论文部分内容阅读
摘要:该文章主要探讨了三层交换技术的发展以及VLAN技术的实现,在企业中对小型网络 通过TRUNK实现跨交换机划分虚拟局域网(VLAN)、VTP管理、实现VLAN间的路由访问等配置,以及通过技术实现企业网络管理。
关键词:VLAN技术,三层交换机、TRUNK
中图分类号:C29 文献标识码:A 文章编号:
现下以太网技术的发展非常迅猛,比较广泛应用的是三层交换网络以及虚拟局域网也就是我们常说的VLAN。综合使用以上技术可以实现对企业网络的逻辑子网的划分、减少广播风暴对网络的时延影响、访问的控制、故障的隔离、相同VLAN间的数据交换、不同VLAN之间的路由等等功能。
三层网络的交换技术
1.1 三层网络的交换技术的实现原理
三层交换技术的出现是为了改变传统交换技术的概念提出的。传统的二层交换技术是在OSI对应层的数据链路层上进行实施的,可是三层的交换技术则是在网络模式中的第三层的网络层上实现的分组的快速转发。简而言之,三层的交换技术就是在同一台交换机的不同端口上实现快速交换与路由功能的技术,具体实现就是,从转发第一数据分组开始,就会产生一组由MAC与IP以及对应端口形成的映射表。当后续的数据转发时就会根据这张映射表直接进行快速转发而不需要重新路由了。这样做的优点就是改变了原有传统路由对每个分组都进行路由,实现一次路由之后可根据映射表快速转发,提高网络的数据传输性能。
1.2 三层网络的交换技术的优势
传统网络对局域网划分完子网后必须需要路由器进行相关的管理,由于传统路由低速且复杂造成很大的网络瓶颈。因此提出了三层网络的交换技术,大大改善了上述网络性能情况。其设备三层交换机可以支持Trunk协议,实现网络的组播及自学、可成为核心交换机等等优点,是目前的主流交换设备。
VLAN的技术
2.1 VLAN的概述
VLAN的实现是对物理局域网通过对设备的相关配置划分出逻辑局域网络。VLAN的划分可以不受地域的限制,可以实现一个物理区域内的多个VLAN存在,也可以一个VLAN在不同实际地域。
VLAN没有地域的限制,且和普通的局域网一样,第二层的数据帧可以在一个VLAN内转发传输,但是不会进入其他VLAN中。不同的VLAN中的用户需要访问的时候,是无法通过二层设备来完成的,但是可以通过三层交换设备完成。
2.2 VLAN的划分方法
为了完成VLAN的划分,需要清除哪些用户属于哪些VLAN中,从技术的角度来讲,VLAN的划分主要有3种方法:
按端口划分:是依照一个或者多个交换机设备上的若干端口划分到一个逻辑组中,称为一个VLAN,这也是最常见的划分方法。
按MAC划分:MAC就是机器网卡的物理地址,可通过网络管理的方法将若干个MAC地址划分到同一个VLAN中。
按路由划分:路由功能是在网络层的基本功能,常见设备是路由器与3层交换机。允许一个VLAN在很多交换机上,也同时允许某个端口属于很多个VLAN中。
2.3 VLAN的优点
VLAN技术的优点主要表现在几个方面;
网络广播的控制
网络管理的目的就是解决广播带来的网络消耗。在VLAN里,局域网被逻辑的划分成了若干个广播域,由于广播只在本VLAN中传送,并不向其他VLAN中广播。因此很好的控制了广播的传输,避免网络带宽的不必要消耗,提高了网络的性能。
(2)提高了网络的安全性
网络的共享能力在广播上必然会带来安全问题,因为网络的用户都可以检测到流经的数据包,都可以通过端口收到广播数据包。由于采用了VLAN的安全机制,达到了限定用户的访问,控制了广播组播的位置,也可从技术上设定特定的MAC地址段,这样就达到了信息的传送不会被未授权的用户接受,提高了网络信息传送的安全问题。
提高了网络管理的能力
可以使用VLAN的管理程序对整个网络进行管理,轻松实现网络的管理问题。管理员可以根据业务需求快速重新定义与调整VLAN。网络拥挤时候,可通过管理程序快速定义分配各种网络业务。管理程序可以完成对工作组的业务,传送量、广播等行为进行日志报告。VLAN的重新配置与变动对于用户端是无需配置的、透明的。
VLAN可以降低成员变化带来的网络消耗。在变动成员时候不需要重新布线,也无需对成员直接设置。降低了网络的开销。
企业应用
3.1 架构设计
某企业设有总裁室、财务部以及人力部门等,企业局域网架构如图3-1所示,拥有一台Cisco3560以及两台Cisco 2950交换机。随着企业规模的扩大,员工上网办公的需求迅猛增长,如果不进行VLAN的划分,将所有人接入网络,势必引起强烈的网络信息风暴,造成网络性能的低下。综合实际考虑,由于同部门人员不一定是集中办公的特点,可以考虑跨地域将其设置到同一个VLAN中,实现数据传输的安全与共享。
图3-1 企业内部网络示意图
现有的VLAN,IP,网关设置如表3-1所示
表3-1 VLAN—IP对应表
3.2 VTP对VLAN进行管理
VTP是VLAN的中继协议,目的是在VLAN数目繁多时候对其进行管理,VTP是借助域的模式进行交换机管理的,将同一域中的交换机划入交换机组,可指定一台交换机称为VTP服务器,其余就是客户机。VLAN的创建工作在VTP的服务器上运行,各客户机则只对各VLAN接口进行划分,不进行创建VLAN的操作。VTP的出现保证了整体网络VLAN的一致性问题。
