处于同一个网络的所有设备,位于同一个广播域。也就是说,所有的广播信息会播发到网络的每一个端口,即使交换机、网桥也不能阻止广播信息的传播。因此同一时间只能有一个广播信息在网络中传送。
对于证券网络,使用的是NOVELL操作系统,所有设备都将在网络中定时播发广播包,以告知其它设备自己的存在。还有许多其他功能需要使用广播,如设备开机、消息播送、视频广播等。当网络上的设备越来越多,广播所占用的时间也会越来越多,多到一定程度时,就会对网络上的正常信息传递产生影响,轻则造成传送信息延时,重则造成网络设备从网络上断开,甚至造成整个网络的堵塞、瘫痪,这就是广播风暴。
因此网络上的设备数量与广播风暴的产生密切相关。据一些统计资料表明,网络上的设备数量在150~200台时,网络运行正常,且可以达到很高的利用率;当设备数量大于400台后,网络效率将急速下降,容易形成广播风暴。我们可以通过观察交换机的端口上广播包数及与其他信息包的比率来确定广播信息是否已对网络的通讯构成危害。
一、VLAN的划分方法及标准
为使同一个交换机上的所有端口能够属于不同的网络,以达到节约资金,同时又阻止网络之间互相通讯,产生很好的安全性的效果,产生了在网络设备上设置虚拟网(Virtual LAN)的思想(如图1所示)。
虚拟网划分的方法有很多种,有基于端口划分(Port Based VLAN)的,有基于协议划分(Protocal Based VLAN)的,有基于MAC地址划分(MAC Based VLAN)的。
基于端口划分(Port Based VLAN)后,可以在固定的连接后,无论使用哪台设备接入,都属于同一个VLAN。基于协议划分(Protocal Based VLAN)后,使用相同网络协议的设备,将处于同一个VLAN,例如办公用的电脑用TCP/IP,看行情的电脑使用IPX,他们将处于不同的网络。基于MAC地址划分(MAC Based VLAN)后,则无论某一台电脑从哪个交换机端口接入网络,均不会改变它所处的VLAN。
IEEE802.1Q标准规定了基于端口的VLAN的划分和网络标签(Tag)的使用方法。通过对交换机间帧的传输加标签,可以使网络帧在不同的交换机之间传输,或者在同一条线路中传输属于多个VLAN的信号,而不改变它的VLAN的属性。
二、如何处理证券网络的VLAN划分
由于证券网络的规模越来越大,根据上面的讨论,我们有必要在证券部内部划分VLAN。以一个800点左右的网络为例,我们可以将它分为4个VLAN,每个VLAN约200台,其中服务器、行情转码机等公用的设备,属于所有VLAN。如图2所示,我们将网络划分成了2个VLAN,其中四台工作站中有两台属于VLAN1,有两台属于VLAN2,而服务器同时属于VLAN1和VLAN2。
由于证券营业部的网络是一种典型的星型网络,在主干交换机上一个接出的端口基本上对应到一片相对固定的客户群,因此一种比较简单的划分,是可以在主干交换机上划分VLAN,并且某端口下接的所有交换机均设为与主干交换机上端口对应的VLAN,从而隔离广播信息。这样的划分需要使用网络标签。
三、注意的要点
1.关于VLAN Tagging
如图2,由于每一台桌面交换机上连接有分别属于VLAN1和VLAN2的工作站,而上连端口只有一个,因此,我们需要在交换机和交换机的连接端口上设置为“加标签”(Tagged)。而服务器和工作站的连接端口是不识别标签的,因此连接端口应该设置为“取消标签”(Untagged)。
2.用VLAN保护重要的设备
由于不属于同一个VLAN的设备是不能互相访问的,因此可以用这种方法来保护某些重要的设备,如数据库服务器等。但是正是由于这种特性,在划分VLAN时需要特别小心,以免造成必要的访问被中断。
3.服务器和工作站网卡对802.1QVLAN的支持
该技术的使用,要求同时属于多个VLAN的服务器和工作站网卡能够支持802.1QVLAN,否则不能达到我们的目的,因此划分前需要对网卡的支持程度进行确认。如果网卡不能支持,那么只能通过更换网卡或第三层交换来解决了。
4.故障检查
由于许多人对VLAN的划分并不熟悉,因此当你刚刚做了虚网的划分,就出现某些工作站不能上网、互相连接等问题时,你首先应该来复核刚才所做的工作,而不是检查网络线。一个最极端的处置方法是,清除所有的虚网划分,全部重来。
VLAN基础与实例配置解析
(T117)
|
