止因某个网段出现问题而使整个网络受到影响。这种功能一般可借助于路由器来实现。

　　当交换型体系结构在网络中大量使用时，广播数据（第二层数据）将被传送到各个交换端口那里。

　　此种结构通常被称作是“平板式”的网络，整个网络构成一个广播域。

　　平板式交换型网络的优点是它给用户提供了非常低的传输延迟和非常高的数据传输率，但广播数据却将被传送到所有的交换设备、端口、主干网连接和用户那里，大量地浪费网络资源特别是宝贵的广域网资源。为减少此种不利影响，在网络中还得加上一定数量的路由器以对网络进行分段。一旦使用了路由器，传输延迟将会随之而增加，从而丧失交换型网络的优点。

　　VLAN的主要好处之一是支持VLAN的交换设备也可以有效地对广播数据进行控制，某VLAN中的广播数据将只是被复制到那些连接有此VLAN的某个成员的交换端口上，在除此而外的那些端口上将不会出现这些数据。这实际上是为在交换型网络中建立起同路由器功能类似的防火墙提供了一种有效的手段。

　　但同使用路由器的解决方案相比，VLAN技术有几个显著的优点是路由器所无法具备的。

　　（1）首先是性能上的问题，使用路由器最大的问题是传输延迟比较高，而在VLAN结构中大部分数据都是借助于交换而传输的，只是在VLAN间的数据才要经过路由器的处理。在配置得比较好的VLAN结构中，VLAN间的数据量将比较少，因而总的网络性能将不会受到太大的影响。

　　（2）其次路由器的配置和管理更为复杂，减少网络中路由器的数量可以降低网络的维护和管理开销。另外同路由器端口比较起来，交换端口的价格要便宜一些，这使得我们可以用比较少的费用而获得比较好的效果。

　　（3）网管人员可以非常方便地通过多种手段对广播域的大小进行控制。

　　例如限制在同一个VLAN中的交换端口的数目以及连接这些端口上的用户的数目等。一般来说，VLAN中的用户数越少，此VLAN中的广播数据对于网络中其它用户的影响将越小。另外可以基于所用的应用类型及这些应用所产生的广播数据量的大小进行VLAN的划分。共享同一个会产生大量广播数据的应用程序的那些用户可以划分到同一个VLAN中，同时网管人员也可以将此应用分布到整个网络上。

　　增强网络安全性

　　目前共享型的LAN已经大量地安装在各行各业中，这会导致一个严重的问题就是如何对数据进行保密，共享型LAN的一个最大的不足就是易于受到入侵。因为只要把机器接人到一个端口中就可以收到相应网段上的所有数据。广播域越大，此种危险也将越大，除非是HUB本身具有安全控制功能。

　　增强网络安全性的一种最有效和最易于管理的方法是将整个网络划分成一个个互相独立的广播组（VLAN）。（相关的用户连接在一起，保证了数据的安全）。

　　另外网管人员可以限制某个VLAN中的用户的数量，并且可以禁止那些没有得到许可的用户加入到某个VLAN中。按照此种方式，VLAN可以提供一道安全性防火墙，以控制用户对于网络资源的访问，控制广播组的大小和构成，并且可借助于网管软件在发生非法入侵时及时通知管理人员。

　　实现此种类型的分段相对来说还是比较简单的。例如我们可以根据应用类型和访问权限对交换端口进行分组，那些受限的应用和资源一般均被放到一个VLAN中。试图侵入某个VLAN中的非法用户将被网管软件标记出来。

　　通过使用路由器访问表还可以使安全性得到更进一步的增强。这对于VLAN间的数据传输特别有用。在此种安全性的VLAN上，路由器将根据在交换设备和路由器中的配置而限制对于某些VLAN中数据的访问。此种限制可以根据站点的地址、应用类型、协议类型、甚至时间等加以设置。

　　减少站点的移动和改变开销

　　对于为什么要使用VLAN，提得最多的是VLAN可以减少处理用户站点的移动和改变所带来的开销。

　　由于这些开销一般来说都比较大，因此VLAN方案也越来越引人注目。事实上VLAN方案也确实能实现这一目的。

　　举例来说，对于IP类型的网络，当用户从一个子网移至另一个子网时，一般都需要对其IP地址进行手工修改，而此种修改可能需要花费比较长的时间才能使站点正常工作，而这些时间本来是可以用于其它一些更具有创造性的活动上的。使用VLAN则可以完全消除这些不必要的时间浪费，因VLAN的成员身份同站点所在的地址是无关的，这样一来站点可以发生移动而其IP地址和子网成员身份则可以保持不变。

　　不足：增加了虚拟连接的管理的开销。

　　但任何事物都是具有两面性的，VLAN的实现虽然可以降低对于网络动态管理的开销，但VLAN在物理连接的基础上多出了一个虚拟连接，而对此虚拟连接的管理也是要有一定的开销的。但只要规划得当，总的网络管理开销还是可以降低的。

　　实现虚拟工作组

　　VLAN方案的另一个更为雄伟的目标是要建立起虚拟工作组模型。虚拟工作组指的是当在整个园区网络环境下实现了VLAN之后，同一个部门的所有成员将可以像处于同一个LAN上那样进行通信，大部分网络通信将不会传出此VLAN广播域。当某个用户从一个地方移动到另一个地方时，如果他的工作部门不发生变化（表示它仍在同一个VLAN），那么就用不着对其机器进行重新配置。

　　与此类似，如果某个用户改变了工作部门，他可以不改变其工作地点，而只需网管人员修改一下其VLAN成员身份即可。

　　此种功能模型使得我们可以建立起来更为动态化的组织环境，以增强向功能交靠的工作组方向演化的趋势。

　　虚拟工作组模型的工作方式是：以某个临时性的项目为基础的工作组可以虚拟地连接到同一个VLAN上，这样此工作组中的人员将用不着改变其工作地点。

　　另外这些工作组可以是动态的，同某个功能有关的工作组相应的VLAN可以在项目的生存期内动态地创建起来；而在此项目完成之后则可以将此VLAN“拆除”，用户的地理位置不用发生任何变化。

　　虽然此种操作方式确实是很诱人的，但实际情况是VLAN本身并不能完全实现此种虚拟工作组模型。目前要实现此种模型至少要考虑以下几个管理和结构方面的问题：

　　（1）虚拟工作组的管理：从网络管理的角度出发，虚拟工作组的暂时性可能会使得修改VLAN成员身份同修改路由表一样麻烦（虽然这比移动用户的工作站可能要省事一些）。而且，从人们的心理角度来讲，他们可能更习惯于同他们的同事呆在同一个地方，这对于虚拟工作组的实现无疑是一个最大的障碍。

　　（2） 80／20规则的保持：虚拟工作组的VLAN支持通常假设80％以上的网络通信量是在本VLAN内的而只有不到20％是跨越VLAN之间的或者是远程的。此即著名的80／20规则。

　　从理论上讲，如果VLAN配置得好的的话，确实是可以做到这一点的。但许多类型的应用

上一页  [1] [2] [3] [4] [5] 下一页

文章转载请注明来源于：汕头自考网