经验 27 分贝 0 家园分 9 在线时间: 5 小时 最后登录: 2012-12-11 帖子: 9 精华: 0 注册时间: 2011-10-18 UID: 726018
注册:2011-10-18
发表于 2011-10-28 13:07:32
| 显示全部楼层
题 目 基于VLAN的企业内部网络的规划和设计
摘 要
在全球信息电子化、网络化快速生长的大环境下,无论是从大趋势上看,照旧从本身商业利益角度思索,树立企业内部维护信息系统是企业当务之急的职务。企业内部对于灵活、动态地组建LAN网段的要求也越来越多,客观上要求LAN本身的结构可以实现动态组建、调整和管理。
在企业中,一般会有多个部门,像财务部、技术部、工程部等等。像财务部这种重要的部门有些资料是不允许被其他员工知道的。怎样能清楚的区分不同的部门,以便于管理呢?使用VLAN技术!在网络中进行合理VLAN划分,可通过解决端口隔离充分防止冲突的产生,并且可以简化企业网络的管理及提高网络的安全性。
关键词:VLAN技术 广播域 逻辑划分 安全
目录
摘 要 I
第一章 绪论 1
1.1 企业内部局域网可行性划分 1
1.2 企业对信息的需求 1
1.3 工程给企业带来的效益 1
1.4 企业对网络需求状况 2
1.5 组建企业网注意事项 2
1.6 选定方案准绳 2
第二章 VLAN的技术概况 5
2.1 三层交换技术概述 5
2.2 VLAN的概述 6
2.3 VLAN的优点 7
2.3.1 提高网络的性能 7
2.3.2 组建虚拟组织 7
2.3.3 简化网络管理 7
2.3.4 提高网络安全 8
2.3.5 降低成本 8
2.4 PVLAN原理和配置 8
2.5 QINQ原理和配置 8
2.6 SUPERVLAN原理和配置 9
第三章 VLAN的划分方式 11
3.1 基于端口划分的VLAN 11
3.2 基于MAC地址划分的VLAN 11
3.3 基网络层协议划分的VLAN 12
3.4 基于网络层子网划分的VLAN 12
3.5 基于网络层组播划分的VLAN 12
3.6 基于网络以上协议乃至应用程序的类型划分的VLAN 13
第四章 VLAN之间的通信 15
4.1 背景 15
4.2 通过路由器实现VLAN之间的通信 15
4.2.1 通过路由器的不同物理接口与交换机上每个VLAN分别连接 15
4.2.2 通过路由器的逻辑子接口与交换机各个VLAN连接 16
4.3 用交换机代替路由器实现VLAN间的通信 16
第五章 企业网VLAN的规划与设计 17
5.1 VLAN的实现过程 17
5.2 IP地址分配与VLAN地址的规划 18
5.3 企业网VLAN规划意义 18
5.4 企业网VLAN规划与设计案例 18
第六章 VLAN的新用途 23
6.1 背景 23
6.2 新用途 23
第七章 总结与展望 25
致 谢 27
参考文献 29
第一章 绪论
1.1 企业内部局域网可行性划分
在全球信息电子化、网络化快速生长的大环境下,无论是从大趋势上看,照旧从本身商业利益角度思索,树立企业内部维护信息系统是企业当务之急的职务。
1.2 企业对信息的需求
面对着剧烈的市场竞争,企业对信息的搜集、传输、加工、存贮、查询以及预测决策等任务量越来越大,原来的计算机只是停留在单机任务的方式,各科室间的数据无法完成共享,致使任务效率降低,地道手工维护方式和手腕已无法顺应需求,这将严重障碍企业的生活和生长。社会提高要求企业必需改动现有的落后维护体制、维护办法和手腕,树立当今企业的新抽象,树立本企业的自动化维护信息系统(即企业局域网),以提高维护水平,添加经济和社会效益。
综合维护信息系统是为完成企业信息维护和办公自动化而树立的,它能为整个企业提供高效疏通的信息高速公路和公共服务支撑环境,构成一个以牢靠、迅捷、可提供多种功用的计算机网络为基本的信息维护系统,既能为各级部门提供了先进的信息服务和生产环境,同时又提高了各部门的办公自动化和综合维护水平。
如果整个网络只有一个广播域,那么一旦发出广播信息,就会传遍整个网络,并且对网络中的主机带来额外的负担。因此,在设计LAN时,需要注意如何才能有效地分割广播域。改动传统的维护思绪和维护方式,提高维护人员和任务人员的素质;使任务人员从冗杂的手工休息中解放出来;因而,树立一个牢靠、适用、易于维护、具有综合先进水平的企业局域网是必要的,基于VLAN的企业内部网的规划和设计是非常实用的一种。
1.3 工程给企业带来的效益
从企业维护和业务生长的角度动身,议决网络对网络资源的共用来改良企业内部和企业与客户之间的信息交流方式,满足业务部门对信息存储、检索、处理和共享需求,使企业能快速掌握瞬息万变的市场行情,使企业信息更有效地发扬效能;提高办公自动化水平,提高任务效率,降低维护本钱,提高企业在市场上的竞争力;议决对每项业务的跟踪,企业维护者可以明白业务起色状况,掌握第一手资料,及时掌握市场动态,为企业提供投资导向信息,为干部决策提供数据支撑;议决企业内部网树立,企业各业务部门可以有更简约的交流沟通,维护者可随时明白每一位员工的状况,并加强对企业人力资源合理调度,真实做到系统的集成化设计,使原有的装备、投资得到有效使用。
