论文部分内容阅读
摘要:Vlan是虚拟局域网(Virtual Local Area Network)的简称,是在一个物理网络上划分出来的逻辑网络,在局域网中应用Vlan技术优化了网络性能、增加了网络管理的灵活性增强了网络的安全性。
关键词:Vlan技术 ;以太网;载波帧听多路访问;冲突域
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)27-1955-03
Applications of VLAN in Networks of Dalian Meteorological Bureau
XU Xiao-bo1,HOU Guo-cheng2, Wang Hui-pin1
(1.Dalian Meteorological Administration,Information Network Center,Dalian 116000,China; 2.Dalian Meteorological Administration, Services, Dalian 116000,China)
Abstract: VLAN (virtual local area network) is a virtual port within a switch that serves a group of end stations that share the same IP subnet . Therefore ,each VLAN is a logical broadcast domain. Practice in Dalian Meteorological Bureauhas shown this solution can enhance the network performance and security.
Key words: VLAN; ethernet switch; exchange technology; carrier sense multi-access; collision
1 引言
大连气象局局域网(以下简称局域网)建成于2003年,已实现了千兆三层交换机为核心的“千兆主干跑、百兆到桌面”的千兆以太网络,但传统以太网络采用带冲突检测的载波帧听多路访问(CSMA/CD)机制,各终端共享传输信道所造成的信道冲突和广播风暴是影响网络性能的重要因素。当同一网段中节点的数量越多,产生冲突的可能性就越大,将严重影响局域网络性能。近年来,随着我局气象业务的不断拓展,市局及各县局各类服务器、计算机终端等数量大增,仅市局计算机终端近200台,各县局终端数量也进百台。同时增加了市县间及国家局、省局到市局的可视会商系统,所有的设备同处一个网段已经严重限制了千兆网络性能的发挥,同时不利于网络的管理也为病毒、木马等不安全因素在全网络传播提供了条件。而Vlan(Virtual Local Area Network)技术是通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术,可以有效解决传统以太网络的弊端。
2 以太网工作原理及网络改造的必要性。
以太网采用带冲突检测的载波帧听多路访问(CSMA/CD)机制[2]。以太网中所有节点都可以收到在网络中发送的所有信息,因此,以太网是一种广播网络。当以太网中的一台主机要传输数据时它将:
1) 侦听信道上是否有信号在传输。如果有的话,表明信道处于忙状态,将继续侦听,直到信道空闲为止;
2) 若没有侦听到任何信号,将传输数据;
3) 传输的时候继续侦听,如发现冲突则执行退避算法,随机等待一段时间后,重新执行步骤1(当冲突发生时,涉及冲突的计算机会发送一个拥塞序列,以警告所有的节点);
4) 若未发现冲突则发送成功,计算机会返回到侦听信道状态。
在以太网中,当两个数据帧同时被发送到物理传输介质上,并完全或部分重叠时,就发生了数据冲突。当冲突发生时,物理网段上的数据都不再有效。产生冲突的原因有很多,如同一冲突域中节点的数量越多,产生冲突的可能性就越大。因此,当以太网的规模扩大时,就必须采取措施来控制冲突的扩散。有效的方法是物理网络分段和逻辑分段两种,在网络改造中市局与县局之间采用了路由器代替原有的协议转换器,将各县局划分到不同的物理网段;而市局各处室间采用Vlan技术将一个物理网络逻辑的划分成不同的广播域,将一个大的冲突域划分为若干小冲突域,从而提高网络效率。同时利用了原有边缘交换机支持Vlan技术的功能,提高了网络改造的性价比。网络改造后拓扑图如图1。
3 VLAN技术的优势[3]
1) 控制广播风暴,提高网络性能。局域网中广播通信很多。例如,在一台主机需要与其他主机通信时要发送ARP 广播;当客户机请求DHCP 服务器分配IP 地址时,必须发出DHCP 广播。除了TCP/ IP 协议,Net2BEUI、IPX 和Apple Talk 等协议也经常需要用到广播。广播流量在通过交换机时,将向交换机的各个端口扩散,从而给网络带来潜在的流量负担,并延误了其它流量的通信,更为严重的是,当交换网络被广播报文充满时即形成广播风暴,用户就无法正常使用网络。VLAN 技术通过在第二层上逻辑的划分广播域,将网络中的广播信息限制在同一VLAN 内,而非全网广播,因此从根本上消除了“广播风暴”,节约了网络带宽,提高全网性能。同时,不同VLAN 之间的通信要经过路由的控制,所以将网络内频繁通信的用户尽可能地集中于同一VLAN 内,就可以减少网间流量,如此既有效节约了网络带宽,又提高了网络效率。
2) 增加网络的灵活性,有利于控制管理成本。借助VLAN 技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境 ,与使用本地LAN 一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用,特别是在业务变动,不同处室需要交换办公场所的情况下,使用了VLAN 后,这部分管理费用大大降低。
