扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:zdnet安全频道 来源:论坛整理 2008年11月25日
关键字: VLAN
虚拟局域网(VLAN)技术是保障大型网络安全稳定运行的一项重要技术措施,随着众多厂商积极参与和最终用户的普遍认可,它在实际建网中得到了广泛的运用。
因此,及时有效地对网络实施VLAN技术,不但可以充分满足用户对网络灵活性和扩展性方面的要求,而且对隔离网络故障和高效率地分配网络骨干带宽也提供了一种切实有效的技术手段。
从技术角度来讲,VLAN既可以在交换式以太网中实现,也可以在ATM骨干网中实现,比较起来,在ATM环境中配置VLAN的技术难度却要远远大于前者。这无疑对网络专业技术人员提出了更高的要求,使得他们不但需要了解ATM局域网仿真(ATM LANE)的工作原理,而且还要熟悉各种网络设备,如ATM交换机、局域网交换机和路由器等相应的配置过程。尽管如此,ATM技术带来了从25Mbps到155Mbps乃至622Mbps的网络带宽,并可满足桌面用户对语音、数据和图像的处理要求,因此许多企业依然采用ATM网络。
下面,结合建设武汉供电局ATM城域网的实践经验,以基于ATM 的VLAN为重点,着重探讨其划分及配置过程。
一、VLAN划分设计
根据武汉供电局ATM城域网(一期)设计要求,需要将第一批4个基层生产单位接入ATM骨干网,它们分别是汉口线路分局、汉阳线路分局、武昌线路分局、青山线路分局,加上局机关大楼,共有5处(后又增加汉口变电分局),分布于武汉三镇。
按照70%网络流量在VLAN网络内部流动、30%的流量在VLAN之间流动的原则,VLAN逻辑上可以按工作流程、职能部门或地理位置等依据来进行划分。划分技术可采取基于交换机端口、基于网卡MAC物理地址以及基于第三层即网络协议层来进行实施,在这3种划分技术中,尤以基于交换机端口的实现方式最为灵活,维护起来比较方便快捷,因而在VLAN的设计中,得到了普遍的应用。
-虽然VLAN技术可以有效地控制网络数据流量,节省骨干网的网络带宽,但是,这要以合理地对城域网实施VLAN划分为前提条件。而且,提高VLAN运行效率的关键在于,尽可能地使一个VLAN内的网络流量只在其内部消化完成,减少VLAN之间的访问流量,这就要求设计人员要清楚网络内各用户群的工作方式、工作流程以及他们基于网络方面的应用等等,只有这样,才能设计出高效率的VLAN。
通过需求分析发现,基层单位的大部分生产管理应用系统都集中在当地局域网内部完成,只有少量的数据需要由异地汇集到局机关信息中心,这就为有效地划分VLAN提供了可靠的依据。
通过反复比较与取舍,决定主要以地理位置作为划分依据,局部按职能部门进行了划分,具体实施见附表。
附表 VLAN的划分
地理位置 | VLAN 编号 | VLAN名称 | 对应IP网段/掩码位数 | 对应缺省网关 |
局机关大楼 | 1 | Default | 12.240.16.0/24 | 12.240.16.31 |
保留 | 2 | VLAN0002 | 12.241.16.64/26 | 12.241.16.127 |
保留 | 3 | VLAN0003 | 12.241.16.129/26 | 12.241.16.191 |
调通局专用网 | 4 | VLAN0004 | ||
备用 | 5 | VLAN0005 | 12.240.25.0/24 | 12.240.25.254 |
备用 | 6 | VLAN0006 | ||
汉口线路分局 | 20 | VLAN0020 | 12.240.17.0/24 | 12.240.17.254 |
汉阳线路分局 | 30 | VLAN0030 | 12.240.18.0/24 | 12.240.18.254 |
武昌线路分局 | 40 | VLAN0040 | 12.240.19.0/24 | 12.240.19.254 |
青山线路分局 | 50 | VLAN0050 | 12.240.20.0/24 | 12.240.20.254 |
由附表可以看出,每个VLAN都是和一段独立的IP网段相对应的,从而将IP的广播组和VLAN的碰撞域一对一地结合起来。这样,一方面有利于DHCP Server动态分配IP地址,另一方面也使得网络结构清晰易懂,便于网管人员的维护管理。
二、网络环境
武汉供电局城域网(一期)是以ATM为骨干、以局机关为中心,以汉口线路分局、汉阳线路分局、武昌线路分局、青山线路分局为4个骨干节点,通过OC3 155Mbps光纤主干将它们连接起来的覆盖武汉三镇的城域网,参见图1。
网络设备全部采用Cisco系统公司的产品。其中ATM核心交换机采用Lightstream 1010,ATM边缘设备采用Catalyst局域网交换机系列产品,它们通过长距离单模光纤与Lightstream 1010相连,选用Cisco 7507高端路由器担任网间路由。
网络操作系统选用Windows NT,网络协议采用TCP/IP协议。
