网络配置 - 局域网实现VLAN实例
局域网实现VLAN实例
2004-04-23 15:18 pm来自:Linux文档
现载:Www.8s8s.coM
地址:无名
计算机网络技术从传统的以太网(10Mb/s) 发展到快速以太网(100Mb/s)和千兆以太网
(1000Mb/s)也不过几年的时间, 迅猛的势头令人吃惊。而现在中大型规模网络建设中, 以
千兆三层交换机为核心的所谓“千兆主干跑、 百兆到桌面”的主流网络模型已不胜枚举。现在,
网络业界对“三层交换”和VLAN这两词已经不感到陌生了。
一、什么是三层交换和VLAN
要回答这个问题我们还是先看看以太网的工作原理。以太网的工作原理是利用二进制位形
成的一个个字节组合成一帧帧的数据(其实是一些电脉冲)在导线中进行传播。首先,以太网
网段上需要进行数据传送的节点对导线进行监听,这个过程称为CSMA/CD
(Carrier Sense Multiple Access with Collision Detection带有冲突监测的载波侦听多址
访问)的载波侦听。如果,这时有另外的节点正在传送数据,监听节点将不得不等待,直到传
送节点的传送任务结束。如果某时恰好有两个工作站同时准备传送数据,以太网网段将发出
“冲突”信号。这时,节点上所有的工作站都将检测到冲突信号,因为这时导线上的电压超出了
标准电压。这时以太网网段上的任何节点都要等冲突结束后才能够传送数据。也就是说在CSMA
/CD方式下,在一个时间段,只有一个节点能够在导线上传送数据。而转发以太网数据帧的联网
设备是集线器,它是一层设备,传输效率比较低。
冲突的产生降低了以太网的带宽,而且这种情况又是不可避免的。所以,当导线上的节点
越来越多后,冲突的数量将会增加。显而易见的解决方法是限制以太网导线上的节点,需要对
网络进行物理分段。将网络进行物理分段的网络设备用到了网桥与交换机。网桥和交换机的基
本作用是只发送去往其他物理网段的信息。所以,如果所有的信息都只发往本地的物理网段,
那么网桥和交换机上就没有信息通过。这样可以有效减少网络上的冲突。网桥和交换机是基于
目标MAC(介质访问控制)地址做出转发决定的,它们是二层设备。 我们已经知道了以太网的
缺点及物理网段中冲突的影响,现在,我们来看看另外一种导致网络降低运行速度的原因:广
播。广播存在于所有的网络上,如果不对它们进行适当的控制,它们便会充斥于整个网络,产
生大量的网络通信。广播不仅消耗了带宽,而且也降低了用户工作站的处理效率。由于各种各
样的原因,网络操作系统(NOS)使用了广播,TCP/IP使用广播从IP地址中解析MAC地址,还使
用广播通过RIP和IGRP协议进行宣告,所以,广播也是不可避免的。 网桥和交换机将对所有的
广播信息进行转发,而路由器不会。所以,为了对广播进行控制,就必须使用路由器。路由器
是基于第3层报头、目标IP寻址、目标IPX寻址或目标Appletalk寻址做出转发决定。路由器是
3层设备。
在这里,我们就容易理解三层交换技术了,通俗地讲,就是将路由与交换合二为一的技术。
路由器在对第一个数据流进行路由后,将会产生一个MAC地址与IP地址的映射表, 当同样的数
据流再次通过时,将根据此映射表直接从二层进行交换而不是再次路由,提供线速性能,从而
消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率。采用此技术的交换
机我们常称为三层交换机。
那么,什么是VLAN呢?VLAN(Virtual Local Area Network)就是虚拟局域网的意思。
VLAN可以不考虑用户的物理位置,而根据功能、应用等因素将用户从逻辑上划分为一个个功能
相对独立的工作组,每个用户主机都连接在一个支持VLAN的交换机端口上并属于一个VLAN。同
一个VLAN中的成员都共享广播,形成一个广播域,而不同VLAN之间广播信息是相互隔离的。这
样,将整个网络分割成多个不同的广播域(VLAN)。
一般来说,如果一个VLAN里面的工作站发送一个广播,那么这个VLAN里面所有的工作站都
接收到这个广播,但是交换机不会将广播发送至其他VLAN上的任何一个端口。如果要将广播发
送到其它的VLAN端口,就要用到三层交换机。
二、如何配置三层交换机创建VLAN
以下的介绍都是基于Cisco交换机的VLAN。Cisco的VLAN实现通常是以端口为中心的。与节
点相连的端口将确定它所驻留的VLAN。将端口分配给VLAN的方式有两种,分别是静态的和动态
的.形成静态VLAN的过程是将端口强制性地分配给VLAN的过程。即我们先在VTP
(VLAN Trunking Protocol)Server上建立VLAN,然后将每个端口分配给相应的VLAN的过程。
这是我们创建VLAN最常用的方法。
