畢業(yè)論文VLAN技術解析

畢業(yè)論文論文題目：虛擬局域網技術內容摘要虛擬局域網內的不同用戶裸機地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的VLAN有著相同的屬性。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個VLAN內的各個工作站沒有限制在一個物理范圍中，即這些工作站可以在不同物理VLAN網段。交換機的基本配置和使用，基于VLAN的劃分，基于端口VLAN的配置，以及VLAN之間通過第三層交換機轉發(fā)的配置方法，使用VTP協(xié)議、端口TRUNK屬性的相關知識和端口TRUNK屬性配置步驟。三層交換機相當于一個路由器若與路由器相連三層交換機和路由器都要配路由協(xié)議。[關鍵詞]vlan劃分三層交換機TRUNK屬性VTP協(xié)議路由協(xié)議AvstractVirtualLANuserthebaremetalisdividedintodifferentbroadcastdomains,eachVLANcontainsagroupofcomputersthatsharethesameneedworkstations,andVLANhasthesameattributesofthephysicalform.Becauseitisfromalogicalpartition,ratherthanfromaphysicalpartition,soindividualstationswithinthesameVLANrangeisnotlimitedtoaphysical,thatis,stationswhichcanbeonadifferentphysicalVLANsegment.Switchbasicconfigurationanduse,basedondividingVLAN,VLANconfigurationbasedonport,aswellasthroughthirdlayerswitchforwardingbetweenVLANconfigurationmethods,usingVTPProtocol,propertiesrelatedtoknowledgeandportTRUNKportsTRUNKpropertiesconfigurationsteps.Three-layerswitchisequivalenttoathree-layerswitchesandroutersconnectedtotherouter,therouterisequippedwitharoutingprotocol.Keywords:VLANDivision,three-layerswitches,TRUNKproperties,VTPProtocol,aroutingprotocol目錄1、VLAN的產生11.1、VLAN的定義11.2、VLAN的優(yōu)點11.3、虛擬局域網的特點2的特點21.3.2VLAN與傳統(tǒng)的LAN相比較的優(yōu)勢22、VLAN的劃分32.1、基于端口的VLAN劃分32.2、基于策略的VLAN劃分32.3、基于MAC地址的VLAN劃分43、三層交換機和VLAN路由43.1、三層交換機技術工作原理43.2、三層交換機技術53.3、三層交換機做VLAN間路由53.4、三層交換機VLAN路由協(xié)議配置54、虛擬局域網協(xié)議64.1、VTP協(xié)議的定義64.2、VTP的模式64.2.1VTP的服務器模式74.2.2VTP的客戶端模式74.3、VTP工作原理74.4、TRUNK和VLAN75、虛擬局域網的設計和實施85.1、虛擬局域網的設計85.2、配置多層交換機和子交換機95.3、路由器端口的配置115.4、配置路由協(xié)議115.5、配置DHCP服務器125.6、在張_server上配置FTP17注釋21參考文獻22致謝231、VLAN的產生1.1、VLAN的定義VLAN是英文VirtualLocalAreaNetwork的縮寫，即虛擬局域網[1]。是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。