下载文档原格式
校园网中VLAN划分与配置校园网中VLAN划分与配置校园网中VLAN划分与配置校园网中vlan划分与配置摘要:随着校园网的不断发展,规模在不断扩大,用户在不断增加,网络应用也在不断增长,网络变得越来越拥挤,冲突不断产生,管理难度日益加大。
学校内部对于灵活、动态地组建lan网段的要求也越来越多,客观上要求lan本身的结构可以实现动态组建、调整和管理。
为了有效地提高网络管理的灵活性,提高网络效率和网络安全性,充分合理地进行vlan划分,是必需的。
本文通过对校园网进行vlan规划,详细的介绍了vlan的相关知识。
在校园网中使用的是华为quidays8016、quidays3026和港湾%26micro;hammer24e交换机配置vlan。
在校园网中进行合理vlan划分,可通过解决端口隔离充分防止冲突的产生,并且可以简化校园网的管理及提高网络的安全性。
关键词: ip vlan 冲突规划三层交换技术vlanisdividedanddisposedincampusnetorksummary:iththeconstantdevelopmentofcampusnetork,thescaleise pandingconstantly,usersareincreasingconstantly,netorkapplic ationisincreasingconstantlytoo,thenetorkbeesmoreandmorecrod ed,theconflictisbeingproducedconstantly,thedifficultyinmana gementisstrengtheneddaybyday。
tosettingupdemandofsectionoflannetorkmoreandmoretoofleiblya nddynamicallyinsidetheschool,requirethestructureoflanitself torealizethatsetup,adjustandmanagedynamicallyobjectively。
局域网组建方法虚拟局域网(VLAN)的配置与管理局域网(Local Area Network,LAN)是在一个有限地理区域内,以太网或其他数据通信技术相互连接的计算机网络。
在大型企业或组织中,将整个局域网划分为多个虚拟局域网(Virtual LAN,VLAN)能够提高网络性能、增强网络安全性和简化网络管理。
本文将介绍虚拟局域网的组建方法以及配置与管理。
虚拟局域网的组建方法1. 基于物理端口的划分根据物理设备的端口进行划分,将不同的端口划分到不同的虚拟局域网中。
可以通过交换机或路由器的管理界面进行配置,将特定端口绑定到指定的VLAN上。
这种方式简单易行,但灵活性较差,需要动态调整网络结构时会带来一定困难。
2. 基于MAC地址的划分根据设备的MAC地址进行划分,将同一虚拟局域网中的设备根据其MAC地址进行分类。
在交换机或路由器上,可以配置MAC地址和虚拟局域网的对应关系,使同一VLAN中的设备可以相互通信。
这种方法具有较高的灵活性,但需要维护一张MAC地址映射表,增加了管理的复杂度。
3. 基于协议的划分根据不同的网络协议将设备进行划分,使相同协议的设备可以在同一虚拟局域网中进行通信。
这种方法适用于具有不同网络需求的设备,例如语音通信、视频传输等。
在交换机或路由器上,可以配置协议和虚拟局域网的对应关系,实现协议划分。
虚拟局域网的配置与管理1. VLAN的管理软件使用VLAN的配置与管理软件可以简化管理操作。
这些软件通常提供图形用户界面(GUI),通过可视化操作帮助管理员完成VLAN的配置、划分和端口管理等任务。
常见的VLAN管理软件有Cisco Prime LAN Management Solution和HP Intelligent Management Center等。
2. VLAN的划分与配置在VLAN的划分与配置中,管理员需要根据网络需求和设备之间的联系,设计合理的虚拟局域网划分方案。
首先,确定划分的依据(物理端口、MAC地址或协议);然后,配置交换机或路由器上的VLAN并将端口或设备与相应的VLAN绑定;最后,进行VLAN的测试与调试,确保各设备之间的通信正常。
第3章园区网VLAN规划与部署3.1、VLAN简介3.1.1、VLAN产生的原因在上图这样一个2层的网络中,主机A为了和主机B通讯,必须先广播一个ARP请求,以获取主机B的MAC地址;这时主机A上联的那台交换机收到ARP广播后,会将它转发给除接收端口外的其他所有端口,也就是Flooding泛洪了;接着,其它的收到这个广播帧的交换机也会作同样的处理,最终ARP请求会被转发到同一网络中的所有主机上;此时如果这个2层网络中的其它主机也要和别的主机进行通讯的话,必然会产生大量的广播风暴,如此一来,一方面广播信息消耗了网络整体的带宽,另一方面,收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理,这就无谓消耗了网络带宽和大量的主机CPU运算能力。
为了解决这一问题,就提出了VLAN的概念,以隔离广播风暴。
3.1.2、VLAN的概念VLAN 是虚拟局域网(Virtual Bridged Local Area Network)的简称,它是在一个物理网络上划分出来的逻辑网络。
这个网络对应于ISO模型的第二层数据链路层。
VLAN 的划分不受网络端口的实际物理位置的限制。
VLAN 有着和普通物理网络同样的属性,除了没有物理位置的限制外,它和普通局域网是一样的,第二层的单播、广播和多播帧可以在一个VLAN内转发、扩散,而不会直接进入其他的VLAN 之中。
