VLAN数据

VLAN数据（精选七篇）

VLAN数据 篇1

1.1 PUPV

广播电视数据网业务VLAN规划PUPV方式的主要特征是各类业务共用VLAN, 局域网中开通业务与连接设备时不设置内部网关, 而是通过局域网汇聚端的Qin Q启动外层标签, 以此进行信号传输划分, 不同终端的数据信号通过同一VLAN上行, 依据PPPo E和IPo E等不同协议报文进行业务分流。另外, PUPV模式下可根据相应业务报文的目的IP进行分流, 对于同一报文封装的不同业务, 则可根据目的IP进行Qin Q业务分流。

1.2 PSPV

广播电视数据网业务VLAN规划PSPV方式的主要特征是相同网关下的相同业务共用VLAN, 局域网内部开通业务与连接设备时需要设置相应的可划分VLAN网关, PSPV模式通过双端口Eo C终端等形式将数据业务分配到不同VLAN之上。该模式通过业务类型划VLAN, 不能有效区分不同用户特征, 在用户信息识别方面存在一定不足。

1.3 PUPSPV

广播电视数据网业务VLAN规划PUPSPV方式细分特征较为明显, 局域网为每个用户的每种业务分配VLAN, 内部开通业务与连接设备时设置相应的可划分VLAN网关, EPON OLT信息传输通过各VLAN的Qin Q进行业务分类。这种VLAN划分方式较为使用设备较多的局域网形式, 通过BRAS进行Qin Q终结。

PUPSPV模式下, 用户与业务两项数据类别进行了有效的划分, 能够实现精准化的识别, 对于提高业务计费与并行的准确性和高效性有着重要作用。

1.4 混合模式

广播电视数据网业务VLAN规划混合模式的特点在于针对不同的业务特征选择相应的规划模式, 这些不同模式并行作用实现相应的业务数据传输功能。当前, 三网融合背景下的广播电视数据网业务VLAN规划混合模式, 多为PSPV+PUPSPV组合方式, 如宽带业务为PUPSPV, VOD业务为PSPV等。

2 广播电视数据网业务VLAN规划

2.1 上网业务VLAN规划

广播电视数据网上网业务采用PUPSPV方式规划VLAN, 其具体内容如下:

1) FTTB环境中有主要以下两种方式:方式一, 使用ONU进行层内VLAN标记, 相同PON端口下用户VLAN不同, 使用OLT进行外层VLAN标记, 由选择性Qin Q功能实现位置与业务信息传递;方式二, 使用ONU进行层内与外层VLAN标记, 借助OLT透传外层VLAN, 由选择性Qin Q功能实现位置与业务信息传递。

2) FTTH环境中有主要以下两种方式:方式一, 与FTTB环境中的方式一相同, 通过ONU进行层内标记, 通过OLT进行外层标记;方式二, ONU统一配置, OLT统一进行层内上网业务规划。

2.2 语音业务VLAN规划

广播电视数据网语音业务采用单层VLAN进行规划, 其具体内容如下:

1) 在FTTB环境中, 使用ONU进行语音业务标记, 使用OLT进行透传, 一个OLT对应一个VLAN。

2) 在FTTH环境中有主要以下两种方式:方式一, 与FTTB环境中的方式一相同;方式二, ONU统一配置, OLT统一进行语音业务VLAN规划。

2.3 IPTV业务VLAN规划

IPTV点播业务采用每业务每VLAN的方式进行规划, 其具体内容如下:

1) 在FTTB场景下, 使用ONU进行IPTV业务标记, 使用OLT进行透传。相同PON口或OLT用户使用相同VLAN, 各VLAN不重复。

2) 在FTTH场景下可以采用两种方式:方式一, 与FTTB环境中的方式一相同;方式二, ONU统一配置, OLT统一进行IPTV业务VLAN规划。

3 广播电视数据网业务VLAN规划方案的实现

广播电视数据网业务VLAN规划相应的方案可按照以下方法实现:

1) PC上网业务采用PUPSPV方式进行VLAN划分。首先, 针对业务业务接入端, 进行分业务内层标记, 为不同用户的不同业务打上VLAN标签。例如, 某区域中的1号接入用户, 其相应的业务编号为:上网业务1001, 机顶盒业务1002, 该区域中的2号接入用户相应的业务编号为:上网业务1003、机顶盒业务1004等。其次, 对区域中的不同小区编号。例如, 某小区A编号为1, 小区B编号为2, 将小区编号作为外层标签。按照这种划分方式, 能够获得“用户业务编号+小区编号”的二层ID, 上述小区A中的1号用户其相应的上网业务二层ID为“1001:1”, 小区B中的2号用户其相应的上网业务二层ID为“1004:2”。这样不同用户的相同业务其编号ID不同, 这样就能准确的获取用户位置与业务信息, 实现准确的上网计费。

2) 机顶盒回传以及VOIP业务按照PSPV的划分方式。首先, 相同小区内的数据各业务类型进行编号。例如, 对于A小区, 其相应业务编号为:VOIP业100、机顶盒业务200;对于B小区, 相应业务编号为:VOIP业务300, 机顶盒业务400。其次, 对小区进行编号。与上网业务相类似, 对区域内的各小区进行编号, 如A、B、C、D、E等小区, 分别对应1、2、3、4、5编号。按照这种划分方式, 能够获得“小区业务编号+小区编号”的二层ID, 上述小区A中的VOIP业务编号为“100:1”, 小区B中VOIP业务编号为“400:2”, 这样不同小区相同业务的编号不同, 便可准确获知哪个小区的用户在使用何种业务。

3) 当3种业务全部开通的时候, VLAN资源需要统一规划:上网业务:使用2-999, VLAN在1台BAS下有效, 即不同BAS下VLAN号可以重复, 每台BAS以容纳999×999个用户。

VOIP业务:使用1 000-1 999, 在1台汇聚交换机下有效, 即不同的汇聚交换机下可以重复, 按照小区划分VLAN每台汇聚交换机可容纳1 000个小区。

机顶盒业务:使用2 000-2 999在1台汇聚交换机下有效, 即不同的汇聚交换机下可以重复, 按照小区划分VLAN每台汇聚交换机可容纳1 000个小区。

4 结论

综上所述, 广播电视数据网业务VLAN规划是实现数据业务协调分配、相应业务使用情况以及客户信息获取的重要技术手段, 同时也是维护广电信息传输稳定性与安全性的重要方法。在当前三网融合的背景下, 行业工作者应结合本地区广电业务发展特征, 深入研究分析数据网业务VLAN规划, 实现更为合理科学的组网规划, 实现信息资源的高效利用, 为行业的持续发展提供动力。

摘要：随着信息科学技术的不断发展, 当前广播电视行业数据业务呈现出了新的特点, 与之相对应的广电数据网构建与应用更加复杂。VLAN划分是数据网业务应用的重要环节之一, 通过科学合理的划分方式能够实现有效的用户隔离, 维护数据信息传输的稳定性与安全性。在当前国家三网融合与广电数据网多业务并行发展的背景下, 借助VLAN进行局域网内部逻辑地址划分能够更好地实现广电网的精细化管理, 全面提升网络技术的应用水平。本文探讨了广播电视数据网业务VLAN规划中的要点环节的相关内容, 旨在提供一定的参考与借鉴。

关键词：广播电视,数据网业务,VLAN规划

参考文献

[1]王士钦, 曾菊根.广电数据网业务VLAN规划解析[J].有线电视技术, 2011 (10) :60-61, 72.

