VLAN is divided and disposed in campus network
Summary: With the constant development of campus network, the scale is expanding constantly, users are increasing constantly, network application is increasing constantly too, the network becomes more and more crowded, the conflict is being produced constantly, the difficulty in management is strengthened day by day. To setting up demand of section of LAN network more and more too flexibly and dynamically inside the school, Require the structure of LAN itself to realize that set up, adjust and manage dynamically objectively. In order to improve the flexibility of network management effectively, improve the efficiency of the network and network security, it is essential to divide VLAN abundantly and rationally. This text is through planning VLAN to campus network, the relevant knowledge of detailed introduction VLAN. It is China that uses to dispose VLAN for Quidway S8016, Quidway S3026 and harbour Hammer24E exchanger in campus network.. Divide rational VLAN in campus network, can isolate the production that fully prevented the conflict through solving ports, and can simplify the management of campus network and security of improving the network .
Keyword: IP VLAN conflict Plan Swapper of three layers
目录
TOC \o "1-3" \u 引言......................................................................................................................................... PAGEREF _Toc102663496 \h 4
1. VLAN 技术简介..................................................................................................................... PAGEREF _Toc102663497 \h 5
1.1 什么是三层交换技术..................................................................................................... PAGEREF _Toc102663498 \h 5
1.2 什么是VLAN................................................................................................................. PAGEREF _Toc102663499 \h 6
1.3 VLAN的优点................................................................................................................. PAGEREF _Toc102663500 \h 6
1.3.1 提高网络性能.................................................................................................... PAGEREF _Toc102663501 \h 7
1.3.2 组建虚拟组织.................................................................................................... PAGEREF _Toc102663502 \h 7
1.3.3 简化网络管理.................................................................................................... PAGEREF _Toc102663503 \h 7
1.3.4 提高网络安全.................................................................................................... PAGEREF _Toc102663504 \h 7
1.3.5 减少设备投资.................................................................................................... PAGEREF _Toc102663507 \h 8
