利用Vlan控制与隔离广播风暴

利用Vlan控制与隔离广播风暴

广播是网络管理员必不可少的一种网络流量。但是如果控制不当的话，广播就有可能成为危害企业网络性能的第一杀手。由于病毒或者网路设计等方面的原因，有可能在企业网络中会出现广播风暴，或者造成很多不必要的广播数据，这些都会占用企业宝贵的网络带宽，降低网络的性能。在这篇文章中，笔者将给大家介绍一下，如果通过Vlan来控制与隔离广播风暴。

一、广播数据发生的频率

广播数据虽然是网络中必不可少的内容，如需要利用广播来寻址等等。但是如果广播数据太多，则会影响到企业网络的性能。为此对于广播数据也要进行相关的控制。特别是不能够让广播数据散发到不需要的地方去。要完成这个任务的话，网络管理员必须要知道哪些协议或者服务会导致广播数据，并且这些协议是如何来影响广播数据的。

一般来说，每一种网络协议都会产生广播数据。只是不同的协议，产生的广播数据的数量与频率不同而已。具体的说，以下内容会决定广播的频率。

第一个因素是协议的类型。这是决定产生广播频率的主要因素。如ARP协议产生的广播频率，就比SMTP产生的广播频率要高。为此网络管理员必须要了解每种协议类型对广播频率的影响。在优化网络性能时，才可以有选择的禁止某些协议。或者将某些协议的运行控制在一个比较小的范围之内，减少广播数据对其他部分网络的不利影响。

第二个因素是运行在互连网络上的应用程序。这些程序运行的频率、方式，以及其底层所采取的协议，都会影响广播数据量的多少。如多媒体应用，相对来说，比其他应用程序会产生更多的广播数据。这主要对于我们网络组建有比较大的影响。如企业可能会采用视频会议系统等多媒体应用程序，此时在网络组建时，就需要尽量选择性能比较好的设备与比较大的带宽。

第三个因素是应用程序如何提供服务与调用底层的协议的方式。有时候不同的应用程序，即使采用的是相通的协议，如Web与BBS应用，虽然采用的都是HTTP协议，但是其调用协议的方式不同。在这种情况下，在企业网络中会产生不同的广播数据流。这对于网络管理员进行信息化应用的选型有比较大的帮助。

当然，广播数据包产生的因素不仅仅指这些方面。有问题的设备、不合适的网络分段、设计不理想的防火墙等等，都会加重广播数据包的不利影响。不过这些因素都是“加油添醋”的角色。广播数据主要的根源还在于协议。也就是说协议产生数据包。而其他因素则决定这些广播数据包是否会对网络产生不利的影响。

二、路由器并不是最好的解决方案

在传统的网路中，管理员喜欢采用路由器来隔离广播风暴。如下图所示，不少网络管理员喜欢将企业的网络分为两部分，分别为服务器环境和生产环境。

其中服务器环境主要存放的是企业采用的各种服务器，如邮件服务器、数据库服务器、ERP服务器等等。而在生产环境中，则包括用户的主机、网络打印机等网络设备。然后两个网络之间通过路由器进行连接。在这种情况下，就可以有效的避免网络风暴。即在生产环境中产生的广播数据不会传递到服务器环境所在的网络中。假设现在某个员工的主机中毒了，发送大量的广播数据，导致生产环境的网络速度非常的慢，甚至已经快到了瘫痪的地步。但是此时由于采用了路由器，将这些广播数据隔离在生产环境的网络中，为此不会对服务器所在的网络产生不利的影响。可见，通过路由器确实可以有效的避免广播风暴。

但是在实际工作中，这种方案得不到很大的认同。这主要是因为路由器的价格比较高。在一个企业中，如果采用十几台路由器来隔离网络风暴确实不怎么现实。这不仅会增加企业网络组建的成本，而且会增加管理的工作量。

三、使用Vlan来隔离广播风暴

上面这个案例中，如果生产环境中有一台主机中毒产生广播风暴，虽然服务器所在的网络可以免受侵害，但是所有的客户端主机都将受到影响。这显然是企业与网络管理人员不希望看到的。他们与笔者的目标一致，就是如何最大限度的将广播风暴控制在可以接受的领域内。

如现在一家企业分为物流、财务、工厂、行政等几个部门。网络管理员希望，如果工厂中有电脑中了毒，产生广播风暴。其只影响工作所在的网络，而不会影响到物流、财务、行政等部门的用户的正常工作。即工厂网络中产生的广播风暴不会刮到工厂以外的网路中去。如果按照传统的网络解决方案，可能需要采用多台路由器来进行分割。从成本与管理的角度考虑，这个方案并不十分合理。

显然，交换机的价格比路由器要便宜的多。如果能够通过交换机来隔离广播风暴，那是比较合理的。但是传统的交换机(指不带Vlan的交换机)，其只能够用来隔离组播，而不能够用来控制广播风暴。为了实现用户的这个需求，现在大部分厂家都在交换机中实现了Vlan的功能。同时随着交换机的功能逐渐降低，而且交换机的性能要比集线器高的多，为此很多公司现在采用的是纯交换式的网络。即采用交换机来组建企业的网络。在这种背景下，让Vlan来隔离广播风暴显得水到渠成。

在同一个Vlan中，所有设备都是同一个广播域的成员，并接收所有的广播。而不是同一个Vlan成员的交换机上，所有的端口都会对广播数据进行过滤。如以上面这个案例为例。网络管理员可以将服务器环境、物流环境、工厂环境、行政环境等等使用Vlan技术，建立不同的虚拟局域网。此时每个虚拟局域网内的主机共享一个广播域。而不同虚拟化之间的广播域是独立的。这也就是说，在生产部门发生的广播不会影响到财务或者服务器所在的网络。从而当某个网络发生广播风暴的时候，其他部门的用户仍然可以正常工作。

在这个案例中，企业只需要购买一个交换机即可。然后通过静态Vlan或者动态Vlan来构建多个Vlan。并将不同组的客户端连接到对应的Vlan 。从而实现通过Vlan来隔离广播风暴的目的。

在实际工作中，如果企业有多媒体应用的话，那么笔者强烈建议采用这种方案。如企业有一个网络视频会议室。在这个会议室中，员工可以利用自己的笔记本电脑与外地的公司领导进行视频会议。一般情况下，像这种多媒体应用产生的广播数据是其他应用的几十倍甚至上百倍。为此最好将这个网路视频会议室里面所有的网络端口都设置在一个独立的Vlan中。从而防止多媒体应用所产生的广播数据流量对其他网络产生不利的影响。

总之实践证明，通过交换机的Vlan功能来隔离广播风暴，想比路由器来说，成本更加的低廉、方式更加的灵活。但是管理的工作量可能会多一点。而且Vlan规划的方式与合理程度，会直接影响到广播风暴的控制效果。Vlan具体的选型，笔者在后面的文章中会详细的介绍。各位读者如果有兴趣的话，可以关注笔者后续的内容。