论文部分内容阅读
摘要:虚拟局域网(VLAN)技术改变了传统网络的结构,为计算机网络的不断发展创造了新的条件。本文主要介绍了虚拟局域网(VLAN)技术的概念,并通过具体事例展示了基于第三层交换的VLAN技术在提高校园网络性能上的优越性。
关键词:虚拟局域网;第三层交换;校园网
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)04-10987-02
1 引言
以计算机互联网为核心的科学技术为教育业提供了前所未有的机会和发展潜力,校园网已广泛的应用于各高校。对于一个高校校园网来说,联网的计算机要以千或万为单位计算,须进行大量的投资,用大量的交换机和路由器将这些计算机物理地址分配在不同的局域网(子网)中。虚拟局域网技术正是解决这一问题的最好方法。
2 虚拟局域网(VLAN)技术
虚拟局域网[1](Virtual Local Area Network,简称VLAN或虚拟网)是一项在20世纪90年代中期迅速发展起来的网络技术,这项技术的核心思想是利用交换机对帧的传输和控制能力,在网络的物理拓扑结构基础上建立多个逻辑网络,这些逻辑网络中的工作站和服务器可以不受地理位置和物理连接的限制,但同样具有物理局域网的功能和特点,即同一个网络内的站点可相互访问,而不同网络的站点不能直接访问。
虚拟局域网是建立在交换网络基础上的数据链路层技术,交换设备包括以太网交换机、ATM交换机、宽带路由器等,可以功能、工程组或应用等为依据对局域网加以逻辑划分,而不是以实体或地理位置为依据进行划分。对于虚拟局域网,有一个站点发送的广播信息帧只能发送到具有相同虚拟网号的其他站点,而其他虚拟局域网的站点则接受不到该广播信息帧。VLAN有效的缩小了广播域,减少了网络上不必要的广播通信,是目前比较流行的组网形势。
3 虚拟局域网的优点
(1)隔离网络广播风暴。VLAN报个大型局域网划分成几个小的VLAN,把广播信息限制在各个VLAN内部,大大减少了网络中的广播信息,消除了因广播信息泛滥造成的网络拥塞;
(2)改善网络安全性能。VLAN相当于一个独立的局域网,通过对路由器进行适当的配置,对VLAN之间的相互访问进行安全控制,可用于防止大部分以网络监听为手段的入侵;
(3)提高网络传输效率。VLAN中数据流量的减少可以减轻路由器的工作负担,而且交换机比路由器传输数据所需时间更短,从而提高网络运行效率;
(4)简化网络维护管理。只要将具有相同功能的部门划分到一个VLAN中即可实现相互间访问。当网络设备发生改变时,只需对交换机中的VLAN设置进行修改或重新划分即可;
(5)降低网络变更成本。VLAN中的工作站和服务器可以不受地理位置的限制,允许移动工作站而保持其原始的IP地址和子网成员。从而减少了网络设备移动或变更所需的大量开销。
图1 传统LAN与VLAN的对比
4 VLAN的划分策略和组建条件
虚拟局域网的划分方式可以分为静态划分和动态划分两种。从技术角度来看,需要不同划分方式也有所不同。主要的划分策略[2]有以下几种:
(1)端口分组(静态划分)。此时VLAN可被理解为交换机各端口的集合,被划分到同一VLAN中的端口可来自同一交换机中也可来自不同的交换机;
(2)MAC层分组(动态划分)。根据网络设备的物理地址(MAC地址)划分,每一个VLAN就是一张MAC清单,只要VLAN没有变化就无需进行修改、设置。此方法不适合用于大型网络和大量笔记本接入的环境;
(3)网络层分组。根据网络使用的不同的协议进行划分,每个协议可能有不同的虚拟的拓扑形式。相同端口的计算机可属于不同的VLAN;
(4)IP组播分组。一个组播是一个VLAN,具有更大的灵活性,更容易通过路由器进行扩展。此方法适用于广域网,用于局域网效率并不高;
VLAN的组建条件[3]:VLAN是建立在屋里网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备,当网络中的不同VLAN间进行相互通信时,需要路由的支持,这是需要增加路由设备,要实现路由功能,既可采用路由器,也可采用三层交换机来实现。
5 虚拟局域网的标准[2]
在实现VLAN中各厂商的标准是不同的,主要有IEEE802.10和IEEE802.1Q。
IEEE802.10标准[1]定义了一个单独的协议数据单元,通常被称为Secure Data Exchange(SDE) PDU,也成为802.1报头,该标准把802.1报头插在了MAC的帧头和数据区域之间。802.1报头由Clear Header和Protected Header两部分组成。Clear Header部分中的SAID(Security Association Identifier)域通常被一些厂家用作VLAN的标识域,即用来指示该帧将被发送到哪一个VLAN,该标识域也就是交换机进行数据交换的主要依据。