3)提高了网络的整体安全性。建立VLAN 后,同一VLAN 内的计算机之间直接通信,不同VLAN 间的通信要通过路由表进行路由选择,这样不仅隔离了基于广播的信息,网络管理员还可以通过利用IOSACL 、VLAN ACL 等技术实现VLAN 之间的访问控制,访问控制可以是基于IP 地址、协议、端口、甚至是MAC 地址的,可以是单向的也可以是双向的,可以是VLAN 之间的也可以是VLAN 内部。网络管理员可以基于应用类型和访问特权进行逻辑工作组的划分,被限制的应用程序和资源一般置于安全的VLAN。
4) 一定程度上控制了网络内部IP 地址的盗用目前,局域网具有终端用户节点数量不断增加的特点,用户数量的增多使得网络IP 地址盗用亦相应增加,严重影响了网络的正常使用。在建立VLAN 后,网内任何一台计算机的IP 地址均必须在分配给该VLAN 的IP地址范围内,否则将无法通过路由器的审核,因而也就不能进行通信。如此,就能有效地将IP 地址的盗用控制在一个VLAN 之内。
4 大连气象局VLAN 的划分方法
4.1 Vlan的规划
在VLAN划分中,根据局内各个部门之间通信和安全的需要,将各业务单位、局机关、网络核心设备、网络服务器等划分到不同的VLAN,采用了中国气象局《全国气象部门网络系统IP地址规划方案》中为大连局分配的IP地址段为各部门分配了不同的网段地址,地址分配如表1所示。
4.3 配置中继(trunk)
链路聚合是一种封装技术,它是一条点到点的链路,链路的两端可以都是交换机,也可以是交换机和路由器,Trunk的主要功能就是仅通过一条链路就可以连接多个VLAN 。交换机就必须对通过Trunk 传输的每一个数据帧进行标识,将交换机与交换机之间的连接以及交换机与路由器之间的连接端口设为主干模式Trunk:
6808_config# interface GigaEtherface G2/0
6808_config # switchport mode trunk
4.4 配置路由实现VLAN 之间的路由
为限制非业务通信的产生,根据网络拓扑结构及通信业务需求,在核心交换机上设置静态路由:
6808_config #ip route 100.100.100.107 10.90.17.252
5 结束语
划分VLAN 后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。另外,在VLAN 间采用访问控制策略,增加了网络的整体安全性。
参考文献
[1] 林生.计算机通讯与网络教程[M].北京:清华大学出版社,2001.
[2] 杨义先.计算机网络[M].北京:北京邮电出版社,2000.
[3] lenis W.CCNP 思科网络技术学院教程(第七学期)多层交换[M].韦新,译. 北京:人民邮电出版社,2003.
关键词:Vlan技术 ;以太网;载波帧听多路访问;冲突域
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)27-1955-03
Applications of VLAN in Networks of Dalian Meteorological Bureau
XU Xiao-bo1,HOU Guo-cheng2, Wang Hui-pin1
(1.Dalian Meteorological Administration,Information Network Center,Dalian 116000,China; 2.Dalian Meteorological Administration, Services, Dalian 116000,China)
Abstract: VLAN (virtual local area network) is a virtual port within a switch that serves a group of end stations that share the same IP subnet . Therefore ,each VLAN is a logical broadcast domain. Practice in Dalian Meteorological Bureauhas shown this solution can enhance the network performance and security.
Key words: VLAN; ethernet switch; exchange technology; carrier sense multi-access; collision
1 引言
大连气象局局域网(以下简称局域网)建成于2003年,已实现了千兆三层交换机为核心的“千兆主干跑、百兆到桌面”的千兆以太网络,但传统以太网络采用带冲突检测的载波帧听多路访问(CSMA/CD)机制,各终端共享传输信道所造成的信道冲突和广播风暴是影响网络性能的重要因素。当同一网段中节点的数量越多,产生冲突的可能性就越大,将严重影响局域网络性能。近年来,随着我局气象业务的不断拓展,市局及各县局各类服务器、计算机终端等数量大增,仅市局计算机终端近200台,各县局终端数量也进百台。同时增加了市县间及国家局、省局到市局的可视会商系统,所有的设备同处一个网段已经严重限制了千兆网络性能的发挥,同时不利于网络的管理也为病毒、木马等不安全因素在全网络传播提供了条件。而Vlan(Virtual Local Area Network)技术是通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术,可以有效解决传统以太网络的弊端。