动态VLAN形成很简单,由端口决定自己属于哪个VLAN。即我们先建立一个VMPS
(VLAN Membership Policy Server)VLAN管理策略服务器,里面包含一个文本文件, 文件中
存有与VLAN映射的MAC地址表。交换机根据这个映射表决定将端口分配给何种VLAN。 这种方法
有很大的优势,但是创建数据库是一项非常艰苦而且非常繁琐的工作。
下面以实例说明如何在一个典型的快速以太局域网中实现VLAN。所谓典型的局域网就是指
由一台具备三层交换功能的核心交换机接几台分支交换机(不一定具备三层交换能力)。我们
假设核心交换机名称为:COM;分支交换机分别为:PAR1、PAR2、PAR3……, 分别通过Port 1的
光线模块与核心交换机相连;并且假设VLAN名称分别为COUNTER、MARKET、MANAGING……。
1、设置VTP DOMAIN VTP DOMAIN 称为管理域。交换VTP更新信息的所有交换机必须配置为相同
的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,
网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的VLAN列表。
COM#vlan database 进入VLAN配置模式
COM(vlan)#vtp domain COM 设置VTP管理域名称COM
COM(vlan)#vtp server 设置交换机为服务器模式
PAR1#vlan database 进入VLAN配置模式
PAR1(vlan)#vtp domain COM 设置VTP管理域名称COM
PAR1(vlan)#vtp Client 设置交换机为客户端模式
PAR2#vlan database 进入VLAN配置模式
PAR2(vlan)#vtp domain COM 设置VTP管理域名称COM
PAR2(vlan)#vtp Client 设置交换机为客户端模式
PAR3#vlan database 进入VLAN配置模式
PAR3(vlan)#vtp domain COM 设置VTP管理域名称COM
PAR3(vlan)#vtp Client 设置交换机为客户端模式
注意:这里设置交换机为Server模式是指允许在本交换机上创建、修改、删除VLAN及其他一些
对整个VTP域的配置参数,同步本VTP域中其他交换机传递来的最新的VLAN信息;Client模式是
指本交换机不能创建、删除、修改VLAN配置,也不能在NVRAM中存储VLAN配置, 但可以同步由
本VTP域中其他交换机传递来的VLAN信息。
2、配置中继
为了保证管理域能够覆盖所有的分支交换机,必须配置中继。 Cisco交换机能够支持任何介质
作为中继线,为了实现中继可使用其特有的ISL标签。ISL(Inter-Switch Link)是一个在交
换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,
通过在交换机直接相连的端口配置ISL封装, 即可跨越交换机进行整个网络的VLAN分配和进行
配置。
在核心交换机端配置如下:
COM(config)#interface gigabitEthernet 2/1
COM(config-if)#switchport
COM(config-if)#switchport trunk encapsulation isl
COM(config-if)#switchport mode trunk
COM(config)#interface gigabitEthernet 2/2
COM(config-if)#switchport
COM(config-if)#switchport trunk encapsulation isl
COM(config-if)#switchport mode trunk
COM(config)#interface gigabitEthernet 2/3
COM(config-if)#switchport
COM(config-if)#switchport trunk encapsulation isl
COM(config-if)#switchport mode trunk
在分支交换机端配置如下:
PAR1(config)#interface gigabitEthernet 0/1
PAR1(config-if)#switchport mode trunk
PAR2(config)#interface gigabitEthernet 0/1
PAR2(config-if)#switchport mode trunk
PAR3(config)#interface gigabitEthernet 0/1
