资源描述
1 VLAN概述
VLAN(Virtual Local Area Network)即虚拟局域网,就是一种通过将局域网内得设备逻辑地而不就是物理地划分成一个个网段从而实现虚拟工作组得新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案得802、1Q协议标准草案。
VLAN技术允许网络管理者将一个物理得LAN逻辑地划分成不同得广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求得计算机工作站,与物理上形成得LAN有着相同得属性。但由于它就是逻辑地而不就是物理地划分,所以同一个VLAN内得各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部得广播与单播流量都不会转发到其她VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络得安全性。
VLAN就是为解决以太网得广播问题与安全性而提出得一种协议,它在以太网帧得基础上增加了VLAN头,用VLAN ID把用户划分为更小得工作组,限制不同工作组间得用户二层互访,每个工作组就就是一个虚拟局域网。虚拟局域网得好处就是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
VLAN在交换机上得实现方法,可以大致划分为4类:
1、 基于端口划分得VLAN
这种划分VLAN得方法就是根据以太网交换机得端口来划分,比如Quidway S3526得1~4端口为VLAN 10,5~17为VLAN 20,18~24为VLAN 30,当然,这些属于同一VLAN得端口可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机 1 得1~6端口与交换机 2 得1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分就是目前定义VLAN得最广泛得方法,IEEE 802、1Q规定了依据以太网交换机得端口来划分VLAN得国际标准。
这种划分得方法得优点就是定义VLAN成员时非常简单,只要将所有得端口都指定义一下就可以了。它得缺点就是如果VLAN A得用户离开了原来得端口,到了一个新得交换机得某个端口,那么就必须重新定义。
2、基于MAC地址划分VLAN
这种划分VLAN得方法就是根据每个主机得MAC地址来划分,即对每个MAC地址得主机都配置她属于哪个组。这种划分VLAN得方法得最大优点就就是当用户物理位置移动时,即从一个交换机换到其她得交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址得划分方法就是基于用户得VLAN,这种方法得缺点就是初始化时,所有得用户都必须进行配置,如果有几百个甚至上千个用户得话,配置就是非常累得。而且这种划分得方法也导致了交换机执行效率得降低,因为在每一个交换机得端口都可能存在很多个VLAN组得成员,这样就无法限制广播包了。另外,对于使用笔记本电脑得用户来说,她们得网卡可能经常更换,这样,VLAN就必须不停得配置。
3、基于网络层划分VLAN
这种划分VLAN得方法就是根据每个主机得网络层地址或协议类型(如果支持多协议)划分得,虽然这种划分方法就是根据网络地址,比如IP地址,但它不就是路由,与网络层得路由毫无关系。它虽然查瞧每个数据包得IP地址,但由于不就是路由,所以,没有RIP,OSPF等路由协议,而就是根据生成树算法进行桥交换,
这种方法得优点就是用户得物理位置改变了,不需要重新配置所属得VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加得帧标签来识别VLAN,这样可以减少网络得通信量。
这种方法得缺点就是效率低,因为检查每一个数据包得网络层地址就是需要消耗处理时间得(相对于前面两种方法),一般得交换机芯片都可以自动检查网络上数据包得以太网祯头,但要让芯片能检查IP帧头,需要更高得技术,同时也更费时。当然,这与各个厂商得实现方法有关。
4、根据IP组播划分VLAN
