发信人: linger_dfi(小生(情龙))
整理人: snowypeng(2002-05-23 09:30:35), 站内信件
|
虚拟LAN(VLAN)是Cisco FusionTM体系结构的一个完整组成部分。该体系结构详细描述了遍及校园互联网的多层交换技术集成的综合战略。Cisco系统公司强有力地承诺虚拟LAN作为该结构的组成部分。该承诺充分地包含了VLAN,无论是作为一种技术还是作为包括交换机、路由器和相关网络管理应用在内的大型可伸缩交换式互联网络实现的一种系统解决方案,均是如此。为了承担这项义务,Cisco已经提供并将一如即往地提供业界卓越的具有VLAN能力的产品。这些产品既不影响关键功能如交换性能、应用的互操作性和与现有网络的集成性,又易于在交换式互连网上方便地实现。
这些承诺已在下列的五个阶段VLAN开发过程中明确地阐述,对于提供经济有效、高性能交换式互联网作为全面综合的系统解决方案是极为关键的。Cisco致力于提供领先技术的努力反映出,当客户用多层交换技术更换他们现有的共享式LAN技术时,这些领先技术能很好地与现有网络吻合,符合业界标准并逐步向全面布置可伸缩VLAN过渡。
VLAN的价值
VLAN具有两个即重要又基本的优点。第一,也是许多厂商经常忽视的,就是跨越校园的带宽和性能管理。这要求机构域中包含的广播和多信宿组与用户位置无关。不管理广播组整个大小的话,网络设计者、规划人员和管理员将可能不慎创建大型的平面网络拓扑,而在用户间却只有(甚至没有)广播防火墙。历史经验表明,大多数网络设计者和管理员早在几年前就亲身体验到第二层桥接设备形成的平面网络的伸缩性不好。虽然今天的交换机远不止能胜任处理高层的广播,实际上能以线路速度转发这些广播,但是产生性能问题的正是将这些广播信息转发回端站。
VLAN是控制这些广播信息转发的有效技术。它们的布置结构最大限度地减少了对最终用户站、网络服务器和处理关键业务数据的骨干关键部分的性能影响。Cisco十分透彻地知晓网络性能和带宽管理要求,以及在交换式互联网内控制广播和多信宿信息的需要。带宽和性能管理是Cisco五阶段VLAN开发计划的完整组成部分。
VLAN的第2个优点,也是大多数厂商经常讨论的,就是管理的更改,即整个网络范围内与用户增加、移动和物理位置变更相关的对管理工作的要求,也大为减少。由于网络管理组负责这项任务,而预算日益紧张,技术水平也差强人意,所以这是很关键的要求。Cisco公开宣称这些变更管理需要是关键的,并坚信VLAN为解决这些问题提供了有效的方案。无论从用户角度还是从提供全面网络解决方案所需的技术角度,Cisco在变更管理需要的研究方面投入甚巨。作为该研究的一部分,Cisco已认识到,当做出网络更改时,不仅减少管理工作是一个重要功能,而且访问安全性、集中化政策和控制以与应用类型相关连的VLAN成员关系也是重要组成部分。Cisco在分划它的五阶段VLAN开发计划时,已全面彻底地阐明了这些变更管理需要。
VLAN核心系统部件
VLAN的虚拟部分意味着在网络内部动态移动用户的能力和与在校园内的物理位置无关地访问指定的VLAN。这暗示着作为完整的系统解决方案而不仅是单个布线间或一幢大楼的一个段之内,对跨校园地VLAN受控且自动的配置的需求。这需要一个包括下列功能在内的系统方法:
·能够跨越多个交换机和不同技术与VLAN通信
·能够在具有第三层路由功能的VLAN间通信
·能够按照成员政策自动向VLAN增加新用户
·能够在每个VLAN中监视并理解业务流
·能够集中控制和管理VLAN
·能够根据VLAN规划并制定网络使用的优先级。
