论文部分内容阅读
摘要:VLAN作为最常使用的局域网技术之一,已在中小型网络设计中得到广泛应用。校园网作为典型综合网络,VLAN技术的应用是必不可少的。充分考虑各种VLAN实现方式的特点,正确设计及配置VLAN是使整个校园网的性能、可管理性、安全性、扩充性得到充分提高的保证。
关键词:VLAN;中职;校园网建设;交换机;VTP
中图分类号:G712 文献标识码:A 文章编号:1672-5727(2012)01-0172-02
近几年,随着中职教育改革的深入,中职学校在招生规模及教学设备上投入的资金大幅提高。作为现代教育必不可少的教学环境,中职校园网络的建设也在不断更新发展,规模不断扩大,网络应用也不断增多,网络变得越来越拥挤,管理难度日益增大。同时,学校内部部门区域性管理也要求网络本身的结构可以实现动态组建、调整和管理。为了有效提高网络管理的灵活性,提高网络效率和网络安全性,充分合理地对校园网络进行设计与配置是必须的。作为一种有效解决手段,VLAN在当前校园网网络建设中得到了广泛应用。此种技术是将校园网络划分为几个不同的虚拟局域网(VLAN),通过这种方式强化网络管理和网络安全,控制不必要的数据广播,从而使整个校园网的性能、可管理性、安全性、扩充性得到充分保证。下面结合中职学校网络实际,探讨如何在校园网建设中合理进行VLAN划分及配置实现。
VLAN技术
VLAN(Virtual Local Area Network)又称虚拟局域网,是建立在局域网交换机的基础之上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中,在功能和操作上与传统LAN基本相同,可以提供一定范围内终端系统的互联。通过VLAN,用户能方便地在网络中移动和快捷地组建宽带网络,而无需改变任何硬件和通信线路,能从逻辑上对用户和网络资源进行分配,而无需考虑物理连接方式。采用了VLAN的校园网与普通校园网相比具有以下特点:(1)提高了网络的安全性。虚拟局域网创造虚拟边界,它只能通过路由器跨越,因此需要时,基于路由器的标准安全措施可用于限制对每个虚拟局域网的访问。(2)控制网络广播。在交换机上划分VLAN,那么一个VLAN内的广播将不会发送到其他VLAN,相应地提高了带宽的利用率。(3)方便网络管理。在整个局域网中,VLAN用户如果移动位置,不需要重新布线和调试,只要在交换机上重新分配相应端口到该VLAN就可以了。
校园网交换模块拓扑及设计
校园网主要由以下几部分构成:交换模块、广域网接入模块、远程访问模块、服务器模块。因VLAN技术主要应用在交换机层面上,属于交换模块设计内容,所以在这里以校园网交换模块配置来说明VLAN技术应用,相应拓扑结构如图1所示。
为简化交换网络设计、提高交换网络的可扩展性,校园网交换模块的部署是分层进行的,一般分为三层——接入层、汇聚层、核心层,因此数据交换设备也相应划分为对应的三个层次。
VLAN划分
在交换模块设计时,VLAN的划分是必不可少的步骤。VLAN划分要确定VLAN分组、VLAN名称、VLAN的IP地址网段、VLAN的交换机端口分配。
在划分VLAN时,由于工作组将与一个VLAN对应,因此应首先确定与VLAN对应的工作组,从而确定应将网络节点分成多少个工作组。工作组的划分方法有:(1)根据人员所属部门划分。此划分方法是按职能部门将整个校园网络划分为相应的IP子网,将各部门服务器划分到相应的子网中。(2)根据人员等级划分。此法根据网络使用人员所承担的责任大小来划分VLAN组。这样做的一个益处就是同级别的人可划分在同一个VLAN组,便于给这个组赋予相同的网络使用权利。(3)根据人员使用网络的性质划分。这样划分的益处是可使工作性质相同的人员使用相同资源,避免由于相互频繁通信而导致整个网络上出现广播风暴的可能。(4)公共资源单独成网。将公共服务资源(包括各种公共网络服务、网络打印机等)都划分在同一个VLAN子网中,并赋予相应的本地VLAN访问权限,从而实现全网的互联互通和信息共享。当工作组划分完成后,应分配好各VLAN工作组的IP地址段,基于端口的VLAN划分还要为各VLAN组分配好交换机端口号。
基于端口、按职能部门划分VLAN,VLAN划分的部分情况可以表格形式给出,如表1所示。
VLAN配置实现
为减少核心层交换机受到各个VLAN的影响、避免全网瘫痪,VLAN的配置在交换模块的接入层、汇聚层交换机实现。为便于说明配置过程,本文所涉及的交换机设备皆以Cisco公司24口网络交换机设备为例,针对jrcS1二层交换机、hjcS1三层交换机进行配置。
