網(wǎng)絡(luò)工程標(biāo)書之VLAN劃分

網(wǎng)絡(luò)工程標(biāo)書之VLAN劃分由于學(xué)校正在積極籌備專升本工作，因此，投入了近500萬元購置網(wǎng)絡(luò)設(shè)備和計算機。中心交換機采用CiscoCatalyst4500，工作組交換機采用CiscoCatalyst3550和Catalyst2950?？紤]到每棟樓接入的交換機數(shù)量并不多，所以，沒有設(shè)置骨干交換機。只是簡單地利用千兆端口將工作組交換機連接在一起，然后，通過光纖連接到中心交換機。目前，接入校園網(wǎng)的樓宇共8棟，計算機1100余臺。顯然不能把這么多的計算機都放在一個網(wǎng)段中。原因有以下幾點：第一，IP地址沖突會把網(wǎng)管搞得暈頭轉(zhuǎn)向，而動態(tài)分配IP地址又會產(chǎn)生大量的廣播包，導(dǎo)致網(wǎng)絡(luò)傳輸效率下降。第二，任何一塊網(wǎng)卡的損壞，任何一根雙絞線出問題，都有可能導(dǎo)致網(wǎng)絡(luò)風(fēng)暴的發(fā)生，從而導(dǎo)致網(wǎng)絡(luò)癱瘓。第三，各種網(wǎng)絡(luò)協(xié)議(如ARP、NetBEUI、DHCP等)被廣泛使用，從而導(dǎo)致網(wǎng)絡(luò)內(nèi)充斥大量的廣播包，大大降低網(wǎng)絡(luò)的有效帶寬。第四，任何用戶都可以直接訪問所有的計算機，使惡意攻擊變得易如反掌，網(wǎng)絡(luò)沒有任何安全可言。因此，必須根據(jù)不同部門的特點，將整個校園網(wǎng)劃分為若干個子網(wǎng)絡(luò)，從而將大量的廣播通訊限制在本地網(wǎng)絡(luò)。同時，限制對某些特殊子網(wǎng)(如財務(wù)、人事、學(xué)生等)的訪問。一、什么是VLAN虛擬網(wǎng)技術(shù)(VLAN，VirtualLocalAreaNetwork)的誕生主要源于廣播。廣播在網(wǎng)絡(luò)中起著非常重要的作用，如發(fā)現(xiàn)新設(shè)備、調(diào)整網(wǎng)絡(luò)路徑、IP地址租賃等等，許多網(wǎng)絡(luò)協(xié)議都要用到廣播，如。然而，隨著網(wǎng)絡(luò)內(nèi)計算機數(shù)量的增多，廣播包的數(shù)量也會急劇增加，當(dāng)廣播包的數(shù)量占到通訊總量的30%時，網(wǎng)絡(luò)的傳輸效率將會明顯下降。所以，當(dāng)局域網(wǎng)內(nèi)的計算機達(dá)到一定數(shù)量后(通常限制在150~200臺以內(nèi))，通常采用劃分VLAN的方式將網(wǎng)絡(luò)分隔開來，將一個大的廣播域劃分為若干個小的廣播域，以減小廣播可能造成的損害如何分隔大的廣播域呢?最簡單的方案就是物理分隔，即將一個完整的網(wǎng)絡(luò)物理地分隔成兩個或多個子網(wǎng)絡(luò)，然后，再通過一個能夠隔離廣播的路由設(shè)備將彼此連接起來。除了物理分隔的方法之外，就是在交換機上采用邏輯分隔的方式，將一個大的局域網(wǎng)劃分為若干個小的虛擬子網(wǎng)(如圖2所示)，即VLAN，從而使每一個子網(wǎng)都成為一個單獨的廣播域，子網(wǎng)之間進(jìn)行通信必須通過三層設(shè)備。當(dāng)VLAN在交換機上劃分后，不同VLAN間的設(shè)備就如同是被物理地分割。也就是說，連接到同一交換機、然而處于不同VLAN的設(shè)備，就如同被物理地連接到兩個位于不同網(wǎng)段的交換機上一樣，彼此之間的通信一定要經(jīng)過路由設(shè)備，否則，他們之間將無法得知對方的存在，將無法進(jìn)行任何通信?