VLAN可以不考慮用戶的物理位置，而根據功能、應用等因素將用戶從邏輯上劃分為一個個功能相對獨立的工作組，每個用戶主機都連接在一個支持VLAN的交換機端口上并屬于一個VLAN。同一個VLAN中的成員都享受廣播，形成一個廣播域，而不同VLAN之間廣播信息是相互隔離的。這樣，將整個網絡分割成多個不同的廣播域（VLAN）。IEEE于1999年頒布了用以標準化VLAN實現方案的802.1Q協(xié)議標準草案。一方面，VLAN建立在局域網交換機的基礎之上；另一方面，VLAN是局域交換網的靈魂。這是因為通過VLAN用戶能方便地在網絡中移動和快捷地組建寬帶網絡，而無需改變任何硬件和通信線路。這樣，網絡管理員就能從邏輯上對用戶和網絡資源進行分配，而無需考慮物理連接方式。VLAN充分體現了現代網絡技術的重要特征：高速、靈活、管理簡便和擴展內容。是否具有VLAN功能是衡量局域網交換機的一項重要指標。網絡的虛擬化是未來網絡發(fā)展的潮流。1.2、VLAN的優(yōu)點VLAN是為解決以太網的廣播問題和安全性而提出的，它在以太網幀的基礎上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網。一個VLAN內部的廣播和單播流量都不會轉發(fā)到其他VLAN中，即使是兩臺計算機有著同樣的網段，但是他們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉發(fā)，從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。VLAN具有以下優(yōu)點：(1)控制網絡的廣播風暴采用VLAN技術，可將某個交換端口劃到某個VLAN中，而一個VLAN的廣播風暴不會影響其它VLAN的性能。(2)確保網絡安全共享式局域網之所以很難保證網絡的安全性，是因為只要用戶插入一個活動端口，就能訪問網絡。而VLAN能限制個別用戶的訪問，控制廣播組的大小和位置，甚至能鎖定某臺設備MAC地址，因此VLAN能確保網絡的安全性。(3)簡化網絡管理網絡管理員能借助于VLAN技術輕松管理整個網絡。例如需要為完成某個項目建立一個工作組網絡，其成員可能遍及全國或全世界，此時，網絡管理員只需設置幾條命令就能在幾分鐘內建立該項目的VLAN網絡，其成員使用VLAN網絡，就像在本地使用局域網一樣。1.3、虛擬局域網的特點VLAN的特點VLAN是為解決以太網的廣播問題和安全性而提出的一種協(xié)議，它在以太網幀的基礎上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，同一個VLAN中的所有成員共同有一個VLANID，組成一個虛擬局域網絡；同一個VLAN中的成員均能收到本VLAN內其他成員發(fā)來的廣播包，但收不到其他VLAN成員的廣播包；不同VLAN成員之間不可進行二層互訪直接通信，需要通過三層交換或者路由支持才能通信，而同一VLAN中的成員通過VLAN交換機可以直接通信，不需路由支持。1.3.2VLAN與傳統(tǒng)的LAN相比較的優(yōu)勢(1)增加、移動、更改工作站靈活方便[2]。在網絡中，工作站在一個建筑物內或校園網內增加、移動、更改是很常見的事情。劃分了VLAN后，當一個工作站需要變動物理位置時，只要通過網管工作站就可以重新配置其屬性。當一個工作站在相同的VLAN內移動位置時，它在新的位置仍然保留其原有的屬性:當一個工作站在不同VLAN之間移動時，就把新的VLAN的屬性應用于這個站。若因作需要，部的一個人員需調到另一個部門，或因開發(fā)某個項目需要臨時組建一個由不同部門的技術人員組成的工作小組時，有了VLAN，小組的成員就不必真正集中到一起，他們只需坐在自己的計算機旁就可參與另一部門的工作或了解其他合作伙伴的工作情況。工作結束后，這個工作組可以隨之消失。(2)隔離廣播風暴，提高網絡性能[3]。網絡中大量的廣播信息所帶來的帶寬消耗和網絡延遲甚至造成網絡堵塞，對用戶來講是不容忽視的。VLAN具有隔離廣播風暴的特點，可以把一個大的局域網劃分成幾個小的VLAN，使每個VLAN中的廣播信息大大減少，從而減少整個網絡范圍內廣播包的傳輸，提高網絡傳輸效率。除此之外，在劃分VLAN時，若將工作性質相同的用戶集中在同一個VLAN，減少跨VLAN的訪問，可減少路由器經網絡傳輸帶來的延遲，也能進一步提高網絡的性能。