應(yīng)用vlan技術(shù)建立鞍鋼計量遠程信息網(wǎng)_secret

1、應(yīng)用VLAN技術(shù)建立鞍鋼計量遠程信息網(wǎng)摘 要：介紹鞍鋼計量遠程信息網(wǎng)的建網(wǎng)背景、建網(wǎng)思路、系統(tǒng)結(jié)構(gòu)， VLAN技術(shù)及應(yīng)用。關(guān)鍵字：VLAN技術(shù) 路由 網(wǎng)絡(luò)1建網(wǎng)背景鞍鋼公司為了適應(yīng)當(dāng)前生產(chǎn)和實現(xiàn)信息化管理，增強競爭力的要求，于2001年建設(shè)了覆蓋全公司的高速信息傳輸網(wǎng)絡(luò)ATM綜合信息網(wǎng)，以實現(xiàn)公司生產(chǎn)、財會的計算機管理為起點，逐漸擴展。該網(wǎng)也為實施遠程接入、視頻監(jiān)控、電視會議等寬帶信息傳輸與應(yīng)用提供了充足的條件。鞍鋼做為國有特大型企業(yè)，其下屬的各子公司、廠礦根據(jù)自己的業(yè)務(wù)特點，辦公地點有的集中在一起，聯(lián)網(wǎng)比較方便簡單；有的比較分散而其網(wǎng)絡(luò)業(yè)務(wù)需求卻較大，如計量、燃氣、供電等系統(tǒng)。如果還采用傳統(tǒng)

2、的以各廠辦公樓為中心，向外輻射直連到各下級單位（車間、班組）的模式，僅線路一項（光纜、網(wǎng)線）的投資就是十分巨大的。而運用現(xiàn)已十分成熟的VLAN技術(shù)，采取就近接入上網(wǎng)的策略，充分利用現(xiàn)有的ATM網(wǎng)絡(luò)資源，是解決計量等遠程信息接入的良好途徑。2VLAN技術(shù)簡介VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個VLAN組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中。VLAN在邏輯上等價于廣播域。更具體的說，我們可

3、以將VLAN類比成一組最終用戶的集合。這些用戶可以處在不同的物理LAN上，但他們之間可以象在同一個LAN上那樣自由通信而不受物理位置的限制。在這里，網(wǎng)絡(luò)的定義和劃分與物理位置和物理連接是沒有任何必然聯(lián)系的。網(wǎng)絡(luò)管理員可以根據(jù)不同的需要，通過相應(yīng)的網(wǎng)絡(luò)軟件靈活的建立和配置虛擬網(wǎng)，并為每個虛擬網(wǎng)分配它所需要的帶寬。2.1VLAN的劃分從技術(shù)角度講，VLAN的劃分可依據(jù)不同原則，一般有以下幾種劃分方法：（1）基于端口的VLAN劃分這種劃分是把一個或多個交換機上的幾個端口劃分為一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進行重新分配即可，不用考慮該端口所連接的設(shè)備

4、，是最常用的一種方式。但是，這種方式不允許多個VLAN共享一個物理網(wǎng)段或交換機端口。而且，如果某一個用戶從一個端口所在的虛擬網(wǎng)移動到另一個端口所在的虛擬網(wǎng)，網(wǎng)絡(luò)管理員需要重新進行設(shè)置。這對于擁有眾多移動用戶的網(wǎng)絡(luò)來說是不可想象的。（2）基于MAC地址的VLAN劃分MAC地址其實就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的MAC地址都是唯一且固化在網(wǎng)卡上的。MAC地址由12位16進制數(shù)表示，前8位為廠商標(biāo)識，后4位為網(wǎng)卡標(biāo)識。網(wǎng)絡(luò)管理員可按MAC地址把一些站點劃分為一個邏輯子網(wǎng)。按MAC地址定義的VLAN有其特有的優(yōu)勢。因為MAC地址是捆綁在網(wǎng)絡(luò)接口卡上的，所以這種形式的虛擬網(wǎng)允許網(wǎng)絡(luò)用戶從一個物理位置移動

