配置VLAN前的準備:
在公司內部網如何進行VLAN的劃分呢?有很多朋友問,書看了不少,操作命令也瞭解,就是不知如何開始進行實施,幾乎沒有頭緒。其實,在實施公司內部網的劃分之前,準備工作是非常必要的,要保證VLAN一次性的劃分成功,就要對網絡中所有設備(支持VLAN的設備)及設備的端口進行統一的部署,特別是支持不同VLAN間通訊的中心交換機,更應該詳細部署。有了前期充分的準備,對交換機的操作就顯得十分輕鬆了。首先還是先來了解一些相關的VLAN技術概念。
VLAN中相關技術概念
VLAN的定義
VLAN(Virtual Local Area Network)即虛擬局域網,是一種將局域網內的設備邏輯地劃分爲不同網段的技術,VLAN可以將網絡劃分爲不同功能相對獨立的工作組,VLAN封裝的國際標準爲IEEE 802.1Q。同一個VLAN中的成員都共享廣播,而不同VLAN之間廣播信息是相互隔離的。這樣,將整個網絡邏輯地而不是物理地劃分成多個廣播域。隔離了廣播風暴有助於控制網絡流量、簡化網絡管理、可以隔離各個不同VLAN之間的通訊來提高網絡的安全性,如果要實現不同VLAN間的通訊則需要有支持三層的交換機或路由器來完成。
VLAN(Virtual Local Area Network)即虛擬局域網,是一種將局域網內的設備邏輯地劃分爲不同網段的技術,VLAN可以將網絡劃分爲不同功能相對獨立的工作組,VLAN封裝的國際標準爲IEEE 802.1Q。同一個VLAN中的成員都共享廣播,而不同VLAN之間廣播信息是相互隔離的。這樣,將整個網絡邏輯地而不是物理地劃分成多個廣播域。隔離了廣播風暴有助於控制網絡流量、簡化網絡管理、可以隔離各個不同VLAN之間的通訊來提高網絡的安全性,如果要實現不同VLAN間的通訊則需要有支持三層的交換機或路由器來完成。
VLAN的工作模式
VLAN的工作模式有靜態和動態。靜態模式是指管理員針對交換機端口指定VLAN,通常在局域網VLAN劃分中採用這種模式。 動態模式是指通過設置VMPS,包含了一個MAC地址與VLAN號的映射表,當數據幀到達交換機後,交換機會查詢VMPS獲得相應MAC地址的VLAN ID。
VLAN的工作模式有靜態和動態。靜態模式是指管理員針對交換機端口指定VLAN,通常在局域網VLAN劃分中採用這種模式。 動態模式是指通過設置VMPS,包含了一個MAC地址與VLAN號的映射表,當數據幀到達交換機後,交換機會查詢VMPS獲得相應MAC地址的VLAN ID。
VLAN的劃分方式
按照交換機的交換能力,可以將VLAN劃分爲兩大類:二層交換和三層交換。二層交換是建立在OSI七層模型之第二層橋的體系結構上,基於端口的VLAN和基於MAC地址的VLAN就屬於此類;三層交換是基於OSI七層模型之第三層的協議(IP、IPX等)來劃分的。
1)基於端口的VLAN
最有效的VLAN劃分方法,只需針對網絡設備的交換端口進行重新分配組合到不同的邏輯網段中即可,而不用考慮該端口所連接的設備是什麼。分配到同一VLAN的各網段上的所有接點都在同一個廣播域中,可以直接通信,不同VLAN接點間的通信則需要通過路由器或三層交換機(就是支持三層路由協議的交換機)進行。
2)基於MAC地址的VLAN
基於MAC地址的VLAN劃分其實就是基於工作站、服務器的MAC地址的集合,它解決了網絡接點的變更問題,對於連接於交換機的工作站來說,在它們初始化時,相應的交換機要在VLAN的管理信息庫MIB中檢查MAC地址,從而動態地匹配該端口到相應的VLAN中。在網絡規模較小時不失爲一個好的方法,但隨着網絡規模的擴大,網絡設備、用戶的增加,則會在很大程度上加大網絡管理的難度。
3)基於第三層路由協議的VLAN
路由協議工作在OSI七層協議的第三層——網絡層,即基於IP和IPX協議的轉發。根據IP子網、IPX網絡號及其他一些協議來劃分VLAN,同一協議的工作站劃分爲一個VLAN,該方式容許一個VLAN跨越多個交換機,不但大大減少人工配置VLAN的工作量,而且可以保證用戶自由地增加、移動和修改。
4)基於策略的VLAN
基於策略的VLAN劃分是最靈活有效的VLAN劃分方式,具有自動配置的能力,在邏輯劃分上稱爲“關係網絡”,自動配置VLAN時,交換機自動檢查進入它端口的廣播信息的IP源地址,然後自動將此端口分配給一個由IP子網映射成的VLAN,這主要取決於在VLAN的劃分中所採用的策略。
