【文章內(nèi)容簡(jiǎn)介】 數(shù) 據(jù) 包數(shù) 據(jù) 包B 回 復(fù) M A C路 由 表A S I CB A R P 包A 端 口 M A C二 層查 路 由 表查 交 換 機(jī)M A C 表 圖 三層交換原理 3. 通過(guò)設(shè)置單臂路由實(shí)現(xiàn) VLAN 間的通信 路由器與交換機(jī)之間是通過(guò)外部線(xiàn)路連接的 , 這個(gè)外部線(xiàn)路只有一條 , 但是它 12 在邏輯上是分開(kāi)的 , 需要路由的數(shù)據(jù)包會(huì)通過(guò)這個(gè)線(xiàn)路到達(dá)路由器 , 經(jīng)過(guò)路由后再通過(guò)此線(xiàn)路返回交換機(jī)進(jìn)行轉(zhuǎn)發(fā)。所以大家給這種拓?fù)浞绞狡鹆艘粋€(gè)形象的名字 ——單臂路由。采用單臂路由技術(shù)可以在使用路由器時(shí)，節(jié)約物理端口的使用，通常在路由器與交換機(jī)連接的一個(gè)物理端口上定義多個(gè)邏輯子端口，一個(gè)子端口連接一個(gè)VLAN。 圖 VLAN間的通信 這種基于單臂路由的 VLAN 通信模型不需要添加或更換路由器 , 交換機(jī)等網(wǎng)絡(luò)設(shè)備 。 基于原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) , 也不需要重新布線(xiàn)施工。但是 , 作為中繼鏈路的路由器端口往往成為限制 VALN 之間流量的主要瓶頸 , 單臂路由作為一種廉價(jià)的網(wǎng)絡(luò)升級(jí)方案只適用于通信質(zhì)量要求不高的情況 , 并不能完全取代路由器和三層交換機(jī)。 （五） VLAN 的劃分方式 VLAN 的劃分方式很重要， 在設(shè)計(jì)和建設(shè) VLAN， 實(shí)現(xiàn) VLAN 應(yīng)用時(shí)， 首先要決 13 定如何劃分 VLAN， 即依據(jù)什么標(biāo)準(zhǔn)來(lái)組織 VLAN 成員。下面介紹 5 種常見(jiàn)的劃分方式， 不同的劃分方式代表不同 的 VLAN 實(shí)現(xiàn)類(lèi)型。 VLAN 將交換機(jī)中的某些端口定義為一個(gè)單獨(dú)的區(qū)域， 從而形成一個(gè) VLAN。同一 VLAN 中的計(jì)算機(jī)屬于同一個(gè)網(wǎng)段， 不同 VLAN 之間進(jìn)行通信需要通過(guò)路由器?；诙丝诘?VLAN 的優(yōu)點(diǎn)是配置起來(lái)非常方便， 只要在交換機(jī)上進(jìn)行相關(guān)的設(shè)置就可以了，適用于網(wǎng)絡(luò)環(huán)境比較固定的情況。不足之處是不夠靈活， 當(dāng)一臺(tái)計(jì)算機(jī)需要從一個(gè)端口移動(dòng)到另一個(gè)新的端口， 而新端口與舊端口不屬于同一個(gè) VLAN 時(shí)， 要修改端口的 VLAN 設(shè)置， 或在用戶(hù)計(jì)算機(jī)上重新配置網(wǎng)絡(luò)地址， 這樣才能加入到新的 VLAN 中。否則， 這臺(tái)計(jì)算機(jī)將無(wú)法進(jìn)行網(wǎng)絡(luò)通信。 基于端口的劃分方式是最簡(jiǎn)單也是最常用的。采用這種方式， 將屬于不同交換機(jī)端口的物理網(wǎng)段分在一個(gè) VLAN 中， 通過(guò)網(wǎng)絡(luò)管理軟件， 根據(jù) VLAN__標(biāo)識(shí)符將不同的端口分到相應(yīng)的分組 ( VLAN )中。 例如， 一個(gè)交換機(jī)的 3 端口被定義為 VLAN 1， 同一交換機(jī)的 5 端口組成 VLAN 2， 如圖 所示。 圖 按端口劃分 VLAN示意圖 這樣劃分， 允許各端口之間的通信， 并允許共享型網(wǎng)絡(luò)的升級(jí)。遺憾的是，這種劃分模式將虛擬網(wǎng)限制在了一 臺(tái)交換機(jī)上。 