第8章 虚拟局域网
虚拟局域网的产生
在LAN交换技术中,虚拟局域网是一种迅速发展的技术。此种技术的核心是通过路由和交换设备在
网络的物理拓扑结构基础上建立一个逻辑网络,以使得网络中任意几个LAN段或(和)单站能够组合
成一个逻辑上的局域网。
在20世纪90年代初,具有多端口的路由器开始取代网桥,以达到在第三层对网络进行分段的目
的,并实现对广播数据的抑制。在此种只使用路由器的网络中,网段和广播域是一一对应的。在
一个网段,也即一个广播域中通常只包含有30—100个用户。
在引入交换技术之后,人们可以在第二层上将网络划分成更小的分段,这样做的好处是各网段的
带宽将得以提高,而网络中路由器可以集中力量作好广播数据的抑制工作。此时一个广播城可以
跨越多个交换的网段,从而使得在一个广播域中提供对500个甚至更多的用户的支持也不再是什么
困难的事。而VLAN则代表着—种不用路由器对广播数据进行抑制的解决方案。
在VLAN中,对广播数据的抑制将由交换器完成。此时每一个物理网段可以仅包含一个用户,而一
个广播域中则可以具有多达1000个以上的用户。另外VLAN还可以跟踪各个工作站物理位置的变
动,使之在移动位置之后不需要对其网络地址重新进行手工配置。
在本章中我们将讨论VLAN的特点、结构、实现机制、功能以及将来发展的情况。
8.1 概 述
8.1.1 什么是VLAN
要对VLAN下一个确切的定义可能是一件比较困难的事,因各厂商有不同的VLAN解决方案,但可以
这样认为,VLAN基本上可以看成是一个广播域。说的具体一点,一个VLAN可以看成是一组客户工
作站的集合。这些工作站不必处于同一个物理网络上,它们可以不受地理位置的限制像处于同一
个LAN上那样进行通信和信息交换。
如图8.1所示,即为VLAN的一个例子。
在整个网络结构中,划分了三个VLAN,分别为工程VLAN、市场VLAN及财会VLAN,每一个VLAN包括
了相应的客户站。可以认为一个VLAN实际上是逻辑上的网段。
此种逻辑上的网段给LAN的管理、安全性以及广播数据的抑制带来诸多的益处。现VLAN需要具备以
下若干条件:
Ø具有能够将所连接的客户站进行逻辑分段的高性能交换机。
Ø在网上传输VLAN信息的通信协议。
Ø进行VLAN间通信的第三层路由解决方案。
Ø同已安装的LAN系统能够实现VLAN的兼容性和互操作性。
Ø提供具有集中控制、配置和流量管理功能的网管方案。
虚拟局域网需要解决的问题:在实现VLAN的过程中有许多需要解决,但最为关键的是如下几个问
题:
Ø如何在整个网络范围内定义务VLAN中的成员,即VLAN划分方法。
Ø如何在多个交换设备之间传递VLAN成员信息
ØVLAN的配置问题如何解决
ØVLAN之间的通信如何进行
这些问题如何解决将影响到某个VLAN实现是否能够有效地满足用户和网络管理的要求。由于VLAN
都是在交换网络环境中实现的。在此种网络环境中最核心的问题是交换设备。交换设备是各客户
工作站连人交换网络的入口点,它可以提供对用户、端口、以及逻辑地址进行分组以构成VLAN的
能力。
当前LAN交换设备在物理上一般都安装在共享式的分段HUB和位于主干网的路由器之间,它将在
VLAN的分段及实现低延迟的报文转发方面起到至关重要的作用。总的来说,VLAN交换设备除了能
够显著地提高网络的性能和专用带宽外,同时它还具有完成VLAN的划分所必需的能力。
8.2 建立虚拟局域网的交换技术
8.2.1 端口交换
端口交换或称配置交换,最初的方式是把端口经过手工配置到一个或若干个通过背板连接的共享
HUB上,可以形成若干个独立的由端口组合的共享媒体段,每一个连接到端口上的用户被分配到其