将S0交换机设置为VTP服务器,S1与S2称为客户机,在S0上完成对VLAN2、VLAN3的创建,VLAN1是默认的。
VTP服务器的关键设置如下:
S0#config ter
S0(conffig)#vtp mode server
S0(config)#vtp domain ntvtp
S0(config)#exit
S0#vlan database
S0(vlan)#vlan 2 name VLAN2
S0(vlan)#vlan 3 name VLAN3
S0(vlan)#exit
S1的配置命令
S1#config ter
S1(config)#vtp mode client
S1(config)#vtp domain ntvtp
S1(config)#exit
客户机S2设置同S1类似,由于客户机不需要创建VLAN,是由服务器上创建VLAN操作的。
3.3 跨交換机进行VLAN划分
VLAN划分的方法依据是:先将端口放入对应VLAN,然后在全局配置模式下对对应的端口进行设置。
在交换机的管理界面中对VLAN 1设置IP,也就是交换机本身的管理IP,通过这个IP管理员可以TELNET远程管理该交换设备。
交换机间连接的端口应设置为Trunk端口,该端口特点是不同的VLAN信号可以通过若干交换机,这样就可以形成一个VLAN跨越多个交换机设备。达到属于同一VLAN的计算机设备间可以通讯。
表3-2 VLAN的具体划分
交换机S0的配置命令:
S0(config)#int fa0/1
S0(config-if)#switchport mode trunk
S0(config)#int fa0/2
S0(config-if)#switchport mode trunk
S0(config)#int vlan1
S0(config)#ip add 192.168.1.1 255.255.255.0
S0(config)#no shutdown
交换机S1的命令如下:
S1(config)#int range fa0/1-4
S1(config-if-range)#switchport access vlan2
S1(config-if-range)#exit
S1(cofig)#int range fa0/5-6
S1(config-if-range)#switchport access vlan3
S1(config-if-range)#exit
S1(config)#int fa0/24
S1(config-if)#switchport mode trunk
S1(config)#int vlan1
S1(config-if)#ip add 192.168.1.2 255.255.255.0
S1(config-if)#no shutdown
交换机S2的配置命令如下:
S2(config)#int range fa 0/1-5
S2(config-if-range)#switchport access vlan2
S2(config)#int fa0/24
S2(config-if)#switchport mode trunk
S2(config)#int vlan 1
S2(config-if)#ip add 192.168.1.3 255.255.255.0
S2(config-if)#no shutdown
通过上述配置,实现了广播的隔离,同VLAN的PC之间才可以通讯。
3.4 三层交换机VLAN配置
VLAN间的通讯,需要在三层交换机上进行配置,分别设置VLAN2与VLAN3的管理IP,再在PC段设置相应的网关地址,达到VLAN之间通讯的目的。
三层交换机S0的配置:
S0(config)#int vlan1
S0(config-if)#ip add 192.168.2.1 255.255.255.0
S0(config-if)#no shutdown
S0(config-if)#exit
S0(config)#int vlan 3
S0(config-if)#ip add 192.168.3.1 255.255.255.0
S0(config-if)#no shutdown
S0(config-if)#exit
通過上述配置实现了广播的隔离以及不同VLAN之间的通讯。
小结
本文主要阐述了一个企业网络关于VLAN划分,并且使用三层交换设备完成VLAN间的通讯,提高网络的性能。以后的还可以研究通过路由访问控制列表也就是ACL技术实现用户的访问权限与逻辑网段的大小,可以进一步提高企业网络的整体性能以及安全稳定。
参考文献:
【1】郭锡泉.网络互联设备配置.[M].人民邮电出版社,2010
【2】 顾巧论,高铁杠,贾春福,计算机网络安全[M],北京:清华大学出版社,2004
【3】楚狂.网络安全与防火墙技术仁[M],重庆: 重庆大学出版社, 2005.4.
