关键字:vlan、交换机、路由、网络
引言
传统局域网(lan)主要使用hub,网桥,或交换机等连接某一网段内的所有节点。一个局域网之内的所有网络节点之间可以直接进行通信,而不必通过路由器进行路由转发;而处于不同局域网段内的设备之间的通信则必须经过网络路由器进行转发。同时在csma/cd网络中节点传输数据之前,它进行"监听"以了解网络是否很繁忙。如果不是,则节点开始传送数据。如果网络正在使用,则节点等待。如果两个节点进行监听,没有听到任何东西,而开始同时使用线路,则会出现冲突。在发送数据时,它如果使用广播地址,那么在此网段上的所有pc都将收到数据包,这样一来如果该网段pc众多,很容易引起广播风暴。而冲突和广播风暴是影响网络性能的重要因素。为解决这一问题,我们引入了虚拟局域网(vlan)的概念。
vlan的定义
vlan(virtuallocalareanetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。vlan是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了vlan头,用vlanid把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。wwW.133229.cOm虽然vlan所连接的设备来自不同的网段,但是相互之间可以进行直接通信,好像处于同一网段中一样,由此得名虚拟局域网。相比较传统的局域网布局,vlan技术更加灵活。
vlan在交换机上的实现方法
vlan在交换机上的实现方法,可以大致划分为4类:
1、基于端口划分的vlan
这种划分vlan的方法是根据以太网交换机的端口来划分,比如我们可以把交换机的1~8端口为vlan4,9~15为vlan11,16~24为vlan22,当然,这些属于同一vlan的端口可以不连续,如何配置,我们可以单独配置。根据端口划分是目前定义vlan的最广泛的方法,ieee802.1q规定了依据以太网交换机的端口来划分vlan的国际标准。这种划分的方法的优点是定义vlan成员时非常简单,只要将所有的端口都定义一下就可以了。它的缺点是如果vlana的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。
2、基于mac地址划分vlan
基于mac地址的vlan分配方案确实可使某些移动、添加和更改操作自动化。如果用户根据mac地址被分配到一个vlan或多个vlan,他们的计算机可以连接交换网络的任何一个端口,所有通信量均能正确无误地到达目的地。显然,管理员要进行vlan初始分配,但用户移动到不同的物理连接不需要在管理控制台进行人工干预;例如有很多移动用户的站,他们并非总是连接同一端口,或许因为办公室都是临时性的,采用基于mac地址的vlan可避免很多麻烦。
3、基于网络层划分vlan
这种划分vlan的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,它查看每个数据包的ip地址,但由于不是路由,所以,没有rip,ospf等路由协议,而是根据生成树算法进行桥交换,这种方法的优点是用户的物理位置改变了,不需要重新配置vlan,而且可以根据协议类型来划分vlan,还有,这种方法不需要附加的帧标签来识别vlan,这样可以减少网络的通信量。但这种方法效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的。
vlan的优点
vlan具有以下优点:
1)控制网络风暴:采用vlan技术,可将某个交换端口划到某个vlan中,而一个vlan的广播风暴不会影响其它vlan的性能,从而避免整个网络的灾难性广播风暴。
2)确保网络安全:vlan能限制个别用户的访问,控制广播组的大小和位置,甚至能锁定某台设备的mac地址,因此vlan能确保网络的安全性。
3)简化网络管理:网络管理员能借助于vlan技术轻松管理整个网络。网络管理员只需设置几条命令,就能在几分钟内建立某一项目的vlan网络,其成员使用vlan网络,就像在本地使用局域网一样。
下面我们看一下vlan技术在网络中到底是如何实现的?
catalyst1900交换机上配置vlan实例
设置好超级终端,连接上1900交换机后,会出现catalyst1900交换机的主配置界面:
1user(s)nowactiveonmanagementconsole.
userinterfacemenu
[m]menus-------------------主菜单,主要是交换机的初始配置和监控交换机的运行状况
[k]commandline---------命令行,象路由器一样,主要是通过命令来操作
[i]ipconfiguration---------配置ip地址、子网掩码和默认网管
enterselection:
这是第一次连上交换机显示的界面,如果你已经配置好了ipconfiguration,那么下次登陆的时候将没有这个选项。因为用命令配置简洁明了,清晰易懂,所以我们通过[k]commandline来实现vlan的配置的。
我们选择[k]commandline,进入命令行配置
enterselection:k回车
clisessionwiththeswitchisopen.
toendtheclisession,enter[exit].