中一个段上。(端口连接的配置可人为确定)
近年来发展成为一种称为端口交换(Port Switch)的设备,在一个或几个通过背板连接的端口交换
器上,通过软硬件的控制和管理,交换器上的所在端口划分成若干个共享式的互相独立的VLAN。
端口交换方式的特点有二:
Ø一是端口用户组成小规模的VLAN非常灵活;
Ø二是在全局交换网络上,端口交换能够为全局VLAN提供有效的、灵活的前端配置端口
组合的功能。
8.2.2 帧交换(第二层交换)
LAN(Ethernet,Token Ring或FDDI)交换器(机)每一个端口上提供一个独立的共享媒体端口,在此
端口上可以接共享HUB也可以接单独的一个客户站。在一个端口上接收到的帧正确地转发到输出端
口上,在寻找路径和转发时,帧是不会被破坏的。
(1)对于广播帧来说,可以转发到交换器上的所有端口。
(2)虚拟化后,一个交换器或者互联的若干交换器上的每个端口可以被分配给任何VLAN,即在网
络系统中形成若干个VLAN。
帧交换方式的特点是比端口交换增加了有效的带宽,LAN交换器上每个端口用户具有独占带宽(例
10Mbps,100Mbps)的性能,交换器间互联的速率可达数百兆甚至千兆位传输率。服务器和高速客
户站可以直接连到交换器端口上。
目前,绝大多数厂家的LAN交换器(机)均按帧交换方式来实现VLAN的交换,Ethernet交换器与端口
交换器组合应用,使用户加入VLAN更灵活。
8.2.3 信元交换
ATM交换机上实现信元交换,一个或者多个互联的ATM交换机组成网络的核心系统,类似于帧交换
(需查交换表),所不同的是从ATM交换机端口上接收到信元后,正确地转发到输出端口。
8.3 划分虚拟局域网的方法
常用的VLAN划分方法如下:
8.3.1 按交换端口号
将交换设备端口进行分组来划分VLAN,如图8.3所示。交换器1与交换器2上端口 1、2、3、8与
1、7、8所连接的客户站构成VLANA。而相应的端口4、5、6、7与4、5、6所连接的客户站构成
VLANB。
在最初的实现中,VLAN是不能跨越交换设备的。后来进一步的发展使得VLAN可以跨越多个交换设
备。
按端口号划分VLAN仍然是构造VLAN的一个最常用的方法。而且此种方法也确实是比较简单并且非
常有效。但仅靠端口分组而定义VLAN将无法使得同一个物理分段(或交换端口)同时参与到多个
VLAN中,而且更要紧的是当一个客户站从一个端口移至另一个端口时,网管人员将不得不对VLAN
成员进行重新配置。
8.3.2 按MAC地址
这种方法的特点是由网管人员指定属于同一个VLAN中的各客户站的MAC地址。
用MAC地址进行VLAN成员的定义既有优点也有缺点。由于MAC地址是固化在网卡中的,故移至网络
中另外一个地方时它将仍然保持其原先的VLAN成员身份而无需网管人员对之进行重新的配置,从
这个意义讲,用MAC地址定义的VLAN可以看成是基于用户的VLAN。
但这种方法也有许多不足之处,首先所有的用户在最初都必须被配置到(手工方式)至少一个VLAN
中,只有在此种手工配置之后方可实现对VLAN成员的自动跟踪。但在大型的网络中完成初始的配
置并不是一件容易的事。
8.3.3 按第三层协议
基于第三层协议的VLAN实现在决定VLAN成员身份时主要是考虑协议类型(支持多协议的情况下)或
网络层地址(如TCP/IP网络的子网地址)。此种类型的VLAN划分需要将子网地址映射到VLAN,交换
设备则根据子网地址而将各机器的MAC地址同一个VLAN联系起来。交换设备将决定不同网络端口上
连接的机器属于同一个VLAN。