2. VLAN 的划分方式.................................................................................................................. PAGEREF _Toc102663508 \h 8
2.1. 基于端口划分的VLAN.................................................................................................. PAGEREF _Toc102663509 \h 8
2.2 基于MAC地址划分VLAN................................................................................................ PAGEREF _Toc102663510 \h 8
2.3 基于网络层协议类型划分VLAN...................................................................................... PAGEREF _Toc102663511 \h 9
2.4 基于网络层子网地址划分VLAN.................................................................................... PAGEREF _Toc102663512 \h 9
2.5 基于网络层组播地址划分VLAN.................................................................................... PAGEREF _Toc102663513 \h 9
2.6 基于网络层以上协议乃至应用程序的类型划分VLAN........................................................ PAGEREF _Toc102663514 \h 9
3 VLAN的实现与配置............................................................................................................... PAGEREF _Toc102663515 \h 10
3.1 VLAN实现过程............................................................................................................ PAGEREF _Toc102663516 \h 10
3.2 校园网的IP地址分配与VLAN的规划............................................................................ PAGEREF _Toc102663517 \h 11
3.3 VLAN 的配置实例...................................................................................................... PAGEREF _Toc102663518 \h 12
3.3.1基于华为S3026的VLAN的配置........................................................................... PAGEREF _Toc102663519 \h 12
3.3.2基于华为Quidway S8016的VLAN配置................................................................. PAGEREF _Toc102663520 \h 16
4. VLAN 之间的通信................................................................................................................ PAGEREF _Toc102663521 \h 17
4.1 通过路由器实现VLAN间的通信.................................................................................... PAGEREF _Toc102663522 \h 17
4.1.1通过路由器的不同物理接口与交换机上的每个VLAN分别连接............................... PAGEREF _Toc102663523 \h 18
4.1.2通过路由器的逻辑子接口与交换机的各个VLAN连接............................................ PAGEREF _Toc102663524 \h 18
4.2 用交换机代替路由器实现VLAN间的通信...................................................................... PAGEREF _Toc102663525 \h 18
5 VALN的新用途...................................................................................................................... PAGEREF _Toc102663526 \h 18
结论....................................................................................................................................... PAGEREF _Toc102663527 \h 22
参考文献................................................................................................................................. PAGEREF _Toc102663528 \h 22