(3)增強網絡的安全性[4]。各個VLAN之間不能進行直接通信，而必須通過路由器轉發(fā)。如果VLAN之間沒有路由器，那么VLAN就是與外界隔離的，相當于一個獨立的局域網，可防止大部分以網絡監(jiān)聽為手段的入侵。當使用路由器轉發(fā)時，可以在路由器上進行相應的設置，實現網絡的安全訪問控制。另外，在每個交換機端口只有一個工作站的結構中，可以形成特別有效的限制非授權訪問的屏障。(4)提高網絡的可靠性[5]。在VLAN中利用STP可以在兩條毛鏈路上進行負載分擔和冗余備份。也就是說，當兩條Trunk鏈路都工作的時候，可以使一部分VLAN通過一條毛田鏈路傳遞信息，另一部分VLAN通過另一條工m吐鏈路傳遞信息，使得兩條毛鏈路共同分擔信息傳遞，提高傳送速度;當兩條Trunk鏈路中有一條不能傳遞信息時，另一條自動承擔全部VLAN的信息傳遞，保證了網絡傳遞信息的可靠性。2、VLAN的劃分2.1、基于端口的VLAN劃分這是最常應用的一種VLAN劃分[6]方法，應用也最為廣泛、最有效，目前絕大多數VLAN協(xié)議的交換機都提供這種VLAN配置方法。這種劃分VLAN的方法是根據以太網交換機的端口來劃分的，它是將VLAN交換機上的物理端口和VLAN交換機內部的PVC（永久虛電路）端口分成若干個組，每個組構成一個虛擬網，相當于一個獨立的VLAN交換機。對于不同部門需要互訪時，可通過路由器轉發(fā)，并配合基于MAC地址的端口過濾對某站點的訪問路徑上最靠近該站點的交換機、路由交換機或路由器的相應端口上,固定可通過的MAC地址集。這樣就可以防止非法入侵者從內部盜用IP地址從其他可接入點入侵的可能。從這種劃分方法本身我們可以看出，這種劃分的方法的優(yōu)點是定義VLAN成員時非常簡單，只要將所有的端口都定義為相應的VLAN組即可。適合于任何大小的網絡。它的缺點是如果某用戶離開了原來的端口，到了一個新的交換機的某個端口，必須重新定義。Switch(config)#vlan2Switch(config)#interfacerangefastetternet0/1–0/24Switch(config-if-range)#switchportaccessvlan22.2、基于策略的VLAN劃分這是最靈活的VLAN劃分方法，具有自動配置的能力，能實現多種分配方法，包括VLAN交換機端口、MAC地址、IP地址、網絡層協(xié)議等，把相關的用戶連成一體，在邏輯劃分上稱為“關系網絡”。網絡管理員只需在網管軟件中確定劃分VLAN的規(guī)則（或屬性），那么當一個站點加入網絡中時，將會被“感知”，并被自己地包含進正確的VLAN中。同時，對站點的移動和改變也可自動識別和跟蹤。2.3、基于MAC地址的VLAN劃分這種劃分VLAN的方法是根據每個主機的MAC地址[7]來劃分，即對每個MAC地址的主機都配置他屬于哪個組，它實現的機制就是每一塊網卡都對應唯一的MAC地址，VLAN交換機跟蹤屬于VLANMAC的地址。這種方式的VLAN允許網絡用戶從一個物理位置移動到另一個物理位置時，自動保留其所屬VLAN的成員身份。由這種劃分的機制可以看出，這種VLAN的劃分方法的最大優(yōu)點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的，所以這種劃分方法通常適用于小型局域網。而且這種劃分的方法也導致了交換機執(zhí)行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，保存了許多用戶來說，他們的網卡可能經常更換，這樣VLAN就必須配置。3、三層交換機和VLAN路由3.1、三層交換機技術工作原理當前主要存在兩種第三層交換機技術：一是流交換，它不在OSI模型[8]中的第三層（網絡層）處理所有報文，而只分析流中的第一個報文，完成路由處理，并基于第三層地址轉發(fā)該報文，流中的后續(xù)報文被交換到OSI模型中的第二層（數據鏈路層），從而打通源IP地址和目的IP地址之間的一條通道。有了這條通道，三層交換機就沒有必要每次將接收到的數據包進行拆包來判斷路由，而是直接將數據包進行轉發(fā)，將數據流進行交換，這種技術的設計目的是方便線速路由；二是報文到報文交換，每一個報文都要經過第三層處理，且數據流轉發(fā)是基于第三層地址的。