利用VLAN技术为企业开创网络管理新时代.docx
- 文档编号:23294182
- 上传时间:2023-05-16
- 格式:DOCX
- 页数:27
- 大小:166.19KB
利用VLAN技术为企业开创网络管理新时代.docx
《利用VLAN技术为企业开创网络管理新时代.docx》由会员分享,可在线阅读,更多相关《利用VLAN技术为企业开创网络管理新时代.docx(27页珍藏版)》请在冰豆网上搜索。
利用VLAN技术为企业开创网络管理新时代
利用VLAN技术为企业开创网络管理新时代
摘要
VLAN(虚拟局域网)是一个在物理网络上根据用途,工作组、应用等来逻辑划分的局域网络,是一个广播域,是目前应用比较广泛的一种网络管理手段。
在早期的采用交换技术的网络模式中,对于网络结构的划分采用的仅仅是物理网段的划分的手段。
这样的网络结构从效率和安全性的角度来考虑都是有所欠缺的,而目前企业网络管理中VLAN的应用已经比较广泛了,利用VLAN技术,可以为企业降低网络管理成本和提升网络运行和管理效率。
由于VLAN中的网络用户是通过LAN交换机来通信的,所以对于企业各部门之间的信息安全也有很大的保证。
本文主要探讨的是VLAN(虚拟局域网)技术在企业网络管理和应用。
关键词:
VLAN,网络管理,应用
VLAN(VirtualLAN)isaphysicalnetworkonthebasisofuse,theworkinggroup,applicationtothelogicaldivisionoflocalareanetwork,abroadcastdomain,isusedwidelyinanetworkmanagementtool.Intheearlyadoptionofswitchingtechnologynetworkmodel,networkstructureforthedivisionofthephysicalnetworksegmentisonlyusedbythedivisionmeans.Thisnetworkstructurefromtheefficiencyandsafetypointofviewislacking,andthecurrentmanagementVLANoftheenterprisenetworkapplicationshavebeenmoreextensive,andtheuseofVLANtechnology,networkmanagementforenterprisestoreducecostsandimprovenetworkmanagementefficiency.AstheuserVLANinthenetworkswitchtoHexingmunicatethroughaLAN,sobetweenthevariousdepartmentsforcorporateinformationsecurityisalsoagreatguarantee.ThisarticleexplorestheVLAN(VirtualLAN)technologyintheenterprisenetworkmanagementandapplications.
Keywords:
VLAN,networkmanagement,application
第一章绪论
1.1VLAN介绍
VLAN是英文VirtualLocalAreaNetwork的缩写,即虚拟局域网。
VLAN允许处于不同地理位置的网络用户加入一个逻辑子网中,共享一个广播域。
通过对VLAN的创建可以控制广播风暴的产生,从而提高交换式网络的整体性能和安全性。
VLAN是指处于不同物理位置的节点根据需要组成不同的逻辑子网,即一个VLAN就是一个逻辑广播域,它可以覆盖多个网络设备。
VLAN允许处于不同地理位置的网络用户加入到一个逻辑子网中,共享一个广播域。
通过对VLAN的创建可以控制广播风暴的产生,从而提高交换式网络的整体性能和安全性。
同一个VLAN中的端口可以接受VLAN中的广播包,别的VLAN中的端口则接收不到。
VLAN对于网络用户来说是完全透明的,用户感觉不到使用中与交换式网络有任何的差别,但对于人员则有很大的不同,因为这主要取决于VLAN的几点优势:
1.对网络中的广播风暴的控制;2.提高网络的整体安全性,通过路由访问列表、MAC地址分配等VLAN划分原则,可以控制用户的访问权限和逻辑网段的大小;3.网络管理的简单、直观。
1.2VLAN在企业网络管理中的应用
在企业网络刚刚兴起之时,由于企业网络规模小、应用范围的局限性、对Internet接入的认识程度、网络及管理的贫乏等原因,使得企业网仅仅限于交换模式的状态。
交换技术主要有两种方式:
基于的帧交换和基于的信元交换,LAN交换机的每一个端口均为自己独立的碰撞域,但同时对于所有处于一个IP网段或IPX网段的来说,却同在一个域中,当工作站的数量较多、信息流很大的时候,就容易形成,甚者造成网络的瘫痪。
在采用交换技术的网络模式中,对于网络结构的划分采用的仅仅是物理网段的划分的手段。
这样的网络结构从效率和安全性的角度来考虑都是有所欠缺的,而且在很大程度上限制了网络的灵活性,如果需要将一个广播域分开,那么就需要另外购买交换机并且要人工重新布线。
由此,需要进行虚拟网络(VLAN)设置。
1.3案例需求分析
在XX企业中,下属有多个二级单位,在各单位的孤立网络进行互连时,出于对不同职能部门的管理、安全和整体网络的稳定运行,因此有必要进行VLAN的划分。
现三部分应公司的要求联网,网络的互连仍采用千兆带宽,但因三部分网络均采用了千兆以太网技术,为了不在主干形成瓶颈,因此各子网的互连采用技术,即双千兆技术,使网络带宽达到4G,如此既增加了带宽,又提供了链路的冗余,提高了整体网络的高速、稳定、安全运行性能。
三网主干均采用的是技术,起点的高定位为企业的信息应用带来了高速、稳定、符合国际标准的网络平台。
公司中心交换机采用的是的Catalyst6506,带有三层路由的引擎使得企业网具有将来升级的能力;同时各二级单位的中心交换机采用的亦是Cisco的Catalyst4006;各二级、三级交换机则采用的是Cisco的Catalyst3500系列,主要因为Catalyst3500系列交换机的高性能和可堆叠能力。
考虑到该网络规模的扩大化,信息流量的加大,人员的复杂化等原因,为该企业网络的安全性、稳定性、高效率运行带来了新的隐患。
由此引发了VLAN的划分。
对于VLAN的划分,应公司的需求,先将各部门子网的IP地址分配为:
企业部门
起始IP
结束IP
网关地址
管理部门子网
192.168.98.1/22
192.168.99.254/22
192.168.98.1
财务部门子网
192.168.1.1/22
192.168.2.254/22
192.168.2.1
供销部门子网
192.168.3.1/22
192.168.5.254/22
192.168.3.1
售后部门子网
192.168.6.1/22
192.168.7.254/22
192.168.6.1
服务器子网
192.168.80.1/24
192.168.80.20/24
根据服务器类型给定
其他子网
192.168.8.1/22
192.168.10.254/22
根据情况给定
根据上述IP地址分配情况,不难看出各子网的网络终端数均可达到254台,完全满足目前或将来的应用需要,同时还降低了管理工作量,增强了管理力度。
由于案例的网络设备全部采用Cisco产品,对于Cisco的网络设备而言,VLAN主要是基于两种标准协议:
SL和802.1Q。
在我们这里,因为所采用的均是Cisco的网络设备,故在进行VLAN间的互连时采用ISL的协议封装,该协议针对Cisco网络设备的硬件平台在信息流的处理、的优化进行了合理有效的优化。
案例中关于VLAN的划分覆盖了各个交换机,所以交换机之间的连接都必须采用Trunk方式。
鉴于经理办和供销子网代表了VLAN划分中的2个问题:
扩展交换机VLAN的划分和端口VLAN的划分,所以我们再将经理办子网和供销子网对VLAN做一详细介绍。
1.4企业网络中的新应用与新需求
在网络应用高度发展的今天,企业的供应链管理、客户服务、远程学习、劳动力优化等等系统已经开始在企业中普遍得到应用。
这些系统对企业网络提出了新的需求,可见如今的企业网络要有更高的可靠性、可管理性、安全性、更好的性能,并能实现语音、数据、视频的融合。
而这些系统的设计与实现,都要应用到VLAN技术。
当基于IP网络多元化的业务应用给企业带来便利的同时,也给企业带来一个不小的难题,那就是如何管理。
2007年,据权威部门经过抽样调查发现,有83%网管人员每日疲于奔波在解决各种应用问题上,他们更愿意将时间用于优化网络上。
此外在调查中发现,能够实现对安全、性能、故障、配置和资产的综合管理平台成为企业网络构建需求中的重要考虑因素。
优化网络的一种方式,就是利用VLAN技术来进行企业网络的综合设计与管理。
如今,我们已经从设备、系统级管理的时代进入了基于用户业务应用的管理时代。
大型企业的网络通常都通过功能完善的专业网管系统对网络进行管理,这个投资对于中小企业来说可能是无法承担的。
事实上,由于中小企业的网络结构比较简单,一般不需要对网络的流量、网络设备的状态和端口设置等信息进行实时的控制和检查。
网络管理员可能对网络的连通性、IP地址的设置情况和需要时能对设备进行设置更为关心一些,而这些工作利用VLAN技术的应用就可以很好地解决。
