《第3章VLAN技术及其配置》由会员分享,可在线阅读,更多相关《第3章VLAN技术及其配置(25页珍藏版)》请在金锄头文库上搜索。
1、本章提要:本章提要:除了应用生成树协议来消除因环路引起的广播风暴外,虚拟局域网(VirtualLocalAreaNetwork,VLAN )技术也能够有效解决网络中的广播风暴问题。VLAN 的划分有静态和动态两种方式。VLAN 技术还使得网络的灵活性和安全性都得以大大增强。一个 VLAN 就是一个独立的广播域,不同 VLAN 之间的通信需要通过第三层的设备来实现。VLAN 的配置是交换机配置中最重要的项目之一,其四个步骤为:配置 VTP 协议;定义主干连接;指定 VLAN 标识;配置 VLAN 端口。3.13.1 第二层交换式网络的缺点与划分第二层交换式网络的缺点与划分 VLANVLAN 的好
2、处的好处使用网桥或未划分 VLAN 的交换机做集中设备的网络,称为第二层交换式网络。第二层交换式网络存在许多缺点,用户与带宽管理功能不强。3.1.1 第二层交换式网络的缺点与 VLAN 技术第二层交换式网络存在如下缺点:a. 全网属于一个广播域,每一次广播的数据帧无论是否需要,都会到达网络中的所有设备,这就必然会造成带宽资源的极大浪费。b. 全网属于一个广播域,极易引起广播碰撞和广播风暴等问题。c. 网络的安全性不够高。在这种网络结构中,所有用户都可以监听到服务器以及其他设备端口发出的数据包,因此是极不安全的。一个简单的第二层交换式网络如图 3.1 所示。图 3.1 第二层交换式网络事实上,集
3、线器和通常意义下的网桥在现在的网络组建中已基本不用,而代之以交换机。为了解决上述问题,提高网络的效率与可操作性,在交换机中引入了 VLAN 技术。VLAN 允许一组不限物理位置的用户群共享一个独立的广播域,可在一个物理网络中划分多个VLAN,即可使得不同的用户群属于不同的广播域。这样,通过划分用户群,控制广播范围等方式,VLAN 技术能够从根本上解决网络效率与安全性等问题。VLAN 对广播域的划分是通过交换机软件完成的。它通过对用户分类来规划自己的用户群。如按项目组、部门或管理权限等来进行 VLAN 划分。划分 VLAN 时能够超越地域的界限,做到真正意义上的逻辑分组。在划分 VLAN 的交换
4、机上,每个端口都能被赋予一个 VLAN 号,只有那些相同VLAN 号的用户才同属于一个独立的广播域。广播被限制在各自的 VLAN 之内。因此,VLAN 能够最大限度地控制广播的影响范围以及减少由于共享介质所造成的安全隐患。划分 VLAN 后的网络如图 3.2 所示。图中 Client1 和 Client3 属于 VLAN1,图 3.2 划分 VLAN 后的网络Client2 和 Client4 属于 VLAN2。VLAN1 和 VLAN2 的数据帧和广播帧都不能直接到达对方的区域,彼此的访问需通过路由器来实现。图中还可看到计算机虽然所处的物理位置不同,但却可以划归在同一个 VLAN 中。3.1
5、.23.1.2 划分划分 VLANVLAN 的好处的好处划分 VLAN 的好处如下:a. 广播控制(Broadcast Control)通过将一个网络划分成多个 VLAN(即多个广播域),可以实现广播范围的控制,并能够有效减少广播风暴、广播碰撞问题和网络带宽资源的浪费等问题。b. 灵活性(Flexibility)VLAN 技术能够在逻辑上将不同地理位置的计算机划分在同一个广播域内。而无 VLAN 技术时,在更改一台主机的所属组时,必须将此主机直接接到该组所在的交换机上。这样,VLAN 可以非常灵活地添加或删除域内主机而不受主机物理位置的限制。这给网络管理带来了极大的方便,如对网络流量的均衡性(