关键词:VLAN技术,三层交换机、TRUNK
中图分类号:C29 文献标识码:A 文章编号:
现下以太网技术的发展非常迅猛,比较广泛应用的是三层交换网络以及虚拟局域网也就是我们常说的VLAN。综合使用以上技术可以实现对企业网络的逻辑子网的划分、减少广播风暴对网络的时延影响、访问的控制、故障的隔离、相同VLAN间的数据交换、不同VLAN之间的路由等等功能。
三层网络的交换技术
1.1 三层网络的交换技术的实现原理
三层交换技术的出现是为了改变传统交换技术的概念提出的。传统的二层交换技术是在OSI对应层的数据链路层上进行实施的,可是三层的交换技术则是在网络模式中的第三层的网络层上实现的分组的快速转发。简而言之,三层的交换技术就是在同一台交换机的不同端口上实现快速交换与路由功能的技术,具体实现就是,从转发第一数据分组开始,就会产生一组由MAC与IP以及对应端口形成的映射表。当后续的数据转发时就会根据这张映射表直接进行快速转发而不需要重新路由了。这样做的优点就是改变了原有传统路由对每个分组都进行路由,实现一次路由之后可根据映射表快速转发,提高网络的数据传输性能。
1.2 三层网络的交换技术的优势
传统网络对局域网划分完子网后必须需要路由器进行相关的管理,由于传统路由低速且复杂造成很大的网络瓶颈。因此提出了三层网络的交换技术,大大改善了上述网络性能情况。其设备三层交换机可以支持Trunk协议,实现网络的组播及自学、可成为核心交换机等等优点,是目前的主流交换设备。
VLAN的技术
2.1 VLAN的概述
VLAN的实现是对物理局域网通过对设备的相关配置划分出逻辑局域网络。VLAN的划分可以不受地域的限制,可以实现一个物理区域内的多个VLAN存在,也可以一个VLAN在不同实际地域。
VLAN没有地域的限制,且和普通的局域网一样,第二层的数据帧可以在一个VLAN内转发传输,但是不会进入其他VLAN中。不同的VLAN中的用户需要访问的时候,是无法通过二层设备来完成的,但是可以通过三层交换设备完成。
2.2 VLAN的划分方法
为了完成VLAN的划分,需要清除哪些用户属于哪些VLAN中,从技术的角度来讲,VLAN的划分主要有3种方法:
按端口划分:是依照一个或者多个交换机设备上的若干端口划分到一个逻辑组中,称为一个VLAN,这也是最常见的划分方法。
按MAC划分:MAC就是机器网卡的物理地址,可通过网络管理的方法将若干个MAC地址划分到同一个VLAN中。
按路由划分:路由功能是在网络层的基本功能,常见设备是路由器与3层交换机。允许一个VLAN在很多交换机上,也同时允许某个端口属于很多个VLAN中。
2.3 VLAN的优点
VLAN技术的优点主要表现在几个方面;
网络广播的控制
网络管理的目的就是解决广播带来的网络消耗。在VLAN里,局域网被逻辑的划分成了若干个广播域,由于广播只在本VLAN中传送,并不向其他VLAN中广播。因此很好的控制了广播的传输,避免网络带宽的不必要消耗,提高了网络的性能。
(2)提高了网络的安全性
网络的共享能力在广播上必然会带来安全问题,因为网络的用户都可以检测到流经的数据包,都可以通过端口收到广播数据包。由于采用了VLAN的安全机制,达到了限定用户的访问,控制了广播组播的位置,也可从技术上设定特定的MAC地址段,这样就达到了信息的传送不会被未授权的用户接受,提高了网络信息传送的安全问题。
提高了网络管理的能力
可以使用VLAN的管理程序对整个网络进行管理,轻松实现网络的管理问题。管理员可以根据业务需求快速重新定义与调整VLAN。网络拥挤时候,可通过管理程序快速定义分配各种网络业务。管理程序可以完成对工作组的业务,传送量、广播等行为进行日志报告。VLAN的重新配置与变动对于用户端是无需配置的、透明的。
VLAN可以降低成员变化带来的网络消耗。在变动成员时候不需要重新布线,也无需对成员直接设置。降低了网络的开销。
企业应用
3.1 架构设计
某企业设有总裁室、财务部以及人力部门等,企业局域网架构如图3-1所示,拥有一台Cisco3560以及两台Cisco 2950交换机。随着企业规模的扩大,员工上网办公的需求迅猛增长,如果不进行VLAN的划分,将所有人接入网络,势必引起强烈的网络信息风暴,造成网络性能的低下。综合实际考虑,由于同部门人员不一定是集中办公的特点,可以考虑跨地域将其设置到同一个VLAN中,实现数据传输的安全与共享。
图3-1 企业内部网络示意图
现有的VLAN,IP,网关设置如表3-1所示
表3-1 VLAN—IP对应表
3.2 VTP对VLAN进行管理
VTP是VLAN的中继协议,目的是在VLAN数目繁多时候对其进行管理,VTP是借助域的模式进行交换机管理的,将同一域中的交换机划入交换机组,可指定一台交换机称为VTP服务器,其余就是客户机。VLAN的创建工作在VTP的服务器上运行,各客户机则只对各VLAN接口进行划分,不进行创建VLAN的操作。VTP的出现保证了整体网络VLAN的一致性问题。
