传输网/接入网/交换网
虚拟局域网(VLAN)是一组逻辑上的设备和用户,这些设备和用户并不受物理位置的限制,可以根据功能、部门及应用等因素将它们组织起来,相互之间的通信就好像它们在同一个网段中一样,由此得名虚拟局域网。VLAN是一种比较新的技术,工作在OSI参考模型的第2层和第3层,一个VLAN就是一个广播域,VLAN之间的通信是通过第3层的路由器来完成的。与传统的局域网技术相比较,VLAN技术更加灵活,它具有以下优点:网络设备的移动、添加和修改的管理开销减少;可以控制广播活动;可提高网络的安全性。
无论如何,对于企业来说,路由器和交换机都是必须设置,对于中、大型企业来说,路由器作为接入设备,从交换机上划分VLAN是比较常用的做法,也比较便于管理。
本例的目的就是使用交换机配置VLAN,路由器作为内网的网络出口,并起到路由的作用,简易网络拓扑图如图1所示。
第一步:配置路由器。为了能让整个网络正常通讯,第一步必须简单的配置一下路由器,这里主要讲解IP地址的配置方法。如果第一次配置路由器需要使用串口连接,如果以前对路由器进行过配置,那么这里可以直接使用Telnet的方法连接,这里使用Telnet的方式连接到路由器,将路由器的以太网接口IP地址设置为10.150.224.1,子网掩码为255.255.255.0,在实际的配置过程中,大家可以根据自己的实际情况对IP地址、子网掩码进行修改。
进入路由器之后,依次输入以下命令,“//”之后为命令简单解释,实际配置时无需输入。
Enable//进入特权模式
Configureterminal//进入配置模式
Hostnameroutervlan//为路由器命名
Interfacefastethernet0/0//进入接口模式
Ipaddress10.150.224.1255.255.255.0//配置当前接口的IP地址和子网掩码
Noshut//开启接口
上面的命令行中,所有提示符均忽略未输入,实际执行结果可以参看图2。
第二步:配置交换机。全部使用思科的设备的好处非常明显,兼容性、稳定性就不说了,连命令同路由器的都基本上相同,配置也方便。
配置交换也比较简单,只要先根据需要建立VLAN,然后再将交换机的各端口指派给具体的VLAN即可。
执行以下命令,即可完成一个VLAN的创建,并将1号端口指派给创建的VLAN。
Enable//进入特权模式
Configureterminal//进入配置模式
Vlan11namepcs//建立VLAN
Interfacee0/1//进入接口模式
Vlan-membershipstatic11//将当前端口指派给刚刚创建的VLAN
以上就是划分VLAN以及指派端口所涉及到的命令了,根据自己的需要稍做变通即可创建适合自己的VLAN,具体命令执行如况如图3所示。
不同型号的设备配置稍有不同,具体使用时可以通过“?”来查看命令以命令的具体语法格式。
上面只是进行了简单的VLAN划分,通过在客户端进行相应的IP设置,可以通过交换机的,最后再经过路由器访问Internet,但没有进行很好的路由配置,在大型企业网络中,就需要对虚拟局域网进行路由配置了。
简单拓扑图同图一类似,只是进行虚拟局域网的路由设置,一般设备相对来说要高端一点,这里以5500的交换机同3640的路由器为例进行简单讲解,这里假设在交换机中已经划分了三个虚拟局域网,名字分别为11、22、33,现在通过3640来实现虚拟局域网之间的路由,将交换机上支持ISL的端口与路由器的端口进行连接。
enable
configureterminal
interfaceethernet0/0
encapsulationisl11
ipaddress10.150.1.1255.255.255.0
interfaceethernet0/1
encapsulationisl22
ipaddress10.150.2.1255.255.255.0
interfaceethernet0/2
encapsulationisl33
