企业网中的VLAN设计文档格式.docx
《企业网中的VLAN设计文档格式.docx》由会员分享,可在线阅读,更多相关《企业网中的VLAN设计文档格式.docx(34页珍藏版)》请在冰豆网上搜索。
各二级单位的中心交换机采用了CiscoCatalyst4006。
其他二级和三级交换机采用了CiscoCatalyst3500系列交换机,主要因为Catalyst3500系列交换机具有很高的性能和可堆叠能力。
需求分析
由于业务发展迅猛,总公司与2个二级单位迫切需要畅通无阻的信息交流,从而让公司总部能对2个下属单位进行更直接和更有效的管理,进而达到三方信息共享的目的,所以将彼此相互独立的3个子网联成一个统一网络势在必行。
图1所示的是起重设备总公司3个子网互联形成统一网络的示意图,3个子网是采用千兆以太网技术进行互联的。
为了避免在主干引发瓶颈问题,各子网在互联时采用了Trunk技术(即双千兆技术),使网络带宽达到4GB,这样,既增加了带宽,又提供了链路的冗余,还提高了整体网络高速、稳定和安全的运行性能。
然而,由于网络规模不断扩大,信息流量逐渐加大,人员管理变得日益复杂,给企业网的安全、稳定和高效运行带来新的隐患,如何消除这些隐患呢?
VLAN划分技术能为此排忧解难。
根据起重设备总公司业务发展需要,我们将联网后的统一网络划分为5个虚拟子网,分别是:
经理办子网、财务子网、供销子网和信息中心子网,其余部分划为一个子网。
由于统一网络的IP地址处于192.168.0.0网段,所以我们可以将各VLAN的IP地址分配如下。
经理办子网:
192.168.1.0~192.168.2.0/22网关:
192.168.1.1
财务子网:
192.168.3.0~192.168.5.0/22网关:
192.168.3.1
供销子网:
192.168.6.0~192.168.8.0/22网关:
192.168.6.1
信息中心子网:
192.168.7.0/24网关:
192.168.7.1
服务器子网:
192.168.100.0/24网关:
192.168.100.1
其余子网:
192.168.8.0~192.168.9.0/22网关:
192.168.8.1
详细设计
在划分VLAN时,Cisco的产品主要基于2种标准协议:
ISL和802.1q。
ISL是Cisco自己研发设计的通用于所有Cisco网络产品的VLAN间互联封装协议,该协议针对Cisco网络设备的硬件平台在信息流处理和多媒体应用方面进行了合理有效的优化。
802.1q协议是IEEE802委员会于1996年发布的国际规范标准。
在此案例中,因为所采用的均是Cisco网络设备,故在进行VLAN间互联时采用了ISL协议(对于不同网络设备的互联,本文在结尾处有相应介绍)。
从图1我们可以看到,总公司中心交换机采用了CiscoCatalyst6506,其2级节点为Catalyst3508和Catalyst3548,Catalyst3508交换机具有8个千兆以太网端口,并且利用Catalyst3500系列交换机的堆叠能力,可以随时扩充工作站数量。
边缘交换机则采用具有千兆模块的Catalyst3548。
二级单位的中心交换机则采用了CiscoCatalyst4006,其2级节点和边缘交换机采用的也是Catalyst3548。
公司总部与各二级附属单位的连接采用了ISL封装的Trunk方式,用2组光纤连接(在Catalyst6506与Catalyst4006之间),这样既解决了VLAN间的互联问题,同时又提高了网络带宽和系统的冗余,为3个子网互联提供了可靠保障。
对于到Internet的连接,接口为2MBDDN专线接
入,各二级单位通过公司总部的Proxy接入Internet。
Internet的管理由公司总部信息中心统一规划。
需要说明的是,由于本案例中关于VLAN的划分覆盖了各个交换机,所以交换机之间的连接都必须采用Trunk方式。
鉴于经理办和供销子网代表了VLAN划分中的2个问题:
扩展交换机VLAN的划分和端口VLAN的划分,所以我们再将经理办子网和供销子网对VLAN做一详细介绍。
经理办VLAN
由于经理办工作站所在局域网交换机划分了多个VLAN,连接了多个VLAN工作站,所以该交换机与其上层交换机之间的连接必须采用Trunk方式(如图2所示)。
公司总部采用了Catalyst3508和Catalyst6506,二级单位1采用了Catalyst3548和Catalyst4006,二级单位2采用了Catalyst3548和Catalyst4006。
供销VLAN