按照交換機的交換能力,可以將VLAN劃分爲兩大類:二層交換和三層交換。二層交換是建立在OSI七層模型之第二層橋的體系結構上,基於端口的VLAN和基於MAC地址的VLAN就屬於此類;三層交換是基於OSI七層模型之第三層的協議(IP、IPX等)來劃分的。
1)基於端口的VLAN
最有效的VLAN劃分方法,只需針對網絡設備的交換端口進行重新分配組合到不同的邏輯網段中即可,而不用考慮該端口所連接的設備是什麼。分配到同一VLAN的各網段上的所有接點都在同一個廣播域中,可以直接通信,不同VLAN接點間的通信則需要通過路由器或三層交換機(就是支持三層路由協議的交換機)進行。
2)基於MAC地址的VLAN
基於MAC地址的VLAN劃分其實就是基於工作站、服務器的MAC地址的集合,它解決了網絡接點的變更問題,對於連接於交換機的工作站來說,在它們初始化時,相應的交換機要在VLAN的管理信息庫MIB中檢查MAC地址,從而動態地匹配該端口到相應的VLAN中。在網絡規模較小時不失爲一個好的方法,但隨着網絡規模的擴大,網絡設備、用戶的增加,則會在很大程度上加大網絡管理的難度。
3)基於第三層路由協議的VLAN
路由協議工作在OSI七層協議的第三層——網絡層,即基於IP和IPX協議的轉發。根據IP子網、IPX網絡號及其他一些協議來劃分VLAN,同一協議的工作站劃分爲一個VLAN,該方式容許一個VLAN跨越多個交換機,不但大大減少人工配置VLAN的工作量,而且可以保證用戶自由地增加、移動和修改。
4)基於策略的VLAN
基於策略的VLAN劃分是最靈活有效的VLAN劃分方式,具有自動配置的能力,在邏輯劃分上稱爲“關係網絡”,自動配置VLAN時,交換機自動檢查進入它端口的廣播信息的IP源地址,然後自動將此端口分配給一個由IP子網映射成的VLAN,這主要取決於在VLAN的劃分中所採用的策略。
VTP(VLAN Trunking Protocol)協議
它是一個在交換機之間同步及傳遞VLAN配置信息的協議。在一個局域網中必須在中心交換機建立惟一的VTP Server,其他分支交換機設置爲Client模式。VTP Server上的配置將會傳遞給網絡中的所有交換機,VTP減少了手工配置而支持較大規模的網絡。VTP有三種模式:
Server模式:允許創建、修改、刪除VLAN及其他一些對整個VTP域的配置參數,同步本VTP域中其他交換機傳遞來的最新的VLAN信息。
Client模式:在Client模式下,一臺交換機不能創建、刪除、修改VLAN配置,也不能在NVRAM中存儲VLAN配置,但可以同步由本VTP域中其他交換機傳遞來的VLAN信息。
Transparent模式:可以進行創建、修改、刪除,也可以傳遞本VTP域中其他交換機送來的VTP廣播信息,但並不參與本VTP域的同步和分配,也不將自己的VLAN配置傳遞給本VTP域中的其他交換機,它的VLAN配置隻影響到它自己。通常交換機在默認情況下爲Server模式。
它是一個在交換機之間同步及傳遞VLAN配置信息的協議。在一個局域網中必須在中心交換機建立惟一的VTP Server,其他分支交換機設置爲Client模式。VTP Server上的配置將會傳遞給網絡中的所有交換機,VTP減少了手工配置而支持較大規模的網絡。VTP有三種模式:
Server模式:允許創建、修改、刪除VLAN及其他一些對整個VTP域的配置參數,同步本VTP域中其他交換機傳遞來的最新的VLAN信息。
Client模式:在Client模式下,一臺交換機不能創建、刪除、修改VLAN配置,也不能在NVRAM中存儲VLAN配置,但可以同步由本VTP域中其他交換機傳遞來的VLAN信息。
Transparent模式:可以進行創建、修改、刪除,也可以傳遞本VTP域中其他交換機送來的VTP廣播信息,但並不參與本VTP域的同步和分配,也不將自己的VLAN配置傳遞給本VTP域中的其他交換機,它的VLAN配置隻影響到它自己。通常交換機在默認情況下爲Server模式。
ISL標籤
ISL(Inter Switch Link)是一個在交換機之間、交換機和路由器之間以及交換機與服務器之間傳遞多個VLAN信息及VLAN數據流的協議,用於實現交換機間的VLAN中繼。它是一個信息包標記協議,在支持ISL接口上發送的幀由一個標準以太網幀和相關的VLAN信息組成,通過在交換機直連的端口配置ISL封裝,就可以跨越交換機進行整個網絡的VLAN分配和配置。VLAN封裝的國際標準爲IEEE802.1Q,在支持ISL的接口上可以傳送來自不同VLAN的數據。