但应注意此处对于第三层信息的使用并不构成路由功能。我们不应将其同网络层路由混淆起来。
因为在交换设备使用报文的IP地址决定VLAN成员身份时并没有进行任何路由计算,也没有使用任
何路由协议。交换设备只是根据生成树算法在其各端口之间进行帧的转发。因此从这个意义上
讲,任一VLAN内部的连接仍然是一种平板式的桥接拓扑结构。
第三层定义VLAN的优点:
首先,我们可以根据协议类型进行VLAN的划分,这对于那些对基于服务或基于应用VLAN策略的网
管人员无疑是极具吸引力的。
其次,用户可以自由地移动我们的机器而无须对网络地址进行重新配置。
在第三层上所定义的VLAN对于TCP/IP特别有效,但对于其它一些协议如IPX、DECnet或Apple则要
差一些,并且对于那些不可进行路由选择的一些协议,如Netbios,在第三层上实现VLAN划分将特
别困难,因为使用此种协议的机器是无法互相区分的,因此也就无法将其定义成某个网络层VLAN
的一员。
总之,各种划分方式侧重点不同,所达到的效果就不尽相同。目前在网络产品中融合多种划分
VLAN的方法,以便根据实际情况寻找最合适的途径;同时,随着管理软件的发展,VLAN的划分逐
渐趋向于动态化。
8.3.4 多重属性的VLAN
大多数情况下,人们可以同时为不同的工作组工作,即同时属于多个VLAN。一个好的虚拟网策略
不能强迫用户一定要属于某个虚拟网而且只能是这一个,这样设计的虚拟网缺乏灵活性和扩展
性。
举例:VLAN中组员的多重属性。
如某一公司的投标小组,小组里面需有销售人员、市场人员及工程技术人员,他们分别负责投标
的不同任务并协同工作,而这些人员原来又分别属于销售部、市场部、工程部的不同虚拟网络。
(垂直领导与横向联合共有)。
因而,实际上他们组成了一个临时的投标虚拟网。这时,他们既可分别访问他们原属的网络,又
可同时在投标VLAN中互相交流信息,这就是VLAN中组员的多重属性。
一个用户同时具有多个VLAN成员资格虽然是很有必要的,但这意味着工作组的安全性下降,并可
能导致可伸缩性的下降。
8.4 虚拟局域网互联方式
总的要求:灵活、高效。
一般情况下网络环境中的VLAN实现了网络流量的分割。
在大型网络中,VLAN内数据的高速交换同VLAN间数据传输的有效路由和交换这两者的集成正变得
越来越具有吸引力。
互联的各种不同的路由方案具有很大的差别,每一种都有其各自的优点和不足,并且将对网络的
总体结构产生影响。而且路由也并不是解决VLAN间通信技术的惟一方法。
同选择一种VLAN解决方案会遇到的其它一些重要问题一样,解决VLAN间通信的选择也取决于用户
特定的应用需求及总的网络结构,其中最为关键的问题是要达到较高程度的灵活性。
目前基本上有五种不同的VLAN路由模式:
Ø边界路由。
Ø“独臂”路由器
Ø路由服务器/路由客户机。
ØATM上的多协议(MPOA)路由。
Ø第三层交换。
下面我们将具体讨论各种不同模式的工作方式及其各自的优缺点。
课堂笔记(第8章)2
8.4.1 边界路由
边界路由指的是将路由功能包含在位于主干网络边界的每一个LAN交换设备中,此时,VLAN间的报
文将由交换设备内在的路由能力进行处理,从而无需再将其传送至某个外部的路由器上,数据的
转发延迟因而也将得以降低。
此种路由方式的主要优点:在于不像集中式路由那样会因中央路由站点的崩溃而导致整个网络的
瘫痪。
主要的不利之处在于:相对于统一路由功能的集中式管理而言,边界路由需要对多个物理设备进
行管理。另外此种方式可能比由一个集中式路由器和多个较便宜的边界路由器组成的集中式方案
在价格上要贵一些。
8.4.2 “独臂”路由器
