【文章內(nèi)容簡介】 數(shù) 據(jù) 包數(shù) 據(jù) 包B 回 復(fù) M A C路 由 表A S I CB A R P 包A 端 口 M A C二 層查 路 由 表查 交 換 機M A C 表 圖 三層交換原理 3. 通過設(shè)置單臂路由實現(xiàn) VLAN 間的通信 路由器與交換機之間是通過外部線路連接的 , 這個外部線路只有一條 , 但是它 12 在邏輯上是分開的 , 需要路由的數(shù)據(jù)包會通過這個線路到達路由器 , 經(jīng)過路由后再通過此線路返回交換機進行轉(zhuǎn)發(fā)。所以大家給這種拓撲方式起了一個形象的名字 ——單臂路由。采用單臂路由技術(shù)可以在使用路由器時，節(jié)約物理端口的使用，通常在路由器與交換機連接的一個物理端口上定義多個邏輯子端口，一個子端口連接一個VLAN。 圖 VLAN間的通信 這種基于單臂路由的 VLAN 通信模型不需要添加或更換路由器 , 交換機等網(wǎng)絡(luò)設(shè)備 。 基于原有網(wǎng)絡(luò)拓撲結(jié)構(gòu) , 也不需要重新布線施工。但是 , 作為中繼鏈路的路由器端口往往成為限制 VALN 之間流量的主要瓶頸 , 單臂路由作為一種廉價的網(wǎng)絡(luò)升級方案只適用于通信質(zhì)量要求不高的情況 , 并不能完全取代路由器和三層交換機。 （五） VLAN 的劃分方式 VLAN 的劃分方式很重要， 在設(shè)計和建設(shè) VLAN， 實現(xiàn) VLAN 應(yīng)用時， 首先要決 13 定如何劃分 VLAN， 即依據(jù)什么標(biāo)準(zhǔn)來組織 VLAN 成員。下面介紹 5 種常見的劃分方式， 不同的劃分方式代表不同 的 VLAN 實現(xiàn)類型。 VLAN 將交換機中的某些端口定義為一個單獨的區(qū)域， 從而形成一個 VLAN。同一 VLAN 中的計算機屬于同一個網(wǎng)段， 不同 VLAN 之間進行通信需要通過路由器?；诙丝诘?VLAN 的優(yōu)點是配置起來非常方便， 只要在交換機上進行相關(guān)的設(shè)置就可以了，適用于網(wǎng)絡(luò)環(huán)境比較固定的情況。不足之處是不夠靈活， 當(dāng)一臺計算機需要從一個端口移動到另一個新的端口， 而新端口與舊端口不屬于同一個 VLAN 時， 要修改端口的 VLAN 設(shè)置， 或在用戶計算機上重新配置網(wǎng)絡(luò)地址， 這樣才能加入到新的 VLAN 中。否則， 這臺計算機將無法進行網(wǎng)絡(luò)通信。 基于端口的劃分方式是最簡單也是最常用的。采用這種方式， 將屬于不同交換機端口的物理網(wǎng)段分在一個 VLAN 中， 通過網(wǎng)絡(luò)管理軟件， 根據(jù) VLAN__標(biāo)識符將不同的端口分到相應(yīng)的分組 ( VLAN )中。 例如， 一個交換機的 3 端口被定義為 VLAN 1， 同一交換機的 5 端口組成 VLAN 2， 如圖 所示。 圖 按端口劃分 VLAN示意圖 這樣劃分， 允許各端口之間的通信， 并允許共享型網(wǎng)絡(luò)的升級。遺憾的是，這種劃分模式將虛擬網(wǎng)限制在了一 臺交換機上。 14 第二代端口 VLAN 技術(shù)允許跨越多個交換機的多個不同端口劃分 VLAN， 不同交換機上的若干個端口可以組成同一個 VLAN。分配到同一個 VLAN 的各網(wǎng)段上的所有站點都在同一個廣播域中， 可以直接通信 。 不同 VLAN 地點間的通信則通過路由器或三層交換機。 按交換機端口來劃分 VLAN，迄今為止， 這仍然是最常用的一種方式， 但是這種方式不允許多個 VLAN 共享一個物理網(wǎng)段或交換機端口。如果某一個用戶從一個端口所在的 VLAN 移動到另一個端口所在的 VLAN， 網(wǎng)絡(luò)管理員需要重新進行配置， 這對于擁有眾 多移動用戶的網(wǎng)絡(luò)來說是不可想象的。 MAC 地址劃分 VLAN 每塊網(wǎng)卡都有一個唯一的硬件物理地址， 這個地址就是 MAC 地址， 俗稱為 網(wǎng)卡號。 