2 以太网工作原理及网络改造的必要性。
以太网采用带冲突检测的载波帧听多路访问(CSMA/CD)机制[2]。以太网中所有节点都可以收到在网络中发送的所有信息,因此,以太网是一种广播网络。当以太网中的一台主机要传输数据时它将:
1) 侦听信道上是否有信号在传输。如果有的话,表明信道处于忙状态,将继续侦听,直到信道空闲为止;
2) 若没有侦听到任何信号,将传输数据;
3) 传输的时候继续侦听,如发现冲突则执行退避算法,随机等待一段时间后,重新执行步骤1(当冲突发生时,涉及冲突的计算机会发送一个拥塞序列,以警告所有的节点);
4) 若未发现冲突则发送成功,计算机会返回到侦听信道状态。
在以太网中,当两个数据帧同时被发送到物理传输介质上,并完全或部分重叠时,就发生了数据冲突。当冲突发生时,物理网段上的数据都不再有效。产生冲突的原因有很多,如同一冲突域中节点的数量越多,产生冲突的可能性就越大。因此,当以太网的规模扩大时,就必须采取措施来控制冲突的扩散。有效的方法是物理网络分段和逻辑分段两种,在网络改造中市局与县局之间采用了路由器代替原有的协议转换器,将各县局划分到不同的物理网段;而市局各处室间采用Vlan技术将一个物理网络逻辑的划分成不同的广播域,将一个大的冲突域划分为若干小冲突域,从而提高网络效率。同时利用了原有边缘交换机支持Vlan技术的功能,提高了网络改造的性价比。网络改造后拓扑图如图1。
3 VLAN技术的优势[3]
1) 控制广播风暴,提高网络性能。局域网中广播通信很多。例如,在一台主机需要与其他主机通信时要发送ARP 广播;当客户机请求DHCP 服务器分配IP 地址时,必须发出DHCP 广播。除了TCP/ IP 协议,Net2BEUI、IPX 和Apple Talk 等协议也经常需要用到广播。广播流量在通过交换机时,将向交换机的各个端口扩散,从而给网络带来潜在的流量负担,并延误了其它流量的通信,更为严重的是,当交换网络被广播报文充满时即形成广播风暴,用户就无法正常使用网络。VLAN 技术通过在第二层上逻辑的划分广播域,将网络中的广播信息限制在同一VLAN 内,而非全网广播,因此从根本上消除了“广播风暴”,节约了网络带宽,提高全网性能。同时,不同VLAN 之间的通信要经过路由的控制,所以将网络内频繁通信的用户尽可能地集中于同一VLAN 内,就可以减少网间流量,如此既有效节约了网络带宽,又提高了网络效率。
2) 增加网络的灵活性,有利于控制管理成本。借助VLAN 技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境 ,与使用本地LAN 一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用,特别是在业务变动,不同处室需要交换办公场所的情况下,使用了VLAN 后,这部分管理费用大大降低。
3)提高了网络的整体安全性。建立VLAN 后,同一VLAN 内的计算机之间直接通信,不同VLAN 间的通信要通过路由表进行路由选择,这样不仅隔离了基于广播的信息,网络管理员还可以通过利用IOSACL 、VLAN ACL 等技术实现VLAN 之间的访问控制,访问控制可以是基于IP 地址、协议、端口、甚至是MAC 地址的,可以是单向的也可以是双向的,可以是VLAN 之间的也可以是VLAN 内部。网络管理员可以基于应用类型和访问特权进行逻辑工作组的划分,被限制的应用程序和资源一般置于安全的VLAN。
4) 一定程度上控制了网络内部IP 地址的盗用目前,局域网具有终端用户节点数量不断增加的特点,用户数量的增多使得网络IP 地址盗用亦相应增加,严重影响了网络的正常使用。在建立VLAN 后,网内任何一台计算机的IP 地址均必须在分配给该VLAN 的IP地址范围内,否则将无法通过路由器的审核,因而也就不能进行通信。如此,就能有效地将IP 地址的盗用控制在一个VLAN 之内。
4 大连气象局VLAN 的划分方法
4.1 Vlan的规划
在VLAN划分中,根据局内各个部门之间通信和安全的需要,将各业务单位、局机关、网络核心设备、网络服务器等划分到不同的VLAN,采用了中国气象局《全国气象部门网络系统IP地址规划方案》中为大连局分配的IP地址段为各部门分配了不同的网段地址,地址分配如表1所示。
4.3 配置中继(trunk)
链路聚合是一种封装技术,它是一条点到点的链路,链路的两端可以都是交换机,也可以是交换机和路由器,Trunk的主要功能就是仅通过一条链路就可以连接多个VLAN 。交换机就必须对通过Trunk 传输的每一个数据帧进行标识,将交换机与交换机之间的连接以及交换机与路由器之间的连接端口设为主干模式Trunk:
6808_config# interface GigaEtherface G2/0
6808_config # switchport mode trunk
4.4 配置路由实现VLAN 之间的路由
为限制非业务通信的产生,根据网络拓扑结构及通信业务需求,在核心交换机上设置静态路由:
6808_config #ip route 100.100.100.107 10.90.17.252
5 结束语
划分VLAN 后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。另外,在VLAN 间采用访问控制策略,增加了网络的整体安全性。
参考文献
[1] 林生.计算机通讯与网络教程[M].北京:清华大学出版社,2001.
[2] 杨义先.计算机网络[M].北京:北京邮电出版社,2000.
[3] lenis W.CCNP 思科网络技术学院教程(第七学期)多层交换[M].韦新,译. 北京:人民邮电出版社,2003.