虛擬子網(wǎng)（VLAN）方案

2019-11-04 21:28:47

字體：大中小

供稿：網(wǎng)友

　　虛擬子網(wǎng)（VLAN）方案
　　
　　為了便于治理，并提高網(wǎng)絡(luò)的效率和安全性，除了上述網(wǎng)絡(luò)的物理設(shè)計(jì)外，還需要對網(wǎng)絡(luò)進(jìn)行邏輯設(shè)計(jì)，即劃分虛擬網(wǎng)。虛擬網(wǎng)技術(shù)是將網(wǎng)絡(luò)中的物理基礎(chǔ)設(shè)施與網(wǎng)絡(luò)的邏輯基礎(chǔ)設(shè)施相分離，使得網(wǎng)管人員能方便而動態(tài)地建立和重構(gòu)虛擬網(wǎng)絡(luò)，以適應(yīng)部門機(jī)構(gòu)的協(xié)作與變動，方便網(wǎng)絡(luò)治理，降低治理的成本。
　　
　　對于一個大型的局域網(wǎng)絡(luò)來說，VLAN的劃分是非常重要的功能，它為限制全網(wǎng)范圍的廣播和多點(diǎn)廣播提供了有效的手段。在網(wǎng)絡(luò)設(shè)計(jì)中應(yīng)選擇切實(shí)可行的技術(shù)進(jìn)行VLAN的靈活劃分，能夠跨越交換機(jī)劃分VLAN，高性能地實(shí)現(xiàn)VLAN之間的路由，并能提供一些基于VLAN的安全特性。
　　
　　總結(jié)起來，有下列因素促使我們采用虛擬網(wǎng)技術(shù)：
　　
　　² 一個平臺多種應(yīng)用，這些要求相互之間相對獨(dú)立；
　　
　　² 提高帶寬的利用效率；
　　
　　² 提高網(wǎng)絡(luò)的安全性；
　　
　　² 方便網(wǎng)絡(luò)的治理。
　　
　　從大量的實(shí)際經(jīng)驗(yàn)中，我們熟悉到，交換網(wǎng)絡(luò)的設(shè)計(jì)不能僅限于第二層的LAN交換，而應(yīng)對整個多協(xié)議網(wǎng)絡(luò)進(jìn)行整體的設(shè)計(jì)。設(shè)計(jì)的總體原則是網(wǎng)絡(luò)核心只有交換，路由及第三層交換放在網(wǎng)絡(luò)邊緣。因此，虛擬網(wǎng)絡(luò)的設(shè)計(jì)應(yīng)包括以下內(nèi)容：
　　
　　² VLAN的設(shè)計(jì)和規(guī)劃
　　
　　² VLAN之間的分布式路由（三層交換）的設(shè)計(jì)
　　
　　² 整個網(wǎng)絡(luò)的廣播控制
　　
　　VLAN是取代傳統(tǒng)的橋接和路由器網(wǎng)絡(luò)技術(shù)的新技術(shù)。橋接技術(shù)使小的網(wǎng)絡(luò)可以互聯(lián)，但由于橋接不能有效地阻止廣播對網(wǎng)絡(luò)上節(jié)點(diǎn)通訊的影響，使整個網(wǎng)絡(luò)的帶寬使用率降低。路由器是一種很有效的控制廣播的設(shè)備，它把網(wǎng)絡(luò)按其上的端口分成段，并且阻止廣播從一個網(wǎng)段傳播到另一個網(wǎng)段。這樣，網(wǎng)絡(luò)被分成一個個廣播域。但路由器在作地址解析、路由選擇等工作時往往通過軟件來實(shí)現(xiàn)，從而增大了網(wǎng)絡(luò)上通訊的延遲時間。針對于以上兩種技術(shù)的缺點(diǎn)，產(chǎn)生了基于局域網(wǎng)交換技術(shù)的虛擬網(wǎng)（VLAN）技術(shù)。VLAN是邏輯上屬于一個集合而物理上可能分布于網(wǎng)絡(luò)的各個角落的一組工作站。每一個VLAN 就是一個廣播域。在傳統(tǒng)路由技術(shù)中，用戶被從物理上分成不同的段，而在一個VLAN中，用戶并不被局限在某一個物理區(qū)域內(nèi)，而是可以分布在網(wǎng)絡(luò)的不同部分。VLAN使得建立大型的基于交換的網(wǎng)絡(luò)成為可能，并且通過VLAN來實(shí)現(xiàn)廣播控制。
