课题vlan技术优化局域网论文Word下载.docx

1、二、VLAN技术的讨论 5（一）TRUNK链路技术 5（二）VTP协议 6（三）VLAN的帧标识 8（四）VLAN之间的通信 10（五）VLAN的划分方式 12（六）VLAN间通信 16三、VLAN技术在校园网中的设计 18（一）网络设备的选择 18（二）校园网络的设计 19（三）校园网IP的规划 20（四）VLAN在网络中的划分 20四、VLAN技术在校园网中的测试 23（一）基于RIP协议的测试 24（二）基于OSPF协议的测试 26总结 28参考文献 29致谢 30一、概述（一）VLAN技术背景1. VLAN技术产生背景虚拟网技术（VLAN，Virtual Local Area Netw

2、ork）的诞生主要源于广播。广播在网络中起着非常重要的作用，如发现新设备、调整网络路径、IP地址租赁等等，许多网络协议都要用到广播，局域网通常被定义为一个单独的广播域，主要使用集线器或交换机等网络设备连接同一网段内的所有节点。然而，随着网络内计算机数量的增多，广播包的数量也会急剧增加，网络的传输效率将会明显下降。所以当所有的网络节点都处于同一个广播域内，这大大增加了网络中所有设备之间的数据流量。随着网络的不断扩充，很有可能出现广播风暴，导致整个网络无法使用。在网络中的数据保密要求和网络的组织结构上的要求等这些问题都促使了虚拟局域网的诞生。2. VLAN技术的定义VLAN （ Virtual L

3、ocal Area Network）即虚拟局域网， 是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。虚拟网络是在整个网络中通过网络交换设备建立的虚拟工作组。虚拟网在逻辑上等于OSI 模型的第三层的广播域， 与具体的物理网及地理位置无关， 虚拟工作组可以包含不同位置的部门和工作组， 不必在物理上重新配置任何端口， 真正实现了网络用户与它们的物理位置无关。它以其高速、灵活、管理简便和扩充容易得到了广泛应用。一方面， VLAN 建立在局域网交换机的基础之上;另一个方面， VLAN 是局域交换网的灵魂。VLAN 用户能方便的在网络中移动和快捷的组建宽带网络，

4、而无需改变任何硬件和通信线路。网络管理员能从逻辑上对用户和网络资源进行分配， 而无需考虑物理连接方式。它与普通局域网从原理上讲没有什么不同， 但它与普通局域网最基本的差异体现在: VLAN 并不局限于某一网络或物理范围， VLAN 中的用户可以位于一个园区甚至国家的任意位置。IEEE于1999年颁布了用以标准化VLAN实现方案的802. 1Q协议标准草案。 3.VLAN技术的特征VLAN的特性使局域网的通信流量控制和数据保密性方面有了很大的提高，VLAN具有以下一些特征：1同一个VLAN中的所有成员共同拥有一个VLAN ID，在逻辑上组成一个虚拟局域网络；2同一个VLAN中的成员均能收到同一个

5、VLAN中的其他成员发来的广播包，但收不到其他VLAN中成员发来的广播包。不同的VLAN处在不同的广播域中；3不同VLAN的成员之间不可相互直接通信，需要通过路由支持才能相互通信，而同一VLAN中的成员通过VLAN交换机可以直接通信，不需路由支持。4.VLAN技术的发展随着VLAN技术的逐渐发展，出现了VLAN中继协议和动态VLAN等技术，现在宽带网络中实现的VLAN基本上能满足广大网络用户的需求，但其网络中的流量控制和数据保密性仍然存在很多问题。现在已有的VTP技术、STP技术，基于三层交换的VLAN技术等在VLAN使用中存在网络效率的问题， IEEE正在制定和完善IEEE802.1S和IE

6、EE802.1W 来改善VLAN的各种技术。随着各种技术的逐步完善，VLAN也将在未来的网络中发挥出更多的功能。5.VLAN技术的应用现在VLAN主要应用在以太局域网中，也可以用在ATM网络中。因为现在很多的局域网均采用以太网，所以它适用于现在大部分企业、学校的局域网中，它能够隔离不同工作组的数据，因为一个VLAN内的用户不能和其它VLAN内的用户直接通信，所以可以保护用户的数据安全，减少网络的拥堵情况，提高网络的传输效率。而且同一工作组的用户也不必局限于某一固定的物理范围，网络的构建和维护更方便灵活，这些种种的优点都使VLAN在局域网中广泛应用。6. VLAN技术的优点1增加了网络连接的灵活