PAR3(config-if)#switchport mode trunk
……
此时,管理域算是设置完毕了。
3、创建VLAN
一旦建立了管理域,就可以创建VLAN了。
COM(vlan)#Vlan 10 name COUNTER 创建了一个编号为10名字为COUNTER的 VLAN
COM(vlan)#Vlan 11 name MARKET 创建了一个编号为11名字为MARKET的 VLAN
COM(vlan)#Vlan 12 name MANAGING 创建了一个编号为12名字为MANAGING的 VLAN
……
注意,这里的VLAN是在核心交换机上建立的,其实,只要是在管理域中的任何一台VTP 属性为
Server的交换机上建立VLAN,它就会通过VTP通告整个管理域中的所有的交换机。 但是如果要
将交换机的端口划入某个VLAN,就必须在该端口所属的交换机上进行设置。
4、将交换机端口划入VLAN
例如,要将PAR1、PAR2、PAR3……分支交换机的端口1划入COUNTER VLAN,端口2划入MARKET VLAN,
端口3划入MANAGING VLAN……
PAR1(config)#interface fastEthernet 0/1 配置端口1
PAR1(config-if)#switchport access vlan 10 归属COUNTER VLAN
PAR1(config)#interface fastEthernet 0/2 配置端口2
PAR1(config-if)#switchport access vlan 11 归属MARKET VLAN
PAR1(config)#interface fastEthernet 0/3 配置端口3
PAR1(config-if)#switchport access vlan 12 归属MANAGING VLAN
PAR2(config)#interface fastEthernet 0/1 配置端口1
PAR2(config-if)#switchport access vlan 10 归属COUNTER VLAN
PAR2(config)#interface fastEthernet 0/2 配置端口2
PAR2(config-if)#switchport access vlan 11 归属MARKET VLAN
PAR2(config)#interface fastEthernet 0/3 配置端口3
PAR2(config-if)#switchport access vlan 12 归属MANAGING VLAN
PAR3(config)#interface fastEthernet 0/1 配置端口1
PAR3(config-if)#switchport access vlan 10 归属COUNTER VLAN
PAR3(config)#interface fastEthernet 0/2 配置端口2
PAR3(config-if)#switchport access vlan 11 归属MARKET VLAN
PAR3(config)#interface fastEthernet 0/3 配置端口3
PAR3(config-if)#switchport access vlan 12 归属MANAGING VLAN
……
5、配置三层交换
到这里,VLAN已经基本划分完毕。但是,VLAN间如何实现三层(网络层)交换呢?这时就要给
各VLAN分配网络(IP)地址了。给VLAN分配IP地址分两种情况,其一,给VLAN所有的节点分配
静态IP地址;其二,给VLAN所有的节点分配动态IP地址。下面就这两种情况分别介绍。
我们假设给VLAN COUNTER分配的接口Ip地址为172.16.58.1/24,网络地址为:172.16.58.0,
VLAN MARKET分配的接口Ip地址为172.16.59.1/24,网络地址为172.16.59.0,VLAN MANAGING
分配的接口Ip地址为172.16.60.1/24,网络地址为172.16.60.0……。如果动态分配IP地址,
则设网络上的DHCP服务器IP地址为172.16.1.11。
(1)给VLAN所有的节点分配静态IP地址
首先在核心交换机上分别设置各VLAN的接口IP地址,如下所示:
COM(config)#interface vlan 10
COM(config-if)#ip address 172.16.58.1 255.255.255.0 VLAN10接口IP
COM(config)#interface vlan 11
COM(config-if)#ip address 172.16.59.1 255.255.255.0 VLAN11接口IP
COM(config)#interface vlan 12
