VLAN、TRUNKING技术在洪家渡发电厂网络中应用.doc

VLAN、TRUNKING技术在洪家渡发电厂网络中应用 ———————————————————————————————— 作者： ———————————————————————————————— 日期： 2 个人收集整理 勿做商业用途 VLAN、TRUNKING技术在洪家渡发电厂 网络中的应用简析 信息化班 程 正 一、 VLAN 概述 1.1 局域网技术 局域网（LAN)通常是一个单独的广播域，主要由Hub、网桥或交换机等网络设备连接同一网段内的所有节点形成.处于同一个局域网之内的网络节点之间可以直接通信，而处于不同局域网段的设备之间的通信则必须经过路由器才能通信。图1所示即为使用路由器构建的典型的局域网环境. 　　　 　　随着网络的不断扩展，接入设备逐渐增多,网络结构也日趋复杂，必须使用更多的路由器才能将不同的用户划分到各自的广播域中，在不同的局域网之间提供网络互联。 　　但这样做存在两个缺陷： 　　首先，随着网络中路由器数量的增多，网络延时逐渐加长，从而导致网络数据传输速度的下降。这主要是因为数据在从一个局域网传递到另一个局域网时,必须经过路由器的路由操作： 路由器根据数据包中的相应信息确定数据包的目标地址，然后再选择合适的路径转发出去。 　　其次，用户是按照它们的物理连接被自然地划分到不同的用户组（广播域）中。这种分割方式并不是根据工作组中所有用户的共同需要和带宽的需求来进行的.因此，尽管不同的工作组或部门对带宽的需求有很大的差异，但它们却被机械地划分到同一个广播域中争用相同的带宽。 1.2 VLAN技术 VLAN（Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案. 　　VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段.一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。 　　VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网.虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。 1.3 VLAN的特点 VLAN是一种比较新的技术，工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，VLAN之间的通信是通过第3层的路由器来完成的.与传统的局域网技术相比较，VLAN技术更加灵活，它具有以下优点: 　（1) 网络设备的移动、添加和修改的管理开销减少； 　　ＶＬＡＮ为控制人员、办公室变动和减少集线器和路由器重新配置的开支提供了一个有效的方法,ＶＬＡＮ中的用户能共享同一网络地址空间（例如ＩＰ子网）而无须考虑它们的位置。 　(2） 可以控制广播活动; 　　一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。 　（3） 可提高网络的安全性. 　　通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。 　（4） 网络管理简单、直观 　　对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备，增大网络管理的工作量。而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。 1.4 划分VLAN的基本策略 VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备-—要实现路由功能,既可采用路由器，也可采用三层交换机来完成。 　(1) 基于端口的VLAN 　　基于端口的VLAN的划分是最简单、有效的VLAN划分方法，它按照局域网交换机端口来定义VLAN成员。VLAN从逻辑上把局域网交换机的端口划分开来，从而把终端系统划分为不同的部分，各部分相对独立,在功能上模拟了传统的局域网.基于端口的VLAN又分为在单交换机端口和多交换机端口定义VLAN两种情况： 　　A。 单交换机端口定义VLAN 　　如图2所示，交换机的1、2、6、7、8端口组成VLAN1，3、4、5端口组成了VLAN2。这种VLAN只支持一个交换机. 　　B。 多交换机端口定义VLAN 　　如图3所示，交换机1的1、2、3端口和交换机2的4、5、6端口组成VLAN1，交换机1的4、5、6、7、8端口和交换机2的1、2、3、7、8端口组成VLAN2。 　　 　　基于端口的VLAN的划分简单、有效，但其缺点是当用户从一个端口移动到另一个端口时，网络管理员必须对VLAN成员进行重新配置。 (2) 基于MAC地址的VLAN 　　基于MAC地址的VLAN是用终端系统的MAC地址定义的VLAN。MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一的。这种方法允许工作站移动到网络的其他物理网段，而自动保持原来的VLAN成员资格。在网络规模较小时,该方案可以说是一个好的方法，但随着网络规模的扩大，网络设备、用户的增加，则会在很大程度上加大管理的难度。 （3) 基于路由的VLAN 　　路由协议工作在7层协议的第3层—网络层，比如基于IP和IPX的路由协议,这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中. (4) 基于策略的VLAN 　　基于网络层的虚拟局域网划分也叫做基于策略（POLICY）的划分,是这几种划分方式中最高级也是最为复杂的。