??近來參加了不少醫(yī)院網(wǎng)絡(luò)方案的討論和評(píng)標(biāo)活動(dòng)，在幾乎所有醫(yī)院的方案中都或多或少地采用了虛擬局域網(wǎng)(VLAN)技術(shù)，但筆者發(fā)現(xiàn)大多數(shù)方案中的VLAN設(shè)計(jì)都存在一個(gè)共同且致命的缺陷，那就是VLAN跨越網(wǎng)絡(luò)的核心。本文就這個(gè)問題談一談自己的看法，供同行們參考。
??VLAN相互受影響根據(jù)VLAN的定義和技術(shù)規(guī)范，VLAN不是由獨(dú)享的物理設(shè)備和物理鏈路搭建的物理子網(wǎng)或網(wǎng)段，VLAN與實(shí)實(shí)在在的物理子網(wǎng)的本質(zhì)區(qū)別在于，VLAN之間要共享物理設(shè)備和物理鏈路，因此，VLAN間就會(huì)通過所共享的設(shè)備和鏈路相互影響。
??這種影響是如何產(chǎn)生的呢?VLAN是通過將一個(gè)物理拓?fù)渲械膬蓚€(gè)或多個(gè)節(jié)點(diǎn)通過邏輯組合而形成的朧迪終庵致嘸淖楹暇捅匭朧褂彌С諺LAN的交換設(shè)備，但真正提供VLAN功能的是這些設(shè)備內(nèi)部的軟件。也就是說，VLAN所構(gòu)造的子網(wǎng)(廣播域)是軟件實(shí)現(xiàn)的，而不是由網(wǎng)絡(luò)拓?fù)渌鶝Q定的。
??網(wǎng)絡(luò)拓?fù)鋬H對(duì)由軟件所建立的VLAN有所限制。知道了VLAN的工作原理，就不難解釋VLAN間的影響了，同一交換機(jī)上的不同VLAN要共享交換機(jī)、要爭(zhēng)奪交換機(jī)的CPU和背板資源。VLAN對(duì)交換機(jī)和鏈路的共享可分為兩種類型:一種是“廣播共享”，即VLAN劃定的廣播域貫穿共享設(shè)備和鏈路(如圖1所示)，換句話說廣播共享是二層的共享。
??另一種我們稱之為“路由共享”，也可以說是三層共享，在這種類型的共享中，不同VLAN的數(shù)據(jù)包是以路由(三層交換)方式穿過交換機(jī)的(如圖2中虛線所示)，通過的包基本上不含有一般的廣播包(DHCP和特殊協(xié)議的廣播除外)。VLAN在“廣播共享”網(wǎng)絡(luò)資源時(shí)的相互影響要比“路由共享”時(shí)更大。
??　從圖1可清楚地看出所共享的網(wǎng)絡(luò)資源(交換機(jī)和鏈路)。在正常情況下，VLAN間的這種影響不被我們所注意，原因是共享的交換機(jī)有足夠的交換能力，鏈路不是很擁擠，但在某一VLAN出現(xiàn)異常時(shí)(如感染病毒或出現(xiàn)環(huán)路)情況就不同了。這時(shí)被感染VLAN(如VLAN1)中的大量數(shù)據(jù)幀將擠占該VLAN所及的所有交換機(jī)的CPU資源、背板帶寬，并長(zhǎng)時(shí)間占用物理鏈路，其他VLAN(如VLAN2)中的設(shè)備盡管“看”不到出現(xiàn)異常VLAN中的數(shù)據(jù)幀，但其所依賴的網(wǎng)絡(luò)資源已被用盡，因此，VLAN1所覆蓋的網(wǎng)絡(luò)區(qū)域就會(huì)出現(xiàn)異常。
??如果故障點(diǎn)發(fā)生在核心交換機(jī)附近，那么整個(gè)網(wǎng)絡(luò)就有可能癱瘓。這在各網(wǎng)絡(luò)拓?fù)鋵咏粨Q機(jī)的性能相差不多的情況下尤為嚴(yán)重。三層共享有作用由VLAN的性質(zhì)所決定，完全消除VLAN間的鏈路和設(shè)備的共享在理論上是不可能的。我們所做的努力只能盡量減少相互影響的范圍、降低相互影響的程度。
??如何做到這一點(diǎn)呢?在實(shí)踐中我們總結(jié)出如下原則:1)應(yīng)盡量避免在同一交換機(jī)中配置多個(gè)VLAN;2)不同物理位置上的交換機(jī)上的端口盡量不要?jiǎng)潥w到同一個(gè)VLAN。前者較好理解，也容易實(shí)現(xiàn)，我們重點(diǎn)討論后者，即如何做到VLAN不跨越核心交換機(jī)和拓?fù)浣Y(jié)構(gòu)的“層”。
??從圖1可以看出，由于VLAN1(VLAN2也是這樣)的范圍跨越了整個(gè)網(wǎng)絡(luò)，如果把所有VLAN的覆蓋面都限定在核心交換機(jī)的同一側(cè)，這些資源被共享的程度不就減輕了嗎?按此想法我們可以將圖1所示的網(wǎng)絡(luò)改變?yōu)閳D2所示的結(jié)構(gòu)。由于在這種結(jié)構(gòu)中不存在跨越核心交換機(jī)的虛網(wǎng)，因此各VLAN的廣播包就不會(huì)穿過核心交換機(jī)，但這些廣播包卻均能到達(dá)核心交換機(jī)，同時(shí)核心交換機(jī)上還會(huì)有ACL允許的VLAN間的正常數(shù)據(jù)流(如圖2中的虛線所示)通過。
