VLAN间的通信方式

.

VLAN间的通信方式

摘要：在大型园区网络中，VLAN技术的应用已经很普及，在多媒体技术迅猛发展的网络应用中，VLAN间的通信问题已显得越来越重要，但到目前为止尚无统一的通信标准，各厂家的产品各有所长，在具体的网络规划中需要对各种产品进行仔细比较以便找出适合自己网络的产品，选择适合自己网络特点的通信方式。

随着交换机应用的普及，VLAN技术的应用也越来越广泛。众所周知，VLAN技术的主要作用是可将分布于不同地理位置的计算机按工作需要组合成一个逻辑网络，同时VLAN的划分可缩小广播域，以提高网络传输速度，由于处于不同VLAN的计算机之间不能直接通信，从而使网络的安全性能得到了很大提高。但事实上在很多网络中要求处于不同VLAN中的计算机间能够相互通信，如何解决VLAN间的通信问题是我们在规划VLAN时必须认真考虑的问题。在校园网络发展的初期，网络中只有10%~20%的信息在VLAN之间传播，但随着多媒体技术在校园网络中应用的迅速普及，VLAN之间信息的传输量增加了许多倍，如果VLAN之间的通信问题解决得不好，将严重影响网络的使用和安全。

在LAN的通信，是通过数据帧头中指定通信目标的MAC地址来完成的。而为了获取MAC地址，TCP/IP协议下使用ARP地址协议解析MAC地址的方法是通过广播报文来实现的，如果广播报文无法到达目的地，那么就无从解析MAC地址，亦即无法直接通信。当计算机分属不同的VLAN时，就意味着分属不同的广播域，自然收不到彼此的广播报文。因此，属于不同VLAN的计算机之间无法直接互相通信。为了能够在VLAN间通信，需要利用OSI参照模型中更高一层——网络层的信息（IP地址）来进行路由。在目前的网络互连设备中能完成路由功能的设备主要有路由器和三层以上的交换机。 1 通过路由器实现VLAN间的通信

使用路由器实现VLAN间通信时，路由器与交换机的连接方式有两种。第一种通过路由器的不同物理接口与交换机上的每个VLAN分别连接。第二种通过路由器的逻辑子接口与交换机的各个VLAN连接。

1.1通过路由器的不同物理接口与交换机上的每个VLAN分别连接。

这种方式的优点是管理简单，缺点是网络扩展难度大。每增加一个新的VLAN，都需要消耗路由器的端口和交换机上的访问，而且还需要重新布设一条网线。而路由器，通常不会带有太多LAN接口的。新建VLAN时，为了对应增加的VLAN所需的端口，就必须将路由器升级成带有多个LAN接口的高端产品，这部分成本、还有重新布线所带来的开销，都使得这种接线法成为一种不受欢迎的办法。

1.2通过路由器的逻辑子接口与交换机的各个VLAN连接。

.

.

这种连接方式要求路由器和交换机的端口都支持汇聚，且双方用于汇聚链路的协议自然也必须相同。接着在路由器上定义对应各个VLAN的逻辑子接口E1.1和E1.2。由于这种方式是靠在一个物理端口上设置多个逻辑子接口的方式实现网络扩展，因此网络扩展比较容易且成本较低，只是对路由器的配置要复杂一些。

2. 用交换机代替路由器实现VLAN间的通信

目前市场上有许多三层以上的交换机，在这些交换机中，厂家通过硬件或软件的方式将路由功能集成到交换机中，交换机主要用于园区网中，园区网中的路由比较简单，但要求数据交换的速度较快，因此在大型园区网中用交换机代替路由器已是不争的事实。用交换机代替路由器实现VLAN间通信的方式也有两种，其一，就是启用交换机的路由功能，这种方式的实现方法可采用以上介绍的路由器方式的任一种。其二，是利用某些高端交换机所支持的专用VLAN功能来实现VLAN间的通信。下面就对这种方式作重点介绍。

专用VALN将端口分为混杂端口、隔离端口和群体端口三类，只有混杂端口能够和路由器或三层交换机连接。对应混杂端口的VLAN称为Primary VLAN，它可以和映射到混杂端口的所有隔离VLAN(Isolated VLAN)的端口及群体VLAN(Community VLAN)的