5、到另一個物理位置，并且自動保留其所屬虛擬網(wǎng)段的成員身份。同時，這種方式獨立于網(wǎng)絡(luò)的高層協(xié)議（如TCP/IP，IP，IPX等）。因此，從某種意義上講，利用MAC地址定義虛擬網(wǎng)可以看成是一種基于用戶的網(wǎng)絡(luò)劃分手段。這種方法的一個缺點是所有的用戶必須被明確的分配給一個虛擬網(wǎng)。在這種初始化工作完成之后，對用戶的自動跟蹤才成為可能。然而，在一個擁有成千上萬用戶的大型網(wǎng)絡(luò)中，如果要求管理員將每個用戶都一一劃分到某一個虛擬網(wǎng)，這實在是太困難了。因此，有些廠商便將這項配置MAC地址的復(fù)雜勞動推給了他們的網(wǎng)絡(luò)管理工具。這些網(wǎng)管工具可以根據(jù)當(dāng)前網(wǎng)絡(luò)的使用情況，在MAC地址的基礎(chǔ)上自動劃分虛擬網(wǎng)。（3）基于路由的V

6、LAN劃分路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機（即三層交換機）。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。基于網(wǎng)絡(luò)層（基于路由）的虛擬網(wǎng)使用協(xié)議（如果網(wǎng)絡(luò)中存在多協(xié)議的話）或網(wǎng)絡(luò)層地址（如TCP/IP中的子網(wǎng)段地址）來確定網(wǎng)絡(luò)成員的劃分。利用網(wǎng)絡(luò)層定義虛擬網(wǎng)有以下幾點優(yōu)勢。第一，這種方式可以按傳輸協(xié)議劃分網(wǎng)段。這對于希望針對具體應(yīng)用和服務(wù)來組織用戶的網(wǎng)絡(luò)管理員來說無疑是非常有誘惑力的。其次，用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動而不用重新配置自己的工作站，尤其是使用TCP/IP的用戶。第三，這種類型的虛擬網(wǎng)可以減少由于協(xié)議轉(zhuǎn)換而造成的網(wǎng)絡(luò)延遲。缺點是與利用MA

7、C地址的形式相比，基于網(wǎng)絡(luò)層的虛擬網(wǎng)需要分析各種協(xié)議的地址格式并進行相應(yīng)的轉(zhuǎn)換。因此，使用網(wǎng)絡(luò)層信息來定義虛擬網(wǎng)的交換機要比使用數(shù)據(jù)鏈路層信息的交換機在速度上占劣勢。而且，這種差異在絕大多數(shù)網(wǎng)絡(luò)產(chǎn)品中都存在。另外，雖然按網(wǎng)絡(luò)層劃分的虛擬網(wǎng)對于使用TCP/IP協(xié)議的用戶群來說是十分有效的。但是，象IPX、DECnet、AppleTalk這樣的協(xié)議運行在這種虛擬網(wǎng)絡(luò)結(jié)構(gòu)中似乎就不太合適了。再者，對于某些“無法路由”的協(xié)議如NetBIOS，按網(wǎng)絡(luò)層定義虛擬網(wǎng)就更困難了。運行不可路由的協(xié)議的工作站是不能被識別的，因此也就不能成為虛擬網(wǎng)的一員。雖然這種類型的虛擬網(wǎng)是建立在網(wǎng)絡(luò)層的基礎(chǔ)上，但交換機本身并不

8、參與路由工作。當(dāng)一個交換機捕捉到一個IP包，并利用IP地址確定其身份時，沒有任何與路由有關(guān)的計算產(chǎn)生。RIP以及OSPF等路由傳輸協(xié)議也不被采用。交換機只是作為一個高速網(wǎng)橋，簡單的利用擴展樹算法將包轉(zhuǎn)發(fā)給下一個節(jié)點上的交換機?；诰W(wǎng)絡(luò)層的虛擬網(wǎng)之間的連接應(yīng)該看成是一個類似于橋的拓?fù)浣Y(jié)構(gòu)。（4）基于IP廣播組的VLAN劃分根據(jù)IP廣播組定義是指任何屬于同一IP廣播組的計算機都屬于同一虛擬網(wǎng)。當(dāng)IP包廣播到網(wǎng)絡(luò)上時，它將被傳送到一組IP地址的受托者那里。這組被明確定義的廣播組是在網(wǎng)絡(luò)運行中動態(tài)生成的。任何一個工作站都有機會成為某一個廣播組的成員，只要它對該廣播組的廣播確認(rèn)信息給予肯定的回答。所有加

