表7-1 VLAN组及对应端口号分布
VLAN号 |
VLAN组名 |
部门 |
端口号 |
100 |
Cwb |
财务部 |
Sw1:2-19 |
200 |
Rsb |
人事部 |
Sw1:20-29 |
300 |
Xxzx |
信息中心 |
Sw1:30-39 |
400 |
Bgs |
办公室 |
Sw2:2-13 |
500 |
Sccj |
生产车间 |
Sw2:14-43 |
600 |
Fwq |
服务器 |
Sw2:45-48 |
在配置交换机VLAN之前,必须首先了解虚拟局域网的概念,虚拟局域网的组网方法,下面就从介绍虚拟局域网的概念入手。
7.4.1 虚拟局域网概念
随着以太网技术的普及,以太网的规模也越来越大,从小型的办公环境到大型的园区网络,网络管理变得越来越复杂。首先,在采用共享介质的以太网中,所有结点位于同一冲突域中,同时也位于同一广播域中,即一个结点向网络中某些结点的广播会被网络中所有的结点所接收,造成很大的带宽资源和主机处理能力的浪费。为了解决传统以太网的冲突域问题,采用了交换机来对网段进行逻辑划分。但是,交换机虽然能解决冲突域问题,却不能克服广播域问题。例如,一个ARP广播就会被交换机转发到与其相连的所有网段中,当网络上有大量这样的广播存在时,不仅是对带宽的浪费,还会因过量的广播产生广播风暴,当交换网络规模增加时,网络广播风暴问题还会更加严重,并可能因此导致网络瘫痪。第二,在传统的以太网中,同一个物理网段中的结点也就是一个逻辑工作组,不同物理网段中的结点是不能直接相互通信的。这样,当用户由于某种原因在网络中移动但同时还要继续原来的逻辑工作组时,就必然会需要进行新的网络连接乃至重新布线。
为了解决上述问题,虚拟局域网(Virtual Local Area Network,简称VLAN)应运而生。虚拟局域网是以局域网交换机为基础,通过交换机软件实现根据功能、部门、应用等因素将设备或用户组成虚拟工作组或逻辑网段的技术,其最大的特点是在组成逻辑网时无须考虑用户或设备在网络中的物理位置。虚拟局域网可以在一个交换机或者跨交换机实现。
1996年3月,IEEE802委员会发布了IEEE802.1Q VLAN标准。目前,该标准得到全世界重要网络厂商的支持。
在IEEE802.1Q标准中对虚拟局域网是这样定义的:虚拟局域网是由一些局域网网段构成的与物理位置无关的逻辑组,而这些网段具有某些共同的需求。每一个虚拟局域网的帧都有一个明确的标识符,指明发送这个帧的工作站是属于那一个VLAN。利用以太网交换机可以很方便地实现虚拟局域网。虚拟局域网其实只是局域网给用户提供的一种服务,而并不是一种新型局域网。
图7.18给出一个关于VLAN划分的示例。图7.18中使用了四个交换机的网络拓扑结构。有9个工作站分配在三个楼层中,构成了三个局域网,即:
LAN1:(A1,B1,C1),LAN2:(A2,B2,C2),LAN3:(A3,B3,C3)。
但这9个用户划分为三个工作组,也就是说划分为三个虚拟局域网VLAN。即:
VLAN1:(A1,A2,A3),VLAN2:(B1,B2,B3),VLAN3:(C1,C2,C3)。
在虚拟局域网上的每一个站都可以听到同一虚拟局域网上的其他成员所发出的广播。如工作站B1,B2,B3同属于虚拟局域网VLAN2。当B1向工作组内成员发送数据时,B2和B3将会收到广播的信息(尽管它们没有连在同一交换机上),但A1和C1都不会收到B1发出的广播信息(尽管它们连在同一个交换机上)。
7.4.2 虚拟局域网使用的以太网帧格式
IEEE 802.1q标准定义了虚拟局域网的以太网帧格式,在传统的以太网的帧格式中插入一个4字节的标识符,称为VLAN标记,也称为tag域,用来指明发送该帧的工作站属于哪一个虚拟局域网。如图7.19所示。如果还使用传统的以太网帧格式,那么就无法划分虚拟局域网。
虚拟局域网标记字段的长度是4个字节,插入在以太网MAC帧的源地址字段和长度/类型字段之间。虚拟局域网标记的前两个字节和原来的长度/类型字段的作用一样,但它总是设置为0x8100(这个数值大于0x0600, 因此不是代表长度),称为802.1Q标记类型。当数据链路层检测到在MAC帧的源地址字段的后面的长度/类型字段的值是0x8100时,就知道现在插入了4个字节的VLAN标记。于是就检查该标记的后两个字节的内容。在后面的两个字节中,前3个比特是用户优先级字段,接着的一个比特是规范格式指示符(CFI:Canonical Format Indicator),最后的12比特是该虚拟局域网的标识符VID, 它唯一地标志这个以太网帧是属于哪一个VLAN。在801.1Q标记(4个字节)后面的两个字节是以太网帧的长度/类型段。