1.4 企业对网络需求状况
企业现有技术曾经完全具有了树立网络的条件,从久远生长看,树立计算机网络也是当务之急,由于信息交流速度已制约了企业的生长,无论是企业获取客户的反应信息,照旧企业之间的各种数据的传送,呈现疑问的处理。
1.5 组建企业网注意事项
企业的网络主要注意两个问题,一是对网络能够有效的管理,避免单个电脑对网络资源占用过大或者无法获得网络资源,另一方面是要提升网络的利用率,避免出现广播风暴等波及所有用户的网络故障。对于这两个方面,也各自有与之对应的解决方案,分别是基于IP管理和对于网络用户进行分组。基于IP管理需要使用三层交换机,能够专门设置某台电脑的权限,对于网络用户的分组则可以在二层交换机上划分出VLAN,将所有用户依照某种共同点进行分组,然后设定整个群组的上网权限。
1.6 选定方案准绳
在谋划网络拓扑结构时,应依据企业规模的大小、散布、对多媒体的需求等实践状况加以确定。普通可按以下准绳来确立:
(1) 费用低
普通地在挑选网络拓扑结构的同时便大致确立了所要选取的传输介质、自用装备、装置方式等。比如挑选总线网络拓扑结构时普通选用同轴电缆作为传输介质,挑选星形拓扑结构时须要选用集线器产品,因而每一种网络拓扑结构对应的所需初期投资、现在的装置维护费用都是不等的,在满足其它要求的同时,应尽量挑选投资费用较低的网络拓扑结构。
(2) 良好的灵敏性和可扩大性
在挑选网络拓扑结构时应思索企业未来的生长,并且网络中的装备不是一成不变的,对一些装备的更新换代或装备位置的变化,所选取的网络拓扑结构应该可以简约容易地举行配置以满足新的要求。
(3) 固定性高
固定性关于一个网络拓扑结构是至关主要的。在网络中会经常发作节点毛病或传输介质毛病,一个固定性高的网络拓扑结构应具有良好的毛病诊断和毛病隔离才干,以使这些毛病对整个网络的影响减至最小。
(4) 因地制宜
挑选网络拓扑结构应依据网络中各节点的散布状况,因地制宜地挑选不一样的网络拓扑结构。比如关于节点比拟集中的场所多选用星形拓扑结构,而节点比拟分散时则可以选用总线型拓扑结构。另外,若单一的网络拓扑结构无法满足要求,则可挑选混合的拓扑结构。比如,假定一个网络中节点首要散布在两个不一样的地点,则可以在该两个节点密集的场所选用星型拓扑结构,然后运用总线拓扑结构将这两个地点衔接起来。
第二章 VLAN的技术概况
2.1 三层交换技术概述
要回答这个问题还是先看看以太网的工作原理。以太网的工作原理是利用二进制位形成的一个个字节组合成一帧帧的数据(其实是一些电脉冲)在导线中进行传播。首先,以太网网段上需要进行数据传送的节点对导线进行监听,这个过程称为CSMA/CD(Carrier Sense Multiple Access with Collision Detection带有冲突监测的载波侦听多址访问)的载波侦听。如果,这时有另外的节点正在传送数据,监听节点将不得不等待,直到传送节点的传送任务结束。
如果某时恰好有两个工作站同时准备传送数据,以太网网段将发出“冲突”信号。这时,节点上所有的工作站都将检测到冲突信号,因为这时导线上的电压超出了标准电压。这时以太网网段上的任何节点都要等冲突结束后才能够传送数据。也就是说在CSMA/CD方式下,在一个时间段,只有一个节点能够在导线上传送数据。而转发以太网数据帧的联网设备是集线器,它是一层设备,传输效率比较低。
冲突的产生降低了以太网的带宽,而且这种情况又是不可避免的。所以,当导线上的节点越来越多后,冲突的数量将会增加。显而易见的解决方法是限制以太网导线上的节点,需要对网络进行物理分段。将网络进行物理分段的网络设备用到了网桥与交换机。网桥和交换机的基本作用是只发送去往其他物理网段的信息。所以,如果所有的信息都只发往本地的物理网段,那么网桥和交换机上就没有信息通过。这样可以有效减少网络上的冲突。网桥和交换机是基于目标MAC(介质访问控制)地址做出转发决定的,它们是二层设备。
现在已经知道了以太网的缺点及物理网段中冲突的影响,现在,大家来看看另外一种导致网络降低运行速度的原因:广播。广播存在于所有的网络上,如果不对它们进行适当的控制,它们便会充斥于整个网络,产生大量的网络通信。广播不仅消耗了带宽,而且也降低了用户工作站的处理效率。由于各种各样的原因,网络操作系统(NOS)使用了广播,TCP/IP使用广播从IP地址中解析MAC地址,还使用广播通过RIP和IGRP协议进行宣告,所以,广播也是不可避免的。
网桥和交换机将对所有的广播信息进行转发,而路由器不会。所以,为了对广播进行控制,就必须使用路由器。路由器是基于第3层报头、目标IP寻址、目标IPX寻址或目标Appletalk寻址做出转发决定。路由器是3层设备。
在这里,大家就容易理解三层交换技术了,就是将路由与交换合二为一的技术。路由器在对第一个数据流进行路由后,将会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此映射表直接从二层进行交换而不是再次路由,提供线速性能,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率。采用此技术的交换机大家常称为三层交换机。 如图2-1所示即为三层交换机原理图:
图2-1 三层交换机原理图
2.2 VLAN的概述
VLAN(Virtual Local Area Network)又称虚拟局域网,一方面,VLAN建立在局域网交换机的基础之上, 采用网络管理App构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中,在功能和操作上与传统LAN基本相同,可以提供一定范围内终端系统的互联。
另一方面,VLAN是局域交换网的灵魂。这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络,而无需改变任何硬件和通信线路。这样,网络管理员就能从逻辑上对用户和网络资源进行分配,而无需考虑物理连接方式。VLAN充分体现了现代网络技术的重要特征:高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。如图2-2为VLAN的结构图:
图2-2 VLAN的结构图
2.3 VLAN的优点
应用VLAN技术可以获得的益处是巨大的,主要有以下几个方面:提高网络性能、组建虚拟组织、简化网络管理、提高网络安全、减少设备投资......
2.3.1 提高网络的性能
应用VLAN技术可以提高网络性能:
其一,VLAN技术允许网络管理员将交换机上的端口作逻辑分组,使得从某个VLAN中产生的字节流只能在从属于该VLAN的交换机端口之间流动。在一个有大量广播和多播报文的网络中,应用VLAN技术可以把这些报文限制在各个VLAN里,从而可以减少整个网络中不必要的信息流量,提高网络性能。
其二,相比较网桥和交换机而言,路由器在处理接收到的数据时要慢一些。使用了VLAN技术后,人们可以用交换机来代替路由器隔离广播域。由于减少了路由器的使用量,网络性能也相应地得到了提高。
2.3.2 组建虚拟组织
如前所述,VLAN技术是随着人们生产活动中越来越多的跨部门跨职能开发团队的出现而提出的。组建虚拟组织、特别是虚拟工作组,是提出VLAN技术的初衷和目标之一。在实际应用时,对于同一个工作组内的成员,在该工作组存在的短时期内,可以把他们的计算机工作站划分在一个VLAN里以便于其进行通信。这样,每个组内成员的计算机工作站既无需搬移到一起、也无需改变各自的设置,只需在网络管理员那里作一些改变就可以了。
2.3.3 简化网络管理
根据相关专家的分析计算,传统的LAN中约有70%的网络花销是因为添加、删除、移动、更改网络用户而导致的。每当有一个用户加入局域网,就会引发一系列的端口分配、地址分配、网络设备重新配置等网络管理任务。在使用VLAN技术后,这些任务都可得以简化。举例来说,当某台计算机工作站从一个空间位置移动到另一个空间位置时,不需要为其重新手工配置网络属性,网络自身就能够动态地完成这项任务。这种动态管理网络的方式给网络管理者和使用者都带来了极大的便利。
2.3.4 提高网络安全
在传统的局域网中,不时的会有些敏感数据被有意或无意地广播到网络上,从而有可能造成信息泄密。在这种情况下,确定谁可以访问到这些数据就显得很重要。使用VLAN技术可以将敏感数据的传播限制在安全范围内,只允许已定义的VLAN成员访问相关数据。VLAN还可被用来设立防火墙、限制数据访问以及将网络入侵事件通知给网络管理员等,这些都可以提高网络的安全系数。
2.3.5 降低成本
VLAN技术可被用来创建逻辑的广播域,因而可以减少用于购买昂贵的路由器等广播域隔离设备的投资。
2.4 PVLAN原理和配置
为了提高网络的安全性,要将用户之间的报文隔离开,传统的解决办法是给每个用户分配一个VLAN。这种方法具有明显的局限性,主要表现在以下几个方面:
(1) 目前IEEE 802.1Q标准中所支撑的VLAN数目最多为4094个,用户数量受到限制,且不利于网络的扩展。
(2) 每个VLAN对应一个IP子网,划分大量的子网会造成IP地址的浪费。
(3) 大量VLAN和IP子网的规划和管理使网络管理变得非常复杂。
PVLAN(Private VLAN)技术的出现解决了这些问题。
PVLAN将VLAN中的端口分为两类:与用户相连的端口为隔离端口(Isolate
Port),上行与路由器相连的端口为混合端口(Promiscuous Port)。隔离端口只能与混合端口通信,相互之间不能通信。这样就将同一个VLAN下的端口隔离开来,用户只能与自己的默认网关通信,网络的安全性得到保障。
2.5 QinQ原理和配置
QinQ是对基于IEEE 802.1Q封装的隧道协议的形象称呼,又称VLAN堆叠。QinQ技术是在原有VLAN标签(内层标签)之外再增加一个VLAN标签(外层标签),外层标签可以将内层标签屏蔽起来。
QinQ不需要协议的支撑,通过它可以实现简单的L2VPN(二层虚拟专用网),特别适合以三层交换机为骨干的小型局域网。
QinQ技术的典型组网,连接用户网络的端口称为Customer端口,连接服务提供商网络的端口称为Uplink端口,服务提供商网络边缘接入设备称为PE
