课题vlan技术优化局域网论文Word下载.docx
《课题vlan技术优化局域网论文Word下载.docx》由会员分享,可在线阅读,更多相关《课题vlan技术优化局域网论文Word下载.docx(28页珍藏版)》请在冰豆网上搜索。
二、VLAN技术的讨论5
(一)TRUNK链路技术5
(二)VTP协议6
(三)VLAN的帧标识8
(四)VLAN之间的通信10
(五)VLAN的划分方式12
(六)VLAN间通信16
三、VLAN技术在校园网中的设计18
(一)网络设备的选择18
(二)校园网络的设计19
(三)校园网IP的规划20
(四)VLAN在网络中的划分20
四、VLAN技术在校园网中的测试23
(一)基于RIP协议的测试24
(二)基于OSPF协议的测试26
总结28
参考文献29
致谢30
一、概述
(一)VLAN技术背景
1.VLAN技术产生背景
虚拟网技术(VLAN,VirtualLocalAreaNetwork)的诞生主要源于广播。
广播在网络中起着非常重要的作用,如发现新设备、调整网络路径、IP地址租赁等等,许多网络协议都要用到广播,局域网通常被定义为一个单独的广播域,主要使用集线器或交换机等网络设备连接同一网段内的所有节点。
然而,随着网络内计算机数量的增多,广播包的数量也会急剧增加,网络的传输效率将会明显下降。
所以当所有的网络节点都处于同一个广播域内,这大大增加了网络中所有设备之间的数据流量。
随着网络的不断扩充,很有可能出现广播风暴,导致整个网络无法使用。
在网络中的数据保密要求和网络的组织结构上的要求等这些问题都促使了虚拟局域网的诞生。
2.VLAN技术的定义
VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。
虚拟网络是在整个网络中通过网络交换设备建立的虚拟工作组。
虚拟网在逻辑上等于OSI模型的第三层的广播域,与具体的物理网及地理位置无关,虚拟工作组可以包含不同位置的部门和工作组,不必在物理上重新配置任何端口,真正实现了网络用户与它们的物理位置无关。
它以其高速、灵活、管理简便和扩充容易得到了广泛应用。
一方面,VLAN建立在局域网交换机的基础之上;
另一个方面,VLAN是局域交换网的灵魂。
VLAN用户能方便的在网络中移动和快捷的组建宽带网络,而无需改变任何硬件和通信线路。
网络管理员能从逻辑上对用户和网络资源进行分配,而无需考虑物理连接方式。
它与普通局域网从原理上讲没有什么不同,但它与普通局域网最基本的差异体现在:
VLAN并不局限于某一网络或物理范围,VLAN中的用户可以位于一个园区甚至国家的任意位置。
IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
3.VLAN技术的特征
VLAN的特性使局域网的通信流量控制和数据保密性方面有了很大的提高,VLAN具有以下一些特征:
1 同一个VLAN中的所有成员共同拥有一个VLANID,在逻辑上组成一个虚拟局域网络;
2 同一个VLAN中的成员均能收到同一个VLAN中的其他成员发来的广播包,但收不到其他VLAN中成员发来的广播包。
不同的VLAN处在不同的广播域中;
3 不同VLAN的成员之间不可相互直接通信,需要通过路由支持才能相互通信,而同一VLAN中的成员通过VLAN交换机可以直接通信,不需路由支持。
4.VLAN技术的发展
随着VLAN技术的逐渐发展,出现了VLAN中继协议和动态VLAN等技术,现在宽带网络中实现的VLAN基本上能满足广大网络用户的需求,但其网络中的流量控制和数据保密性仍然存在很多问题。
现在已有的VTP技术、STP技术,基于三层交换的VLAN技术等在VLAN使用中存在网络效率的问题,IEEE正在制定和完善IEEE802.1S和IEEE802.1W来改善VLAN的各种技术。
随着各种技术的逐步完善,VLAN也将在未来的网络中发挥出更多的功能。
5.VLAN技术的应用
现在VLAN主要应用在以太局域网中,也可以用在ATM网络中。
因为现在很多的局域网均采用以太网,所以它适用于现在大部分企业、学校的局域网中,它能够隔离不同工作组的数据,因为一个VLAN内的用户不能和其它VLAN内的用户直接通信,所以可以保护用户的数据安全,减少网络的拥堵情况,提高网络的传输效率。
而且同一工作组的用户也不必局限于某一固定的物理范围,网络的构建和维护更方便灵活,这些种种的优点都使VLAN在局域网中广泛应用。