虽然当一个交换机覆盖了多个VLAN时,必须采用Trunk方式连接,但在供销VLAN划分中,其二级单位1中的供销独立于交换机Catalyst3548,所以在这里,Catalyst3548与二级中心交换机Catalyst4006只需采用正常的交换式连接即可(如图3所示)。
对于此部分供销VLAN的划分,只要在Catalyst4006上针对与Catalyst3548连接的端口进行划分即可。
这是一种基于端口的VLAN划分。
由于2个Catalyst4006与主中心交换机Catalyst6506间采用的是双光纤通道式连接,屏蔽了Catalyst4006与Catalyst6506间线路故障的产生,所以对整体网络的路由进行基于Catalyst6506的集中式管理。
下面我们对VLAN之间的路由做一个介绍。
在中心交换机Catalyst6506上设置VLAN路由如下。
经理办VLAN:
192.168.1.1/22
财务VLAN:
192.168.3.1/22
供销VLAN:
192.168.6.1/22
信息中心VLAN:
192.168.7.1/24
其余VLAN:
192.168.8.1/22
在中心交换机上设置路由协议RIP或OSPF,并指定网段192.168.0.0。
在全局配置模式下执行如下命令。
routerripnetwork192.168.0.0
----由于IP地址处于192.168.0.0网段,所以对各VLAN的IP地址分配如下所示。
----经理办子网:
192.168.1.0,子网掩码:
255.255.255.0,网关:
192.168.1.1。
----财务子网:
192.168.2.0,子网掩码:
192.168.2.1。
----供销子网:
192.168.3.0,子网掩码为255.255.255.0,网关:
192.168.3.1。
----信息中心子网:
192.168.4.0,子网掩码:
192.168.4.1。
----服务器子网:
192.168.100.0,子网掩码:
192.168.100.1。
----其余子网:
192.168.8.0,子网掩码为255.255.255.0,网关:
192.168.8.1。
----根据上述IP地址分配情况,不难看出各子网的网络终端数均可达到254台,完全满足目前或将来的应用需要,同时还降低了管理工作量,增强了管理力度。
注意事项
----需要注意的是:
因为起重设备总公司统一网络系统的VLAN划分是作为一个整体结构来设计的,所以为了保持与VLAN列表的一致性,需要Catalyst4006对整体网络的其他部分进行广播。
所以在设置VTP(VLANTrunkProtocol)时注意,要将VTP的域作为一个整体,其中VTP类型为Server和Client。
----有些企业建网较早,若所选用的网络设备为其他厂商的产品,而后期的产品又不能与前期统一,这样在VLAN的划分中就会遇到一些问题。
例如,在Cisco产品与3COM产品的混合网络结构中划分VLAN,对于Cisco网络设备Trunk的封装协议必须采用802.1q,以达到能与3COM产品进行通信的目的。
虽然两者之间可以建立VLAN的正常划分,并进行正常的应用,但两者配合使用的协调性略差一些。
当两者的连接发生变化时,必须在Cisco交换机上使用命令ClearCounter进行清除,方可使两者工作协调起来。
VLAN
----所谓VLAN是指处于不同物理位置的节点根据需要组成不同的逻辑子网,即一个VLAN就是一个逻辑广播域,它可以覆盖多个网络设备。
VLAN允许处于不同地理位置的网络用户加入到一个逻辑子网中,共享一个广播域。
通过对VLAN的创建可以控制广播风暴的产生,从而提高交换式网络的整体性能和安全性。
----VLAN对于网络用户来说是完全透明的,用户感觉不到使用中与交换式网络有任何的差别,但对于网络管理人员则有很大的不同,因为这主要取决于VLAN的几点优势。
----1.控制广播风暴
----主要有2种方式:
物理网络分段和VLAN逻辑分段。
----2.提高网络整体安全性
----通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小。
----3.网络管理简单、直观
----对于交换式以太网,如果对某些用户重新进行网段分配,需要网管员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。
而对于采用VLAN技术的网络来说,只需网管人员在网管中心对该用户进行VLAN网段的重新分配即可。
关于Trunk方式
----Trunk是独立于VLAN的、将多条物理链路模拟为一条逻辑链路的VLAN与VLAN之间的连接方式。