所以,如果一个端口所连接的主机想要同和它不在同一个VLAN的主机通讯,则必须通过一个三层设备进行转发,如路由器或者三层交换机等。
一个VLAN就是一个广播域,一个VLAN就是一个子网。
VLAN的划分可以基于端口、MAC地址、协议和子网这四种方式,目前最常用的是基于端口的VLAN划分。
通过使用VLAN,可以带来了如下的好处:●隔离广播包,即广播包只在本VLAN中传播,从而在一定程度上可以提高整个网络的处理能力;●虚拟的工作组,通过灵活的VLAN设置,可以把不同物理地点的用户划分到同一工作组内;●提高安全性,一个VLAN内的用户和其它VLAN内的用户不能互访,提高了网络的安全性。
局域网组建虚拟局域网(VLAN)的设置与管理一、什么是虚拟局域网(VLAN)虚拟局域网(VLAN)是一种利用网络交换机技术,通过在物理网络基础上逻辑划分子网,将不同的设备分组管理的网络方案。
VLAN 可以将不同的设备划分到不同的虚拟网段中,实现更高效的网络管理和资源分配。
二、VLAN的优势1.增强网络安全性:VLAN能够将不同权限的设备分隔开来,减少潜在的网络威胁。
2.提高网络性能:通过VLAN的逻辑划分,可以减少广播风暴以及冲突域的影响,提高网络的传输效率。
3.灵活的拓扑结构:VLAN能够实现逻辑上的组织划分,可以根据实际需要进行灵活的拓扑结构设计。
三、VLAN的设置与管理步骤1. 设计VLAN划分方案:在设置VLAN之前,需要确定VLAN的划分方案。
首先,需要分析网络结构,确定划分的标准,可以按照部门、功能等进行划分。
然后,根据划分方案,为每个VLAN分配一个唯一的VLAN ID。
2. 配置交换机:在交换机上进行VLAN的配置。
主要包括以下几个步骤:(1)创建VLAN:根据划分方案,在交换机上创建对应的VLAN。
可以使用命令行界面(CLI)或者Web界面进行配置。
(2)端口划分:将交换机的端口与对应的VLAN进行关联,以便设备能够正常通信。
可以将端口设置为“访问端口”或者“特定端口”模式,分别用于连接主机或者其他交换机。
(3)VLAN间的通信:如果需要不同VLAN的设备之间进行通信,需要配置VLAN间的虚拟局域网互联(VLAN Trunking)。
可以使用标准的VLAN Trunking协议(如802.1Q)或者厂商特定的协议来实现。
3. 配置网络设备:根据划分方案,将各个网络设备(如服务器、路由器)连接到对应的VLAN。
需要确保设备的IP配置与划分的VLAN相匹配,以便设备能够正常通信。
4. 测试与故障排除:在设置完VLAN后,需要进行测试以确保网络正常工作。
可以通过Ping命令等方式测试不同VLAN之间的连通性。
校园网中VLAN的划分与配置校园网的网络设计中,VLAN的划分及配置是一个非常重要的部分。
VLAN是一种虚拟局域网技术,可以把一个物理局域网分割成多个虚拟的局域网,实现不同子网间的互相隔离和通信。
以下将介绍在校园网中VLAN的划分和配置。
一、VLAN的划分在校园网中,VLAN的划分主要是根据网络架构和设备使用情况来确定哪些设备需要处于同一VLAN中,哪些需要隔离。
比如,学生宿舍、教学楼、实验室等区域一般会进行分别划分到不同的VLAN中。
二、VLAN的配置VLAN的配置是通过交换机的端口、VLAN ID和VLAN端口配置等来实现的。
(1)交换机端口配置交换机端口的配置一般包括端口的模式、速率、双工模式等。
其中,端口的模式可以选择Trunk或Access。
Trunk为交换机之间传输多个VLAN的信息,Access端口主要用于连接终端设备。
教学楼的端口可以配置为Access端口,宿舍楼的端口可以配置为Trunk端口。
(2)VLAN ID配置VLAN ID是用来标识不同VLAN的数字,不同VLAN的ID 不能重复。
在交换机中可以通过VLAN ID来划分不同的VLAN,实现VLAN之间的互相隔离。
根据实际情况,可以将区域划分为不同的VLAN,并为每个VLAN分配不同的VLAN ID。
例如,教学楼可以配置为VLAN 10,实验室可以配置为VLAN 20,宿舍楼可以配置为VLAN 30。
(3)VLAN端口配置交换机中的每个端口都可以设置为属于特定的VLAN,也可以被设计为是一个“未标记的端口”。
这时候,交换机会将该端口的传输数据包上标注上VLAN的ID,以此进行传输。
在校园网中,可以将每个端口与正确的VLAN进行匹配。
总结VLAN的划分和配置是校园网设计中非常重要的一部分,可以实现不同子网的有效隔离和通信。
通过合理划分VLAN并进行端口、VLAN ID和VLAN端口等的配置,可以更加有效地管理整个网络。
局域网中VLAN的部署与应用随着互联网普及,企业内部网络的规模不断扩展,需要更高效的网络管理方式来提高网络安全性和减轻网络工作量。
在这种情况下,局域网中VLAN技术就成为了解决方案之一。
VLAN是虚拟局域网的缩写,它为逻辑上相互独立的网络建立隔离的网络环境。
基于这个技术,管理员可以自由划分局域网,将拥有相同特性和需求的设备分到同一个分组内,从而实现网络资源的共享和流量的管理。
比如,用户部门的所有电脑可以分配到一个VLAN中,而销售部门的所有电脑可以分配到另一个VLAN中,在物理拓扑结构中两个部门可能很近并且能够相互访问,但是他们对外部网络是独立的,互不影响。
VLAN的部署需要两大要素:交换机和VLAN ID。
交换机是实现VLAN的核心设备,它负责将不同VLAN之间的数据进行流量转发;而VLAN ID是给每个VLAN设定的一个编号,它的作用是将同一个VLAN的设备划分到同一个网络中。
在局域网中,VLAN的部署可以带来多种好处。
一方面,它可以提高网络的安全性。
在传统的局域网环境下,所有设备都在同一个网段内,攻击者只需要一个漏洞就可以轻易地入侵网络。
而VLAN可以通过划分不同的网络信道,使攻击者无法穿越VLAN进行攻击,从而有效地提高网络的安全性。