ipaddress10.150.3.1255.255.255.0
命令具体执行效果如图4所示。
经过一番配置之后,基本上就实现了虚拟局域网之间的路由了,这时可以通过Show命令来查看当前的配置情况,如果对配置情况确认的话,就执行Copy命令将结果保存。
在一个共享网络中,一个网段就是一个独立的广播域。但是在交换网络,广播域就可以任意选定第二次网络地址组成的虚拟网段。在这样的情况中,网站工作组就可以不受共享网络地理位置的控制,只根据管理功能划分。
虚拟局域网的分组模式,可以提高网络规划和重组的管理功能。在同一个虚拟局域网中的工作组,不论它们与哪个交换机进行连接,它们之间的通讯还就和在独立交换机上一样。这样就可以很好的控制广播风暴的发生;同时,没有路由的话,不同的虚拟网之间也不能通讯,就可以增加企业网络中不同部门之间的安全性。
网络管理员可以通过配置虚拟局域网之前的路由来管理企业不同单元之间的信息互访。交换机是根据用户工作站的MAC地址来划分虚拟局域网的。所以,用户在整个企业网络中移动办公的话是没有限制的,不管在哪里进去到交换网络中,都可以与虚拟互联网内其他用户互相沟通。
增强局域网的安全性,含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的,即一个VLAN内的用户不能和其它VLAN内的用户直接通信,如果不同VLAN要进行通信,则需要通过路由器或三层交换机等三层设备。
借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。
基于端口来划分VLAN是目前最为常用的方法,具有简单、安全和实用的特点。以这种方式划分VLAN时,VLAN可以被理解为交换机端口的集合,这些被划分到同一个VLAN中的端口可以是在一个交换机中的,也可以是来自不同的交换机的。例如,可以把某一交换机的1、3、6端口划分到VLAN10,而把2、4、5端口划分到VLAN20。但是划分到VLAN10中的这些端口必须使用VLAN10中的网络地址,划分到VLAN20中的端口必须使用VLAN20中的网络地址,否则将不能进行通信。按端口进行VLAN划分的设置操作较为简单,也容易被理解和接受。但是它不允许在一个端口上设置多个VLAN,同时在设备移动或添加时,需要网络管理人员对交换机的端口重新进行设置。该划分方式属于静态划分方式。
这种方式是根据网络设备的物理地址(MAC地址)来划分VLAN,属于动态划分方式。由于网络设备的MAC地址是惟一的,所以,基于MAC地址划分VLAN时,当网络设备从一个物理位置移到另一个物理位置而没有改变其VLAN时,可以避免对VLAN重新进行设置和修改。在这种方式下,每一个VLAN就是一张MAC清单。当网络规模较大、设备较多时,要对每个网络设备逐一进行VLAN设置,维护这些MAC清单也是相当繁重的一项工作,这是这种划分方式的缺点,也就是说,基于MAC的划分方式不适合于大型网络。
实现这种基于MAC地址划VLAN的方式,通常需要一台VLAN成员策略服务器(VLANMembershipPolicyServer,VMPS),VMPS服务器中有一个VMPS数据库,该数据库中包含了MAC地址到VLAC成员关系的关联。每当一台计算机接入交换机端口时,交换机将该交换机的MAC地址发送到VMPS服务器中,VMPS服务器将在VMPS数据库中查找该MAC地址对应的VLAN配置信息并返回给交换机进行配置。
这是一种基于网络层协议或网络地址来划分VLAN的方式。基于网络层协议的划分是在使用多种协议的情况下,可以根据所使用的协议来划分不同的VLAN,它对每个协议有可能有不同的虚拟的拓扑形式。而基于网络地址的VLAN划分是根据所连接的计算机的网络层地址进行VLAN的划分,VLAN之间的路由是自动的,不需要外部路由器。基于网络地址的VLAN可以在一个端口上设置多个VLAN。
在实际应用时,应根据具体的需要和所选用的交换机设备来决定采用哪种VLAN的划分,以获得最佳的效果。
全部0条评论
快来发表一下你的评论吧 !