[2]林君芬.广电网络基于IP的VLAN划分及地址规划[J].中国有线电视, 2012 (5) :573-575.

[3]李中文, 吴琼.广电双向网改中IP地址与VLAN规划探讨[J].电子世界, 2013 (10) :154-155.

VLAN数据 篇2

几年前, 我所在的学校实现了“班班通”, “班班通”带给教师最大的方便就是在课堂上可以实现在线课堂、资源下载、资源共享等功能, 但不安全的网络环境, 常常在不经意中给教师带来许多尴尬, 有时候, 教师在课堂上讲得正酣, 计算机屏幕中突然弹出一张令人脸红的图片, 慌乱中, 点哪儿也关不掉;有时候, 孩子们正专注地听讲, 突然一声怪叫, 弹出一幅怪兽的游戏网页, 震撼的音乐、诡异的气氛使课堂顿时一片混乱。这些由网络安全引发的问题, 无意中影响了严肃的课堂教学。“有什么办法能够阻止这些不健康的图片和广告网页弹出来呢?”应教师们的提问, 初做网管教师的我硬着头皮回答到:“我试试。”

●课堂中改进网络环境

首先, 我分析了当时的网络环境, 信息中心→光电转换器→交换机 (锐捷STAR-S2024M) →上网用PC (加教师机不到50台) , IP地址段:10.112.208.0/22, 网关地址:10.112.211.254, 网关在信息中心而不在本地, 这意味着学校没有管理权限。那么在不改变IP地址的情况下, 只有一种管理方法可选, 那就是交换机端口镜像, 幸好我的交换机支持端口镜像。

在锐捷STAR-S2024M交换机上做端口镜像很简单, console口波特率9600进入交换机, 默认密码supervisor, 然后就是按菜单提示操作, 做好镜像口和被镜像口, 把监控主机插入镜像口, 从信息中心进入的接口插入被镜像口。

万事俱备, 只欠东风。那么, 到底在监控主机上安装什么软件能过滤这些绝对不允许在课堂上出现的图片和网页呢?在搜索大量资料后, 我最终选定了一款上网行为管理软件“网路岗”。选中网路岗, 主要是看中它在网页过滤中的两个功能。

1.自定义禁止网站 (包括搜索关键词) 。

首先, 把教师们经常反映的一些网页地址加进去。其次, 把我自己遇到的一些不健康的网站地址加进去。第三, 利用网路岗本身的网站统计功能, 找出一些异常网站, 经验证为不健康网站, 再把它的地址加进去。我在单位内部的办公系统上开了一个专门的邮箱, 让教师们随时把他们遇到的不良网页地址发给我, 经我验证为不良网站后, 及时封堵。

2.海量过滤库。

网路岗内置了一些常见的不良网站列表库 (色情、暴力等) , 将这里的网页地址封堵即可。经过这样的处理后, 几年来学校网络一直在健康的环境下正常运行。

●改进过程一波三折

然而随着信息技术的飞速发展, 学校的计算机逐渐多了起来, 光能上网的机器就有200多台, 最近有老师经常反映说, 网速慢得和“牛”一样, 并且即时通讯软件经常掉线, 也难怪, 这么多台机器在同一VLAN里, 仅ARP欺骗一项, 就能把人搞得焦头烂额。

经向教委信息中心申请对网络进行改造并获得许可后, 信息中心提供了一台华为S3900-EI交换机, 并改变了网关的结构和IP地址。借此机会, 我也对校园的网络结构做了一些改变, 划分了VLAN, 配置了DHCP, 对交换机进行了简单的管理配置等, 网络详细的拓扑结构如下图。

第一步:因为信息中心的网络结构做了改变, 所以做了如下配置。

配置交换机的名字、上联接入接口和默认路由。

1.配置交换机的名字。

Sysname XXXX

2.配置出口VLAN 50。

vlan 50

Name Uplink

Port Ethernet 1/0/1 (与信息中心连接的上联端口)

Quit

Interface vlan-interface 10

Ip address 10.113.245.6 30 (学校互联地址)

quit

3.配置默认路由。

Ip route-static 0.0.0.0 0.0.0.010.113.245..5 (信息中心网关地址)

第二步:为了解决同一网段机器过多, 造成的ARP欺骗等故障, 我将学校IP地址按需求划分子网, 并配置相应的VLAN。

1.划分子网IP。

学校地址为:10.112.2 0 8.0/255.255.252.0

可划分为4个子网, 分配给服务器、教学楼、实验楼、学生机房不同的网关地址。

2.配置相应的VLAN。

(1) 配置服务器VLAN 10。

vlan 10

Name servers

Port gi1/1/1

quit

Interface vlan-interface 10

Ip address 10.112.208.254 24 (此IP为服务器的网关地址)

Quit

(2) 以此类推, 根据划分后的子网IP地址, 分别配置教学楼、实验楼、学生机房的VLAN为VLAN 20、VLAN30、VLAN 40。

第三步:为了管理方便, 需要配置交换机的远程管理、SNMP配置。

1.配置远程管理。

Local-user user1 (新建登录账号user1)