三、ATM LANE配置
传统的以太网工作机制与ATM网络技术之间存在着诸多的差异。要想以ATM作为城域网中的骨干网,将分布在不同地区的局域网连接起来,必须要有一个解决方案来实现两者之间的互连,于是ATM LANE技术就应运而生了。通过LANE,可以让ATM网络模拟局域网的工作,使得多个局域网不做任何修改就可以连接到ATM网络上来。ATM在其中担负着桥接的功能,这对于用户来说,是完全透明的、无缝的,似乎就是在一个纯以太网的环境中工作,如图2所示。
LANE的配置过程是比较复杂的,LANE的正常工作必须启动以下4个服务:
1. LECS (LANE Configuration Server),一个LANE环境中必须要有一个LECS。
2. BUS (Broadcast and Unknown Server),一个ELAN(仿真局域网) 要有一个BUS。
3. LES (LANE Server), 一个ELAN要有一个LES。
4. LEC (LANE Client), 一个ELAN可有多个LEC。
构建一个LANE的工作环境,需要在Cisco 7507路由器、LS1010 ATM交换机及装备了ATM模块的Catalyst 5000、3200、2924、2828局域网交换机上做相应的配置工作。
1.配置Cisco 7507路由器上的ATM模块这样做的目的是使之充当整个LANE环境中的LECS,并作为每个ELAN。ELAN的数目要和VLAN的数目相同。例如,本网中就需建10个ELAN中的LES、BUS和LEC。配置命令如下:
!!! show lane default-atm-address !获取ATM LANE的ATM地址;该地址将作为LECS的ATM地址, 被保存在Lightstream 1010 ATM交换机中。 config t lane database database_name ; 给LANE指定一个数据库 name elan_name server-atm-address atm-address [index number] !重复该命令可以建立起多个ELAN环境,并将自己作为各ELAN的LES。 !在本网中,设置过程为: !name default server-atm-address 47.009181000000001011be3401.0050d1070081.01 !...... !name vlan0050 server-atm-address 47.009181000000001011be3401.0050d1070081.32 interface atmslot/module/port ;进入ATM端口设置模式 atm pvc 1 0 5 qsaal ;设置PVC信令 atm pvc 2 0 16 ilmi ;设置PVC与本地管理模式通讯 lane config database database_name ;对LANE数据库进行配置 interface atmslot/module/port.subinterface multipoint ;指定子端口并进入该子端口设置模式 ip address ip_address netmask ;为子端口指定IP地址 lane server-bus ethernet elan_name ; 为ELAN设置LES/BUS服务,仿真以太网。 lane client ethernet elan_name ;将自己作为LEC加入到该ELAN !在本网中,将Cisco 7507作为上述多个ELAN的BUS、LEC设置过程为: !inter atm4/0/0.1 multipoint !ip address 12.240.16.31 !lane server-bus ethernet default !lane client ethernet default !exit !...... !inter atm4/0/0.50 multipoint !ip address 12.240.20.254 !lane server-bus ethernet vlan0050 !lane client ethernet vlan0050 !exit end copy running-config startup-config !!!
需要注意的是,创建ELAN的个数要与前面规划好的VLAN的个数要相同,使它们能保持一一对应的关系,最好将ELAN和VLAN的名称也取为一样。在本网中,ELAN/VLAN名均为default、vlan0002……vlan0040、vlan0050,以方便管理。
2.配置Lightstream1010 ATM交换机
配置命令如下
!!! atm lecs-address-default atm_address !该atm_address即为在Cisco 7507配置中, 由show lane default-atm-address所获取到的ATM !地址。 !!!