COM(config-if)#ip address 172.16.60.1 255.255.255.0 VLAN12接口IP
……
再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址,并且把默认网关设置为
该VLAN的接口地址。这样,所有的VLAN也可以互访了。
(2)给VLAN所有的节点分配动态IP地址
首先在核心交换机上分别设置各VLAN的接口IP地址和DHCP服务器的IP地址,如下所示:
COM(config)#interface vlan 10
COM(config-if)#ip address 172.16.58.1 255.255.255.0 VLAN10接口IP
COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP
COM(config)#interface vlan 11
COM(config-if)#ip address 172.16.59.1 255.255.255.0 VLAN11接口IP
COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP
COM(config)#interface vlan 12
COM(config-if)#ip address 172.16.60.1 255.255.255.0 VLAN12接口IP
COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP
……
再在DHCP服务器上设置网络地址分别为172.16.58.0,172.16.59.0,172.16.60.0的作用域,
并将这些作用域的“路由器”选项设置为对应VLAN的接口IP地址。这样,可以保证所有的VLAN
也可以互访了。
最后在各接入VLAN的计算机进行网络设置,将IP地址选项设置为自动获得IP地址即可。
三、总结
本文是笔者在实际工作中的一些总结。笔者力图用通俗易懂的文字来阐述创建VLAN的全过程。
并且给出了详细的设置步骤,只要你对Cisco交换机的IOS有所了解,看懂本文并不难。按照
本文所示的步骤一步一步地做,你完全可以给一个典型的快速以太网络建立多个VLAN
---- 在企业网络刚刚兴起之时, 由于规模小、应用面窄、对Internet接入认识程度低以及关
于网络安全和管理知识贫乏等原因,使得企业网仅仅局限于交换模式状态。交换技术主要有2种
方式: 基于以太网的帧交换和基于ATM的信元交换,它相对于共享式网络性能有很大提高,但对
于所有处于一个IP网段或IPX网段的网络设备来说,却同在一个广播域中。当工作站数量较多和
信息流较大时,容易形成广播风暴,严重影响了网络运行速度,甚至容易造成网络瘫痪。 怎样
避免这个问题出现呢?采用划分网络的办法是个不错的选择。
---- 在采用交换技术的网络模式中,一般采用划分物理网段的手段进行网络结构的划分。 从
效率和安全性等方面来看,这种结构划分有一定缺陷,而且在很大程度上限制了网络的灵活性。
因为如果要将一个广播域分开,必须另外购买交换机,并且需要重新进行人工布线。好在,虚
拟局域网(Virtual Local Area Network,VLAN)技术的出现解决了上述问题。实际上,VLAN
就是一个广播域,它不受地理位置的限制,可以跨多个局域网交换机。一个VLAN可以根据部门
职能、对象组或者应用来将不同地理位置的网络用户划分为一个逻辑网段。对于局域网交换机,
其每一个端口只能标记一个VLAN,一个VLAN中的所有端口拥有一个广播域,而处于不同VLAN的
端口则共享不同的广播域,这样就避免了广播风暴的产生。可以说,在一个交换网络中,VLAN
提供了网段和机构的弹性组合机制。
---- 通常,一个规模较大的企业,其下属一般拥有多个二级单位, 为保证对不同职能部门管
理的方便性和安全性以及整体网络运行的稳定性,可以采用VLAN划分技术,进行虚拟网络划分。
下面,我们通过对一个实际案例的分析,让大家了解和掌握应用VLAN技术的真谛。
网络状况
---- 某大型起重设备总公司下属有2个二级单位,主要进行研发、服务与销售等工作。由于地
理位置相对较远,业务规模尚未发展壮大,在企业成立之初,公司总部、 二级单位1和二级单
位2分别建立了独立的网络环境,各网络系统均采用以交换技术为主的方式,3网主干均采用千
兆以太网技术。公司总部中心交换机采用了Cisco Catalyst 6506产品, 它是带有三层路由的
引擎,可使企业网具有很强的升级能力。各二级单位的中心交换机采用了Cisco Catalyst 4006。
其他二级和三级交换机采用了Cisco Catalyst 3500系列交换机,主要因为Catalyst 3500系列