致谢....................................................................................................................................... PAGEREF _Toc102663529 \h 22
引言
从传统的以太网(10Mb/s)发展到快速以太网(100Mb/s)和千兆以太网(1000Mb/s)也不过几年的时间,其迅猛的势头实在令人吃惊。而现在中大型规模网络建设中,以千兆三层交换机为核心的所谓“千兆主干、百兆桌面”的主流网络模型已不胜枚举。现在,网络业界对“三层交换”和VLAN这两词已经不感到陌生了。
在一个传统的LAN中,计算机之间通过集线器(Hub)或中继器(Repeater)相连接。如果有两台乃至两台以上计算机同时通过LAN的通信总线发送数据时,它们将不可避免地发生冲突,已发送的数据也将丢失。更主要的是,一旦有冲突发生,冲突将通过集线器或中继器被传送到整个网络中,使得暂时谁也无法再发送数据。于是发送者们只好停下来,等到这次冲突平息之后再试着去发送已丢失的数据——这是对时间和资源的很大浪费。
为了防止冲突被发送给LAN中的每一台计算机,人们使用了网桥(Bridge)或局域网交换机(LAN switch,以下简称交换机)来隔离冲突---网桥和交换机都不会转发冲突,但它们会让广播报文(发给LAN中的所有计算机)或多播报文(发给LAN中预先定义好的一组计算机)通过。这样,原来的一个LAN就被网桥和交换机分隔成了多个LAN网段。隔离开来的一个个LAN网段被称为冲突域,意即每个冲突域内发生的冲突都将被限制在该域内。另一方面,人们使用路由器来隔离广播,防止广播或多播报文被转发到另一个网络中去。路由器隔离开来的一个个网络称为广播域,意即每个广播域内的广播或多播报文也都将被限制在该域内。广播域,指的是广播帧(目标MAC地址全部为1)所能传递到的范围,亦即能够直接通信的范围。严格地说,并不仅仅是广播帧,多播帧(Multicast Frame)和目标不明的单播帧(Unknown Unicast Frame)也能在同一个广播域中畅行无阻。
从上面的介绍可以看出,在一个网络中如何定义冲突域和广播域取决于其中的各个计算机、集线器(或中继器)、网桥(或交换机)和路由器在物理空间上是如何分布、如何连接在一起的——这意味着同一个LAN中的所有设备必须位于同一物理空间范围内,比如说同一层楼、同一个办公区域等。
另外,LAN的一个主要用户是企业。随着现代企业中跨部门跨职能开发团队出现得越来越多,企业内部对于灵活、动态地组建LAN网段的要求也越来越多,客观上要求LAN本身的结构可以实现动态组建、调整和管理。这时,虚拟局域网(Virtual LAN)技术就适时地出现了。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地址而不是物理地址划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段(如图1-1)。另外,在划分VLAN时,也不需要使用路由器来分隔它们,VLAN技术使用桥接软件来决定哪台计算机工作站在哪个VLAN里,路由器只被用于在不同的VLAN间承担通信任务。
1. VLAN 技术简介
1.1 什么是三层交换技术
要回答这个问题还是先看看以太网的工作原理。以太网的工作原理是利用二进制位形成的一个个字节组合成一帧帧的数据(其实是一些电脉冲)在导线中进行传播。首先,以太网网段上需要进行数据传送的节点对导线进行监听,这个过程称为CSMA/CD(Carrier Sense Multiple Access with Collision Detection带有冲突监测的载波侦听多址访问)的载波侦听。如果,这时有另外的节点正在传送数据,监听节点将不得不等待,直到传送节点的传送任务结束。如果某时恰好有两个工作站同时准备传送数据,以太网网段将发出“冲突”信号。这时,节点上所有的工作站都将检测到冲突信号,因为这时导线上的电压超出了标准电压。这时以太网网段上的任何节点都要等冲突结束后才能够传送数据。也就是说在CSMA/CD方式下,在一个时间段,只有一个节点能够在导线上传送数据。而转发以太网数据帧的联网设备是集线器,它是一层设备,传输效率比较低。
冲突的产生降低了以太网的带宽,而且这种情况又是不可避免的。所以,当导线上的节点越来越多后,冲突的数量将会增加。显而易见的解决方法是限制以太网导线上的节点,需要对网络进行物理分段。将网络进行物理分段的网络设备用到了网桥与交换机。网桥和交换机的基本作用是只发送去往其他物理网段的信息。所以,如果所有的信息都只发往本地的物理网段,那么网桥和交换机上就没有信息通过。这样可以有效减少网络上的冲突。网桥和交换机是基于目标MAC(介质访问控制)地址做出转发决定的,它们是二层设备。现在已经知道了以太网的缺点及物理网段中冲突的影响,现在,大家来看看另外一种导致网络降低运行速度的原因:广播。广播存在于所有的网络上,如果不对它们进行适当的控制,它们便会充斥于整个网络,产生大量的网络通信。广播不仅消耗了带宽,而且也降低了用户工作站的处理效率。由于各种各样的原因,网络操作系统(NOS)使用了广播,TCP/IP使用广播从IP地址中解析MAC地址,还使用广播通过RIP和IGRP协议进行宣告,所以,广播也是不可避免的。网桥和交换机将对所有的广播信息进行转发,而路由器不会。所以,为了对广播进行控制,就必须使用路由器。路由器是基于第3层报头、目标IP寻址、目标IPX寻址或目标Appletalk寻址做出转发决定。路由器是3层设备。
在这里,我们就容易理解三层交换技术了,通俗地讲,就是将路由与交换合二为一的技术。路由器在对第一个数据流进行路由后,将会产生一个MAC地址与IP地址的映射表,当同样的数据流再次通过时,将根据此映射表直接从二层进行交换而不是再次路由,提供线速性能,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率。采用此技术的交换机我们常称为三层交换机。
1.2 什么是VLAN