　　
　　VLAN主要以下五種規(guī)則（Rule）的Policy來實(shí)現(xiàn)：
　　
　　l Port Rules
　　
　　基于端口的VLAN是最簡單的一種虛擬網(wǎng)形式。但它提供了最好的控制和安全性，它是通過配置分配連在某一端口上的設(shè)備基于它們所連接的端口來加入某一個VLAN。
　　
　　l MAC Address Rules
　　
　　基于MAC地址的VLAN和基于端口的VLAN比較要復(fù)雜，因?yàn)榇罅康腗AC地址的治理比較復(fù)雜，這種VLAN也提供了較好的控制和安全性。它是通過配置分配不同的MAC地址到不同的VLAN 來實(shí)現(xiàn)的。
　　
　　l PRotocol Rules
　　
　　基于協(xié)議的VLAN是用得較為廣泛的一種策略（Policy），它把不同的VLAN以在VLAN上應(yīng)用的網(wǎng)絡(luò)協(xié)議區(qū)分開來，不同的VLAN可以基于不同的協(xié)議，如：ip協(xié)議、IPX協(xié)議、DECnet協(xié)議及NetBIOS協(xié)議等等。
　　
　　l Network Address Rules
　　
　　基于網(wǎng)絡(luò)地址的VLAN是根據(jù)不同的網(wǎng)絡(luò)地址來劃分VLAN，具體對于IP協(xié)議通過IP地址和網(wǎng)絡(luò)掩碼來分配VLAN，對于IPX協(xié)議通過IPX網(wǎng)絡(luò)號和封裝類型來分配VLAN。
　　l User Defined Rules
　　
　　網(wǎng)絡(luò)治理員還可以定義自己的VLAN策略（Policy），通過定義在信息幀中的非凡模板來創(chuàng)建VLAN，所有發(fā)出含有這種非凡模板信息幀的工作站將屬于同一個VLAN。
　　
　　在主干交換機(jī)和部分部門交換機(jī)中我們配置了高性能的第三層交換模塊，可支持線速的VLAN間路由，從而為網(wǎng)絡(luò)系統(tǒng)的應(yīng)用提供了堅(jiān)實(shí)的基礎(chǔ)。
　　
　　那么在本方案中我們?nèi)绾螌?shí)現(xiàn)跨越交換機(jī)的VLAN劃分呢？我們建議采用的中心網(wǎng)絡(luò)設(shè)備是Cisco公司最新推出的Cisco 4006多層路由交換機(jī)，它采用了Cisco千兆級的路由技術(shù)，在保存原有路由器所有的功能和特性的基礎(chǔ)上，提供了高達(dá)線速的處理能力，這使得我們可以很方便的進(jìn)行全網(wǎng)范圍內(nèi)的VLAN劃分和路由。
　　
　　具體如何實(shí)現(xiàn)呢？在各樓層交換機(jī)上，我們可以根據(jù)業(yè)務(wù)需求或部門基于端口或MAC地址劃分不同的VLAN并使其與IP子網(wǎng)相符合。更進(jìn)一步,我們可以利用WindowsNT服務(wù)器上的用戶名(和相應(yīng)的口令)來劃分VLAN,使VLAN劃分更加靈活方便,而且由于有用戶口令的保護(hù)使得VLAN的訪問更加安全.這就是Cisco公司提供的動態(tài)VLAN的解決方案，利用這一特性，我們可以實(shí)現(xiàn)移動辦公，并能防止非法機(jī)器連入網(wǎng)絡(luò)。

　　
　　對于與中心路由交換機(jī)相連接的端口，我們將其設(shè)為VLAN的Trunk，這樣它將傳遞所有的VLAN信息和數(shù)據(jù)給相同VTP域的其它交換機(jī)，VLAN的Trunking技術(shù)可以選擇ISL(InterSwitchLink)或802.1Q。
　　
　　由于中心路由交換機(jī)的每個端口都可以識別不同VLAN的802.1Q封包并可以針對不同的VLAN劃分不同的子端口(Subinterface)，對于每個子端口設(shè)置相應(yīng)子網(wǎng)的IP地址，實(shí)現(xiàn)各子網(wǎng)(VLAN)之間的路由。如下圖所示：
　　