交换机具有很高的性能和可堆叠能力。
需求分析
由于业务发展迅猛,总公司与2个二级单位迫切需要畅通无阻的信息交流,从而让公司总
部能对2个下属单位进行更直接和更有效的管理,进而达到三方信息共享的目的, 所以将彼此
相互独立的3个子网联成一个统一网络势在必行。
图1所示的是起重设备总公司3个子网互联形成统一网络的示意图,3个子网是采用千兆以
太网技术进行互联的。为了避免在主干引发瓶颈问题,各子网在互联时采用了Trunk技术(即双
千兆技术),使网络带宽达到4GB,这样,既增加了带宽,又提供了链路的冗余,还提高了整体
网络高速、稳定和安全的运行性能。
然而,由于网络规模不断扩大,信息流量逐渐加大,人员管理变得日益复杂, 给企业网
的安全、稳定和高效运行带来新的隐患,如何消除这些隐患呢?VLAN划分技术能为此排忧解难。
根据起重设备总公司业务发展需要,我们将联网后的统一网络划分为5个虚拟子网,分别
是: 经理办子网、财务子网、供销子网和信息中心子网,其余部分划为一个子网。
由于统一网络的IP地址处于192.168.0.0网段,所以我们可以将各VLAN的IP地址分配如下。
经理办子网:192.168.1.0~192.168.2.0/22 网关:192.168.1.1
财务子网: 192.168.3.0~192.168.5.0/22 网关:192.168.3.1
供销子网: 192.168.6.0~192.168.8.0/22 网关:192.168.6.1
信息中心子网:192.168.7.0/24 网关:192.168.7.1
服务器子网:192.168.100.0/24 网关:192.168.100.1
其余子网: 192.168.8.0~192.168.9.0/22 网关:192.168.8.1
详细设计
---- 在划分VLAN时,Cisco的产品主要基于2种标准协议:ISL和802.1q。ISL是Cisco自己研发
设计的通用于所有Cisco网络产品的VLAN间互联封装协议,该协议针对Cisco网络设备的硬件平
台在信息流处理和多媒体应用方面进行了合理有效的优化。802.1q协议是IEEE802委员会于
1996年发布的国际规范标准。
---- 在此案例中,因为所采用的均是Cisco网络设备,故在进行VLAN间互联时采用了ISL协议
(对于不同网络设备的互联,本文在结尾处有相应介绍)。
---- 从图1我们可以看到,总公司中心交换机采用了Cisco Catalyst 6506,其2级节点为
Catalyst 3508和Catalyst 3548,Catalyst 3508交换机具有8个千兆以太网端口,并且利用
Catalyst 3500系列交换机的堆叠能力,可以随时扩充工作站数量。 边缘交换机则采用具有千
兆模块的Catalyst 3548。二级单位的中心交换机则采用了Cisco Catalyst 4006, 其2级节点
和边缘交换机采用的也是Catalyst 3548。公司总部与各二级附属单位的连接采用了ISL封装的
Trunk方式,用2组光纤连接(在Catalyst 6506与Catalyst 4006之间),这样既解决了VLAN间
的互联问题,同时又提高了网络带宽和系统的冗余,为3个子网互联提供了可靠保障。对于到
Internet的连接,接口为2MB DDN专线接入,各二级单位通过公司总部的Proxy接入Internet。
Internet的管理由公司总部信息中心统一规划。
---- 需要说明的是,由于本案例中关于VLAN的划分覆盖了各个交换机, 所以交换机之间的连
接都必须采用Trunk方式。鉴于经理办和供销子网代表了VLAN划分中的2个问题: 扩展交换机VLAN
的划分和端口VLAN的划分,所以我们再将经理办子网和供销子网对VLAN做一详细介绍。
经理办VLAN
---- 由于经理办工作站所在局域网交换机划分了多个VLAN,连接了多个VLAN工作站, 所以该
交换机与其上层交换机之间的连接必须采用Trunk方式(如图2所示)。
---- 公司总部采用了Catalyst 3508和Catalyst 6506,二级单位1采用了Catalyst 3548和
Catalyst 4006,二级单位2采用了Catalyst 3548和Catalyst 4006。
供销VLAN
虽然当一个交换机覆盖了多个VLAN时,必须采用Trunk方式连接,但在供销VLAN划分中,
其二级单位1中的供销独立于交换机Catalyst 3548,所以在这里, Catalyst 3548与二级中心
交换机Catalyst 4006只需采用正常的交换式连接即可(如图3所示)。对于此部分供销VLAN的划
分,只要在Catalyst 4006上针对与Catalyst 3548连接的端口进行划分即可。这是一种基于端