用户网络一般通过Trunk VLAN方式接入PE,服务提供商网络内部的Uplink端口通过Trunk VLAN方式对称连接。
当报文从用户网络1到达交换机A的customer端口时,无论报文是tagged还是untagged的,交换机A都强行插入外层标签(VLAN ID为10)。在服务提供商网络内部,报文沿着VLAN 10的端口传播,直至到达交换机B。交换机B发现与用户网络2相连的端口为customer端口,于是按照传统的802.1Q协议剥离外层标签,恢复成用户的原始报文,发送到用户网络2。
这样,用户网络1和2之间的数据可以通过服务提供商网络进行透明传输,用户网络可以自由规划自己的私网VLAN ID,而不会导致和服务提供商网络中的VLAN ID冲突。
如图2-3即为802.1Q与QinQ封装结构的比较:
图2-3 802.1Q与QinQ封装结构的比较
2.6 SuperVLAN原理和配置
传统的ISP网络给每个用户被分配一个IP子网,每分配一个子网,就有三个IP地址被占用,分别作为子网的网络号、广播地址和缺省网关。如果一些用户的子网中有大量未分配的IP地址,也无法给其他用户使用。因此这种方法会造成IP地址的浪费。
SuperVLAN有效的解决了这个问题,它把多个VLAN(称为子VLAN)聚合成一个SuperVLAN,这些子VLAN使用同一个IP子网和缺省网关。
利用SuperVLAN技术,ISP只需为SuperVLAN分配一个IP子网,并为每个用户建立一个子VLAN,所有子VLAN可以灵活分配SuperVLAN子网中的IP地址,使用SuperVLAN的缺省网关。每个子VLAN都是一个独立的广播域,保证不同用户之间的隔离,子VLAN之间的通信通过SuperVLAN进行路由。
第三章 VLAN的划分方式
3.1 基于端口划分的VLAN
以网络设备的哪个端口属于哪个VLAN的标准来划分VLAN。例如,在一个有8个端口的网桥中,端口1、2、4、7属于VLAN1,而端口3、5、6、8属于VLAN2。则与这些端口相连的设备、这些设备收发的数据帧相应地也分别属于VLAN1、VLAN2。究竟如何配置,由管理员决定。
如果有多个网络设备,例如有多个交换机,可以指定交换机1的1~6端口和交换机2的1~4端口为同一VLAN,即同一VLAN可以跨越数个交换机,根据端口划分是目前定义VLAN的最常用的方法,IEEE 802.1Q协议标准草案中对如何根据交换机的端口来划分VLAN给出了明确的规定。
这种划分方法的优点和缺点都很明显:优点是定义VLAN成员时非常简单,只要将所有的端口都指定一下就可以了;缺点是不允许用户随便移动。如果属于某个VLAN的用户离开了原来的端口,到了一个新的网络设备的某个端口,那么网络管理者就必须重新定义VLAN。如图3-1基于端口划分VLAN:
图3-1 基于端口划分VLAN
3.2 基于MAC地址划分的VLAN
以计算机工作站网卡的MAC地址来划分VLAN。这种划分方法的最大优点就是由于一个MAC地址唯一对应一块计算机网卡,故此当某个计算机工作站物理位置改变时、即从一台交换机转移到另一台交换机时,不需要重新配置VLAN;而缺点是所有的VLAN成员必须事先定义,这在有数以百计乃至千计用户的网络中,这并不是一件轻松的事。而且这种划分方法也导致了交换机实行效率的降低,因为交换机的每一个端口都可能连接许多不同VLAN组的成员,这样就无法限制广播报文了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,VLAN就必须不停的配置。如图3-2基于MAC地址划分VLAN:
图3-2 基于MAC地址划分VLAN
3.3 基网络层协议划分的VLAN
如果网络支撑多网络层协议,那么根据数据帧头中的网络层协议类型字段也可以划分VLAN。这对网络管理员来说很重要,同时,这种方法不需要附加的帧标签来识别VLAN,可以减少网络的通信量。
3.4 基于网络层子网划分的VLAN
根据数据报文头中的网络层子网地址也可以划分VLAN。虽然这种划分方法根据的是第3层信息即网络地址(比如IP地址),但它与网络层的路由功能一点关系也没有。它只是查看每个数据报文的网络层地址,并根据过滤数据库中事先定义好的信息决定其归属于哪个VLAN,然后再根据生成树算法进行桥交换,并不牵涉任何路由操作。这种方法的优点是当某个计算机工作站物理位置改变时,即从一台交换机转移到其它的交换机,不需要重新配置VLAN。其缺点是效率低,因为相对于第1、2层VLAN的实现技术,检查每一个数据报文的网络层地址是很费时间的。一般的交换机芯片都优点是具有更大的灵活性,而且也很容易通过路由器进行扩展。缺点是不适合LAN,主要是效率不高。
3.5 基于网络层组播划分的VLAN
网络层组播实际上是一种VLAN。即认为一个组播组就是一个VLAN,这种划分方法实际将VLAN扩大到了WAN。该方法的应用程序的类型乃至两者的综合来划分VLAN也是有可能的。例如,规定所有的FTP应用在一个VLAN里运行而所有的Telnet应用在另一个VLAN里运行。这些方法的缺点在于它们都很费时,都要求更高的处理技术和更快的处理速度,目前的实现尚无法令人们满意。
