虚拟局域网管理中的路由器与交换机角色的改变

VLAN(虚拟局域网)的出现无疑是网络管理员的福音。因为我们可以借助虚拟局域网方便地对网络进行分段，隔离广播域，提高网络性能；同时，所有机密部门都被隔离，以提高其安全性。最重要的是，实现这些要求是非常廉价的。
VLAN可以根据网络工作组的功能、项目构成或部门构成来划分，而不考虑具体的地理位置。简而言之，一栋办公楼中四楼和五楼的R&D部门可以在同一个虚拟局域网中。因此，对网络进行分段是非常廉价的，从而提高网络的安全性能，减少冲突的发生。虚拟局域网可以将用户和终端设备划分成一个逻辑段，然后这些逻辑段通过虚拟局域网交换机组成交换网络。交换机的每个端口都可以连接到独立的局域网。分配给同一VLAN的端口共享广播域，而不同VLAN的端口不共享广播域。这样就可以利用虚拟局域网隔离广播域，从而廉价地提高网络性能，避免一些常见的DDOS攻击，提高网络安全性。
所以，VLAN的出现改变了我们网络管理员的工作方式；同时，路由器和交换机的角色也发生了变化。
网络管理员知道这些变化后，将有助于我们设计和管理虚拟局域网。所以我们来看看具体的变化。
一、路由器在虚拟局域网中的角色转变
在传统局域网中，路由器一般只提供防火墙、路由处理和分发、广播管理等功能。而路由器在虚拟局域网中的职责，与传统局域网有了明显的变化，或者说衍生出了内涵。主要区别在于，虚拟局域网中的路由器还承担了提供工作组间信息转发的功能。路由器在虚拟局域网(VLAN)中主要提供两个功能。一个是为VLAN的用户提供访问共享资源的功能；第二是帮助每个VLAN互相交流。
众所周知，虚拟局域网的主要功能是将企业的局域网分成几个独立的块，相当于不同的局域网。没有路由器的帮助，这些工作组就无法相互交流。也就是说，如果销售部门和财务部门被划分到两个不同的虚拟局域网中，没有路由器的帮助，他们是无法相互通信的。
此外，路由器还为虚拟局域网的用户提供了访问一些共享资源(如服务器)的路径。现在的应用软件大多是服务器/客户端或者服务器/浏览器模式。对于大多数企业来说，服务器的访问效率是企业网络应用的瓶颈。因此，如果能够提高服务器的访问性能，无疑会提高整个网络的执行效率。比较有效的办法是隔离服务器，减少广播，提高服务器的网络运行效率。现在，如果将服务器和其他工作组分成两个虚拟局域网，无疑会减少广播冲突，提高网络的运行性能。但现在的问题是，如果服务器和工作组在不同的虚拟局域网中，企业的员工将无法正常访问服务器。因此，我们还需要路由器的帮助来提供访问这些服务器的路径。
实际上，我们的网络管理员可以通过一条或多条高速主干线路经济地将路由器连接到虚拟局域网。借助路由器，VLAN不仅提供了逻辑分段的功能，还大大提高了网络的性能和安全性。换句话说，VLAN和路由器的结合是双方取长补短的过程。
使用VLAN和路由器的公司网络可以提高路由器和交换机之间的信息吞吐量。因为我们都知道以太网中的一个包会被发送到局域网中的所有主机。这无疑会增加局域网中路由器和交换机端口的工作压力。现在，有了VLAN，数据包将在最小范围内转发，这样无用的数据包就不会占用路由器和交换机宝贵的端口带宽。另一方面，这提高了路由器和交换机的信息吞吐量。此外，在路由器的帮助下，可以加强虚拟局域网中所有物理端口的通信和控制能力。
二、虚拟局域网中交换机的角色转变
交换机是虚拟局域网中的核心网络设备之一。作为终端设备，交换机进入虚拟局域网。它是虚拟局域网中信息传输的入口，在虚拟局域网中起着至关重要的作用。毫不夸张地说，没有交换机的存在，就没有虚拟局域网。
传统交换机一般不具备网络分段功能。也就是说，交换机上的所有端口都在同一个局域网中。然而，随着VLAN技术的出现，交换机上的网络端口也可以属于不同的网段。换句话说，交换机可以与虚拟局域网技术结合使用，以实现网络分段。
如果交换机支持VLAN技术，它们可以根据我们的网络管理员和数据帧的预设规则决定是过滤数据包还是转发数据包。如果被转发，数据将被转发到网络中的其它交换机或路由器。首先，交换机中最常用的数据过滤方法包括帧过滤和帧表标记。在这两种方法中，交换机将分析通过它的数据包，结合我们预定义的VLAN规则，然后决定是转发还是过滤。最重要的是，所有这些任务都可以集中管理，并且可以很容易地应用到企业局域网中。
使用帧过滤方法的交换机将检查通过该交换机的所有帧信息。此外，每个交换机中都有一个过滤表。这样，交换机可以灵活地控制数据的转发，并提供更高级别的管理控制。例如，我们可以根据最终用户的IP地址、MAC地址和网络层协议将企业局域网划分为不同的网段。当报文在本交换机中转发时，交换机会根据数据帧的相关信息查阅内部过滤表，然后决定相关操作。但是，这种处理机制是一种比较早期的处理方法。由于交换机要对经过它的所有数据帧进行类似的检查、判断和处理，如果采用这种方式，其虚拟局域网的运行效率并不是很高。所以早期即使企业采用了虚拟局域网，也感觉不到局域网性能有什么提升。
现在很多虚拟局域网交换机都采用帧标记的方法。当帧在主网络路径上转发时，测试。大注意:一个新的标志将被添加到每个框架的头部。虚拟局域网交换机将在转发此帧时检查此标记，例如将它广播到其他交换机、路由器或其他中断设备。当帧离开此中继线时，或当数据帧离开虚拟局域网交换机时，此标志将被清除。也就是说，其他设备不需要检查该标识。由于帧是在网络协议的第二层进行校验的，其有用资源相对较少，对网络性能的影响也非常有限。此外，这种方法还提供了很好的灵活性，可以很好地在后续的网络升级中实现。因此，在一个大型企业网络中，我仍然用帧过滤的方法建立了一个虚拟局域网交换机。现在这项技术已经被IEEE组织采用。
可以看出，虚拟局域网(VLAN)的出现扩大了交换机的应用范围，使交换机从传统的数据转发向局域网的智能分段过渡。这是交换机质的提升，大大提高了交换机的性价比。
最后提醒一下，虽然VLAN的管理是灵活的，但具体的灵活程度与VLAN的设计和使用的设备密切相关。为了提高虚拟局域网的灵活性和可升级性，在设计虚拟局域网时应采用动态虚拟局域网。然而，当使用以港口为中心的VLAN或静态VLAN时，我们应该谨慎。相对来说，动态VLAN的灵活性和可扩展性要高于后两者，但安全性要比另外两者稍差一些。相反，以端口为中心的VLAN或静态VLAN在灵活性和可扩展性方面有一些缺点，但在安全性方面略胜一筹。因此，企业在设计虚拟局域网时，需要在这里得到一个平衡点。根据作者的建议，对于具有扩展性的企业，最好采用动态虚拟局域网。根据笔者这么多年的工作经验，对于一些成长型企业来说，可能经常需要调整组织架构。因此，这类成长型企业对网络应用的灵活性要求更高。