VLAN的规划与划分.docx
《VLAN的规划与划分.docx》由会员分享,可在线阅读,更多相关《VLAN的规划与划分.docx(19页珍藏版)》请在冰豆网上搜索。
VLAN的规划与划分
摘要
随着信息时代的来临,信息网络在我国正处于飞速发展的阶段。
学校作为教育的前沿重地,为我国未来信息化人才提供重要的学习环境。
因此,校园网络的规模和应用水平将是体现学校教学环境和科研力量的重要组成部分.
本课题首先就xx学院校园网设计建设的相关知识技术要求做了必要的介绍然后基于工程建设实际,重点对校园网建设的需求分析、设计策略、网络拓扑结构、VLAN划分等方面进行了比较详细的分析与描述,并给出具体的实施方案。
关键字:
校园网,规划,设计
ABSTRACT
Alongwiththecomingofinformationera,informationnetworkofourcountryhasbeendevelopedataveryrapidspeed。
Atthefrontlineofeducationsystem,schoolshavethetasktoprovidegoodstudyenvironmentoftrainingthefuturetalentsinthefieldofinformationizationforourcountry.
ThisstudyhasfirstlyintroducedtheconcernedKnowledgeandtechnicalrequirementsofdesigningandconstructingtheweb—campusofxxcollege,andthenAnalyzedanddescribedindetailthedemandanalysis,designstrategy,networktopologystructureandVLANpartitionofconstructingaweb-campusbasedonpracticalprojectconstructionandfinallyproposedaspecificschemeofimplementation.
Keywords:
campus,network,planninganddesign
第1章引言
IEEE于1999年颁布了用以标准化VLAN实现方案的802。
1Q协议标准草案。
VLAN技术的出现,使得管理员根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。
由VLAN的特点可知,一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
交换技术的发展,也加快了新的交换技术(VLAN)的应用速度。
通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播.在共享网络中,一个物理的网段就是一个广播域。
而在交换网络中,广播域可以是一组任意选定的第二层网络地址(MAC地址)组成的虚拟网段.这样,网络中工作组的划分可以突破共享网络中的地理位置限制,而完全根据管理功能来划分.这种基于工作流的分组模式,大大提高了网络规划和重组的管理功能。
在同一个VLAN中的工作站,不论它们实际与哪个交换机连接,它们之间的通讯就好像在独立的交换机上一样。
同一个VLAN中的广播只有VLAN中的成员才能听到,而不会传输到其他的VLAN中去,这样可以很好的控制不必要的广播风暴的产生。
同时,若没有路由的话,不同VLAN之间不能相互通讯,这样增加了企业网络中不同部门之间的安全性。
网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的信息互访。
交换机是根据交换机的端口来划分VLAN的.所以,用户可以自由的在企业网络中移动办公,不论他在何处接入交换网络,他都可以与VLAN内其他用户自如通讯。
VLAN网络可以是有混合的网络类型设备组成,比如:
10M以太网、100M以太网、令牌网、FDDI、CDDI等等,可以是工作站、服务器、集线器、网络上行主干等等。
VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问.
VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。
虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络.
第2章VLAN的技术介绍
2。
1什么是VLAN
VLAN(VirtualLocalAreaNetwork)又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。
一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。
2。
2组建VLAN的条件
VLAN是建立在物理网络基础上的一种逻辑子网,因此建立VLAN需要相应的支持VLAN技术的网络设备。
当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备——要实现路由功能,既可采用路由器,也可采用三层交换机来完成。
2.3三层交换技术
传统的路由器在网络中有路由转发、防火墙、隔离广播等作用,而在一个划分了VLAN以后的网络中,逻辑上划分的不同网段之间通信仍然要通过路由器转发。
由于在局域网上,不同VLAN之间的通信数据量是很大的,这样,如果路由器要对每一个数据包都路由一次,随着网络上数据量的不断增大,路由器将不堪重负,路由器将成为整个网络运行的瓶颈.