采用Trunk方式不仅能够连接不同的VLAN或跨越多个交换机的相同VLAN,而且还能增加交换机间的物理连接带宽,增强网络设备间的冗余。
由于在基于交换机的VLAN划分当中,交换机的各端口分别属于各VLAN段,如果将某一VLAN端口用于网络设备间的级联,则该网络设备的其他VLAN中的网络终端就无法与隶属于其他网络设备的VLAN网络终端进行通信。
有鉴于此,网络设备间的级联必须采用Trunk方式,使得该端口不隶属于任何VLAN,也就是说该端口所建成的网络设备间的级联链路是所有VLAN进行通信的公用通道。
VLAN划分的4种策略
----1.基于端口的VLAN划分
----基于端口的VLAN划分是最简单、最有效的划分方法。
该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
----2.基于MAC地址的VLAN划分
----MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。
MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。
----基于MAC地址的VLAN划分其实就是基于工作站与服务器的VLAN组合。
在网络规模较小时,该方案亦不失为一个好方法,但随着网络规模的扩大,网络设备和用户的增加,则会很大程度上加大管理难度。
----3.基于路由的VLAN划分
----路由协议工作在网络层,相应的工作设备有路由器和路由交换机。
该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
----4.基于策略的VLAN划分
----基于策略的VLAN划分是一种比较有效而且直接的方式。
这主要取决于在VLAN划分中所采用的策略。
----就目前来说,对于VLAN的划分主要采用上述第1和3方式,第2种方式为辅助性的方案。
如何在交换机上配置VLAN
我们知道,传统的局域网Ethernet使用具有冲突检测的载波监听多路访问(CSMA/CD)方法。
在CSMA/CD网络中,节点可以在它们有数据需要发送的任何时候使用网络。
在节点传输数据之前,它进行"
监听"
以了解网络是否很繁忙。
如果不是,则节点开始传送数据。
如果网络正在使用,则节点等待。
如果两个节点进行监听,没有听到任何东西,而开始同时使用线路,则会出现冲突。
在发送数据时,它如果使用广播地址,那么在此网段上的所有PC都将收到数据包,这样一来如果该网段PC众多,很容易引起广播风暴。
而冲突和广播风暴是影响网络性能的重要因素。
为解决这一问题,引入了虚拟局域网(VLAN的概念。
虚拟网络是在整个网络中通过网络交换设备建立的虚拟工作组。
虚拟网在逻辑上等于OSI模型的第二层的广播域,与具体的物理网及地理位置无关。
虚拟工作组可以包含不同位置的部门和工作组,不必在物理上重新配置任何端口,真正实现了网络用户与它们的物理位置无关。
虚拟网技术把传统的广播域按需要分割成各个独立的子广播域,将广播限制在虚拟工作组中,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。
我们结合下面的图来看看讲下。
图1所表示的是两层楼中的相同性质的部门划分到一个VLAN中,这样,会计的数据不会向市场的机器上广播,也不会和市场的机器发生数据冲突。
所以VLAN有效的分割了冲突域和广播域。
我们可以在交换机的某个端口上定义VLAN,所有连接到这个特定端口的终端都是虚拟网络的一部分,并且整个网络可以支持多个VLAN。
VLAN通过建立网络防火墙使不必要的数据流量减至最少,隔离各个VLAN间的传输和可能出现的问题,使网络吞吐量大大增加,减少了网络延迟。
在虚拟网络环境中,可以通过划分不同的虚拟网络来控制处于同一物理网段中的用户之间的通信。
这样一来有效的实现了数据的保密工作,而且配置起来并不麻烦,网络管理员可以逻辑上重新配置网络,迅速、简单、有效地平衡负载流量,轻松自如地增加、删除和修改用户,而不必从物理上调整网络配置。
既然VLAN有那么多的优点,我们为什么不了解它从而把VLAN技术应用到我们的现实网络管理中去呢。
好的让我们通过实际的在Catalyst1900交换机上来配置静态VLAN的例子来看看如何在交换机上配置VLAN。
图1在Catalyst1900上的两个VLAN
设置好超级终端,连接上1900交换机后(可以参考《1900系列以太网交换机快速入门指南》或其他的CISCO参考资料),会出现如下的主配置界面:
-------------------------------------------------
1user(s)nowactiveonManagementConsole.