IEEE802.1Q标准[4]定义每一个VLAN的帧都有一个明确的标识符,指明发送这个帧的工作站是属于哪一个VLAN。VLAN网络的结构框架基于三层模型:配置层、传输/解析层、映射层,并在配置层上确定了VLAN的配置参数并分配全局标识名及VLAN标记。传输和解析层在网络中将有关的控制信息传递到网桥,由网桥根据控制信息决定如何传递分组。映射层支持接收帧和VLAN映射,由接收帧中的信息决定帧的方向和端口。VLAN标记字段插入在以太网MAC帧的源地址字段和长度/类型字段之间,VLAN标记的前两个字节称为802.1Q标记类型。后两个字节中,前3个比特是用户优先级字段,接下来1个比特为CFI(规范格式指示符),而后的12比特为该虚拟局域网VLAN标识符VID,它标示了这个以太网帧是属于哪一个VLAN。
图2 VLAN的结构框架
6 VLAN在模拟校园网的实现
VLAN的实现[5]采用的设备、划分的策略、路由的技术等不同而有所不同,但大致分为以下几个步骤:(1)在交换机上创建VLAN;(2)给VLAN静态分配交换机端口;(3)配置中继,将交换机与交换机之间的连接以及交换机与路由器之间的连接端口设为主干模式Trunk;(4)配置路由器以实现VLAN间路由。
根据校园网的基本功能、校园网建设方案及网络解决方案等方面的信息,可以构建出一个校园网络拓扑结构,如图3所示。
图3 学院园区网络拓扑图
校园网通常由多个子网构成,由于每一个子网的应用性质和安全要求不同,所以应对子网的访问、相互间的通信采取相应的控制策略。该校园网跨接7座教学主楼,由一级主干光纤、二级主干光纤、双绞线连通各楼,设置的信息点约达数百个。按照传统的局域网管理,通常采用物理划分子网的方法,显然网络的传输效率、可管理性及安全性方面有着诸多弊端。
为了避免以后各部门及网络设备的移动和变更给网络维护和管理带来的问题,我们可以建立基于网络层IP策略的VLAN ,将分布于不同楼内,但是业务、工作性能相同的部门或用户划分到同一个VLAN(一个IP子网)。因此,我们将建立教学、公寓 、办公、服务器4个VLAN,图中分别用紫色、蓝色、绿色、红色来表示。因为信息主要是在同一工作性质的部门流动,按此划分VLAN后,信息流量就被限制在一个VLAN内部,不会流通到其他VLAN内,这样就有效降低了广播流量,节约了带宽。同时我们还可对不同业务部门(不同IP子网)设定不同的访问权限,防止普通用户对相关保密数据的访问。
不同VLAN之间数据包的传输可由三层交换机转发,并由三层交换机的路由部件完成报文过滤等控制功能,给安全管理工作打下了良好基础。本校园网中三层交换机采用Catalyst 3550交换机的配置文件中设立了5个VLAN ,其中VLAN1是默认VLAN,VLAN2、VLAN3、VLAN4、VLAN5分别用于服务器、教学、办公、公寓。具体内容如下:
1)!
2)version 20.1
3)no service single-slot-reload-enable
4)no service pad
5)service timestamps debug uptime
6)service timestamps log uptime
7)no service password-encryption
8)!
9)Hostname Cat3550
10)!
11)Ip subnet-zero
12)!
13)Spanning-tree extend system-id
14)!
15)interface FastEthernet0/1
16)description To Server
17)switchport access vlan2
18)switchport mode access
19)no ip address
20)spanning-tree portfast
21)!
22)interface FastEthernet0/2
23)switchport access vlan2
24)switchport mode access
25)no ip address
26)!
27)…
28)!
29)interface FastEthernet0/24
30)description To Internet_Router
31)no switchport
32)ip address 192.167.0.2 255.255.255.252
33)!
34)interface GigabitEthernet0/1
35)description To 2950
36)Switchport trunk encapsulation dot1q
37)no ip address
38)!
39)interface GigabitEthernet0/2
40)no ip address
41)!
42)interface Vlan1
43)description Device_VLAN
44)ip address 10.10.0.1 255.255.255.0
45)!
46)interface Vlan2
47)description Server_VLAN
48)ip address 192.167.1.1 255.255.255.0
49)!