6.VLAN技术的优点
1 增加了网络连接的灵活性
网络管理员对网络工作站可以按业务功能,而不必按地理位置分组。
VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。
2 有效地控制网络上的广播风暴
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播风暴。
使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组。
该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播风暴不会送到VLAN之外。
同样,相邻的端口不会收到其他VLAN产生的广播风暴。
这样,可以减少广播流量,释放带宽给用户应用,减少广播风暴的产生。
3 增加网络的安全性
人们在LAN上经常传送一些保密的、关键性的数据。
保密的数据应提供访问控制等安全手段。
一个有效和容易实现的方法是将网络分段成几个不同的广播组,网络管理员限制了VLAN中用户的数量,禁止未经允许而访问VLAN中的应用。
交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。
4 增加了集中化的管理控制
通过集中化的VLAN管理程序,网络管理员可以确定VLAN组,分配特定用户和交换端口给这些VLAN组,设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,跨越交换机配置VLAN通信,监控交通流量和VLAN使用的网络带宽。
这些能力有效地提高了网络管理程序的可控性、灵活性和监视功能,减少了管理的费用。
7.VLAN技术的局限性
随着网络的迅速发展,用户对于网络数据通信的安全性提出了更高的要求,都要求保证网络用户通信的相对安全性,要求能防范各种病毒和攻击等,现在一般使用的做法是给每个客户分配一个VLAN和相关的IP子网,通过使用VLAN,每个客户被从第二层隔离开,可以防止任何恶意的获取资料的行为和以太网数据的信息探听。
但是,这种分配每个客户单一VLAN和IP子网的模式造成了巨大的可扩展方面的局限。
这些局限主要有以下几个方面。
1 VLAN数目的限制:
交换机上固有的对VLAN数目的限制;
2 复杂的STP:
对于每个VLAN,每个相关的SpanningTree的拓扑都需要管理,造成了交换机的巨大负载;
3 IP地址的紧缺:
IP子网的划分一定会造成一些IP地址的浪费,造成资源浪费;
4 路由的限制:
每个VLAN在路由器或者三层交换机上都需要相应的默认的网关的配置。
(二)本课题的意义
1.本课题的意义
随着高校信息化建设的不断深入,高校网络建设的规模也在不断扩大,同时校园网多媒体教学、数据安全保障以及高速网络交换的大量应用,使网络数据流量骤然增大,各种问题和故障也层出不穷。
因此,如何构建高效、稳定、易管理的校园网,增强校园网的安全性和可控性,已经成为高等院校网络管理人员面临的重点课题,也是提高学校信息化应用水平和整体投资效益的关键。
VLAN技术在校园网内的应用,不但使得校园网络更加的安全,快速,并且也减轻了网络管理员的工作,保证了各个部门不同的要求和信息的安全,因此VLAN技术在校园局域网内的应用是明智之举。
在本文中主要使用基于端口的VLAN技术对校园网进行设计,具体实现了以下几个方面的作用:
1 通过VLAN的划分,控制内部各VLAN间的访问范围和权限,从而保障子网通信安全。
2 避免了IP地址使用混乱的情况.随着校园网规模增大,往往会出现IP地址使用混乱和IP地址盗用的状况.通过划分VLAN,各部门的IP地址是固定的一个地址段,VLAN之间不能互相盗用地址,管理起来条理非常清楚。
3 充分利用网络带宽,防止了广播风暴的产生,提高了网络传输效率。
当然VLAN在校园网的应用有利也有弊,由于它是根据端口逻辑地址进行网络划分,管理员无法很清楚地将网络的物理布局与逻辑结构相联系,这就要网络管理人员非常熟悉和了解网络设备的物理连接和逻辑连接,只有充分发挥它的长处,扬长避短,才能使校园网畅通无阻,充分发挥作用。
二、VLAN技术的讨论
(一)TRUNK链路技术
Trunk技术是在两台交换机之间建立一条点到点的链路,每台交换机的相应端口称为中继端口。