掌握第三層交換技術的精髓首先需要區(qū)分這兩種報文的不同轉發(fā)方式。流交換方法因為后續(xù)報文走捷徑而無需第三層處理。由于它不能適應路由的拓撲變化，它就不能識別路由表中對標準協(xié)議的改變。因此，流交換方法可能需要另外的協(xié)議取得拓撲變化信息，以便到達交換系統(tǒng)正確的地方。報文到報文交換設備通過運行標準協(xié)議并維護路由表，可動態(tài)地重新路由報文，繞過網絡的擁塞點和故障點而無需等待高層的協(xié)議檢測報文丟失，其明顯特征是能夠適應路由的拓撲變化。3.2、三層交換機技術不同VLAN之間的流量不能直接跨越VLAN的邊界，需要使用路由，通過路由將報文從一個VLAN轉發(fā)到另外一個VLAN，傳統(tǒng)路由器難以完成VLAN間的通信任務，所以在可信交換機上一般使用帶三層功能的交換機。三層交換機是將路由技術與交換技術合二為一的技術。它在對第一個數據流進行路由后，會產生MAC地址與IP地址的映射表[14]，當同樣的數據流再次通過時，將根據此表直接從二層通過而不再路由，從而消除了路由器進行路由選擇而造成網絡的延遲，使大部分數據轉發(fā)過程由二層交換處理，提高了數據包[15]轉發(fā)的效率，消除了路由器可能產生的網絡瓶頸問題，可見，三層交換機即有三層路由的功能，又具有二層交換的網絡速度。3.3、三層交換機做VLAN間路由三層交換機使用硬件技術，采用巧妙的處理方法把二層交換機和路由器在網絡中的功能集成到一個盒子里，提高了網絡的集成度，增強了轉發(fā)性能。為了實現各種網絡的互連，IP協(xié)議實現了十分豐富的內容，標準的IP路由需要在轉發(fā)每一個保溫都必須的，絕大多數的報文只需要經過很少一部分的過程，IP路由的方法有很大的改進余地。三層交換機的設計基于對IP路由的仔細分析，把IP路由中每一個報文都必須經過的過程提取出來，這個過程是個十分簡化的過程：1、IP路由中絕大多數報文是不包含IP選項的報文，因此處理報文選項的工作在大多數情況下是多余的。2、不同的網絡的報文長度是不同的，為了適應不同的網絡，IP實現了報文分片的功能，但是在全以太網的環(huán)境中，網絡的幀（報文）長度是固定的，因此報文分片的功能也是一個可以裁減的工作。3、三層交換機采用了喝路由器的最長地址掩碼匹配不同的方法，使用精確地址匹配的方式處理，有利于硬件實現快速查找。4、三層交換機采用了Cache的方法，把最近經常使用的主機路由放到了硬件的查找表中，只有在這個Cache中無法匹配到項目才會通過軟件去轉發(fā)。這樣，只有每個流的第一個報文會通過軟件轉發(fā)，其后的大量數據流則可以再硬件中得以完成。三層交換機在IP路由的處理上做了以上改進，實現了簡化的IP轉發(fā)流程，利用專用的芯片實現了硬件的轉發(fā)，這樣絕大多數的報文處理都在硬件中實現了，只有極少數報文才需要使用軟件轉發(fā)，整個系統(tǒng)的轉發(fā)性能能夠得以成百上千倍地增加，相同性能的設備在成本上得以大幅度下降。3.4、三層交換機VLAN路由協(xié)議配置在交換網絡中，通過VLAN對一個物理網絡進行了邏輯劃分，不同的VLAN之間是無法直接訪問的，必須通過三層的路由設備進行連接。一般利用路由器或三層交換機來實現不同VLAN之間的互相訪問。三層交換機和路由器具備網絡層的功能，能夠根據數據的IP包頭信息，進行選路和轉發(fā)，從而實現不同網段之間的訪問。直連路由是指:為三層設備的接口配置IP地址，并且激活該端口，三層設備會自動產生該接口IP所在網段的直連路由信息。三層交換機實現VLAN互訪的原理是，利用三層交換機的路由功能，通過識別數據包的IP地址，查找路由表進行選路轉發(fā)。三層交換機利用直連路由可以實現不同VLAN之間的互相訪問。三層交換機給接口配置IP地址，采用SVI(交換虛擬接口)的方式實現VLAN間互連。SVI是指為交換機中的VLAN創(chuàng)建虛擬接口，并且配置IP地址。