交换机VLAN配置分为以下几个步骤:(1)创建VLAN并配置默认网关IP地址。(2)将交换机端口划入相应VLAN。(3)配置Trunk连接,实现VLAN跨交换机通信。(4)启用三层路由功能。
当网络中交换机数量很多时,需要分别在每台交换机上创建很多重复的VLAN。工作量很大、过程很繁琐,并容易出错。为了简化配置操作,在实际工作中常采用VLAN中继协议(VLAN Trunking Protocol,VTP)来解决这个问题。VTP允许在一台交换机上创建所有的VLAN,然后,利用交换机之间的相互学习功能,将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上,同时,有关VLAN的删除、参数更改操作均可传播到其他交换机,从而可大大减轻网络管理人员配置交换机的负担。以下配置将汇聚层的三层交换机hjcS1设置成VTP服务器,其他交换机设置成VTP客户机。
1.交换机hjcS1简要配置命令如下:
配置VTP管理域的域名为“sxq1”:
hjcS1(config)# vtp domain sqx1
配置交换机hjcS1为VTP服务器:
hjcS1(config)# vtp mode server
激活VTP剪裁功能,使交换机自动删除没定义的VLAN数据:
hjcS1(config)# vtp pruning
定义各VLAN并起名:
hjcS1(config)# vlan 10
hjcS1(config-vlan)# name JWK
hjcS1(config)# vlan 20
hjcS1(config-vlan)# name XSK
hjcS1(config)# vlan 30
hjcS1(config-vlan)# name CWK
hjcS1(config)# vlan 40
hjcS1(config-vlan)# name ZWK
配置Trunk:
hjcS1(config)# interface range fa0/23-24
hjcS1(config-if-range)#switchport mode trunk
启用路由功能:
hjcS1(config)# ip routing
为各VLAN配置默认网关IP地址:
hjcS1(config-if)# interface vlan 10
hjcS1(config-if)# ip address 192.168.1.254 255.255.255.0
hjcS1(config-if)# interface vlan 20
hjcS1(config-if)# ip address 192.168.2.254 255.255.255.0
hjcS1(config-if)# interface vlan 30
hjcS1(config-if)# ip address 192.168.3.254 255.255.255.0
hjcS1(config-if)# interface vlan 40
hjcS1(config-if)# ip address 192.168.4.254 255.255.255.0
2.接入层二层交换机jrcS1简要配置如下:
配置管理IP并激活:
jrcS1(config)# interface vlan 1
jrcS1(config-if)# ip address 192.168.1.1 255.255.255.0
jrcS1(config-if)# no shutdown
设置默认网关地址:
jrcS1(config)# ip default-gateway 192.168.0.254
设置交换机成为VTP客户机:
jrcS1(config)# VTP mode client
将交换机1-10端口划入VLAN10:
jrcS1(config)# interface range fa0/1-10
jrcS1(config-if-range)#switchport mode access
jrcS1(config-if-range)#switchport access vlan 10
将交换机11-20端口划入VLAN20:
jrcS1(config)# interface range fa0/11-20
jrcS1(config-if-range)#switchport mode access
jrcS1(config-if-range)#switchport access vlan 20