IP 组播实际上也就是一种VLAN得定义,即认为一个组播组就就是一个VLAN,这种划分得方法将VLAN扩大到了广域网,因此这种方法具有更大得灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要就是效率不高。
鉴于当前业界VLAN发展得趋势,考虑到各种VLAN划分方式得优缺点,为了最大程度上地满足用户在具体使用过程中需求,减轻用户在VLAN得具体使用与维护中得工作量,Quidway S系列交换机采用根据端口来划分VLAN得方法。
因为VLAN技术与局域网技术息息相关,所以在介绍VLAN之前,我们首先来了解一下局域网得有关知识。
局域网(LAN)通常被定义为一个单独得广播域,主要使用Hub,网桥,或交换机等网络设备连接同一网段内得所有节点。同处一个局域网之内得网络节点之间可以不通过网络路由器直接进行通信;而处于不同局域网段内得设备之间得通信则必须经过网络路由器。
图一所示为使用路由器构建得典型得局域网环境。
图一所示网络中,通过使用路由器划分出不同得局域网段。其中,位于圆形区域之内得部分就就是一个个相互独立得局域网段。为了便于在本文中进行说明,我们为不同得网段进行了编号。需要注意得一点就就是,每一个局域网所连接得路由器接口都属于该局域网广播域得一部分。
随着网络得不断扩展,接入设备逐渐增多,网络结构日趋复杂,必须使用更多得路由器才能将不同得用户划分到各自得广播域中,在不同得局域网之间提供网络互连。
这样做得一个缺陷就就是随着网络中路由器数量得增多,网络时延逐渐加长,从而导致网络数据传输速度得下降。这主要就是因为数据在从一处局域网传递到另一处局域网时,必须经过路由器得路由操作,路由器根据数据包中得相应信息确定数据包得目标地址,然后再选择合适得路径转发出去。
VLAN,又称虚拟局域网,就是由位于不同物理局域网段得设备组成。虽然VLAN所连接得设备来自不同得网段,但就是相互之间可以进行直接通信,好像处于同一网段中一样,由此得名虚拟局域网。相比较传统得局域网布局,VLAN技术更加灵活。为了创建虚拟网络,需要对已有得网络拓扑结构进行相应得调整。
还就是连接相同得网络终端,通过如图所示得交换网络提供了同样得网络连接。虽然图二所示得网络比起图一所示网络在速度与网络时延方面都有了很大得改进与提高,但就是同样存在一些不足。其中,最突出得一点就就是现在所有得网络节点都处于同一个广播域内,大大增加了网络中所有设备之间得数据流量。随着网络得不断扩充,很有可能出现广播风暴,导致整个网络无法使用。
VLAN就是英文Virtual Local Area Network得缩写,即虚拟局域网。一方面,VLAN建立在局域网交换机得基础之上;另一方面,VLAN就是局域交换网得灵魂。这就是因为通过VLAN用户能方便地在网络中移动与快捷地组建宽带网络,而无需改变任何硬件与通信线路。这样,网络管理员就能从逻辑上对用户与网络资源进行分配,而无需考虑物理连接方式。 VLAN充分体现了现代网络技术得重要特征:高速、灵活、管理简便与扩展容易。就是否具有VLAN功能就是衡量局域网交换机得一项重要指标。网络得虚拟化就是未来网络发展得潮流。
VLAN与普通局域网从原理上讲没有什么不同,但从用户使用与网络管理得角度来瞧,VLAN与普通局域网最基本得差异体现在:VLAN并不局限于某一网络或物理范围,VLAN中得用户可以位于一个园区得任意位置,甚至位于不同得国家。
VLAN具有以下优点:
控制网络得广播风暴
采用VLAN技术,可将某个交换端口划到某个VLAN中,而一个VLAN得广播风暴不会影响其它VLAN得性能。
确保网络安全
共享式局域网之所以很难保证网络得安全性,就是因为只要用户插入一个活动端口,就能访问网络。而VLAN能限制个别用户得访问,控制广播组得大小与位置,甚至能锁定某台设备得MAC地址,因此VLAN能确保网络得安全性。
简化网络管理
网络管理员能借助于VLAN技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络,其成员可能遍及全国或全世界,此时,网络管理员只需设置几条命令,就能在几分钟内建立该项目得VLAN网络,其成员使用VLAN网络,就像在本地使用局域网一样。 VLAN得分类主要有以下几种:
基于端口得VLAN
