VLAN技術(shù)及其在企業(yè)局域網(wǎng)中的應用

VLAN技術(shù)及其在企業(yè)局域網(wǎng)中的應用目錄摘要 31.VLAN技術(shù)簡介 42.VLAN的劃分 42.1基于端口劃分 52.2基于MAC地址劃分 52.3基于網(wǎng)絡層劃分 62.4基于策略的劃分 63.VLAN的優(yōu)點 73.1控制網(wǎng)絡上的廣播風暴 73.2增強網(wǎng)絡的安全性 73.3網(wǎng)絡管理簡單、直觀 83.4提高網(wǎng)絡整體性能 84.VLAN在企業(yè)內(nèi)網(wǎng)中的優(yōu)勢及應用 84.1VLAN在企業(yè)內(nèi)網(wǎng)中的優(yōu)勢 84.2VLAN在企業(yè)內(nèi)網(wǎng)中的應用 94.2.1局域網(wǎng)內(nèi)部的局域網(wǎng) 94.2.2共享訪問—訪問共同的接入點和服務器 94.2.3交疊虛擬局域網(wǎng) 105.案例分析 115.1企業(yè)現(xiàn)狀分析 115.2企業(yè)VLAN規(guī)劃及部署 12結(jié)束語 16參考文獻 16

摘要隨著信息網(wǎng)絡的發(fā)展，VLAN技術(shù)被運用到局域網(wǎng)的建設中、VLAN是在物理網(wǎng)絡基礎上通過技術(shù)手段建立的邏輯網(wǎng)。VLAN的使用，控制了了廣播風暴現(xiàn)象，增強了網(wǎng)絡通信的安全性、使得網(wǎng)絡管理簡單、直觀并且提高網(wǎng)絡整體性能。論文描述了VLAN的基本概念，VLAN的優(yōu)點及劃分。并結(jié)合實際分析了VLAN技術(shù)在局域網(wǎng)建設中的應用。關(guān)鍵詞：VLAN；企業(yè)；局域網(wǎng)

隨著辦公自動化的日益普及，網(wǎng)管們需要管理的設備越來越多，網(wǎng)絡結(jié)構(gòu)日趨復雜，網(wǎng)絡硬件性能不斷提高，成本不斷降低，使得新建的大、中型局域網(wǎng)都采用了先進的交換技術(shù)，以提高網(wǎng)絡的性能。虛擬局域網(wǎng)(VirtualLocalAreaNetwork，VLAN)是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議對簡化局域網(wǎng)的管理保證，局域網(wǎng)的高速可靠運行起到了非常重要的作用。1.VLAN技術(shù)簡介VLAN也就是虛擬局域網(wǎng)，是一種建立在交換技術(shù)基礎之上的，通過將局域網(wǎng)內(nèi)的機器設備邏輯的而不是物理的劃分成一個個不同的網(wǎng)段，以軟件力一式實現(xiàn)邏輯工作組的劃分與管理的技術(shù)。IEEE于1999年頒布了用以標準化VLAN實現(xiàn)的802。IQ協(xié)議標準草案。在交換式局域網(wǎng)中，利用VLAN技術(shù)，可將網(wǎng)絡設備劃分成多個邏輯子網(wǎng)，從而實現(xiàn)虛擬工作組數(shù)據(jù)交換功能。VLAN技術(shù)靈活，它工作在OS工參考模型的數(shù)據(jù)鏈路層和網(wǎng)絡層上，一個子網(wǎng)形成了一個邏輯廣播域，子網(wǎng)之間的通信是通過網(wǎng)絡層的路由器或三層交換機來轉(zhuǎn)發(fā)的，子網(wǎng)的劃分可覆蓋多個網(wǎng)絡設備，允許處于不同地理位置的網(wǎng)絡用戶加入到一個邏輯子網(wǎng)中，虛擬局域網(wǎng)技術(shù)使得網(wǎng)絡的拓撲結(jié)構(gòu)變得非常靈活機動。2.VLAN的劃分交換式以太網(wǎng)中VLAN的劃分主要有四種途徑：基于端口的劃分、基于MAC地址(網(wǎng)絡適配器硬件地址)的劃分、基于網(wǎng)絡層地址的劃分以及基于策略的劃分「8」。其中基于端口為靜態(tài)VLAN劃分方法，其余三種皆是動態(tài)的，不同的劃分方式代表不同的VLAN實現(xiàn)類型。2.1基于端口劃分指定交換機端口，使之屬于特定的VLAN，連接到該端口的設備都屬于此VLAN。