7、性网络管理员对网络工作站可以按业务功能, 而不必按地理位置分组。VLAN 可以降低移动或变更工作站地理位置的管理费用, 特别是一些业务情况有经常性变动的公司使用了VLAN 后, 这部分管理费用大大降低。2有效地控制网络上的广播风暴VLAN 可以提供建立防火墙的机制, 防止交换网络的过量广播风暴。使用VLAN, 可以将某个交换端口或用户赋于某一个特定的VLAN 组。该VLAN 组可以在一个交换网中或跨接多个交换机, 在一个VLAN 中的广播风暴不会送到VLAN 之外。同样, 相邻的端口不会收到其他VLAN 产生的广播风暴。这样, 可以减少广播流量, 释放带宽给用户应用, 减少广播风暴的产生。3增

8、加网络的安全性人们在LAN 上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组, 网络管理员限制了VLAN 中用户的数量, 禁止未经允许而访问VLAN 中的应用。交换端口可以基于应用类型和访问特权来进行分组, 被限制的应用程序和资源一般置于安全性VLAN 中。4增加了集中化的管理控制通过集中化的VLAN 管理程序, 网络管理员可以确定VLAN 组, 分配特定用户和交换端口给这些VLAN组, 设置安全性等级, 限制广播域的大小, 通过冗余链路负载分担网络流量, 跨越交换机配置VLAN 通信, 监控交通流量和VLAN 使用

9、的网络带宽。这些能力有效地提高了网络管理程序的可控性、灵活性和监视功能,减少了管理的费用。 7. VLAN技术的局限性随着网络的迅速发展，用户对于网络数据通信的安全性提出了更高的要求，都要求保证网络用户通信的相对安全性,要求能防范各种病毒和攻击等，现在一般使用的做法是给每个客户分配一个VLAN和相关的IP子网，通过使用VLAN，每个客户被从第二层隔离开，可以防止任何恶意的获取资料的行为和以太网数据的信息探听。但是，这种分配每个客户单一VLAN和IP子网的模式造成了巨大的可扩展方面的局限。这些局限主要有以下几个方面。1VLAN数目的限制：交换机上固有的对VLAN数目的限制；2复杂的STP：对于每

10、个VLAN，每个相关的Spanning Tree的拓扑都需要管理，造成了交换机的巨大负载；3IP地址的紧缺：IP子网的划分一定会造成一些IP地址的浪费，造成资源浪费；4路由的限制：每个VLAN在路由器或者三层交换机上都需要相应的默认的网关的配置。（二）本课题的意义1.本课题的意义随着高校信息化建设的不断深入, 高校网络建设的规模也在不断扩大, 同时校园网多媒体教学、数据安全保障以及高速网络交换的大量应用, 使网络数据流量骤然增大, 各种问题和故障也层出不穷。因此,如何构建高效、稳定、易管理的校园网, 增强校园网的安全性和可控性，已经成为高等院校网络管理人员面临的重点课题, 也是提高学校信息化应

11、用水平和整体投资效益的关键。VLAN 技术在校园网内的应用，不但使得校园网络更加的安全，快速，并且也减轻了网络管理员的工作，保证了各个部门不同的要求和信息的安全，因此VLAN技术在校园局域网内的应用是明智之举。在本文中主要使用基于端口的VLAN 技术对校园网进行设计,具体实现了以下几个方面的作用:1通过VLAN 的划分, 控制内部各VLAN间的访问范围和权限, 从而保障子网通信安全。2避免了IP 地址使用混乱的情况. 随着校园网规模增大, 往往会出现IP 地址使用混乱和IP 地址盗用的状况. 通过划分VLAN, 各部门的IP 地址是固定的一个地址段, VLAN 之间不能互相盗用地址, 管理起来

12、条理非常清楚。3充分利用网络带宽, 防止了广播风暴的产生, 提高了网络传输效率。当然VLAN 在校园网的应用有利也有弊, 由于它是根据端口逻辑地址进行网络划分, 管理员无法很清楚地将网络的物理布局与逻辑结构相联系, 这就要网络管理人员非常熟悉和了解网络设备的物理连接和逻辑连接, 只有充分发挥它的长处, 扬长避短, 才能使校园网畅通无阻, 充分发挥作用。二、VLAN技术的讨论（一）TRUNK链路技术Trunk 技术是在两台交换机之间建立一条点到点的链路, 每台交换机的相应端口称为中继端口。一条中继链路可以传输多个VLAN 的数据流, 并允许用户将VLAN 的范围从一台交换机扩展到另一台交换机。T