>enable
#configt
enterconfigurationcommands,oneperline.endwithcntl/z
(config)#
为了安全和方便起见,我们给这个交换机起个名字,并且设置登陆密码。
(config)#hostname1900switch
1900switch(config)#enablepasswordlevel15goodwork
1900switch(config)#
vlan的设置分以下2步:
1.设置vlan名称
2.应用到端口
我们先设置vlan的名称。
1900switch(config)#vlan2nameaccounting
1900switch(config)#vlan3namemarketing
我们新配置了2个vlan,为什么vlan号从2开始呢?这是因为默认情况下,所有的端口否放在vlan1上,所以要从2开始配置。1900系列的交换机最多可以配置1024个vlan,但是,只能有64个同时工作,当然了,这是理论上的,我们应该根据自己网络的实际需要来规划vlan的号码。配置好了vlan名称后我们要进入每一个端口来设置vlan。在交换机中,要进入某个端口比如说第4个端口,要用interfaceethernet0/4,好的,结合上面给出的图我们让端口2、3、4和5属于vlan2,端口17---22属于vlan3。命令是vlan-membershipstatic/dynamicvlan号。静态的或者动态的两者必须选择一个,后面是刚才配置的vlan号。好的,我们看结果:
1900switch(config)#interfaceethernet0/2
1900switch(config-if)#vlan-membershipstatic2
1900switch(config-if)#inte0/3
1900switch(config-if)#vlan-membershipstatic2
1900switch(config-if)#inte0/4
190
0switch(config-if)#vlan-membershipstatic2
1900switch(config-if)#inte0/5
1900switch(config-if)#vlan-membershipstatic2
1900switch(config-if)#inte0/17
1900switch(config-if)#vlan-membershipstatic3
。。。。。。
1900switch(config-if)#inte0/22
1900switch(config-if)#vlan-membershipstatic3
1900switch(config-if)#
好的,我们已经把vlan都定义到了交换机的端口上了。到现在为止,我们已经把交换机的静态vlan配置好了。为了验证我们的配置,我们在特权模式使用showvlan命令。输出如下:
1900switch(config)#showvlan
vlannamestatusports
1defaultenabled1,6-16,22-24,aui,a,b
2accontingenabled2-5
3marketingenabled17-22
1002fddi-defaultsuspended
1003token-ring-defaususpended
1004fddinet-defaultsuspended
1005trnet-defaultsuspended
由上面我们可以看出这是一个24口的交换机,并且带有aui和两个100兆端口(a、b),可以看出来,我们的设置已经正常工作了,交换机是即时自动保存的,所以不用我们使用命令来保存设置了。当然了,你也可以使用showvlanvlan号的命令来查看某个vlan,比如showvlan2,showvlan3.还可以使用showvlan-membership,改命令主要是显示交换机上的每一个端口静态或动态的属于哪个vlan。
以上是给交换机配置静态vlan的过程,下面我们看看动态的vlan。动态的vlan形成很简单,由端口自己决定它属于哪个vlan时,就形成了动态的vlan。不过,这并不意味着就一层不变了,它只是一个简单的映射,这个映射取决于网络管理员创建的数据库。分配给动态vlan的端口被激活后,交换机就缓存初始帧的源mac地址,随后,交换机便向一个称为vmps(vlan管理策略服务器)的外部服务器发出请求,vmps中包含一个文本文件,文件中存有进行vlan映射的mac地址。交换机对这个文件进行下载,然后对文件中的mac地址进行校验。如果在文件列表中找到mac地址, 交换机就将端口分配给列表中的vlan。如果列表中没有mac地址,交换机就将端口分配给默认的vlan(假设已经定义默认了vlan)。如果在列表中没有mac地址,而且也没有定义默认的vlan,端口不会被激活。本文来自范文中国网。这是维护网络安全一种非常好的的方法。从表面上看,动态vlan的优势很大,但它也有致命的缺点,即创建数据库是一项非常艰苦而且非常繁琐的工作。如果网络上有数千个工作站,则有大量的输入工作要做。即使有人能胜任这项工作,也还会出现与动态的vlan有关的很多问题。另外,保持数据库为最新也是要随时进行的非常费时的工作。
当然vlan在现实中的应用还很广泛,也很灵活。这里我们就不做详细的讲解了,如果有兴趣的朋友可以参考相关的cisco的文档资料。