MAC 地址是連接在網(wǎng)絡(luò)中的每個設(shè)備網(wǎng)卡的物理地址，由 IEEE 控制。全球找不到兩塊具有相同 MAC 地址的網(wǎng)卡。 MAC 地址屬于數(shù)據(jù)鏈路層，以此作為劃分 VLAN 的依據(jù)，能很好地獨立于網(wǎng)絡(luò)層上的各種應(yīng)用。用此種方式構(gòu)成的 VLAN 就是一些 MAC地址的集合， 它解決了網(wǎng)絡(luò)處理站點的移動問題。對于連接于交換機端口的工作站來說， 在它們初始化時， 相應(yīng)的交換機要在 VLAN 的管理信息庫中檢查 MAC 地址， 從而動態(tài)地匹配該端口到相應(yīng)的 VLAN 中。 按 MAC 地址劃分的 VLAN 允許網(wǎng)絡(luò)用戶從一個物理位置移動到另一個物理位置，并且自動保留其所屬 VLAN 網(wǎng)段的成員身份。同時，這種方式獨立于網(wǎng)絡(luò)的高層協(xié)議(如 TCP / IP、 IP 和 IPX 等 )。 從某種意義上講， 利用 MAC 地址定義 VLAN 可以看成是一種基于用戶的網(wǎng)絡(luò)劃分手段。這種方法的一個缺點是所有的用戶必須被明確地分配給一個 VLAN。在一個擁有大量節(jié)點的大型網(wǎng)絡(luò)中， 如果要求管理員將每個用戶都一一劃分到某一個VLAN， 實在是太困難了。 VLAN 可以基于網(wǎng)絡(luò)層來劃分 VLAN， 有 2 種方案， 一種按協(xié)議來劃分， 如圖 15 圖 按網(wǎng)絡(luò)協(xié)議劃分 VLAN 示意圖 另一種是按網(wǎng)絡(luò)層地址 (最常見的是 TCP / IP 中的子網(wǎng)段地址 )來劃分， 如圖 所示。 圖 按網(wǎng)絡(luò)層地址劃分 VLAN示意圖 建立 VLAN 也可使用與管理路由相同的策略。根據(jù) IP 子網(wǎng)、 IPX 網(wǎng)絡(luò)號及其他協(xié)議劃分 VLAN。同一協(xié)議的工作站劃分為一個 VLAN， 交換機檢查廣播幀的以太幀標(biāo)題域， 查看其協(xié)議類 型， 若已存在該協(xié)議的 VLAN， 則加入源端口， 否則， 創(chuàng)建一個新的 VLAN。這種方式構(gòu)成的 VLAN， 不但大大減少了人工配置 VLAN 的工作量， 同時保證了用戶自由地增加、移動和修改。不同 VLAN 網(wǎng)段上的站點可屬于同一 VLAN， 在不同 VLAN 上的站點也可在同一物理網(wǎng)段上。 利用網(wǎng)絡(luò)層定義 VLAN 缺點也是有的。與利用 MAC 地址的形式相比， 基于網(wǎng)絡(luò)層的 VLAN 需要分析各種協(xié)議的地址格式并進行相應(yīng)的轉(zhuǎn)換。因此，使用網(wǎng)絡(luò)層信息 16 來定義 VLAN 的交換機要比使用數(shù)據(jù)鏈路層信息的交換機在速度上處于劣勢。 IP 廣播組劃分 可將任何屬于同一 IP 廣播組的計算機劃分到同一 VLAN。當(dāng) IP 包廣播到網(wǎng)絡(luò)上時 , 它將被傳送到一組 IP 地址的受托者那里。該組被明確定義了的廣播組是在網(wǎng)絡(luò)運行中動態(tài)生成的。任何一個工作站都有機會成為某一個廣播組的成員 , 只要它對該廣播組的廣播確認信息給予肯定的回答。所有加入同一個廣播組的工作站被視為同一個 VLAN 的成員 , 他們的這種成員身份可根據(jù)實際需求保留一定的時間。因此 , 利用IP 廣播域來劃分 VLAN 的方法給用戶帶來了巨大的靈活性和可延展性。在這種方式下 , 整個網(wǎng)絡(luò)可以方便地通 過路由器擴展網(wǎng)絡(luò)規(guī)模。 VLAN 基于規(guī)則的 VLAN 也稱為基于策略的 VLAN。這是最靈活的 VLAN 劃分方法 , 具有自動配置的能力 , 能夠把相關(guān)的用戶連成一體 , 在邏輯劃分上稱為 關(guān)系網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員只需在網(wǎng)管軟件中確定劃分 VLAN 的規(guī)則 (或?qū)傩?) , 那么當(dāng)一個站點加入網(wǎng)絡(luò)中時 , 將會被感知 , 并被自動地包含進正確的 VLAN 中。