14 第二代端口 VLAN 技術(shù)允許跨越多個(gè)交換機(jī)的多個(gè)不同端口劃分 VLAN， 不同交換機(jī)上的若干個(gè)端口可以組成同一個(gè) VLAN。分配到同一個(gè) VLAN 的各網(wǎng)段上的所有站點(diǎn)都在同一個(gè)廣播域中， 可以直接通信 。 不同 VLAN 地點(diǎn)間的通信則通過(guò)路由器或三層交換機(jī)。 按交換機(jī)端口來(lái)劃分 VLAN，迄今為止， 這仍然是最常用的一種方式， 但是這種方式不允許多個(gè) VLAN 共享一個(gè)物理網(wǎng)段或交換機(jī)端口。如果某一個(gè)用戶(hù)從一個(gè)端口所在的 VLAN 移動(dòng)到另一個(gè)端口所在的 VLAN， 網(wǎng)絡(luò)管理員需要重新進(jìn)行配置， 這對(duì)于擁有眾 多移動(dòng)用戶(hù)的網(wǎng)絡(luò)來(lái)說(shuō)是不可想象的。 MAC 地址劃分 VLAN 每塊網(wǎng)卡都有一個(gè)唯一的硬件物理地址， 這個(gè)地址就是 MAC 地址， 俗稱(chēng)為 網(wǎng)卡號(hào)。 MAC 地址是連接在網(wǎng)絡(luò)中的每個(gè)設(shè)備網(wǎng)卡的物理地址，由 IEEE 控制。全球找不到兩塊具有相同 MAC 地址的網(wǎng)卡。 MAC 地址屬于數(shù)據(jù)鏈路層，以此作為劃分 VLAN 的依據(jù)，能很好地獨(dú)立于網(wǎng)絡(luò)層上的各種應(yīng)用。用此種方式構(gòu)成的 VLAN 就是一些 MAC地址的集合， 它解決了網(wǎng)絡(luò)處理站點(diǎn)的移動(dòng)問(wèn)題。對(duì)于連接于交換機(jī)端口的工作站來(lái)說(shuō)， 在它們初始化時(shí)， 相應(yīng)的交換機(jī)要在 VLAN 的管理信息庫(kù)中檢查 MAC 地址， 從而動(dòng)態(tài)地匹配該端口到相應(yīng)的 VLAN 中。 按 MAC 地址劃分的 VLAN 允許網(wǎng)絡(luò)用戶(hù)從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置，并且自動(dòng)保留其所屬 VLAN 網(wǎng)段的成員身份。同時(shí)，這種方式獨(dú)立于網(wǎng)絡(luò)的高層協(xié)議(如 TCP / IP、 IP 和 IPX 等 )。 從某種意義上講， 利用 MAC 地址定義 VLAN 可以看成是一種基于用戶(hù)的網(wǎng)絡(luò)劃分手段。這種方法的一個(gè)缺點(diǎn)是所有的用戶(hù)必須被明確地分配給一個(gè) VLAN。在一個(gè)擁有大量節(jié)點(diǎn)的大型網(wǎng)絡(luò)中， 如果要求管理員將每個(gè)用戶(hù)都一一劃分到某一個(gè)VLAN， 實(shí)在是太困難了。 VLAN 可以基于網(wǎng)絡(luò)層來(lái)劃分 VLAN， 有 2 種方案， 一種按協(xié)議來(lái)劃分， 如圖 15 圖 按網(wǎng)絡(luò)協(xié)議劃分 VLAN 示意圖 另一種是按網(wǎng)絡(luò)層地址 (最常見(jiàn)的是 TCP / IP 中的子網(wǎng)段地址 )來(lái)劃分， 如圖 所示。 圖 按網(wǎng)絡(luò)層地址劃分 VLAN示意圖 建立 VLAN 也可使用與管理路由相同的策略。根據(jù) IP 子網(wǎng)、 IPX 網(wǎng)絡(luò)號(hào)及其他協(xié)議劃分 VLAN。同一協(xié)議的工作站劃分為一個(gè) VLAN， 交換機(jī)檢查廣播幀的以太幀標(biāo)題域， 查看其協(xié)議類(lèi) 型， 若已存在該協(xié)議的 VLAN， 則加入源端口， 否則， 創(chuàng)建一個(gè)新的 VLAN。這種方式構(gòu)成的 VLAN， 不但大大減少了人工配置 VLAN 的工作量， 同時(shí)保證了用戶(hù)自由地增加、移動(dòng)和修改。