802.1Q草案标准仅仅定义了基于端口和MAC地址来划分VLAN的标准方案,虽然它也允许基于协议类型的VLAN以及3层以上VLAN,但并没有给出相应的标准。
3.6 基于网络以上协议乃至应用程序的类型划分的VLAN
根据网络层以上协议的类型、可以自动检查数据帧的帧头,但检查数据报文的报文头,则需要更高的技术(设备设计制造成本也会相应增加),同时也更费时。当然,这跟各个厂商的实现方法有关。
第四章 VLAN之间的通信
4.1 背景
随着交换机应用的普及,VLAN技术的应用也越来越广泛。众所周知,VLAN技术的主要作用是可将分布于不同地理位置的计算机按工作需要组合成一个逻辑网络,同时VLAN的划分可缩小广播域,以提高网络传输速度,由于处于不同VLAN的计算机之间不能直接通信,从而使网络的安全性能得到了很大提高。
但事实上在很多网络中要求处于不同VLAN中的计算机间能够相互通信,如何解决VLAN间的通信问题是大家在规划VLAN时必须认真考虑的问题。在企业网络发展的初期,网络中只有10%~20%的信息在VLAN之间传播,但随着多媒体技术在企业网络中应用的迅速普及,VLAN之间信息的传输量增加了许多倍,如果VLAN之间的通信问题解决得不好,将严重影响网络的使用和安全。
在LAN内的通信,是通过数据帧头中指定通信目标的MAC地址来完成的。而为了获取MAC地址,TCP/IP协议下使用ARP地址协议解析MAC地址的方法是通过广播报文来实现的,如果广播报文无法到达目的地,那么就无从解析MAC地址,亦即无法直接通信。
当计算机分属不同的VLAN时,就意味着分属不同的广播域,自然收不到彼此的广播报文。因此,属于不同VLAN的计算机之间无法直接互相通信。为了能够在VLAN间通信,需要利用OSI参照模型中更高一层——网络层的信息(IP地址)来进行路由。在目前的网络互连设备中能完成路由功能的设备主要有路由器和三层以上的交换机。
4.2 通过路由器实现VLAN之间的通信
使用路由器实现VLAN间通信时,路由器与交换机的连接方式有两种。第一种通过路由器的不同物理接口与交换机上的每个VLAN分别连接。第二种通过路由器的逻辑子接口与交换机的各个VLAN连接。
4.2.1 通过路由器的不同物理接口与交换机上每个VLAN分别连接
这种方式的优点是管理简单,缺点是网络扩展难度大。每增加一个新的VLAN,都需要消耗路由器的端口和交换机上的访问链接,而且还需要重新布设一条网线。而路由器,通常不会带有太多LAN接口的。新建VLAN时,为了对应增加的VLAN所需的端口,就必须将路由器升级成带有多个LAN接口的高端产品,这部分成本、还有重新布线所带来的开销,都使得这种接线法成为一种不受欢迎的办法。
4.2.2 通过路由器的逻辑子接口与交换机各个VLAN连接
这种连接方式要求路由器和交换机的端口都支撑汇聚链接,且双方用于汇聚链路的协议自然也必须相同。接着在路由器上定义对应各个VLAN的逻辑子接口E1.1和E1.2。由于这种方式是靠在一个物理端口上设置多个逻辑子接口的方式实现网络扩展,因此网络扩展比较容易且成本较低,只是对路由器的配置要复杂一些。
4.3 用交换机代替路由器实现VLAN间的通信
目前市场上有许多三层以上的交换机,在这些交换机中,厂家通过硬件或App的方式将路由功能集成到交换机中,交换机主要用于园区网中,园区网中的路由比较简单,但要求数据交换的速度较快,因此在大型园区网中用交换机代替路由器已是不争的事实。用交换机代替路由器实现VLAN间通信的方式也有两种,其一,就是启用交换机的路由功能,这种方式的实现方法可采用以上先容的路由器方式的任一种。其二,是利用某些高端交换机所支撑的专用VLAN功能来实现VLAN间的通信。
第五章 企业网VLAN的规划与设计
5.1 VLAN的实现过程
当一个网桥或交换机接收到来自于某个计算机工作站的数据帧,它将给这个数据帧加上一个标签以标识这个数据帧来自于哪个VLAN。加标签的原则有多种:可以基于数据帧来自于网桥的哪个端口、可以基于数据帧的数据链路层协议源地址、可以基于数据帧的网络层协议源地址、也可以基于数据帧的其它字段或多个字段的综合。为了能够使用任意一种方法给数据帧加标签,网桥必须有一个不断升级更新的数据库。这个数据库叫做过滤数据库,包含了本网络中全部VLAN之间的映射以及它们使用哪个字段作为标签。
例如,如果通过基于端口的方式来加标签,该数据库应该指示哪个端口属于哪个VLAN。网桥必须能够维护这样的一个数据库并且应保证所有在这个LAN中的网桥在它们的过滤数据库中有同样的信息。
基于IEEE 802.1Q协议时,4个字节的VLAN标签加到传统的以太网帧的目的MAC地址字段和协议类型字段(在符合IEEE 802.3协议的帧中是长度字段)之间。其中包含有一个12比特大小的VLAN ID号以区别各个VLAN,如图4-1所示:
图5-1 基于802.1Q协议的VLAN帧格式封装类型