这些广泛的功能要求在许多不同的互联网络区域拥有核心部件,包括交换、路由、网管、骨干技术、通信协议和安全。为了提供集成的VLAN解决方案,Cisco在所有这些开发领域均拥有核心部件能力。这包括用于确定并与VLAN成员通信的交换技术ASIC,用于交换机之间交换VLAN的分组标记,用于跨不同骨干类型通信的VLAN映射,用于VLAN间通信的多协议路由技术,用于保持配置一致性的交换机间VLAN配置数据的自动交换,以及用于集中控制和管理的网管应用程序
Cisco FusionVLAN战略
Cisco五阶段VLAN战略是交换技术开发和有关为了不断提高网络性能减少相关管理工作的迫切需要的直接客户反馈,长达三年以上的综合结果。该战略与VLAN作为多层交换体系结构组成部分的发展时间框架是一致的。Cisco已提供了广播和带宽管理用户优势作为它当前VLAN的特色,并将提供变更和基于政策管理作为未来VLAN开发计划。下面各节将分别解释Cisco VLAN开发的各个阶段。
VLAN的发展
第一阶段:广播控制的VLAN,1994
控制交换端口和用户端站间的广播将改善网络性能,因为它减少了流经交换机的广播流数目和到达每个用户站的广播数目。这是利用过滤表实现的;通过查看这些表,交换机确定哪些端口和MAC地址作为VLAN组成一组,根据这些表中包含的信息,收到的广播分组就转发到其它端口。在1994年,Cisco在其CatalystTM1200交换机中推出了这些广播控制机制。
虽然对于小型网络,过滤技术是控制广播的一种有效措施,但是由于为了确定分组属于哪个VLAN和它应转发到那个端口和端站,必须将收到的每个分组查表比较,所以这种措施也劣化了交换性能。当每个分组检查比较时,也引入了延迟。更不利的是,VLAN过滤不能在校园网范围内伸缩变化;当有了新表项或变更时,每个交换机间的查对表必须更新。这需要有同步和表交换机制,而这又消耗了网络带宽。Cisco的建议是,在由单个交换机分段的一个布线间之间,采用VLAN过滤技术用于控制广播;不过,VLAN过滤技术并不具备,跨网络提供带宽变更管理优势所需的性能和可伸缩性。
第二阶段:带宽管理的VLAN,1995
凭借Catalyst5000高性能模块化交换基座和Cisco7000路由系列产品的发布,Cisco针对基于分组的交换机(以太和快速以太)和路由器之间交换VLAN,推出了革命性的技术。通常称为分组标记技术,该技术实现了跨高速链路(快速以太,FDDI)的VLAN,而并未影响交换性能或需要使用或交换复杂的过滤表。分组标记的优点在于跨校园网的可管理广播域,带宽管理功能如在冗余骨干链路上分配负载,和控制支撑树域,以及在配置多个VLAN时对物理交换机和路由器端口数量方面明显的费用降低。
当认识到用于交换机间VLAN通信的分组标记技术的无可比拟的优势后,Cisco又进一步开发了两种标记方法,分别应付跨FDDI骨干的多个VLAN的现有需求和跨快速以太骨干的VLAN通信的不断增长的要求。Cisco修订了80210安全标以用于FDDI(因为它提供了一个VLAN标记可以加入的字段),并定义了一个用于分组拆装和装配的过程,以便于FDDI规范保持一致。
由于针对以太网和快速以太网的802.3未定义拆装分组,所以Cisco开发了一个稍有不同的方法用于快速以太网。这些研究工作导致跨快速以太的分组标记技术的定义诞生,通常称为Inter Switch Link(ISL)协议,它无需任何拆装或再装配即能实现超过1000个并存的VLAN。为了配合这些努力,Cisco开发一个称为Vlan DirectorTM的基于图形的管理应用程序,它能分别跨快速以太网和FDDI骨干网动态地配置ISL和802.10标记策略。由于端口和骨干链路的配置工作最大限度地简化成鼠标点击,所以Vlan Director大大简化了跨网络VLAN的设置和管理。