VLAN(Virtual Local Area Network)又称虚拟局域网,一方面,VLAN建立在局域网交换机的基础之上, 采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中,在功能和操作上与传统LAN基本相同,可以提供一定范围内终端系统的互联。另一方面,VLAN是局域交换网的灵魂。这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络,而无需改变任何硬件和通信线路。这样,网络管理员就能从逻辑上对用户和网络资源进行分配,而无需考虑物理连接方式。VLAN充分体现了现代网络技术的重要特征:高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
1.3 VLAN的优点
应用VLAN技术可以获得的益处是巨大的,主要有以下几个方面:
1.3.1 提高网络性能
应用VLAN技术可以提高网络性能:
其一,VLAN技术允许网络管理者将交换机上的端口作逻辑分组,使得从某个VLAN中产生的字节流只能在从属于该VLAN的交换机端口之间流动。在一个有大量广播和多播报文的网络中,应用VLAN技术可以把这些报文限制在各个VLAN里,从而可以大大减少整个网络中不必要的信息流量,提高网络性能。
其二,相比较网桥和交换机而言,路由器在处理接收到的数据时要慢一些。使用了VLAN技术后,人们可以用交换机来代替路由器隔离广播域。由于减少了路由器的使用量,网络性能也相应地得到了提高。
1.3.2 组建虚拟组织
如前所述,VLAN技术是随着人们生产活动中越来越多的跨部门跨职能开发团队的出现而提出的。组建虚拟组织、特别是虚拟工作组,是提出VLAN技术的初衷和目标之一。在实际应用时,对于同一个工作组内的成员,在该工作组存在的短时期内,可以把他们的计算机工作站划分在一个VLAN里以便于其进行通信。这样,每个组内成员的计算机工作站既无需搬移到一起、也无需改变各自的设置,只需在网络管理者那里作一些改变就可以了。
1.3.3 简化网络管理
根据David J. Buerger的分析计算,传统的LAN中约有70%的网络花销是因为添加、删除、移动、更改网络用户而导致的。每当有一个用户加入局域网,就会引发一系列的端口分配、地址分配、网络设备重新配置等网络管理任务。在使用VLAN技术后,这些任务都可得以简化。举例来说,当某台计算机工作站从一个空间位置移动到另一个空间位置时,不需要为其重新手工配置网络属性,网络自身就能够动态地完成这项任务。这种动态管理网络的方式给网络管理者和使用者都带来了极大的便利。
1.3.4 提高网络安全
在传统的局域网中,不时的会有些敏感数据被有意或无意地广播到网络上,从而有可能造成信息泄密。在这种情况下,确定谁可以访问到这些数据就显得很重要。使用VLAN技术可以将敏感数据的传播限制在安全范围内,只允许已定义的VLAN成员访问相关数据。VLAN还可被用来设立防火墙、限制数据访问以及将网络入侵事件通知给网络管理者等,这些都可以提高网络的安全系数。
1.3.5 减少设备投资
VLAN技术可被用来创建逻辑的广播域,因而可以减少用于购买昂贵的路由器等广播域隔离设备的投资。
2. VLAN 的划分方式
2.1. 基于端口划分的VLAN
以网络设备的哪个端口属于哪个VLAN的标准来划分VLAN。例如,在一个有8个端口的网桥中,端口1、2、4、7属于VLAN1,而端口3、5、6、8属于VLAN2。则与这些端口相连的设备、这些设备收发的数据帧相应地也分别属于VLAN1、VLAN2。究竟如何配置,由管理员决定。如果有多个网络设备,例如有多个交换机,可以指定交换机1的1~6端口和交换机2的1~4端口为同一VLAN,即同一VLAN可以跨越数个交换机,根据端口划分是目前定义VLAN的最常用的方法,IEEE 802.1Q协议标准草案中对如何根据交换机的端口来划分VLAN给出了明确的规定。这种划分方法的优点和缺点都很明显:优点是定义VLAN成员时非常简单,只要将所有的端口都指定一下就可以了;缺点是不允许用户随便移动。如果属于某个VLAN的用户离开了原来的端口,到了一个新的网络设备的某个端口,那么网络管理者就必须重新定义VLAN。
2.2 基于MAC地址划分VLAN
以计算机工作站网卡的MAC地址来划分VLAN。这种划分方法的最大优点就是由于一个MAC地址唯一对应一块计算机网卡,故此当某个计算机工作站物理位置改变时、即从一台交换机转移到另一台交换机时,不需要重新配置VLAN;而缺点是所有的VLAN成员必须事先定义,这在有数以百计乃至千计用户的网络中,这并不是一件轻松的事。而且这种划分方法也导致了交换机执行效率的降低,因为交换机的每一个端口都可能连接许多不同VLAN组的成员,这样就无法限制广播报文了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,VLAN就必须不停的配置。
2.3 基于网络层协议类型划分VLAN
如果网络支持多网络层协议,那么根据数据帧头中的网络层协议类型字段也可以划分VLAN。这对网络管理者来说很重要,同时,这种方法不需要附加的帧标签来识别VLAN,可以减少网络的通信量。
2.4 基于网络层子网地址划分VLAN
根据数据报文头中的网络层子网地址也可以划分VLAN。虽然这种划分方法根据的是第3层信息即网络地址(比如IP地址),但它与网络层的路由功能一点关系也没有。它只是查看每个数据报文的网络层地址,并根据过滤数据库中事先定义好的信息决定其归属于哪个VLAN,然后再根据生成树算法进行桥交换,并不牵涉任何路由操作。这种方法的优点是当某个计算机工作站物理位置改变时,即从一台交换机转移到其它的交换机,不需要重新配置VLAN。其缺点是效率低,因为相对于第1、2层VLAN的实现技术,检查每一个数据报文的网络层地址是很费时间的。一般的交换机芯片都优点是具有更大的灵活性,而且也很容易通过路由器进行扩展。缺点是不适合LAN,主要是效率不高。
2.6 基于网络层以上协议乃至应用程序的类型划分VLAN
根据网络层以上协议的类型、可以自动检查数据帧的帧头,但检查数据报文的报文头,则需要更高的技术(设备设计制造成本也会相应增加),同时也更费时。当然,这跟各个厂商的实现方法有关。
2.5 基于网络层组播地址划分VLAN
网络层组播实际上是一种VLAN。即认为一个组播组就是一个VLAN,这种划分方法实际将VLAN扩大到了WAN。该方法的应用程序的类型乃至两者的综合来划分VLAN也是有可能的。例如,规定所有的FTP应用在一个VLAN里运行而所有的Telnet应用在另一个VLAN里运行。这些方法的缺点在于它们都很费时,都要求更高的处理技术和更快的处理速度,目前的实现尚无法令人们满意。
802.1Q草案标准仅仅定义了基于端口和MAC地址来划分VLAN的标准方案,虽然它也允许基于协议类型的VLAN以及3层以上VLAN,但并没有给出相应的标准。