由于802.1Q协议的标签头的4个字节是新增加的,故目前使用的计算机并不支撑802.1Q,即计算机发送出去的数据包的以太网帧头还不包含这4个字节,同时也无法识别这4个字节。对于交换机来说,如果它所连接的以太网段的所有主机都能识别和发送这种带802.1Q标签头的数据包,该端口称为Tag Aware端口,需要给数据帧加标签。
反之,如果该交换机端口所连接的以太网段里只要有一台主机不支撑这种带802.1Q标签头的数据包,该端口称为Access端口,则不能给数据帧加标签。对于每一个到来的VLAN帧,网桥或交换机将根据查找过滤数据库的结果决定该帧归属于哪一个VLAN将从哪个接口被转发出去。一旦网桥或交换机决定了某个数据帧的下一步去向,它就得决定是否需要给这个数据帧加标签。具体实现包括以下三个过程:
(1) 接收过程:负责接收数据包,数据包可以是带标签头的,也可以不带标签头。如果不带,交换机会根据该端口所属的VLAN添加上相应的标签头。
(2) 查找/路由过程:根据数据包的目的MAC地址、VLAN标识,查找过滤数据库中注册的信息,以决定把数据包发送到哪个端口。
(3) 发送过程:将数据包发送到以太网段上,如果该网段的主机不能识别802.1Q标签头,则在出端口前将该标签头去掉;如果是发送到互连的其它交换机的端口,则标签头一般不去掉。
5.2 IP地址分配与VLAN地址的规划
随着网络规模的不断扩大,用户不断增加,网络应用也不断增长,网络变得越来越拥挤,冲突不断产生,管理难度日益加大。为了有效地提高网络管理的灵活性,提高网络效率和网络安全性,一个合理的VLAN规划给网络的管理更加有效。
网络中目前的电脑数目已经上千台了。如果把这个庞大的网络作为一个VLAN,那么网络性能和安全性就会的降低,而且能产生网络风暴使网络瘫痪。因此,应对这个庞大的网络进行VLAN的规划,把它划分为若干个虚拟子网,这样可以提高网络的网络性能和安全性,防止网络风暴。
网络主要是由中兴3228交换机组成。
如为了使某两个企业部门之间在网络中不能进行访问,确保部门与部门之间发生广播风暴,而把各个企业部门之间划分为单独的VLAN,从而提高各个企业部门之间的网络安全性。
5.3 企业网VLAN规划意义
随着企业网的建成,对于企业网的管理的要求也越来越高了。目前,由于数据广播在网络中起着非常重要的作用,随着企业网内的计算机数量的增加,VOD视频的大量应用,广播的数量在积聚增加,当广播的数量占到总量的30%时,网络的传输效率将会明显下降。特别是当某网络设备出现故障后,会不停地向网络发送广播,从而导致通信陷于瘫痪。
当企业网络内的计算机数超过200台后,就需要采取措施将网络分隔开来,将一个大的广播域划分成若干个小的广播域。目前,企业网的计算机已经有上千台,因此更应将这个大的广播域划分成若干个小的广播域,划分广播域的方式主要是将企业网划分为若干个虚拟子网,也就是VLAN。对企业网进行VLAN划分,可以强化网络管理和网络的安全,控制不必要的广播的数量。
5.4 企业网VLAN规划与设计案例
企业网络是由多台ZXR10 3228交换机组成的堆叠组。以财务部、市场部为例,企业财务部、市场部网络组成。
下面是企业财务部、市场部的组网图:
图5-2 企业财务部、市场部的组网图
如果有很多台电脑同时相互之间传送文件或下载东西,那样就会影响上网的速度,从而有可能产生广播风暴。因此,可以基于ZXR10 3228交换机每个端口划一个的VLAN来控制广播,有效地避免广播风暴的产生,并且网络管理更加有效。
整个网络在同一个网段IP地址192.168.0.0/16内:
交换机一的端口1的IP地址为192.168.1.2;
交换机一的端口2的IP地址为192.168.1.3;
交换机一的端口3的IP地址为192.168.2.2;
交换机一的端口4的IP地址为192.168.2.3;
交换机一的端口5作为Trunk口不配置IP地址;
交换机二的端口1的IP地址为192.168.1.4;
交换机二的端口2的IP地址为192.168.1.5;
交换机二的端口3的IP地址为192.168.2.4;
交换机二的端口4的IP地址为192.168.2.5;
交换机二的端口5作为Trunk口不配置IP地址。
市场部划入vlan10内;
财务部划入vlan20内。
在上作如下配置:
交换机一的配置:
ZXR10>enable
ZXR10#configure terminal
ZXR10(config)#enable secret ZTE
ZXR10(config)interface fei_1/1
ZXR10(config-if)#ip address 192.168.1.2 255.255.0.0
ZXR10(config-if)#exit
ZXR10(config)interface fei_1/2
ZXR10(config-if)#ip address 192.168.1.3 255.255.0.0
ZXR10(config-if)#exit
ZXR10(config)interface fei_1/3
ZXR10(config-if)#ip address 192.168.2.2 255.255.0.0
ZXR10(config-if)#exit