一条中继链路可以传输多个VLAN的数据流,并允许用户将VLAN的范围从一台交换机扩展到另一台交换机。
Trunk是一种封装技术,它是在两台交换机之间的一条点到点链路,主要功能就是仅通过一条链路就可以连接多个交换机,从而扩展已配置的多个VLAN,传输多个VLAN的数据流。
还可以采用通过Trunk技术和上级交换机级连接的方式来扩展端口的数量,将VLAN的范围从一台交换机扩展到另一台交换机,节省了网络硬件的成本,从而扩展整个网络。
TRUNK可通过的VLAN范围缺省下是1~1005,可以修改,但必须激活Trunk协议。
使用Trunk的端口不在任何VLAN中。
在校园网建设时,Trunk绝对是必需的.在设置Trunk后,Trunk链路不属于任何一个VLAN.Trunk链路在交换机之间起着VLAN管道的作用,交换机会将该Trunk以外及Trunk中的端口处于一个VLAN中的其他端口的负载自动分配到该Trunk中的各个端口.因为同一个VLAN中的端口之间会相互转发数据,而位于Trunk中的Trunk端口被当作一个端口来看待,因此在设置了Trunk后,该Trunk将自动加入其成员端口所属的VLAN中,而其成员端口则自动从VLAN中删除。
对于Trunk端口来说,其上允许通过的VLAN范围体现的是一种能力,与系统中是否存在对应的VLAN实体没有关系。
Trunk技术具有以下优点:
1 可以在不同的交换机之间连接多个VLAN,可以将VLAN扩展到整个网络中;
2 Trunk可以捆绑任何相关的端口,也可以随时取消设置,提供了很高的灵活性;
3 Trunk可以提供负载均衡能力以及系统容错.由于Trunk实时平衡各个交换机端口和服务器接口的流量,若某个端口出现故障,它会自动把故障端口从Trunk组中撤消,进而重新分配各个Trunk端口的流量,从而实现系统容错。
(二)VTP协议
VLAN中继协议最早由思科公司提出的。
作为思科VLAN技术的重要组成部分,VTP减少了跨越网络设置VLAN的管理任务,减少了配置的不连续性。
VLAN干道协议是VLAN动态协议的一种,它能自动的在网络中传播VLAN的各种配置信息,因此能保持VLAN在网络中的连续性和统一性,VTP是一个交换机到交换机,交换机到路由器VLAN管理协议。
VTP是一种消息协议,它通过一台工作在服务器模式下的交换机,通过使用二层中继Frame在整个网络中负责管理VLAN的添加,删除和重命名。
从而保证VLAN在网络中的传播和统一,VTP负责在VLAN域内同步VLAN信息,能传播到每一台工作在客户机模式下的交换机中,从而简化了网络管理员的配置量,也减少了错误率。
图2.1为VTP的报文格式。
图2.1VTP报文格式
VTP要从Trunk中传输,所以一般VTP报文会封装在ISL或者dot1q中。
2.2.1VTP具有如下的优点:
1 VLAN配置在整个网络中都不变,且都保持一致;
2 在混合介质的网络中允许一个VLAN被中继的映射机制,能跨多个交换机;
3 能对VLAN进行精确的跟踪和控制;
4 全网范围内增加VLAN的动态报告。
为了在网络中管理和建立VLAN,所以必须建立一个VLAN管理域。
在域中能有相同的VLAN信息,在交换网络中,多个交换机构成了一个域。
VTP管理域由一组共享VTP域名的互联设备组成,同一VTP域中所有交换机共享它们的VLAN信息。
而且信息均相同,每个设备只能工作在一个VTP域,不同域中的交换机不能共享一个域中的VTP消息。
2.2.2VTP共有三种操作模式,分为服务器模式、客户机模式和透明模式。
1 服务器模式Server
当一台未经配置的思科交换机第一次工作的时候,它的默认配置模式是服务器模式。
VLAN在VTP服务器上被创建的时候,和其他VLAN配置信息一起存储在服务器的NVRAM并且当交换机重启的时候,配置信息还是被保留不会消失。
服务器模式中维持着该VTP域中所有VLAN信息列表,可以增加、删除或修改VLAN,VTP服务器周期性地广播VTP域名、VLAN配置,提供现行的配置修改号。
修改号是VTP域的一部分,它确保VTP域内的所有交换机有现行的、正确的VLAN配置信息。
2 客户机模式Client
客户交换机在NVRAM存储VLAN配置。
当客户交换机重启的时候,所有的VLAN配置信息丢失。
交换机启动完成后,需要发送一条VTP请求消息给VTP服务器,来获取现行的VLAN配置。
