扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:zdnet安全频道 来源:论坛整理 2008年11月24日
关键字: VLAN
虚拟局域网(VLAN)不仅有利于网络安全和防止网络风暴,而且可以提高网络运行的效率,解决许多其他问题。第三层交换机的普及为VLAN的应用创造了条件。笔者在实现网络升级改造的过程中,也采用VLAN技术解决了网络扩容的问题。
笔者单位在组建局域网时路由器使用的是Cisco系统公司Cisco 3662,中心交换机使用的是3Com公司的CoreBuilder 3500第三层高功能交换机。单位原来联入局域网计算机较少,最近由于机构和业务的扩展,由原来只把一栋楼内的计算机联网,扩大到两栋楼。原来网段的IP地址已经分配完毕,新增加的计算机必须另行分配到新的网段,但是仍然要求新网段内的计算机能与原来网段的计算机能够实现互相访问。
为了解决这个问题,笔者想到了采用VLAN技术。VLAN是由位于不同物理局域网段的设备组成。虽然VLAN所连接的设备来自不同的网段,但是相互之间可以进行直接通信,好像处于同一网段中一样,由此得名虚拟局域网。正好单位所使用的3Com CoreBuilder 3500第三层高功能交换机支持第三层的转发功能,也就是说支持VALN(所使用的Cisco 3662路由器也支持VLAN技术,但使用路由器实现VLAN会带来时延问题)。因此笔者利用现有的条件实现网络扩容,实现过程如下。
二、划分子网
子网的划分有多种实现方法,笔者使用的是基于端口划分VLAN,这是构成VLAN的最简单的方式。在这种方式中,将属于不同交换机端口的物理网段分在一个VLAN中。一个VLAN对应的是交换机端口的一个真子集合。通过网络管理软件
原来计算机使用的IP地址为C类地址,即11.28.177.*/24,将此网段命名为VLAN-1;新网段也为C类地址:即11.28.179.*/24,网段命名为VLAN-2。
3Com CoreBuilder 3500交换机加载了2个6口模块,将第1个模块的6个端口和第2个模块的1、2、3端口分划给VLAN-1,第2个模块的第4、5、6端口划分给VLAN-2,详见表1。
VLAN的划分 | |||
VLAN命名 | C类地址 | 交换机上的端口 | VLAN接口IP地址 |
VLAN-1 | 11.28.177.* | 第1模块1~6端口,第2模块7~9端口 | 11.28.177.247 |
VLAN-2 | 11.28.179.* | 第2模块10~12端口 | 11.28.179.247 |
扩容后的网络结构拓扑图见附图。
三、配置交换机
1. 配置方式的建立
3Com CoreBuilder 3500交换机提供了多种配置方式,笔者使用该交换机前面板上提供的Terminal控制口进行配置交换机,将Console线一端连到交换机Terminal控制口,另一端连到一台计算机的串口,启动计算机进入Windows 9X或Windows 2000/XP,启动超级终端程序。注意串口的属性设置为:每秒位数9600,数据位为8,奇偶检验为无,停止位为1,数据流控制为无。
2.登录并进入主菜单
打开交换机电源,会显示初始化信息,显示完成后会显示如下:
Select access level (read,write,administer):
可以有3种权限登录,Read是只读权限,Write是可改写权限,Administer是管理员权限,在此输入Administer,即使用管理员权限登录,并输入口令,进入主菜单。
3. 换机分配IP地址
由主菜单进入management/ip/interface/define,输入分配给交换机的IP地址为11.28.177.249,掩码为255.255.255.0,类型为System。给交换机分配IP地址的目的是管理交换机更加容易,可以使用“telnet”命令登录交换机并进行配置。
4. 定义2个VLAN
由主菜单进入bridge/vlan/,可以使用“summary”命令查看所定义的VLAN,在CoreBuilder 3500系统中已经建立了一个名称为default的VLAN,它包括所有的端口,但不包括第三层交换,所以不需要去考虑它。可以使用“define”命令定义新的VLAN。
先定义名字为VLAN-1的一个VLAN,再使用同样的方法增加VLAN-2,不过其所包括的端口分别为10、11、12,IP地址改为11.28.179.0,掩码不变,完成后,使用“summary”命令查看结果如下:
Index VID Type Origin Name Ports