采用“独臂”路由器的网络方案因能消除主干网上集中式处理和高延迟的路由功能而越来越受广
泛的关注。
要求:
Ø大部分报文在VLAN内传输;
Ø少量的报文通过路由器进行传输。
这种路由器一般接在主干网上的一个交换设备上,以使得网络中的大部分报文在通过主干网时无
需通过路由器进行处理,而且此种方式配置和管理起来也比较方便。此种路由模式由图8.4所
示。
优点:我们可以看到同一个VLAN内的报文将用不着通过路由器而直接在交换设备间进行高速传
输。
这种路由方式的不足之处在于它仍然是一种集中式的路由策略,因此在主干网上一般均设置有多
个冗余“独臂”路由器,但如果网络中VLAN之间的数据传输量比较大,那么在路由器处将形成瓶
颈。
8.4.3 ATM上的多协议路由(MPOA)
人们现在正在致力于将路由服务器的方法标准化。ATM论坛的MPOA标准工作组正在进行的工作就是
此种努力中的一个代表。
MPOA的目的是给可能属于不同路由子网的多个用ATM网络连接的设备提供直接的虚拟连接。也就是
说,MPOA将使得多个属于不同E—LAN(仿真局域网)的站点通过ATM网络直接进行通信,而用不着
经过一个中间的路由器。其中ELAN可以看成为另一种的VLAN,它是在ATM网络环境下用LAN
Emulation(模仿)标准建立起来的。
8.4.4 第三层交换技术
在第三层交换技术的章节中,已经详细地讨论了各种技术的原理和特点,有的技术方案本身就是
一个带有路由功能的交换器。特别是基于智能可编程ASIC技术的第三层交换器,它既包括了第二
层和第三层的交换功能,而且还具备路由寻址功能。因此利用它来作为网络的主干交换器,既可
以根据多种方法来定义VLAN成员,继后配置VLAN,又能不附加其它路由设备来实现VLAN之间的通
信。不论从网络结构还是降低网络传输延迟来说,用第三层交换技术不失是一个很好的选择。
8.5 虚拟局域网标准(IEEE 802.1Q)
虚拟局域网标准(IEEE 802.1Q)的建立:
近几年来,在实现VLAN的过程中,各厂家纷纷推出自己的技术和相应的产品,但往往这些技术和
产品所遵循的协议和标准是不相同的,致使各厂家的VLAN产品自成系统,互不兼容。妨碍了VLAN
技术和市场的进一步发展。
目前第三层上实现的VLAN往往是基于Internet TCP/IP的组播技术及相应的协议,其中涉及的技
术和协议如下:
ØIP组播地址确定。
ØIGMP。
ØMVONE(Intemet Multicast Backbone)。
ØDVMRP(Distance Vector Multieast Routing Protoc01)。
标准协议:
而在MAC层上VLAN实现的标准最有代表性则为IEEE 802.1Q。
1996年3月IEEE 802.1 Internetworking小组完成了制定VLAN标准而进行的初步调查工作,解决了
三大问题,即VLAN的体系结构、帧标记的标准格式以及VLAN标准化未来发展方向。特别是帧标记
的标准化格式使用了802.1Q标准。
帧格式标准化后,各厂家可以迅速将其融入到它们生产的交换机产品中,目前所有的主要厂商,
其中包括3C0M,Bay,IBM以及Cisco都表示支持802.1Q。
IEEE802.1Q目前还是标准草案,该标准草案是基于IEEE 802.1D和IEEE802.1p等标准,定义了基于
MAC层桥接局域网(Bridged LAN)实现VLAN的方法。
在802.1Q中定义了两种类型的帧标记:
Ø隐式的帧标记(Implicittagging):隐式的帧标记表示帧所属的VLAN信息并未被明显
地标记,该帧属于哪一个VLAN,缺省地由网桥的接收端口号或帧中data域的信息决定。