6、Scalability)控制就很容易实现了。c. 安全性(Security)不同 VLAN 之间是不能够直接相互访问的。因此,按职责权限把用户(主机)划归在不同的 VLAN 里,就可使得各自的内部信息得到保护,从而增强了安全性。3.23.2 两种两种 VLANVLAN 技术技术VLAN 有两种划分方法,即静态 VLAN(Static VLAN)和动态 VLAN(Dynamic VLAN)划分。3.2.13.2.1 静态静态 VLANVLAN静态 VLAN 也就是基于端口的 VLAN。划分静态 VLAN 是一种最简单的 VLAN 创建方式,这种 VLAN易于建立与监控。在划分时,既可把同一交换机
7、的不同端口划分为同一虚拟局域网,也可把不同交换机的端口划分为同一虚拟局域网。这样,就可把位于不同物理位置、连接在不同交换机上的用户按照一定的逻辑功能和安全策略进行分组,根据需要将其划分为同一或不同的 VLAN。静态 VLAN 通常使用网络管理软件来配置和维护端口,如果需要改变端口的属性,则必须人工重新配置,因而具有较好的安全性。这种 VLAN 的划分方式应用最多,几乎所有支持 VLAN 的交换机都支持该方式。另外,许多交换机还支持将同一端口划分为多个 VLAN。如多个 VLAN 需要共享的打印机,需要访问的服务器等,就可连接在该端口上。3.2.23.2.2 动态动态 VLANVLAN动态 VL
8、AN 相对静态 VLAN 是一种较为复杂的划分方法。它可以通过智能网络管理软件基于硬件的 MAC 地址、IP 地址或者基于组播等条件来动态地划分 VLAN。1.基于 MAC 的 VLAN通过 MAC 地址进行 VLAN 划分时,首先,硬件设备的 MAC 地址会存储进 VLAN 的应用管理数据库中,当该主机移到一个没划分 VLAN 的交换机端口时,其硬件地址信息将会被读取,与在 VALN管理数据库中的进行比较,如果找到匹配的数据,管理软件会自动地配置该端口,以使其能够加入到正确的 VLAN 里。VLAN 应用管理数据库是由网络管理员人工进行初始化的,在 Cisco Catalyst 系列交换机中
9、,是通过使用 VLAN 成员策略管理服务器(VLAN Membership Policy Server,VMPS)来实现动态VLAN 的划分的。VMPS 通过 MAC 地址数据库将 MAC 地址映射成相应的 VLAN。当交换机检测到新设备时,会自动查询 VLAN 服务器,以获得正确信息。这种划分方式,一个交换机端口同时只能属于一个 VLAN,在相同 VLAN 里的动态 VLAN 用户可以灵活地移动,在用户随意移动或调换端口时,交换机能够为动态 VLAN 用户自动选择正确的VLAN 配置,而不必由网络管理员来手动进行分配。2.基于 IP 地址的 VLAN基于 IP 地址的 VLAN,是根据连接到
10、交换机端口上的主机的 IP 地址来划分的 VLAN。第二层交换机不支持该功能。而第三层交换机因能够识别网络层数据报(Packets),故可以使用数据报中的 IP 地址来定义 VLAN。这种定义方法的优点是当某一主机的 IP 地址改变时,交换机能自动识别并重新定义 VLAN,不需要网络管理员的干预。但由于 IP 地址可以人为地设置,故如果不采取其他措施,这种划分会带来安全上的隐患。3.基于组播的 VLAN组播作为一点对多点的通信,数据帧的发送对象为组。希望参加某一特定组的主机,将含有组地址的 IGMP“加入消息”发送给相邻的路由器,路由器则使用多点广播路由协议建立从源到所有目标主机的分发树。接收
11、者(目标主机)可随时动态地加入或者离开某一多点广播组。基于组播的 VLAN,就是动态地把需要同时通信的端口(通过使用主机的硬件地址或基于 IP 的D 类地址)定义到同一个 VLAN 中,并用广播的方法解决点对多点的通信。3.3VLAN3.3VLAN 之内和之内和 VLANVLAN 之间的通信之间的通信当 VLAN 中的成员位于同一台交换机时,成员之间的通信就十分简单,与未划分 VLAN 时一样,把数据帧直接转发到相应的端口就行了;但如果是跨交换机划分的 VLAN,即同一 VLAN 的成员位于不同的交换机,这时,成员之间如何实现通信呢?3.3.1VLAN3.3.1VLAN 内主机通信内主机通信由
