VLAN(Virtual Local Area Network),即"虚拟局域网",是一种将局域网(LAN)设备从逻辑上划分成一个个网段,从而实现虚拟工作单元的数据交换技术。VLAN 的出现,使得管理员可以根据实际需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的PC要或工作站, 与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分,所以同一个 VLAN内的各个PC机或工作站并没有限制在同一个物理范围中,即它们可以在不同物理LAN网段。由于一个VLAN内部的广播和单播流量都不会转发到其他 VLAN中,从而有助于控制流量、减小arp等广播报文的范围、减少设备投资、简化网络管理、提高网络的稳定性和安全性。本文主要介绍如何在OpenSolaris下使用Crossbow虚拟化技术来实现VLAN体系结构。
物理交换机通过将其端口与特定的VLAN标识相关联,从而实现不同VLAN通信的分离。Crossbow虚拟交换机则将VNIC(虚拟网卡)和VLAN 标识(VID)关联起来,通过MAC地址来对各个VNIC的数据进行分类。同时,虚拟交换机也实现了每个VLAN的广播域,使得标记的广播帧只会传送到与 该VLAN标识匹配的VNIC上。从效率和安全性来看,Crossbow的VLAN实现有两个重要的特性:一是能防止不必要的帧复制,二是能保证帧在 VLAN传输的正确性和完整性。
图一中有两个独立的子网,并且它们使用同样的IP地址。
图一 两个拥有相同IP的独立子网
如果能在不更改机器IP配置的前提下将两个子网整合到一起,将不仅能减少成本,而且能增强其服务的可靠性。这两个子网的整合需要做到:
1. 必须保留现在有的IP地址。因为像防火墙、代理、目录服务等都与IP地址密切相关,重新分配IP地址将会破坏这些服务的可用性。
2. 整合后必须保证两个子网通信的独立性和无干扰性。
将两个子网整合到同一物理网络的传统方法是给每个子网分配一个VLAN ID,然后将交换机的端口与相应的子网VLAN ID关联起来。最后,每台机器都连接到正确的端口,如图二所示。但是,整合后机器的数量和与交换机端口的连接数量并未改变。我们也可以使用虚拟化技术来实 现,使用两个虚拟机来代替两台服务器,它们共存于一台服务器上。
图二 两个物理的VLAN
在将NIC分配给虚拟机时,可以有有多种选择。最常用的办法就是给每个虚拟机 都分配物理网卡,但这样就失去了节约成本和高可用性的意义。当一个NIC(网卡)出错了,所有建立在这块NIC之上的虚拟机都将不可用,同时,这样还会因 为有限的物理NIC数量来降低配置的可靠性。
一种更好的办法就是首先创建一个link aggregation,与NIC绑定。aggregation然后被虚拟化成多个VNIC并分配给相应的虚拟机,如图三所示。VNIC建立在相应虚拟机 VLAN ID的基础上,当整个VLAN虚拟化过程完成后,仍能保证不同虚拟机之间的正常通信。
图三 两个虚拟的VLAN
我们可以通过以下的命令来创建link aggregation、VNIC,最后建立起虚拟化的VLAN体系结构:
dladm create-aggr -l nxge0 -l nxge1 aggr0
dladm create-vnic -l aggr0 -v 1 vnic1
参考文献:Crossbow Virtual Wire: Network in a Box; Sunay Tripathi, Nicolas Droux, Kais Belgaied, Shrikrishna Khare;Solaris Kernel Networking, Sun Microsystems, Inc.