口的VLAN划分。
由于2个Catalyst 4006与主中心交换机Catalyst 6506间采用的是双光纤通道式连接, 屏
蔽了Catalyst 4006与Catalyst 6506间线路故障的产生,所以对整体网络的路由进行基于
Catalyst 6506的集中式管理。下面我们对VLAN之间的路由做一个介绍。
在中心交换机Catalyst 6506上设置VLAN路由如下。
经理办VLAN:192.168.1.1/22
财务VLAN: 192.168.3.1/22
供销VLAN: 192.168.6.1/22
信息中心VLAN:192.168.7.1/24
其余VLAN: 192.168.8.1/22
在中心交换机上设置路由协议RIP或OSPF,并指定网段192.168.0.0。在全局配置模式下执
行如下命令。
router rip network 192.168.0.0
由于IP地址处于192.168.0.0网段,所以对各VLAN的IP地址分配如下所示。
经理办子网: 192.168.1.0,子网掩码: 255.255.255.0,网关: 192.168.1.1。
财务子网: 192.168.2.0,子网掩码: 255.255.255.0,网关: 192.168.2.1。
供销子网: 192.168.3.0,子网掩码为255.255.255.0,网关: 192.168.3.1。
信息中心子网: 192.168.4.0,子网掩码: 255.255.255.0,网关: 192.168.4.1。
服务器子网: 192.168.100.0,子网掩码: 255.255.255.0,网关: 192.168.100.1。
其余子网: 192.168.8.0,子网掩码为255.255.255.0,网关: 192.168.8.1。
根据上述IP地址分配情况,不难看出各子网的网络终端数均可达到254台, 完全满足目前
或将来的应用需要,同时还降低了管理工作量,增强了管理力度。
注意事项
需要注意的是: 因为起重设备总公司统一网络系统的VLAN划分是作为一个整体结构来设计
的,所以为了保持与VLAN列表的一致性,需要Catalyst 4006对整体网络的其他部分进行广播。
所以在设置VTP(VLAN Trunk Protocol)时注意,要将VTP的域作为一个整体,其中VTP类型为
Server和Client。
有些企业建网较早,若所选用的网络设备为其他厂商的产品,而后期的产品又不能与前期
统一,这样在VLAN的划分中就会遇到一些问题。例如, 在Cisco产品与3COM产品的混合网络结
构中划分VLAN,对于Cisco网络设备Trunk的封装协议必须采用802.1q,以达到能与3COM产品进
行通信的目的。虽然两者之间可以建立VLAN的正常划分,并进行正常的应用,但两者配合使用
的协调性略差一些。当两者的连接发生变化时,必须在Cisco交换机上使用命令Clear Counter
进行清除,方可使两者工作协调起来。
VLAN
所谓VLAN是指处于不同物理位置的节点根据需要组成不同的逻辑子网,即一个VLAN就是一
个逻辑广播域,它可以覆盖多个网络设备。VLAN允许处于不同地理位置的网络用户加入到一个
逻辑子网中,共享一个广播域。通过对VLAN的创建可以控制广播风暴的产生,从而提高交换式
网络的整体性能和安全性。
VLAN对于网络用户来说是完全透明的,用户感觉不到使用中与交换式网络有任何的差别,
但对于网络管理人员则有很大的不同,因为这主要取决于VLAN的几点优势。
1. 控制广播风暴
主要有2种方式: 物理网络分段和VLAN逻辑分段。
2. 提高网络整体安全性
通过路由访问列表和MAC地址分配等VLAN划分原则, 可以控制用户访问权限和逻辑网
段大小。
3. 网络管理简单、直观
对于交换式以太网,如果对某些用户重新进行网段分配,需要网管员对网络系统的物
理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用
VLAN技术的网络来说,只需网管人员在网管中心对该用户进行VLAN网段的重新分配即
可。
关于Trunk方式
Trunk是独立于VLAN的、 将多条物理链路模拟为一条逻辑链路的VLAN与VLAN之间的连接方
式。采用Trunk方式不仅能够连接不同的VLAN或跨越多个交换机的相同VLAN, 而且还能增加交
换机间的物理连接带宽,增强网络设备间的冗余。由于在基于交换机的VLAN划分当中,交换机
的各端口分别属于各VLAN段,如果将某一VLAN端口用于网络设备间的级联,则该网络设备的其
他VLAN中的网络终端就无法与隶属于其他网络设备的VLAN网络终端进行通信。有鉴于此,网络
设备间的级联必须采用Trunk方式,使得该端口不隶属于任何VLAN, 也就是说该端口所建成的