另一方面,VLAN的部署还可以提高网络流量的管理效率,减轻网络管理的工作量。
通过VLAN,管理员可以轻易实现对不同网络流量的管理和配置,以确保网络资源的公平利用和优化。
除了以上的好处,VLAN还可以应用在其他方面。
比如,VLAN可以将固定的网络设备集中在一起,如服务器、路由器、交换机等,方便管理维护;也可以将某些敏感的信息进行隔离,如财务系统、人事系统等,保证信息被安全管理。
总之,VLAN在局域网中是一项非常有用的技术。
它可以提高网络的安全性和管理效率,为企业网络部署和管理带来了很多好处。
它的应用范围也非常广泛,可以满足不同企业的不同需求。
因此,企业在搭建网络时,应该加入VLAN部署,使企业网络更加高效、安全。
企业园区网络设计、规划与实施方案业园区网络设计、1划与实施方案企规企业园区网络设计、规划与实施方案目录第1章企业网建设综述 ........................................ 5 1.1 1.2 1.3项目建设目标项目建设原则基本建设描述第2章需求分析 .............................................. 6 2.1企业背景2.3计算机网络综合布线第3章网络设备配置和管理 .................................... 9 3.1 划分子网 3.2划分vlan3.3接入层交换机配置 3.4汇聚层交换机配置3.5汇聚层交换机Convergence layer2配置 3.6核心层交换机连接配置说明第4章连接广域网 ........................................... 26 4.1路由器基本配置 4.2配置静态路由2企业园区网络设计、规划与实施方案4.3配置NAT4.4在路由器上配置访问控制列表(ACL)第5章总结 ................................................ 30 主要参考文献资料 ............................................ 31 致谢 (32)3企业园区网络设计、规划与实施方案企业园区网的设计、规划与实施【摘要】在现今的网络建设中,企业网的建设是非常重要的,企业网内部各种不同业务的开展是企业网发展迅速的最主要原因。
从早期的企业网主要是简单的数据共享,简单数据库的共享到现在内部全方位的数据共享,从过去单一的企业到现在多个分支公司的全部互连,因而对网络的覆盖面要求越来越广。
这一要求最早还只局限于各分支企业内部,现在则已是整个企业、整个行业,甚至整个Internet的共同要求。
In present network developments enterprise network developments is very important enterprise fly development because various different business developments that in enterprise network inside in earlier period enterprise network is primary a simple data share. But today the internal All-directions data shares. Since past single enterprise connect till now whole internet connect. And now is common request that whole business enterprise, whole profession, even whole Internet.【关键词】网络; IP; VLAN; 园区网4企业园区网络设计、规划与实施方案第1章企业网建设综述1.1 项目建设目标建设分层的交换式以太网络,对建成企业网络进行优化,使其得到充分的利用。
vlan的划分方法及配置VLAN(虚拟局域网)的划分方法和配置如下:1. 静态VLAN划分方法:静态VLAN是管理员手动定义和配置的VLAN。
划分步骤如下:a. 确定需要划分的子网数量;b. 为每个子网分配一个唯一的VLAN ID;c. 将不同VLAN ID对应的端口划分到不同的VLAN中;d. 配置交换机或路由器上的端口,将其与正确的VLAN关联。
配置示例:(config)# interface gigabitethernet 1/0/1(config-if)# switchport mode access(config-if)# switchport access vlan <VLAN_ID>2. 动态VLAN划分方法:动态VLAN是根据网络上主机的MAC地址、IP地址或者其他特征自动划分的VLAN。
划分步骤如下:a. 配置交换机支持动态VLAN划分(如VTP、GVRP等);b. 激活动态VLAN功能,使交换机能够自动学习和划分VLAN;c. 配置主机的特征,如MAC绑定、802.1X认证等,以便交换机可以识别并将其分配到对应的VLAN上。
3. VLAN间的通信方法配置:a. 为VLAN之间的通信选择一种方式,如路由器或三层交换机;b. 配置设备上的虚拟接口(SVI),将其与相应的VLAN关联;c. 配置VLAN间的路由或三层交换,使得不同VLAN的主机可以进行互通。
配置示例:(config)# interface vlan <VLAN_ID>(config-if)# ip address <IP_ADDRESS> <SUBNET_MASK>需要注意的是,具体的配置方法可能会因厂商和设备型号的不同而有所差异。