Ø显式的帧标记.(Explicit、tagging):显式的帧标记表示帧所属哪一个VLAN由网桥
(LAN交换器)所加的标记(VID)显式地决定。
形成以太网显式的帧标记包括以下几个步骤:
Ø在以太网帧中插入VLAN头部。头部插在DA(目的地址)和SA(源地址)之后。
Ø重新计算FCS(帧检验)
VLAN头部包括(4字节)如下信息域:
ØVPID(VLAN Protocol Identifier),2字节,它表明此帧已按802.1Q协议显式标记。
ØVCI(VLAN Control Information),2字节,它由以下几部分组成: (见图8.5)
a.User-priority(用户优先)它允许VLAN帧在那些不具备表示用户优先权的网段(如Ethernet)携
带用户优先权信息;
b.TR-encap它置位时(=1)表示该帧data域中携带的是未经翻译和封装的TokenRing帧;
c.VID(VLAN Identifier)它表明此帧属于哪一个VLAN。
8.6 虚拟局域网的功能
上面我们讨论了VLAN的技术特点,人们发展VLAN技术的一个主要原因是减少在网络中的站点发生
移动、增加和修改时增加管理开销,同时解决因数据的广播而引起的一些性能问题。
主要优点:
Ø效率高;如同在一个局域网中。
Ø易管理;在VLAN中变动方便。
Ø减小对路由的需求;
Ø安全性更高。
我们将发现上面所讨论的VLAN技术确实能够达到上述目的,同时还可以实现其它一些引人注意功
能。例如安全性、对广播数据的更好的管理和控制,网络的微分段、负载分担等等。下面我们将
这些问题进行详细的讨论。
提高管理效率
网络中站点的移动、增加和改变是最让网管人员头疼的问题之一,同时也是网络维护过程中相对
来说开销比较大的一部分。因为此时一般都需要重新进行布线,并且几乎所有的站点移动都伴随
着地址的重新分配以及对交换器和路由器重新配置。
VLAN为控制上述修改而提供了有效的手段,同时对交换器和路由器重新进行配置的开销将得以减
少。当某个VLAN中的一个用户从一个地点移动至另一个地点时,只要他们仍旧保持在同一个VIAN
中并且能够连接到一个交换端口上。那么无需对他们的网络地址进行修改。最多只是需要将此交
换端口重新配置到相应的VLAN中。此种方式将极大地简化配置和调试工作,这对于目前大量使用
的配线间技术是一个很大的改进。并且此时路由器的配置可以保持不变。
广播数据的控制、站点的移动、增加和修改、以及网络资源访问权限的设置都是集中式管理的一
般性功能。VLAN通信为此种管理方式大开了方便之门,因为在VLAN解决方案中一般都带有可集中
配置管理和监控的VLAN管理软件。
控制广播数据
广播数据是在每一个网络中都会出现的。此种数据量的多少主要取决于应用的类型、服务器的类
型、逻辑分段的数目、以及这些网络资源是如何使用的。
广播风暴的预防:
目前各种Group Ware应用将会产生大量的广播数据,网络设备的故障也可能会导致广播数据的大
量出现。如果管理得不好的话,广播数据将严重地损害网络的性能并可能导致整个网络的崩溃。
因此网管人员必须采取措施对因广播数据而可能导致的问题加以预防。
早期使用的有效的措施是用防火墙对网络进行适当的分段,以防止因某个网段出现问题而使整个
网络受到影响。这种功能一般可借助于路由器来实现。
当交换型体系结构在网络中大量使用时,广播数据(第二层数据)将被传送到各个交换端口那里。
此种结构通常被称作是“平板式”的网络,整个网络构成一个广播域。
平板式交换型网络的优点是它给用户提供了非常低的传输延迟和非常高的数据传输率,但广播数