Cisco Inter Switch Link分组标记技术协议
Cisco公开宣传这两种分组标记技术并鼓励互操作性和共同厂商关系,努力扩大适于用户的VLAN的应用范围。这包括与服务器适配器卡的多个VLAN连接性、利用远程监控(RMON)代理检测VLAN业务和趋势,与其它互联网络厂商交换VLAN。而且,Cisco通过采用LAN仿真公开承诺VLAN适用于异步转移模式(ATM),并在公司的ATM产品中广泛采用该标准。
为有助于促进共同的VLAN标准的形成,Cisco已与IEEE802.1Q标准制订组织共享分组标记和其支撑技术的优势。这些优势包括:
·可伸缩性:交换机之间的低延时分组交换过程
·非干涉性:无需对端站应用程序做变更
·适应性:对现有协议或路由表无需修改
·经济有效:在高速帧交换骨干中实现虚电路
·ATM兼容性:与LAN仿真极好地吻合
·可管理性:VLAN分组标记可以明确配置和监视
经过核查Cisco的这些结果,并在该委员会中经过许多次内部讨论,分组标记技术终被802.1Q委员会采纳为交换机和路由器之间共同VLAN交换的机制。该协定产生了两个规范书草案包一级和二级的分组标记定义。第一级定义确定了跨快速以太骨干的VLAN交换,而第二级则定义了跨多个不同骨干类型,包括FDDI和令牌环。第一级定义已在委员会获得一致,仅需少量次要修改。第一级定义有望在今后12或18个月得到IEEE的批准。
802.1Q第一级标记向IEEE的建议
为了支持IEEE的第一级定义,Cisco公开承诺802.1Q分组标记标准,作为交换机、路由器和服务器设备间共同的VLAN分组交换机制。经过整个1996年和1997年,Cisco将在Catalyst交换机和Cisco路由器系列中集成进该标准。而且,Cisco将提供无缝映射策略在1997年过渡到802.1Q并提供双模式功能,用户可以自由地在不同的标记策略中自由选择。
第三阶段:校园VLAN,1996─1997
今天大多数网络均有各种不同的骨干类型,包括FDDI、快速以太和ATM交换机和路由器。作为VLAN的一个主要优点,用户需要既能在这些不同的骨干间互相转换的能力,也需要保持其VLAN各自附属的东西。如没有这种能力,他们就受到了物理上的限制,且无法迁移到不同的地理位置。更有甚者,无需每个VLAN具有专用的物理链路既能以虚电路的方式将VLAN映射到这些不同的技术,这是十分关键。缺少这个能力,就会由于每个增加的VLAN需要额外的交换机端口、路由器端口和物理电缆设施,从而导致VLAN在造价上高不可攀。
VLAN的虚拟干路
Cisco已经解决了这些拓扑要求。一是利用与不同骨干类型集成的分组标记,另一个是利用自动配置跨校园网VLAN的映射协议,与构成校园网络的LAN和骨干类型无关。该映射协议拓展了VLAN跨校园网的范围,且与使用的LAN技术无关。当网管员既要从物理上移动用户又希望保持其逻辑工作组关系时,这是一个关键考虑因素。这个能力对实现许多VLAN旨在解决的变更管理优势和过渡到遍及骨干上的ATM交换机时尤为关键。
Cisco VLAN干线协议(VTP)具备了这些映射功能,并在全网保持VLAN配置的一致性。该协议是Cisco互联网操作系统(Cisco IOSTM)软件的完整组成部分,在Catalyst交换机和Cisco路由器上均具备。作为Cisco VLAN战略的核心要素,VTP实质上大为减少了建立一个跨网络VLAN的管理性任务并尽可能地减少了配置的不一致性(这会影响网络的可靠性。VTP是一个交换机-交换机和交换机-路由器VLAN管理协议,它交换网络做出的所有VLAN配置改变。
