VLAN的设计和实现文档格式.docx
- 文档编号:20405362
- 上传时间:2023-01-22
- 格式:DOCX
- 页数:15
- 大小:62.16KB
VLAN的设计和实现文档格式.docx
《VLAN的设计和实现文档格式.docx》由会员分享,可在线阅读,更多相关《VLAN的设计和实现文档格式.docx(15页珍藏版)》请在冰豆网上搜索。
并且传统局域网的组网多选择CSMA/CD网络,CSMA/CD网络在节点传输数据之前,它进行"
监听"
以了解网络是否很繁忙。
如果媒体空闲,则节点开始传送数据。
如果媒体繁忙,则一直监听直到信道空闲,然后立即传输。
若在传输中监听到冲突,则发送一个短小的人为干扰信号,让所有的站点都知道发生了冲突并停止传输。
发完人为干扰信号等待一段随机的时间,再次试图传输。
这样一来如果该网段PC众多,很容易引起信道冲突。
各站点共享传输信道所造成的信道冲突和广播风暴是影响网络性能的重要因素。
为解决这一问题,我们引入了虚拟局域网(VLAN)的概念。
2VLAN(虚拟局域网)技术
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
IEEE于1999年颁布用以标准化VLAN实现方案的802.1Q协议标准草案。
它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。
目前这种用于网络结点逻辑分段的方法正为许多企业所使用,VLAN采用多种方式配置于企业网络中,包括网络安全认证、使无线用户在802.11b接入点漫游、隔离IP语音流在不同协议的网络中传输数据等。
虚拟局域网(VLAN)的出现打破了传统网络的许多固有观念,使网络结构变得灵活、方便。
利用虚拟局域网技术可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
虽然VLAN所连接的设备来自不同的网段,但是相互之间可以进行直接通信,好像处于同一网段中一样。
相比较传统的局域网布局,VLAN技术更加灵活。
网络中的站点因此也不在拘泥于所处的物理位置,可以根据实际需要灵活地加入不同的逻辑子网。
2.1局域网交换技术
交换技术是实现虚拟局域网的基础,交换是虚拟局域网技术的灵魂。
局域网交换技术是作为对共享式局域网提供有效的网段划分的解决方案而出现的,它可以使每个用户尽可能地分享到网络带宽,帧交换技术是使用最广的局域网交换方式,它利用交换机中的端口一MAC地址映射表将数据帧转发至相应的端口,各端口独自享有10M或者100M的网络带宽。
交换技术的主要好处是将网络分离成冲突域,网络中有n个交换机就存在n个冲突域,在任何给定的时间内,发送报文的主机只可能与直接接收报文的目标主机发生冲突,发送点与接收点的冲突域就是它自己,共享它们之间100%的带宽。
目前用的最广的局域网交换技术是二层交换技术和三层交换技术。
2.1.1二层交换技术
二层交换技术是发展比较成熟,二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。
具体的工作流程如下:
●当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端口上;
●再去读取包头中的目的MAC地址,并在地址表中查找相应的端口;
●如表中有与这目的MAC地址对应的端口,把数据包直接复制到这端口上;
●如表中找不到相应的端口则把数据包广播到所有端口上,当目的机器对源机器回应时,交换机又可以学习一目的MAC地址与哪个端口对应,在下次传送数据时就不再需要对所有端口进行广播了。
不断的循环这个过程,对于全网的MAC地址信息都可以学习到,二层交换机就是这样建立和维护它自己的地址表。
但是二层交换技术也有不足之处,一个交换机将LAN分成若干微分段,在一个大的冲突域中无冲突域。
尽管LAN交换机消除了冲突域,使网络可以提供低延时和提高吞吐量,扩展了带宽,但是连接到交换机的每一个端口却在同一个广播域,广播风暴将发送到每一个交换端口,发送到整个网络的广播域,增加了整个交换网络的广播风暴。
各站点共享传输信道所造成广播风暴是影响网络性能的重要因素。
信息点增加到一定数量,信息传输吞吐量也随着增大的时候,网络的性能受到很大的影响。
2.1.2三层交换技术
三层交换是相对于传统的交换概念而提出的。
传统的交换技术是在OSI网络参考模型中的第二层(即数据链路层)进行操作的,而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。
简单地说,三层交换技术就是二层交换技术+三层转发技术,三层交换机就是"
二层交换机+基于硬件的路由器"
。
其原理是:
假设两个使用IP协议的站点A、B通过第三层交换机进行通信,发送站点A在开始发送时,把自己的IP地址与B站的IP地址比较,判断B站是否与自己在同一子网内。
若目的站B与发送站A在同一子网内,则进行二层的转发。
若两个站点不在同一子网内,如发送站A要与目的站B通信,发送站A要向“缺省网关”发出ARP(地址解析)封包,而“缺省网关”的IP地址其实是三层交换机的三层交换模块。
当发送站A对“缺省网关”的IP地址广播出一个ARP请求时,如果三层交换模块在以前的通信过程中已经知道B站的MAC地址,则向发送站A回复B的MAC地址。
否则三层交换模块根据路由信息向B站广播一个ARP请求,B站得到此ARP请求后向三层交换模块回复其MAC地址,三层交换模块保存此地址并回复给发送站A,同时将B站的MAC地址发送到二层交换引擎的MAC地址表中。
从这以后,当A向B发送的数据包便全部交给二层交换处理,信息得以高速交换。
由于仅仅在路由过程中才需要三层处理,绝大部分数据都通过二层交换转发,因此三层交换机的速度很快,接近二层交换机的速度,同时比相同路由器的价格低很多。
经过多年发展,局域网三层交换技术和VLAN技术相结合的技术已经成为构建多业务融合网络的主要力量。
2.2VLAN的划分
目前VLAN在交换机上的实现方法,可以大致地划分为4类:
基于端口划分的VLAN
、基于MAC地址划分VLAN、基于网络层划分VLAN和根据IP组播划分VLAN
(1)基于端口划分的VLAN
:
这种划分VLAN的方法是根据以太网交换机的端口来划分,比如Quidway
S3526的1~4端口为VLAN
10,5~17为VLAN
20,18~24为VLAN
30,当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机
1
的1~6端口和交换机
2
的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最广泛的方法,IEEE
802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。
这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义一下就可以了。
它的缺点是如果VLAN
A的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。
(2)基于MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。
这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常麻烦的。
而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。
另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。
(3)基于网络层划分VLAN:
这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。
它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF等路由协议,而是根据生成树算法进行桥交换,这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。
这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也需要花费更多的时间。
(4)根据IP组播划分:
VLAN
IP
组播实际上也是一种VLAN的定义,即认为一个组播就是一个VLAN,这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,当然这种方法不适合局域网,主要是效率不高。
2.3VLAN间的通信方式
目前VLAN间的通信主要采取以下4种方式。
(1)MAC地址静态登记方式
MAC地址静态登记方式是预先在VLAN交换机中设置好的一张地址列表,这张表含有工作站的MAC地址,VLAN交换机的端口号,VLANID等信息,当工作站第一次在网络上发广播包时,交换机就将这张表的内容一一对应起来,并对其他交换机广播。
这种方式的缺点在于,网络管理员要不断修改和维护MAC地址静态条目列表,且大量的MAC地址静态条目列表的广播消息易导致主干网络拥塞。
(2)帧标签方式
帧标签方式采用的是标签技术,即在每个数据包上都加一个标签,用来标明数据包属于哪个VLAN,这样,VLAN交换机就能够将来自不同VLAN的数据流复用到相同的VLAN交换机上。
这种方式存在一个问题,即每个数据包都要加上标签,使得网络的负载相应增加了。
(3)虚连接方式