1 1 system static default 1-12
2 2 open static vlan-1 1-9
3 3 open static vlan-2 10-12
5.定义VLAN的接口IP地址
如果要实现2个VLAN之间的通信,必须为VLAN分配接口IP地址,从主菜单进入ip/interface/define,定义VLAN的接口IP地址,并且要注意分配的接口IP地址必须属于相对应的VLAN的网段上,否则定义失败。例如,下面是为VLAN-1定义接口IP地址。
Select menu option (ip/interface): define
Enter IP address: 11.28.177.247
Enter subnet mask [255.0.0.0]: 255.255.255.0
Enter VLAN interface index {2-3|?}: 2
采用同样方法,定义VLAN-2的接口IP地址。
使用summary命令查看结果:
Index Type IP address Subnet mask State VLAN index
1 VLAN 11.28.177.247 255.255.255.0 Up 2
2 VLAN 11.28.179.247 255.255.255.0 Up 3
只要有计算机联到VLAN中的端口上,其VLAN的状态即为UP。
6.在2个VLAN之间增加路由
为了实现在2个不同的VLAN之间通信,还必须在这2个VLAN之间增加路由,可从主菜单进入ip/routing,使用“enable”命令激活路由功能。
7.为交换机增加默认网关
连入交换机的计算机如果想访问除以上2个网段以外的其他网段的计算机和网络设备时,需要给交换机分配一个默认路由。在主菜单进入ip/route/,输入“default”命令定义缺省路由,此地址是局域网内路由器的IP地址。
Select menu option (ip/route): default
Enter gateway IP address: 11.28.177.254
这样11.28.177.0/24网段(即VLAN-1内)的计算机可以访问其他网段的计算机和网络设备了,但是11.28.179.0/24网段(即VLAN-2内)的计算机还不能访问其他网段的计算机和网络设备,还需要在路由器即11.28.177.254内加上一个路由,即到11.28.179.0/24网段的路由。例如,在Cisco 3662路由器使用下面的命令:
ip route 11.28.179.0 255.255.255.0 11.28.177.247
四、设置VLAN中的计算机
位于VLAN中的计算机,除了设置本网段的IP地址外,如果想访问其他VLAN或其他网段的计算机和网络设备,需要在计算机中设置默认网关,其网关为本VLAN的接口地址。例如VLAN-1中的计算机,其网关应设置为11.28.177.247,掩码为255.255.255.0,VLAN-2中的网关应设置为11.28.179.247,掩码为255.255.255.0。
五、几点说明
1.注意交换机和路由器的IP地址与2个VLAN的接口地址的区别,见表2,其掩码均为255.255.255.0。本文中交换机的IP地址和路由器的IP地址在VALN-1网内。交换机的默认网关应设置为路由器的IP地址,路由器中增加到VLAN-2的路由就应是VLAN-1的接口IP地址,位于VLAN-1中计算机的默认网关设置为VLAN-1的接口IP地址,位于VLAN-2中计算机的默认网关设置为VLAN-2的接口IP地址。
VLAN相关的IP地址 | |
交换机IP | 11.28.177.249 |
VLAN-1的接口IP | 11.28.177.247 |
VLAN-2的接口IP | 11.28.179.247 |
路由器的IP | 11.28.177.254 |
2.决定在VLAN-1和VLAN-2这2个VLAN中的计算机互相访问的开关就是看“ip/routing”命令是否激活。
3.在VLAN-2中的计算机访问其他网段的计算机和网络设备时,需要在路由器中增加一个静态路由,否则VLAN-2只能访问到VLAN-1中的计算机或网络设备。
编辑点评
计算机网络是企业信息化的基础。随着企业的发展,企业的网络也需要进行升级改造,以适应新的需求。在升级改造的过程中,应当注意尽量发挥原有设备的作用,而不是把它们通通抛弃,从而保护企业原有的投资,本文提供了一个很好的实例。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者