基于端口得VLAN就是划分虚拟局域网最简单也就是最有效得方法,这实际上就是某些交换端口得集合,网络管理员只需要管理与配置交换端口,而不管交换端口连接什么设备。
基于MAC地址得VLAN
由于只有网卡才分配有MAC地址,因此按MAC地址来划分VLAN实际上就是将某些工作站与服务器划属于某个VLAN。事实上,该VLAN就是一些MAC地址得集合。当设备移动时,VLAN能够自动识别。网络管理需要管理与配置设备得MAC地址,显然当网络规模很大,设备很多时,会给管理带来难度。
基于第3层得VLAN
基于第3层得VLAN就是采用在路由器中常用得方法:IP子网与IPX网络号等。其中,局域网交换机允许一个子网扩展到多个局域网交换端口,甚至允许一个端口对应于多个子网。
基于策略得VLAN
基于策略得VLAN就是一种比较灵活有效得VLAN划分方法。该方法得核心就是采用什么样得策略?目前,常用得策略有(与厂商设备得支持有关):
按MAC地址
按IP地址
按以太网协议类型
按网络得应用等
在企业网络刚刚兴起之时,由于企业网络规模小、应用范围得局限性、对Internet接入得认识程度、网络安全及管理得贫乏等原因,使得企业网仅仅限于交换模式得状态。交换技术主要有两种方式:基于以太网得帧交换与基于ATM得信元交换,LAN交换机得每一个端口均为自己独立得碰撞域,但同时对于所有处于一个IP网段或IPX网段得网络设备来说,却同在一个广播域中,当工作站得数量较多、信息流很大得时候,就容易形成广播风暴,甚者造成网络得瘫痪。
在采用交换技术得网络模式中,对于网络结构得划分采用得仅仅就是物理网段得划分得手段。这样得网络结构从效率与安全性得角度来考虑都就是有所欠缺得,而且在很大程度上限制了网络得灵活性,如果需要将一个广播域分开,那么就需要另外购买交换机并且要人工重新布线。由此,需要进行虚拟网络(VLAN)设置。
在一个规模较大得企业中,其下属有多个二级单位,在各单位得孤立网络进行互连时,出于对不同职能部门得管理、安全与整体网络得稳定运行,我们进行了VLAN得划分。
第一步 子网分析
该网络系统由三部分组成:公司、二级单位1、二级单位2,初始为三部分各自独立,未形成统一得网络环境,故各网络系统得运行采用得就是以交换技术为主得方式。
三网主干均采用得就是千兆以太网技术,起点得高定位为企业得信息应用带来了高速、稳定、符合国际标准得网络平台。公司中心交换机采用得就是Cisco得Catalyst 6506,带有三层路由得引擎使得企业网具有将来升级得能力;同时各二级单位得中心交换机采用得亦就是Cisco得Catalyst 4006;各二级、三级交换机则采用得就是Cisco得Catalyst 3500系列,主要因为Catalyst 3500系列交换机得高性能与可堆叠能力。
现三部分应公司得要求联网,网络得互连仍采用千兆带宽,但因三网均采用了千兆以太网技术,为了不在主干形成瓶颈,因此各子网得互连采用Trunk技术,即双千兆技术,使网络带宽达到4G,如此既增加了带宽,又提供了链路得冗余,提高了整体网络得高速、稳定、安全运行性能。
但亦由于网络规模得扩大化,信息流量得加大,人员得复杂化等原因,为企业网络得安全性、稳定性、高效率运行带来了新得隐患。由此引发了VLAN得划分。
对于VLAN得划分,应公司得需求,我们对各VLAN得IP地址分配为:
经理办子网:192、168、1、0——192、168、2、0/22 网关:192、168、1、1;
财务子网: 192、168、3、0——192、168、5、0/22 网关:192、168、3、1;
供销子网: 192、168、6、0——192、168、8、0/22 网关:192、168、6、1;
信息中心子网:192、168、7、0/24 网关:192、168、7、1;
服务器子网:192、168、100、0/24 网关:192、168、100、1
其余子网: 192、168、8、0——192、168、9、0/22 网关:192、168、8、1;
第二步 系统分析
对于Cisco得产品划分,VLAN主要就是基于两种标准协议:ISL与802、1Q。在我们这里,因为所采用得均就是Cisco得网络设备,故在进行VLAN间得互连时采用ISL得协议封装,该协议针对Cisco网络设备得硬件平台在信息流得处理、多媒体应用得优化进行了合理有效得优化。对于不同产品得VLAN互连,我们在后面会提到。