??很顯然，這時(shí)的核心交換機(jī)既阻擋了各VLAN的廣播包，又轉(zhuǎn)發(fā)了VLAN間的正常數(shù)據(jù)流，其被共享的形式由“廣播式”變成了“路由式”，受VLAN影響的程度變小。　有人可能會(huì)說，把核心交換機(jī)從二層提到了三層，性能會(huì)下降。這種說法無疑是正確的，但這點(diǎn)性能的降低對(duì)于當(dāng)今的三層交換機(jī)所能提供的性能來說已經(jīng)算不得什么了。
??從圖2還可以看出，盡管受單個(gè)VLAN影響的程度和范圍均變小，但共享鏈路的長(zhǎng)度和強(qiáng)度并沒有本質(zhì)的變化。三層結(jié)構(gòu)最有效細(xì)心的讀者可能還會(huì)發(fā)現(xiàn)，圖2所示網(wǎng)絡(luò)中的VLAN沒有體現(xiàn)VLAN技術(shù)的原始目的——不同物理位置上的計(jì)算機(jī)能像在同一物理網(wǎng)中一樣相互訪問。
??這個(gè)問題正是本文涉及的核心問題，也是針對(duì)規(guī)劃、部署VLAN提出的新觀點(diǎn):在網(wǎng)絡(luò)中，特別是較大型網(wǎng)絡(luò)，不要企圖利用VLAN去實(shí)現(xiàn)不同物理位置上計(jì)算機(jī)的互聯(lián)互通，互通性要由路由策略去實(shí)現(xiàn)。這在以往會(huì)有些問題，但網(wǎng)絡(luò)技術(shù)發(fā)展到今天，交換機(jī)與路由器間的差別變得越來越小，原來用二層實(shí)現(xiàn)的方法很多都能夠用三層技術(shù)所代替。
??用三層技術(shù)代替二層的功能有很多優(yōu)點(diǎn)，主要表現(xiàn)在:結(jié)構(gòu)更加清晰、控制更加豐富、擴(kuò)展更加靈活、網(wǎng)絡(luò)更加穩(wěn)定、實(shí)現(xiàn)更加容易。繼續(xù)分析圖2中所存在的問題不難看出，盡管核心交換機(jī)被共享的形式改變了，但仍存在受到各VLAN出現(xiàn)異常情況的影響。要想避免核心交換機(jī)受到各個(gè)VLAN的影響、減小影響范圍、避免全網(wǎng)癱瘓的發(fā)生，很容易想到在核心交換機(jī)和劃有VLAN的交換機(jī)之間加上一層，以隔離核心交換機(jī)和各個(gè)VLAN。
??這時(shí)就形成了目前較為流行的三層拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)，如圖3所示。在三層網(wǎng)絡(luò)結(jié)構(gòu)中，匯聚層與核心層之間的區(qū)域不再有VLAN，匯聚層交換機(jī)的VLAN也僅限于部分端口，這時(shí)匯聚層交換機(jī)成為被“路由共享”的交換機(jī)，而且這種“路由共享”比圖2的情況更弱。如果使匯聚層交換機(jī)的性能遠(yuǎn)高于接入層的交換機(jī)，那么由VLAN的廣播(多由病毒引起)所引起的整網(wǎng)癱瘓問題就基本解決了。
??任何方案都具有利的一面和不利的一面，三層拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)也會(huì)帶來一些問題:1)利用一般的手段較難實(shí)現(xiàn)對(duì)各個(gè)VLAN進(jìn)行集中式的遠(yuǎn)程管理，對(duì)于這個(gè)問題的解決方案可充分利用網(wǎng)管軟件。2)由于VLAN數(shù)量的增多、路由協(xié)議等技術(shù)的引入，此時(shí)的網(wǎng)絡(luò)會(huì)比二層平面交換網(wǎng)絡(luò)要復(fù)雜，對(duì)網(wǎng)絡(luò)技術(shù)人員的要求更高，管理維護(hù)成本會(huì)有所增加。
??這兩點(diǎn)是大型網(wǎng)絡(luò)管理本身的要求，大型網(wǎng)絡(luò)的管理不可能不使用網(wǎng)絡(luò)管理工具，技術(shù)人員的缺乏更是各個(gè)企業(yè)都面臨的問題，對(duì)此有的專家提出了“IT物業(yè)”的理念，也許這就是將來解決這個(gè)問題的最終方案。

標(biāo)簽：哪些應(yīng)用設(shè)計(jì)