据却将被传送到所有的交换设备、端口、主干网连接和用户那里,大量地浪费网络资源特别是宝
贵的广域网资源。为减少此种不利影响,在网络中还得加上一定数量的路由器以对网络进行分
段。一旦使用了路由器,传输延迟将会随之而增加,从而丧失交换型网络的优点。
VLAN的主要好处之一是支持VLAN的交换设备也可以有效地对广播数据进行控制,某VLAN中的广播
数据将只是被复制到那些连接有此VLAN的某个成员的交换端口上,在除此而外的那些端口上将不
会出现这些数据。这实际上是为在交换型网络中建立起同路由器功能类似的防火墙提供了一种有
效的手段。
但同使用路由器的解决方案相比,VLAN技术有几个显著的优点是路由器所无法具备的。
(1)首先是性能上的问题,使用路由器最大的问题是传输延迟比较高,而在VLAN结构中大部分数
据都是借助于交换而传输的,只是在VLAN间的数据才要经过路由器的处理。在配置得比较好的
VLAN结构中,VLAN间的数据量将比较少,因而总的网络性能将不会受到太大的影响。
(2)其次路由器的配置和管理更为复杂,减少网络中路由器的数量可以降低网络的维护和管理开
销。另外同路由器端口比较起来,交换端口的价格要便宜一些,这使得我们可以用比较少的费用
而获得比较好的效果。
(3)网管人员可以非常方便地通过多种手段对广播域的大小进行控制。
例如限制在同一个VLAN中的交换端口的数目以及连接这些端口上的用户的数目等。一般来说,
VLAN中的用户数越少,此VLAN中的广播数据对于网络中其它用户的影响将越小。另外可以基于所
用的应用类型及这些应用所产生的广播数据量的大小进行VLAN的划分。共享同一个会产生大量广
播数据的应用程序的那些用户可以划分到同一个VLAN中,同时网管人员也可以将此应用分布到整
个网络上。
增强网络安全性
目前共享型的LAN已经大量地安装在各行各业中,这会导致一个严重的问题就是如何对数据进行保
密,共享型LAN的一个最大的不足就是易于受到入侵。因为只要把机器接人到一个端口中就可以收
到相应网段上的所有数据。广播域越大,此种危险也将越大,除非是HUB本身具有安全控制功能。
增强网络安全性的一种最有效和最易于管理的方法是将整个网络划分成一个个互相独立的广播组
(VLAN)。(相关的用户连接在一起,保证了数据的安全)。
另外网管人员可以限制某个VLAN中的用户的数量,并且可以禁止那些没有得到许可的用户加入到
某个VLAN中。按照此种方式,VLAN可以提供一道安全性防火墙,以控制用户对于网络资源的访
问,控制广播组的大小和构成,并且可借助于网管软件在发生非法入侵时及时通知管理人
员。
实现此种类型的分段相对来说还是比较简单的。例如我们可以根据应用类型和访问权限对交换端
口进行分组,那些受限的应用和资源一般均被放到一个VLAN中。试图侵入某个VLAN中的非法用户
将被网管软件标记出来。
通过使用路由器访问表还可以使安全性得到更进一步的增强。这对于VLAN间的数据传输特别有
用。在此种安全性的VLAN上,路由器将根据在交换设备和路由器中的配置而限制对于某些VLAN中
数据的访问。此种限制可以根据站点的地址、应用类型、协议类型、甚至时间等加以设置。
减少站点的移动和改变开销
对于为什么要使用VLAN,提得最多的是VLAN可以减少处理用户站点的移动和改变所带来的开销。
由于这些开销一般来说都比较大,因此VLAN方案也越来越引人注目。事实上VLAN方案也确实能实
现这一目的。
举例来说,对于IP类型的网络,当用户从一个子网移至另一个子网时,一般都需要对其IP地址进
行手工修改,而此种修改可能需要花费比较长的时间才能使站点正常工作,而这些时间本来是可