50)interface Vlan3
51)description Teach_VLAN
52)ip address 192.167.2.1 255.255.255.0
53)ip helper 192.167.1.2
54)!
55)interface Vlan4
56)description Office_VLAN
57)ip address 192.167.3.1 255.255.255.0
58)ip helper 192.167.1.2
59)!
60)interface Vlan5
61)description Flat_VLAN
62)ip address 192.167.4.1 255.255.255.0
63)ip helper 192.167.1.2
64)!
65)ip classless
66)ip route0.0.0.0 0.0.0.0 192.167.0.1
67)ip http server
68)!
69)line con 0
70)line vty 5 15
71)!
72)end
只有在三层交换机中为每个VLAN设置一个路由接口,才能实现VLAN间的路由。以上代码中的第42~63行依次为VLAN1、VLAN2、VLAN3、VLAN4、VLAN5设置了各自接口。这些路由接口的IP地址就是各VLAN内计算机的默认网关,路由接口的IP地址和子网掩码就决定了该VLAN中计算机可以使用的IP地址的范围。如果某用户办公位置或网络设备发生变化,但工作部门关系不变,无需更改VLAN配置,自动保持VLAN成员资格;反之,用户工作部门关系改变,网络管理员只需更改VLAN配置,即可使其加入新的工作组,降低了移动和变更的管理成本。
7 结束语
目前校园网的建设中,核心交换机都采用三层交换机,在很大程度上支持了虚拟局域网(VLAN)技术,便于管理员对网络的管理和维护,以高效的网络硬件性能和低成本的优势保证了校园网的传输效率和安全性能。本文就是在第三层交换应用中结合VLAN技术,针对具体校园网的实际情况对网络进行“升级”重组,使该校园网有了质的飞跃,从而方便了相关人员的管理、使用和维护。
参考文献:
[1]张卫,王能,俞黎阳,陆刚. 计算机网络工程[M]. 清华大学出版社,2004.8,66-75.
[2]周常庆 译. 网络分析与设计[M]. 中国电力出版社,2003.8,128-136.
[3]杨永斌. VLAN技术在校园网建设中的应用[J]. 计算机科学,2004,31(12).
[4]姜忠. 虚拟局域网VLAN技术概述[J]. 网络与多媒体,2005,19.
[5]黄劲荣. 虚拟局域网VLAN技术及实现[J]. 教育信息化,2005,4.
[6]王竹林, 等. 校园网组建与管理[M]. 清华大学出版社,2002.1.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。
关键词:虚拟局域网;第三层交换;校园网
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)04-10987-02
1 引言
以计算机互联网为核心的科学技术为教育业提供了前所未有的机会和发展潜力,校园网已广泛的应用于各高校。对于一个高校校园网来说,联网的计算机要以千或万为单位计算,须进行大量的投资,用大量的交换机和路由器将这些计算机物理地址分配在不同的局域网(子网)中。虚拟局域网技术正是解决这一问题的最好方法。
2 虚拟局域网(VLAN)技术
虚拟局域网[1](Virtual Local Area Network,简称VLAN或虚拟网)是一项在20世纪90年代中期迅速发展起来的网络技术,这项技术的核心思想是利用交换机对帧的传输和控制能力,在网络的物理拓扑结构基础上建立多个逻辑网络,这些逻辑网络中的工作站和服务器可以不受地理位置和物理连接的限制,但同样具有物理局域网的功能和特点,即同一个网络内的站点可相互访问,而不同网络的站点不能直接访问。
虚拟局域网是建立在交换网络基础上的数据链路层技术,交换设备包括以太网交换机、ATM交换机、宽带路由器等,可以功能、工程组或应用等为依据对局域网加以逻辑划分,而不是以实体或地理位置为依据进行划分。对于虚拟局域网,有一个站点发送的广播信息帧只能发送到具有相同虚拟网号的其他站点,而其他虚拟局域网的站点则接受不到该广播信息帧。VLAN有效的缩小了广播域,减少了网络上不必要的广播通信,是目前比较流行的组网形势。
3 虚拟局域网的优点
(1)隔离网络广播风暴。VLAN报个大型局域网划分成几个小的VLAN,把广播信息限制在各个VLAN内部,大大减少了网络中的广播信息,消除了因广播信息泛滥造成的网络拥塞;
(2)改善网络安全性能。VLAN相当于一个独立的局域网,通过对路由器进行适当的配置,对VLAN之间的相互访问进行安全控制,可用于防止大部分以网络监听为手段的入侵;
(3)提高网络传输效率。VLAN中数据流量的减少可以减轻路由器的工作负担,而且交换机比路由器传输数据所需时间更短,从而提高网络运行效率;
(4)简化网络维护管理。只要将具有相同功能的部门划分到一个VLAN中即可实现相互间访问。当网络设备发生改变时,只需对交换机中的VLAN设置进行修改或重新划分即可;