同時 , 對站點的移動和改變也可自動識別和跟蹤。采用這種方式 , 整個網(wǎng)絡(luò)可以非常方便地通過路由器擴展網(wǎng)絡(luò)規(guī)模。有的產(chǎn)品還支持一個端口上的主機分別屬于不同的 VLAN, 這在交換機與共享式 Hub 共存的環(huán)境中顯得尤為重要。自動配置 VLAN 時 , 交換機中軟件自動檢查進入交換機端口的廣播信息的 IP 源地址 , 然后軟件自動將這個端口分配給一個由 IP子網(wǎng)映射成的 VLAN。 （六） VLAN 間通信 間通信介紹 局域網(wǎng)內(nèi)的通信，是通過數(shù)據(jù)幀頭中指定通信目標(biāo)的來完成的。而為了獲取 MAC地址，使用地址協(xié)議解析通過廣播報文的方法來實現(xiàn)獲取 MAC 地址的，如果廣播報文無法到達目的地，那么就無從解析 MAC 地址，亦即無法直接通信。當(dāng)計算機分屬不同的 VLAN 時，就意味著分屬不同的廣播域，自 然收不到彼此的廣播報文。因此，屬于不同 VLAN 的計算機之間無法直接互相通信。為了能夠在 VLAN 間通信，需要利用 OSI參照模型中更高一層 —— 網(wǎng)絡(luò)層來進行路由。在目前的網(wǎng)絡(luò)互連設(shè)備中能完成的設(shè)備 17 主要有路由器和三層以上的交換機。 VLAN 間通信 使用路由器實現(xiàn) VLAN 間通信時，路由器與交換機的連接方式有兩種。第一種通過路由器的不同物理接口與交換機上的每個 VLAN 分別連接。第二種通過路由器的邏輯子接口與交換機的各個 VLAN 連接。 ① 通過路由器的不同物理接口與交換機上的每個 VLAN 分別連接。 這種方式 的優(yōu)點是管理簡單，缺點是網(wǎng)絡(luò)擴展難度大。每增加一個新的 VLAN，都需要消耗路由器的端口和交換機上的訪問鏈接，而且還需要重新布設(shè)一條網(wǎng)線。而路由器，通常不會帶有太多 LAN 接口的。新建 VLAN 時，為了對應(yīng)增加的 VLAN 所需的端口，就必須將成帶有多個 LAN 接口的高端產(chǎn)品，這部分成本、還有重新布線所帶來的開銷，都使得這種接線法成為一種不受歡迎的辦法。 ② 通過路由器的邏輯子接口與交換機的各個 VLAN 連接。 這種連接方式要求路由器和交換機的端口都支持匯聚鏈接，且雙方用于匯聚鏈路的協(xié)議自然也必須相同。接著在路由器上定義對應(yīng) 各個 VLAN 的邏輯子接口 和。由于這種方式是靠在一個物理端口上設(shè)置多個邏輯子接口的方式實現(xiàn)網(wǎng)絡(luò)擴展，因此網(wǎng)絡(luò)擴展比較容易且成本較低，只是對要復(fù)雜一些。 ③ 路由器實現(xiàn) VLAN 間通信的局限性 路由器實現(xiàn) VLAN 間通信的局限性是路由器的技術(shù)特性決定的，使其無法具有很高的信息吞吐量。對此分析如下：路由器在 OSI 七層網(wǎng)絡(luò)模型的第三層 —— 網(wǎng)絡(luò)層操作，其對于任何一個運行的數(shù)據(jù)包均須進行“拆包”和“打包”的操作，同時路由器還要完成數(shù)據(jù)包過濾和壓縮、協(xié)議轉(zhuǎn)換、計算路由、甚至防火墻等許多工作，這占用于大量的 CPU 資 源。且當(dāng)流經(jīng)路由器的流量超過其吞吐能力時，會引起路由器內(nèi)部擁塞，持續(xù)擁塞會使轉(zhuǎn)發(fā)的數(shù)據(jù)包延誤，甚至丟失。以上的原因限制了其吞吐量，且其價格昂貴，使其成為網(wǎng)絡(luò)瓶頸。因此，路由器存在：數(shù)據(jù)傳輸效率低；節(jié)點操作的復(fù)雜性無法降低；價格昂貴、結(jié)構(gòu)復(fù)雜等局限性。 VLAN 間通信 三層交換機實現(xiàn) VLAN 互相訪問的原理是，利用三層交換機的路由功能，通過識別數(shù)據(jù)包的 IP 地址，查找路由表進行轉(zhuǎn)發(fā)。