端口通信。Community VLAN的端口除了可以和Primary VLAN通信外，部端口间也可以相互通信。Isolated VLAN的端口只能和Primary VLAN的端口通信外，部端口间是互相隔离的。 在神州数码公司的DCRS7504上的配置如下： DCRS7504(config)#vlan 7

DCRS7504(config-vlan-7)#tagged Ethernet 1/5 DCRS7504(config-vlan-7)#pvlan type Community DCRS7504(config-vlan-7)#exit DCRS7504(config)#vlan 5

DCRS7504(config-vlan-5)#tagged Ethernet 1/7 DCRS7504(config-vlan-5)#pvlan type Isolated DCRS7504(config-vlan-5)#exit DCRS7504(config)#vlan 9

DCRS7504(config-vlan-9)#untagged Ethernet 1/3

.

.

DCRS7504(config-vlan-9)#pvlan type primary

DCRS7504(config-vlan-9)#pvlan mapping 7 ethernet 1/5 DCRS7504(config-vlan-9)#pvlan mapping 5 ethernet 1/7

专用VLAN在城域网建设中得到了广泛的应用，一个专用VLAN 不需要多个VLAN和IP子网就提供了具备第二层数据通信安全性的连接，所有的用户都接入专用VLAN，从而实现了所有用户与缺省网关的连接，而与专用VLAN的其它用户没有任何访问，专用VLAN同样具有控制广播域的作用。 3 结束语

在当今的网络规划中，VLAN的设计是必不可少的，在考虑网络安全性能和传输速度的同时VLAN 间的通信问题也是十分重要的一个环节，由于网络产品的开发和应用速度相当快，目前VLAN间的通信还没有统一的标准，各厂家生产的网络设备在实现VLAN间通信的技术上各有所长，因此在具体的网络规划中应根据网络设备的特点和具体的网络应用情况来决定采用那种方式。

.

.

引言

随着信息技术的飞速发展，特别是计算机技术和网络技术的不断完善，人们对网络的传输要求也越来越高，在竞争中以太网以其传输速度高、低耗、易于安装和兼容性好等方面的优势脱颖而出成为现代企业网络的首选，VLAN技术的出现很好地解决了网络信息过载的问题，但是由于不同VLAN之间的通信必须依赖路由功能，而传统的路由器由于其自身低速，复杂等局限性，很容易成为网络的瓶颈使以太网的优势难以发挥，第三层交换技术的出现克服了传统路由的缺点比较满意地解决这个难题。

1．第三层交换技术发展的必要性

传统路由器的主要功能是实现路由选择与网络互联，即通过一定途径获得子网的拓扑信息与各物理线路的网络特性，并通过一定的路由算法得到到达各子网的最佳路径。建立相应的路由表，从而将每个IP包跳到跳（hoptohop）传到目的地；其次，它必须处理不同的链路协议。IP包途经每个路由器时，需经过排队、协议处理和寻址选择路由等软件处理环节，造成延时增大。同时路由器采用共享总线方式，总的吞吐量受到限制，当用户数量增大时，每个用户的接入速率降低。路由器更注重对多种介质类型和多种传输速度的支持，而目前数据缓冲和转换能力比线速吞吐能力和低时延更为重要。

与路由技术相比，交换技术的好处就是速度快，当网络规模很大时，高速、大容量路由器是十分必要的。另一方面，由于现代通信网络大都采用光纤技术，所以目前数据网络的主要瓶颈是结点路由器。现在的第三层交换、路由交换或其他相关名词都是这种思路的体现。虽然第三层交换最初是为了局域网而设计的，它采用目的IP地址进行交换，但是现在这种技术也已经开始在广域网中使用。它不需要将广播封包扩散，而是直接利用动态建立的MAC地址来通信，如IP地址、ARP等，具有多路广播和虚拟网间基于IP和IPX等协议的路由功能。这方面功能的顺利实现，主要依靠专用集成电路ASIC把传统路由软件处理的指令改为ASIC芯片的嵌入式指令，从而加速了对包的存储转发和过滤，使得高速下的线性路由和服务质量都有了很高的保证。