网络拓扑图
由于本案例中关于VLAN得划分扩展了各个交换机,所以交换机之间得连接都必须采用Trunk得方式。经理办与供销子网代表了VLAN划分中得两种问题——扩展交换机VLAN得划分与端口VLAN得划分:
在经理办虚网中,对于一个交换机扩展多个VLAN得时候,前面提到了该交换机与其上层交换机间必须采用Trunk方式连接,但在供销得虚网划分中,在二级单位1中得供销独立于一个LAN交换机Catalyst3548,所以在这里,Catalyst3548与二级中心交换机Catalyst4006只需采用正常得交换式连接即可,对于此部分供销VLAN得划分,只要在Catalyst4006上针对与Catalyst3548连接得端口进行划分即可。也就就是前面提到得基于端口得VLAN得划分。
第三步 路由列表
做完了VLAN之间得连接后,因为两个Catalyst4006与主中心交换机Catalyst6506间采用得就是双光纤通道式连接,屏蔽了Catalyst406与Catalyst6506间得线路故障得产生,所以要对整体网络得路由进行基于Catalyst6506得集中式管理。我们在主中心交换机Catalyst6506上设置了VLAN路由:
经理办虚网:192、168、1、1/22;
财务虚网: 192、168、3、1/22;
供销虚网: 192、168、6、1/22;
信息中心虚网:192、168、7、1/24;
其余虚网: 192、168、8、1/22;
接下来,在中心交换机上设置路由协议RIP或OSPF,并指定网段192、168、0、0。在全局配置模式下执行如下命令:
router rip
network 192、168、0、0
注意事项
1、 在这里需要注意得就是:因为整个公司得网络系统得VLAN得划分就是作为一个整体结构来设计得,所以为了保持VLAN列表得一致性,例如当二级单位1得VLAN有所变化时,VLAN列表也会有所变化,这时就需要该Catalyst 4006对整体网络得其她部分进行广播,以达到VLAN得列表得一致性。所以在设置VTP(VLAN Trunk Protocol)时要注意,要将VTP得域作为一个整体,即:VTP类型分别为Server与Client。
2、 有些企业建网较早,所选用得网络设备为其她得厂商得产品,而后期得产品又不能与前期统一,这样在VLAN得划分中就会遇到些问题。
例如:在Cisco产品与3产品得混合网络结构中划分VLAN,对于Cisco网络设备得Trunk得封装协议则必须采用802、1Q,以达到与3得通讯。虽然两者之间可以建立VLAN得正常划分,与正常得应用,但由于交换机都具有自学习得能力,以致两者之间得协调配合较差。当两者之间得连接发生变化时,必须在Cisco交换机上使用命令(clear counter)进行清除,方可达到两者得重新协调工作。
技术资料
VLAN得实现
VLAN就是英文Virtual Local Area Network得缩写,即虚拟局域网。VLAN允许处于不同地理位置得网络用户加入一个逻辑子网中,共享一个广播域。通过对VLAN得创建可以控制广播风暴得产生,从而提高交换式网络得整体性能与安全性。
VLAN对于网络用户来说就是完全透明得,用户感觉不到使用中与交换式网络有任何得差别,但对于网络管理人员则有很大得不同,因为这主要取决于VLAN得几点优势:
对网络中得广播风暴得控制;
提高网络得整体安全性,通过路由访问列表、MAC地址分配等VLAN划分原则,可以控制用户得访问权限与逻辑网段得大小;
网络管理得简单、直观。
而对于VLAN得划分则有以下四种策略:
1、 基于端口得VLAN
基于端口得VLAN得划分就是最简单、最有效得VLAN划分方法。该方法只需网络管理员针对于网络设备得交换端口进行重新分配组合在不同得逻辑网段中即可。而不用考虑该端口所连接得设备就是什么。
2、 基于MAC地址得VLAN
MAC地址其实就就是指网卡得标识符,每一块网卡得MAC地址都就是唯一得。基于MAC地址得VLAN划分其实就就是基于工作站、服务器得VLAN得组合。在网络规模较小时,该方案亦不失为一个好得方法,但随着网络规模得扩大,网络设备、用户得增加,则会在很大程度上加大管理得难度。
