《应用VLAN技术建立鞍钢计量远程信息网》由会员分享,可在线阅读,更多相关《应用VLAN技术建立鞍钢计量远程信息网(5页珍藏版)》请在金锄头文库上搜索。
1、1应用 VLAN 技术建立鞍钢计量远程信息网摘要:介绍鞍钢计量远程信息网的建网背景、建网思路、系统结构, VLAN 技术及应用。 关键词:VLAN 技术 路由 网络 1 建网背景鞍钢公司为了适应当前生产和实现信息化管理,增强竞争力的要求,于 2001 年建设了覆盖全公司的高速信息传输网络ATM 综合信息网,以实现公司生产、财会的计算机管理为起点,逐渐扩展。该网也为实施远程接入、视频监控、电视会议等宽带信息传输与应用提供了充足的条件。鞍钢做为国有特大型企业,其下属的各子公司、厂矿根据自己的业务特点,办公地点有的集中在一起,联网比较方便简单;有的比较分散而其网络业务需求却较大,如计量、燃气、供电等
2、系统。如果还采用传统的以各厂办公楼为中心,向外辐射直连到各下级单位(车间、班组)的模式,仅线路一项(光缆、网线)的投资就是十分巨大的。而运用现已十分成熟的 VLAN 技术,采取就近接入上网的策略,充分利用现有的 ATM 网络资源,是解决计量等远程信息接入的良好途径。2VLAN 技术简介VLAN(Virtual Local Area Network)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个2VLAN 组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。VLAN 在逻
3、辑上等价于广播域。更具体的说,我们可以将 VLAN 类比成一组最终用户的集合。这些用户可以处在不同的物理 LAN 上,但他们之间可以象在同一个 LAN 上那样自由通信而不受物理位置的限制。在这里,网络的定义和划分与物理位置和物理连接是没有任何必然联系的。网络管理员可以根据不同的需要,通过相应的网络软件灵活的建立和配置虚拟网,并为每个虚拟网分配它所需要的带宽。2.1VLAN 的划分从技术角度讲,VLAN 的划分可依据不同原则,一般有以下几种划分方法:(1)基于端口的 VLAN 划分这种划分是把一个或多个交换机上的几个端口划分为一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设
4、备的交换端口进行重新分配即可,不用考虑该端口所连接的设备,是最常用的一种方式。但是,这种方式不允许多个 VLAN 共享一个物理网段或交换机端口。而且,如果某一个用户从一个端口所在的虚拟网移动到另一个端口所在的虚拟网,网络管理员需要重新进行设置。这对于拥有众多移动用户的网络来说是不可想象的。(2)基于 MAC 地址的 VLAN 划分MAC 地址其实就是指网卡的标识符,每一块网卡的 MAC 地址都是唯一且固化在网卡上的。MAC 地址由 12 位 16 进制数表示,前 8 位为厂商标识,后 4 位为网卡3标识。网络管理员可按 MAC 地址把一些站点划分为一个逻辑子网。按 MAC 地址定义的 VLAN
5、 有其特有的优势。因为 MAC 地址是捆绑在网络接口卡上的,所以这种形式的虚拟网允许网络用户从一个物理位置移动到另一个物理位置,并且自动保留其所属虚拟网段的成员身份。同时,这种方式独立于网络的高层协议(如 TCP/IP,IP,IPX 等)。因此,从某种意义上讲,利用 MAC 地址定义虚拟网可以看成是一种基于用户的网络划分手段。这种方法的一个缺点是所有的用户必须被明确的分配给一个虚拟网。在这种初始化工作完成之后,对用户的自动跟踪才成为可能。然而,在一个拥有成千上万用户的大型网络中,如果要求管理员将每个用户都一一划分到某一个虚拟网,这实在是太困难了。因此,有些厂商便将这项配置 MAC 地址的复杂劳