因为用于虚拟局域网的以太网帧的首部增加了4个字节,所以以太网帧的最大长度从原来的1518字节变为1522字节。
7.4.3 虚拟局域网的优点
采用虚拟局域网后,在不增加设备投资的前提下,可在许多方面提高网络的性能,并简化网络的管理。具体表现在:
1. 提供了一种控制网络广播的方法
通过将交换机划分到不同的VLAN中,一个VLAN的广播不会影响到其他VLAN 的性能。即使是同一交换机上的两个相邻端口,只要它们不在同一VLAN中,则相互之间也不会渗透广播流量。
2. 提高了网络的安全性
VLAN的数目及每个VLAN中的用户和主机是由网络管理员决定的。网络管理员通过将可以相互通信的网络结点放在一个VLAN内,或将受限制的应用和资源放在一个安全VLAN内,并提供基于应用类型、协议类型、访问权限等不同策略的访问控制表,就可以有效限制广播组或共享域的大小。
3. 简化了网络管理
一方面,可以不受网络用户的物理位置限制而根据用户需求进行网络逻辑,如同一项目或部门中的协作者,功能上有交叉的工作组,共享相同网络应用或软件的不同用户群。另一方面,由于VLAN可以在单独的交换设备或跨多个交换设备实现,也会大大减少在网络中增加、删除或移动用户时的管理开销。
4. 提供了基于第二层的通信优先级服务
在千兆位以太网中,基于与VLAN相关的IEEE 802.1P标准可以在交换机上为不同的应用提供不同的服务如传输优先级等。
总之,虚拟局域网是交换式网络的灵魂,其不仅从逻辑上对网络用户和资源进行有效、灵活、简便管理提供了手段,同时提供了极高的网络扩展和移动性。
7.4.4 虚拟局域网的组网方法
VLAN的划分可以根据功能、部门或应用而无须考虑用户的物理位置。以太网交换机的每个端口都可以分配给一个VLAN。分配给同一个VLAN的端口共享广播域(一个站点发送希望所有站点接收的广播信息,同一VLAN中的所有站点都可以听到),分配各不同VLAN的端口不共享广播域。虚拟局域网既可以在单台交换机中实现,也可以跨越多个交换机。
从实现的方式上看,所有VLAN均是通过交换机软件实现的;从实现的机制或策略分,VLAN分为静态VLAN和动态VLAN两种。
1. 静态VLAN
在静态VLAN中,由网络管理员根据交换机端口进行静态的VALN分配,当在交换机上将其某一个端口分配给一个VLAN时,其将一直保持不变直到网络管理员改变这种配置,所以又被称为基于端口的VLAN。也就是根据以太网交换机的端口来划分广播域。也就是说,交换机某些端口连接的主机在一个广播域内,而另一些端口连接的主机在另一广播域,VLAN和端口连接的主机无关,如图7.20和表7-2所示。
假定指定交换机的端口1、3、5属于VLAN2,端口2、4属于VLAN3,此时,主机A、主机C、主机E在同一VLAN,主机B和主机D在另一VLAN下。如果将主机A和主机B交换连接端口,则VLAN表仍然不变,而主机A变成与主机D在同一VLAN。基于端口的VLAN配置简单,网络的可监控性强。但缺乏足够的灵活性,当用户在网络中的位置发生变化时,必须由网络管理员将交换机端口重新进行配置。所以静态VLAN比较适合用户或设备位置相对稳定的网络环境。
2. 动态VLAN
动态VLAN是指交换机上以连网用户的MAC地址、逻辑地址(如IP 地址)或数据包协议等信息为基础将交换机端口动态分配给VLAN的方式。总之,不管以何种机制实现,分配给同一个VLAN的所有主机共享一个广播域,而分配给不同VLAN的主机将不会共享广播域。也就是说,只有位于同一VLAN中的主机才能直接相互通信,而位于不同VLAN中的主机之间是不能直接相互通信的。
(1) 基于MAC地址的VLAN
这种方式的VLAN,要求交换机对结点的MAC地址和交换机端口进行跟踪,在新结点入网时,根据需要将其划归至某一个VLAN。不论该结点在网络中怎样移动,由于其MAC地址保持不变,因此用户不需对网络地址重新配置。然而所有的用户必须明确地分配给一个VLAN,在这种初始化工作完成后,对用户的自动跟踪才成为可能。在一个大型网络中,要求网络管理人员将每个用户划分到某一个VLAN,是十分繁琐的。