Password cipher 123456

Service-type telnet ssh terminal

authorization-attribute level 3

quit

user-interface aux 0

authentication-mode scheme

quit

user-interface vty 0 4

authentication-mode scheme

quit

telnet登录:管理终端命令行:telnet网关IP地址

web登录:管理终端浏览器:http://网关IP地址

2.配置SNMP。

snmp-agent community read XXXXXX

snmp-agent community write XXXXXX

snmp-agent sys-info location Da Xing Yi Zhong

snmp-agent sys-info version all

第四步:为了减少IP冲突和手工配置IP的麻烦, 配置了DHCP服务。

dhcp server ip-pool 10

network 10.112.208.0 mask255.255.255.0

gateway-list 10.112.208.254

dns-list 10.111.1.1 10.111.1.2

dhcp server forbidden-ip10.112.208.1 10.112.208.10

以此类推, 配置教学楼、实验楼、学生机房的DHCP服务。

整个网络配置做完了, 我去各个信息点做了测试, 都能上网, 配置成功;下一步, 做多VLAN下的网路岗部署, 以前从没做过, 希望不要出问题。

因为E1接口在信息中心接入口VLAN 50中, 那么配置E1接口为被镜像口;配置E2为镜像口, 接入网路岗, 我办公室的计算机在服务器组VLAN 10中, 为了管理方便, 把E2接口划入VLAN10中。这里做一个简要的说明, 华为和H3C的部分交换要先把端口加入VLAN, 再做端口镜像配置, 不然会出现“Can not configure moinitor port!”的错误提示, 具体配置如下:

vlan 10

port e 1/0/2

mirroring-group 1 local

mirroring-group 1 mirroringport e 1/0/1 both

mirroring-group 1 monitorport e 1/0/2

网路岗主机配:IP地址:10.112.208.1

子网掩码:255.255.255.0

缺省网关:10.112.208.254

网路岗的监控模式默认有三种: (1) 基于网卡MAC; (2) 基于帐户; (3) 基于IP。因为我在第一次配置网路岗的时候, 选择的是基于网卡MAC, 现在, 我想当然地也选择基于网卡MAC的监控模式, 但当我扫描主机的时候, 奇怪的事情出现了, 我发现我只能扫描到10.112.208.0网段的主机, 其他3个段的主机都扫描不到。看来把网路岗部署到哪个VLAN, 用基于网卡MAC监控模式, 就只能扫描到这个VLAN的主机, 其他VLAN的扫描不到。遇到了难题, 还有没有别的办法呢?我无意中选择了基于IP的选项, 一扫描, 所有在线的主机都出现了。看来, 在单VLAN模式下, 一般选择基于网卡MAC的监控模式, 在多VLAN模式下, 最好选择基于IP的监控模式。然后应用以前设置好的网页过滤策略到这4个网段的计算机上, 在我的计算机上做封堵测试, 成功。

●再次反思不断进步

最近教学楼有老师反映说, 很久不见了的不健康网站又弹出来了, 我看了监控记录, 封堵正常, 以为是新发现的弹出页, 可没想到, 没过几天, 实验楼、机房的老师都反映有弹出不良网站和广告的情况, 我突然意识到事情的严重性, 是不是部署有问题?于是将Baidu添加到网页过滤封堵策略里做测试, 在我的计算机上, 封堵成功, 但在教学楼、实验楼、机房做测试, 封堵都不成功, 查看监视记录, 都显示封堵成功。看来, 网路岗对和它不同VLAN的计算机只能监控, 但不能封堵。

经过多次改变结构, 我发现只有把网路岗部署在和信息中心接入口同一VLAN即VLAN 50中, IP地址设置为全网段即划分子网前的网段中, 4个网段才能全部封堵成功。

配置如下:

Undo mirroring-group 1monitor-port e 1/0/2

vlan 50

port e 1/0/2

mirroring-group 1 monitorport e 1/0/2

网路岗主机配:IP地址:10.112.208.1

子网掩码:255.255.252.0

缺省网关:10.112.211.254

但这个时候又出现了一个新问题, 我用远程桌面无法管理我的网路岗服务器了, 每次只能到机房去, 因为网路岗 (在VLAN 50) 和我办公室的计算机 (在VLAN 10) 不在同一VLAN, 又和VLAN 50 (在10.113.245.0/30段、网路岗服务器在10.112.208.0/22段) 不是同一段的IP, 外部就没办法和它取得联系。

最终的解决办法是给这台网路岗监控主机再加一块网卡, 把网线接口插入服务器组交换机即和我办公室计算机同一VLAN的交换机, 配置IP:10.112.208.2/24即可。

VLAN常规划分及应用 篇3

关键词：网络安全,广播域,VLAN,交换机

0 引言

网络上的节点发送一个数据帧或包, 传输到本地网段上的所有节点就是广播, 而该网段上所有设备的集合就称为广播域。在TCP/IP协议中, 很多协议会频繁地使用广播, 例如以RIP作为路由协议时, 每隔30秒路由器就会向邻近的其它路由器广播一次路由信息。随着网络技术的发展、应用需求的增加, 通过交换机在局域网中接入的设备逐渐增多, 交换机会将广播转发到所有的网段, 形成一个大的广播域, 而过大的广播域会带来以下问题:

(1) 广播域过大, 网络中需要广播的数据会急剧增加, 急剧增加的广播包在占用网络带宽的同时, 也使设备频繁地处于对广播包的响应和处理过程中, 降低正常业务的处理效率。当广播数据超出负载能力时, 容易形成广播风暴, 导致网络瘫痪。

(2) 单纯地将所有用户划分到同一个广播域中, 很难对本地网络中特定的设备接入进行限制, 不仅带来安全隐患, 而且限制了网络的灵活性。

综上, 当局域网内的接入设备达到一定数量后, 一种有效的做法是进行虚拟局域网划分, 将一个完整的网络划分为多个能够隔离广播的逻辑组, 将一个大的广播域划分为若干个小的广播域, 从而减少广播效应带来的损害。

1 VLAN及划分方式

在IEEE802.1Q标准中, 虚拟局域网VLAN (Virtual Local Area Network) 的定义为:VLAN是由一些局域网网段构成的与物理位置无关的逻辑组, 这些网段具有某些共同需求[1]。

每一个VLAN帧都有一个明确的标识符, 标示出发送该帧的工作站是属于哪一个VLAN。以IEEE802.1Q为例 (帧格式如图1所示) , 交换机会在该帧的源地址字段和类型字段之间插入一个4字节的标记字段, 并重新计算FCS。交换机根据该字段值就可以将数据帧转发到同一VLAN上。

常见的VLAN划分方式有[2,3]:

(1) 基于端口的VLAN划分。该方式按照交换机上的端口进行逻辑组划分, 可以在一台交换机上划分, 也可以跨越多台交换机划分。信息只在相同的VLAN端口间传送, 便于监控, 但缺乏灵活性, 一旦成员设备位置发生端口调整时, 必须重新进行配置。

(2) 基于MAC地址的VLAN划分。该方式依据网卡的MAC地址进行逻辑组划分。管理员根据用户MAC地址及VLAN需求进行配置。由于划分不依赖于端口, 当成员设备位置发生端口改变时, 设备逻辑组成员资格不会发生改变, 具有一定灵活性。但当有新的设备接入网络或设备的网卡发生改变时, 必须重新进行维护。

(3) 基于策略的VLAN划分。该方式可以通过VLAN交换机端口、MAC地址、IP地址、网络层协议等多种方式进行逻辑组划分, 每种方式都可以视为一种策略, 这些策略还可以组合为新的策略。该方式具有较强的灵活性, 成员设备可以在网络中自由移动而不需要重新配置, 可以减少由于协议转换造成的网络通信延迟, 但此法配置相对复杂, 对网络主干设备要求较高。