路由協(xié)議[9]是：RIP、OSPS、靜態(tài)路由zhangyuanyuan(config)#routerripzhangyuanyuan(config-router)#netzhangyuanyuan(config-router)#network.0zhangyuanyuan(config-router)#verzhangyuanyuan(config-router)#version24、虛擬局域網協(xié)議4.1、VTP協(xié)議的定義VTP協(xié)議[10]是“vlantrunkprotocol”（虛擬局域網中繼協(xié)議）的縮寫。它是cisco的專用協(xié)議，通過使用VTP協(xié)議，交換機之間能夠傳遞valn信息，實現vlan的統(tǒng)一配置和統(tǒng)一管理。VTP（vlan中繼協(xié)議）是實現從一個控制點，維護整個企業(yè)網上Vlan的添加、刪除和重命名工作。所謂“vlan中繼協(xié)議”就是統(tǒng)一管理vlan，保持vlan配置的一致性，提供從一個交換機在整個管理域中增加虛擬局域網的方法。因此VTP協(xié)議對網絡管理具有重要的意義。4.2、VTP的模式VTP的服務器模式VTP服務器控制著它們所在域中VALN的生成和修改。所有的VTP信息都被通告在本域中的其他交換機，而且，所有這些VTP信息都是被其他交換機同步接收的。我廠只有靖邊核心交換機為Server模式[11]。zhangyuanyuan(config)#vtpdomaintest(配置交換機的VTP域名為xuexiao)ChangingVTPdomainnamefromnulltoxuexiaozhangyuanyuan(config)#vtpmodeserver(配置交換機的VTP運行模式為服務器模式)DevicemodealreadyVTPSERVER.VTP的客戶端模式VTP客戶機不允許管理員創(chuàng)建、修改或刪除VLAN。它們監(jiān)聽本域中其他交換機的VTP通告，并相應修改它們的VTP配置情況。我廠除靖邊核心交換機外，其余交換機都為Client模式[12]zhangyuanyuan(config)#vtpdomainxuexiaoChangingVTPdomainnamefromnulltoxuexiaozhangyuanyuan(config)#vtpmodeclientDevicemodealreadyVTPCLIENTmode.4.3、VTP工作原理在同一vtp域內，當一臺vtp服務器更新VLAN配置時，該服務器立即向所有中繼發(fā)送vtp消息。在中繼另一端與此相鄰的交換機會處理收到的消息并更新它們的VLAN數據庫，然后它們再給鄰居發(fā)送vtp消息。該進程在相鄰交換機之間被不斷轉發(fā)，直到最后，所有交換機收到了新的VLAN數據庫。Vtp服務器的客戶機每5分鐘也周期性地發(fā)送vtp消息，vtp服務器和客戶機同時處理所接收到得vtp消息，并基于這些消息更新vtp配置數據庫。4.4、TRUNK和VLAN無論一個網絡由多少個交換機構成，也無論一個VLAN跨越了多少個交換機，按照VLAN的定義，一個VLAN就確定了一個廣播域。廣播報文能夠被在一個廣播域中的所有主機接收到，也就是說，廣播報文必須被發(fā)送一個VLAN中的所有端口。因為VLAN可能跨越多少交換機，當一個交換機從某VLAN的一個端口收到廣播報文之后，為了保證同屬一個VLAN的所有主機都接受到這個廣播報文，交換機必須按照如下原則報文進行轉發(fā)：發(fā)送給本交換機中同一個VLAN中的其它端口：將這個報文發(fā)送給本交換機的包含這個VLAN的所有干道鏈路，以便讓其它交換機上的同一個VLAN的端口也發(fā)送報文。將一個端口設置成trunk端口[13]后，也就是說，和這個端口相連的名字路被設置為trunk鏈路zhangyuanyuan(config)#vtpdomaintest(配置交換機的VTP域名為xuexiao)ChangingVTPdomainnamefromnulltoxuexiaozhangyuanyuan(config)#vtpmodeserver(配置交換機的VTP運行模式為服務器模式)DevicemodealreadyVTPSERVER.Zhangyuanyuan(config)#interfacegigbitethernet0/1zhangyuanyuan(config-if)#switchportmodetrunk(配置交換機之間連接的端口為trunk)在二層交換機上配置VTPzhangyuanyuan(config)#vtpdomainxuexiaoChangingVTPdomainnamefromnulltoxuexiaozhangyuanyuan(config)#vtpmodeclientDevicemodealreadyVTPCLIENTmode.zhangyuanyuan(config)#interfacegigbitethernet1/1zhangyuanyuan(config-if)#switchportmodetrunkzhangyuanyuan(config)#interfacegigbitethernet1/2zhangyuanyuan(config-if)#switchportmodetrunk5、虛擬局域網的設計和實施5.1、虛擬局域網的設計圖5-1拓撲圖5.2、配置多層交換機和子交換機多層交換機配置VTP協(xié)議并且劃分VLAN，分別給每個VLAN配置IP地址和trunk口圖5-2VTP協(xié)議圖5-3turnk口子交換機配置vtp協(xié)議、劃分VLAN、配置trunk口圖5-4VTP協(xié)議圖5-5turnk口5.3、路由器端口的配置Router0（config）#interfacefastthernet0/0Router0（config-if）#ipaddressRouter0（config-if）#noshutdownRouter0（config）#clackrate64000Router0（config-if）Router0（config-if）#noshutdownRouter1（config）#interfacefastthernet0/0Router1（config-if）Router1（config-if）#noshutdownRouter1（config）#clackrate64000Router1（config-if）Router1（config-if）#noshutdown5.4、配置路由協(xié)議多層交換機和路由器配路由協(xié)議Zhangyuanyuan(config)#routerripZhangyuanyuan(config-routerZZhangyuanyuan(config-router)#network.0Zhangyuanyuan(config-router)#version2Router0(config)#routerriprouter0(config-router)#networkrouter0(config-router)#network.0router0(config-router)#version2Router1(config)#routerripRouter1(config-router)#.0Router1(config-router)#network.0Router1(config-router)#version2圖5-6路由協(xié)議RIP5.5、配置DHCP服務器在router1上配置DHCP服務器的ip地址，并且在DHCP上添加PC2的默認網關，可以使PC2訪問DHCP自動獲得IP地址Router1（config）#interfacefastethernet0/0Router1（config-if）#iphelper-addressRouter1（config-if）#noshutdown圖5-7配置DHCP在虛擬機里配置DHCP服務器，操作步驟如下：在張_server上添加鏡像磁盤1，點擊開始菜單—選擇控制面板—點擊添加或刪除程序—點擊添加或刪除windows組件—選擇網絡服務（不勾選）圖5-8配置DHCP點擊詳細信息—選擇動態(tài)主機配置協(xié)議（勾選）—點擊確定—點擊下一步圖5-9配置DHCP點擊開始菜單—點擊管理工具—點擊DHCP—右擊計算機名—點擊新建作用域—點擊下一步圖5-10新建作用域4、輸入起始ip地址和結束的ip地址，長度設置為24，點擊下一步圖5-11IP地址范圍5、配置DHCP選項，選擇“否，我想稍后配置這些選項”，點擊“下一步”—點擊完成圖5-12DHCP選項6、右擊作用域—選擇激活圖5-13激活作用域7、查看張_PC是否自動獲得IP地址，點擊開始菜單—點擊運行—輸入cmd—輸入ipconfig圖5-14查看自動獲得IP5.6、在張