VLAN技术和配置实践

2023-02-06

随着网络硬件性能不断提高, 成本不断降低, 目前的局域网基本上都采用了性能先进的千兆网技术, 核心交换机采用三层交换机, 它能很好的支持虚拟局域网 (VLAN) 技术, 这对方便局域网的高速可靠运行起到了非常重要的作用。

1 三层交换和VLAN

1.1 以太网的工作原理

以太网的工作原理是利用二进制位形成的一个个字节组成一帧帧的数据 (其实是一些电子脉冲) 在导线中进行传播。首先以太网网段上需要进行数据传送的节点对导线进行监听, 这个过程成为CSMA/CD的载波侦听。如果这是有另外的节点正在传送数据, 监听节点将不得不等待, 知道传送节点的传送任务结束。如果某市恰好有2个工作站同时准备传送数据, 以太网网段将发出冲突信号。这时, 节点上所有工作站都将检测到冲突信号, 因为这时导线上电压超出了标准电压。这时以太网网段上的任何节点都要等冲突结束后才能传输数据。也就是说在CSMA/CD方式下, 在一个时间段, 只有一个节点能够在导线上传送数据。

1.2 冲突与广播

冲突的产生降低了以太网的带宽, 而这种情况下又是不可避免的。所以, 当上的节点越来越多后, 冲突数量将会增加。显而易见的解决方法是限制以太网导线上的节点, 需要对网络进行物理分段。将网络进行物理分段的网络设备用到网桥和交换机, 网桥和交换机的基本作用是只发送去其他网段的信息。所以, 如果所有的信息都发往本地的物理网段, 那么网桥和交换机上就没有信息沟通过。这样可以有效减少网络的冲突。网桥和交换机是基于目标MAC地址做出转发决定的, 它们是二层设备。另外一种导致网络降低运行速度的原因是广播, 广播存在于所有网络上, 如果不对它们进行适当的控制, 它们便会充斥整个网络, 产生大量的网络通信。广播不仅消耗了带宽, 而且也降低了用户工作站的处理效率。由于各种各样的原因, 网络操作系统 (NOS) 使用了广播, TCP/IP使用广播从IP地址中解析M A C地址, 还使用广播通过R I P和IGRP协议进行宣告, 所以, 广播也是不可避免的。

1.3 三层交换技术

网桥和交换机将对所有广播信息进行转发, 而路由器不会。所以, 为了对广播进行控制, 就必须使用路由器。路由器是基于第三层包头、目标IP寻址或目标Appletalk寻址做出转发决定。路由器是三层设备, 三层交换技术通俗地讲, 就是将路由与交换合二为一的技术。路由器在对第一个数据流进行路由后, 将会产生一个MAC地址与IP地址的映射表, 当同样的数据流再次通过时, 将根据此映射表直接从二层进行交换而不是再次路由, 提供线速性能, 从而消除了路由器进行路由选择而造成网络的延迟, 提高了数据包转发的效率。

1.4 VLAN

VLAN就可以不考虑用户的物理位置, 而根据功能、应用等因素将用户从逻辑上划分为一个个功能相对独立的逻辑网段, 逻辑网段的划分及管理都是以软件的方式实现的, 逻辑网段中的节点组成不受物理位置的限制, 同一个逻辑网段的节点可以分布在不同的物理网段上, 但它们之间的通信就象在一个物理网段上一样。当一个节点从一个逻辑网段转移到另一个逻辑网段时, 也只需通过软件设定, 而不需要改变它的网络中的物理位置。

V L A N的好处主要有三个:

(1) 端口的分隔。即便在同一个交换机上, 处于不同V L A N的端口也是不能通信的。这样一个物理的交换机可以当作多个逻辑的交换机使用。

(2) 网络的安全。不同VLAN不能直接通信, 杜绝了广播信息的不安全性。

(3) 灵活的管理。更改用户所属的网络不必换端口和连线, 只更改软件配置就可以了。

2 VLAN技术的优势

2.1 增加了网络连接的灵活性

借助V L A N技术, 能将不同地点、不同网络、不同用户组合在一起, 形成一个虚拟的网络环境, 就像使用本地L A N一样方便, 从而降低移动或变更工作站地理位置的管理费用。

2.2 控制网络上的广播

通过VLAN分割了广播域, 减少了广播流量。

2.3 增加网络的安全性

在LAN上可以传送一些保密的数据, 网络管理员通过限制VLAN中用户的数量、禁止未经允许而访问VLAN中的应用以增强安全性。

3 VLAN配置实例

V L A N的优势在于V L A N内部的广播和单播流量不会被转发到其它V L A N中, 从而有助于控制网络流量、减少设备投资、简化网络管理、提高网络安全性。VLAN配置内容包括:

◆开启/关闭设备V L A N特性

◆创建/删除V L A N

◆为V L A N指定以太网端口

◆为V L A N指定描述字符

现在就从这几个方面扼要的叙述如何在Cisco、Extreme、Quidway产品中配置V L A N, 并且给出配置实例。

3.1 核心层实例:在E x t r e m e系统中配置VLAN

Extreme Networks千兆以太网产品在速度、带宽、网络规模及服务质量 (Qo S) 四个方面的可伸缩性, 为校园内部提供一个集教学、信息共享和管理为一体的宽带网络平台, 使得今天的校园内部网络系统能够满足日益增长的应用需求。

值得一提的是, Extreme交换机的配置思维清晰, 对于新手容易上手。不像华为产品的配置需要在不同的视图下来回切换, 也不像Cisco产品的配置需要在不同的模式下来回切换。

下面是一些Extreme系统的VLAN配置命令, 并以Black Diamond 6808核心交换机为实例给出一个配置过程。

开启或关闭设备V L A N特性

Extreme Networks的产品在通常情况下都是允许配置设备的VLAN的。只是在使用V L A N之前, 必须通过命令e n a b l e ipforwarding vlan才能激活VLAN进行通信。如:

创建/删除V L A N

通过命令create/delete vlan就可以创建或删除一个VLAN。在创建时这个VLAN是没有802.1Q标签的 (Untagged) , 并且VLAN的名称不能与系统中当前已经配置的VLAN的名称冲突, 即它是惟一的。通过命令configure vlan tag可以赋予该VLAN一个802.1Q标签。如:

为V L A N指定端口

与Quidway S3050C-48不同 (untagged端口在VLAN视图下配置, tagged端口在端口视图下配置) , 在Black Diamond 6808中为V L A N添加端口成员只需要键入命令configure vlan add ports{untagged|tagged}。如:

为V L A N指定描述字符

V L A N的名称直接作为该V L A N的描述。下面是在Extreme核心交换机Black Diamond 6808上配置一个VLAN的完整过程 (每个语句后有注释) :现有VLAN2, 通过配置将端口Gigabit Ethernet3/4添加到V L A N 2中作为下行端口。

3.2 汇聚层实例:在Cisco系统中配置VLAN

Catalyst 5000是一个模块化多层次交换机。在数据链路层, 它支持以太网、快速以太网、千兆以太网、令牌环、FDDI和ATM协议。在网络层, 可以配置RSM、带网络特征卡的管理程序模块或Catalyst 8500交换路由处理器。Catalyst 5000通常配置千兆以太网、快速以太网、以太网模块。Catalyst 5000系列的不同模型可以被归类到Cisco三级互联网络层次体系 (核心层、汇聚层、接入层) 的各个体系。比如:Catalyst 5000可以作为接入层交换机安装在机构的弱电室内, 也可以配置路由交换模块 (RSM) 或者带网络特征卡的管理程序模块部署到汇聚层。

下面是一些Catalyst 5000系统关于配置VLAN的命令, 并以Catalyst 5000交换机为实例给出一个配置过程。

开启或关闭设备V L A N特性

Catalyst 5000的用户界面是面向模式的。只需要从用户模式切换到特权模式 (Enable) 就可以进行VLAN的配置。如:

创建/删除V L A N

在Catalyst 5000中可以静态和动态的定义VLAN。使用set vlan命令创建一个静态VLAN并包括一个特定的端口或者一组端口。如:

创建动态V L A N包括创建一个含有端系统惟一信息的数据库 (如相关于特定VLAN的端系统的MAC地址) 。对于Catalyst5000而言, 创建新的数据库包括配置一个虚拟管理策略服务器VMPS (Virtual Management Police Server) 和启动特定的端口以动态获得V L A N的成员关系。

使用clear vlan可以删除VLAN (注意的是:该命令不能访问单独的端口, 如果要删除一个V L A N上的端口, 必须删除整个VLAN, 并且原来属于被删除的VLAN的端口将不再属于任何V L A N, 即成为非活跃状态, 可以重新使用set vlan命令将这些端口分配给一个已存在的VLAN而使之成为活跃状态) 。如:

为V L A N指定端口

直接在创建V L A N时就可以为V L A N指定端口。

为V L A N指定描述字符

V L A N的名称直接作为该V L A N的描述, 在创建VLAN时就可以设置。如:

在给出配置实例以前, 先了解一些与VTP相关的知识。

独有的特征。它允许每个路由或交换设备在通过中继端口 (trunk ports) 发送广播。这些广播将发送设备的管理域、已知的VLAN配置参数广播到一个组播地址, 让所有相邻设备互相学习。通过这种方法, 新的VLAN只需要在管理域内的一台设备上进行配置, 其信息就会自动的被相同管理域中的其他设备学习到。这在多个交换机或者多个V L A N的环境中十分有用, 可以减少交换机配置。在给定的时间里, 一个交换机可从属于一个且仅属于一个VTP域中。

举例说明, 考虑一个校园网, 它由4台经Trunk互联在一起的Catalyst 5000组成, 所有的交换机被分配到同一个VTP域中的成员。每个交换机的端口如下所述:

尽管上表中每个交换机的端口被配置在3个V L A N中, 但每个交换机都知道在VTP域中的所定义的6个V L A N信息。如果VLAN 4被加到一个指定的交换机上, 有了VTP域, 可以减少交换机配置。比如, 在上表中, switch-1的所有端口被配置到VLAN1、2、3中, 如果switch-1中被划分到VLAN1和V L A N 2的端口被加到V L A N 4中, 则switch-2和switch-3不需要另外配置, 因为两台交换机都已经有配置到V L A N 4的端口。最后, 如果增加了交换机5 (switch-5) , 其端口被分配给VLAN 1、3、6, 则只需要将switch-5加入VTP域, 其他交换机不需作任何配置。

交换机可以配置为3种VTP模式:VTP Server、VTP Client、VTP Transparent。其中:

一个VTP服务器可以创建或删除一个VLAN, 也可以将一个VLAN中的端口分配给另一个VLAN;一个VTP客户端不能创建或删除V L A N, 但可以将一个已经存在的VLAN的端口分配给另外一个VLAN, 也可以接收来自VTP成员交换机的通告信息;VTP透明模式允许一台交换机转发VTP业务流, 但此交换机本身不能从一个给定V T P域中发送或接收V L A N信息。

下面是在Catalyst 5000系列交换机上配置VLAN的综合实例 (每个语句后有注释) :现有Catalyst 5000交换机一台、Catalyst 5002交换机一台、Cisco 8500路由器一台。5000连接到5002, 5002连接到8500。Trunk提供在多V L A N环境下提供各种连接。

(1) 配置VTP Server。

(2) 配置VTP Client。

(3) 配置路由。

3.3 接入层实例:在Q u i d w a y系统中配置VLAN

面对迅猛发展的宽带网络建设需求, 华为公司根据不同的客户类型需求, 推出了Quidway系列以太网交换机及其它网络设备。使用华为公司的网络设备, 可以构建可运营、可管理的网络。

下面是一些华为Quidway系列的VLAN配置命令, 并以华为Quidway S3050C-48以太网交换机为实例给出一个配置过程。

开启或关闭设备V L A N特性

当交换机的VLAN特性被关闭后, 交换机在报文交换的过程中将不再使用VLAN标记, 从而失去了VLAN域的隔离功能。在系统视图下键入vlan enable或vlan disable就可以开启或关闭设备VLAN特性。如:

需要注意的是, 在S3000系列以太网交换机中, S3026/S3026E/S3026E FM/S3026E FS/S3050C-48以太网交换机支持该操作。缺省情况下, 开启设备的VLAN特性。

创建/删除V L A N

创建V L A N时, 如果该V L A N已存在, 则直接进入该VLAN视图;如果该VLAN不存在, 则此配置任务将首先创建VLAN, 然后进入VLAN视图。在系统视图下键入vlan vlan_id或者undo vlan{vlan_id[to vlan_id]|all}命令就可以创建或者删除VLAN。如:

为V L A N指定端口

在系统视图下键入port interface_list或者undo port interface_list命令就可以为指定的VLAN增加以太网端口或者删除指定的VLAN的某些以太网端口。如:

缺省情况下, 系统将所有端口都加入到一个缺省的VLAN中, 该VLAN的ID为1。

需要注意的是, Trunk和Hybrid端口只能通过以太网端口视图下的port和undo port命令加入VLAN或从VLAN中删除, 而不能通过本命令实现。

为V L A N指定描述字符

在VLAN视图下键入description string或者undo description就可以指定VLAN的描述字符或者恢复VLAN的描述字符串为缺省描述。如:

下面是在Quidway S3050C-48以太网交换机上配置一个VLAN的完整过程 (每个语句后有注释) :现有VLAN2, 通过配置将端口Ethernet0/1~Ethernet0/48添加到V L A N 2中作为下行端口, 将端口Gigabit Ethernet1/1添加到VLAN2中作为上行端口。

4 结语

VLAN技术的出现, 使得管理员根据实际应用需求, 把同一物理局域网内的不同用户逻辑地划分成不同的广播域, 每一个VLAN都包含一组有着相同需求的计算机工作站, 与物理上形成的LAN有着相同的属性。由于它是从逻辑上划分, 而不是从物理上划分, 所以同一个V L A N内的各个工作站没有限制在同一个物理范围中, 即这些工作站可以在不同物理L A N网段。由VLAN的特点可知, 一个VLAN内部的广播和单播流量都不会转发到其他V L A N中, 从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN除了能将网络划分为多个广播域, 从而有效地控制广播风暴的发生, 以及使网络的拓扑结构变得非常灵活的优点外, 还可以用于控制网络中不同部门、不同站点之间的互相访问。

摘要：主要介绍了VLAN技术的定义、原理及益处, 并介绍了2个常用VLAN配置实例, 详细阐述了VLAN配置方法及过程。

关键词：VLAN,交换机,配置