(4) 基于IP组播VLAN划分。该方式将IP组播组作为逻辑组的划分依据。设备通过对IP组播组的回应获取成员资格, 同一组播组内的所有设备视为同一VLAN成员。以这种方式定义的VLAN具有较强的灵活性和动态性, 具有跨越路由器、跨越广域网的能力, 适用于将不同地理范围内的用户组成一个VLAN。

2 VLAN划分应用

实际工程中, 通常应根据应用不同考虑如何定义VLAN, 为跨越多台交换机的VLAN通信和跨越多个VLAN的通信选择合理有效的通信方式。要尽可能将接入资源与集中使用需求方的设备规划于同一VLAN中, 使得设备在物理层上集中的同时, 保证服务逻辑上靠近用户, 减少对跨越VLAN通信的依赖。

在无法避免跨越VLAN通信的情况下, 选择合适的方式, 尽可能减少路由器的跳数。不同VLAN端口不能直接访问, VLAN间数据帧的传递, 也需要使用相应设备进行路由。这个设备可以是一个三层交换机, 也可以是一个路由器, 但过多设备的使用会增加数据帧的传输延迟, 造成性能瓶颈。

应避免创建无用的VLAN。虽然交换机本身能够支持一定数量的VLAN, 但过多的VLAN同样会给路由器和其它网络设备带来额外开销, 降低网络效能。

下面以Cisco 3550为例简单介绍如何进行静态VLAN划分。Cisco的VLAN成员关系分为静态VLAN和动态VLAN。所谓静态VLAN是指管理员根据划分规划要求在交换机上建立与VLAN的对应关系后, 交换机始终维护这种配置关系, 直到管理员手动改变端口的分配;而动态VLAN可以是基于MAC地址、协议甚至是应用程序来创建的, 当管理员正确配置后, 交换机能够自动地将动态变化的设备分配到正确的VLAN中。

(1) 创建并命名VLAN。下列指令进入3550终端配置模式, 启用vlan 2并配置其别名为sce, 然后启用vlan 3配置其别名为osce。

cisco35506>enable

cisco35506#config terminal

cisco35506 (config) #vlan 2

cisco35506 (config-vlan) #name sce

cisco35506 (config-vlan) #vlan 3

cisco35506 (config-vlan) #name osce

cisco35506 (config-vlan) #exit

(2) 配置端口类型并将端口指定到VLAN。下列指令进入3550终端配置模式, 将端口fastethernet 0/7的链路类型配置为访问端口, 并将该端口划分到vlan 2中, 成为vlan 2的成员。

cisco35506#config terminal

cisco35506 (config) #interface fastethernet 0/7

cisco35506 (config-if) #switchport mode access

cisco35506 (config-if) #switchport access vlan 2

在Cisco的交换网络环境下, 存在着访问端口 (AC-CESS LINK) 和中继端口 (TRUNK LINK) 两种不同的链路类型, 这对Cisco的VLAN配置至关重要, 其中访问端口是配置中普遍应用的链路类型, 在不涉及“辅助VLAN”的情况下, 访问端口一旦被指派给某一个VLAN, 就只能承载该VLAN的通信。总是假定到达该端口的数据包属于该端口的VLAN, 不会携带VLAN标记。而中继端口可以存在于交换机与交换机之间、交换机与路由器之间或是交换机与服务器之间的链路上, 可以同时指派一个中继端口到多个VLAN, 承载来自多个VLAN的通信。中继端口用来实现跨VLAN通信或同一VLAN的跨交换机通信。需要注意的是Cisco的中继端口只能用于100Mb/s以上的链路。

3 结语

合理、适当地划分VLAN, 使所有广播都限制在同一虚拟局域网内进行, 减少了广播对网络带宽的占用, 能有效提高网络整体性能, 避免广播风暴的产生。由于VLAN间不能直接进行数据交换, 因而, 通过VLAN的实现, 可以有效防止特定设备和敏感数据被非授权用户访问, 提高网络安全性[4]。借助相应的网管软件, 获取VLAN内以及VLAN间的通信状态信息, 可以辅助管理, 使网络管理变得更加简单、有效。

参考文献

[1]谢希仁.计算机网络[M].第4版.北京:电子工业出版社, 2005.

[2]崔北亮.CCNA学习与实验指南[M].北京:电子工业出版社, 2012.

[3]TODD LAMMLE.CCNA学习指南[M].第7版.北京:人民邮电出版社, 2012.

VLAN技术及配置方法 篇4

VLAN (Virtual Local Area Network) 即虚拟局域网, 是一种通过将局域网内的设备逻辑地划分成一个个网段, 从而实现虚拟工作组的新兴数据交换技术。

由于它是从逻辑上划分, 而不是从物理上划分, 所以同一个VLAN内的各个工作站没有限制在同一个物理范围内, 即这些工作站可以在不同物理LAN网段, 划分后一个VLAN中的成员看不到另一个VLAN中的成员。VLAN技术的出现, 使得管理员根据实际应用需求, 把同一物理局域网内的不同用户逻辑地划分成不同的广播域, 每一个VLAN都包含一组有着相同需求的计算机工作站, 与物理上形成的LAN有着相同的属性。由VLAN的特点可知, 一个VLAN内部的广播和单播流量都不会转发到其他VLAN中, 从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。它在广播抑制、动态组网等方面具有其他网络无法比拟的优越性。

2. VLAN的主要特性

2.1 提高管理效率

处于不同地理位置的站点可划分到同一个虚拟网中, 不受地理位置的限制;当网络中站点出现移动、增加或改变时, 只要该站点仍旧保持在同一个VLAN中, 则不必对该站点的网络地址进行修改, 把该站点迁移到的端口配置到相应的VLAN中即可。

2.2 控制广播流量。

当工作站数量增多和信息流量增大时, 容易形成“广播风暴”, 严重影响了网络运行的速度, 甚至造成网络的瘫痪。VLAN可以提供防火墙的功能, 一个VLAN形成一个小的广播域, 通过缩小广播域而减少广播流量, 释放带宽给用户从而减少广播风暴的产生。

2.3 增强网络安全性

将整个网络划分成一个个互相独立的广播组是一种有效而又易于管理的增强网络安全性的方法。可以限制VLAN中的用户数量, 禁止没有得到许可的用户加入到某个VLAN中。另外由于交换机只能在同一VLAN内的端口之间交换数据, 不同VLAN的端口不能直接相互访问, 因此, 通过划分VLAN, 就可以在物理上防止非授权用户访问敏感数据, 从而确保网络的安全和保密性。