客户机只能从服务器模式下的交换机接收VLAN的各种信息,它也维护该VTP域中所有VLAN信息列表,但不能增加、删除或修改VLAN,任何变化的信息必须从VTPServer发布的通告报文中接收。
如果客户交换机要加入一个新的VLAN,VLAN必须被添加到VTP服务器上面去。
这样新的VLAN才能传递到所有的客户交换机。
当新的VLAN增加后,客户交换机上的端口会关联到新的VLAN。
3 透明模式Transparent
VTP透明模式和VTP客户模式不同,可以在交换机上手工配置本地的VLAN。
它如果是VTP域的一部分,可以从VTP服务器接收VLAN配置信息。
但是它不参与VTP工作,忽略所有接收到的VTP信息,但能够将接收到的VTP报文转发出去。
它只拥有本设备上的VLAN信息,它不会通知VTP域本地配置的VLAN。
所以,客户模式下的交换机也可以与透明模式下的交换机连接,交换各种VLAN信息。
(三)VLAN的帧标识
1.IEEE802.1Q帧标识
IEEE802.1Q标准是由IEEE于1999年颁布的用以标准化VLAN实现方案的草案,俗称DotOneQ,这个协议在以太网帧的基础上增加了VLAN头,从而利用VLANID在逻辑上把不同的用户划分为不同的工作组,把不同工作组限制在了二层,使它们之间不能相互通信。
802.1Q标准定义了基于端口的VLAN模型,即在标准的以太网帧中源地址后增加一个四字节的802.1Q帧头。
其中包括标签协议标识和标签控制信息。
标签协议标识:
TPID--TagProtocolIdentifier,它的值是8100,为两个字节,它表示在帧中添加了VLAN的标记。
标签控制信息:
TCI--TagControlInformation,为两个字节。
TCI包含三个域,分别为三个比特的Priority域来表示表示帧的优先级,一个比特的CFI--CanonicalFormatIndicator域,称为规范格式指示符,以及12个比特的VLANID域表示一个VLAN的ID号。
两个字节的VLAN名用1-32个字符表示,可以是字母和数字。
VLANID的数值范围是1-4094。
.2-1000用于EthernetVLANs,1002-1005是预留给FDDI和TokenRingVLANs的,1025-4094是扩展的VLANID,其他为保留号。
图2.2标准以太帧格式
图2.3IEEE802.1Q标准帧格式
802.1Q协议加入的Tag字段可以根据其携带的VLAN信息,表明该数据帧属于哪个VLAN,从而确定数据帧的属性。
2.ISL帧标识
ISL是Cisco设备独有的协议,只能用于Cisco网络设备之间的互联。
虽然它与802.1Q协议所采用的帧格式不同,但是可实现相同的功能。
ISL干道是Cisco私有,即指两交换机或其它设备的一条点对点连接线路。
ISL帧标签采用一种低延迟机制为单个物理路径上的多VLAN流量提供复用技术。
它主要用于实现交换机、路由器以及各节点之间的连接操作。
每台连接设备都必须采用ISL配置。
配置ISl的路由器支持VLAN内通信服务。
非ISL配置的设备,则用于接收由ISL封装的以太帧。
ISL作用于OSI模型第2层的数据链路层。
但是和802.1Q所不同的是,ISL通过协议头和协议尾封装了整个第2层的以太帧。
ISL是一种能在交换机间传送第2层任何类型的帧或上层协议的独立协议。
ISL所封装的帧可以是令牌环或快速以太网或者其它,它们在发送端和接收端之间维持不变地实现传送。
图2.3是ISL的帧格式。
图2.4ISL帧格式
各字段含义如下:
DA:
40位,组播目标地址。
Type:
4位,描述被封装的帧类型,0000表示Ethernet,0001表示TokenRing,0010表示FDDI,0011表示ATM。
User:
4位,此字段是Type字段的扩展定义或以太网优先级的4位描述符。
SA:
48位,传送此帧的源交换机MAC地址。
LEN:
16位,出了DA、Type、User、SA、LEN字段之外的帧长度。
AAAA03:
24位,IEEE802.2LLC头部。
HAS:
24位,组织唯一标识符OUI,即MAC地址的前三字节。
VLAN:
15位。
VLAN号,只使用低10位来表示0—1023个VLAN。
BPDU:
1位,标识是网桥协议数据单元BPDU,还是CDP帧。
INDEX:
16位,传送此帧的端口ID描述符,用于诊断。
RES:
16位,保留字段。
特征:
(1)由ASIC专用集成电路执行,它不干涉客户机站,客户机也不会看到ISL协议头,它能为路由器和路由器之间、交换机与交换机之间提供很好的工作效率。
(2)交换机间链路协议ISL用于实现两台交换机之间的VLAN中继。
它是一个信息包标记协议,在支持ISL接口上发送的帧由一个标准以太网帧及相关的VLAN信息组成。
(四)VLAN之间的通信
1.通过路由器实现VLAN间的通信
一个VLAN处在一个广播域中,VLAN之间在二层中是不能通信的,从而提高了网络的安全性,也解决了网络的广播控制问题。
如果想VLAN能通信,必须通过路由器或者三层交换机实现VLAN的通信。
可以利用路由器的多个端口实现VLAN间的路由选择。
这是最简单的一种方法,但是也是最浪费资源的一种方法,在现实生活中,路由器的造价往往很高,通过端口来实现VLAN路由选择的成本太高。
所以这种方法在现实中应用的很少,图2.5显示的是利用多个端口实现VLAN的路由选择。
图2.5利用路由器实现VLAN通信
2.通过三层交换实现VLAN通信
三层交换技术使一台交换机具有路由的功能。
传统的交换机工作在数据链路层,只能在第二层对数据进行转发,但是三层交换机能工作在网络层,并对数据进行高速转发,它解决了局域网中划分网段后必须通过路由器实现数据转发,和路由器造价高以及存在的网络瓶颈等问题。
三层交换技术的出现为VLAN的发展提供了更好的空间。
三层交换技术的原理是:
假设A和B要通信,A首先向交换机发送一个ARP请求包,寻找自己的缺省路由的MAC,然后将数据发送到交换机,若A和B在同一个子网中,直接通过二层转发出去,不再经过三层,若A和B不再同一个子网中,需要将数据转发到三层,在路由表中寻找匹配的条目,找到MAC地址,若存在直接在二层建立连接,使二层芯片处理数据通过二层转发可大大的节省时间,和提高效率。
若在表中无法找到相关项,需三层交换机将目的ip地址和路由表项对比,发送ARP数据包到目的主机,得到该主机的MAC地址,然后再二层转发。
原理如图2.6所示。
图2.6三层交换原理
3.通过设置单臂路由实现VLAN间的通信
路由器与交换机之间是通过外部线路连接的,这个外部线路只有一条,但是它在逻辑上是分开的,需要路由的数据包会通过这个线路到达路由器,经过路由后再通过此线路返回交换机进行转发。
所以大家给这种拓扑方式起了一个形象的名字——单臂路由。
采用单臂路由技术可以在使用路由器时,节约物理端口的使用,通常在路由器与交换机连接的一个物理端口上定义多个逻辑子端口,一个子端口连接一个VLAN。
图2.7通过设置单臂路由实现VLAN间的通信
这种基于单臂路由的VLAN通信模型不需要添加或更换路由器,交换机等网络设备;
基于原有网络拓扑结构,也不需要重新布线施工。
但是,作为中继链路的路由器端口往往成为限制VALN之间流量的主要瓶颈,单臂路由作为一种廉价的网络升级方案只适用于通信质量要求不高的情况,并不能完全取代路由器和三层交换机。
(五)VLAN的划分方式
VLAN的划分方式很重要,在设计和建设VLAN,实现VLAN应用时,首先要决定如何划分VLAN,即依据什么标准来组织VLAN成员。
下面介绍5种常见的划分方式,不同的划分方式代表不同的VLAN实现类型。
1.按端口划分VLAN
将交换机中的某些端口定义为一个单独的区域,从而形成一个VLAN。
同一VLAN中的计算机属于同一个网段,不同VLAN之间进行通信需要通过路由器。
基于端口的VLAN的优点是配置起来非常方便,只要在交换机上进行相关的设置就可以了,适用于网络环境比较固定的情况。
不足之处是不够灵活,当一台计算机需要从一个端口移动到另一个新的端口,而新端口与旧端口不属于同一个VLAN时,要修改端口的VLAN设置,或在用户计算机上重新配置网络地址,这样才能加入到新的VLAN中。
否则,这台计算机将无法进行网络通信。
基于端口的划分方式是最简单也是最常用的。
采用这种方式,将属于不同交换机端口的物理网段分在一个VLAN中,通过网络管理软件,根据VLAN__标识符将不同的端口分到相应的分组(VLAN)中。
例如,一个交换机的1、2、3端口被定义为VLAN1,同一交换机的4、5端口组成VLAN2,如图2.8所示。
图2.8按端口划分VLAN示意图
这样划分,允许各端口之间的通信,并允许共享型网络的升级。
遗憾的是,这种划分模式将虚拟网限制在了一台交
升级会员 