(2) 基于路由的VLAN
路由协议工作在7层协议的第三层:网络层,即基于IP和IPX协议的转发,它是利用网络层的业务属性来自动生成VLAN,把使用不同的路由协议的结点分在相对应的VLAN中。IP子网1为第1个VLAN,IP子网2第2个VLAN,IPX子网 1为第3个VLAN……依此类推。通过检查所有的广播和多点广播帧,交换机能自动生成VLAN。
这种方式构成的VLAN,在不同的LAN网段上的结点可以属于同一VLAN,同一物理端口上的结点也可分属于不同的VLAN,从而保证了用户完全自由地进行增加、移动和修改等操作。这种根据网络上应用的网络协议和网络地址划分VLAN的方式,对于那些想针对具体应用和服务来组织用户的网络管理人员来说是十分有效的。它减少了人工参与配置VLAN,使VLAN有更大灵活性,比基于MAC地址的VLAN更容易做到自动化管理。
(3)用IP广播组定义虚拟局域网
这种虚拟局域网的建立是动态的,它代表一组IP地址。虚拟局域网中由叫做代理的设备对虚拟局域网中的成员进行管理。当IP广播包要送达多个目的地址时,就动态建立虚拟局域网代理,这个代理和多个IP结点组成IP广播组虚拟局域网。网络用广播信息通知各IP站,表明网络中存在IP广播组,结点如果响应信息,就可以加入IP广播组,成为虚拟局域网中的一员,与虚拟局域网中的其他成员通信。IP广播组中的所有结点属于同一个虚拟局域网,但它们只是特定时间段内特定IP广播组的成员。IP广播组虚拟局域网的动态特性提供了很高的灵活性,可以根据服务灵活的组建,而且它可以跨越路由器形成与广域网的互连。
7.4.5 VLAN数据帧的传输
目前任何主机都不支持带有Tag域的以太网数据帧,即主机只能发送和接收标准的以太网数据帧,而将VLAN数据帧作为非法数据帧。所以支持VLAN的交换机在与主机和交换机进行通信时,需要区别对待。当交换机将数据发送给主机时,必须检查该数据帧,并删除tag域。而发送交换机时,为了让对端交换机能够知道数据帧的VLAN ID,它应该给从主机接收到的数据帧增加一个tag域后再发送,其数据帧传输过程中的变化如图7.21所示。
当交换机接收到某数据帧时,交换机根据数据帧中的tag域或者接收端口的缺省VLAN ID来判断该数据帧应该转发到哪些端口,如果目标端口连接的普通主机,则删除Tag域(如果数据帧中包含tag域)后再发送数据帧;如果目标端口连接的交换机,则添加Tag域(如果数据帧中不包含tag域)后再发送数据帧。为了保证在交换机之间的trunk链路上能够接入普通主机,以太网将还能够当检查到数据帧的VLAN ID和Trunk端口的缺省VLAN ID 相同时,数据帧不会被增加tag域。而到达对端交换机后,交换机发现数据帧中没有tag域时,就认为该数据帧为接收端口的缺省VLAN数据。
根据交换机处理数据帧的不同,可以将交换机的端口分为两类:
l Access端口:只能传送标准以太网帧的端口,一般是指那些连接不支持VLAN技术的端设备的接口,这些端口接收到的数据帧都不包含VLAN标签,而向外发送数据帧时,必须保证数据帧中不包含VLAN标签。
l Trunk端口:既可以传送有VLAN标签的数据帧也可以传送标准以太网帧的端口,一般是指那些连接支持VLAN技术的网络设备(如交换机)的端口,这些端口接收到的数据帧一般都包含VLAN标签(数据帧VLAN ID和端口缺省VLAN ID相同除外),而向外发送数据帧时,必须保证接收端能够区分不同VLAN的数据帧,故常常需要添加VLAN标签(数据帧VLAN ID和端口缺省VLAN ID相同除外)。
7.4.6 VLAN间的互连方法
1. 传统路由器方法
所谓传统路由器方法,就是使用路由器将位于不同VLAN的交换端口连接起来,这种方法的缺点是:对路由器的性能有较高要求;同时如果路由器发生故障,则VLAN之间就不能通信。
2. 采用路由交换机
如果交换机本身带有路由功能,则VLAN之间的互连就可在交换机内部实现,即采用第三层交换技术。第三层交换技术也叫路由交换技术,是各网络厂家最新推出的一种局域网技术,具有良好的发展前景。它将交换技术(Switching)和路由技术(Routing)相结合,很好的解决了在大型局域网中以前难以解决的一些问题。