以用于其它一些更具有创造性的活动上的。使用VLAN则可以完全消除这些不必要的时间浪费,因
VLAN的成员身份同站点所在的地址是无关的,这样一来站点可以发生移动而其IP地址和子网成员
身份则可以保持不变。
不足:增加了虚拟连接的管理的开销。
但任何事物都是具有两面性的,VLAN的实现虽然可以降低对于网络动态管理的开销,但VLAN在物
理连接的基础上多出了一个虚拟连接,而对此虚拟连接的管理也是要有一定的开销的。但只要规
划得当,总的网络管理开销还是可以降低的。
实现虚拟工作组
VLAN方案的另一个更为雄伟的目标是要建立起虚拟工作组模型。虚拟工作组指的是当在整个园区
网络环境下实现了VLAN之后,同一个部门的所有成员将可以像处于同一个LAN上那样进行通信,大
部分网络通信将不会传出此VLAN广播域。当某个用户从一个地方移动到另一个地方时,如果他的
工作部门不发生变化(表示它仍在同一个VLAN),那么就用不着对其机器进行重新配置。
与此类似,如果某个用户改变了工作部门,他可以不改变其工作地点,而只需网管人员修改一下
其VLAN成员身份即可。
此种功能模型使得我们可以建立起来更为动态化的组织环境,以增强向功能交叉的工作组方向演
化的趋势。
虚拟工作组模型的工作方式是:以某个临时性的项目为基础的工作组可以虚拟地连接到同一个
VLAN上,这样此工作组中的人员将用不着改变其工作地点。
另外这些工作组可以是动态的,同某个功能有关的工作组相应的VLAN可以在项目的生存期内动态
地创建起来;而在此项目完成之后则可以将此VLAN“拆除”,用户的地理位置不用发生任何变
化。
虽然此种操作方式确实是很诱人的,但实际情况是VLAN本身并不能完全实现此种虚拟工作组模
型。目前要实现此种模型至少要考虑以下几个管理和结构方面的问题:
(1)虚拟工作组的管理:从网络管理的角度出发,虚拟工作组的暂时性可能会使得修改VLAN成员身
份同修改路由表一样麻烦(虽然这比移动用户的工作站可能要省事一些)。而且,从人们的心理角
度来讲,他们可能更习惯于同他们的同事呆在同一个地方,这对于虚拟工作组的实现无疑是一个
最大的障碍。
(2) 80/20规则的保持:虚拟工作组的VLAN支持通常假设80%以上的网络通信量是在本VLAN内的
而只有不到20%是跨越VLAN之间的或者是远程的。此即著名的80/20规则。
从理论上讲,如果VLAN配置得好的的话,确实是可以做到这一点的。但许多类型的应用却使人们
对于在VLAN 中能否保持这一点产生怀疑,如大量地安装服务器以及某些类型的网络应用如E—
Mail等都将使80/20规则失效。(大量的E—Mail是跨越VLAN之间的或者是远程的)。
(3)对本地网络资源的访问:虚拟工作组可能会遇到的一个问题就是用户虽然离某个资源(如打印
机)很近但却只能“望洋兴叹”,因为此种资源可能被配置在另外一个不同的VLAN中。当然此种问
题可以使得此种共享资源同时是多个VLAN中的成员,但将增加VLAN之间的数据传输量。
集中式服务器Farms:
服务器Farm指的是将各部门的服务器放到某数据中心,在那里可以进行统一的备份、并提供良好 的
供电系统以及合适的操作环境。此种向服务器Farms演化的趋势近来正在不断加快,并且此种趋 势将
继续下去以降低管理开销,但此种结构对于虚拟工作组模型而言是有问题的,最大的困难在 于当服务
器不具备同时参加到多个VLAN中的能力时。
此时服务器同某个不在服务器所属VLAN中的客户之间的通信必须经过路由器。但如果交换设备本
身具有路由功能,那么在此种情况下网络的性能将不会受到什么损害。目前已有几家厂商的产品
支持此种功能。