三層交換機利用直連路可以實現(xiàn)不同的 18 VLAN 之間的訪問。三層交換機給接口配置 IP 地址采用 SVI（交換虛擬接口 ）的方式實現(xiàn) VLAN 間互連。只需要為交換機中的 VLAN 創(chuàng)建虛擬接口，并且配置 IP 地址。然后開啟三層交換機的 IP route 功能就可以容易的實現(xiàn) VLAN 間的通信。這種方面有效地解決了利用路由器來實現(xiàn) VLAN 間通信的一系列不足之處，而且配置和管理也十分的便捷。 目前市場上有許多三層以上的交換機，在這些交換機中，廠家通過硬件或軟件的方式將路由功能集成到交換機中，交換機主要用于園區(qū)網(wǎng)中，園區(qū)網(wǎng)中的路由比較簡單，但要求數(shù)據(jù)交換的速度較快，因此在大型園區(qū)網(wǎng)中用交換機代替路由器已是不爭的事實。用交換機代替路由器實現(xiàn) VLAN 間通信的方式也有兩種，其一，就是啟用交換機的路由功能，這種方式的實現(xiàn)方法可采用以上介紹的路由器方式的任一種。其二，是利用多層交換機所支持的 VLAN 功能來實現(xiàn) VLAN 間的通信。 三、 VLAN 技術(shù)在校園網(wǎng)中的設(shè)計 目前校園網(wǎng)正處于一種高速發(fā)展之中 ,在校園網(wǎng)絡(luò)中實施 VLAN 技術(shù)，可以提高網(wǎng)絡(luò)管理效率、性能、帶寬及靈活性 , 同時還能控制廣播風(fēng)暴 , 提高校園網(wǎng)安全性能。本章結(jié)合高校校園網(wǎng)的特點，從 IP 規(guī)劃、網(wǎng)絡(luò)架構(gòu)設(shè)計、協(xié)議選擇、網(wǎng)絡(luò)設(shè)備配置等方面對校園網(wǎng)進行了規(guī)劃和設(shè)計。 （一） 網(wǎng)絡(luò)設(shè)備的選擇 本次設(shè)計采 用 cisco2960、 3560 交換機和 2811 路由器。 在出口的路由器選用 Cisco Catalyst 2811，它是一款高端企業(yè)級路由器擁有強悍的性能，能很好的為網(wǎng)絡(luò)提供可靠的服務(wù)，并提供了安全、可擴展的網(wǎng)絡(luò)連接，容納了多種流量類型，如 VPN、動態(tài)多點 VPN (DMVPN)等，以及安全話音，滿足用戶的使用需求。 本次設(shè)計的網(wǎng)絡(luò)核心層主要應(yīng)用 Cisco Catalyst 3560 系列的交換機，它是三層交換機， Cisco Catalyst 3560 系列交換機是一個固定配置、企業(yè)級、 IEEE 和思科預(yù)標(biāo)準(zhǔn)以太網(wǎng)供電 (PoE)交換機系列，性能完全能滿足校園網(wǎng)核心層的工作需要。 19 在匯聚層和接入層主要用 Cisco Catalyst 2960 系列智能以太網(wǎng)交換機，它是一個全新、獨立的固定配置設(shè)備系列，主要為小型企業(yè)和網(wǎng)絡(luò)分支而生產(chǎn)的，它也能提供很好的服務(wù)，能進行桌面 10/100 快速以太網(wǎng)和 10/100/1000 千兆以太網(wǎng)連接，有助于實現(xiàn)增強 LAN 服務(wù)。 （二） 校園網(wǎng)絡(luò)的設(shè)計 由于本次設(shè)計 VLAN 主要在局域網(wǎng)中，為便于進行實驗且網(wǎng)絡(luò)的規(guī)模要適中，所以選擇了規(guī)模適中的校園網(wǎng)作為基礎(chǔ)，在這個網(wǎng)絡(luò)中大量采用 cisco 交換機作為二層交換設(shè)備，由于在網(wǎng)絡(luò)中大量使用交換設(shè)備會出現(xiàn)廣播風(fēng)暴以及存在的數(shù)據(jù)安全性問題，所以要進行合適的 VLAN 劃分，減少網(wǎng)絡(luò)流量的擁堵次數(shù)和數(shù)據(jù)泄漏的問題，保障網(wǎng)絡(luò)的正常運行，保護數(shù)