配置23、24端口为Trunk端口:
jrcS1(config)# interface range fa0/23-24
jrcS1(config-if-range)#switchport mode trunk
通过以上在交换机的VLAN技术配置,在二层交换机jrcS1上可实现VLAN组之间的隔离。在汇聚层交换机hjcS1上启用路由功能可实现VLAN组之间通信,但如要限制某些VLAN组能通讯,同时使某些VLAN组不能通讯时,可以应用访问控制列表技术(ALC)进行控制实现。比如要求VLAN10、VLAN20间不能相互访问,但他们都能访问VLAN30这种情况,可以通过在汇聚层交换机hjcS1上建立ALC访问策略,并将策略应用到相应的VLAN端口来实现VLAN间的灵活访问控制,具体配置如下:
jrcS1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255
192.168.3.0 0.0.255
jrcS1(config)#access-list 102 permit ip 192.168.2.0 0.0.0.255
192.168.3.0 0.0.255
jrcS1(config)#int vlan 10
jrcS1(config-if)ip access-group 101 in
jrcS1(config)#int vlan 20
jrcS1(config-if)ip access-group 102 in
总之,VLAN技术充分体现了现代网络技术的重要特征:高速、灵活、管理简便和扩展容易,能有效解决校园网络设计中的各类功能需求。网络的虚拟化是未来网络发展的潮流,VLAN的技术应用值得我们继续探索与实践。
参考文献:
[1]谢希仁.计算机网络(第5版)[M].北京:电子工业出版社,2008.
[2]何文生.企业网搭建及应用[M].北京:电子工业出版社,2010.
[3](美)Vito Amato.思科网络技术学院教程[M].北京:人民邮电出版社,2000.
[4]甘刚.网络设备配置与管理[M].北京:清华大学出版社,2007.
[5]汪双项,韩立凡.中小型网络构建与管理(第1册)[M].北京:高等教育出版社,2006.
作者简介:
吴显卫(1975—),男,广东阳江人,广东省轻工职业技术学校讲师,研究方向为中职专业教学模式及教学资源共享、经验积累与分享应用。
(本栏责任编辑:谢良才)
关键词:VLAN;中职;校园网建设;交换机;VTP
中图分类号:G712 文献标识码:A 文章编号:1672-5727(2012)01-0172-02
近几年,随着中职教育改革的深入,中职学校在招生规模及教学设备上投入的资金大幅提高。作为现代教育必不可少的教学环境,中职校园网络的建设也在不断更新发展,规模不断扩大,网络应用也不断增多,网络变得越来越拥挤,管理难度日益增大。同时,学校内部部门区域性管理也要求网络本身的结构可以实现动态组建、调整和管理。为了有效提高网络管理的灵活性,提高网络效率和网络安全性,充分合理地对校园网络进行设计与配置是必须的。作为一种有效解决手段,VLAN在当前校园网网络建设中得到了广泛应用。此种技术是将校园网络划分为几个不同的虚拟局域网(VLAN),通过这种方式强化网络管理和网络安全,控制不必要的数据广播,从而使整个校园网的性能、可管理性、安全性、扩充性得到充分保证。下面结合中职学校网络实际,探讨如何在校园网建设中合理进行VLAN划分及配置实现。
VLAN技术
VLAN(Virtual Local Area Network)又称虚拟局域网,是建立在局域网交换机的基础之上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中,在功能和操作上与传统LAN基本相同,可以提供一定范围内终端系统的互联。通过VLAN,用户能方便地在网络中移动和快捷地组建宽带网络,而无需改变任何硬件和通信线路,能从逻辑上对用户和网络资源进行分配,而无需考虑物理连接方式。采用了VLAN的校园网与普通校园网相比具有以下特点:(1)提高了网络的安全性。虚拟局域网创造虚拟边界,它只能通过路由器跨越,因此需要时,基于路由器的标准安全措施可用于限制对每个虚拟局域网的访问。(2)控制网络广播。在交换机上划分VLAN,那么一个VLAN内的广播将不会发送到其他VLAN,相应地提高了带宽的利用率。(3)方便网络管理。在整个局域网中,VLAN用户如果移动位置,不需要重新布线和调试,只要在交换机上重新分配相应端口到该VLAN就可以了。