2.4 降低管理成本

在整个网络环境下实现VLAN后, 将同一个部门的所有成员划分在同一个VLAN内, 他们就可以在同一个LAN上进行通信。当某人从一个办公室迁移到另一个办公室时, 只要其工作部门不变, 则不用对其机器进行重新配置。与此类似, 如果某人改变了工作部门, 不用改变工作地点, 只需网管人员修改其VLAN的配置即可。

3. VLAN的划分方式

通常根据VLAN在交换机上的实现方法, 可以大致划分为5类。

3.1 按端口划分

按端口划分VLAN, 就是将交换机中的若干个端口直接分配给某个VLAN;端口划分到哪个VLAN, 端口所连接的设备就属于哪个VLAN, 一个VLAN可以跨越多个交换设备, 但是当一个站点从一个端口移至另一个端口时, 网络管理员必须重新配置;分配到同一VLAN网段上的所有站点都在同一个广播域中, 可以直接通信, 不同VLAN站点间的通信则需要通过路由器或支持3层路由协议的交换机进行。它的缺点是如果VLAN的用户离开原来的端口, 到一个新的交换机的某个端口, 那么就要重新定义。

3.2 按MAC地址划分

这种划分VLAN的方法是根据每个主机的MAC地址来划分, 它实现的机制是每一块网卡所对应的唯一的MAC地址, 而对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时, 即从一个交换机换到其他的交换机时, VLAN不用重新配置, 所以, 可以认为这种根据MAC地址的划分方法是基于用户的VLAN。这种方法的缺点是初始化时, 所有的用户都必须进行配置, 如果有几百个甚至上千个用户的话, 配置是非常复杂的, 这在网络规模较小时是一个好方法, 但随着网络规模的扩大, 网络设备、用户的增加, 就会在很大程度上加大网络管理的难度。而在多个不同VLAN的成员同时存在于同一个交换端口时可能会导致网络性能下降, 在大规模的VLAN交换设备之间进行VLAN成员身份信息的交换也可能引起网络性能下降。

3.3 按IP组播划分

IP组播实际上也是一种VLAN的定义, 即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网, 因此具有更大的灵活性, 而且也很容易通过路由器进行扩展, 主要适合于不在同一地理范围的局域网用户组成一个VLAN。

3.4 按数据包网络协议划分

VLAN按网络层协议来划分, 是根据IP和IPX协议以及其他一些协议将同一协议的工作站划分为一个VLAN。该方式容许一个VLAN跨越多个交换机, 不但大大减少人工配置VLAN的工作量, 而且用户可以在网络内部自由移动工作站而无需重新配置网络地址, 其VLAN成员身份仍然保持不变, 便于网络管理, 这对于希望针对具体应用和服务来组织用户的网络管理来说是非常具有吸引力的。但同时由于广播域可以跨越多个VLAN交换机, 容易造成某些VLAN站点数目较多, 产生大量的广播数据, 因此使VLAN交换机的效率降低。

3.5 按策略划分

按策略划分VLAN是十分灵活且有效的VLAN划分方式, 该方式具有自动配置的能力, 在自动配置VLAN时, 交换机会自动检查进入其端口的广播信息的IP源地址, 然后自动将此端口分配给一个由IP子网映射成的VLAN。基于策略划分VLAN, 使得网络管理员可以使用上面提到的划分VLAN的任何方法, 并可以把不同方法组合成一种新的策略来划分VLAN, 或使用任何VLAN策略的组合和个性化的网络管理模式来创建满足本单位用户需求的VLAN。

4. VLAN配置实例

在给交换机配置VLAN时, 既可以使用带命令行的菜单, 也可以使用图形界面的WEB浏览器或是专门的网管软件进行配置。对于不同的交换机, 其配置方法也是不同的, 下面就以H3C S5120交换机为例, 介绍一下基于端口划分VLAN的配置方法。

4.1 需求背景

企业里有42台计算机, 分为4个部门, 其中有40台为普通PC机, 剩余两台PC为服务器, 是4个部门所公用的;要求同一部门的计算机可以相互通信, 而不同部门之间的计算机不能相互通信, 这就要通过划分VLAN的方式在H3C S5120交换机上来实现。

根据需求, 把计算机划分为4个VLAN, 一个部门一个VLAN。实现各部门端口的隔离, 以保证它们之间数据互不干扰, 也不影响各自的通信效率。

4.2 配置前的准备

交换机在初次使用命令行接口时, 只能通过Console口进行登录并进入命令行接口界面。

(1) 使用交换机随机附带的配置口电缆连接PC机和交换机。将配置电缆的DB-9 (孔) 插头插入PC机的9芯 (针) 串口插座, 再将RJ-45插头端插入交换机的Console口中。

(2) 打开PC机的终端仿真程序, 本文中以Windows XP系统的“超级终端”程序为例。点击“开始”-“程序”-“附件”-“通讯”-“超级终端”, 进入超级终端窗口。在“名称”文本框中填入此次连接的名称 (以“H3C”为例) , 并单击<确定>按钮。

(3) 系统弹出连接串口参数设置界面, 设置每秒位数为9600, 数据位为8, 奇偶校验为无, 停止位为1, 流量控制为无。串口参数设置完成后, 单击<确定>按钮。

4.3 配置VLAN

第一步:创建VLAN

第二步:把端口加入到VLAN里

第三步:把交换机的第一端口和第二端口做成trunk

5. 结束语

本文主要介绍了配置VLAN的几种方法, 并结合实际例子给出了配置VLAN的具体步骤;VLAN的最大特点就是可以提高网络的灵活性, 有效的将广播域划分成小的广播域或子网, 解决了网络的扩展问题。

摘要：VLAN是一种在局域网交换技术中被广泛应用的技术, 它具有控制网络风暴、增强网络安全性、便于网络维护和管理等优点。本文主要介绍了以H3C S5120交换机为例的VLAN划分方式及配置方法。

关键词：VLAN,端口,交换机

参考文献

[1]温钰, 龚尚福.VLAN技术及应用.科技情报开发与经济.

[2]王达.Cisco/H3C交换机配置与管理完全手册.中国水利水电出版社.