请根据实际情况和设备的用户手册进行配置。
vlan的划分方法及配置VLAN的划分方法及配置。
VLAN(Virtual Local Area Network)是一种虚拟局域网技术,通过将网络设备划分成多个逻辑上的局域网,实现不同用户或设备之间的隔离和通信。
VLAN的划分方法及配置对于网络管理和优化至关重要。
本文将介绍VLAN的划分方法及配置,帮助读者更好地理解和应用这一技术。
1. VLAN的划分方法。
VLAN的划分方法主要有基于端口、基于MAC地址和基于协议。
基于端口的划分方法是将交换机的端口划分到不同的VLAN中,实现不同VLAN之间的隔离。
基于MAC地址的划分方法是根据设备的MAC地址将其划分到不同的VLAN中,实现设备级别的隔离。
基于协议的划分方法是根据网络协议将不同类型的流量划分到不同的VLAN中,实现流量级别的隔离。
2. VLAN的配置。
VLAN的配置主要包括VLAN的创建、VLAN的划分和VLAN的配置。
首先,需要在交换机上创建VLAN,并为每个VLAN分配一个唯一的VLAN ID。
然后,将端口划分到相应的VLAN中,实现不同VLAN之间的隔离。
最后,对VLAN进行相应的配置,如VLAN间的路由配置、VLAN的名称和描述配置等。
3. VLAN的划分方法及配置实例。
假设有一个企业网络,需要将不同部门的员工划分到不同的VLAN中,并实现不同VLAN之间的隔离。
首先,可以根据部门的不同创建不同的VLAN,如销售部门、研发部门和市场部门。
然后,将交换机的端口划分到相应的VLAN中,如将销售部门的端口划分到销售部门的VLAN中。
最后,对每个VLAN进行相应的配置,如配置VLAN间的路由、配置VLAN的名称和描述等。
4. 总结。
VLAN的划分方法及配置是企业网络管理中非常重要的一部分,通过合理的划分和配置,可以实现不同用户或设备之间的隔离和通信,提高网络的安全性和可管理性。
在实际应用中,需要根据实际情况选择合适的划分方法,并进行相应的配置,以实现网络的优化和管理。
园区网络的构建与策划
简介
本文档旨在提供关于园区网络的构建和策划的指导和建议。
园
区网络是为了满足园区内企业和居民对互联网和通信的需求而建立的。
合理的构建和策划能够提高园区的网络稳定性、安全性和覆盖
范围。
构建分享网络设施
构建一个功能齐全且高效的园区网络,可以从以下几个方面入手:
1. 网络设计
在设计网络时,要考虑园区的规模、地理特点以及用户的需求。
合理的网络架构可以有效提高园区网络的运行效率。
2. 高速网络连接
通过与电信运营商合作,确保园区内的企业和居民可以获得稳定、高速的互联网连接。
高速网络连接是园区吸引企业和居民的重
要因素之一。
3. 无线网络覆盖
为园区提供全面的无线网络覆盖,使企业和居民可以随时随地访问互联网。
要考虑到园区内不同区域的信号覆盖和网络质量。
策划网络安全保障
园区网络的安全保障是重要的考虑因素。
以下是一些策略和建议:
1. 防火墙和入侵检测系统
在园区网络中安装防火墙和入侵检测系统,能够有效保护园区网络免受网络攻击和恶意软件的威胁。
2. 认证和加密
为园区网络提供认证和加密机制,确保只有授权用户可以访问网络,并保护用户数据的安全。
3. 定期安全审查
定期对园区网络进行安全审查,发现和修复潜在的安全漏洞,确保网络的安全性。
总结
园区网络的构建和策划涉及到网络设计、高速连接、无线覆盖和网络安全等方面。
合理的构建和策划能够提高园区网络的稳定性和安全性,满足用户的需求。
园区运营方应该从以上方面出发,制定适合园区的网络构建和策划计划。
摘要随着计算机网络的迅猛发展,曾经在园区网中被广泛使用的10M/100M以太网技术、ATM等技术已经渐渐不能适应业务需求。
现在,千兆以至10G级别以太网技术正逐渐成为园区网主干的主流技术。
因此,许多大型园区网络面临着技术改造或者重新设计。
本文针对当前园区网络中存在的设计混乱、层次复杂、稳定性低,安全性不足等一系列问题,采用工程化设计方法,依照行业规范,设计并模拟实现一个园区网络,该网络依照行业规范设计,采用新近成熟的产品与技术,满足用户安全性、通用性、可操作性和拓展性的要求,由于网络设计过程中严格依照行业规范,采用模块化设计思想,因此网络系统各层可移植性强,极大的方便了以后的网络设计工作。
关键词:交换机;路由器;规划;设计;系统集成IAbstractWith the rapid development of computer network, the kinds of business in enterprise or organization have increased, and the data flow of business has risen a lot, the tendence of which is very evident. The once widely usesd technologies 10/100M Ethernet, ATM etc. gradually fail to meet the demands of business; at the moment, the Ethernet of 1000M or even 10G is becoming the main technology in the major campus network. In consequence, many large campus network are facing the problems of technology changing or new designing. Aiming at the problems in campus net and enterprise net such as disorderly