校园网交换模块拓扑及设计
校园网主要由以下几部分构成:交换模块、广域网接入模块、远程访问模块、服务器模块。因VLAN技术主要应用在交换机层面上,属于交换模块设计内容,所以在这里以校园网交换模块配置来说明VLAN技术应用,相应拓扑结构如图1所示。
为简化交换网络设计、提高交换网络的可扩展性,校园网交换模块的部署是分层进行的,一般分为三层——接入层、汇聚层、核心层,因此数据交换设备也相应划分为对应的三个层次。
VLAN划分
在交换模块设计时,VLAN的划分是必不可少的步骤。VLAN划分要确定VLAN分组、VLAN名称、VLAN的IP地址网段、VLAN的交换机端口分配。
在划分VLAN时,由于工作组将与一个VLAN对应,因此应首先确定与VLAN对应的工作组,从而确定应将网络节点分成多少个工作组。工作组的划分方法有:(1)根据人员所属部门划分。此划分方法是按职能部门将整个校园网络划分为相应的IP子网,将各部门服务器划分到相应的子网中。(2)根据人员等级划分。此法根据网络使用人员所承担的责任大小来划分VLAN组。这样做的一个益处就是同级别的人可划分在同一个VLAN组,便于给这个组赋予相同的网络使用权利。(3)根据人员使用网络的性质划分。这样划分的益处是可使工作性质相同的人员使用相同资源,避免由于相互频繁通信而导致整个网络上出现广播风暴的可能。(4)公共资源单独成网。将公共服务资源(包括各种公共网络服务、网络打印机等)都划分在同一个VLAN子网中,并赋予相应的本地VLAN访问权限,从而实现全网的互联互通和信息共享。当工作组划分完成后,应分配好各VLAN工作组的IP地址段,基于端口的VLAN划分还要为各VLAN组分配好交换机端口号。
基于端口、按职能部门划分VLAN,VLAN划分的部分情况可以表格形式给出,如表1所示。
VLAN配置实现
为减少核心层交换机受到各个VLAN的影响、避免全网瘫痪,VLAN的配置在交换模块的接入层、汇聚层交换机实现。为便于说明配置过程,本文所涉及的交换机设备皆以Cisco公司24口网络交换机设备为例,针对jrcS1二层交换机、hjcS1三层交换机进行配置。
交换机VLAN配置分为以下几个步骤:(1)创建VLAN并配置默认网关IP地址。(2)将交换机端口划入相应VLAN。(3)配置Trunk连接,实现VLAN跨交换机通信。(4)启用三层路由功能。
当网络中交换机数量很多时,需要分别在每台交换机上创建很多重复的VLAN。工作量很大、过程很繁琐,并容易出错。为了简化配置操作,在实际工作中常采用VLAN中继协议(VLAN Trunking Protocol,VTP)来解决这个问题。VTP允许在一台交换机上创建所有的VLAN,然后,利用交换机之间的相互学习功能,将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上,同时,有关VLAN的删除、参数更改操作均可传播到其他交换机,从而可大大减轻网络管理人员配置交换机的负担。以下配置将汇聚层的三层交换机hjcS1设置成VTP服务器,其他交换机设置成VTP客户机。
1.交换机hjcS1简要配置命令如下:
配置VTP管理域的域名为“sxq1”:
hjcS1(config)# vtp domain sqx1
配置交换机hjcS1为VTP服务器:
hjcS1(config)# vtp mode server
激活VTP剪裁功能,使交换机自动删除没定义的VLAN数据:
hjcS1(config)# vtp pruning
定义各VLAN并起名:
hjcS1(config)# vlan 10
hjcS1(config-vlan)# name JWK
hjcS1(config)# vlan 20
hjcS1(config-vlan)# name XSK
hjcS1(config)# vlan 30
hjcS1(config-vlan)# name CWK
hjcS1(config)# vlan 40
hjcS1(config-vlan)# name ZWK
配置Trunk:
hjcS1(config)# interface range fa0/23-24
hjcS1(config-if-range)#switchport mode trunk
启用路由功能:
hjcS1(config)# ip routing
为各VLAN配置默认网关IP地址:
hjcS1(config-if)# interface vlan 10