浅谈VLAN的原理与实现 篇5

VLAN (Virtual Local Area Network) 即虚拟局域网[1], 把局域网用户分为更小的工作组, 逻辑的分成不同的网段。每个工作组构成虚拟局域网。在总线型 (共享式) 局域网中, 所有主机共享总线带宽, 同一时刻时只能一台主机发送数据。每台主机发送的数据其他所有主机都能收到。这种情况下, 所有主机处于同一冲突域和同一广播域内。交换机的出现使情况出现了改变。在交换式局域网中, 多台主机可以同时发送和接收数据互不影响。每个交换机端口的带宽都是独立的。连接在交换机各端口上的主机处于不同的冲突域内。交换机的每个端口是一个冲突域。交换式局域网效率比共享式局域网大大的提高了。但是应用广泛的广播帧仍然不受交换机端口的限制, 可以在局域网内任意传播。大量广播帧的传播降低了局域网的带宽利用率。解决广播的问题我们可以使用路由器将一个大的局域网分成若干小的网段。因为路由器是三层设备, 对二层的广播帧不会转发, 从而达到隔离广播的效果。但是使用路由器增加了组网的成本, 而且他也无法隔离同一交换机内主机间的广播。为此IEEE协会专门制定了802.3q协议标准。这就是VLAN技术的根本。

2 VLAN技术的原理

2.1 VLAN的基本原理

VLAN (Virtual Local Area Network) 即虚拟局域网, 是将局域网内的设备逻辑地划分成一个个网段, 从而实现虚拟局域网的一种新兴交换技术。不同的VLAN成员之间是不可以直接通信, 需要通过路由支持才能通信:而同一个VLAN中的成员, 通过VLAN交换机可以实现直接通信, 不需路由支持。这样一个VLAN内部的广播和单播流量都不会转发到其他VLAN中, 就可以有效控制流量, 节省带宽并提高网络的性能;同时做到减少设备投资、简化网络管理、提高网络的安全性。

VLAN的基本原理是将一个大的局域网从逻辑上划分成若干小的虚拟局域网[2]。在每个虚拟局域网内的主机之间可以通信, 但不同虚拟局域网之间的主机是不可以通信的。这样就达到了减小广播域的目的。如图所示, 主机A, B属于VLAN1, C, D属于VLAN2。A与B之间可以相互通信, C与D之间也可以相互通信。但是A与C, A与D之间是不可以通信的。

2.2 VLAN的帧格式

同一个局域网不同VLAN的主机间不能通信, 802.1q标准规定在原有以太网帧格式中增加一个特殊的标志域Tag, 用于标识区分普通标准以太帧和VLAN帧。Tag域共占4个字节, 包括IPID和TCI (Tag Control Information) 两个域 (如图1所示) 。TPID是一个固定的16进制值0x8100, 表示这是一个加了802.1q标签的帧。Priority域占用3个bit位, 用于标识数据帧的优先级。CFI域仅占1bit位, 该位值为0表示该数据帧采用规范帧格式, 为1表示该数据帧采用为非规范帧格式。VLAN ID域占用12个bit位, 用于指明数据帧所属的VLAN号。

2.3 VLAN数据帧的传输

目前我们大部分主机都不支持带有TAG域的VLAN帧格式, 只能收发标准的以太网数据帧。所以支持VLAN的交换机在与主机和交换机进行通信时, 需要区别对待。当交换机将数据发送给主机时, 必须检查该数据帧, 并删除TAG域后再发送。当交换机接收到某数据帧时, 交换机根据数据帧中的TAG域或者接收端口的缺省VLAN ID来判断该数据帧应该转发到哪些端口。

3 VLAN的划分方法

3.1 基于端口的VLAN划分

基于端口的VLAN划分是目前应用最广泛的方法之一。该方法[3]是根据以太网交换机的端口来划分广播域。也就是说, 交换机某些端口连接的主机在一个广播域内, 而另一些端口连接的主机在另一个广播域。这种方法中VLAN各端口连接的主机无关。工作中我们可以利用这种方法, 将同一部门的所有端口划分进同一个VLAN。这样部门内的主机间就可能相互通信, 而且还能防止其他部门访问本部门的数据。但这种方法也有一个缺点, 不利于移动办公。如果某位员工因工作需要换了一下办公室, 我们就得去为他将相应的端口所属VLAN进行修改, 否则他就无法访问自己部门的主机了。随着笔记本电脑的流行, 人们办公经常随带自己的电脑。比如教师, 他们上课的教室不固定, 而且同一教室也有不同教研室的老师上课。要满足老师的这种需求我们就得不断地为他们改变端口的VLAN。显然这种情况下基于端口的VLAN划分就不太合理。

3.2 基于MAC地址的VLAN划分

基于MAC地址的VLAN划分方法也是应用最广泛的方法之一。该方法是根据连接在交换机上主机的MAC地址来划分广播域的。这种方法的VLAN划分最大的优点就是与端口无关。同一主机无论连接到局域网中的哪个端口, 他所属的VLAN不会改变。如果用户办公地点灵活应用这种方法划分VLAN是很合适的。这种方法划分VLAN的缺点是, 管理员必须收集所有主机的MAC地址, 工作量将会较大。

3.3 基于协议的VLAN划分

基于协议的VLAN划分方法是根据网络主机使用的网络协议来划分广播域。主机属于哪一个VLAN决定于它所运行的网络协议 (如IP协议和IPX协议) , 而与其它因素无关。这种VLAN划分在实际应用中非常少, 因为目前实际上绝大多数都是IP协议的主机。

3.4 基于子网的VLAN划分

基于子网的VLAN划分方法是根据网络主机使用的IP地址所在的网络子网来划分广播域的。IP地址属于同一个子网的主机属于同一个广播域, 而与主机的其它因素没有任何关系。这种VLAN划分方法管理配置灵活, 网络用户自由移动位置而不需重新配置主机或交换机, 并且可以按照传输协议进行子网划分, 人而实现针对具体应用服务来组织网络用户。但是, 这种方法也有它不足的一面, 因为为了判断用户属性, 必须检查每一个数据包的网络层地址, 这将耗费交换机不少的资源;并且同一个端口可能存在多个VLAN用户, 这对广播帧的抵制效率有所下降。

4 基于端口的VLAN划分在华为交换机上的配置方法

4.1 单一交换机上VLAN的划分

如图2所示[4], 我们把A, B主机所在端口 (1、2号端口) 划分进VLAN1, 把C, D主机所在端口 (5、6号端口) 划分进VLAN2。

方法1

[switch]vlan 1创建/进入vlan1

[switch-vlan1]port Ethernet 0/1 ethernet 0/2添加1、2号端口进vlan1

[switch-vlan1]vlan 2创建/进入vlan2

[switch-vlan2]port Ethernet 0/5 ethernet 0/6添加5、6号端口进vlan2

方法2

[switch]interface Ethernet 0/1进入端口1

[switch-ethernet 0/1]port access vlan 1

[switch]interface Ethernet 0/2

[switch-ethernet 0/2]port access vlan 1

[switch]interface Ethernet 0/5

[switch-ethernet 0/5]port access vlan 2

[switch]interface Ethernet 0/6

[switch-ethernet 0/6]port access vlan 2

4.2 跨交换机VLAN的配置[5]

跨交换机VLAN的配置如图3所示, A, B属于VLAN1, C, D属于VLAN2, 但A, D与B, C分别接在两台交换机上。配置方法如下。要注意的是连接两交换机的端口类型需设置成trunk, 以便通过所有VLAN的数据。