ZXR10(config)interface fei_1/4
ZXR10(config-if)#ip address 192.168.2.3 255.255.0.0
ZXR10(config-if)#exit
ZXR10(config)#vlan 10
ZXR10(config-vlan)#exit
ZXR10(config)#vlan 20
ZXR10(config-vlan)#exit
ZXR10(config)interface fei_1/1
ZXR10(config-if)#switchport access vlan 10
ZXR10(config-if)#exit
ZXR10(config)interface fei_1/2
ZXR10(config-if)#switchport access vlan 10
ZXR10(config-if)#exit
ZXR10(config)interface fei_1/3
ZXR10(config-if)#switchport access vlan 20
ZXR10(config-if)#exit
ZXR10(config)interface fei_1/4
ZXR10(config-if)#switchport access vlan 20
ZXR10(config-if)#exit
ZXR10(config)interface fei_1/5
ZXR10(config-if)#switchport mode vlan trunk
ZXR10(config-if)#switchport trunk vlan 10
ZXR10(config-if)#switchport trunk vlan 20
交换机二的配置:
ZXR10>enable
ZXR10#configure terminal
ZXR10(config)#enable secret ZTE
ZXR10(config)interface fei_1/1
ZXR10(config-if)#ip address 192.168.1.4 255.255.0.0
ZXR10(config-if)#exit
ZXR10(config)interface fei_1/2
ZXR10(config-if)#ip address 192.168.1.5 255.255.0.0
ZXR10(config-if)#exit
ZXR10(config)interface fei_1/3
ZXR10(config-if)#ip address 192.168.2.4 255.255.0.0
ZXR10(config-if)#exit
ZXR10(config)interface fei_1/4
ZXR10(config-if)#ip address 192.168.2.5 255.255.0.0
ZXR10(config-if)#exit
ZXR10(config)#vlan 10
ZXR10(config-vlan)#exit
ZXR10(config)#vlan 20
ZXR10(config-vlan)#exit
ZXR10(config)interface fei_1/1
ZXR10(config-if)#switchport access vlan 10
ZXR10(config-if)#exit
ZXR10(config)interface fei_1/2
ZXR10(config-if)#switchport access vlan 10
ZXR10(config-if)#exit
ZXR10(config)interface fei_1/3
ZXR10(config-if)#switchport access vlan 20
ZXR10(config-if)#exit
ZXR10(config)interface fei_1/4
ZXR10(config-if)#switchport access vlan 20
ZXR10(config-if)#exit
ZXR10(config)interface fei_1/5
ZXR10(config-if)#switchport mode vlan trunk
ZXR10(config-if)#switchport trunk vlan 10
ZXR10(config-if)#switchport trunk vlan 20
第六章 VLAN的新用途
6.1 背景
虽然VLAN并非最好的网络技术,但这种用于网络结点逻辑分段的方法正为许多企业所使用。VLAN采用多种方式配置于企业网络中,包括网络安全认证、使无线用户在802.11b接入点漫游等。
多年前引进VLAN的时候,多数VLAN都是基于IEEE 802.1Q和802.1p标准的。802.1Q规范用于将VLAN用户信息载入以太网帧,而802.1p使二层交换机具有流量优先和实施动态多址滤波的能力。
当初引进VLAN时,它被看作是一个简化地址管理的方法,可以使IT人员在网络的任意点对服务器和PC机进行物理配置,并将PC机加入到组中。