13、runk是一种封装技术,它是在两台交换机之间的一条点到点链路,主要功能就是仅通过一条链路就可以连接多个交换机,从而扩展已配置的多个VLAN,传输多个VLAN 的数据流。还可以采用通过Trunk技术和上级交换机级连接的方式来扩展端口的数量,将VLAN的范围从一台交换机扩展到另一台交换机,节省了网络硬件的成本,从而扩展整个网络。TRUNK 可通过的VLAN 范围缺省下是11005, 可以修改, 但必须激活Trunk协议。使用Trunk 的端口不在任何VLAN 中。在校园网建设时, Trunk绝对是必需的. 在设置Trunk后, Trunk链路不属于任何一个VLAN. Trunk链路在交换机之间起着

14、VLAN管道的作用,交换机会将该Trunk以外及Trunk中的端口处于一个VLAN中的其他端口的负载自动分配到该Trunk中的各个端口. 因为同一个VLAN中的端口之间会相互转发数据,而位于Trunk中的Trunk端口被当作一个端口来看待,因此在设置了Trunk后,该Trunk将自动加入其成员端口所属的VLAN中,而其成员端口则自动从VLAN中删除。对于Trunk端口来说,其上允许通过的VLAN范围体现的是一种能力,与系统中是否存在对应的VLAN实体没有关系。Trunk技术具有以下优点:1可以在不同的交换机之间连接多个VLAN,可以将VLAN扩展到整个网络中;2Trunk可以捆绑任何相关的端口

15、,也可以随时取消设置,提供了很高的灵活性;3Trunk可以提供负载均衡能力以及系统容错. 由于Trunk实时平衡各个交换机端口和服务器接口的流量,若某个端口出现故障,它会自动把故障端口从Trunk组中撤消,进而重新分配各个Trunk端口的流量,从而实现系统容错。（二）VTP协议VLAN中继协议最早由思科公司提出的。作为思科VLAN技术的重要组成部分，VTP减少了跨越网络设置VLAN的管理任务，减少了配置的不连续性。VLAN干道协议是VLAN动态协议的一种，它能自动的在网络中传播VLAN的各种配置信息，因此能保持VLAN在网络中的连续性和统一性， VTP是一个交换机到交换机，交换机到路由器VLA

16、N管理协议。VTP是一种消息协议，它通过一台工作在服务器模式下的交换机，通过使用二层中继Frame在整个网络中负责管理VLAN的添加，删除和重命名。从而保证VLAN在网络中的传播和统一，VTP负责在VLAN域内同步VLAN信息，能传播到每一台工作在客户机模式下的交换机中，从而简化了网络管理员的配置量，也减少了错误率。图2.1为VTP的报文格式。图2.1 VTP报文格式VTP要从Trunk中传输，所以一般VTP报文会封装在ISL或者dot1q中。2.2.1 VTP具有如下的优点：1VLAN配置在整个网络中都不变，且都保持一致；2在混合介质的网络中允许一个VLAN被中继的映射机制，能跨多个交换机；

17、3能对VLAN进行精确的跟踪和控制；4全网范围内增加VLAN的动态报告。为了在网络中管理和建立VLAN，所以必须建立一个VLAN管理域。在域中能有相同的VLAN信息，在交换网络中，多个交换机构成了一个域。VTP管理域由一组共享VTP域名的互联设备组成，同一VTP域中所有交换机共享它们的VLAN信息。而且信息均相同，每个设备只能工作在一个VTP域，不同域中的交换机不能共享一个域中的VTP消息。2.2.2 VTP共有三种操作模式，分为服务器模式、客户机模式和透明模式。1服务器模式Server当一台未经配置的思科交换机第一次工作的时候，它的默认配置模式是服务器模式。VLAN在VTP服务器上被创建的时

18、候，和其他VLAN配置信息一起存储在服务器的NVRAM并且当交换机重启的时候，配置信息还是被保留不会消失。服务器模式中维持着该VTP域中所有VLAN信息列表，可以增加、删除或修改VLAN，VTP服务器周期性地广播VTP域名、VLAN配置，提供现行的配置修改号。修改号是VTP 域的一部分，它确保VTP 域内的所有交换机有现行的、正确的VLAN 配置信息。2客户机模式Client客户交换机在NVRAM存储VLAN配置。当客户交换机重启的时候，所有的VLAN 配置信息丢失。交换机启动完成后，需要发送一条VTP 请求消息给VTP服务器，来获取现行的VLAN 配置。客户机只能从服务器模式下的交换机接收V