第二章VLAN与企业网络管理的设计与分析
2.1网络架构分析
现代网络结构化布线工程中多采用星型结构,主要用于同一楼层,由各个办公室(区)的计算机间用集线器或者交换机连接产生的,它具有施工简单,扩展性高,成本低和可管理性好等优点;而企业网络在分层布线主要采用树型结构;每个办公室(区)的计算机连接到部门的集线器或交换机,然后每部门的集线器或交换机在连接到企业中心机房中的交换机或路由器,各个分公司的交换机或路由器再连接到企业的主干通信网中,由此构成了企业甚至集团的网络拓扑结构。
该企业网络案例采用的是星形的网络拓扑结构,骨干网为1000M速率具有良好的可运行性、可管理性,能够满足未来发展和新技术的应用,另外作为整个企业网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。
因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性,在文中我们选择选择热路由备份可以有效地提高核心交换的可靠性。
2.2设计思路
进行企业网络VLAN的总体设计,首先要进行对象研究和需求调查,明确企业的性质、任务和改革发展的特点及系统建设的需求和条件,对企业的信息化环境进行准确的描述;其次,在应用需求分析的基础上,确定企业Intranet服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三是确定VLAN结构和功能,根据应用需求建设目标和企业主要建筑和部门的分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五,规划企业网络建设的实施步骤。
企业网络VLAN总体设计方案的科学性,应该体现在能否满足以下基本要求方面:
(1)整体规划安排;
(2)先进性、开放性和标准化相结合;
(3)结构合理,便于维护;
(4)高效实用;
(5)支持宽带多媒体业务;
(6)能够实现快速信息交流、协同工作和形象展示。
2.3拓扑结构分析
要为企业网络管理系统地和合理的设计VLAN,就要充分的对企业的网络拓扑结构进行分析,从而得出最佳的VLAN设计方案。
案例企业的网络拓扑图如下:
从图中我们可以看到:
案例企业的网络是由总公司和分公司下属的若干台工作计算机组成;在总公司和分公司各架设有DHCP、DNS、FTP和WEB服务器;在总公司的工作组中,涉及到了无线VLAN的设置;总公司的下属工作计算机比较多,必须采用更多接入层交换机来细化工作组计算机的工作效率和2级节点交换机的工作效率;对于到Internet的连接,接口为2MBDDN专线接入,各二级单位通过公司总部的Proxy接入Internet。
Internet的管理由公司总部信息中心统一规划。
在这里需要注意的是:
1、企业的网络系统的VLAN的划分是作为一个整体结构来设计的,所以为了保持VLAN列表的一致性,例如当二级单位1的VLAN有所变化时,VLAN列表也会有所变化,这时就需要该Catalyst4006对整体网络的其他部分进行广播,以达到VLAN的列表的一致性。
所以在设置VTP(VLANTrunkProtocol)时要注意,要将VTP的域作为一个整体,即:
VTP类型分别为Server和Client。
2、企业建网较早,所选用的网络设备为其他的厂商的产品,而后期的产品又不能与前期统一,这样在VLAN的划分中就会遇到些问题。
例如:
在Cisco产品与3Hexing产品的混合网络结构中划分VLAN,对于Cisco网络设备的Trunk的封装协议则必须采用802.1Q,以达到与3Hexing的通讯。
虽然两者之间可以建立VLAN的正常划分,和正常的应用,但由于交换机都具有自学习的能力,以致两者之间的协调配合较差。
当两者之间的连接发生变化时,必须在上使用命令(clearcounter)进行清除,方可达到两者的重新协调工作。
2.4设备选型
该案例中的企业网络系统由三部分组成:
公司、二级单位1、二级单位2,初始为三部分各自独立,未形成统一的网络环境,故各网络系统的运行采用的是以交换技术为主的方式。
案例企业的主干网络均采用的是技术,起点的高定位为企业的信息应用带来了高速、稳定、符合国际标准的网络平台。
公司中心交换机采用的是的CiscoCatalyst6506,带有三层路由的引擎使得企业网具有将来升级的能力;同时各二级单位的中心交换机采用的亦是Cisco的Catalyst4006;其2级节点和边缘交换机采用的也是CiscoCatalyst3548。
各二级、三级交换机则采用的是Cisco的Catalyst3500系列,主要因为CiscoCatalyst3500系列交换机的高性能和可堆叠能力。
