在采用交换技术的网络模式中,一般采用划分物理网段的手段进行网络结构的划分。从效率和安全性等方面来看.这种结构划分有一定缺陷,而且在很大程度上限制了网络的灵活性。因为假如要将一个广播域分开,必须另外购买交换机,并且需要重新进行人工布线。虚拟局域网(Virtual Local Area Network,VLAN)技术的出现解决了上述问题。实际上,VLAN就是一个广播域,它不受地理位置的限制,可以跨多个局域网交换机。一个VLAN可以根据部门职能、对象组或者应用来将不同地理位置的网络用户划分为一个逻辑网段。对于局域网交换机,其每一个端口若只能标记一个VLAN,一个VLAN中的所有端口拥有一个广播域,而处于不同VLAN的端口则共享不同的广播域,这样就避免了广播风暴的产生。可以说,在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。
1案例应用
通常,一个规模较大的企业,其下属一般拥有多个二级单位,为保证对不同职能部门治理的方便性和安全性以及整体网络运行的稳定性,可以采用VLAN划分技术,进行虚拟网络划分。下面,我们通过对一个实际案例的分析,让大家了解和把握应用VLAN技术的真谛。
1. 1网络状况
某大型起重设备总公司下属有两个二级单位,主要进行研发、服务与销售等工作。由于地理位置相对较远,业务规模尚未发展壮大,在企业成立之初,公司总部、二级单位1和二级单位2分别建立了独立的网络环境,各网络系统均采用以交换技术为主的方式,3网主干均采用千兆以太网技术。公司总部中心交换机采用了Cisco Catalyst 6506产品,它是带有三层路由的引擎,可使企业网具有很强的升级能力。各二级单位的中心交换机采用了Cisco Catalyst 4006。其他二级和三级交换机采用了Cisco Catalyst 3500系列交换机,主要因为Catalyst 3500系列交换机具有很高的性能和可堆叠能力。
图1网络拓扑图
1. 2需求分析
由于业务发展迅猛,总公司与两个二级单位迫切需要畅通无阻的信息交流,从而让公司总部能对两个下属单位进行更直接和更有效的治理,进而达到三方信息共享的目的,所以将彼此相互独立的3个子网联成一个统一网络势在必行。
图1所示的是起重设备总公司3个子网互连形成统一网络的示意图,3个子网是采用干兆以太网技术进行互连的。为了避免在主干引发瓶颈问题,各子网在互连时采用了Trunk技术(即双千兆技术〕,使网络带宽达到4G8,这样,既增加了带宽,又提供了链路的冗余,还提高了整体网络高速、稳定和安全的运行性能。
然而,由于网络规模不断扩大,信息流量逐渐加大,人员治理变得日益复杂,给企业网的安全、稳定和高效运行带来新的隐患,如何消除这些隐患呢?VLAN划分技术能为此排优解难。
根据起重设备总公司业务发展需要,我们将联网后的统一网络划分为5个虚拟子网,分别是:经理办子网、财务子网、供销子网和信息中心子网,其余部分划为一个子网。
由于统一网络的IP地址处于192. 168. 0.0网段,所以我们可以将各VLAN的IP地址分配如下。
1. 3 IP划分
经理办子网:192. 168. 1. 0 ~ 192. 168. 2. 0/22网关:192. 168. 1. 1
财务子网:192. 168. 3. 0 ~ 192. 168. 5. 0/22网关:192. 168. 3. 1
供销子网:192. 168. 6. 0 ~ 192. 168. 8. 0/22网关:192. 168. 6. 1
信息中心子网:192. 168. 7. 0/24网关:192. 168. 7. 1
服务器子网:192. 168. 100. 0/24网关:192. 168. 100. 1
其余子网:192. 168. 8. 0 ~ 192. 168. 9. 0/22网关:192. 168. 8. 1
1.4具体设计
在划分VLAN时,Cisco的产品主要基于两种标准协议:ISI,和802. 1q。ISL是Cisco自己研发设计的通用于所有Cisco网络产品的VLAN间互联封装协议,该协议针对Cisco网络设备的硬件平台在信息流处理和多媒体应用方面进行了合理有效的优化。802. 1q协议是IEEE802委员会于1996年发布的国际规范标准。
在此案例中,因为所采用的均是Cisc。网络设备,故在进行VLAN间互连时采用了ISL协议(对于不同网络设备的互连,本文在结尾处有相应介绍)。