(5)降低网络变更成本。VLAN中的工作站和服务器可以不受地理位置的限制,允许移动工作站而保持其原始的IP地址和子网成员。从而减少了网络设备移动或变更所需的大量开销。
图1 传统LAN与VLAN的对比
4 VLAN的划分策略和组建条件
虚拟局域网的划分方式可以分为静态划分和动态划分两种。从技术角度来看,需要不同划分方式也有所不同。主要的划分策略[2]有以下几种:
(1)端口分组(静态划分)。此时VLAN可被理解为交换机各端口的集合,被划分到同一VLAN中的端口可来自同一交换机中也可来自不同的交换机;
(2)MAC层分组(动态划分)。根据网络设备的物理地址(MAC地址)划分,每一个VLAN就是一张MAC清单,只要VLAN没有变化就无需进行修改、设置。此方法不适合用于大型网络和大量笔记本接入的环境;
(3)网络层分组。根据网络使用的不同的协议进行划分,每个协议可能有不同的虚拟的拓扑形式。相同端口的计算机可属于不同的VLAN;
(4)IP组播分组。一个组播是一个VLAN,具有更大的灵活性,更容易通过路由器进行扩展。此方法适用于广域网,用于局域网效率并不高;
VLAN的组建条件[3]:VLAN是建立在屋里网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备,当网络中的不同VLAN间进行相互通信时,需要路由的支持,这是需要增加路由设备,要实现路由功能,既可采用路由器,也可采用三层交换机来实现。
5 虚拟局域网的标准[2]
在实现VLAN中各厂商的标准是不同的,主要有IEEE802.10和IEEE802.1Q。
IEEE802.10标准[1]定义了一个单独的协议数据单元,通常被称为Secure Data Exchange(SDE) PDU,也成为802.1报头,该标准把802.1报头插在了MAC的帧头和数据区域之间。802.1报头由Clear Header和Protected Header两部分组成。Clear Header部分中的SAID(Security Association Identifier)域通常被一些厂家用作VLAN的标识域,即用来指示该帧将被发送到哪一个VLAN,该标识域也就是交换机进行数据交换的主要依据。
IEEE802.1Q标准[4]定义每一个VLAN的帧都有一个明确的标识符,指明发送这个帧的工作站是属于哪一个VLAN。VLAN网络的结构框架基于三层模型:配置层、传输/解析层、映射层,并在配置层上确定了VLAN的配置参数并分配全局标识名及VLAN标记。传输和解析层在网络中将有关的控制信息传递到网桥,由网桥根据控制信息决定如何传递分组。映射层支持接收帧和VLAN映射,由接收帧中的信息决定帧的方向和端口。VLAN标记字段插入在以太网MAC帧的源地址字段和长度/类型字段之间,VLAN标记的前两个字节称为802.1Q标记类型。后两个字节中,前3个比特是用户优先级字段,接下来1个比特为CFI(规范格式指示符),而后的12比特为该虚拟局域网VLAN标识符VID,它标示了这个以太网帧是属于哪一个VLAN。
图2 VLAN的结构框架
6 VLAN在模拟校园网的实现
VLAN的实现[5]采用的设备、划分的策略、路由的技术等不同而有所不同,但大致分为以下几个步骤:(1)在交换机上创建VLAN;(2)给VLAN静态分配交换机端口;(3)配置中继,将交换机与交换机之间的连接以及交换机与路由器之间的连接端口设为主干模式Trunk;(4)配置路由器以实现VLAN间路由。
根据校园网的基本功能、校园网建设方案及网络解决方案等方面的信息,可以构建出一个校园网络拓扑结构,如图3所示。
图3 学院园区网络拓扑图
校园网通常由多个子网构成,由于每一个子网的应用性质和安全要求不同,所以应对子网的访问、相互间的通信采取相应的控制策略。该校园网跨接7座教学主楼,由一级主干光纤、二级主干光纤、双绞线连通各楼,设置的信息点约达数百个。按照传统的局域网管理,通常采用物理划分子网的方法,显然网络的传输效率、可管理性及安全性方面有着诸多弊端。
为了避免以后各部门及网络设备的移动和变更给网络维护和管理带来的问题,我们可以建立基于网络层IP策略的VLAN ,将分布于不同楼内,但是业务、工作性能相同的部门或用户划分到同一个VLAN(一个IP子网)。因此,我们将建立教学、公寓 、办公、服务器4个VLAN,图中分别用紫色、蓝色、绿色、红色来表示。因为信息主要是在同一工作性质的部门流动,按此划分VLAN后,信息流量就被限制在一个VLAN内部,不会流通到其他VLAN内,这样就有效降低了广播流量,节约了带宽。同时我们还可对不同业务部门(不同IP子网)设定不同的访问权限,防止普通用户对相关保密数据的访问。
不同VLAN之间数据包的传输可由三层交换机转发,并由三层交换机的路由部件完成报文过滤等控制功能,给安全管理工作打下了良好基础。本校园网中三层交换机采用Catalyst 3550交换机的配置文件中设立了5个VLAN ,其中VLAN1是默认VLAN,VLAN2、VLAN3、VLAN4、VLAN5分别用于服务器、教学、办公、公寓。具体内容如下:
1)!