交换机SWITCHA的配置:

[switcha]vlan 1

[switcha-vlan1]port Ethernet 0/5

[switcha-vlan1]vlan 2

[switcha-vlan2]port Ethernet 0/6

[switcha]interface Ethernet 0/1

[switcha-ethernet 0/1]port link-type trunk将端口1设置为trunk

[switcha-ethernet 0/1]port trunk permit vlan all端口1允许所有VLAN数据通过

交换机SWITCHB的配置:

[switchb]vlan 1

[switchb-vlan1]port Ethernet 0/3

[switchb-vlan1]vlan 2

[switchb-vlan2]port Ethernet 0/20

[switchb]interface Ethernet 0/1

[switchb-ethernet 0/1]port link-type trunk

[switchb-ethernet 0/1]port trunk permit vlan all

5 总结

VLAN的划分方式灵活多样, 但应用最多的还是基于端口和基于MAC地址的划分。用户可根据自己的环境选择适合自己的划分方法。

摘要：VLAN是一种重要的局域网协议。本文简单介绍了VLAN的基本原理和划分方法, 并给出了一种基于华为交换机的VLAN配置方案。

关键词：VLAN,局域网,广播帧

参考文献

[1]李历成.网络管理标准教程[M].北京:人民邮电出版社, 2004.[1]李历成.网络管理标准教程[M].北京:人民邮电出版社, 2004.

[2]张国祥.校园网VLAN的研究与实现[J].湖北师范学院学报 (自然科学版) , 2004, 24 (2) :13.[2]张国祥.校园网VLAN的研究与实现[J].湖北师范学院学报 (自然科学版) , 2004, 24 (2) :13.

[3]张鹤颖, 窦文华.VLAN在千兆位以太网交换机中的实现[J].计算机应用研究, 2001 (7) :22-23.[3]张鹤颖, 窦文华.VLAN在千兆位以太网交换机中的实现[J].计算机应用研究, 2001 (7) :22-23.

[4]徐建东, 王海燕.计算机网络技术实验教学设计[J]宁波大学学报, 2004 (2) :107-110.[4]徐建东, 王海燕.计算机网络技术实验教学设计[J]宁波大学学报, 2004 (2) :107-110.

虚拟局域网(VLAN)技术浅析 篇6

1 什么是VLAN及其优点

虚拟局域网(VLAN——Virtual Local Area Network)逻辑上把网络资源和网络用户按照一定的原则进行划分,把一个物理上实际的网络划分成多个小的逻辑的网络。这些小的逻辑的网络形成各自的广播域,也就是虚拟局域网VLAN。由于VLAN基于逻辑连接而不是物理连接,因此配置十分灵活。VLAN在逻辑上等价于广播域,可以将VLAN类比成一组最终用户的集合。这些用户可以处在不同的物理局域网上,但他们之间可以像在同一个局域网上那样自行通信,而且不受物理位置的限制。网络的定义和划分与物理位置和物理连接是没有任何必然联系的。网络管理员可以根据不同的需要,通过相应的网络软件灵活地建立和配置VLAN,并为每个VLAN分配它所需要的带宽。可以设置成每个VLAN子网的用户不能访问其他子网的资源,从而提高网络的安全性。

VLAN的优点在于:其一,它把广播域限制在一个VLAN内,节省了带宽,提高了网络处理能力;其二,报文在不同VLAN内传输时是相互隔离的,也就是说不同VLAN内的用户不能直接通信,这样就增强了局域网的安全性。如要相互通讯则必须增加路由器或三层交换机等三层设备;其三,相同或不同物理范围内的用户用VLAN可以划分到同一组或不同的组,这样构建虚拟工作组也就更灵活,维护更方便。

2 VLAN的种类划分

目前的VLAN技术主要有三种。

2.1 基于交换机端口的VLAN

VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3端口被定义为虚拟网VL1,同一交换机的6,7,8端口组成虚拟网VL2。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式虽然稍欠灵活但仍然是最常用的一种方式。下面用一台D-Link DES-3326SR三层交换机为某局域网划分为3个VLAN为例简要说明基于交换机端口的VLAN的配置:

我们知道VLAN的划分应与IP规划结合起来,使得一个VLAN接口IP就是对应的子网段,VLAN接口IP就是一个子网关。VLAN应以一定规则划分,如按部门划分,相同部门的主机IP以VLAN接口IP为依据划归在一个子网范围,同属于一个VLAN。这样不仅在安全上有益,而且更方便网络管理员的管理和监控。注意:各VLAN中的客户机的网关分别对应各VLAN的接口IP。

在这个局域网中计划规划三个VLAN子网对应着三个VLAN,分别是:

VLAN10——VL1;

VLAN20——VL2;

VLAN30——VL3;

划分VLAN以后,要为每一个VLAN配一个“虚拟接口IP地址”。

VLAN10——192.168.1.1

VLAN20——192.168.2.1

VLAN30——192.168.3.1

DES-3326SR三层交换机的VLAN的配置过程如下:

1)创建VLAN

DES-3326SR#Config vlan default delete 1-24删除默认VLAN(default)包含的端口1-24

DES-3326SR#Create vlan vlan10 tag 10创建VLAN名为vlan10,并标记VID为10

DES-3326SR#Create vlan vlan20 tag 20创建VLAN名为vlan20,并标记VID为20

DES-3326SR#Create vlan vlan30 tag 30创建VLAN名为vlan30,并标记VID为30

2)添加端口到各VLAN

DES-3326SR#Config vlan vlan10 add untag 1-8把端口1-8添加到VLAN10

DES-3326SR#Config vlan vlan20 add untag 9-16把端口9-16添加到VLAN20

DES-3326SR#Config vlan vlan30 add untag 17-23把端口17-23添加到VLAN30

注:一般而言,端口24用做与其他交换机等设备连接,扩容LAN端口用。

3)创建VLAN接口IP

DES-3326SR#Create ipif if10 192.168.1.1/24 VLAN10 state enabled

创建虑拟的接口if10给名为VLAN10的VLAN子网,并且指定该接口的IP为192.168.1.1/24。创建后enabled激活该接口。

同样方法设置其它的接口IP:

DES-3326SR#Create ipif if20 192.168.2.1/24 VLAN20 state enabled

DES-3326SR#Create ipif if30 192.168.3.1/24 VLAN30 state enabled

4)路由

当配置三层交换机的三层功能时,如果只是单台三层交换机,只需要配置各VLAN的虚拟接口就行,不再配路由选择协议。因为一台三层交换机上的虚拟接口会在交换机里以直接路由的身份出现,因此不需要静态路由或动态路由协议的配置。

