路。隨著網際網路的興起,這個趨勢已經完全顛倒:往往80%的流量是對外的。在這種情況下,將不同需求的電腦組群化、使其共享資源的好處就已經消失大半,唯一比較明顯的好處就在於限制廣播風暴的影響。
當然,不同的企業也會有不同的情況,像ISP可能如此,但金融業就大相逕庭。不過,基於管理上的優勢和彈性,VLAN對於企業網路依然有相當程度的貢獻,也勢必繼續扮演吃重的角色。
努力學習 