ISL(Inter Switch Link)是一個在交換機之間、交換機和路由器之間以及交換機與服務器之間傳遞多個VLAN信息及VLAN數據流的協議,用於實現交換機間的VLAN中繼。它是一個信息包標記協議,在支持ISL接口上發送的幀由一個標準以太網幀和相關的VLAN信息組成,通過在交換機直連的端口配置ISL封裝,就可以跨越交換機進行整個網絡的VLAN分配和配置。VLAN封裝的國際標準爲IEEE802.1Q,在支持ISL的接口上可以傳送來自不同VLAN的數據。
配置中繼協議(802.1Q或ISL)
它是一個在交換機之間、交換機與路由器之間及交換機與服務器之間傳遞多個VLAN信息及VLAN數據流的協議,通過在交換機直接相連的端口配置ISL 或802.1Q的封裝,即可跨越交換機對整個網絡的VLAN進行分配和配置。
它是一個在交換機之間、交換機與路由器之間及交換機與服務器之間傳遞多個VLAN信息及VLAN數據流的協議,通過在交換機直接相連的端口配置ISL 或802.1Q的封裝,即可跨越交換機對整個網絡的VLAN進行分配和配置。
配置VLAN前的準備工作
1.根據公司內部網絡應用的需要,從財務部、技術部、服務部、管理部等功能應用出發來確定內部網絡應劃分VLAN的數量。
2.對網絡中所有要劃分VLAN的設備,統一部署編號,形成圖表檔案資料。假設以一個作爲中心交換機12端口的設備爲例,其圖表如下。
2.對網絡中所有要劃分VLAN的設備,統一部署編號,形成圖表檔案資料。假設以一個作爲中心交換機12端口的設備爲例,其圖表如下。
設備圖表
|
1 |
2 |
3 |
4 |
5 |
6 |
|
|
|
D01 |
D02 |
D03 |
D04 |
D05 |
D06 |
|
|
|
V10 |
V10 |
V13 |
V13 |
V15 |
V15 |
|
|
|
終端 |
終端 |
終端 |
終端 |
服務器1 |
服務器2 |
|
|
|
7 |
8 |
9 |
1 |
11 |
12 |
|
|
|
D07 |
D08 |
D09 |
D10 |
D11 |
GB |
GB | |
|
V12 |
V12 |
V12 |
空 |
空 |
trunk |
trunk |
trunk |
|
終端 |
終端 |
終端 |
空 |
空 |
下聯設備 |
光纖模塊 |
光纖模塊 |
數字行爲設備的端口號。
第二行爲網絡佈線配線架跳線網絡節點編號。
第三行爲此端口應劃分的VLAN號。在這裏應仔細部署每個端口應劃分到的哪個VLAN中,如果沒有就設爲空,即此端口不劃爲任何VLAN內。對於交換機之間連接的端口,如將12號和兩個光纖端口設爲Trunk端口,是作爲主幹線路爲了保證交換機之間傳遞多個VLAN信息及VLAN數據流,對此端口要作配置中繼協議的封裝。
第四行爲對應於每個端口的應連接終端設備,這樣便於清晰的管理。
以上每一列都是一對一應的,每個設備都應有對應的圖表,要保證圖表中的內容是準確無誤。這樣在對設備的VLAN劃分中可依據圖表進行操作,可防止操作中出現不必要錯誤。
3.對交換機內文件備份
對於交換機系統文件進行備份是十分必要的,這項工作可防止系統出現問題時能及時的恢復。將連接線纜連接到交換機的Console端口。
第二行爲網絡佈線配線架跳線網絡節點編號。
第三行爲此端口應劃分的VLAN號。在這裏應仔細部署每個端口應劃分到的哪個VLAN中,如果沒有就設爲空,即此端口不劃爲任何VLAN內。對於交換機之間連接的端口,如將12號和兩個光纖端口設爲Trunk端口,是作爲主幹線路爲了保證交換機之間傳遞多個VLAN信息及VLAN數據流,對此端口要作配置中繼協議的封裝。
第四行爲對應於每個端口的應連接終端設備,這樣便於清晰的管理。
以上每一列都是一對一應的,每個設備都應有對應的圖表,要保證圖表中的內容是準確無誤。這樣在對設備的VLAN劃分中可依據圖表進行操作,可防止操作中出現不必要錯誤。
3.對交換機內文件備份
對於交換機系統文件進行備份是十分必要的,這項工作可防止系統出現問題時能及時的恢復。將連接線纜連接到交換機的Console端口。
Switch#configure 進入到配置模式
Switch (config)# interface Vlan 1 進入交換機缺省VLAN
Switch (config)# ip address 10.120.80.1 255.255.255.0 爲交換機設定IP
Switch (config)# tftp flash:c2950.bin alias yyy 將要拷出的文件形成別名yyy
Switch (config)# interface Vlan 1 進入交換機缺省VLAN