9、入同一個廣播組的工作站被視為同一個虛擬網(wǎng)的成員。然而，他們的這種成員身分可根據(jù)實際需求保留一定的時間。因此，利用IP廣播域來劃分虛擬網(wǎng)的方法給使用者帶來了巨大的靈活性和可延展性。而且，在這種方式下，整個網(wǎng)絡(luò)可以非常方便地通過路由器擴展網(wǎng)絡(luò)規(guī)模。綜上所述，有很多方式可以用來定義虛擬網(wǎng)。每種方法的側(cè)重點不同，所達到的效果也不盡相同。在具體應(yīng)用時要根據(jù)實際情況選擇一種最適合當(dāng)前需要的途徑，因此，鞍鋼計量遠程信息網(wǎng)依據(jù)實際需求選用的是第一種劃分方式既采用基于端口的VLAN劃分方式。2.2使用VLAN的優(yōu)點使用VLAN具有以下優(yōu)點：（1）增加了網(wǎng)絡(luò)連接的靈活性網(wǎng)絡(luò)上工作站可以按業(yè)務(wù)功能而不必按地理位置分

10、組。VLAN可以降低移動或變更工作站地理位置的管理費用，特別是一些業(yè)務(wù)情況有經(jīng)常性變動的用戶使用了VLAN后，這部分管理費用將大大降低。（2）控制網(wǎng)絡(luò)上的廣播風(fēng)暴隨著網(wǎng)絡(luò)向交換結(jié)構(gòu)轉(zhuǎn)變，人們失去了路由器提供防火墻功能。這樣，廣播風(fēng)暴將發(fā)送到每一個交換端口，也就是常說的整個網(wǎng)絡(luò)是一個廣播域。使用交換網(wǎng)絡(luò)的優(yōu)勢是可以提供低延時和高吞吐量，缺點是增加了整個交換網(wǎng)絡(luò)的廣播風(fēng)暴。VLAN可以提供建立防火墻的機制，防止交換網(wǎng)絡(luò)上的過量廣播風(fēng)暴。使用VLAN可以將某個交換端口或用戶賦于某一個特定的VLAN組，該VLAN組可以在一個交換網(wǎng)中或跨接多個交換機，在一個VLAN中的廣播風(fēng)暴不會送到VLAN之外。同樣

11、，相鄰的端口不會收到其他VLAN產(chǎn)生的廣播風(fēng)暴。這樣，可以減少廣播流量，釋放帶寬給用戶應(yīng)用，減少廣播風(fēng)暴的產(chǎn)生。（3）增加網(wǎng)絡(luò)的安全性人們在LAN上經(jīng)常傳送一些保密的、關(guān)鍵性的數(shù)據(jù)。保密的數(shù)據(jù)應(yīng)提供訪問控制等安全手段。一個有效和容易實現(xiàn)的方法是將網(wǎng)絡(luò)分段成幾個不同的廣播組，網(wǎng)絡(luò)管理員限制了VLAN中用戶的數(shù)量，禁止未經(jīng)允許而訪問VLAN中的應(yīng)用。交換端口可以基于應(yīng)用類型和訪問特權(quán)來進行分組，被限制的應(yīng)用程序和資源一般置于安全性VLAN中。（4）增加了集中化的管理控制通過集中化的VLAN管理程序，網(wǎng)絡(luò)管理員可以確定VLAN組，分配特定用戶和交換端口給這些VLAN組，設(shè)置安全性等級，限制廣播域的大

12、小，通過冗余鏈路負(fù)載分擔(dān)網(wǎng)絡(luò)流量，跨越交換機配置VLAN通信，監(jiān)控交通流量和VLAN使用的網(wǎng)絡(luò)帶寬。這些能力有效地提高了網(wǎng)絡(luò)管理程序的可控性、靈活性和監(jiān)視功能，減少了管理的費用。鞍鋼計量遠程信息網(wǎng)已具備了上述幾項特點，受到用戶的好評。3建網(wǎng)思路在傳統(tǒng)的局域網(wǎng)中，各站點共享傳輸信道所造成的信道沖突和廣播風(fēng)暴是影響網(wǎng)絡(luò)性能的重要因素。為了解決發(fā)生在網(wǎng)絡(luò)第二層的信道沖突和發(fā)生在網(wǎng)絡(luò)第三層的廣播風(fēng)暴問題，網(wǎng)橋和路由器被廣泛應(yīng)用于局域網(wǎng)中。由網(wǎng)橋連接的網(wǎng)絡(luò)屬于同一邏輯子網(wǎng)，邏輯子網(wǎng)是指該網(wǎng)絡(luò)中的網(wǎng)絡(luò)站點具有相同的網(wǎng)絡(luò)層地址，例如具有相同的IP網(wǎng)絡(luò)號。由路由器將不同邏輯子網(wǎng)連接在一起，邏輯子網(wǎng)間的通信必須