在这种情况下,出现了第三层交换技术,它是将路由技术与交换技术合二为一的技术。
三层交换机在对第一个数据流进行路由后,会产生一个MAC地址与IP址的映射表,当同样的数据流再次通过时,将根据此表直接从二层通过而不是再次路由,从而消除了路由器进行路由选择而造成网络的延迟,提高了数据包转发的效率,消除了路由器可能产生的网络瓶颈问题.可见,三层交换机集路由与交换于一身,在交换机内部实现了路由,提高了网络的整体性能.
在以三层交换机为核心的千兆网络中,为保证不同职能部门管理的方便性和安全性以及整个网络运行的稳定性,可采用VLAN技术进行虚拟网络划分。
VLAN子网隔离了广播风暴,对一些重要部门实施了安全保护;且当某一部门理位置发生变化时,只需对交换机进行设置,就可以实现网络的重组.
随着网络硬件性能的不断提高、成本的不断降低,目前新建立的校园网基本上都采用了性能先进的千兆网技术,其核心交换机采用三层交换机,它能很好地支持虚拟局域网(VLAN)技术,这对方便校园网的管理、保证校园网的高速可靠运行起到了非常重要的作用。
2.4VLAN技术的应用
近来参加了不少医院网络方案的讨论和评标活动,在几乎所有医院的方案中都或多或少地采用了虚拟局域网(VLAN)技术,但笔者发现大多数方案中的VLAN设计都存在一个共同且致命的缺陷,那就是VLAN跨越网络的核心。
本文就这个问题谈一谈自己的看法,供同行们参考。
2。
4。
1VLAN相互受影响
根据VLAN的定义和技术规范,VLAN不是由独享的物理设备和物理链路搭建的物理子网或网段,VLAN与实实在在的物理子网的本质区别在于,VLAN之间要共享物理设备和物理链路,因此,VLAN间就会通过所共享的设备和链路相互影响。
这种影响是如何产生的呢?
VLAN是通过将一个物理拓扑中的两个或多个节点通过逻辑组合而形成的,要想实现这种逻辑的组合就必须使用支持VLAN的交换设备,但真正提供VLAN功能的是这些设备内部的软件。
也就是说,VLAN所构造的子网(广播域)是软件实现的,而不是由网络拓扑所决定的.网络拓扑仅对由软件所建立的VLAN有所限制。
知道了VLAN的工作原理,就不难解释VLAN间的影响了,同一交换机上的不同VLAN要共享交换机、要争夺交换机的CPU和背板资源。
VLAN对交换机和链路的共享可分为两种类型:
一种是“广播共享",即VLAN划定的广播域贯穿共享设备和链路,换句话说广播共享是二层的共享.另一种我们称之为“路由共享”,也可以说是三层共享,在这种类型的共享中,不同VLAN的数据包是以路由(三层交换)方式穿过交换机的,通过的包基本上不具有一般的广播包(DHCP和特殊协议的广播除外).VLAN在“广播共享”网络资源时的相互影响要比“路由共享”时更大.
可清楚地看出所共享的网络资源(交换机和链路)。
在正常情况下,VLAN间的这种影响不被我们所注意,原因是共享的交换机有足够的交换能力,链路不是很拥挤,但在某一VLAN出现异常时(如感染病毒或出现环路)情况就不同了。
这时被感染VLAN(如VLAN1)中的大量数据帧将挤占该VLAN所及的所有交换机的CPU资源、背板带宽,并长时间占用物理链路,其他VLAN(如VLAN2)中的设备尽管“看”不到出现异常VLAN中的数据帧,但其所依赖的网络资源已被用尽,因此,VLAN1所覆盖的网络区域就会出现异常。
如果故障点发生在核心交换机附近,那么整个网络就有可能瘫痪。
这在各网络拓扑层交换机的性能相差不多的情况下尤为严重。
2。
4.2三层共享有作用
由VLAN的性质所决定,完全消除VLAN间的链路和设备的共享在理论上是不可能的。
我们所做的努力只能尽量减少相互影响的范围、降低相互影响的程度。
如何做到这一点呢?