3、 基于路由得VLAN
路由协议工作在七层协议得第三层:网络层,即基于IP与IPX协议得转发。这类设备包括路由器与路由交换机。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
4、 基于策略得VLAN
基于策略得VLAN得划分就是一种比较有效而直接得方式。这主要取决于在VLAN得划分中所采用得策略。
就目前来说,对于VLAN得划分主要采用1、3两种模式,对于方案2则为辅助性得方案。VLAN得划分设计之后,再所涉及得就就是VLAN划分得最后一步:VLAN间得互连。
在以前对VLAN得划分主要就是通过路由器来实现得,但随着网络规模得扩大、信息量得增加,路由器无论就是从端口数还就是系统性能上来说都已经不堪负荷,因此逐渐形成了产生网络瓶颈得主要原因。而在现在,因为有了基于交换机上得三层路由得能力,在上述两点已经得到合理地解决。
虽然VLAN并非最好得网络技术,但这种用于网络结点逻辑分段得方法正为许多企业所使用。VLAN采用多种方式配置于企业网络中,包括网络安全认证、使无线用户在802、11b接入点漫游、隔离IP语音流及在不同协议得网络中传输数据等。
六年前引进VLAN得时候,多数VLAN都就是基于IEEE 802、1Q与802、1p标准得。802、1Q规范用于将VLAN用户信息载入以太网帧,而802、1p使二层交换机具有流量优先与实施动态多址滤波得能力。
当初引进VLAN时,它被瞧作就是一个简化地址管理得方法,可以使IT人员在网络得任意点对服务器与PC机进行物理配置,并将PC机加入到组中。
多数网络设备得软件可用于将媒体访问控制(MAC)地址与VLAN相关联,当客户从一个端口移动到另一个端口时,可以使其自动连接到网络上。
VLAN得应用
最近,休斯顿在4栋22层得建筑物中建立了网络及其子网,包括122个法庭、法律事务所与审判厅,这种建筑物非常适合建立VLAN,因为将122个私人子网合并到一个VLAN中要比将用户插入端口组容易得多。
VLAN与静态IP地址也可用于安全机制。所有工作于这里得客户都分配了一个静态IP地址,通过Alcatel得OmniSwitch路由器与OmniCore 5052主干网交换器连接到网络中。
这种配置方式使法官与律师在不同得法庭中都可以进行工作。这种设置可控制许可用户得访问权限以及限制未注册用户得访问,因而可以提供安全性。接入网络得唯一方法就就是必须拥有一个IP地址,而且这些PC机都连接在其中得一个VLAN上。
VLAN得漫游功能
Massachusetts得Bridgewater州立学院配置了100多个Enterasys公司得RoamAbout 802、11b/a无线接入点,因而学生在整个校园中都可以访问Web与Email。
如果没有对无线流量进入自己得VLAN进行隔离,那么对于希望在校园范围内保持网络连接得移动用户来说,它将成为一场噩梦。将所有得无线流量置于一个VLAN中,可以确保当用户从一个接入点移动到另一个接入点时不会掉线。而实际上当整个校园中配置得Enterasys接入点只有150英尺得范围时,这种情况很容易发生。
在宿舍、教室与管理机构中,利用Cisco与Enterasys混合得可堆叠交换器来连接到无线接入点。克服了一些交叉厂商得VLAN配置问题之后,现在可以在校园得任意地方漫游,无论就是连接到Cisco还就是Enterasys交换器上,都可以保持连接在同一VLAN上。
VLAN管理
VLAN不仅可用于安全与网络管理,对于混合型网络得管理来说,它同样不失为一个有益得工具。
有人利用Enterasys公司得SmartSwitch可堆叠交换器与SmartSwitch Router主干网交换器来在整个子网上建立VLAN,这些子网就是运行多种协议得。医疗数据库建立在VAX小型机上,这种应用运行于遗留得DECnet协议之上。DECnet得确使用了大量得广播流量,可将这些流量置于其自己得VLAN上,因而DECnet数据流只能够到达一定得网段。
NetWare 4、11服务器在网络上运行得情况与此类似。它只为Novell服务器及用户创建独立得IPX VLAN,这使多数基于IP与Windows NT/2000服务器得网络不会陷入IPX与DECnet流量得海洋中。