一個VLAN可以配置在不同交換機上?；诙丝趧澐諺LAN網(wǎng)絡成員的配置簡單方便，只要將交換機全部端口指定一下即可，適用于網(wǎng)絡環(huán)境相對固定的狀況。不足之處是靈活性不好，當一個內(nèi)網(wǎng)用戶從一個端口移動到另外一個新的端口時，如果二者不屬于同一個VLAN，網(wǎng)絡管理員必須重新配置，否則用戶將無法進行網(wǎng)絡通信；再有，這種劃分方式不支持多個虛擬子網(wǎng)共享一個物理端口，不便于用戶管理。2.2基于MAC地址劃分計算機中的每塊網(wǎng)卡都有一個唯一的硬件物理地址，即MAC地址。這種力一法劃分VLAN，要求交換機對站點的MAC地址進行跟蹤，在新站點人網(wǎng)時。需要把它添加到相應的VLAN中。以后無論這個站點怎么移動。只要MAC地址不變。就無需對它進行重新配置。這種VLAN技術(shù)的不足之處是初始化時網(wǎng)絡中所有的用戶都必須進行配置，在一個擁有大量節(jié)點的企業(yè)網(wǎng)絡中，如果要求管理員將每個用戶都一一劃分到特定的VLAN中，配置任務將會十分繁重。同時以這種方法劃分虛擬子網(wǎng)，每一臺交換設備的端口都存在多個VLAN組的成員，導致了交換設備運行速度下降，網(wǎng)絡中的廣播數(shù)據(jù)包無法得到有效的限制。2.3基于網(wǎng)絡層劃分基于網(wǎng)絡層劃分VLAN有兩種方法，一種是按照協(xié)議類型(如果網(wǎng)絡中存在多協(xié)議)，另一種是依據(jù)每臺主機的網(wǎng)絡層地址。基于通信協(xié)議的劃分方法適用于大型網(wǎng)絡中，虛擬子網(wǎng)的類型包括工P子網(wǎng)、工PX子網(wǎng)及SPX子網(wǎng)等。使用相同協(xié)議通信的主機配置在同一個VLAN中，交換機加電啟動后檢驗以太標題域，查看所用協(xié)議類型。如果對應協(xié)議的VLAN已存在，則加入源端口；若此類型子網(wǎng)不存在，需創(chuàng)建一個新的VLAN?；谥鳈C網(wǎng)絡層地址的劃分方法是依據(jù)網(wǎng)絡中IP子網(wǎng)掩碼、IP網(wǎng)絡號來進行VLAN分組，網(wǎng)絡交換設備啟動后查看主機的掩碼和網(wǎng)絡號，根據(jù)接入主機的地址信息自動將其劃分到不同的虛擬子網(wǎng)中，用戶主機無需進行太多配置。利用網(wǎng)絡層劃分VLAN的不足之處是：它需要分析各種協(xié)議的地址格式并進行相應的轉(zhuǎn)換，還有檢查網(wǎng)絡數(shù)據(jù)包的地址需耗費交換設備的處理時間和較多的資源，因此運行速度較慢、效率較低。2.4基于策略的劃分基于策略的VLAN相對來說是一種較為靈活的劃分方法，能實現(xiàn)按交換機物理端口、按MAC地址、按工P地址、按網(wǎng)絡層協(xié)議類型、按網(wǎng)絡的應用等多種策略劃分VLAN，網(wǎng)絡管理員可以根據(jù)自己的管理模式和本企業(yè)的實際需求，來決定選擇哪種類型的VLAN。管理員通過網(wǎng)管軟件來確定劃分VLAN的規(guī)則，當網(wǎng)絡中有用戶連接時，可被交換設備檢測到，正確地劃入相應的VLAN中，而且亦可識別和跟蹤物理位置發(fā)生變動的主機。3.VLAN的優(yōu)點3.1控制網(wǎng)絡上的廣播風暴在沒有應用VLAN技術(shù)的局域網(wǎng)內(nèi)的整個網(wǎng)絡都是廣播域，這樣就使得網(wǎng)內(nèi)的一臺設備發(fā)出網(wǎng)絡廣播時，在局域網(wǎng)內(nèi)的任何一臺設備的接口都能接收到廣播，因此當網(wǎng)絡內(nèi)的設備越來越多時，網(wǎng)絡上的廣播也就越來越多，占用的時間和資源也就越來越多，當廣播多到一定的數(shù)量時，就會影響到正常的信息的傳送。這樣就能使得信息延遲，嚴重的可以造成網(wǎng)絡的堵塞、癱瘓，嚴重的影響了正常的網(wǎng)絡應用，這就是所謂的廣播風暴。