不同 VLAN 網(wǎng)段上的站點(diǎn)可屬于同一 VLAN， 在不同 VLAN 上的站點(diǎn)也可在同一物理網(wǎng)段上。 利用網(wǎng)絡(luò)層定義 VLAN 缺點(diǎn)也是有的。與利用 MAC 地址的形式相比， 基于網(wǎng)絡(luò)層的 VLAN 需要分析各種協(xié)議的地址格式并進(jìn)行相應(yīng)的轉(zhuǎn)換。因此，使用網(wǎng)絡(luò)層信息 16 來(lái)定義 VLAN 的交換機(jī)要比使用數(shù)據(jù)鏈路層信息的交換機(jī)在速度上處于劣勢(shì)。 IP 廣播組劃分 可將任何屬于同一 IP 廣播組的計(jì)算機(jī)劃分到同一 VLAN。當(dāng) IP 包廣播到網(wǎng)絡(luò)上時(shí) , 它將被傳送到一組 IP 地址的受托者那里。該組被明確定義了的廣播組是在網(wǎng)絡(luò)運(yùn)行中動(dòng)態(tài)生成的。任何一個(gè)工作站都有機(jī)會(huì)成為某一個(gè)廣播組的成員 , 只要它對(duì)該廣播組的廣播確認(rèn)信息給予肯定的回答。所有加入同一個(gè)廣播組的工作站被視為同一個(gè) VLAN 的成員 , 他們的這種成員身份可根據(jù)實(shí)際需求保留一定的時(shí)間。因此 , 利用IP 廣播域來(lái)劃分 VLAN 的方法給用戶(hù)帶來(lái)了巨大的靈活性和可延展性。在這種方式下 , 整個(gè)網(wǎng)絡(luò)可以方便地通 過(guò)路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。 VLAN 基于規(guī)則的 VLAN 也稱(chēng)為基于策略的 VLAN。這是最靈活的 VLAN 劃分方法 , 具有自動(dòng)配置的能力 , 能夠把相關(guān)的用戶(hù)連成一體 , 在邏輯劃分上稱(chēng)為 關(guān)系網(wǎng)絡(luò)。網(wǎng)絡(luò)管理員只需在網(wǎng)管軟件中確定劃分 VLAN 的規(guī)則 (或?qū)傩?) , 那么當(dāng)一個(gè)站點(diǎn)加入網(wǎng)絡(luò)中時(shí) , 將會(huì)被感知 , 并被自動(dòng)地包含進(jìn)正確的 VLAN 中。同時(shí) , 對(duì)站點(diǎn)的移動(dòng)和改變也可自動(dòng)識(shí)別和跟蹤。采用這種方式 , 整個(gè)網(wǎng)絡(luò)可以非常方便地通過(guò)路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。有的產(chǎn)品還支持一個(gè)端口上的主機(jī)分別屬于不同的 VLAN, 這在交換機(jī)與共享式 Hub 共存的環(huán)境中顯得尤為重要。自動(dòng)配置 VLAN 時(shí) , 交換機(jī)中軟件自動(dòng)檢查進(jìn)入交換機(jī)端口的廣播信息的 IP 源地址 , 然后軟件自動(dòng)將這個(gè)端口分配給一個(gè)由 IP子網(wǎng)映射成的 VLAN。 （六） VLAN 間通信 間通信介紹 局域網(wǎng)內(nèi)的通信，是通過(guò)數(shù)據(jù)幀頭中指定通信目標(biāo)的來(lái)完成的。而為了獲取 MAC地址，使用地址協(xié)議解析通過(guò)廣播報(bào)文的方法來(lái)實(shí)現(xiàn)獲取 MAC 地址的，如果廣播報(bào)文無(wú)法到達(dá)目的地，那么就無(wú)從解析 MAC 地址，亦即無(wú)法直接通信。當(dāng)計(jì)算機(jī)分屬不同的 VLAN 時(shí)，就意味著分屬不同的廣播域，自 然收不到彼此的廣播報(bào)文。因此，屬于不同 VLAN 的計(jì)算機(jī)之間無(wú)法直接互相通信。為了能夠在 VLAN 間通信，需要利用 OSI參照模型中更高一層 —— 網(wǎng)絡(luò)層來(lái)進(jìn)行路由。在目前的網(wǎng)絡(luò)互連設(shè)備中能完成的設(shè)備 17 主要有路由器和三層以上的交換機(jī)。 