Switch (config)# ip address 10.120.80.1 255.255.255.0 爲交換機設定IP
Switch (config)# tftp flash:c2950.bin alias yyy 將要拷出的文件形成別名yyy
然後在“運行”輸入“cmd”命令,進入到DOS的命令窗口。
D:>tftp -i 10.120. 80.1 get yyy c:c2950.bin
Transfer successful: 2958970 bytes in 26 seconds, 113806 bytes/s
Transfer successful: 2958970 bytes in 26 seconds, 113806 bytes/s
將文件成功的下載到了C盤目錄下。下載完成後切換到交換機配置界面
Switch (config)#no tftp flash:c2950.bin alias yyy 將別名yyy取消
這樣備份文件的工作就完成了,交換機其他文件可採用相同的步驟來完成。
至於系統若出現崩潰後恢復,恢復交換機系統可採用Window系統的超級終端。同樣將連接線纜連接到交換機的Console端口上。將超級終端打開,將傳送中的傳送文件協議調整爲xmodem,執行如下操作。
至於系統若出現崩潰後恢復,恢復交換機系統可採用Window系統的超級終端。同樣將連接線纜連接到交換機的Console端口上。將超級終端打開,將傳送中的傳送文件協議調整爲xmodem,執行如下操作。
Switch:copy xmodem :c2950.bin flash :c2950.bin
準備工作完成以後,就可對交換機進行具體的VLAN劃分了。
配置VLAN:
有很多朋友問,公司內部網如何進行VLAN的劃分呢?如何才能保證公司的網絡正常高效地運轉呢?在真正實施公司內部網的劃分之前,我們還是先來了解一些相關的VLAN技術。
VLAN的定義
究竟什麼是VLAN呢? VLAN(Virtual Local Area Network)即虛擬局域網,是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。IEEE於1999年頒佈了用以標準化VLAN實現方案的802.1Q協議標準草案。
VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN,即VLAN),每一個VLAN都包含一組有着相同需求的計算機工作站,與物理上形成的LAN有着相同的屬性。但由於它是邏輯地而不是物理地劃分,所以同一個VLAN內的各個工作站無須被放置在同一個物理空間裏,即這些工作站不一定屬於同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中,即使是兩臺計算機有着同樣的網段,但是它們卻沒有相同的VLAN號,它們各自的廣播流也不會相互轉發,從而有助於控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。
VLAN是爲解決以太網的廣播問題和安全性而提出的,它在以太網幀的基礎上增加了VLAN頭,用VLAN ID把用戶劃分爲更小的工作組,限制不同工作組間的用戶二層互訪,每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播範圍,並能夠形成虛擬工作組,動態管理網絡。
既然VLAN隔離了廣播風暴,同時也隔離了各個不同的VLAN之間的通訊,所以不同的VLAN之間的通訊是需要有路由來完成的。
VLAN的劃分
1.根據端口來劃分VLAN
許多VLAN廠商都利用交換機的端口來劃分VLAN成員。被設定的端口都在同一個廣播域中。例如,一個交換機的1,2,3,4,5端口被定義爲虛擬網AAA,同一交換機的6,7,8端口組成虛擬網BBB。這樣做允許各端口之間的通訊,並允許共享型網絡的升級。但是,這種劃分模式將虛擬網限制在了一臺交換機上。
第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分VLAN,不同交換機上的若干個端口可以組成同一個虛擬網。
以交換機端口來劃分網絡成員,其配置過程簡單明瞭。因此,從目前來看,這種根據端口來劃分VLAN的方式仍然是最常用的一種方式。
2.根據MAC地址劃分VLAN