7.4.6 以太网交换机VLAN配置步骤
按照图7.17和表7-1所述,配置步骤如下:
(1)设置好超级终端,连上2948交换机,通过超级终端配置交换机的VLAN。连接成功后,选择命令行配置界面,进入交换机的普通用户模式,输入进入特权模式的命令“enable”,进入特权模式。
(2)在特权模式“#”下,输入进入全局配置模式的明令命令“config t”,进入全局配置模式。
Switch#config t
Switch(config)#
(3)分别给这两个交换机起名字,下面仅以sw1为例进行介绍。配置如下:
Switch(config)#hostname sw1
Sw1(config)#
(4)设置 VLAN 名称。在sw1和sw2上配置100、200、300、400、500、600号VLAN组的配置命令为:
Sw1(config)#vlan 100 name cwb
Sw1(config)#vlan 200 name rsb
Sw1(config)#vlan 300 name xxzx
Sw2(config)#vlan 400 name bgs
Sw2(config)#vlan 500 name sccj
Sw2(config)#vlan 600 name fwq
(5)按照表7-1所列将VLAN号对应到交换机端口上。
在sw1的交换机是的VLAN端口号配置如下:
Sw1(config)#int f0/2
Sw1(config-if)#switchport acess vlan 100
Sw1(config-if)#int f0/3
Sw1(config-if)#switchport acess vlan 100
……
Sw1(config)#int f0/19
Sw1(config-if)#switchport acess vlan 100
Sw1(config-if)#int f0/20
Sw1(config-if)#switchport acess vlan 200
……
Sw1(config-if)#int f0/29
Sw1(config-if)#switchport acess vlan 200
Sw1(config-if)#int f0/30
Sw1(config-if)#switchport acess vlan 300
……
Sw1(config-if)#int f0/39
Sw1(config-if)#switchport acess vlan 300
在sw2的交换机是的VLAN端口号配置如下:
Sw2(config)#int f0/2
Sw2(config-if)#switchport acess vlan 400
Sw2(config-if)#int f0/3
Sw2(config-if)#switchport acess vlan 400
……
Sw2(config-if)#int f0/13
Sw2(config-if)#switchport acess vlan 400
Sw2(config-if)#int f0/14
Sw2(config-if)#switchport acess vlan 500
……
Sw2(config-if)#int f0/43
Sw2(config-if)#switchport acess vlan 500
Sw2(config-if)#int f0/45
Sw2(config-if)#switchport acess vlan 600
Sw2(config-if)#int f0/46
Sw2(config-if)#switchport acess vlan 600
(6)在命令行方式下输入Show Vlan命令,交换机返回的信息显示了当前交换机的VLAN个数、VLAN编号、VLAN名字、VLAN状态即每个VLAN所包含的端口号。
(7)删除VLAN
当一个VLAN的存在没有任何意义时,可以将它删除。删除VLAN的步骤为:
(1)利用Vlan database命令进入交换机的VLAN数据库维护模式。
(2)利用no vlan 112 命令将VLAN112从数据库中删除。在一个VLAN删除后,原来分配给这个VLAN的端口将处于非激活状态,它不会自动分配给其它的VLAN。
(3)使用exit推出VLAN数据库维护模式。
(4)使用show vlan命令在此查看交换机的VLAN配置。