design, complicated levels, low stability, lack of security and so on, this thesis will adopt the engineering design method, According to the professional standards, the author of this thesis intends to design and imitate a large scale of campus net. By following the professional standards and adopting the updated products as well as technology, this net can satisfy the users for its security, versatility, manipulation and extension. Because of the strict conformity to professional standards in the designing of the net and the employment of module design technology, every level in this net system can be implanted, which will greatly benefit the net designing work in the future. keywords:switch;router; plan; design;System integration目录摘要 (I)英文摘要 (II)第一章绪论 (1)1.1 选题来源 (1)1.2 主要内容 (1)1.3 论文结构 (1)第二章园区网概述 (3)2.1 园区网含义 (3)2.2 园区网特点 (3)2.3 园区网发展趋势 (3)第三章园区网设计 (4)3.1 需求分析 (4)3.2 网络设计原则 (4)3.3 网络模型设计 (5)3.3.1 核心层(Core Layer) (6)3.3.2 汇聚层(Distribution Layer) (6)3.3.3 接入层(Access Layer) (6)3.4 网络模型选择 (6)3.5 园区网络拓扑图 (7)3.6 IP地址规划 (7)3.7 VLAN规划 (8)3.8 路由协议选择 (8)3.9 网络设备选择 (10)3.10 配置规范 (10)第四章网络安全设计 (12)4.1 VLAN技术 (12)4.2 AAA技术 (13)4.3 VPN技术 (13)III4.4 防火墙技术 (13)4.5 安装杀毒软件 (14)4.6 其它安全措施 (14)第五章网络模拟实现 (15)5.1 模拟器介绍 (15)5.2 模拟环境拓扑图 (16)5.3 需求实现 (17)5.4 配置方法 (18)第六章网络测试 (22)6.1 单体测试 (22)6.2 网络连通性测试 (25)6.3 网络冗余性测试 (26)第七章总结 (29)谢辞 (30)参考文献 (31)第一章绪论1.1 选题来源随着计算机网络的迅速发展,曾经在园区网中被大量使用的10M/100M以太网技术、ATM技术已经渐渐不能适应现在的业务需求,作为园区主干网,10M/100M以太网作为主干网络核心技术带宽不足的弊病渐渐凸显,已经严重影响着园区网络的运行效率,目前仍有许多大型园区网络在使用ATM技术,这样的网络面临两个问题:VLAN间路由的性能不能满足网络需求,并且ATM技术正在逐步被淘汰。
校园网中VLAN划分与配置引言随着校园网络的不断发展,网络规模和需求也越来越大。
为了更好地管理校园网,提高网络安全性和性能,校园网中的VLAN的划分与配置变得至关重要。
本文将介绍VLAN的概念、划分和配置方法,以及在校园网中应用的意义和好处。
什么是VLANVLAN是Virtual Local Area Network(虚拟局域网)的缩写。
VLAN将局域网划分为逻辑上的不同部分,不受物理位置的限制。
在一个物理网络中,可以划分出多个VLAN,每个VLAN可以有不同的安全策略和网络服务。
VLAN的基本原理是通过交换机将不同VLAN的数据包进行隔离,实现不同VLAN之间的通信。
在同一个VLAN内的设备可以直接通信,而不同VLAN之间的通信需要经过路由器或三层交换机。
VLAN的划分与配置方法在校园网中,划分和配置VLAN可以根据不同的需求和设计目标进行。
以下是一些常见的划分和配置方法:静态VLAN划分静态VLAN划分是一种最常见和简单的VLAN划分方法。
在静态VLAN划分中,管理员手动配置每个端口所属的VLAN。
通过这种方式,可以根据不同的部门或功能将设备进行划分,提高网络的管理和安全性。
静态VLAN的配置需要在交换机上进行。
管理员可以通过交换机的命令行界面或图形界面配置每个端口的VLAN成员关系。
例如,可以将端口1和端口2配置为VLAN 10的成员,将端口3和端口4配置为VLAN 20的成员。
动态VLAN划分动态VLAN划分是一种更灵活和自动化的VLAN划分方法。
在动态VLAN划分中,交换机会根据设备的MAC地址或用户的身份将其自动分配到不同的VLAN中。
这种方法可以减轻管理员的工作负担,并且对于设备的迁移和更换非常方便。
动态VLAN的配置需要在交换机和认证服务器上进行。
交换机需要配置VLAN划分的规则,例如根据MAC地址前缀将设备分配到不同的VLAN中。
认证服务器需要根据用户的身份信息将其分配到相应的VLAN中。