hjcS1(config-if)# ip address 192.168.1.254 255.255.255.0
hjcS1(config-if)# interface vlan 20
hjcS1(config-if)# ip address 192.168.2.254 255.255.255.0
hjcS1(config-if)# interface vlan 30
hjcS1(config-if)# ip address 192.168.3.254 255.255.255.0
hjcS1(config-if)# interface vlan 40
hjcS1(config-if)# ip address 192.168.4.254 255.255.255.0
2.接入层二层交换机jrcS1简要配置如下:
配置管理IP并激活:
jrcS1(config)# interface vlan 1
jrcS1(config-if)# ip address 192.168.1.1 255.255.255.0
jrcS1(config-if)# no shutdown
设置默认网关地址:
jrcS1(config)# ip default-gateway 192.168.0.254
设置交换机成为VTP客户机:
jrcS1(config)# VTP mode client
将交换机1-10端口划入VLAN10:
jrcS1(config)# interface range fa0/1-10
jrcS1(config-if-range)#switchport mode access
jrcS1(config-if-range)#switchport access vlan 10
将交换机11-20端口划入VLAN20:
jrcS1(config)# interface range fa0/11-20
jrcS1(config-if-range)#switchport mode access
jrcS1(config-if-range)#switchport access vlan 20
配置23、24端口为Trunk端口:
jrcS1(config)# interface range fa0/23-24
jrcS1(config-if-range)#switchport mode trunk
通过以上在交换机的VLAN技术配置,在二层交换机jrcS1上可实现VLAN组之间的隔离。在汇聚层交换机hjcS1上启用路由功能可实现VLAN组之间通信,但如要限制某些VLAN组能通讯,同时使某些VLAN组不能通讯时,可以应用访问控制列表技术(ALC)进行控制实现。比如要求VLAN10、VLAN20间不能相互访问,但他们都能访问VLAN30这种情况,可以通过在汇聚层交换机hjcS1上建立ALC访问策略,并将策略应用到相应的VLAN端口来实现VLAN间的灵活访问控制,具体配置如下:
jrcS1(config)#access-list 101 permit ip 192.168.1.0 0.0.0.255
192.168.3.0 0.0.255
jrcS1(config)#access-list 102 permit ip 192.168.2.0 0.0.0.255
192.168.3.0 0.0.255
jrcS1(config)#int vlan 10
jrcS1(config-if)ip access-group 101 in
jrcS1(config)#int vlan 20
jrcS1(config-if)ip access-group 102 in
总之,VLAN技术充分体现了现代网络技术的重要特征:高速、灵活、管理简便和扩展容易,能有效解决校园网络设计中的各类功能需求。网络的虚拟化是未来网络发展的潮流,VLAN的技术应用值得我们继续探索与实践。
参考文献:
[1]谢希仁.计算机网络(第5版)[M].北京:电子工业出版社,2008.
[2]何文生.企业网搭建及应用[M].北京:电子工业出版社,2010.
[3](美)Vito Amato.思科网络技术学院教程[M].北京:人民邮电出版社,2000.
[4]甘刚.网络设备配置与管理[M].北京:清华大学出版社,2007.
[5]汪双项,韩立凡.中小型网络构建与管理(第1册)[M].北京:高等教育出版社,2006.
作者简介:
吴显卫(1975—),男,广东阳江人,广东省轻工职业技术学校讲师,研究方向为中职专业教学模式及教学资源共享、经验积累与分享应用。
(本栏责任编辑:谢良才)