公司总部与各二级附属单位的连接采用了ISL封装的Trunk方式,用2组光纤连接(在Catalyst6506与Catalyst4006之间),这样既解决了VLAN间的互联问题,同时又提高了网络带宽和系统的冗余,为子网互联提供了可靠保障。
第三章VLAN的具体配置与应用
3.1VLAN的划分原则
VLAN的划分的有四种策略,分别是:
①基于端口的VLAN基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。
②基于MAC地址的VLANMAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一的。
基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。
③基于路由的VLAN路由协议工作在七层协议的第三层:
网络层,即基于IP和IPX协议的转发。
这类设备包括路由器和路由交换机。
该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
④基于策略的VLAN基于策略的VLAN的划分是一种比较有效而直接的方式。
这主要取决于在VLAN的划分中所采用的策略。
就本案例来说,对于VLAN的划分主要采用1、3两种模式,对于方案2则为辅助性的方案。
VLAN的划分设计之后,再所涉及的就是VLAN划分的最后一步:
VLAN间的互连。
在以前对VLAN的划分主要是通过路由器来实现的,但随着网络规模的扩大、信息量的增加,路由器无论是从端口数还是系统性能上来说都已经不堪负荷,因此逐渐形成了产生网络瓶颈的主要原因。
而现在,因为有了基于交换机上的三层路由的能力,在上述两点已经得到合理地解决。
对于Cisco的产品划分,VLAN主要是基于两种标准协议:
ISL和802.1Q。
在我们这里,因为所采用的均是Cisco的网络设备,故在进行VLAN间的互连时采用ISL的协议封装,该协议针对Cisco网络设备的硬件平台在信息流的处理、多媒体应用的优化进行了合理有效的优化。
由于本案例中关于VLAN的划分扩展了各个交换机,所以交换机之间的连接都必须采用Trunk的方式。
供销子网和售后子网代表了VLAN划分中的两种问题——扩展交换机VLAN的划分和端口VLAN的划分:
在经理办虚网中,对于一个交换机扩展多个VLAN的时候,前面提到了该交换机与其上层交换机间必须采用Trunk方式连接,但在供销的虚拟网划分中,在二级单位1中的供销独立于一个LAN交换机Catalyst3548,所以在这里,Catalyst3548与二级中心交换机Catalyst4006只需采用正常的交换式连接即可,对于此部分供销VLAN的划分,只要在Catalyst4006上针对与Catalyst3548连接的端口进行划分即可。
也就是前面提到的基于端口的VLAN的划分。
3.2VLAN的划分策略
案例企业下属部门多,业务种类多,根据业务发展需要,经过认真规划,将联网后的统一网络划分为30个VLAN。
划分原则为:
企业本部以楼层为单位进行VLAN划分,各下属部门以业务的不同来划分VLAN,不同的VLAN具有不同的安全级别。
其中生产用机及各种服务器所在的VLAN具有的安全级别较高。
同时利用Cisco6509自身的访问控制功能,设置访问列表对特定的VLAN用户进行保护,对特定的端口135、445、1434等进行控制,保证了整个网络中各个VLAN用户的安全隔离。
基于端口的VLAN划分是最简单、最有效的划分方法。
该方法只需网络管理员对网络设备的交换机端口进行重新分配即可,不用考虑该端口所连接的设备。
在交换机投入运行前就把它的物理端口根据需要划分给指定的VLAN并分配给用户。
这种划分使网络管理员能够随时掌握网络的负载情况,有利于网络的优化使用,并具有较高的安全性,虽然在一定程度上增加了管理员的工作量。
举例来说,集团下属公司分布在不同城区不同的地理位置,但考虑到方便管理,这些公司的OA服务器均使用一个VLAN的IP;对需要其他权限的OA服务器单独分配其他网段的IP,所有这些网络应用的实现均是依靠基于交换机端口VLAN的划分来实现的。
另一方面,对静态VLAN技术的应用(即基于端口的VLAN划分)来说,交换机不能分辨出被盗用IP地址的非法接人。
一个用户盗用同一子网某特权用户的IP地址后就可以伪装成这个VLAN的特权用户,非法访问网络中的服务器,并造成IP地址的冲突。
为了解决这个问题,就利用用户一般不会改变计算机MAC地址的特点,采用了对大部分用户的IP地址和MAC地址与交换机端口绑定的方法,弥补了静态VLAN的这一缺陷,有效地防止了这种情况的发生。