13、經(jīng)路由器進行。在這種網(wǎng)絡(luò)結(jié)構(gòu)中，由集線器、粗纜和細纜所構(gòu)成的物理網(wǎng)絡(luò)與邏輯子網(wǎng)相對應(yīng)。通常一個IP子網(wǎng)屬于一個廣播域，因此網(wǎng)絡(luò)中的廣播域是根據(jù)物理網(wǎng)絡(luò)來劃分的。這樣的網(wǎng)絡(luò)結(jié)構(gòu)無論從效率和安全性角度來考慮都有所欠缺。同時，由于網(wǎng)絡(luò)中的站點被束縛在所處的物理網(wǎng)絡(luò)中，而不能夠根據(jù)需要將其劃分至相應(yīng)的邏輯子網(wǎng)，因此網(wǎng)絡(luò)的結(jié)構(gòu)缺乏靈活性。例如分屬于不同集線器的站點不能屬于同一個邏輯子網(wǎng)。而VLAN技術(shù)正好可以解決這一難題，網(wǎng)絡(luò)中的站點不再拘泥于所處的物理位置，而可以根據(jù)需要靈活地加入不同的邏輯子網(wǎng)中。目前公司下屬各廠礦基本都已建成了采用TCP/IP協(xié)議基于交換機的局域網(wǎng)（以太網(wǎng)），并通過公司ATM骨干網(wǎng)

14、互連。計量、燃氣、供電等廠礦的實際情況正是如此，總廠已接入公司ATM網(wǎng)，而各車間班組站點的物理位置卻分散在鞍鋼廠區(qū)的不同地方，因此，我們可以充分利用現(xiàn)有的資源，根據(jù)各站點所處的物理位置和實際需求，利用VLAN技術(shù)采取就近接入上網(wǎng)的策略，組建起符合實際需求的遠程接入網(wǎng)絡(luò)，以滿足廣大用戶的需求。首先根據(jù)用戶的實際情況和物理位置設(shè)計出用戶端到頂端（既就近接入ATM網(wǎng)的二級交換機P333T的端口處）的最佳光纜路由，然后按照統(tǒng)一規(guī)劃在P333T上將用戶所接端口劃入用戶所在的VLAN中，連好連線，既建立起遠端用戶與廠部的通信路由。從2002年5月開始，計量廠遠程信息網(wǎng)經(jīng)兩期工程共接入用戶站點81處，敷設(shè)光

15、纜80多公里（一期：子站類20處用戶，累計用光纜20余公里；二期：衡器類61處用戶，累計用光纜60余公里），已有140多臺微機與廠部實現(xiàn)了互聯(lián)，可實時傳輸數(shù)據(jù)、圖象。一期（子站類）、二期（衡器類）工程的路由圖分別如圖一和圖二所示。4鞍鋼計量遠程信息網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)鞍鋼計量系統(tǒng)遠程信息網(wǎng)是以鞍鋼公司ATM骨干網(wǎng)為依托，充分利用現(xiàn)有設(shè)備和設(shè)施組建起來的。本廠設(shè)置一臺二級交換機（朗訊公司的Cajun P333T）作為廠部及鄰近站點用戶接入ATM骨干網(wǎng)用。廠外站點根據(jù)各自所處的物理位置和實際需求，利用VLAN技術(shù)采取就近接入上網(wǎng)的策略（VLAN劃分采用基于端口的方式）接入ATM網(wǎng)。例如計量廠在遠離廠部的煉鐵總廠院內(nèi)有一站點：計量廠煉鐵子站（IP地址為：192.8.80.12）。計量廠所在VLAN是vlan80，所用網(wǎng)段是192.8.80.0。則在煉鐵總廠（所在VLAN是vlan19，所用網(wǎng)段是192.8.19.0）二級