二、VLAN的重要意義VLAN中的成員與其物理位置無關(guān)，既可連接至同一臺交換機，也可連接至不同交換機。位置、連接至不同交換機中的用戶如何使之處于同一VLAN的難題。例如，在一個擁有數(shù)百臺計算機的校園網(wǎng)中，為了提高網(wǎng)絡(luò)傳輸效率，可以將所有用戶劃分為行政和教學(xué)兩個VLAN。雖然各學(xué)院、系、教研室位于不同的建筑物內(nèi)，連接至不同的交換機，但仍然能夠根據(jù)其連接的端口將其劃分至同一VLAN。需要注意的是，如果交換機某端口連接至一個集線器，那么，該集線器以及其連接的所有計算機都將屬于該端口的VLAN。2.基于MAC的VLAN所謂基于MAC的VLAN，是指借助智能管理軟件根據(jù)MAC地址來劃分VLAN。該劃分方式一般用在每一交換機端口只連接一個終端的情況。也就是說，當(dāng)端口連接至集線器或交換機時，該種劃分方式并不適用。端口借助網(wǎng)絡(luò)包的MAC地址、邏輯地址或協(xié)議類型來確定其VLAN的從屬，將端口劃分至不同VLAN。當(dāng)一網(wǎng)絡(luò)節(jié)點剛連接到交換機時，此時交換機端口尚未分配，于是，交換機通過讀取網(wǎng)絡(luò)節(jié)點的MAC地址，動態(tài)地將該端口劃入某個虛擬網(wǎng)。一旦網(wǎng)管人員配置好后，用戶的計算機就可以隨意改變其連接的交換機端口，而不會由此而改變自己的VLAN。當(dāng)網(wǎng)絡(luò)中出現(xiàn)未定義的MAC地址，交換機可以按照預(yù)先設(shè)定的方式向網(wǎng)管人員報警，再由網(wǎng)管人員作相應(yīng)的處理。例如，網(wǎng)絡(luò)管理員有一臺筆記本電腦，由于工作性質(zhì)的關(guān)系，他需要經(jīng)常到各部門聯(lián)機工作。當(dāng)該筆記本電腦從端口A移動到端口B時，交換機能夠自動識別經(jīng)過端口B的源MAC地址，自動把端口A從當(dāng)前VLAN中刪除，而把端口B定義到當(dāng)前VLAN中。這種定義方法的優(yōu)點是當(dāng)終端在交換式網(wǎng)絡(luò)中移動時，不必重新定義虛擬網(wǎng)，交換機能夠自動進(jìn)行識別和定義。因此，基于MAC的VLAN也稱為動態(tài)VLAN。由于MAC地址具有世界唯一性，因此，該VLAN劃分方式的安全性也較高。3.基于IP的VLAN所謂基于IP的VALN，是指根據(jù)IP地址來劃分的VLAN。交換機屬OSI第二層，因此，普通交換機不能識別幀中的網(wǎng)絡(luò)層報文，但隨著第三層交換機的出現(xiàn)，將第二層的交換功能和第三層的路由功能結(jié)合在一起，從而使交換機也能夠識別網(wǎng)絡(luò)層報文，可以使用報文中的IP地址來定義VLAN。因此，當(dāng)某一用戶設(shè)置有多個IP地址時，或該端口連接到的集線器中擁有多個TCP/IP用戶時，通過基于IP的VLAN，該用戶或該端口就可以同時訪問多個虛擬網(wǎng)。在該模式下，位于不同VLAN的多個部門(每種業(yè)務(wù)設(shè)置成一個虛擬網(wǎng))均可同時訪問同一臺網(wǎng)絡(luò)服務(wù)器，也可以同時訪問多個虛擬網(wǎng)的資源，還可讓多個虛擬網(wǎng)間的連接只需一個路由端口即可完成。這種定義方法的優(yōu)點是當(dāng)某一終端使用的網(wǎng)絡(luò)層協(xié)議或IP地址改變時，交換機能夠自動識別，重新定義VLAN，不需要管理員干預(yù)。