第3章园区网VLAN规划与部署3.1、VLAN简介3.1.1、VLAN产生的原因在上图这样一个2层的网络中,主机A为了和主机B通讯,必须先广播一个ARP请求,以获取主机B的MAC地址;这时主机A上联的那台交换机收到ARP广播后,会将它转发给除接收端口外的其他所有端口,也就是Flooding泛洪了;接着,其它的收到这个广播帧的交换机也会作同样的处理,最终ARP请求会被转发到同一网络中的所有主机上;此时如果这个2层网络中的其它主机也要和别的主机进行通讯的话,必然会产生大量的广播风暴,如此一来,一方面广播信息消耗了网络整体的带宽,另一方面,收到广播信息的计算机还要消耗一部分CPU时间来对它进行处理,这就无谓消耗了网络带宽和大量的主机CPU运算能力。
为了解决这一问题,就提出了VLAN的概念,以隔离广播风暴。
3.1.2、VLAN的概念VLAN 是虚拟局域网(Virtual Bridged Local Area Network)的简称,它是在一个物理网络上划分出来的逻辑网络。
这个网络对应于ISO模型的第二层数据链路层。
VLAN 的划分不受网络端口的实际物理位置的限制。
VLAN 有着和普通物理网络同样的属性,除了没有物理位置的限制外,它和普通局域网是一样的,第二层的单播、广播和多播帧可以在一个VLAN内转发、扩散,而不会直接进入其他的VLAN 之中。
所以,如果一个端口所连接的主机想要同和它不在同一个VLAN的主机通讯,则必须通过一个三层设备进行转发,如路由器或者三层交换机等。
一个VLAN就是一个广播域,一个VLAN就是一个子网。
VLAN的划分可以基于端口、MAC地址、协议和子网这四种方式,目前最常用的是基于端口的VLAN划分。
通过使用VLAN,可以带来了如下的好处:●隔离广播包,即广播包只在本VLAN中传播,从而在一定程度上可以提高整个网络的处理能力;●虚拟的工作组,通过灵活的VLAN设置,可以把不同物理地点的用户划分到同一工作组内;●提高安全性,一个VLAN内的用户和其它VLAN内的用户不能互访,提高了网络的安全性。
3.1.3、VLAN帧的格式说明:●Tag标记插入在标准以太网MAC帧的源地址字段和长度/类型字段之间,长度为4个字节;●2个字节的标签协议标识(TPID--Tag Protocol Identifier),TPID是IEEE定义的新的类型,为0x8100,表明这是一个加了802.1Q标签的报文;●2个字节的标签控制信息(TCI--Tag Control Information),该标签头中的信息解释如下:◆Priority:3个比特,用于指明帧的优先级(802.1P协议),一共有8种优先级,主要用于当交换机阻塞时,优先发送哪个数据包;◆Canonical Format Indicator( cfi ):1个比特,用于指明总线型的以太网与FDDI、令牌环网交换数据时的帧格式;◆LAN Identified( VLAN ID ):12个比特,用于指明VLAN的ID,即2的12次方等于4096,也就是大家常说的4K个VLAN的来历,每个支持802.1Q协议的主机发送出来的数据包都会包含这个字段,以指明自己属于哪一个VLAN。
3.1.4、交换机的VLAN数据转发过程大家都知道,交换机是通过MAC地址表来进行数据帧的转发,而引入VLAN后,交换机会在MAC地址表中增加VLAN信息,也就是说交换机对每1个VLAN都维护1个本VLAN的MAC 地址表。
在数据转发时,先在同一VLAN的MAC地址表中,根据数据帧中的目的MAC地址进行查找,找到的话,就进行转发;如果找不到,就向本VLAN的网关发送,由其向其它网段(不同的VLAN)进行路由表的查询。
3.2、园区网VLAN的规划设计3.2.1、VLAN的规划原则3.2.1.1、按业务规划:按业务划分为语音、视频和数据;3.2.1.2、按部门规划:按部门划分为工程部、市场部、财务部等;3.2.1.3、按地理位置或应用规划:在教育行业,特别是高教,由于规模较大,有多个分校分散在城市的不同地方,所以一般可以按照地理位置来划分VLAN;而普教由于规模不大,可按应用来划分VLAN,如服务器、办公、机房、教室。
在上述几种规划中,锐捷网络建议一定要将网络设备作为一个单独的VLAN进行规划,以实现对网络设备安全、有效的管理。
综上所述,一般在园区网中我们推荐采用按地理位置结合应用规划VLAN。
3.2.2、VLAN ID的分配技巧常规来说,VLAN ID只要是在有效的范围内(1-4K),都是可以随意分配和选取的,但为了提高VLAN ID的可读性,我们一般采用VLAN ID和网段关联的方式进行分配。
如用户有如下的内网地址:192.168.10.X/24;192.168.20.X/24;192.168.30.X/24;192.168.40.X/24;……则我们就可以采用:VLAN 10对应网段192.168.10.X/24;VLAN 20对应网段192.168.20.X/24;VLAN 30对应网段192.168.30.X/24;VLAN 40对应网段192.168.40.X/24;……但是由于设备的原因,VLAN的数量和取值范围有一定的限制。
详细的参数见下表:3.2.3、VLAN的成员类型●Access口:一个Access端口,只能属于一个VLAN,并且是通过手工设置指定VLAN的;●Trunk口:一个Trunk口,在缺省情况下是属于本交换机所有VLAN的,它能够转发所有VLAN的帧,但是可以通过设置许可VLAN列表(allowed-VLANs)来加以限制。
在配置Trunk 链路时,一定要确认连接链路两端的Trunk 口属于相同的Native VLAN。
一般来说,Access口用于和最终用户相连,而Trunk口用于交换机之间的互连。
3.2.4、VLAN的透传和终结3.2.4.1、VLAN的透传:VLAN的透传就是某个VLAN不仅在一台交换机上有效,它还要通过某种方法延伸到别的以太网交换机上,在别的设备上照样有效,也就是我们常说的802.1Q Trunk。