2.2 基于节点MAC地址的VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停地配置。下面以NETGEAR GSM7224R交换机为例简要说明基于节点MAC地址的VLAN配置。

实例中假设:

给甲办公区分配GSM7224R的3-12端口,属于VLAN 10,使用192.168.1.0/24网段。

给乙办公区分配GSM7224R的13-22端口,属于VLAN 20,使用192.168.2.0/24网段。

GSM7224R的23-24口为上联口和备用上联口,同时属于VLAN 10,20,30并标记了VLAN tagging。

电脑丙不固定在哪个办公室,但是要连接VLAN 30,使用192.168.3.0/24网段。

假设我们已经在GSM7328S上设置了VLAN路由,并且网络上有DHCP服务器为各网段分配IP地址。那么我们就可以在GSM7224R上设置VLAN了(假设电脑丙MAC地址为AA:BB:CC:DD:EE:FF):

通过命令行进行配置

首先进入VLAN配置模式,创建相应的VLAN。

(GSM7224R)#vlan database

(GSM7224R)(Vlan)#vlan 10

(GSM7224R)(Vlan)#vlan 20

(GSM7224R)(Vlan)#vlan 30

为电脑丙的MAC地址设置与VLAN 30的映射。

(GSM7224R)(Vlan)#vlan association mac aa:bb:cc:dd:ee:ff 30

(GSM7224R)(Vlan)#exit

(GSM7224R)#configure

设置3-12端口的VLAN和PVID属于VLAN 10

(GSM7224R)(Config)#interface range 0/3-0/12

(GSM7224R)(conf-if-range-0/3-0/12)#vlan participation include 10

(GSM7224R)(conf-if-range-0/3-0/12)#vlan pvid 10

(GSM7224R)(conf-if-range-0/3-0/12)#exit

设置13-22端口的VLAN和PVID属于VLAN 20

(GSM7224R)(Config)#interface range 0/13-0/22

(GSM7224R)(conf-if-range-0/13-0/22)#vlan participation include 20

(GSM7224R)(conf-if-range-0/13-0/22)#vlan pvid 20

(GSM7224R)(conf-if-range-0/13-0/22)#exit

设置上联用的23-24端口的VLAN属于VLAN 10,VLAN 20,VLAN 30;标记VLANtagging

(GSM7224R)(Config)#interface range 0/23-0/24

(GSM7224R)(conf-if-range-0/23-0/24)#vlan participation include 10

(GSM7224R)(conf-if-range-0/23-0/24)#vlan participation include 20

(GSM7224R)(conf-if-range-0/23-0/24)#vlan participation include 30

(GSM7224R)(conf-if-range-0/23-0/24)#vlan tagging 1

(GSM7224R)(conf-if-range-0/23-0/24)#vlan tagging 10

(GSM7224R)(conf-if-range-0/23-0/24)#vlan tagging 20

(GSM7224R)(conf-if-range-0/23-0/24)#vlan tagging 30

(GSM7224R)(conf-if-range-0/23-0/24)#exit

设置所有1-24端口的都属于VLAN 30。

(GSM7224R)(Config)#interface range 0/1-0/24

(GSM7224R)(conf-if-range-0/1-0/24)#vlan participation include 30

(GSM7224R)(conf-if-range-0/1-0/24)#exit

(GSM7224R)(Config)#exit

保存配置。

(GSM7224R)#save

This operation may take a few minutes.

Management interfaces will not be available during this time。

Are you sure you want to save?(y/n)y

Configuration Saved!

至此全部配置完成,电脑丙无论接在GSM7224R上的哪一个端口上,均以VLAN 30的用户身份与网络进行通信(例如获取IP地址等)。

2.3 基于应用协议的VLAN

这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网帧头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。当然,这与各个厂商的实现方法有关。在此就不再举具体实例了。

3 结论

一个局域网划分成多个VLAN的其优点是很明显的,它既控制了广播风暴对整个LAN的影响,提高了网络处理能力,又能在很大程度上消除对重要信息的监听,提高了网络的安全性,同时也提高了网络管理员对网络管理的效率,减轻了管理负担。所以VLAN技术越来越广泛的应用到了局域网之中。

摘要：VLAN作为控制广播风暴,增强网络安全性的一种技术手段,越来越广泛的应用到了局域网当中。文中简要介绍了VLAN的技术特点并结合两个配置实例着重介绍了目前主要的VLAN技术。

关键词：VLAN,网络安全,交换机

参考文献

[1]王维江,钟小平.网络应用方案与实例精讲[M].北京:人民邮电出版社,2003:3-5.

[2]白涛.网络工程实施技术与方案大全[M].北京:电子工业出版社,2008:114-116.

网络互联技术之VLAN配置 篇7

关键词：网络互联,网络设备,交换机,VLAN

1 课程设计

《网络互联技术》课程立足于实际能力培养, 打破以知识传授为主要特征的传统学科课程模式, 转变为以任务驱动案例教学为核心, 以项目开发为主线, 以培养技术应用人才为目标, 以企业对人才的需要为依据, 以工作任务为中心组织课程内容和课程教学, 让学生在完成具体项目的过程中来构建相关理论知识, 并发展职业能力。经过深入、细致、系统的分析, 课程最终确定了以下工作任务:1) 小型企业级局域网组建;2) 网络规划与设计;3) 网络设备的安装与调试;4) Windows服务器安装与配置;5) 网络故障分析与排除;6) 网络安全管理与维护。课程内容突出对学生职业能力的训练, 理论知识的选取紧紧围绕工作任务完成的需要来进行, 并融合了相关职业资格证书对知识、技能和态度的要求。

2 实训安排

工作任务3) “网络设备的安装与调试”, 其中要培养学生“具备配置交换机和阅读相关说明书的技能”, 笔者在教学进行了如下实训安排。

实训名称为“校园网中的VLAN配置”, 实训环境为Cisco Packet Tracert模拟器来模拟实训环境, 配置要求如拓扑图一所示。使用思科私有协议VLAN中继协议, 更快更好的管理VLAN, 同时让学生掌握VTP原理和配置。

3 实训后总结与思考

实训的目的是让同学们体会工作过程, 教师要求引导学生去思考:如何定义和划分VLAN;如何配置VTP;VTP工作模式的不同。

在学生遇到问题的时候, 会让他们思考:

1) 检查下联用户主机的端口、上联核心交换机的端口物理连接是否正常?

2) 检查下联用户主机的端口的vlan划分是否正确?

3) 检查上联核心交换机的端口的TRUNK是否配置正确?

4) 检查相关vlan是否已定义?检查相关vlan是否运行正常?

5) 检查当前运行的配置文件中相关vlan的网关地址、子网掩码的配置是否与用户主机的设置一致?

6) 检查连接接入交换机的端口TRUNK配置是否正确?