但由于IP地址可以人為地、不受約束地自由設(shè)置，因此，使用該方式劃分VLAN也會帶來安全上的隱患。4.基于組播的VLAN組播作為一點對多點的通信，是節(jié)省網(wǎng)絡(luò)帶寬的有效方法之一。在多媒體應(yīng)用中，當(dāng)需要將一個節(jié)點的多媒體信號傳送到多個節(jié)點時，無論是采用重復(fù)點對點通信方式，還是采用廣播的方式，都會嚴(yán)重浪費網(wǎng)絡(luò)帶寬，而只有組播才是最好的選擇。組播能夠使一個或多個發(fā)送者將幀發(fā)送給組地址，而不是單個主機。其中，那些希望參加某一特定組的接收者，需要將含有組地址的IGMP“加入消息”發(fā)送給最鄰近的路由器，然后，路由器使用多點廣播路由協(xié)議(例如DVMRP、PIM等)建立從源到所有接收者的分發(fā)樹。接收者在任何時候都可以動態(tài)地參加或離開某個多點廣播組。支持IP多點廣播的應(yīng)用包括：音頻/視頻會議、“push”技術(shù)(如股票行情、運動記分、報文)和虛擬現(xiàn)實游戲?；诮M播的VLAN，就是動態(tài)地把那些需要同時通信的端口定義到一個VLAN中，并在VLAN中用廣播的方法解決點對多點通信的問題。四、實現(xiàn)VLAN需要的設(shè)備若欲在校園網(wǎng)絡(luò)中實現(xiàn)VLAN，首先需要支持VLAN的交換機。當(dāng)然，并不要求所有的交換機都支持VLAN，但是，網(wǎng)絡(luò)內(nèi)必須至少有一臺交換機支持VLAN，否則，VLAN的劃分就是不可能的。在選擇支持VLAN的設(shè)置時，應(yīng)當(dāng)注意以下幾個方面的問題：第一，中心交換機必須支持VLAN，并且擁有三層交換功能。由于VLAN之間的通訊必須借助三層設(shè)備才能實現(xiàn)，因此，如果沒有三層設(shè)備，VLAN的劃分將失去其原有的意義。原因很簡單，我們的目的不是阻隔通信，而是試圖使通信變得更快捷、更安全。若欲實現(xiàn)VLAN間的無阻塞線速傳輸，就必須采用集網(wǎng)橋和路由于一身的三層交換機，而不能采用傳輸?shù)穆酚善鳌７駝t，VLAN間的傳輸將成為制約網(wǎng)絡(luò)效率的瓶頸。第二，若欲在一臺交換機上劃分兩個或兩個以上的VLAN，那么，該交換機也必須支持VLAN劃分功能。如果交換機上只有一個VLAN，那么，完全可以將該VLAN劃分在第三層交換機或所級聯(lián)交換機的端口上。但是，如果若欲在交換機劃分兩個以上的VLAN，那么，該交換機就必須是可網(wǎng)管的，而且必須支持VLAN。第三，網(wǎng)絡(luò)內(nèi)所有劃分有VLAN的交換機必須支持同一種VLAN和中繼協(xié)議，即IEEE802.1Q和802.3ad網(wǎng)絡(luò)協(xié)議。否則，將無法實現(xiàn)VLAN在不同交換機之間的跨越。第四，應(yīng)當(dāng)盡量采用同一品牌的交換機，以保證產(chǎn)品和技術(shù)的兼容性，并可采用同一網(wǎng)絡(luò)管理軟件，實現(xiàn)對網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理，簡化網(wǎng)絡(luò)配置操作。盡管不同廠商都執(zhí)行相同的國際標(biāo)準(zhǔn)和協(xié)議，但同時也大量采有獨特的協(xié)議和技術(shù)(如Cisco的ISL)，因此，在交換機間實現(xiàn)VLAN中繼時，會遇到許多困難，產(chǎn)生許多莫名其妙的通信故障。所以，對于大中型校園網(wǎng)絡(luò)而言，為了將來管理上的方便，應(yīng)當(dāng)