由于LANE 1.0标准没有考虑到因设备单点故障造成LANE无法正常工作的情况,针对这种情况,Cisco提出了简单服务器冗余协议 (Simple Server Redundancy Protocol,SSRP)来消除这种潜在的故障隐患,通过对LS1010 ATM交换机上的处理器(ATM Switch Processor,ASP)进行配置可以完成LECS、LES、BUS和LEC的备份工作。
LS1010 ATM交换机的LANE备份的配置过程基本上和Cisco 7507路由器是一样的,在此不再重复。
3.Catalyst 5000局域网交换机上的ATM模块配置
1)将Catalyst 5000上的ATM模块配置为LEC工作模式,具体过程如下。
!!! session 5 ;启动Catalyst 5000插槽5中的ATM模块 interface atm5 ;设置ATM主端口 atm pvc 1 0 5 qsaal atm pvc 2 0 16 ilmi lane config auto-config-atm-address interface atmslot/module/port.subinterface multipoint lane client [ethernet elan-name]] !在本网中,将Catalyst 5000作为各个ELAN的LEC的设置过程为: !inter atm 5/0/0.1 multipoint ; 进入名为default的ELAN的子端口 !lane client ethernet default ;声明作为名为default的ELAN的LEC !exit !...... !inter atm 5/0/0.50 multipoint ; 进入名为vlan0050的ELAN的子端口 !lane client ethernet vlan0050 ; 声明作为名为vlan0050的ELAN的LEC !exit end copy running-config startup-config !!!2)在装配有ATM模块的2924、2828 LAN交换机上做各ELAN的LEC配置工作,该过程和Catalyst 5000上的配置过程完全一致,不再重复。Catalyst 3200的ATM配置方式是基于菜单选择模式,非常直观易懂。
至此,所有的ATM LANE配置过程就全部完成了。
在配置ATM LANE中,需要注意以下两点。
1.子端口(Subinterface)概念
一般情况下,装备在网络设备上的ATM模块只提供一个ATM端口,而一个ATM端口只能对应一个ELAN环境,为了将一个ATM设备加入到多个ELAN环境中(否则ELAN之间无法通讯),于是引进了子端口这样一个逻辑概念。借助它,可将一个ATM物理端口虚拟地细分为多个ATM 逻辑端口,每个逻辑端口对应一个ELAN环境,从而实现了将一个ATM设备加入到多个ELAN环境的要求。
2.VLAN与ELAN的比较
在ATM LANE环境中,ELAN与VLAN是一一对应的,有多少个VLAN就要有多少个ELAN与之对应,两者通过位于第二层的LANE仿真接口,透明地建立起映射关系。
ELAN只存在于ATM网络环境中,以ATM交换机为中心,以装备了ATM模块的LAN 交换机为边界,而VLAN不仅包含了与之对应的ELAN,还包括了属于该VLAN的以太网端口、工作站和服务器等。即ELAN是VLAN的子集,VLAN是ELAN的超集。
ELAN和VLAN一样,也是一种广播域,一个ELAN中的广播不会扩散到其他ELAN中,ELAN之间的通讯要借助于同时属于它们的LEC的路由器来实现。
四、VLAN的设置及划分
1. VLAN的设置可在Catalyst 5000上进行,具体过程如下。
!!! set vtp domain domain_name mode server ; 定义VLAN工作域及工作模式 set vlan vlan_number name vlan_name ; 定义VLAN编号及VLAN名称 !在本网中,设置过程为: !set vlan 1 name default ;定义局机关大楼VLAN !...... !set vlan 50 name vlan0050 ;定义青山分局VLAN---- 2. 在Catalyst 5000上将各以太网端口划分至各VLAN的过程如下。
!!! set vlan vlan_number module/port|port_rage !将Catalyst 5000上的以太网端口划分至各VLAN中 !在本网中,设置过程为: !set vlan 2 4/1~24 !将位于Catalyst 5000插槽4中的以太网模块的 1~24端口划至VLAN 2中 !...... exit copy running-config startup-config !!!---- 3. 在Catalyst 5000上将ELAN与VLAN映射在一起,使之一一对应。
!!! inter atm5 inter atm5.1 multipoint lane client ethernet 1 default ; 将编号为1的VLAN与名为default的ELAN映射在一起 !...... inter atm5.50 multipoint lane client ethernet 50 vlan0050 ; 将编号为50的VLAN与名为vlan0050的ELAN映射在一起 !值得注意的是,在Cisco IOS中,对VLAN的识别是通过VLAN的编号来惟一确定的,而对ELAN的识别则是通过ELAN的名称来惟一确定的。
4. 在Catalyst 其他LAN交换机上进行VLAN端口的划分Catalyst 3200、1924的VLAN端口划分是基于菜单驱动方式的,无需像Catalyst 5000那样要在CLI模式下键入一条条命令来实现。因此,它们配置起来比较简洁直观。
而Catalyst 2828、2924则更进了一步,它们不但支持CLI模式,而且支持基于Web方式的管理(通过浏览器即可对其端口实行VLAN划分),对动态端口的划分(可将一端口同时划分到多个VLAN中)也提供了很好地支持,这就使得它们的配置过程显得更为直观、可操作性更强。
至此,基于ATM骨干网的VLAN环境就完全地建立了起来,从而实现VLAN之间跨越ATM主干进行通讯。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。