基于网络层的虚拟局域网使用协议（如果网络中存在多协议的话）或网络层地址(如TCP/IP中的子网段地址）来确定网络成员。利用网络层定义虚拟网有以下几点优势。第一，这种方式可以按传输协议划分网段。其次，用户可以在网络内部自由移动而不用重新配置自己的工作站.第三，这种类型的虚拟网可以减少由于协议转换而造成的网络延迟。这种方式看起来是最为理想的方式,但是在采用这种划分之前，要明确两件事情：一是IP盗用，二是对设备要求较高，不是所有设备都支持这种方式。 二、 VLAN 技术的实现 2。1 trunking （链路聚合) 在规划企业级网络时，很有可能会遇到隶属于同一部门的用户分散在同一座建筑物中的不同楼层的情况,这时可能就需要考虑到如何跨越多台交换机设置VLAN的问题了。假设有如下图所示的网络，且需要将不同楼层的A、C和B、D设置为同一个VLAN。　　 　 　　　最简单的方法，自然是在交换机1和交换机2上各设一个红、蓝VLAN专用的接口并互联了。 　　 　 　　但是，这个办法从扩展性和管理效率来看都不好。例如，在现有网络基础上再新建VLAN时，为了让这个VLAN能够互通，就需要在交换机间连接新的网线.建筑物楼层间的纵向布线是比较麻烦的,一般不能由基层管理人员随意进行。并且,VLAN越多，楼层间（严格地说是交换机间)互联所需的端口也越来越多，交换机端口的利用效率低是对资源的一种浪费、也限制了网络的扩展。 　　为了避免这种低效率的连接方式，人们想办法让交换机间互联的网线集中到一根上,这时使用的就是汇聚链接(Trunk Link)。 　　汇聚链接（Trunk Link)指的是能够转发多个不同VLAN的通信的端口。 　　汇聚链路上流通的数据帧，都被附加了用于识别分属于哪个VLAN的特殊信息. 　　现在再让我们回过头来考虑一下上述网络如果采用汇聚链路又会如何呢？用户只需要简单地将交换机间互联的端口设定为汇聚链接就可以了。这时使用的网线还是普通的UTP线，而不是什么其他的特殊布线.图例中是交换机间互联，因此需要用交叉线来连接。 　　接下来，让我们具体看看汇聚链接是如何实现跨越交换机间的VLAN的。 　　A发送的数据帧从交换机1经过汇聚链路到达交换机2时,在数据帧上附加了表示属于红色VLAN的标记。 　　交换机2收到数据帧后,经过检查VLAN标识发现这个数据帧是属于红色VLAN的,因此去除标记后根据需要将复原的数据帧只转发给其他属于红色VLAN的端口。这时的转送，是指经过确认目标MAC地址并与MAC地址列表比对后只转发给目标MAC地址所连的端口。只有当数据帧是一个广播帧、多播帧或是目标不明的帧时，它才会被转发到所有属于红色VLAN的端口。蓝色VLAN发送数据帧时的情形也与此相同。 　　 文档为个人收集整理,来源于网络个人收集整理,勿做商业用途 　通过汇聚链路时附加的VLAN识别信息，有可能支持标准的“IEEE 802。1Q”协议，也可能是Cisco产品独有的“ISL（Inter Switch Link）”.如果交换机支持这些规格，那么用户就能够高效率地构筑横跨多台交换机的VLAN。 　　汇聚链路上流通着多个VLAN的数据，自然负载较重。因此，在设定汇聚链接时,有一个前提就是必须支持100Mbps以上的传输速度。 　　默认条件下，汇聚链接会转发交换机上存在的所有VLAN的数据。换一个角度看，可以认为汇聚链接(端口）同时属于交换机上所有的VLAN。由于实际应用中很可能并不需要转发所有VLAN的数据，因此为了减轻交换机的负载、也为了减少对带宽的浪费，我们可以通过用户设定限制能够经由汇聚链路互联的VLAN。 2。2 Trunk的封装方式. (1） ISL（Inter—Switch Link） 　　ISL是Cisco公司的专有封装方式，因此仅在Cisco的设备上支持.ISL会在原来的帧上再添加一个26字节的帧头和4个字节的帧尾，帧头中包含了VLAN的信息，帧尾中包含循环校验码CRC，以保证新帧的数据完整性。ISL主要用在以太网上。 （2） IEEE 802。1Q 　　这是一个有关Trunk封装方式的标准，很多厂商的设备都支持这个标准.和ISL不同，IEEE 802。1Q是在数据帧的中间位置加上4个字节的标识,前2个字节是标记协议标识（Tag Protocol Identifier，TPID),0x8100代表IEEE 802。1Q，后2个字节为标记控制信息(Tag Control Information，TCL）,其中就包含了VLAN的信息。 (3) LAN 仿真 　　该封装方式主要用在ATM链路上，在此不做详细介绍. (4) IEEE 802。10 　　Cisco提供了在标准的IEEE 802.10 FDDI帧上传送VLAN的信息。该信息就放在IEEE 802.10帧的安全联合标识(Security Association Identifier，SAID）域中。 　　 2。3 vtp管理 (1)VTP概述 VTP（VLAN Trunk Protocol，VLAN干道协议)的功能与GVRP相似，也是用来使VLAN配置信息在交换网内其它交换机上进行动态注册的一种二层协议。在一台VTP Server上配置一个新的VLAN信息，则该信息将自动传播到本域内的所有交换机，从而减少在多台设备上配置同一信息的工作量,且方便了管理。VTP信息只能在Trunk端口上传播。 