VLAN 間通信 使用路由器實(shí)現(xiàn) VLAN 間通信時(shí)，路由器與交換機(jī)的連接方式有兩種。第一種通過(guò)路由器的不同物理接口與交換機(jī)上的每個(gè) VLAN 分別連接。第二種通過(guò)路由器的邏輯子接口與交換機(jī)的各個(gè) VLAN 連接。 ① 通過(guò)路由器的不同物理接口與交換機(jī)上的每個(gè) VLAN 分別連接。 這種方式 的優(yōu)點(diǎn)是管理簡(jiǎn)單，缺點(diǎn)是網(wǎng)絡(luò)擴(kuò)展難度大。每增加一個(gè)新的 VLAN，都需要消耗路由器的端口和交換機(jī)上的訪(fǎng)問(wèn)鏈接，而且還需要重新布設(shè)一條網(wǎng)線(xiàn)。而路由器，通常不會(huì)帶有太多 LAN 接口的。新建 VLAN 時(shí)，為了對(duì)應(yīng)增加的 VLAN 所需的端口，就必須將成帶有多個(gè) LAN 接口的高端產(chǎn)品，這部分成本、還有重新布線(xiàn)所帶來(lái)的開(kāi)銷(xiāo)，都使得這種接線(xiàn)法成為一種不受歡迎的辦法。 ② 通過(guò)路由器的邏輯子接口與交換機(jī)的各個(gè) VLAN 連接。 這種連接方式要求路由器和交換機(jī)的端口都支持匯聚鏈接，且雙方用于匯聚鏈路的協(xié)議自然也必須相同。接著在路由器上定義對(duì)應(yīng) 各個(gè) VLAN 的邏輯子接口 和。由于這種方式是靠在一個(gè)物理端口上設(shè)置多個(gè)邏輯子接口的方式實(shí)現(xiàn)網(wǎng)絡(luò)擴(kuò)展，因此網(wǎng)絡(luò)擴(kuò)展比較容易且成本較低，只是對(duì)要復(fù)雜一些。 ③ 路由器實(shí)現(xiàn) VLAN 間通信的局限性 路由器實(shí)現(xiàn) VLAN 間通信的局限性是路由器的技術(shù)特性決定的，使其無(wú)法具有很高的信息吞吐量。對(duì)此分析如下：路由器在 OSI 七層網(wǎng)絡(luò)模型的第三層 —— 網(wǎng)絡(luò)層操作，其對(duì)于任何一個(gè)運(yùn)行的數(shù)據(jù)包均須進(jìn)行“拆包”和“打包”的操作，同時(shí)路由器還要完成數(shù)據(jù)包過(guò)濾和壓縮、協(xié)議轉(zhuǎn)換、計(jì)算路由、甚至防火墻等許多工作，這占用于大量的 CPU 資 源。且當(dāng)流經(jīng)路由器的流量超過(guò)其吞吐能力時(shí)，會(huì)引起路由器內(nèi)部擁塞，持續(xù)擁塞會(huì)使轉(zhuǎn)發(fā)的數(shù)據(jù)包延誤，甚至丟失。以上的原因限制了其吞吐量，且其價(jià)格昂貴，使其成為網(wǎng)絡(luò)瓶頸。因此，路由器存在：數(shù)據(jù)傳輸效率低；節(jié)點(diǎn)操作的復(fù)雜性無(wú)法降低；價(jià)格昂貴、結(jié)構(gòu)復(fù)雜等局限性。 VLAN 間通信 三層交換機(jī)實(shí)現(xiàn) VLAN 互相訪(fǎng)問(wèn)的原理是，利用三層交換機(jī)的路由功能，通過(guò)識(shí)別數(shù)據(jù)包的 IP 地址，查找路由表進(jìn)行轉(zhuǎn)發(fā)。三層交換機(jī)利用直連路可以實(shí)現(xiàn)不同的 18 VLAN 之間的訪(fǎng)問(wèn)。三層交換機(jī)給接口配置 IP 地址采用 SVI（交換虛擬接口 ）的方式實(shí)現(xiàn) VLAN 間互連。只需要為交換機(jī)中的 VLAN 創(chuàng)建虛擬接口，并且配置 IP 地址。然后開(kāi)啟三層交換機(jī)的 IP route 功能就可以容易的實(shí)現(xiàn) VLAN 間的通信。這種方面有效地解決了利用路由器來(lái)實(shí)現(xiàn) VLAN 間通信的一系列不足之處，而且配置和管理也十分的便捷。 