在一般的二层交换机组成的网络中,VLAN实现了网络流量的分割,不同的VLAN间是不能互相通信的。
要实现VLAN间的通信必须借助:
1)路由器来实现;2)三层交换机。
下属公司采用的是使用三层交换机的方式。
利用三层交换机实现VLAN间通信,三层交换机是将第二层交换机和第三层路由器两者的优势有机而智能化地结合起来,可在各个层次提供线速性能。
三层交换机内,分别设置了交换机模块和路由器模块;而内置的路由模块与交换模块类似,也使用ASIC硬件处理路由。
因此,与传统的路由器相比,可以实现高速路由。
并且,路由与交换模块是汇聚链接的,由于是内部连接,可以确保相当大的带宽。
用三层交换机的路由功能来实现VLAN间的通信。
核心交换机选用Cisco6509三层交换机,接人层交换机选择了Cisco3750和Cisco2950系列交换机,其中Cisco3750交换机为带路由功能的三层交换机,用于数据流量较大的分局,而Cisco2950为二层交换机,主要用于通过千兆光纤与中心交换机的直接连接,通过这样的连接方式,整个局域网就能很好的协同工作。
VLAN对于网络使用者来说是完全透明的,用户感觉不到使用中与交换式网络有任何的差别,但对于网络管理人员则有很大的不同,因为这主要取决于VLAN的几点优势。
3.3VLAN的详细设置
3.3.1管理部门子网VLAN设置
由于管理部门工作站所在局域网交换机划分了多个VLAN,连接了多个VLAN工作站,所以该交换机与其上层交换机之间的连接必须采用Trunk方式。
公司总部采用了Catalyst3508和Catalyst6506。
在中心交换机Catalyst6506上设置VLAN路由如下:
----管理部门VLAN:
192.168.98.1/22
----财务部门VLAN:
192.168.2.1/22
----供销部门VLAN:
192.168.3.1/22
----售后部门VLAN:
192.168.6.1/22
----服务器VLAN:
192.168.80.1/24
----其他部门VLAN:
192.168.8.1/22
中心交换机上设置路由协议RIP或,并指定网段192.168.0.0。
在全局配置模式下执行如下命令:
Routerripnetwork192.168.0.0
管理部门的的工作IP统一直接设置在核心交换机上。
3.3.2其他下属部门子网VLAN设置
在案例中我们把核心交换机命名为:
“Hexing”;分支交换机分别为:
SW_SW_finance、SW_market、Afterservice,分别通过port1的光线模块与核心交换机相连;并且假设VLAN名称分别为finance、market、other……
需要做的工作:
A、设置VTPdomain(核心、分支交换机上都设置)
B、配置中继(核心、分支交换机上都设置)
C、创建VLAN(在server上设置)
D、将交换机端口划入VLAN
E、配置三层交换
A、设置VTPdomain。
VTPdomain称为管理域。
交换VTP更新信息的所有交换机必须配置为相同的管理域。
如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的VLAN列表。
Hexing#VLANdatabase进入VLAN配置模式
Hexing(VLAN)#VTPdomainHexing设置VTP管理域名称Hexing
Hexing(VLAN)#VTPserver设置交换机为服务器模式
SW_finance#VLANdatabase进入VLAN配置模式
SW_finance(VLAN)#VTPdomainHexing设置VTP管理域名称Hexing
SW_finance(VLAN)#VTPclient设置交换机为客户端模式
SW_market#VLANdatabase进入VLAN配置模式
SW_market(VLAN)#VTPdomainHexing设置VTP管理域名称Hexing
SW_market(VLAN)#VTPclient设置交换机为客户端模式
Afterservice#VLANdatabase进入VLAN配置模式
Afterservice(VLAN)#VTPdomainHexing设置VTP管理域名称Hexing
Afterservice(VLAN)#VTPclient设置交换机为客户端模式
注意:
这里设置核心交换机为server模式是指允许在该交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数,同步本VTP域中其他交换机传
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 利用 VLAN 技术 企业 开创 网络 管理 时代