网络设备间的级联链路是所有VLAN进行通信的公用通道。
VLAN划分的4种策略
1. 基于端口的VLAN划分
基于端口的VLAN划分是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的
交换端口进行重新分配即可,不用考虑该端口所连接的设备。
2. 基于MAC地址的VLAN划分
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC
地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。
基于MAC地址的VLAN划分其实就是基于工作站与服务器的VLAN组合。在网络规模较小时,
该方案亦不失为一个好方法,但随着网络规模的扩大,网络设备和用户的增加,则会很大程度
上加大管理难度。
3. 基于路由的VLAN划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机。该方式允许一个VLAN跨
越多个交换机,或一个端口位于多个VLAN中。
4. 基于策略的VLAN划分
基于策略的VLAN划分是一种比较有效而且直接的方式。这主要取决于在VLAN划分中所采用
的策略。就目前来说,对于VLAN的划分主要采用上述第1和3方式,第2种方式为辅助性的方案。
VLAN在网络管理中的应用
一、前言
广州分院计算机网是中科院"百所联网"二期工程的一部分,网络中心设备于1998年初安装
运行,随着用户接入和网络应用的开展,在运行、管理中碰到不少问题。虽然已逐渐完善网络
中心设备及服务器的配置和建立了相应的管理制度,一些问题也得以解决和控制,但对防止一
些不守法用户经常采用未授权IP上网问题,仍不能得到解决,网管人员为此花费不少精力。当
时曾想在边界路由器上做IP-MAC绑定,但由于CSTNET从网络整体安全考虑,边界路由器管理权
由院网络中心控制,对二级节点的广州分院网来说,如把IP-MAC绑定在边界路由器上, 将不利
于网络监控及管理,对可能发生的一些事件无法做出快速反应,因此实际是不可行的。 解决问
题只能在广州分院网络中心设备上入手。
二、网络结构配置及解决方案
由于4500只配高速口f0,其余为异步口,使得边界路由Cisco 2514只能接入Catalyst3200,
和所有局域网形成"平构式"结构,对防止IP盗用问题造成先天不足。
从分析Catalyst 3200虚网功能上可见,除了虚网功能本身的优点外,Catalyst 3200交换
机与Cisco 4500路由器的高速口支持ISL(InterSwitch Link)及VTP(VLAN TRUNK PROTOCOL),
这对强化网络管理提供有力的技术保证。通过对Catalyst 3200的端口进行虚网设置, 再跟据
网络用户所在的物理位置、工作性质、网络通信负载尽量均衡原则,把所有网络用户纳入不同
虚拟子网,各子网经 Catalyst 3200与Cisco 4500的高速口连接--路由,再把IP-MAC绑定在
Cisco 4500上就可能达到预期目的。
三、虚拟子网VLAN的配置
1).Catalyst 3200交换机上VLAN及VTP的配置 经超级终端进入Catalyst 3200控台
a). 设置VLAN管理域 进入"SET VTP AND···· ",选"VTP ADMINISTRATION
CONFIGURATION" 设置VALN管理域名"GIETNET";VTP方式为"SERVER"。
b). 设置VLAN及TRUNK: 将所有子网的交换机、HUB上连至Catalyst 3200的10MB或
100MB口,并按上述原则分配VLAN,将这些端口进行虚网划分如下:
本项设置是从控制台的CONFIGURATION选定"LOCAL VLAN PROT CONFIGURATION",
进行VLAN及TRUNK口的指定,并把所有的3个VLAN填入TRUNK口的配置单中, 最后
显示如下
2). Cisco 4500路由器的设置
把Cisco 4500的f0口按子网数"分割"成相应的"子口", 根据其设置的ISL
(InterSwitch Link)号,与相应子网进行逻辑连接。在本例中,f0被分割为f0.1、
f0.2、f0.3与VLAN1、VLAN2、VLAN3连接,其配置命令如下:
router#config t
router(config)#int f0.1
router(config-subif)#Description VLAN1_GIET
router(config-subif)#ip address 192.168.111.1 255.255.255.192
router(config-subif)#encapsulation isl 2
. .