从图1我们可以看到,总公司中心交换机采用了Cisco Catalyst 6506,其二级节点为Catalyst 3508和Catalyst 3548,Catalyst 3508交换机具有8个千兆以太网端口,并且利用Catalyst 350。系列交换机的堆叠能力,可以随时扩充工作站数量。边缘交换机则采用具有千兆模块的Catalyst 3548。二级单位的中心交换机则采用了Cisco Catalyst 4006,其二级节点和边缘交换机采用的也是Catalyst 3548。公司总部与各二级附属单位的连接采用了ISL封装的Trunk方式,用两组光纤连接(在Catalyst 6506与Catalyst 4006之Ia] ).这样既解决了VLAN间的互连间题,同时又提高了网络带宽和系统的冗余,为3个子网互连提供了可靠保障。对于到Internet的连接,接口为2MB DDN专线接入,各二级单位通过公司总部的Proxy接入Internet。Internet的治理由公司总部信息中心统一规划。
需要说明的是,由于本案例中关于VLAN的划分覆盖了各个交换机,所以交换机之间的连接都必须采用Trunk方式。鉴于经理办和供销子网代表了VLAN划分中的2个问题:扩展交换机VLAN的划分和端口VLAN的划分,所以我们再将经理办子网和供销子网对VLAN作一具体介绍。
经理办VLAN
由于经理办工作站所在局域网交换机划分了多个VLAN,连接了多个VLAN工作站,所以该交换机与其上层交换机之间的连接必须采用Trunk方式〔如图2所示)。
图2经理办拓扑
公司总部采用了Catalyst 3508和Catalyst6506,二级单位1采用TCatalyst 3548和Catalyst4006,二级单位2采用TCatalyst 3548和Catalyst40060
供销VLAN
虽然当一个交换机覆盖了多个VLAN时,必须采用Trunk方式连接,但在供销VLAN划分中,其二级单位1中的供销独立于交换机Catalyst 3548,所以在这里, Catalyst 3548与二级中心交换机Catalyst 4006只需采用正常的交换式连接即可(如图3所示)。对于此部分供销VLAN的划分,只要在Catalyst 4006上针对与Catalyst 3548连接的端C1进行划分即可。这是一种基于端口的VLAN划分。
由于两个Catalyst 4006与主中心交换机Catalyst6506间采用的是双光纤通道式连接,屏蔽了Cata卫yst4006与Catalyst 6506间线路故障的产生,所以对整体网络的路由进行基于Catalyst 6506的集中式治理。下面我们对VLAN之间的路由作一个介绍。
图3供销拓扑
在中心交换机Catalyst 6506上设置VLAN路由如下。
经理办VLAN:192. 168. 1. 1/22
财务VLAN: 192. 168. 3. 1/22
供销VLAN:192. 168. 6. 1/22
信息中心VLAN ;192. 168. 7. 1/24
其余VLAN: 192. 168. 8. 1/22
在中心交换机上设置路由协议RIP或OSPF,并指定网段192. 168. 0. 0。在全局配置模式下执行如下命令。
router rip network 192. 168. 0. 0
由于IP地址处于192. 168. 0. 0网段,所以对各VLAN的IP地址分配如下所示。
经理办子网:192. 168. 1. 0,子网掩码:255. 255. 255. 0,网关:192. 168. 1. 1。
财务子网:192. 168. 2. 0,子网掩码:255. 255. 255. 0,网关:192. 168. 2. 1。
供销子网:192. 168. 3. 0,子网掩码为255. 255. 255. 0,网关:192. 168. 3. 1。
信息中心子网:192. 168. 4. 0,子网掩码:255. 255. 255. 0,网关:192. 168. 4. 1。
服务器子网:192. 168. 100. 0,子网掩码:255. 255. 255. 0,网关:192. 168. 100. 1。
其余子网:192. 168. 8. 0、子网掩码为255. 255. 255. 0,网关:192. 168.8. 1。
根据上述IP地址分配情况,不难看出各子网的网络终端数均可达到254台,完全满足目前或将来的应用需要,同时还降低了治理工作量,增强了治理力度。
1.5注重事项
需要注意的是:因为起重设备总公司统一网络系统的VLAN划分是作为一个整体结构来设计的,所以为了保持与VLAN列表的一致性,需要Catalyst 4006对整体网络的其他部分进行广播。所以在设置VTP(VLAN Trunk Protocol)时注重,要将VTP的域作为一个整体,其中VTP类型为Server和Client。
2 小结
企业网中通过VLAN的应用我们很好地解决了由于网络发展、应用猛增所带来的网络规模增大、共享性网络属于一个冲突域,网络广播大、甚至轻易出现的广播风暴等问题,为企业节约了巨大成本,同时也提高了企业网络系统的可靠性和安全性。
CIO之家 www.ciozj.com 公众号:imciow