UserInterfaceMenu
[M]Menus
[K]CommandLine
[I]IPConfiguration
EnterSelection:
我们简单介绍下,这儿显示了三个选项,[M]Menus是主菜单,主要是交换机的初始配置和监控交换机的运行状况。
[K]CommandLine是命令行,很象路由器里面用命令来配置和监控路由器一样,主要是通过命令来操作。
[I]IPConfiguration是配置IP地址、子网掩码和默认网管的一个选项。
这是第一次连上交换机显示的界面,如果你已经配置好了IPConfiguration,那么下次登陆的时候将没有这个选项。
因为用命令配置简洁明了,清晰易懂,所以我们通过[K]CommandLine来实现VLAN的配置的。
设置好超级终端,连接上1900交换机后(可以参考《1900系列以太网交换机快速入门指南》或其他的CISCO参考资料),会出现如下的主配置界面:
我们选择[K]CommandLine,进入命令行配置
K回车
CLIsessionwiththeswitchisopen.
ToendtheCLIsession,enter[Exit].
>
现在我们进入到了交换机的普通用户模式,就象路由器一样,这种模式只能查看现在的配置,不能更改配置,并且能够使用的命令很有限。
我们输入enable,进入特权模式:
enable
#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z
(config)#
为了安全和方便起见,我们给这个交换机起个名字,并且设置登陆密码。
(config)#hostname1900Switch
1900Switch(config)#enablepasswordlevel15goodwork
1900Switch(config)#
注意:
密码必须是4-8位的字符。
交换机密码的设置和路由器稍微不同,交换机用level级别的大小来决定密码的权限。
Level1是进入命令行界面的密码,也就是说,设置了level1的密码后,你下次连上交换机,并输入K后,就会让你输入密码,这个密码就是level1设置的密码。
而level15是你输入了enable命令后让你输入的特权模式密码。
路由器里面是使用enablepassword和enablescreet做此区分的。
好拉,我们已经设置好了名字和密码这样就足够安全了,让我们设置VLAN。
VLAN的设置分以下2步:
1.设置VLAN名称
2.应用到端口
我们先设置VLAN的名称。
使用vlanvlan号namevlan名称。
在特权配置模式下进行配置:
1900Switch(config)#vlan2nameaccounting
1900Switch(config)#vlan3namemarketing
我们新配置了2个VLAN,为什么VLAN号从2开始呢?
这是因为默认情况下,所有的端口否放在VLAN1上,所以要从2开始配置。
1900系列的交换机最多可以配置1024个VLAN,但是,只能有64个同时工作,当然了,这是理论上的,我们应该根据自己网络的实际需要来规划VLAN的号码。
配置好了VLAN名称后我们要进入每一个端口来设置VLAN。
在交换机中,要进入某个端口比如说第4个端口,要用interfaceEthernet0/4,好的,结合上面给出的图我们让端口2、3、4和5属于VLAN2,端口17---22属于VLAN3。
命令是vlan-membershipstatic/dynamicVLAN号。
静态的或者动态的两者必须选择一个,后面是刚才配置的VLAN号。
好的,我们看结果:
1900Switch(config)#interfaceethernet0/2
1900Switch(config-if)#vlan-membershipstatic2
1900Switch(config-if)#inte0/3
1900Switch(config-if)#inte0/4
1900Switch(config-if)#inte0/5
1900Switch(config-if)#inte0/17
1900Switch(config-if)#vlan-membershipstatic3
。
1900Switch(config-if)#inte0/22
1900Switch(config-if)#
好的,我们已经把VLAN都定义到了交换机的端口上了。
这儿,我们只是配置的静态的,关于动态的,我们在后面会有提及的。
到现在为止,我们已经把交换机的VLAN配置好了,怎么样,没有你想象的那么复杂吧:
)。
为了验证我们的配置,我们在特权模式使用showvlan命令。
输出如下:
1900Switch(config)#showvlan
VLANNameStatusPorts
--------------------------------------
1default
升级会员 