网络用户A和B第一次通信时,发送地址解析(ARP)广播包,VLAN交换机将学习到的MAC和所连接的VLAN交换机的断口号保存到动态条目MAC地址列表中,当A和B有数据要传时,VLAN交换机从其端口收到的数据包中识别出目的MAC地址,查动态条目MAC地址列表,得到目的站点所在VLAN交换机端口,这样两个端口间就建立起一条虚连接,数据包就可从源端口转发到目的端口。
数据包一旦转发完毕,虚连接即被撤销。
这种方式使带宽资源得到很好利用,提高了VLAN交换机效率。
(4)路由方式
在按IP划分的VLAN中,很容易实现路由,即将交换功能和路由功能融合在VLAN交换机中。
这种方式既达到了VLAN控制广播风暴的最基本目的,又不需要外接路由器,但这种方式在VLAN成员之间通信速度不是很理想。
2.4VLAN的优点
在大型局域网络中,虚拟局域网技术给网络管理员和网络用户都带来了许多好处。
归纳起来有:
(1)灵活的网络分段。
通信最频繁的用户和资源能够被组合为通用的虚拟局域网,而无需考虑其物理位置。
每个小组的通信都包含在虚拟局域网中,从而减少了通信量并提高整个网络的通信效率。
(2)简单的管理。
节点的增加、移动以及其他变化都能够通过管理控制台快速便捷地处理。
(3)提高性能。
通过限制整个网络的节点对节点的通信和广播通信,虚拟局域网可节约带宽。
(4)更好地利用服务器资源。
通过支持虚拟局域网的适配器,一台服务器可以成为多个虚拟局域网的成员。
这将减少从节点至服务器路由通信的需求。
(5)增强网络安全。
虚拟局域网创造了虚拟边界,它只能通过路由器跨越,因此,基于路由器的标准安全措施可被用于限制对每个虚拟局域网的访问。
3VLAN设计实例-黟县国土资源局局域网的设计和实现
3.1背景
黟县国土资源局由原黟县土地管理局和黟县矿业资源管理局合并而成。
合并后的黟县国土资源局由三大部分即黟县土地管理局,黟县矿业管理局和地方下属国土资源所组建而成。
为了依法行政和管理的需要,迫切需要对原来的三大块进行整合,改造和扩建。
现三部分要求联网,网络的互连采用千兆带宽,但因三网均采用了千兆以太网技术,为了不在主干形成瓶颈,因此各子网的互连采用Trunk技术,即双千兆技术,提高网络带宽,如此既增加了带宽,又提供了链路的冗余,提高了整体网络的高速、稳定、安全运行性能。
黟县国土资源局合并后,局域网扩大了许多;
由过去的三部分各自的局域网整合成单独的一个局域网。
为了管理和防止广播风暴的影响,需要进行统一的管理,各个分支机构和地方各个国土所都有自己的机房,计算机数目也由原来的几台上升到上百台。
局域网规模的逐年扩大,因此对局域网的规划和管理在局域网建设中就显的尤为重要。
又因为整个局域网在地理位置十分分散,而对于网络规模较大的,地理位置较为分散的局域网,VLAN技术可以很好的解决这一难题。
因此,本网采用虚拟局域网技术即VLAN技术来实现。
3.2设计原则
在黟县国土资源局局域网的改扩建工程中,我们提出了下列VLAN的设计原则:
(1)实用性:
以应用原则为中心划分,既要满足当前的需要,又要兼顾长远发展,利于现有应用和将来扩展;
(2)按工作性质:
对于相同性质部门和单位,基本上把其划入同一虚网。
(3)灵活性:
VLAN根据局域网拓扑结构和应用需求的变化灵活调整。
划分VLAN时也要适当根据计算机数目的多少。
(4)安全性:
隔离监听,防止IP号被盗用。
(5)特殊性:
将有特殊要求的计算机群及部门划分在特殊的VLAN中。
只有本VLAN内部的用户能够互相通信,其他用户不允许访问具备特殊要求的VLAN。
3.3VLAN设计目标
在进行VLAN的设计时,我们提出了以下目标:
(1)降低广播风暴,不同部门间的应用应该互不干扰。
(2)增加了网络连接的灵活性。
网络管理员对网络上的计算机可以按业务功能,而不必按地理位置分组。
VLAN可以降低移动或变更工作站地理位置的管理费用,特别是乡镇国土所计算机的位置过于分散,这部分管理费用大大降低。
(3)增加网络的安全性。
由于国土执法的需要,工作人员会在局域网上经常传送一些保密的、关键性的数据。
保密的数据应提供访问控制等安全手段。
网络管理员可以限制了VLAN中用户的数量,禁止未经允许而访问VLAN中的应用。
交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。
使用VLAN可以确保网络的安全性,VLAN能限制个别用户的访问,控制广播组的大小和位置,甚至能锁定某台设备的MAC地址。
(4)增加集中化的管理控制。
网络管理员可以确定VLAN组,分配特定用户和交换端口给这些VLAN组,设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,跨越交换机配置VLAN通信,监控交通流量和VLAN使用的网络带宽。