6、动推给了他们的网络管理工具。这些网管工具可以根据当前网络的使用情况,在 MAC 地址的基础上自动划分虚拟网。(3)基于路由的 VLAN 划分路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。该方式允许一个 VLAN 跨越多个交换机,或一个端口位于多个 VLAN 中。基于网络层(基于路由)的虚拟网使用协议(如果网络中存在多协议的话)或网络层地址(如 TCP/IP 中的子网段地址)来确定网络成员的划分。利用网络层定义虚拟网有以下几点优势。第一,这种方式可以按传输协议划分网段。这对于希望针对具体应用和服务来组织用户的网络管理员来说无疑是非常有诱惑力的。其次,用户可以在网络内部
7、自由移动而不用重新配置自己的工作站,尤其是使用 TCP/IP 的用户。第三,这种类型的虚拟网可以减少由于协议转换而造成4的网络延迟。缺点是与利用 MAC 地址的形式相比,基于网络层的虚拟网需要分析各种协议的地址格式并进行相应的转换。因此,使用网络层信息来定义虚拟网的交换机要比使用数据链路层信息的交换机在速度上占劣势。而且,这种差异在绝大多数网络产品中都存在。另外,虽然按网络层划分的虚拟网对于使用 TCP/IP 协议的用户群来说是十分有效的。但是,象 IPX、DECnet、AppleTalk 这样的协议运行在这种虚拟网络结构中似乎就不太合适了。再者,对于某些“无法路由”的协议如 NetBIOS,
8、按网络层定义虚拟网就更困难了。运行不可路由的协议的工作站是不能被识别的,因此也就不能成为虚拟网的一员。虽然这种类型的虚拟网是建立在网络层的基础上,但交换机本身并不参与路由工作。当一个交换机捕捉到一个 IP 包,并利用 IP 地址确定其身份时,没有任何与路由有关的计算产生。RIP 以及 OSPF 等路由传输协议也不被采用。交换机只是作为一个高速网桥,简单的利用扩展树算法将包转发给下一个节点上的交换机。基于网络层的虚拟网之间的连接应该看成是一个类似于桥的拓扑结构。(4)基于 IP 广播组的 VLAN 划分根据 IP 广播组定义是指任何属于同一 IP 广播组的计算机都属于同一虚拟网。当IP 包广播到
9、网络上时,它将被传送到一组 IP 地址的受托者那里。这组被明确定义的广播组是在网络运行中动态生成的。任何一个工作站都有机会成为某一个广播组的成员,只要它对该广播组的广播确认信息给予肯定的回答。所有加入同一个广播组的工作站被视为同一个虚拟网的成员。然而,他们的这种成员身分可根据5实际需求保留一定的时间。因此,利用 IP 广播域来划分虚拟网的方法给使用者带来了巨大的灵活性和可延展性。而且,在这种方式下,整个网络可以非常方便地通过路由器扩展网络规模。综上所述,有很多方式可以用来定义虚拟网。每种方法的侧重点不同,所达到的效果也不尽相同。在具体应用时要根据实际情况选择一种最适合当前需要的途径,因此,鞍钢
10、计量远程信息网依据实际需求选用的是第一种划分方式既采用基于端口的 VLAN 划分方式。2.2 使用 VLAN 的优点使用 VLAN 具有以下优点:(1)增加了网络连接的灵活性网络上工作站可以按业务功能而不必按地理位置分组。VLAN 可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的用户使用了VLAN 后,这部分管理费用将大大降低。(2)控制网络上的广播风暴随着网络向交换结构转变,人们失去了路由器提供防火墙功能。这样,广播风暴将发送到每一个交换端口,也就是常说的整个网络是一个广播域。使用交换网络的优势是可以提供低延时和高吞吐量,缺点是增加了整个交换网络的广播风暴。VLA
11、N 可以提供建立防火墙的机制,防止交换网络上的过量广播风暴。使用VLAN 可以将某个交换端口或用户赋于某一个特定的 VLAN 组,该 VLAN 组可6以在一个交换网中或跨接多个交换机,在一个 VLAN 中的广播风暴不会送到VLAN 之外。同样,相邻的端口不会收到其他 VLAN 产生的广播风暴。这样,可以减少广播流量,释放带宽给用户应用,减少广播风暴的产生。(3)增加网络的安全性人们在 LAN 上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组,网络管理员限制了 VLAN 中用户的数量,禁止未经允许而访问 VLAN 中的