2)version 20.1
3)no service single-slot-reload-enable
4)no service pad
5)service timestamps debug uptime
6)service timestamps log uptime
7)no service password-encryption
8)!
9)Hostname Cat3550
10)!
11)Ip subnet-zero
12)!
13)Spanning-tree extend system-id
14)!
15)interface FastEthernet0/1
16)description To Server
17)switchport access vlan2
18)switchport mode access
19)no ip address
20)spanning-tree portfast
21)!
22)interface FastEthernet0/2
23)switchport access vlan2
24)switchport mode access
25)no ip address
26)!
27)…
28)!
29)interface FastEthernet0/24
30)description To Internet_Router
31)no switchport
32)ip address 192.167.0.2 255.255.255.252
33)!
34)interface GigabitEthernet0/1
35)description To 2950
36)Switchport trunk encapsulation dot1q
37)no ip address
38)!
39)interface GigabitEthernet0/2
40)no ip address
41)!
42)interface Vlan1
43)description Device_VLAN
44)ip address 10.10.0.1 255.255.255.0
45)!
46)interface Vlan2
47)description Server_VLAN
48)ip address 192.167.1.1 255.255.255.0
49)!
50)interface Vlan3
51)description Teach_VLAN
52)ip address 192.167.2.1 255.255.255.0
53)ip helper 192.167.1.2
54)!
55)interface Vlan4
56)description Office_VLAN
57)ip address 192.167.3.1 255.255.255.0
58)ip helper 192.167.1.2
59)!
60)interface Vlan5
61)description Flat_VLAN
62)ip address 192.167.4.1 255.255.255.0
63)ip helper 192.167.1.2
64)!
65)ip classless
66)ip route0.0.0.0 0.0.0.0 192.167.0.1
67)ip http server
68)!
69)line con 0
70)line vty 5 15
71)!
72)end
只有在三层交换机中为每个VLAN设置一个路由接口,才能实现VLAN间的路由。以上代码中的第42~63行依次为VLAN1、VLAN2、VLAN3、VLAN4、VLAN5设置了各自接口。这些路由接口的IP地址就是各VLAN内计算机的默认网关,路由接口的IP地址和子网掩码就决定了该VLAN中计算机可以使用的IP地址的范围。如果某用户办公位置或网络设备发生变化,但工作部门关系不变,无需更改VLAN配置,自动保持VLAN成员资格;反之,用户工作部门关系改变,网络管理员只需更改VLAN配置,即可使其加入新的工作组,降低了移动和变更的管理成本。
7 结束语
目前校园网的建设中,核心交换机都采用三层交换机,在很大程度上支持了虚拟局域网(VLAN)技术,便于管理员对网络的管理和维护,以高效的网络硬件性能和低成本的优势保证了校园网的传输效率和安全性能。本文就是在第三层交换应用中结合VLAN技术,针对具体校园网的实际情况对网络进行“升级”重组,使该校园网有了质的飞跃,从而方便了相关人员的管理、使用和维护。
参考文献:
[1]张卫,王能,俞黎阳,陆刚. 计算机网络工程[M]. 清华大学出版社,2004.8,66-75.
[2]周常庆 译. 网络分析与设计[M]. 中国电力出版社,2003.8,128-136.
[3]杨永斌. VLAN技术在校园网建设中的应用[J]. 计算机科学,2004,31(12).
[4]姜忠. 虚拟局域网VLAN技术概述[J]. 网络与多媒体,2005,19.
[5]黄劲荣. 虚拟局域网VLAN技术及实现[J]. 教育信息化,2005,4.
[6]王竹林, 等. 校园网组建与管理[M]. 清华大学出版社,2002.1.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。