论文部分内容阅读
【摘 要】现代局域网设计要求有较好地灵活性和可扩展性,VLAN技术的应用能够使用户不受物理位置的影响,在不变动网络物理连接的前提下能够实现工作站在工作组或子网之间的任意移动,将工作站根据需要按照工作组、应用等组成逻辑工作组或虚拟子网,提高信息系统的运作性能,均衡网络数据流量,合理利用硬件及信息资源。同时,VLAN技术能够大幅降低网络管理和维护工作的负担,减少网络维护费用,发展前景较为理想。
【关键词】VLAN 局域网 三层交换机
VLAN(Virtual Local Area Network),即虚拟局域网,其实现原理为工作站将数据传送至VLAN交换机后,先由交换机将数据内容与VLAN配置数据库内容对比,再判断数据去向:若是需发至VLAN设备,需要对数据添加标记或标识,VLAN交换机会按照这个标识所表示的地址传送数据;若要发至非VLAN设备,就不需要另外添加标识,由VLAN交换机直接发送数据。
一、VLAN优势
(一)减少广播风暴
VLAN是一种网络分段技术,能够将广播风暴约束在一个VLAN内部,防止对其他网段造成影响,避免了大量广播信息消耗带宽的问题,对带宽的利用率相对以往的局域网来说愈显高效。网络在VLAN中被逻辑的分为若干个广播域,一个VLAN 成员发送的信息帧或数据包不能被网络中所有的工作站接收,而只能被同一VLAN 内的成员接收,从而降低主干网的流量,加快网络速度。
(二)提高网络安全性
VLAN有专门的安全机制,能够设置为允许特定用户访问,限定广播组的大小和位置,或者直接锁定网络成员的MAC地址,以此来屏蔽未经安全许可的用户或网络成员使用网络,这就解决了共享LAN中广播的安全性问题。
(三)优化网络管理
VLAN技術中的管理程序能够对整个网络进行集中管理,实现网络的优化管理。1.用户能够按照业务需求快速组建和调整VLAN;2.当网络拥挤时可以通过管理程序实现业务的重新分配;3.对工作者的业务量、广播行为以及统计特性等进行报告,所有的网络配置和管理工作面向网络管理员都是透明化的。利用虚拟网络技术在不改动网络物理连接的情况下任意的将工作站在工作组或子网之间移动,大大减轻了网络管理和维护工作的负担,降低了网络维护费用,在一个交换网络中,vlan提供了网段和机构的弹性组合机制。
二、VLAN技术在企业局域网中的应用
企业局域网大多采用以太网或千兆网技术,其核心交换机采用三层交换机,能很好的支持VLAN技术,一般将第三层交换机用在网络的核心层,用第三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN,这样网络结构相对简单,节点数相对较少,不需要更多的控制功能,并且成本较低。
企业内部出于安全或者保密等方面考虑,规定各业务部门独立划分局域网,局域网之间不能进行访问,而不能保证各业务部门的人员处于同一个办公地点,这种情况下选择组建VLAN是较为理想的解决方案:将各部门所在位置、人员组成、与交换机连接的端口等信息整理汇总,按照部门数量对交换机进行配置,创建VLAN,配置中继,最终在企业公用的局域网内部划分出若干个虚拟局域网,局域网中的广播明显减少,另外网络传输的速度加快,与此同时能够根据需求对VLAN进行添加、删除和变更。
在设计和建设VLAN、实现VLAN应用时,最开始应该确定如何划分VLAN,也就是按照哪种标准来组织VLAN成员,目前划分方式主要有:按端口划分VLAN;按MAC地址划分VLAN;基于策略的VLAN;基于路由的VLAN。
VLAN配置操作命令和过程包括:
(一)设置VTP domain
同一VLAN中所有的交换机被组织在一个VTP管理域中,有且只有一台交换机处于Server模式,通过它来创建、删除和修改VLAN配置信息,通过交换机之间的Trunk(中继)链路定期向其他交换机通告VLAN信息。同一个VTP域中其余交换机一般设置为Client模式,接收和转发Server的通告信息。
(二)配置中继
目的是要保证管理域能够覆盖所有的分支交换机。Cisco交换机能够支持任何介质作为中继线,为了实现中继可使用其特有的ISL标签。ISL是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接相连的端口配置ISL封装,即可跨越交换机进行整个网络的VLAN分配和进行配置。
(三)创建VLAN
默认条件下交换机只有VLAN 1,如有需要则通过命令添加VLAN。
(四)将交换机端口划入VLAN
默认条件下交换机所有端口均属于VLAN 1,通过全局命令可以修改交换机各端口的VLAN ID,需要注意的是交换机的每个端口只能属于一个VLAN。
(五)配置三层交换
要实现三层(网络层)交换必须为各VLAN分配网络(IP)地址。给VLAN分配IP地址分两种情况,第一,为 VLAN所有的节点分配静态IP地址;第二,为VLAN所有的节点分配动态IP地址。
访问控制的实现:首先在路由器全局配置模式下定义ACL表,然后应用到网络接口,通过该接口的数据包和ACL表自上而下开始匹配,决定通过还是拒绝。如果执行到ACL的最后仍没有与其相匹配的语句,数据包将被隐含的“拒绝”语句所拒绝。实施访问控制后,可以用show access-lists查看命中的数据包,随着网络和用户需求的变化要经常调整ACL。实施访问控制一方面可以限制对企业敏感资源的访问,另一方面可以通过对某些端口控制,阻断像“冲击波”和SQL SLAMMER蠕虫的传播。
参考文献:
[1]王晓玲.三层交换和VLAN技术在企业网络管理中的应用[J].科技信息.2012(33)
[2]柴宝仁.VLAN技术及在局域网中的实现[J].科技信息.2009(01)