12、应用。交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性 VLAN 中。(4)增加了集中化的管理控制通过集中化的 VLAN 管理程序,网络管理员可以确定 VLAN 组,分配特定用户和交换端口给这些 VLAN 组,设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,跨越交换机配置 VLAN 通信,监控交通流量和 VLAN 使用的网络带宽。这些能力有效地提高了网络管理程序的可控性、灵活性和监视功能,减少了管理的费用。鞍钢计量远程信息网已具备了上述几项特点,受到用户的好评。3 建网思路在传统的局域网中,各站点共享传输信道所造成的信道冲突和广播风暴是影响网络
13、性能的重要因素。为了解决发生在网络第二层的信道冲突和发生在网络第三层的广播风暴问题,网桥和路由器被广泛应用于局域网中。由网桥连接的网络属于同一逻辑子网,逻辑子网是指该网络中的网络站点具有相同的网络层地址,例如7具有相同的 IP 网络号。由路由器将不同逻辑子网连接在一起,逻辑子网间的通信必须经路由器进行。在这种网络结构中,由集线器、粗缆和细缆所构成的物理网络与逻辑子网相对应。通常一个 IP 子网属于一个广播域,因此网络中的广播域是根据物理网络来划分的。这样的网络结构无论从效率和安全性角度来考虑都有所欠缺。同时,由于网络中的站点被束缚在所处的物理网络中,而不能够根据需要将其划分至相应的逻辑子网,因
14、此网络的结构缺乏灵活性。例如分属于不同集线器的站点不能属于同一个逻辑子网。而 VLAN 技术正好可以解决这一难题,网络中的站点不再拘泥于所处的物理位置,而可以根据需要灵活地加入不同的逻辑子网中。目前公司下属各厂矿基本都已建成了采用 TCP/IP 协议基于交换机的局域网(以太网),并通过公司 ATM 骨干网互连。计量、燃气、供电等厂矿的实际情况正是如此,总厂已接入公司 ATM 网,而各车间班组站点的物理位置却分散在鞍钢厂区的不同地方,因此,我们可以充分利用现有的资源,根据各站点所处的物理位置和实际需求,利用 VLAN 技术采取就近接入上网的策略,组建起符合实际需求的远程接入网络,以满足广大用户的
15、需求。首先根据用户的实际情况和物理位置设计出用户端到顶端(既就近接入 ATM 网的二级交换机 P333T 的端口处)的最佳光缆路由,然后按照统一规划在 P333T 上将用户所接端口划入用户所在的 VLAN 中,连好连线,既建立起远端用户与厂部的通信路由。从 2002 年 5 月开始,计量厂远程信息网经两期工程共接入用户站点 81 处,敷设光缆 80 多公里(一期:子站类 20 处用户,累计用光缆 20 余公里;二期:衡器类 61 处用户,累计用光缆 60 余公里),已有 140 多台微机与厂部实现了互联,可实时传输数据、图象。一期(子站类)、二期(衡器类)工程的路由图分别如8图一和图二所示。4
16、 鞍钢计量远程信息网络系统结构鞍钢计量系统远程信息网是以鞍钢公司 ATM 骨干网为依托,充分利用现有设备和设施组建起来的。本厂设置一台二级交换机(朗讯公司的 Cajun P333T)作为厂部及邻近站点用户接入 ATM 骨干网用。厂外站点根据各自所处的物理位置和实际需求,利用 VLAN 技术采取就近接入上网的策略(VLAN 划分采用基于端口的方式)接入 ATM 网。例如计量厂在远离厂部的炼铁总厂院内有一站点:计量厂炼铁子站(IP 地址为:192.8.80.12)。计量厂所在 VLAN 是 vlan80,所用网段是192.8.80.0。则在炼铁总厂(所在 VLAN 是 vlan19,所用网段是 192.8.19.0)二级交换机 P333T 上将子站所用端口(3 口)设置为 vlan80,再将子站所用 PC 机的 IP 地址设为本厂网段的地址:192.8.80.12 后,炼铁子站就通过炼铁总厂二级交换机接入了公司 ATM 网,与远离的厂部用户同在一个虚拟局域网(VLAN)内,即可象在本地局域网内一样进行操作和通信了。如果一处子站内有多台 PC 机需要与厂部联网,则采用先通过一个 HUB