router(config)#int f0.2
router(config-subif)#Description VLAN2_gzbnic
router(config-subif)#ip addess 192.168.111.65 255.255.255.192
router(config-subif)#encapsulation isl 3
. .
Ctl Z
wr
设置完毕,再请北京网络中心把边界路由器中有关子网路由项全部指向Cisco 4500,用户的
网关按其子网路由器地址设定。
3). 在Cisco 4500路由器上建立ARP表
为强化网络管理防止IP盗用,在Cisco 4500路由器上建立ARP表, 将所有子网的IP与相应
的网卡MAC地址进行绑定,对于未用的IP也进行绑定,如:
ARP 192.168.111.130 0800.3c5d.419f ARPA (已分配的IP有网卡地址)
.
ARP 192.168.111.169 0000.0000.0000 ARPA (未分配的IP无网卡地址)
当注册网络用户需更换网卡时,需得到网管人员的确认、同意,对企图非法盗用者将无法
进行(参见下述);另外可按具体情况设置访问控制列表等安全管理措施。
四、系统特点
经过虚网设置和IP-MAC绑定结合, 网络系统的特点:
1).发挥VLAN优势
合理分配网络资源,均衡网络负载,有效降低网上广播信息,方便对用户的分组管理。
2).增强网络安全
由于网络各子网相互隔离,网络通讯限制在子网内;子网间的交通或出境的通讯全部通过
其相应的路由端口,加強了Cisco 4500对全网的控制能力, 并由4500上的ARP表进行用户IP的合
法性核查。
3). 强化网络管理、合理记费
如2)所述,由于虚网的配置加上Cisco 4500的IP-MAC的匹配检查,使得IP盗用比一般的地
址绑定更为困难,理由是这种配置结构下,即使想盗用, 其通讯也只限于本子网内(活动范围
大大减少,被当场抓获可能性加大) ;Cisco 4500上的IP-MAC的匹配核查, 使得有计费的IP盗
用无法进行(盗用变得无意义),从而达到合理记费和有效提高网络管理、控制能力。
本工作于去年完成,运行稳定,满足要求。
名词解释:
1). VLAN TRUNK PROTOCOL(VTP):
用VTP设置和管理整个域内的VLAN,在管理域内VTP自动发布配置信息,其范围包括所有
TRUNK连接,如交换互连(ISL)、802.10和ATMLAN(LANE) 当交换机加电时, 它会周期性地
送出VTP配置请求,直至接到近邻的配置(summary)广播信息,从而进行结构配置必要的更新。
交换机的VTP配置有三种模式:服务器、客户和透明模式。
2). ISLTRUNK ISL中继不同的VLAN多路包,包头带有"ISL VLAN数"标志(VTP VLAN ID)。
CISCO交换机支持VLAN列表
1900系列标准版:不支持VLAN
1900系列企业版:支持1024个ISL VLAN
2926:支持1000个ISL VLAN
2948G:支持1024个802.1Q VLAN
2912XL/2912MF XL/2924XL/2924C XL/2924M XL支持64个ISL 802.1Q VLAN
6006600965066509支持1000个VLAN
4003 4006支持个1024ISL(L3)/802.1Q
5002 5000 5500 5505 5509支持1000个VLAN