2．第三层交换技术的基本原理及其结构框架 2.1第三层交换技术的基本原理

第三层交换是在网络交换机中引入路由模块而取代传统路由器实现交换与路由相结合的网络技术。它根据实际应用时的情况，灵活地在网络第二层或者第三层进行网络分段。具有三层交换功能的设备是一个带有第三层路由功能的第二层交换机，但它是二者的有机结合，并不是简单地把路由器设备的硬件及软件叠加在局域网交换机上。

第三层交换机的设计基于对IP路由的仔细分析，把IP路由中每个报文都必须经过的过程提取出来，这个过程是十分简化的过程。IP路由中绝大多数报文是不包含选项的报文，因此在多数情况下处理报文IP选项的工作是多余的。不同网络的报文长度是不同的，为了适应不同的网

.

.

络，IP要实现报文分片的功能，但是在全以太网的环境中，网络的帧长度是固定的，因此报文分片也是一个可以省略的工作。第三层交换技术没有采用路由器的最长地址掩码匹配的方法，而是使用了精确地址匹配的方法处理，这样，有利于硬件的实现快速查找。它采用了使用高速缓存的方法，把最近经常使用的主机路由放到了硬件查找表中，只有在这个高速缓存中无法匹配的项目才会通过软件去转发。在存储转发过程中使用了流交换方式，在流交换中，分析第一个报文确定其是否表示了一个流或者一组具有相同源地址和目的地址的报文。如果第一个报文具有了正确的特征，则该标识流中的后续报文将拥有相同的优先权，同一流中的后续报文被交换到基于第二层的目的地址上，现在的三层交换机为了实现高速交换，都采用流交换方式。其在IP路由的处理上进行了改进，实现了简化的IP转发流程，利用专用的ASIC芯片实现硬件的转发，这样绝大多数的报文处理都可以在硬件中实现了，只有极少数报文才需要使用软件转发，整个系统的转发性能能够得以成千倍地增加，相同性能的设备在成本上也得到大幅度下降。

每个VLAN对应一个IP网段。在二层上，VLAN之间是隔离的，这点跟二层交换机换引擎的功能是一模一样的。不同IP网段之间的访问要跨越VLAN，要使用三层转发引擎提供的VLAN间路由功能。在使用二层交换机和路由器的组网中，每个需要与其他IP网段通信的IP网段都需要使用一个路由器接口作为网关。而第三层转发引擎就相当于传统组网中的路由器，当需要与其他VLAN通信时也要在三层交换引擎上分配一个路由接口，用来做VLAN的网关。三层交换机上的这个路由接口是在三层转发引擎和二层转发引擎上的，是通过配置转发芯片来实现的，与路由器的接口不同，它是不可见的。下面举个例子来说明通信过程。假设两个使用IP协议的站点A、B通过第三层交换机进行通信，发送站A在开始发送时，把自己的IP地址与B站的IP地址比较，判断B站是否与自己在同一子网，若目的站B与发送站A在同一子网，则进行二层的转发，若两个站点不在同一子网，如发送站A要与目的站B通信，发送站A要向三层交换机的三层交换模块发出ARP(地址解析)封包。当发送站A对三层交换模块的IP地址广播出一个ARP请求时，如果三层交换模块在以前的通信过程中已经知道B站的MAC地址，则向发送站A回复B的MAC地址，否则三层交换模块根据路由信息向B站广播一个ARP请求，B站得到此ARP请求后向三层交换模块回复其MAC地址，三层交换模块保存此地址并回复给发送站A，同时将B站的MAC地址发送到二层交换引擎的MAC地址表中。从这以后，A向B发送的数据包便全部交给二层交换处理，信息得以高速交换。可见由于仅仅在路由过程中才需要三层处理，绝大部分数据都通过二层交换转发，三层交换机的速度很快，接近二层交换机的速度。

2.2第三层交换技术的简单拓扑结构

所用连接到骨干交换机的设备有服务器、交换机、集线器、工作站等。其中核心交换机是一台第三层交换机，通过它来划分两个不同的功能的逻辑子网，实现不同VLAN间的通信。从图1可以看出，在同一个VIAN虚拟子网部三层交换机仅具有二层交换的功能，以保证传输速度的要求，而在不同的VIAN子网之间，三层交换机还起三层交换的作用，能正确地进行ARP解析，

.