目前市場(chǎng)上有許多三層以上的交換機(jī)，在這些交換機(jī)中，廠(chǎng)家通過(guò)硬件或軟件的方式將路由功能集成到交換機(jī)中，交換機(jī)主要用于園區(qū)網(wǎng)中，園區(qū)網(wǎng)中的路由比較簡(jiǎn)單，但要求數(shù)據(jù)交換的速度較快，因此在大型園區(qū)網(wǎng)中用交換機(jī)代替路由器已是不爭(zhēng)的事實(shí)。用交換機(jī)代替路由器實(shí)現(xiàn) VLAN 間通信的方式也有兩種，其一，就是啟用交換機(jī)的路由功能，這種方式的實(shí)現(xiàn)方法可采用以上介紹的路由器方式的任一種。其二，是利用多層交換機(jī)所支持的 VLAN 功能來(lái)實(shí)現(xiàn) VLAN 間的通信。 三、 VLAN 技術(shù)在校園網(wǎng)中的設(shè)計(jì) 目前校園網(wǎng)正處于一種高速發(fā)展之中 ,在校園網(wǎng)絡(luò)中實(shí)施 VLAN 技術(shù)，可以提高網(wǎng)絡(luò)管理效率、性能、帶寬及靈活性 , 同時(shí)還能控制廣播風(fēng)暴 , 提高校園網(wǎng)安全性能。本章結(jié)合高校校園網(wǎng)的特點(diǎn)，從 IP 規(guī)劃、網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、協(xié)議選擇、網(wǎng)絡(luò)設(shè)備配置等方面對(duì)校園網(wǎng)進(jìn)行了規(guī)劃和設(shè)計(jì)。 （一） 網(wǎng)絡(luò)設(shè)備的選擇 本次設(shè)計(jì)采 用 cisco2960、 3560 交換機(jī)和 2811 路由器。 在出口的路由器選用 Cisco Catalyst 2811，它是一款高端企業(yè)級(jí)路由器擁有強(qiáng)悍的性能，能很好的為網(wǎng)絡(luò)提供可靠的服務(wù)，并提供了安全、可擴(kuò)展的網(wǎng)絡(luò)連接，容納了多種流量類(lèi)型，如 VPN、動(dòng)態(tài)多點(diǎn) VPN (DMVPN)等，以及安全話(huà)音，滿(mǎn)足用戶(hù)的使用需求。 本次設(shè)計(jì)的網(wǎng)絡(luò)核心層主要應(yīng)用 Cisco Catalyst 3560 系列的交換機(jī)，它是三層交換機(jī)， Cisco Catalyst 3560 系列交換機(jī)是一個(gè)固定配置、企業(yè)級(jí)、 IEEE 和思科預(yù)標(biāo)準(zhǔn)以太網(wǎng)供電 (PoE)交換機(jī)系列，性能完全能滿(mǎn)足校園網(wǎng)核心層的工作需要。 19 在匯聚層和接入層主要用 Cisco Catalyst 2960 系列智能以太網(wǎng)交換機(jī)，它是一個(gè)全新、獨(dú)立的固定配置設(shè)備系列，主要為小型企業(yè)和網(wǎng)絡(luò)分支而生產(chǎn)的，它也能提供很好的服務(wù)，能進(jìn)行桌面 10/100 快速以太網(wǎng)和 10/100/1000 千兆以太網(wǎng)連接，有助于實(shí)現(xiàn)增強(qiáng) LAN 服務(wù)。 （二） 校園網(wǎng)絡(luò)的設(shè)計(jì) 由于本次設(shè)計(jì) VLAN 主要在局域網(wǎng)中，為便于進(jìn)行實(shí)驗(yàn)且網(wǎng)絡(luò)的規(guī)模要適中，所以選擇了規(guī)模適中的校園網(wǎng)作為基礎(chǔ)，在這個(gè)網(wǎng)絡(luò)中大量采用 cisco 交換機(jī)作為二層交換設(shè)備，由于在網(wǎng)絡(luò)中大量使用交換設(shè)備會(huì)出現(xiàn)廣播風(fēng)暴以及存在的數(shù)據(jù)安全性問(wèn)題，所以要進(jìn)行合適的 VLAN 劃分，減少網(wǎng)絡(luò)流量的擁堵次數(shù)和數(shù)據(jù)泄漏的問(wèn)題，保障網(wǎng)絡(luò)的正常運(yùn)行，保護(hù)數(shù)