通过VTP,VLAN改变跨网络得到协调
VTP无需在每个交换机手工干预,就能在校园网范围内管理VLAN的增删和更名。该协议保持这些变更的记录并与网络中的所有Cisco交换机和路由器通报这些信息。当网络中增加了新的交换机或路由器时,该新增设备从VTP收到最新信息并自动为网络中已有的VLAN进行配置。而且,利用独一无二的名称和内部索引关系,VTP动态映射VLAN与多个LAN类型,消除了网络管理员的握手时间。最后,VTP消除了当以各交换机为基础不恰当地做变更时造成的任何潜在的配置不一致性。由于重复的名称造成交叉连接,交换机间不匹配的VLAN名称造成通信中断、LAN类型间VLAN的不正确映射造成的技术上的不通畅,所以这些不一致会导致安全违例。
VTP为建设和配置VLAN提供了校园级的解决方案。该协议将每个交换机上监督VLAN的管理工作转移到全网络范围层次,任何改变可以集中作出并自动与网中所有的交换机和路由器沟通,消除了设置VLAN的许多相关管理任务。用户移动、增加和变更因此缩减为简单的加入功能,而交换机已知道VLAN的存在。VLAN的设置和跨网通信自动地得到VTP可靠而一致的处理。1996整整一年,Cisco将在高端和中端Catalyst交换机和Cisco路由器中集成进VTP。VTP也将成为Cisco IOS软件中的核心功能。
第四阶段:自动更改管理,1996─1997
针对减少与移动,增加和变更(更改管理)相关的管理任务的需求,Cisco已开发出了一个动态VLAN配置体系结构和一个集中化的网管应用以便自动地为VLAN指定用户。该体系结构的首发版将根据它们的MAC地址为VLAN指定用户。后续版本将根据更高层信息(包括网络地址和应用类型)提供成员关系(参见第五阶段)。通过为指定的VLAN自动配置交换机端口,该方法大大减少了用户在校园网范围内重定位所需的配置工作。凭借这些变更管理功能,移动就像将用户插入交换机的一个端口一样简单。该交换机端口检测到一个新站,并从集中式的管理应用请求和接收VLAN配置数据,避免了网管人员需求的任何重新配置。该自动配置过程通常称为动态VLAN,即网络成为自配置
动态VLAN自动处理网络变更
从1996年至1997年,Cisco将提供一系列集成的VLAN配置部件,以实现动态VLAN功能。这些包括用于向驻留在以太网、快速以太网和FDDI网上的交换机提供VLAN信息的一个虚拟配置服务器(VCS),和用于驻留在ATM交换机上的客户机的LAN仿真配置服务器(LECS)。不仅如此,Cisco将提供一个全面综合的管理应用程序,用以保持网络上所有指定用户的集中式VLAN成员关系数据库。网管员控制数据库中的成员关系数据,并当数据库的成员关系发生改变时或当在规定的更新时,定期向配置服务器下载该数据。
VCS和LECS的工作过程是类似的。它们的责任是向任何请求配置数据的交换机提供VLAN成员信息。当加入新用户时,首先通过接收交换机的请求来完成。当在交换机的转发表中发现新的MAC地址时,对配置服务器的请求就会自动触发。收到该请求后,配置服务器将交换机发出的MAC地址信息与它从集中数据库下载时保持的成员指派表相比较。根据这个MAC地址比较和VLAN成员关系组成确定VLAN成员关系。VLAN配置数据和如何给网络指定用户的信息然后一起返回给请求的交换机。
