處于同一個網絡的所有設備,位于同一個廣播域。也就是說,所有的廣播信息會播發到網絡的每一個端口,即使交換機、網橋也不能阻止廣播信息的傳播。因此同一時間只能有一個廣播信息在網絡中傳送。
對于證券網絡,使用的是NOVELL操作系統,所有設備都將在網絡中定時播發廣播包,以告知其它設備自己的存在。還有許多其他功能需要使用廣播,如設備開機、消息播送、視頻廣播等。
當網絡上的設備越來越多,廣播所占用的時間也會越來越多,多到一定程度時,就會對網絡上的正常信息傳遞產生影響,輕則造成傳送信息延時,重則造成網絡設備從網絡上斷開,甚至造成整個網絡的堵塞、癱瘓,這就是廣播風暴。
因此網絡上的設備數量與廣播風暴的產生密切相關。據一些統計資料表明,網絡上的設備數量在150~200臺時,網絡運行正常,且可以達到很高的利用率;當設備數量大于400臺后,網絡效率將急速下降,容易形成廣播風暴。
我們可以通過觀察交換機的端口上廣播包數及與其他信息包的比率來確定廣播信息是否已對網絡的通訊構成危害。
2、VLAN的劃分方法及標準
為使同一個交換機上的所有端口能夠屬于不同的網絡,以達到節約資金,同時又阻止網絡之間互相通訊,產生很好的安全性的效果,產生了在網絡設備上設置虛擬網(Virtual LAN)的思想(如圖1所示)。
虛擬網劃分的方法有很多種,有基于端口劃分(Port Based VLAN)的,有基于協議劃分(Protocal Based VLAN)的,有基于MAC地址劃分(MAC Based VLAN)的。
基于端口劃分(Port Based VLAN)后,可以在固定的連接后,無論使用哪臺設備接入,都屬于同一個VLAN。
基于協議劃分(Protocal Based VLAN)后,使用相同網絡協議的設備,將處于同一個VLAN,例如辦公用的電腦用TCP/IP,看行情的電腦使用IPX,他們將處于不同的網絡。
基于MAC地址劃分(MAC Based VLAN)后,則無論某一臺電腦從哪個交換機端口接入網絡,均不會改變它所處的VLAN。
IEEE802.1Q標準規定了基于端口的VLAN的劃分和網絡標簽(Tag)的使用方法。通過對交換機間幀的傳輸加標簽,可以使網絡幀在不同的交換機之間傳輸,或者在同一條線路中傳輸屬于多個VLAN的信號,而不改變它的VLAN的屬性。
3、如何處理證券網絡的VLAN劃分
由于證券網絡的規模越來越大,根據上面的討論,我們有必要在證券部內部劃分VLAN。以一個800點左右的網絡為例,我們可以將它分為4個VLAN,每個VLAN約200臺,其中服務器、行情轉碼機等公用的設備,屬于所有VLAN。
如圖2所示,我們將網絡劃分成了2個VLAN,其中四臺工作站中有兩臺屬于VLAN1,有兩臺屬于VLAN2,而服務器同時屬于VLAN1和VLAN2。
由于證券營業部的網絡是一種典型的星型網絡,在主干交換機上一個接出的端口基本上對應到一片相對固定的客戶群,因此一種比較簡單的劃分,是可以在主干交換機上劃分VLAN,并且某端口下接的所有交換機均設為與主干交換機上端口對應的VLAN,從而隔離廣播信息。這樣的劃分需要使用網絡標簽。
4、注意的要點
關于VLAN Tagging
如圖2,由于每一臺桌面交換機上連接有分別屬于VLAN1和VLAN2的工作站,而上連端口只有一個,因此,我們需要在交換機和交換機的連接端口上設置為“加標簽”(Tagged)。而服務器和工作站的連接端口是不識別標簽的,因此連接端口應該設置為“取消標簽”(Untagged)。
用VLAN保護重要的設備
由于不屬于同一個VLAN的設備是不能互相訪問的,因此可以用這種方法來保護某些重要的設備,如數據庫服務器等。但是正是由于這種特性,在劃分VLAN時需要特別小心,以免造成必要的訪問被中斷。
服務器和工作站網卡對802.1QVLAN的支持
該技術的使用,要求同時屬于多個VLAN的服務器和工作站網卡能夠支持802.1QVLAN,否則不能達到我們的目的,因此劃分前需要對網卡的支持程度進行確認。如果網卡不能支持,那么只能通過更換網卡或第三層交換來解決了。
故障檢查
由于許多人對VLAN的劃分并不熟悉,因此當你剛剛做了虛網的劃分,就出現某些工作站不能上網、互相連接等問題時,你首先應該來復核剛才所做的工作,而不是檢查網絡線。一個最極端的處置方法是,清除所有的虛網劃分,全部重來。