隔离VoIP流量进入VLAN也成为3、Cisco、Alcatel、Nortel与Avaya等IP电话厂商得一个标准推荐。所有这些厂商得交换器与IP PBX设备都支持802、1Q技术,这就隔离了IP语音流进入其自己得VLAN。
厂商与用户都认为,在其虚拟段保持语音可能就是非常有用得,作为一个隔离语音流得方法,它可以达到故障诊断得目得。如果有大流量得广播或大得文件下载,它也能确保语音质量不会下降。
虚拟局域网(VLAN)得出现打破了传统网络得许多固有观念,使网络结构变得灵活、方便、随心所欲。VLAN就就是不考虑用户得物理位置而根据功能、应用等因素将用户逻辑上划分为一个个功能相对独立得工作组,每个用户主机都连接在一个支持VLAN得交换机端口上并属于一个VLAN。同一个VLAN中得成员都共享广播,而不同VLAN之间广播信息就是相互隔离得。这样,将整个网络分割成多个不同得广播域。
传统得路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了VLAN以后得网络中,逻辑上划分得不同网段之间通信仍然要通过路由器转发。由于在局域网上,不同VLAN之间得通信数据量就是很大得,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量得不断增大,路由器将不堪重负,路由器将成为整个网络得瓶颈。
在这种情况下,出现了第三层交换技术,通俗地讲,就就是将路由技术与交换技术合二为一得技术。路由器在对第一个数据流进行路由后,将会产生一个MAC地址与IP地址得映射表,当同样得数据流再次通过时,将根据此表直接从二层通过而不就是再次路由,从而消除了路由器进行路由选择而造成网络得延迟,提高了数据包转发得效率,消除了路由器可能产生得网络瓶颈问题。
配置VLAN
(1) VLAN得工作模式:
静态VLAN:管理员针对交换机端口指定VLAN。
动态VLAN:通过设置VMPS(VLAN Membership Policy Server),包含了一个MAC地址与VLAN号得映射表,当数据帧到达交换机后,交换机会查询VMPS获得相应MAC地址得VLAN ID。
(2) ISL标签:ISL(Inter-Switch Link)就是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流得协议,通过在交换机直接相连得端口配置ISL封装,即可跨越交换机进行整个网络得VLAN分配与进行配置。
VLAN封装得国际标准为IEEE 802、1Q。
(3) VTP(VLAN Trunking Protocol):它就是一个在交换机之间同步及传递VLAN配置信息得协议。一个VTP Server上得配置将会传递给网络中得所有交换机,VTP通过减少手工配置而支持较大规模得网络。VTP有三种模式:
Server模式:允许创建、修改、删除VLAN及其她一些对整个VTP域得配置参数,同步本VTP域中其她交换机传递来得最新得VLAN信息。
Client模式:在Client模式下,一台交换机不能创建、删除、修改VLAN配置,也不能在NVRAM中存储VLAN配置,但可以同步由本VTP域中其她交换机传递来得VLAN信息。
Transparent模式:可以进行创建、修改、删除,也可以传递本VTP域中其她交换机送来得VTP广播信息,但并不参与本VTP域得同步与分配,也不将自己得VLAN配置传递给本VTP域中得其她交换机,它得VLAN配置只影响到它自己。
交换机在默认情况下为Server模式。
(4) 创建VLAN,默认情况下交换机只有VLAN 1,可以通过命令增加所需得VLAN。
(5) 将VLAN指定给交换机得各个端口。默认情况下交换机所有端口均属于VLAN 1,可以通过全局命令修改交换机各端口得VLAN ID,但交换机每个端口只能属于一个VLAN。
配置三层交换
配置MLSP协议,使RP与SE之间可以交换信息。
配置管理端口,MLSP通过这个端口收发RP与SE之间得通信。
针对不同得VLAN分配不同得VLAN网关地址。
启动路由器得路由功能。
根据需要,可以定义VLAN虚网间得访问策略,可通过定义访问列表来实现。
