一、VLAN间路由
1.VLAN间 路由的需求
+传统的二层交换网络,整个网络就是一个广播域,当网络规模增大的时候,网络广播严重,效率下降,不利管理。
在以太网中,*所谓广播域就是指在一个网络中,广播帧(目的MAC地址为ff-ff-ff-ff-ff-ff的帧)将要被转发的最大范围_。
在二层交换机中,交换机仅根据MAC地址进行帧的选路和转发,当一个完整正确的以太网帧从一个交换机端口上被接收上来以后,交换机将在自己维护的MAC地址表中去查找地址,根据地址类型的不同和查找结果的不同情况,交换机对帧采取不同的处理。
单播帧_(Unicast),目的地址在MAC地址表中存在:
按照目的地址在地址表中的表项所指的输出端口,将帧转发到相应的端口上。(单播MAC地址在地址表中只能指向一个输出端口)
单播帧_(Unicast),目的地址在MAC地址表中不存在:
在广播域的所有端口上广播该帧
多播帧_(Multicast),目的地址在MAC地址表中存在:
在广播域的所有端口上广播该帧
广播帧_(Broadcast):
在广播域的所有端口上广播该帧
在扁平的二层网络上,广播域是整个网络,当出现广播帧或在地址表中不能匹配到目的地址的帧的时候,帧将被广播到整个网络上,全部的主机都将接收到。由于网络广播和目的地址未匹配的帧的普遍存在,当二层网络的规模增加,应用多样化后,网络的广播流量将增加,对整个网络的效率产生较大影响。
由于整个网络在一个广播域,所有的用户都能够不受控制地直接访问网络的所有部分,并能够影响到网络的所有部分的正常运行,因此对于网络的安全性也造成一定的威胁。
二、VLAN隔离二层广播域
+VLAN隔离了二层广播域,也就严格地隔离了各个VLAN之间的任何流量,分属于不同VLAN的用户不能互相通信。
VLAN之间被严格地隔离开来,任何一个帧都不能从自己所属的VLAN被转发到其他的VLAN中。整个网络被划分为若干个规模更小的广播域,网络的广播被控制在相对比较小的范围内,提高了网络的带宽利用率,改善网络效率和性能。
每一个人都不能随意地从网络上的一点,毫无控制地直接访问另一点的网络或监听整个网络上的帧,隔离的广播域改善了网络的安全性。
VLAN可以实现对用户的分组,通过配置VLAN可以实现灵活的网络管理,同时在网络迁移的时候,由于交换机的灵活配置,可以轻松修改网络的设计,而不需要修改网络的布线等烦琐、耗时的工作。
连接不同的VLAN-VLAN间路由
+不同VLAN之间的流量不能直接跨越VLAN的边界,需要使用路由,通过路由将报文从一个VLAN转发到另外一个VLAN。
VLAN之间的通信的解决方法是,在VLAN之间配置路由器,这样VLAN内部的流量仍然通过原来的VLAN内部的二层网络进行,从一个VLAN到另外一个VLAN的通信流量,通过路由在三层上进行转发,转发到目的网络后,再通过二层交换网络把报文最终发送给目的主机。
在VLAN之间做互联使用的路由器上,我们可以通过各种配置,比如对路由协议的配置、对访问控制的配置等等形成对VLAN之间互相访问的控制策略,使网络处于受控的状态。
三、三层交换机做VLAN间路由
+在主机上配置默认网关,对于非本地的通信,主机会自动寻找默认网关,并把报文交给默认网关转发而不是直接发给目的主机
1.1.1.10通2.2.2.20通信:
主机1.1.1.10根据掩码比较,目的主机不是本地主机--IP通信规则,查找本机路由表找网关,这里默认网关--本机RAP Cache中查找网关MAC,没有就启动一个ARP请求去发现。得到默认网关MAC,主机将帧转发给默认网关,有路由器转发--路由器通过查找路由表将报文转发到相应的接口,然后查找到目的主机的MAC,将保温发送给目的主机---目的主机收到报文后,回应的报文经历类似的过程又转发会主机1.1.1.10
了解到以上的过程后,应该可以了解到,VLAN之间的互通就和其他的网络配置相同,都不是简单地把设备放在那里就行了的,要根据网络的实际设计情况,同步地配置网络各个部分的设置。如果单独配置了路由器的地址,而没在主机上配置网关,VLAN间的通信依然是无法运行起来。
路由做VLAN间路由的局限
+在二层交换机上配置VLAN,每一个VLAN使用一条独占的物理连接连接到路由器的一个接口上
VLAN之间的通信使用路由器进行,那么在建立网络的时候就有个联网的选择问题。
按照传统的建网原则,我们应该从每一个需要进行互通的VLAN单独建立一个物理连接到路由器,每一个VLAN都要独占一个交换机端口和一个路由器的端口。
使用VLAN Trunking
+二层交换机上和路由器上配置他们之间相连的端口使用VLAN Trunking,使多个VLAN共享同一条物理连接到路由
可以使多个VLAN的业务流量共享相同的物理连接,通过在VLAN Trunking的物理连接上传递打标记的帧将各个VLAN的流量区分开来。
在做VLAN间互通的时候,对于网络中多个VLAN,只需要共享一条物理链路。在交换机上配置连接到路由器的端口使用VLAN Trunking,在路由器上也做相同的配置。
在这样的配置下,路由器上的路由接口和物理接口是多对一的对应关系,路由器在进行VLAN间路由的时候把报文从一个路由接口上转发到另一个路由接口上,但从物理接口上看是从一个物理接口上转发回同一个物理接口上去,但是VLAN标记在转发后被替换为目标网络的标记。
这样,在通常的情况下,VLAN间路由的流量不足以达到链路的线速度,使用VLAN Trunking的配置,可以提高链路的带宽利用率,节省端口资源,和简化管理(例如:当网络需要增加一个VLAN的时候,只要维护一下设备的配置就行了,不需要对网络布线进行修改)
使用VLAN Trunking之后,用传统的路由器进行VLAN之间的路由在性能上还有一定的不足:由于路由器利用通用的CPU,转发完全依靠软件进行,同时支持各种通信接口,给软件带来的负担也比较大。软件要处理包括报文接收、校验、查找路由、选项处理、报文分片,导致性能不能做到很高,要实现高的*转发率_就会带来高昂的成本。由此就诞生了三层交换机,利用三层交换技术来进一步改善性能。
基于内部硬件路由引擎的三层交换机
+二层交换机上和路由器在功能上的集成构成了三层交换机,三层交换机在功能上实现了VLAN的划分、VLAN内部的二层交换和VLAN间路由的功能
三层交换机使用硬件技术,采用巧妙的处理方法把二层交换机和路由器在网络中的功能集成到一个盒子里,提高了网络的集成度,增强了转发性能。
为了实现各种异构网络的互连,IP协议实现了十分丰富的内容,标准的IP路由需要在转发每一个IP报文的时候做很多处理,经过很多流程,就象前面所说的给软件带来巨大负担的工作。