任何一台运行VTP的交换机可以工作在三种模式:VTP Server、VTP Client及VTP Transparent。     VTP Server维护该VTP域中所有VLAN信息列表，可以增加、删除或修改VLAN.     VTP Client也维护该VTP域中所有VLAN信息列表，但不能增加、删除或修改VLAN，任何变化的信息必须从VTP Server发布的通告报文中接收.     VTP Transparent不参与VTP工作，它虽然忽略所有接收到的VTP信息，但能够将接收到的VTP报文转发出去.它只拥有本设备上的VLAN信息.     其中，VTP Server和VTP Client必须处于同一个VTP域,且一个交换机只能位于一个VTP域中. （2） VTP协议的作用 VLAN中继协议（VTP）利用第2层中继帧，在一组交换机之间进行VLAN通信．VTP从一个中心控制点开始,维护整个企业网上VLAN的添加、添加和重命名工作，确保配置的一致性。 （3) VTP的优点 保持配置的一致性 提供跨不同介质类型如ATM FDDI和以太网配置虚拟局域网的方法 提供跟踪和监视虚拟局域网的方法 提供检测加到另一个交换机上的虚拟局域的方法 提供从一个交换机在整个管理域中增加虚拟局域网的方法 （4) VTP的工作原理文档为个人收集整理，来源于网络本文为互联网收集，请勿用作商业用途 VTP是一种消息协议，使用第2层帧,在全网的基础上管理VLAN的添加、删除和重命名，以实现VLAN配置的一致性。可以用VTP管理网络中VLAN1到1005. 有了VTP，就可以在一台机换上集中进行配置变更，所作的变更会被自动传播到网络中所有其他的交换机上。（前提是在同一个VTP域） 为了实现此功能，必须先建立一个VTP管理域，以使它能管理网络上当前的VLAN.在同一管理域中的交换机共享它们的VLAN信息,并且，一个交换机只能参加到一个VTP管理域，不同域中的交换机不能共享VTP信息。 三、 VLAN技术在洪家渡发电厂网络中配置实例 3.1 网络拓朴图 3.2 网络配置 (1) 4506中心交换机配置 set VTP Domain hjd set VTP Server interface GigabitEthernet6/1 switchport trunk encapsulation dot1q switchport trunk native vlan 10 switchport mode trunk interface GigabitEthernet6/2 switchport trunk encapsulation dot1q switchport trunk native vlan 10 switchport mode trunk interface GigabitEthernet6/3 switchport trunk encapsulation dot1q switchport trunk native vlan 10 switchport mode trunk interface GigabitEthernet6/4 switchport trunk encapsulation dot1q switchport trunk native vlan 10 switchport mode trunk interface GigabitEthernet6/5 switchport trunk encapsulation dot1q switchport trunk native vlan 10 switchport mode trunk interface GigabitEthernet6/6 switchport trunk encapsulation dot1q switchport trunk native vlan 10 switchport mode trunk （2) 3550xl交换机配置 ＃vtp set vtp domain hjd set vtp mode client interface GigabitEthernet0/1 switchport trunk encapsulation dot1q switchport trunk native vlan 10 switchport mode trunk no cdp enable (3) 4006交换汇聚配置 ＃vtp set vtp domain hjd set vtp mode client set vlan 10 4/1—6 set trunk 4/1 nonegotiate dot1q 1—1005 set trunk 4/2 nonegotiate dot1q 1-1005 set trunk 4/3 nonegotiate dot1q 1-1005 set trunk 4/4 nonegotiate dot1q 1-1005 set trunk 4/5 nonegotiate dot1q 1—1005 set trunk 4/6 nonegotiate dot1q 1—1005 end 参考文献： 《思科网络技术学院教程》 《CISCO 现场手册：CATALYST 交换机配置》 《组建CISCO远程接入网络》 《洪家渡发电厂中心交换机规划配置文档》 作者简介：程正(1977—）男,工程师，洪家渡发电厂信息化班班长,主要从事通信系统、信息化系统运维工作。 刘兴全（1980—)男，IBM ACS工程师 从要从事计算机通信网络、通信设备运维工作。 16