在实践中我们总结出如下原则:
(1)应尽量避免在同一交换机中配置多个VLAN;
(2)不同物理位置上的交换机上的端口尽量不要划归到同一个VLAN。
前者较好理解,也容易实现,我们重点讨论后者,即如何做到VLAN不跨越核心交换机和拓扑结构的“层”。
可以看出,由于VLAN1(VLAN2也是这样)的范围跨越了整个网络,如果把所有VLAN的覆盖面都限定在核心交换机的同一侧,这些资源被共享的程度不就减轻了吗?
按此想法我们可以将网络改变.
由于在这种结构中不存在跨越核心交换机的虚网,因此各VLAN的广播包就不会穿过核心交换机,但这些广播包却均能到达核心交换机,同时核心交换机上还会有ACL允许的VLAN间的正常数据流通过。
很显然,这时的核心交换机既阻挡了各VLAN的广播包,又转发了VLAN间的正常数据流,其被共享的形式由“广播式”变成了“路由式”,受VLAN影响的程度变小.
有人可能会说,把核心交换机从二层提到了三层,性能会下降。
这种说法无疑是正确的,但这点性能的降低对于当今的三层交换机所能提供的性能来说已经算不得什么了.从图2还可以看出,尽管受单个VLAN影响的程度和范围均变小,但共享链路的长度和强度并没有本质的变化。
2。
4.3三层结构最有效
细心的读者可能还会发现,网络中的VLAN没有体现VLAN技术的原始目的——不同物理位置上的计算机能像在同一物理网中一样相互访问.这个问题正是本文涉及的核心问题,也是针对规划、部署VLAN提出的新观点:
在网络中,特别是较大型网络,不要企图利用VLAN去实现不同物理位置上计算机的互联互通,互通性要由路由策略去实现.这在以往会有些问题,但络技术发展到今天,交换机与路由器间的差别变得越来越小,原来用二层实现的方法很多都能够用三层技术所代替。
用三层技术代替二层的功能有很多优点,主要表现在:
结构更加清晰、控制更加丰富、扩展更加灵活、网络更加稳定、实现更加容易。
所存在的问题不难看出,尽管核心交换机被共享的形式改变了,但仍存在受到各VLAN出现异常情况的影响.要想避免核心交换机受到各个VLAN的影响、减小影响范围、避免全网瘫痪的发生,很容易想到在核心交换机和划有VLAN的交换机之间加上一层,以隔离核心交换机和各个VLAN。
这时就形成了目前较为流行的三层拓扑结构的网络。
在三层网络结构中,汇聚层与核心层之间的区域不再有VLAN,汇聚层交换机的VLAN也仅限于部分端口,这时汇聚层交换机成为被“路由共享”的交换机,而且这种“路由共享”的情况更弱。
如果使汇聚层交换机的性能远高于接入层的交换机,那么由VLAN的广播(多由病毒引起)所引起的整网瘫痪问题就基本解决了。
任何方案都具有利的一面和不利的一面,三层拓扑结构的网络也会带来一些问题:
(1)利用一般的手段较难实现对各个VLAN进行集中式的远程管理,对于这个问题的解决方案可充分利用网管软件。
(2)由于VLAN数量的增多、路由协议等技术的引入,此时的网络会比二层平面交换网络要复杂,对网络技术人员的要求更高,管理维护成本会有所增加。
这两点是大型网络管理本身的要求,大型网络的管理不可能不使用网络管理工具,技术人员的缺乏更是各个企业都面临的问题,对此有的专家提出了“IT物业"的理念,也许这就是将来解决这个问题的最终方案。
第3章VLAN的划分方式
3.1基于端口划分的VLAN
这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效,目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法.这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。
对于不同部门需要互访时,可通过路由器转发,并配合基于MAC地址的端口过滤。
对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上,设定可通过的MAC地址集。
这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。
从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都定义为相应的VLAN组即可。
适合于任何大小的网络。
它的缺点是如果某用户离开了原来的端口,到了一个新的交换机的某个端口,必须重新定义。
3。
2基于MAC地址划分VLAN
这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组,它实现的机制就是每一块网卡都对应唯一的MAC地址,VLAN交换机跟踪属于VLANMAC的地址。
这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时,自动保留其所属VLAN的成员身份,由这种划分的机制可以看出,这种VLAN的划分方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,因为它是基于用户,而不是基于交换机的端口.这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千名用户的话,配置是非常累的,所以这种划分方法通常适用于小型局域网。
而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,保存了许多用户的MAC地址,查询起来相当不容易.另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样VLAN就必须经常配置。
3。
3基于网络层协议划分VLAN
VLAN按网络层协议来划分,可分为IP、IPX、DECent、AppleTalk、Banyan等VLAN网络.这种按网络层协议来组成的VLAN,可使广播域跨越多个VLAN交换机。
这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。
而且,用户可以在网络内部自由移动,但其VLAN成员身份仍然保留不变.