多数网络设备的App可用于将媒体访问控制(MAC)地址与VLAN相关联,当客户从一个端口移动到另一个端口时,可以使其自动连接到网络上。
6.2 新用途
(1) VLAN的无线接入
随着越来越多的企业推出其无线网络,人们最关心的问题恐怕就是如何将无线用户接入适当的有线VLAN。有线网络中的VLAN用户身份通常都是由用户的物理层二层交换机或三层路由器连接端口来定义的。但在无线网络中,用户根本没有与任何物理端口连接。
为解决这一问题,人们开始采用先进的无线验证技术,并利用基于角色的VLAN关联来进行用户识别。这种方法可以利用一系列标准的验证方法,如基于HTTP捕获端口和802.1x等可选验证机制来判断出正确的VLAN用户身份。
(2) VLAN的应用
最近,休斯顿在4栋22层的建筑物中建立了网络及其子网,包括122个法庭、法律事务所和审判厅,这种建筑物非常适合建立VLAN,因为将122个私人子网合并到一个VLAN中要比将用户插入端口组容易得多。
VLAN和静态IP地址也可用于安全机制。所有工作于这里的客户都分配了一个静态IP地址,通过Alcatel的OmniSwitch路由器和OmniCore 5052主干网交换器连接到网络中。
这种配置方式使法官和律师在不同的法庭中都可以进行工作。这种设置可控制许可用户的访问权限以及限制未注册用户的访问,因而可以提供安全性。接入网络的唯一方法就是必须拥有一个IP地址,而且这些PC机都连接在其中的一个VLAN上。
(3) VLAN的漫游功能
Massachusetts的Bridgewater州立学院配置了100多个Enterasys企业的RoamAbout 802.11b/a无线接入点,因而学生在整个企业中都可以访问Web和E-mail。
如果没有对无线流量进入自己的VLAN进行隔离,那么对于希翼在企业范围内保持网络连接的移动用户来说,它将成为一场噩梦。将所有的无线流量置于一个VLAN中,可以确保当用户从一个接入点移动到另一个接入点时不会掉线。而实际上当整个企业中配置的Enterasys接入点只有150英尺的范围时,这种情况很容易发生。
在企业、教室和管理机构中,利用Cisco和Enterasys混合的可堆叠交换器来连接到无线接入点。克服了一些交叉厂商的VLAN配置问题之后,现在可以在企业的任意地方漫游,无论是连接到Cisco还是Enterasys交换器上,都可以保持连接在同一VLAN上。
第七章 总结与展望
经过在毕业实习中的学习和实践,使我对三年大学的理论常识有了更系统更全面的掌握,对计算机网络常识有了更进一步的认识,特别是在实际网络设备的操作方面有很大的提高。对于网络建设中VLAN规划有着进一步的认识,让我了解到理论联系实际的重要性。
在全球信息化的今天,树立企业内部维护信息系统是企业当务之急的职务。企业内部对于灵活、动态地组建LAN网段的要求也越来越多,客观上要求LAN本身的结构可以实现动态组建、调整和管理。
通过对企业网财务部、市场部网络部分的IP地址的分配和VLAN规划,使我深刻的认识到。在计算机网络建设中,一定要依据地址分配和VLAN划分原理来进行网络规划,还需要认真研究实际情况,考虑网络设备性能、网络规模、网络运行、管理、安全和升级等诸方面因素,形成一套合理、适当的地址分配和VLAN 规划方案,这将会提高网络的整体性能,给网络管理带来许多方便。
致 谢
在论文完成之际,我首先向关心帮助和引导我的引导老师朱迅表示衷心的感谢并致以崇高的敬意!
在论文工作中,遇到了诸多问题,一直得到XX老师的亲切关怀和悉心引导,使我能够顺利完成此篇论文。XX老师以其渊博的学识、严谨的治学态度、求实的工作作风和他敏捷的思维给我留下了深刻的印象,我将终生难忘。再一次向他表示衷心的感谢,感谢他为学生营造的浓郁学术氛围,以及学习、生活上的无私帮助! 值此论文完成之际,谨向XX老师致以最崇高的谢意!
在学校的学习生活即将结束,回顾两年多来的学习经历,面对现在的收获,我感到无限欣慰。为此,我向热心帮助过我的所有老师和同学表示由衷的感谢!
特别感谢感谢一直关心帮助我成长的室友XXX、XXX、XXX!
在我即将完成学业之际,我深深地感谢我的家人给予我的全力支撑!
最后,衷心地感谢在百忙之中评阅论文和参加答辩的各位专家、教授!
参考文献
1. 王小虎,熊桂喜.计算机网络[M].北京:清华大学出版社,1998.
2. 肖德宝.计算机网络[M].武汉:华中理工大学出版社,2000.
3. 孙秀英,主祥贤.路由交换技术与应用[M].西安.西安电子科技大学出版社,2009.
4. 甘刚.网络设备配置与管理[M].北京:清华大学出版社,2007.4.
5. 魏大新,李育龙.CISCO网络技术教程[M] (第二版).北京:电子工业出版社,2009.3.
6. 魏大新,李育龙,强振海.CISCO网络工程案例精粹[M].北京:电子工业出版社,2007.4.
7. 郭春柱.网络工程师考试案例动手实验营[M].北京:清华大学出版社,2008.12.
8. 谢希仁.计算机网络(第二版)[M].北京:电子工业出版社,2001.
[ 本帖最后由 was123was456 于 2011-10-28 13:36 编辑 ]