在應用了VLAN技術(shù)的局域網(wǎng)中，縮小了廣播的廣播域，在一個VLAN中的廣播風暴也不會影響到其他的VLAN，從而有效地減小了廣播風暴對局域網(wǎng)網(wǎng)絡的影響。3.2增強網(wǎng)絡的安全性在局域網(wǎng)中應用VLAN技術(shù)可以把互相通信比較頻繁的用戶劃分到同一個VLAN中，這樣在同一個工作組中的信息傳輸只在同一個組內(nèi)廣播，從而也減輕了因廣播包被截獲而引起的信息泄露，增強了網(wǎng)絡的安全性。3.3網(wǎng)絡管理簡單、直觀對于交換式以太網(wǎng)，如果對某此用戶重新進行網(wǎng)段分配，需要網(wǎng)絡管理員對網(wǎng)絡系統(tǒng)的物理結(jié)構(gòu)重新進行調(diào)整，甚至需要追加網(wǎng)絡設備，增大網(wǎng)絡管理的工作量。而對于采用VLAN技術(shù)的網(wǎng)絡來說，一個VLAN可以根據(jù)部門職能、對象組或者應用將不同地理位置的網(wǎng)絡用戶劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動。利用虛擬網(wǎng)絡技術(shù)，大大減輕了網(wǎng)絡管理和維護工作的負擔，降低了網(wǎng)絡維護費用。3.4提高網(wǎng)絡整體性能通過路由訪問列表和VLAC地址分配等VLAN劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡的整體性育昌。4.VLAN在企業(yè)內(nèi)網(wǎng)中的優(yōu)勢及應用4.1VLAN在企業(yè)內(nèi)網(wǎng)中的優(yōu)勢對采用了VLAS技術(shù)的企業(yè)網(wǎng)絡來說，可以在不改動網(wǎng)絡物理連接的情況下任意地將工作站在子網(wǎng)之間移動。相比傳統(tǒng)的共享式局域網(wǎng)，用戶需要重新進行網(wǎng)段分配，網(wǎng)絡系統(tǒng)的物理結(jié)構(gòu)也要進行重新調(diào)整，甚至要添加網(wǎng)絡設備。無疑，VLAN技術(shù)對管理網(wǎng)絡更具有靈活性，操作更為便捷、簡單?，F(xiàn)代企業(yè)一般都規(guī)模龐大，人員眾多，部門繁雜，各部門既相對獨立，業(yè)務又相互關(guān)聯(lián)，企業(yè)局域網(wǎng)的拓撲結(jié)構(gòu)錯綜復雜。通過VLAN技術(shù)可以對企業(yè)網(wǎng)按照部門職能、對象組或者應用進行靈活劃分，根據(jù)需求動態(tài)調(diào)整，既能滿足企業(yè)網(wǎng)上的各種應用，使網(wǎng)絡中廣播包消耗帶寬所占比例大大降低，網(wǎng)絡性能得到顯著提高，又能大大便利企業(yè)職能部門的管理，提高工作效率。對于多用戶的企業(yè)局域網(wǎng)來說，這個特性是非常有利的。通過對企業(yè)網(wǎng)的VLAN規(guī)劃，可以在企業(yè)各職能部門之間設定不同的訪問權(quán)限，防止非法入侵。從而更好地確保了網(wǎng)絡的安全性，提高了交換式網(wǎng)絡的整體性能。4.2VLAN在企業(yè)內(nèi)網(wǎng)中的應用由于虛擬局域網(wǎng)具有比較明顯的優(yōu)勢，在各種企業(yè)中都有了很好的應用。下而就根據(jù)不同的案例來分析虛擬局域網(wǎng)的應用情況。4.2.1局域網(wǎng)內(nèi)部的局域網(wǎng)往往很多企業(yè)已經(jīng)具有一個相當規(guī)模的局域網(wǎng)，但是現(xiàn)在企業(yè)內(nèi)部因為保密或者其他原因，要求各業(yè)務部門或者課題組獨立成為一個局域網(wǎng)，同時，各業(yè)務部門或者課題組的人員不一定是在同一個辦公地點，各網(wǎng)絡之間不允許互相訪問。根據(jù)這種情況，可以有幾種解決方法，但是虛擬局域網(wǎng)解決方法可能是最好的為了完成上述任務，我們要做的工作是收集各部門的人員組成、所在位置、與交換機連接的端口等信息。