12、于 VLAN 的设置通常按逻辑功能而非按物理位置进行,同一 VLAN 跨越任意物理位置的多个交换机的情况更为常见。那么,怎样才能使主机间完成正确的识别并进行 VLAN 的内部通信呢?这里包含两层意思:属于同一 VLAN 的成员之间如何实现通信;属于不同 VLAN 的数据帧在交换时如何区分或者说如何标识。最笨的办法就是为每一个 VLAN 直接建立一条链路,不同的 VLAN 内成员间的通信通过各自的链路进行,互不影响。但这样做的话,有多少个 VLAN,就需要多少条链路,浪费交换机的端口,增多敷设线缆的费用,增加管理的负担。网络的优点就在于共享,让不同 VLAN 的数据帧都共享同一条链路进行传输,采
13、用一定的技术对这些帧进行区分和标识就可以了。通常采用的是以下技术来实现跨交换机的同一 VLAN 的成员之间的通信。1. 访问连接(Access Link)通过访问连接方式接入 VLAN 的成员仅仅属于广播域内的一个简单成员,它只与在同一个 VLAN里的其他成员进行通信,并不需要了解其他 VLAN 的信息(同本 VLAN 外的其他 VLAN 的成员通信则必须使用路由器等第三层网络设备)。2. 主干连接(Trunk Link)主干连接是在不同交换机之间的一条链路,用其来同时承载多个 VLAN 的信息。使用交换机的100Mbs 或 1 000Mbs 端口,这种连接方式的传输速率为 100Mbs 或
14、1 000Mbs,以免成为网络传输的瓶颈。支持主干连接的网络技术常见的有以下几种类型:a. Inter Switch Link (ISL)该标准属于 Cisco 的自有标准,是 Cisco 为自己的交换机建立的一种专用标准。它主要适用于快速以太网和千兆位以太网的连接,应用于交换机端口、路由器接口以及服务器接口类设备的配置中。b. IEEE 802.1Q 该标准是由 IEEE 建立的通用连接标准,它在每个数据帧中的特定字段建立一个标识,从而进行 VLAN 的识别。IEEE 802.1Q 属于通用型标准,被许多厂商广泛采纳,国产交换机多采用此标准。Cisco 交换机与其他厂商的交换机相连时,不能采
15、用 Cisco 的 ISL 标准而应该采用 IEEE 802.1Q 标准。c. 局域网仿真(LANE,LAN Emulation)该标准适用于 ATM 技术,当 VLAN 是基于 ATM 技术连接时,必须采用该标准。d. 802.10(FDDI,光纤分布式数据接口)该标准也属于 Cisco 的自有标准,它适用于 FDDI 技术,即对基于 FDDI 技术的 VLAN 进行连接必须使用该标准。3. ISL 与帧标记ISL(Inter-Switch Link,交换机间连接)是一个在交换机之间、交换机与路由器之间及交换机与服务器之间传递多个 vlan 信息及 vlan 数据流的协议,通过在交换机直接相
16、连的端口封装isl 协议,即可跨越交换机进行整个网络的 vlan 分配。实现跨越多个 Cisco 交换机之间的 VLAN信息控制,控制的实现是靠帧标记(Frame Tagging)来完成的。帧标记主要用于在交换网络中对用户数据的跟踪或 VLAN 号码的识别,当一个用户的数据帧通过主干连接(Trunk Link)时,交换机将会根据它的 VLAN 识别号,进行数据路由选择。如果数据是在同一交换机中传送而不需要经过其他交换机时,该识别号将会被自动删除,然后送到相应端口的主机。反之,则会由交换机附加上 VLAN 的识别号一起送到相应的端口。Cisco Catalyst系列交换机均支持这种低延迟的 VLAN 识别方式。ISL 的帧标记封装过程实际属于一个外部的标识进程,也就是说它要将每一个发出的以太网数据帧加入 VLAN 识别号,之后再送到网络上传输。ISL 协议作用在网络的第二层数据链路层,这不会改变数据的帧内容而是在原始数据的基础上添加一个新的 ISL 帧头与一段 CRC 冗余校验码。在多 VLAN 端口的交换网络中(即一个端口同时配置在多个 VLAN 中,如多个 VLAN 共享