与VTP和集中式网管应用一起工作的VCS和LECS提供了给网络指定用户的一种动态方法。VTP自动针对VLAN配置整个网络。响应交换机成员关系请求的虚拟配置服务器,不受其位置影响地,动态向VLAN指定用户。这真正实现了不干扰交换机转发过程的自动配置。VLAN的成员关系作为管理配置功能完成,而不作为交换转发功能。一旦用户指派给了一个VLAN(通过分布式配置服务器这很迅速),分组就以线路速度交换,无需第一阶段描述的任何特别的查表过程,或是采用什么要求同步的分布式过滤表。这最大限度地减少了与VLAN成员关系相应的开销,同时又使该过程自动化。而且,利用公用的数据库和对配置服务器的下载功能,它提供了集中式的管理和控制。凭借全局适用的命令,访问控制和安全功能现在成为可以集中管理的特性。
第五阶段:政策驱动VLAN,1997─1998
随着网络越来越抽象,用户的访问与其物理地址的无关,对更高的安全性、集中的政策和有级别的服务的需要变得日益重要。大型机构,包括政府、大学和跨国公司都表达了对这种用户在全校园网移动性的需要,同时又要保持对访问的网络服务的控制。随着网管员不再根据用户物理位置控制服务,这成为一个增长性的要求。
针对这些互相依赖的要求,需要一种智能化的配置过程,仅用MAC地址或网络层地址就足以获取网络VLAN成员资格,这是不够的。尽管根据物理端站设备的标识允许或拒绝访问时,这两种地址策略是十分有用的,但是它们并不能界定或描述用户希望访问的应用类型或根据他们使用的应用所要求的服务级别。为了实现这个层次的服务,必须利用OSI模型应用层实现更紧密的集成。
由于这些更高层应用要求与访问和控制VLAN有关,Cisco已认识到它们的重要性。如果懂得了使用中的应用程序,访问运行Lotus Notes或Web浏览器的网络就得到一致的保证,而需求大量带宽的多媒体培训应用则可限制在校园网的某一部分如培训教室。这些政策的界定有助于控制网络资源和最大限度地减少潜在的问题,如占据了从未计划用作多媒体应用的关键链路。更进一步,通过将VLAN与服务级别对应,在交换机和链路上则能设置优点级别。作为Catalyst交换机内部流量优先功能的一部分,具有更高优先权的VLAN就可以首先通过。
正如第四阶段描述的那样,Cisco动态VLAN成员登记过程为涵盖基于应用的VLAN功能提供了必要的基础。基于应用类型和VLAN优先权确定的集中化政策在集中的数据库中配置并下载到驻留网络的配置服务器中。凭借这些功能,交换机(终端用户所在之处)向配置服务器发出的登记和VLAN成员关系请求,通过查看用于访问和安全的MAC地址确定,并且作为扩展,以及使用中的应用程序,从而确定带宽和所允许的服务。这些高层VLAN应用功能要求与端站接口卡(NIC)协调一致,还要求支持不同VLAN服务的卡内的驱动程序技术的开发。
Cisco已经与几个网络接口卡供应商开始了这方面的开发工作,在1997年将这些VLAN功能扩展到应用层。这包括将分组标记技术扩展到服务,以用于从单个高速快速以太接口卡的多个VLAN连接性,还有作为LAN仿真客户机的ATM交换机上的服务器的类似功能。Cisco将继续与这些厂商共同努力,以实现基于应用的VLAN功能,作为其第五阶段开发努力的一部分。
结论
随着技术和系统的发展,VLAN结合了许多构成交换式互联网的不同的软硬件。这包括第二阶段定义的帧标记的产物,即交换机和路由器之间的虚电路组合,跨不同LAN类型的这些虚电路的自动映射,第四阶段定义用户的动态成员关联关系,第五阶段定义的基于应用类型的加入政策、安全性和服务等级的功能,如下表所示。Cisco承诺作为Cisco Fusion体系结构的一部分将提供这些VLAN服务。这些服务的确具备了带宽和变更管理优势,是大型和小型校园网广泛需要的。
|
|