根據(jù)部門數(shù)量對交換機進行配置，創(chuàng)建虛擬局域網(wǎng)，設置中繼，最后，在一個公用的局域網(wǎng)內(nèi)部劃分出來若干個虛擬的局域網(wǎng)，同時減少了局域網(wǎng)內(nèi)的廣播，提高了網(wǎng)絡傳輸性能這樣的虛擬局域網(wǎng)可以方便地根據(jù)需要增加、改變、刪除。4.2.2共享訪問—訪問共同的接入點和服務器在一些大型寫字樓或商業(yè)建筑(酒店、展覽中心等)，經(jīng)常存在這樣的現(xiàn)象：大樓出租給各個單位，并且大樓內(nèi)部已經(jīng)構(gòu)建好了局域網(wǎng)，提供給入駐企業(yè)或客戶網(wǎng)絡平臺，并通過共同的出口訪問Internet或者大樓內(nèi)部的綜合信息服務器由于大樓的網(wǎng)絡平臺是統(tǒng)一的，使用的客戶有物業(yè)管理人員、有其他不同單位的客戶。在這樣一個共享的網(wǎng)絡環(huán)境下，解決不同企業(yè)或單位對網(wǎng)絡的需求的同時，還要保證各企業(yè)間信息的獨立。這種情況下，虛擬局域網(wǎng)提供了很好的解決方案。大廈的系統(tǒng)管理員可以為入駐企業(yè)創(chuàng)建一個個獨立的虛擬局域網(wǎng)，保證企業(yè)內(nèi)部的互相訪問和企業(yè)間信息的獨立，然后利用中繼技術(shù)，將提供接入服務的代理服務器或者路由器所對應的局域網(wǎng)接口配置成為中繼模式，實現(xiàn)共享接入這種配置方式還有一個好處，可以根據(jù)需要設置中繼的訪問許可，靈活地允許或者拒絕某個虛擬局域網(wǎng)的訪問。4.2.3交疊虛擬局域網(wǎng)交疊虛擬局域網(wǎng)是在基于端口劃分虛擬局域網(wǎng)的基礎上提出來的，最早的交換機每一個端口只能同時屬于一個虛擬局域網(wǎng)，交疊虛擬局域網(wǎng)允許一個交換機端口同時屬于多個虛擬局域網(wǎng)。這種技術(shù)可以解決一些突發(fā)性的、臨時性的虛擬局域網(wǎng)劃氖比如在一個科研機構(gòu)，已經(jīng)劃分了若干個虛擬局域網(wǎng)，但是因為某個科研任務，從各個虛擬局域網(wǎng)里而抽調(diào)出來技術(shù)人員臨時組成課題組，要求課題組內(nèi)部通信自如，同時各科研人員還要保持和原來的虛擬局域網(wǎng)進行信息交流如果采用路由和訪問列表控制技術(shù)，成本會較大，同時會降低網(wǎng)絡性能交疊技術(shù)的出現(xiàn)，為這一問題提供了廉價的解決方法；只需要將要加入課題組的人員所對應的交換機端口設置成為支持多個虛擬局域，然后創(chuàng)建一個新虛擬局域網(wǎng)，將所有人員劃分到新虛擬局域，保持各人員原來所屬虛擬局域網(wǎng)不變即可。5.案例分析5.1企業(yè)現(xiàn)狀分析企業(yè)內(nèi)網(wǎng)是獨立于Internet的局域網(wǎng)，因此無需考慮來自Internet的外部攻擊，主要從內(nèi)部防范信息的非法獲取、知悉范圍擴大等情況。圖2.企業(yè)A網(wǎng)絡拓撲圖木文所選取的企業(yè)A采用了三層網(wǎng)絡拓撲，拓撲情況如圖2。在實施VLAN時，應該考慮如下方面：VLAN劃分要根據(jù)企業(yè)內(nèi)部終端數(shù)量、位置分布情況，及對信息流轉(zhuǎn)范圍的要求確定。企業(yè)A終端數(shù)量龐大，地理位置分散，數(shù)據(jù)要求只在部門內(nèi)流轉(zhuǎn)。因此適合按部門采用動態(tài)VLAN劃分方法。建立訪問控制列表和VLAN路由。將重要服務器劃分到同一VLAN，設置訪問規(guī)則。其他VLAN的訪問權(quán)限在核心交換機上配置。企業(yè)A的終端數(shù)量龐大，選擇支持動態(tài)VLAN劃分的服務器VMPS(VLAN管理策略服務器)。該設備能夠根據(jù)接入交換機端口終端的MAC地址動態(tài)地將計算機劃分到相應的VLAN部署VMPS服務器時，首先要建立網(wǎng)內(nèi)主機MAC地址與其所屬VLAN的映射表。