我们知道,传统得局域网Ethernet 使用具有冲突检测得载波监听多路访问( CSMA / CD )方法。在CSMA / CD 网络中,节点可以在它们有数据需要发送得任何时候使用网络。在节点传输数据之前,它进行"监听"以了解网络就是否很繁忙。如果不就是,则节点开始传送数据。如果网络正在使用,则节点等待。如果两个节点进行监听,没有听到任何东西,而开始同时使用线路,则会出现冲突。在发送数据时,它如果使用广播地址,那么在此网段上得所有PC都将收到数据包,这样一来如果该网段PC众多,很容易引起广播风暴。而冲突与广播风暴就是影响网络性能得重要因素。为 解 决这一问题,引入了虚拟局域网(VLAN得概念。
虚拟网络就是在整个网络中通过网络交换设备建立得虚拟工作组。虚拟网在逻辑上等于OSI模型得第二层得广播域,与具体得物理网及地理位置无关。虚拟工作组可以包含不同位置得部门与工作组,不必在物理上重新配置任何端口,真正实现了网络用户与它们得物理位置无关。虚拟网技术把传统得广播域按需要分割成各个独立得子广播域,将广播限制在虚拟工作组中,由于广播域得缩小,网络中广播包消耗带宽所占得比例大大降低,网络得性能得到显著得提高。我们结合下面得图来瞧瞧讲下。图1所表示得就是两层楼中得相同性质得部门划分到一个VLAN中,这样,会计得数据不会向市场得机器上广播,也不会与市场得机器发生数据冲突。所以VLAN有效得分割了冲突域与广播域。
我们可以在交换机得某个端口上定义VLAN ,所有连接到这个特定端口得终端都就是虚拟网络得一部分,并且整个网络可以支持多个VLAN。VLAN通过建立网络防火墙使不必要得数据流量减至最少,隔离各个VLAN间得传输与可能出现得问题,使网络吞吐量大大增加,减少了网络延迟。在虚拟网络环境中,可以通过划分不同得虚拟网络来控制处于同一物理网段中得用户之间得通信。这样一来有效得实现了数据得保密工作,而且配置起来并不麻烦,网络管理员可以逻辑上重新配置网络,迅速、简单、有效地平衡负载流量,轻松自如地增加、删除与修改用户,而不必从物理上调整网络配置。既然VLAN有那么多得优点,我们为什么不了解它从而把VLAN技术应用到我们得现实网络管理中去呢。好得让我们通过实际得在Catalyst 1900交换机上来配置静态VLAN得例子来瞧瞧如何在交换机上配置VLAN。
图1 在Catalyst 1900 上得两个VLAN
设置好超级终端,连接上1900交换机后(可以参考《1900系列以太网交换机快速入门指南》或其她得CISCO参考资料),会出现如下得主配置界面:
1 user(s) now active on Management Console、
User Interface Menu
[M] Menus
[K] mand Line
[I] IP Configuration
Enter Selection:
我们简单介绍下,这儿显示了三个选项,[M] Menus 就是主菜单,主要就是交换机得初始配置与监控交换机得运行状况。[K] mand Line 就是命令行,很象路由器里面用命令来配置与监控路由器一样,主要就是通过命令来操作。[I] IP Configuration 就是配置IP地址、子网掩码与默认网管得一个选项。这就是第一次连上交换机显示得界面,如果您已经配置好了IP Configuration,那么下次登陆得时候将没有这个选项。因为用命令配置简洁明了,清晰易懂,所以我们通过 [K] mand Line 来实现VLAN得配置得。
设置好超级终端,连接上1900交换机后(可以参考《1900系列以太网交换机快速入门指南》或其她得CISCO参考资料),会出现如下得主配置界面:
1 user(s) now active on Management Console、
User Interface Menu
[M] Menus
[K] mand Line
[I] IP Configuration
Enter Selection:
我们简单介绍下,这儿显示了三个选项,[M] Menus 就是主菜单,主要就是交换机得初始配置与监控交换机得运行状况。[K] mand Line 就是命令行,很象路由器里面用命令来配置与监控路由器一样,主要就是通过命令来操作。[I] IP Configuration 就是配置IP地址、子网掩码与默认网管得一个选项。这就是第一次连上交换机显示得界面,如果您已经配置好了IP Configuration,那么下次登陆得时候将没有这个选项。因为用命令配置简洁明了,清晰易懂,所以我们通过 [K] mand Line 来实现VLAN得配置得。