这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量.这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法),一般的交换机芯片都可以自动检查网络上数据包的以太网祯头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时。
当然,这与各个厂商的实现方法有关。
3。
4根据IP组播划分VLAN
IP组播实际上也是一种VLAN的定义,即认为一个IP组播组就是一个VLAN.这种划分的方法将VLAN扩大到了广域网,因此这种方法具有更大的灵活性,而且也很容易通过路由器进行扩展,主要适合于不在同一地理范围的局域网用户组成一个VLAN,不适合局域网,主要是效率不高。
3.5按策略划分VLAN
基于策略组成的VLAN能实现多种分配方法,包括VLAN交换机端口、MAC地址、IP地址、网络层协议等。
网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN。
3。
6按用户定义、非用户授权划分VLAN
基于用户定义、非用户授权来划分VLAN,是指为了适应特别的VLAN网络,根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可以加入。
第4章需求分析
4。
1划分VLAN的原因
VLAN是跨越多个物理LAN网段的逻辑广播域,人们设计VLAN来为工作站提供独立的广播域,这些工作站是依据其功能、项目组或应用而不顾其用户的物理位置而逻辑分段的.当一个交换机上的所有端口中有至少一个端口属于不同网段的时候,当路由器的一个物理端口要连接2个或者以上的网段的时候,就是VLAN发挥作用的时候,这就是需要划分VLAN的原因。
4.2划分VLAN的优点
●广播风暴防范
限制网络上的广播,将网络划分为多个VLAN可减少参与广播风暴的设备数量.LAN分段可以防止广播风暴波及整个网络。
●安全
增强局域网的安全性,含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露机密信息的可能性。
●成本降低
成本高昂的网络升级需求减少,现有带宽和上行链路的利用率更高,因此可节约成本.
●性能提高
将第二层平面网络划分为多个逻辑工作组(广播域)可以减少网络上不必要的流量并提高性能。
●提高IT员工效率
VLAN为网络管理带来了方便,因为有相似网络需求的用户将共享同一个VLAN。
●简化项目管理或应用管理
VLAN将用户和网络设备聚合到一起,以支持商业需求或地域上的需求。
●增加了网络连接的灵活性
借助VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境,就像使用本地LAN一样方便、灵活、有效。
VLAN可以降低移动或变更工作站地理位置的管理费用,特别是一些业务情况有经常性变动的公司使用了VLAN后,这部分管理费用大大降低。
所以在校园网VLAN中有必要对VLAN进行细化的划分,使划分中的VLAN的能够更好,更灵便的完成在整个校园网建设中所赋予的工作。
第5章网络拓扑结构
5。
1概述
拓扑这个名词是从几何学中借用来的。
网络拓扑是网络形状,或者是它在物理上的连通性。
构成网络的拓扑结构有很多种。
网络拓扑结构是指用传输媒体互连各种设备的物理布局,就是用什么方式把网络中的计算机等设备连接起来.拓扑图给出网络服务器、工作站的网络配置和相互间的连接,它的结构主要有星型结构、环型结构、总线结构、分布式结构、树型结构、网状结构、蜂窝状结构等.
环型结构在LAN中使用较多,这也是接下来我们将使用到得结构。
这种结构中的传输媒体从一个端用户到另一个端用户,直到将所有的端用户连成环型。
数据在环路中沿着一个方向在各个节点间传输,信息从一个节点传到(如下图5—1)
图5—1网络拓扑结构
另一个节点。
这种结构显而易见消除了端用户通信时对中心系统的依赖性.