交換機端口啟用VMPS時，能夠把接入其端口設備的MAC地址發(fā)往VMPSServer，其接收到請求，查詢MAC-VLAN數(shù)據(jù)庫，信息匹配則允許訪問；否則阻斷。節(jié)點較少的接入層使用華為2700系列，采用靜態(tài)VLAN劃分方法。5.2企業(yè)VLAN規(guī)劃及部署首先為每個部門劃分VLAN。服務器群設置成單獨的VLAN，定為V1an10，可與各部門VLAN互訪；部門從VLAN11到VLAN17，其間不能互訪。各部門、VLAN及IP地址范圍如下：VLANIP地址范圍說明VLAN10193.9.10.1-254服務器VLAN11193.9.11.1-254部門AVLAN12193.9.12.1-254部門BVLAN13193.9.13.1-254部門CVLAN14193.9.14.1-254部門DVLAN15193.9.15.1-254部門EVLAN16193.9.16.1-254部門FVLAN17193.9.17.1-254部門G企業(yè)網(wǎng)絡核心交換機選擇CiscoCatalyst6500系列，VLAN信息在核心交換機上配置，如下：創(chuàng)建VLAN：Switch#VLANdatabaseSwitch#VLAN10Switch#VLAN11Switch#VLAN17配置ACL訪問策略，使VLAN11-17之間不能互訪，但都可以訪問VLANl0：Switch(config)#access-list101permitip193.9.11.00.0.0.255193.9.10.00.0.0.255Switch(config)#access-list102permitip193.9.12.00.0.0.255193.9.10.00.0.0.255……Switch(config)#access-list107permitip193.9.17.00.0.0.255193.9.10.00.0.0.255設置VLAN的IP地址，并將ACL應用到VLAN端口：Switch(config)#intVLAN10Switch(config-if)#ipaddress193.9.10.1255.255.255.0Switch(config-if)#noshutSwitch(config)#intVLAN11Switch(config-if)#ipaddress193.9.11.1255.255.255.0Switch(config-if)#ipaccess-group101inSwitch(config-if)#noshut……Switch(config)#intVLAN17Switch(config-if)#ipaddress193.9.17.1255.255.255.0Switch(config-if)#ipaccess-group107inSwitch(config-if)#noshut核心交換機的所有接口都設為trunk，不連接設備的shutdown。其他接口連接匯聚交換機，匯聚交換機選為CiscoCatalyst3500系列，匯聚交換機部分端口直接計算機，其于設為trunk連接接入交換機。配置VMPS服務器，VMPS服務器ip地址為193.9.10.25：Switch(config）#vmpsserver193.9.10.25.primary配置PVST協(xié)議：Switch(config）#spanning-treemodepvstSwitch(config）#spanning-treeextendsystem-id在接入交換機端口上配置VMPS：Switch(config）#interfaceFastEthernet0/XSwitch(config-if>#switchportaccessVLANdynamicSwitch(config-if>#spanning-treeportfast在接入交換機端口上設置trunk模式：Switch(config）#interfaceFastEthernet0/XSwitch(config-if)#switchportmodetrunk在接入交換機上設置PVST：Switch(config）#spanning-treemodepvst