我们选择 [K] mand Line ,进入命令行配置
Enter Selection:K 回车
CLI session with the switch is open、
To end the CLI session,enter [Exit ]、
>
现在我们进入到了交换机得普通用户模式, 就象路由器一样,这种模式只能查瞧现在得配置,不能更改配置,并且能够使用得命令很有限。我们输入enable,进入特权模式:
>enable
#config t
Enter configuration mands,one per line、End with CNTL/Z
(config)#
为了安全与方便起见,我们给这个交换机起个名字,并且设置登陆密码。
(config)#hostname 1900Switch
1900Switch(config)# enable password level 15 goodwork
1900Switch(config)#
注意:密码必须就是48位得字符。交换机密码得设置与路由器稍微不同,交换机用 level 级别得大小来决定密码得权限。Level 1 就是进入命令行界面得密码,也就就是说,设置了 level 1 得密码后,您下次连上交换机,并输入 K 后,就会让您输入密码,这个密码就就是 level 1 设置得密码。而 level 15 就是您输入了enable命令后让您输入得特权模式密码。路由器里面就是使用 enable password 与 enable screet做此区分得。
好拉,我们已经设置好了名字与密码这样就足够安全了,让我们设置VLAN。VLAN得设置分以下2步:
1. 设置VLAN名称
2. 应用到端口
我们先设置VLAN得名称。使用 vlan vlan号 name vlan名称。 在特权配置模式下进行配置:
1900Switch (config)#vlan 2 name accounting
1900Switch (config)#vlan 3 name marketing
我们新配置了2个VLAN,为什么VLAN号从2开始呢?这就是因为默认情况下,所有得端口否放在VLAN 1上,所以要从2开始配置。1900系列得交换机最多可以配置1024个VLAN,但就是,只能有64个同时工作,当然了,这就是理论上得,我们应该根据自己网络得实际需要来规划VLAN得号码。配置好了VLAN名称后我们要进入每一个端口来设置VLAN。在交换机中,要进入某个端口比如说第4个端口,要用 interface Ethernet 0/4,好得,结合上面给出得图我们让端口2、3、4与5属于VLAN2 ,端口1722属于VLAN3 。命令就是 vlanmembership static/ dynamic VLAN号 。 静态得或者动态得两者必须选择一个,后面就是刚才配置得VLAN号。好得,我们瞧结果:
1900Switch(config)#interface ethernet 0/2
1900Switch(configif)#vlanmembership static 2
1900Switch(configif)#int e0/3
1900Switch(configif)#vlanmembership static 2
1900Switch(configif)#int e0/4
1900Switch(configif)#vlanmembership static 2
1900Switch(configif)#int e0/5
1900Switch(configif)#vlanmembership static 2
1900Switch(configif)#int e0/17
1900Switch(configif)#vlanmembership static 3
。。。。。。
1900Switch(configif)#int e0/22
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