环行结构的特点是:
每个端用户都与两个相临的端用户相连,因而存在着点到点链路,但总是以单向方式操作,于是便有上游端用户和下游端用户之称;信息流在网中是沿着固定方向流动的,两个节点仅有一条道路,故简化了路径选择的控制;环路上各节点都是自举控制,故控制软件简单。
5。
2校园网的拓扑图
校园网拓扑图如下图1—2所示
图5—2xx校园网建成拓扑图
校园网网络系统从设计上一般分为核心层、汇聚层和接入层三个部分;从功能上基本可分为网络中心、教学子网、办公子网、图书馆子网、宿舍区子网及后勤子网等。
●核心层
网络提供了骨干组件或高速交换组件核心层的功能主要是实现骨干网络之间的优化传输,负责整个校园网的网内数据交换。
网络的功能控制最好尽量少在骨干层上实施.
●中心交换机
中心交换机应是路由交换机,支持主流的园区骨干技术,需具备较高的路由转发速率,最好是线速的。
中心交换机应具有很高的交换背板容量和包转发率,如背板容量在100Gbps以上。
●汇聚层
汇聚层主要负责连接入层接点和核心层中心,汇聚各区域数据流量,必要时,作为网络冗余连接使用。
同时,汇聚交换机还负责本区域内的数据交换。
汇聚交换机一般与中心交换机同类型,仍需要较高的性能和比较丰富的功能,但吞吐量较低。
●接入层
接入层在整个网络中接入交换机的数量最多,具有即插即用的特性。
对此类交换机的要求,一是价格合理;二是可管理性好,易于使用和维护;三是有足够的吞吐量;四是稳定性好,能够在比较恶劣的环境下稳定工作。
同时优先级设定和带宽交换等优化网络资源的设置也在接入层完成。
网络拓扑结构采用分层式设计,共分三层:
核心层,汇聚层,接入层.分层设计可以使整个网络自上而下具有很大的弹性,便于策略的维护和实施。
第6章VLAN的规划与划分
6.1校园网平面图及规划分析
(1)学生宿舍楼网络平面图
图6-1学生宿舍平面图
学生公寓有6层楼,每层楼有13个宿舍,1个控制室,14个端口,共6层楼,共需84个端口。
4栋共需336个端口,划分为vlan1-vlan16。
(2)教师公寓网络平面图
图6-2教师公寓平面图
教师公寓有6层楼,每层楼有13个宿舍,1个控制室,14个端口,共6层楼,共需84个端口.划分为vlan17-vlan20。
(3)教学楼平面图
图6—3教学楼平面图
教学楼有6层楼,每层楼有8个教室,1个控制室,其中的一层的控制室旁边是广播室,9个端口,共6层楼,共需54个端口,3栋共需162个端口。
划分为vlan21—vlan29。
(4)实验室平面图
图6—4实验室平面图
实验室有6层楼,每层楼4个实验室,一个控制室,5个端口,共30个端口,划分为vlan30-vlan31。
(5)图书馆平面图
图6—5图书馆平面图
图书馆电脑主要在阅览室,每个阅览室配备30台电脑,2层,60个端口,划分为vlan32-vlan34。
(6)办公楼平面图
图6—6办公楼平面图
办公楼有6层楼,每层楼有13个办公室,1个控制室,14个端口,共6层楼,共需84个端口。
划分为vlan35—vlan38。
6.2建表格划分表格
表6—1VLAN划分表格
安放地址
使用者
IP规划
备注
校园内主交换机
校园网管理者
学生公寓1
学生
Vlan1-vlan4
学生公寓2
学生
Vlan5-vlan8
学生公寓3
学生
Vlan9—vlan12
学生公寓4
学生
Vlan13—vlan16
教师公寓
教师
Vlan17-vlan20
教学楼1
师生
Vlan21—vlan23
教学楼2
师生
Vlan24—vlan26
教学楼3
师生
Vlan27-vlan29
实验室
师生
Vlan30—vlan31
图书馆
师生
Vlan32—vlan34
办公楼
办公人员
升级会员 