3.2.4.2、VLAN的终结:VLAN的终结是指某个VLAN的有效域不能再延伸到别的VLAN/设备,或者不能通过某条链路延伸到别的VLAN/设备。
一般可以理解为三层的终结。
3.2.5、VLAN的创建和命名由于VLAN 1作为缺省的Native VLAN,是不可以删除,所以我们建议在实际应用中不要使用VLAN 1。
VLAN的名字缺省是VLANxxxx,其中xxxx是用0开头的四位VLAN ID号。
比如,VLAN0004就是VLAN 4的缺省名字,可以用数字和字符串对VLAN进行命名,长度不超过32位,一般可采用字符串+数字的方式加以命名,也可以用网段的名称,以便于识别。
3.2.6、Native VLAN的作用所谓Native VLAN,也叫缺省VLAN,在这个接口上收发的untag报文,都被认为是属于这个VLAN的。
通常,一个untag帧经过trunk口时,会打上Native VLAN的tag;一个tag帧经过trunk口时,如果tag VLAN与trunk口的Native VLAN相同,则会剥去tag标记。
3.3、VLAN数据的安全控制由于VLAN的trunk口缺省是能够转发所有VLAN帧(1-4096)的流量,但从提高安全性和减少不必要的数据流量这两个角度考虑,我们可以通过设置trunk口的许可VLAN 列表(allowed-VLANs),来限制某些VLAN的流量不能通过这个trunk口,这也称为VLAN的修剪。
VLAN规划的小结●建议一个VLAN对应一个网段,一个网段分配一个C类的IP地址;●VLAN ID与网段对应,以便于识别;●VLAN的命名与业务/部门/应用等结合;●注意VLAN的修剪,以提高安全性,减少不必要的流量;●Native VLAN的作用;●网络设备作为一个单独的VLAN进行规划;3.4、园区网VLAN部署应用案例3.4.1、案例介绍●某园区网有三栋楼,分别为行政楼、教学楼、办公楼;每栋楼各有1台交换机;●行政楼内有办公室、财务部和教室;办公楼内有办公室、财务部;教学楼内有办公室和教室;●VLAN规划如下:●在核心的CENTER上起SVI三层接口,和每栋楼的交换机走trunk互连,并在trunk口用VLAN修剪;注意:在作VLAN修剪时,不要遗忘VLAN 1和设备管理VLAN。
3.4.2、案例拓扑图3.4.3、案例配置3.4.3.1、CENTER的配置System software version : 2.41(2)Build Oct 24 2005 ReleaseBuilding configuration...Current configuration : 1228 bytes!version 1.0!hostname CENTERvlan 1!vlan 10name banggong!vlan 20name caiwu!vlan 30name jiaoshi!vlan 100name shebei!enable secret level 1 5 $2;C,tZ[30<D+S(\49=G1X)sQ:>H.Y*T enable secret level 15 5 $2,1u_;C3&-8U0<D4'.tj9=GQ+/7R:>H !interface FastEthernet 0/1switchport access vlan 10!……interface FastEthernet 0/8switchport access vlan 10!interface FastEthernet 0/9switchport access vlan 20!……interface FastEthernet 0/16switchport access vlan 20!interface FastEthernet 0/17switchport access vlan 30……interface FastEthernet 0/23switchport access vlan 30!interface FastEthernet 0/24description Link-to-SW3switchport mode trunkswitchport trunk allowed vlan remove 2-9,11-19,21-29,31-99,101-4094(4096?)!interface gigabitEthernet 1/1description Link-to-SW1switchport mode trunkswitchport trunk allowed vlan remove 2-9,11-19,21-99,101-4094!interface gigabitEthernet 2/1description Link-to-SW2switchport mode trunkswitchport trunk allowed vlan remove 2-9,11-29,31-99,101-4094!interface Vlan 10ip address 192.168.10.1 255.255.255.0!interface Vlan 20ip address 192.168.20.1 255.255.255.0!interface Vlan 30ip address 192.168.30.1 255.255.255.0interface Vlan 100ip address 172.16.100.1 255.255.255.0!end3.4.3.2、SW1的配置System software version : 1.66 Build Jun 29 2006 ReleaseBuilding configuration...Current configuration : 1795 bytes!version 1.0!hostname SW1vlan 1!vlan 10name banggong!vlan 20name caiwu!vlan 100name shebei!enable secret level 1 5 $2;C,tZ[30<D+S(\49=G1X)sQ:>H.Y*T enable secret level 15 5 $2,1u_;C3&-8U0<D4'.tj9=GQ+/7R:>Hinterface fastEthernet 0/1switchport access vlan 10!