這種劃分VLAN的方法是根據每個主機的MAC地址來劃分,即對每個MAC地址的主機都配置它屬於哪個組。這種劃分VLAN方法的最大優點就是當用戶物理位置移動時,即從一個交換機換到其他的交換機時,VLAN不用重新配置,所以,可以認爲這種根據MAC地址的劃分方法是基於用戶的VLAN,這種方法的缺點是初始化時,所有的用戶都必須進行配置,如果有幾百個甚至上千個用戶的話,配置是非常累的。而且這種劃分的方法也導致了交換機執行效率的降低,因爲在每一個交換機的端口都可能存在很多個VLAN組的成員,這樣就無法限制廣播包了。另外,對於使用筆記本電腦的用戶來說,他們的網卡可能經常更換,這樣,VLAN就必須不停地配置。
3.根據網絡層劃分VLAN
這種劃分VLAN的方法是根據每個主機的網絡層地址或協議類型(如果支持多協議)劃分的,雖然這種劃分方法是根據網絡地址,比如IP地址,但它不是路由,與網絡層的路由毫無關係。
這種方法的優點是用戶的物理位置改變了,不需要重新配置所屬的VLAN,而且可以根據協議類型來劃分VLAN,這對網絡管理者來說很重要,還有,這種方法不需要附加的幀標籤來識別VLAN,這樣可以減少網絡的通信量。
這種方法的缺點是效率低,因爲檢查每一個數據包的網絡層地址是需要消耗處理時間的(相對於前面兩種方法),一般的交換機芯片都可以自動檢查網絡上數據包的以太網幀頭,但要讓芯片能檢查IP幀頭,需要更高的技術,同時也更費時。當然,這與各個廠商的實現方法有關。
4.根據IP組播劃分VLAN
IP 組播實際上也是一種VLAN的定義,即認爲一個組播組就是一個VLAN,這種劃分的方法將VLAN擴大到了廣域網,因此這種方法具有更大的靈活性,而且也很容易通過路由器進行擴展,當然這種方法不適合局域網,主要是效率不高。
VLAN的標準
對VLAN的標準,我們只是介紹兩種比較通用的標準,當然也有一些公司具有自己的標準,比如Cisco公司的ISL標準,雖然不是一種大衆化的標準,但由於Cisco Catalyst交換機的大量使用,ISL也成爲一種不是標準的標準了。
· 802.10VLAN標準
在1995年,Cisco公司提倡使用IEEE802.10協議。在此之前,IEEE802.10曾經在全球範圍內作爲VLAN安全性的同一規範。Cisco公司試圖採用優化後的802.10幀格式在網絡上傳輸FramTagging模式中所必須的VLAN標籤。然而,大多數802委員會的成員都反對推廣802.10。因爲,該協議是基於FrameTagging方式的。
· 802.1Q
在1996年3月,IEEE802.1Internetworking委員會結束了對VLAN初期標準的修訂工作。新出臺的標準進一步完善了VLAN的體系結構,統一了Fram-eTagging方式中不同廠商的標籤格式,並制定了VLAN標準在未來一段時間內的發展方向,形成的802.1Q的標準在業界獲得了廣泛的推廣。它成爲VLAN史上的一塊里程碑。802.1Q的出現打破了虛擬網依賴於單一廠商的僵局,從一個側面推動了VLAN的迅速發展。另外,來自市場的壓力使各大網絡廠商立刻將新標準融合到他們各自的產品中。
公司內部進行VLAN的劃分實例
對於每個公司而言都有自己不同的需求,下面我們給出一個典型的公司的VLAN的實例,這樣也可以成爲我們以後爲公司劃分VLAN的依據。
某公司現在有工程部、銷售部、財務部。VLAN的劃分:工程部VLAN10,銷售部VLAN20,財務部VLAN30,並且各部門還可以相互通訊。現有設備如下:Cisco 3640路由器,Cisco Catalyst 2924交換機一臺,二級交換機若干臺。
交換機配置文件中的部分代碼如下:
......
!
interface vlan10
ip address 192.168.0.1
!
interface vlan20
ip address 192.168.1.1
!
interface vlan30
ip address 192.168.2.1
!
......
路由器配置文件中的部分代碼如下:
......
interface FastEthernet 1/0.1
encapsulation isl 10
ip address 192.168.0.2
!
interface FastEthernet 1/0.2
encapsulation isl 20
ip address 192.168.1.2
!
interface FastEthernet 1/0.3
encapsulation isl 30
ip address 192.168.2.2
!
......
!
router rip
network 192.168.0.0
!
......