VLAN的矛与盾

wocaosinima

VLAN的矛与盾

目前的技术条件下组建大型局域网或城域网，可以有两种结构：一种是基于分布路由器的标准TCP／IP结构，或叫Internet结构；另一种是基于VLAN的全交换网络结构。VLAN即虚拟网段。最近一段时间，涉及到VLAN的话题越来越多，许多人对VLAN的使用表示出了浓厚的兴趣。笔者认为，对VLAN的认识要有全面性，不能盲目崇拜，片面追求，在欣赏VLAN的优点的同时，对VLAN的必要性、可行性以及VLAN对网络带来的影响要有足够的认识。 　　一、采用VLAN的好处 在TCP／IP协议的规范中，没有VLAN的定义。当第二层网络交换机发展到一定程度的时候，传统的路由器由于在性能上的不足，它作为网络节点的统治地位受到了很大的挑战。既然传统路由器是网络的瓶颈，而交换机又有如此优越的性能，为什么不用交换机取代传统路由器，来构造网络呢？ 但是，我们都知道，位于协议第2层的交换机虽然能隔离碰撞域，提高每一个端口的性能，但并不能隔离广播域，不能进行子网划分，不能构造网络的层次结构，更无法形成网络的管理策略，因为这些功能全都属于网络的第三层———网络层。 因此，如果只用交换机来构造一个大型计算机网络，将会形成一个巨大的、平面的广播域，结果是，网络的性能反而降低以至无法工作，网络的管理束手无策，这样的网络是不可想象的。 按照TCP／IP的原理，一般来说，广播域越小越好，一般不应超过200个站点。那么，如何在一个平面的交换网络中划分广播域呢？交换机的设计者们借鉴了路由结构中子网的思路，得出了虚网的概念，即通过对平面网络中的IP地址或MAC地址或交换端口进行划分，使之分属于不同的部分，每一个部分形成一个虚拟的局域网络，共享一个单独的广播域。这样就可以把一个平面的大型交换网络划分为许多个独立的广播域，即VLAN。 可见，VLAN的主要作用是隔离网络的广播域。其结果产生了一个有趣的功能 ，使得网络上不同交换位置的站点，可以处在一个VLAN之内，像一个子网一样地 共享一个广播域，从而在组网时，可以打破传统的分布路由结构的网络中那种地 理界限，将同一地理位置的站点组在不同的网段，或将不同地理位置的站点组在 同一个网段。这就是VLAN带来的最大好处。 二、采用VLAN的两个矛盾 由此可见，VLAN的特点就是组网的灵活性，即可以进行灵活的网段划分。至 于其安全性，因为一个VLAN在逻辑上等同于一个传统的路由网段，即代表一个广 播域，所以从根本上说与子网的安全性没有什么不同。只是在实现上，传统的路 由网段是自然天成的物理结构，而VLAN是通过对交换机的设置而人为实现的，反 而在工作的稳定性方面不如传统的子网。随着路由器性能的不断提高，如今的路 由器已与交换机的处理速度相差无几。VLAN所表现的灵活性通过路由器的虚拟专 用网络（VPN）技术或相应的路由策略技术都可以实现，使得VLAN的必要性不是那 么充分。 有一个重要问题不可回避：VLAN之间如何通信？显然不能再通过第2层交换机 。那样的话，广播域又合并到一起了，其必经之路是路由器。这样的结果是，本 来企图通过VLAN的划分，来使用交换机代替路由器组建大型网络，以提高网络的 性能，可是又回到路由器上来了，这就是VLAN的一大矛盾。 目前，VLAN之间的通讯大多是通过中心路由器完成的。这也是保证VLAN组网 灵活性的惟一办法。所有的VLAN都经过中心路由器（当然可以配置备份的中心路 由器），也就是所有的广播都经过中心路由器，这样中心路由器就承受了更大的 压力。当VLAN之间的通讯量较大时，中心路由器就成了网络的瓶颈，并且一旦中 心路由器失效，所有VLAN之间的通讯将无法进行。这是VLAN存在的另一个矛盾。 三、VLAN对网络带来的影响 标准的TCP／IP分布路由网络（比如Internet）的特点是运行稳定和扩展容易 ，VLAN不是TCP／IP标准协议规范的内容，基于VLAN的交换网络与基于分布路由的 标准Internet模式的网络，在物理构造上有所不同。一旦VLAN大规模应用于一个 交换网络，就决定了这个网络的基本结构，网络的扩展只能是继续VLAN下去，而 随着网络的扩展，VLAN的复杂程度将会成倍地增长，网络的效率和稳定性将同步 下降，使得网络的扩展不易。 目前VLAN技术还没有形成统一的标准，各厂家VLAN的实现存在着很大的差异 ，不能实现VLAN的识别和互通，限制了用户对于网络设备的选择权和发展权，也 限制了网络的灵活性。 VLAN的划分和管理将给网络管理带来很大的复杂性。VLAN原理与标准路由器 的结合性不好，在地址配置、虚网管理、网络控制等方面，与Internet模式相比 ，存在很大的不一致性，其网络管理与流行的网络管理也存在很大区别。 四、何种情况适合VLAN 不可否认，VLAN也有其诱人的特长，比如上面提到的异地组成同一虚网，或 同一地点组成不同的虚网。但是一方面对于应用来说，这并不是解决问题的惟一 选择，通过VPN或路由策略完全可以达到同样的应用效果；另一方面，由于VLAN而 带来的不利因素实在太多。所以，一般情况下，VLAN的使用得不偿失。在进行网 络设计和网络规划时，我们不应只被VLAN虚华的一面所吸引，而应更多地去认识 其本来的面目，谨慎地使用。 只有一种情况适合做VLAN，即网络的站点数在几百个左右的规模，采用全交 换加中心路由器的结构，按照相应的原则划分子网，各子网之间的通讯量很少， 主要是子网内部的通讯，这时VLAN才会表现出其独特的优点。