……interface fastEthernet 0/12switchport access vlan 10!interface fastEthernet 0/13switchport access vlan 20!……interface fastEthernet 0/24switchport access vlan 20!interface gigabitEthernet 1/1description Link-to-CENTERswitchport mode trunkswitchport trunk allowed vlan remove 2-9,11-19,21-99,101-4094 !interface vlan 100no shutdownip address 172.16.100.11 255.255.255.0!ip default-gateway 172.16.100.1end3.4.3.3、SW2的配置System software version : 1.66 Build Jun 29 2006 ReleaseBuilding configuration...Current configuration : 1795 bytes!version 1.0!hostname SW2vlan 1!vlan 10name banggong!vlan 30name jiaoshi!vlan 100name shebei!enable secret level 1 5 $2;C,tZ[30<D+S(\49=G1X)sQ:>H.Y*T enable secret level 15 5 $2,1u_;C3&-8U0<D4'.tj9=GQ+/7R:>H !interface fastEthernet 0/1switchport access vlan 10!……interface fastEthernet 0/12switchport access vlan 10!interface fastEthernet 0/13switchport access vlan 30!……interface fastEthernet 0/24switchport access vlan 30!interface gigabitEthernet 1/1description Link-to-CENTERswitchport mode trunkswitchport trunk allowed vlan remove 2-9,11-29,31-99,101-4094 !interface vlan 100no shutdownip address 172.16.100.3 255.255.255.0!ip default-gateway 172.16.100.1end3.4.3.4、SW3的配置System software version : 1.66 Build Jun 29 2006 ReleaseBuilding configuration...Current configuration : 1795 bytes!version 1.0!hostname SW3vlan 1!vlan 10name banggong!vlan 20name caiwu!vlan 30name jiaoshi!vlan 100name shebei!enable secret level 1 5 $2;C,tZ[30<D+S(\49=G1X)sQ:>H.Y*T enable secret level 15 5 $2,1u_;C3&-8U0<D4'.tj9=GQ+/7R:>H !interface fastEthernet 0/1switchport access vlan 10……!interface fastEthernet 0/8switchport access vlan 10!interface fastEthernet 0/9switchport access vlan 20……!interface fastEthernet 0/17switchport access vlan 20!interface fastEthernet 0/18switchport access vlan 30……!interface fastEthernet 0/23switchport access vlan 30!interface fastEthernet 0/24description Link-to-CENTERswitchport mode trunkswitchport trunk allowed vlan remove 2-9,11-19,21-29,31-99,101-4094 !interface vlan 100no shutdownip address 172.16.100.4 255.255.255.0!ip default-gateway 172.16.100.1end3.5、参考资料:●锐捷网络交换机的配置指南⏹《配置VLAN》●《IEEE Std 802.1Q-1998.pdf》。