将S0交换机设置为VTP服务器,S1与S2称为客户机,在S0上完成对VLAN2、VLAN3的创建,VLAN1是默认的。
VTP服务器的关键设置如下:
S0#config ter
S0(conffig)#vtp mode server
S0(config)#vtp domain ntvtp
S0(config)#exit
S0#vlan database
S0(vlan)#vlan 2 name VLAN2
S0(vlan)#vlan 3 name VLAN3
S0(vlan)#exit
S1的配置命令
S1#config ter
S1(config)#vtp mode client
S1(config)#vtp domain ntvtp
S1(config)#exit
客户机S2设置同S1类似,由于客户机不需要创建VLAN,是由服务器上创建VLAN操作的。
3.3 跨交換机进行VLAN划分
VLAN划分的方法依据是:先将端口放入对应VLAN,然后在全局配置模式下对对应的端口进行设置。
在交换机的管理界面中对VLAN 1设置IP,也就是交换机本身的管理IP,通过这个IP管理员可以TELNET远程管理该交换设备。
交换机间连接的端口应设置为Trunk端口,该端口特点是不同的VLAN信号可以通过若干交换机,这样就可以形成一个VLAN跨越多个交换机设备。达到属于同一VLAN的计算机设备间可以通讯。
表3-2 VLAN的具体划分
交换机S0的配置命令:
S0(config)#int fa0/1
S0(config-if)#switchport mode trunk
S0(config)#int fa0/2
S0(config-if)#switchport mode trunk
S0(config)#int vlan1
S0(config)#ip add 192.168.1.1 255.255.255.0
S0(config)#no shutdown
交换机S1的命令如下:
S1(config)#int range fa0/1-4
S1(config-if-range)#switchport access vlan2
S1(config-if-range)#exit
S1(cofig)#int range fa0/5-6
S1(config-if-range)#switchport access vlan3
S1(config-if-range)#exit
S1(config)#int fa0/24
S1(config-if)#switchport mode trunk
S1(config)#int vlan1
S1(config-if)#ip add 192.168.1.2 255.255.255.0
S1(config-if)#no shutdown
交换机S2的配置命令如下:
S2(config)#int range fa 0/1-5
S2(config-if-range)#switchport access vlan2
S2(config)#int fa0/24
S2(config-if)#switchport mode trunk
S2(config)#int vlan 1
S2(config-if)#ip add 192.168.1.3 255.255.255.0
S2(config-if)#no shutdown
通过上述配置,实现了广播的隔离,同VLAN的PC之间才可以通讯。
3.4 三层交换机VLAN配置
VLAN间的通讯,需要在三层交换机上进行配置,分别设置VLAN2与VLAN3的管理IP,再在PC段设置相应的网关地址,达到VLAN之间通讯的目的。
三层交换机S0的配置:
S0(config)#int vlan1
S0(config-if)#ip add 192.168.2.1 255.255.255.0
S0(config-if)#no shutdown
S0(config-if)#exit
S0(config)#int vlan 3
S0(config-if)#ip add 192.168.3.1 255.255.255.0
S0(config-if)#no shutdown
S0(config-if)#exit
通過上述配置实现了广播的隔离以及不同VLAN之间的通讯。
小结
本文主要阐述了一个企业网络关于VLAN划分,并且使用三层交换设备完成VLAN间的通讯,提高网络的性能。以后的还可以研究通过路由访问控制列表也就是ACL技术实现用户的访问权限与逻辑网段的大小,可以进一步提高企业网络的整体性能以及安全稳定。
参考文献:
【1】郭锡泉.网络互联设备配置.[M].人民邮电出版社,2010
【2】 顾巧论,高铁杠,贾春福,计算机网络安全[M],北京:清华大学出版社,2004
【3】楚狂.网络安全与防火墙技术仁[M],重庆: 重庆大学出版社, 2005.4.