所有IT業界人士都聽說過區域網路(LAN),而且可能知道區域網路是一個由無數設備組成的網路——電腦、伺服器、Wi-Fi連接點、VoIP電話,監控攝影機等等。所有這些設備都連接在同一個實體位置。
從技術層面上來說,虛擬區域網路(VLAN)在實體角度上並不存在,其本質表現為實體上獨立的區域網路,並基於功能面實現流量隔離,尤其對於只習慣於處理基礎設施的安裝人員和技術人員來說,更令人困惑。
今天小凱帶你深入瞭解一下,為什麼要使用VLAN,以及對電纜設備的故障診斷和排除有何影響。
VLAN的目的是什麼,我們為什麼需要它?
任何典型的LAN環境都包括各種各樣的設備和電腦系統,它們都有各自的用途。
有些設備應用是獨特的:
- 語音
- 數據
- 保全
- 存取控制
- 照明
- 大樓自動化
- 等等
而其他LAN設備功能可能是:
- 會計
- 銷售
- 工程
- 人力資源
- 訪客接待
- 等等
連接到LAN的所有設備和系統可以位於環境內的任何位置,但這並不意味著所有設備都應能夠互相通信,並具有相同的用途和許可權。
如果LAN上的所有設備都能夠互相通信、檢視彼此的流量,以及連接相同的系統,則會產生潛在的內部安全問題,想像一下,銷售部門內的任何人員都可以連結會計或人力資源系統。這也意味著所有設備都位於同一廣播區域中。這意味著,區域內的所有設備都會接收廣播流量,這是所有LAN發佈和發現資源的既有能力。讓所有設備都停留在同一個廣播區域中會導致網路壅塞和性能下降,並使網路容易遭受分散式拒絕服務攻擊和其他網路安全性漏洞的影響。
顯然,將各種LAN設備和系統隔離到更小的網路中極需重要,這樣可以防止上述問題,同時為不斷出現新系統和應用程式的數位世界提供更好的網路管理。雖然可以透過將LAN分解成更小的實體子網路來實現隔離,但這需要多個交換機、路由器、連接點和基礎設施,這種方法非常低效率、難以管理,且成本高昂。
想想看:在電信機房中設置獨立交換機,或在固定空間內為每個系統和功能配備多個Wi-Fi連接點,這樣做真的有意義嗎?如果設備或系統需要轉移到一個全新空間,您該怎麼辦?這就是我們需要VLAN的原因所在。
總而言之,VLAN的目的以及我們需要VLAN的原因在於安全性、網路管理和可擴充性提供分開隔離,同時進而減少網路上的廣播流量和壅塞。
VLAN是如何工作的?
VLAN通常建立在OSI模型的第2層資料鏈結層,但也可以在第3層網路層,以達成VLAN間路由(使流量從一個VLAN流向另一個VLAN)。當今的大多數交換機都支援VLAN,並且VLAN是透過交換機軟體配置的,該軟體允許網路系統管理員利用VLAN標籤將特定的交換機埠分配給特定的VLAN。可以在特定交換機上建立的VLAN數量取決於交換機本身,但根據IEEE 802.1Q標準,該標準定義了乙太網路VLAN標籤frame,網路上第2層VLAN數量不能超過4,096個。本堂課中我們將不會對此進行詳細介紹,但應該說明的是,交換機埠可以配置為單個VLAN的連接埠,或配置為支援多個VLAN的中繼埠。
VLAN可以根據介面、MAC位址、IP位址、協定或這幾項的組合來進行分配。這樣組織能夠以最適合特定需求的方式進行配置,例如根據使用者或業務功能進行配置。反過來,這也簡化了網路管理、增強了靈活性,因為設備和系統可以在實體層上位於任何地方,並且可以在環境內隨意移動,同時保持位於同一VLAN內。由於只有同一VLAN內的設備和系統才能互相通信,因此提高了安全性。流量問題也得以改善,因為每個VLAN都有其各自的廣播區域——一個區域內的設備發送的廣播不會轉發給另一個區域內的設備。VLAN還支援可擴充性,隨著網路的增長,可以建立更多的VLAN,進而增加區域的數量,但可以保持較小的規模,以保持網路性能、防止壅塞。
總之,VLAN的工作原理是將特定的交換機埠分配給VLAN,利用支援VLAN的交換機。
如何對VLAN進行故障診斷和排除
出現問題時,通常首先對纜線設備進行故障診斷和排除,因為纜線設備是大多數問題的根源所在。不連通或網路性能不佳,通常是由於端接不正確、損壞、元件不合格或纜線設備不支援的網路升級造成的。這些問題可以很容易地透過腳位圖和鑑定測試辨識出來,然而,如果纜線設備通過了所有測試,那麼問題可能與VLAN分配不正確有關。如果設備或系統被分配到錯誤的VLAN,將無法向該VLAN內的其他設備發送流量。交換機配置錯誤,例如沒有與特定VLAN關聯的埠,也會導致VLAN崩潰。
防止不正確的VLAN分配的最佳方法是維護正確的設定,但在具有大量移動、增加和更改的動態環境內,使用者或設備很可能最終會被分配到錯誤的交換機埠,導致進入錯誤的VLAN。遺憾的是,利用基本款纜線測試儀無法解決上述問題,但利用Fluke Networks新推出的LinkIQ™ 纜線+網路測試儀,除了腳位圖、鑑定功能和PoE測試之外,你還可以檢視VLAN資訊。所有這些功能,一台設備即可完成,且物美價廉。
網路交換機採用基於標準的鏈路層發現協定(LLDP)或思科發現協定(CDP),能夠發現連接的設備並發佈其功能。
LinkIQ™纜線+網路測試儀能夠從交換機接收發送給指定鏈路的發現協定資料封包,進而顯示該鏈路所分配的VLAN,還將顯示交換機的名稱和說明、埠ID以及傳輸速度。LinkIQ™纜線+網路測試儀採用觸控式螢幕,寬大的螢幕幾乎佔據了儀器的整個表面,方便清晰地顯示大量資訊,交換機不支援的傳輸速度則採用灰色顯示。這也有助於說明你在對纜線設備進行鑑定時是否採用了正確傳輸速度。