这些能力有效地提高了网络管理程序的可控性、灵活性和监视功能,减少了管理的费用。
(5)将有特殊要求的部门划分在特殊的VLAN中。
这种VLAN中的用户可以互相通信,但不能与其他VLAN的用户交换信息。
其他的VLAN的用户也不能访问这种特殊VLAN中的计算机上的消息。
3.4VLAN的划分
根据黟县国土资源局的实际情况,我们采用基于端口的VLAN划分策略。
具体划分如表1:
VLAN号
VLAN名称
策略
服务对象
地址
1
CHZX
端口
测绘中心
192.168.1.0——192.168.2.0/22网关:
192.168.1.1;
2
GTS
下属国土所
192.168.3.0——192.168.5.0/22网关:
192.168.3.1;
3
CWZX
财务中心
192.168.6.0——192.168.8.0/22网关:
192.168.6.1;
4
XZBG
行政办公中心
192.168.9.0——192.168.10.0/22
网关:
192.168.9.1;
5
TDYX
土地运营中心
192.168.11.0——192.168.12.0/22网关:
192.168.11.1;
6
FWQ
服务器
(共享)
192.168.13.0/24
192.168.13.1
表1VLAN划分表
扩建后的黟县国土资源局局域网拓扑图如图1所示:
图1黟县国土资源局局域网拓扑图
我们所实现的VLAN基于Cisco交换机。
Cisco的VLAN实现通常是以端口为中心的,与节点相连的端口将确定它所驻留的VLAN。
将端口分配给VLAN的方式有两种,分别是静态的和动态的。
形成静态VLAN的过程是将端口强制性地分配给VLAN的过程。
即我们先在VTP
上建立VLAN,然后将每个端口分配给相应的VLAN的过程。
这是我们创建VLAN最常用的方法。
动态VLAN形成很简单,由具体计算机决定自己属于哪个VLAN。
即我们先建立一个VMPSVLAN管理策略服务器,里面包含一个文本文件,文件中存有与VLAN映射的MAC地址表。
交换机根据这个映射表决定将端口分配给何种VLAN。
这种方法有很大的优势,但创建数据库是一项非常艰苦而且非常繁琐的工作。
3.5VLAN的配置过程
黟县国土资源局的局域网中用一台具备三层交换功能的核心交换机(采用Catalyst3550-24PWR交换机)接几台分支交换机(Catalyst3550-24交换机)实现。
我们假设核心交换机名称为HXJ;
分支交换机分别为:
FEN1、FEN2、FEN3,分别通过Port
1的光线模块与核心交换机相连;
并且VLAN名称分别为CHZX,GTS,CWZX,XZBG,TDYX,FWQ。
VLAN的配置过程主要要做以下几项工作:
⏹设置VTP
DOMAIN(核心、分支交换机上都设置)
⏹配置中继(核心、分支交换机上都设置)
⏹创建VLAN(在server上设置)
⏹将交换机端口划入VLAN
⏹配置三层交换
⏹VLAN间的访问控制
3.5.1设置VTP
DOMAIN
交换VTP更新信息的所有交换机必须配置为相同的管理域。
如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的VLAN列表。
HXJ#vlan
database
进入VLAN配置模式
HXJ(vlan)#vtp
domainHXJ设置VTP管理域名称HXJ
server
设置交换机为服务器模式
FEN1#vlan
FEN1(vlan)#vtp
domain
HXJ
设置VTP管理域名称HXJ
Client
设置交换机为客户端模式
FEN2#vlan
FEN2(vlan)#vtp
HXJ
FEN3#vlan
FEN3(vlan)#vtp
domainHXJ
这里设置核心交换机为服务器模式是指允许在该交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数,同步更新本VTP域中其他交换机传递来的最新的VLAN信息;
客户端模式是指本交换机不能创建、删除、修改VLAN配置,也不能在NVRAM中存储VLAN配置,但可同步由本VTP域中其他交换机传递来的VLAN信息。
3.5.2配置中继
Cisco交换机能够支持任何介质作为中继线,为了实现中继可使用其特有的ISL标签。
ISL(Inter-Switch
Link)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接相连的端口配置ISL封装,即可跨越交换机进行整个网络的VLAN分配和配置。
在核心交换机端配置如下:
HXJ(config)#interface
gigabitEth
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VLAN 设计 实现