[3]程宇,雷超群,杨毓龙.基于局域网中VLAN技术应用的研究[J].办公自动化. 2011(08)
[4]刘晓雯.浅析VLAN技术在局域网中的应用[J].中小企业管理与科技(下旬刊). 2011(08)
【关键词】VLAN 局域网 三层交换机
VLAN(Virtual Local Area Network),即虚拟局域网,其实现原理为工作站将数据传送至VLAN交换机后,先由交换机将数据内容与VLAN配置数据库内容对比,再判断数据去向:若是需发至VLAN设备,需要对数据添加标记或标识,VLAN交换机会按照这个标识所表示的地址传送数据;若要发至非VLAN设备,就不需要另外添加标识,由VLAN交换机直接发送数据。
一、VLAN优势
(一)减少广播风暴
VLAN是一种网络分段技术,能够将广播风暴约束在一个VLAN内部,防止对其他网段造成影响,避免了大量广播信息消耗带宽的问题,对带宽的利用率相对以往的局域网来说愈显高效。网络在VLAN中被逻辑的分为若干个广播域,一个VLAN 成员发送的信息帧或数据包不能被网络中所有的工作站接收,而只能被同一VLAN 内的成员接收,从而降低主干网的流量,加快网络速度。
(二)提高网络安全性
VLAN有专门的安全机制,能够设置为允许特定用户访问,限定广播组的大小和位置,或者直接锁定网络成员的MAC地址,以此来屏蔽未经安全许可的用户或网络成员使用网络,这就解决了共享LAN中广播的安全性问题。
(三)优化网络管理
VLAN技術中的管理程序能够对整个网络进行集中管理,实现网络的优化管理。1.用户能够按照业务需求快速组建和调整VLAN;2.当网络拥挤时可以通过管理程序实现业务的重新分配;3.对工作者的业务量、广播行为以及统计特性等进行报告,所有的网络配置和管理工作面向网络管理员都是透明化的。利用虚拟网络技术在不改动网络物理连接的情况下任意的将工作站在工作组或子网之间移动,大大减轻了网络管理和维护工作的负担,降低了网络维护费用,在一个交换网络中,vlan提供了网段和机构的弹性组合机制。
二、VLAN技术在企业局域网中的应用
企业局域网大多采用以太网或千兆网技术,其核心交换机采用三层交换机,能很好的支持VLAN技术,一般将第三层交换机用在网络的核心层,用第三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN,这样网络结构相对简单,节点数相对较少,不需要更多的控制功能,并且成本较低。
企业内部出于安全或者保密等方面考虑,规定各业务部门独立划分局域网,局域网之间不能进行访问,而不能保证各业务部门的人员处于同一个办公地点,这种情况下选择组建VLAN是较为理想的解决方案:将各部门所在位置、人员组成、与交换机连接的端口等信息整理汇总,按照部门数量对交换机进行配置,创建VLAN,配置中继,最终在企业公用的局域网内部划分出若干个虚拟局域网,局域网中的广播明显减少,另外网络传输的速度加快,与此同时能够根据需求对VLAN进行添加、删除和变更。
在设计和建设VLAN、实现VLAN应用时,最开始应该确定如何划分VLAN,也就是按照哪种标准来组织VLAN成员,目前划分方式主要有:按端口划分VLAN;按MAC地址划分VLAN;基于策略的VLAN;基于路由的VLAN。
VLAN配置操作命令和过程包括:
(一)设置VTP domain
同一VLAN中所有的交换机被组织在一个VTP管理域中,有且只有一台交换机处于Server模式,通过它来创建、删除和修改VLAN配置信息,通过交换机之间的Trunk(中继)链路定期向其他交换机通告VLAN信息。同一个VTP域中其余交换机一般设置为Client模式,接收和转发Server的通告信息。
(二)配置中继
目的是要保证管理域能够覆盖所有的分支交换机。Cisco交换机能够支持任何介质作为中继线,为了实现中继可使用其特有的ISL标签。ISL是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,通过在交换机直接相连的端口配置ISL封装,即可跨越交换机进行整个网络的VLAN分配和进行配置。
(三)创建VLAN
默认条件下交换机只有VLAN 1,如有需要则通过命令添加VLAN。
(四)将交换机端口划入VLAN
默认条件下交换机所有端口均属于VLAN 1,通过全局命令可以修改交换机各端口的VLAN ID,需要注意的是交换机的每个端口只能属于一个VLAN。
(五)配置三层交换
要实现三层(网络层)交换必须为各VLAN分配网络(IP)地址。给VLAN分配IP地址分两种情况,第一,为 VLAN所有的节点分配静态IP地址;第二,为VLAN所有的节点分配动态IP地址。
访问控制的实现:首先在路由器全局配置模式下定义ACL表,然后应用到网络接口,通过该接口的数据包和ACL表自上而下开始匹配,决定通过还是拒绝。如果执行到ACL的最后仍没有与其相匹配的语句,数据包将被隐含的“拒绝”语句所拒绝。实施访问控制后,可以用show access-lists查看命中的数据包,随着网络和用户需求的变化要经常调整ACL。实施访问控制一方面可以限制对企业敏感资源的访问,另一方面可以通过对某些端口控制,阻断像“冲击波”和SQL SLAMMER蠕虫的传播。
参考文献:
[1]王晓玲.三层交换和VLAN技术在企业网络管理中的应用[J].科技信息.2012(33)
[2]柴宝仁.VLAN技术及在局域网中的实现[J].科技信息.2009(01)
[3]程宇,雷超群,杨毓龙.基于局域网中VLAN技术应用的研究[J].办公自动化. 2011(08)
[4]刘晓雯.浅析VLAN技术在局域网中的应用[J].中小企业管理与科技(下旬刊). 2011(08)