19、LAN的各种信息，它也维护该VTP域中所有VLAN信息列表，但不能增加、删除或修改VLAN，任何变化的信息必须从VTP Server发布的通告报文中接收。如果客户交换机要加入一个新的VLAN，VLAN必须被添加到VTP 服务器上面去。这样新的VLAN 才能传递到所有的客户交换机。当新的VLAN 增加后，客户交换机上的端口会关联到新的VLAN。3透明模式TransparentVTP透明模式和VTP客户模式不同，可以在交换机上手工配置本地的VLAN。它如果是VTP 域的一部分，可以从VTP 服务器接收VLAN 配置信息。但是它不参与VTP工作，忽略所有接收到的VTP信息，但能够将接收到的VTP报文

20、转发出去。它只拥有本设备上的VLAN信息，它不会通知VTP 域本地配置的VLAN。所以，客户模式下的交换机也可以与透明模式下的交换机连接，交换各种VLAN信息。（三）VLAN的帧标识1. IEEE 802.1Q帧标识IEEE802.1Q标准是由IEEE于1999年颁布的用以标准化VLAN实现方案的草案,俗称Dot One Q ， 这个协议在以太网帧的基础上增加了VLAN头，从而利用VLAN ID在逻辑上把不同的用户划分为不同的工作组，把不同工作组限制在了二层，使它们之间不能相互通信。802.1Q标准定义了基于端口的VLAN模型，即在标准的以太网帧中源地址后增加一个四字节的802.1Q帧头。其中

21、包括标签协议标识和标签控制信息。标签协议标识：TPID-Tag Protocol Identifier，它的值是8100，为两个字节，它表示在帧中添加了VLAN的标记。标签控制信息：TCI-Tag Control Information，为两个字节。TCI包含三个域，分别为三个比特的Priority域来表示表示帧的优先级，一个比特的CFI-Canonical Format Indicator域，称为规范格式指示符，以及12个比特的VLAN ID域表示一个VLAN的ID号。两个字节的VLAN名用1-32个字符表示，可以是字母和数字。VLAN ID的数值范围是1-4094。.2-1000用于Eth

22、ernet VLANs，1002-1005是预留给FDDI和Token Ring VLANs的，1025-4094是扩展的VLAN ID，其他为保留号。图2.2 标准以太帧格式图2.3 IEEE802.1Q标准帧格式802.1Q协议加入的Tag字段可以根据其携带的VLAN信息，表明该数据帧属于哪个VLAN，从而确定数据帧的属性。2.ISL帧标识ISL是Cisco设备独有的协议，只能用于Cisco网络设备之间的互联。 虽然它与802.1Q协议所采用的帧格式不同，但是可实现相同的功能。ISL 干道是 Cisco 私有，即指两交换机或其它设备的一条点对点连接线路。ISL 帧标签采用一种低延迟机制为单

23、个物理路径上的多 VLAN 流量提供复用技术。它主要用于实现交换机、路由器以及各节点之间的连接操作。每台连接设备都必须采用 ISL 配置。配置ISl的路由器支持 VLAN 内通信服务。非 ISL 配置的设备，则用于接收由 ISL 封装的以太帧。ISL作用于 OSI 模型第2层的数据链路层。但是和802.1Q所不同的是，ISL通过协议头和协议尾封装了整个第2层的以太帧。ISL 是一种能在交换机间传送第2层任何类型的帧或上层协议的独立协议。ISL 所封装的帧可以是令牌环或快速以太网或者其它，它们在发送端和接收端之间维持不变地实现传送。图2.3是ISL的帧格式。图2.4 ISL帧格式各字段含义如下：

24、DA：40位，组播目标地址。Type：4位，描述被封装的帧类型，0000表示Ethernet，0001表示Token Ring，0010表示FDDI，0011表示ATM。User：4位，此字段是Type字段的扩展定义或以太网优先级的4位描述符。SA：48位，传送此帧的源交换机MAC地址。LEN：16位，出了DA、Type、User、SA、LEN字段之外的帧长度。AAAA03：24位， IEEE802.2LLC头部。HAS：24位，组织唯一标识符OUI，即MAC地址的前三字节。VLAN：15位。VLAN号，只使用低10位来表示01023个VLAN。BPDU：1位，标识是网桥协议数据单元BPDU，

25、还是CDP帧。INDEX：16位，传送此帧的端口ID描述符，用于诊断。RES：16位，保留字段。特征：（1）由ASIC专用集成电路执行，它不干涉客户机站，客户机也不会看到 ISL协议头，它能为路由器和路由器之间、交换机与交换机之间提供很好的工作效率。（2）交换机间链路协议ISL用于实现两台交换机之间的VLAN中继。它是一个信息包标记协议，在支持ISL接口上发送的帧由一个标准以太网帧及相关的VLAN信息组成。（四）VLAN之间的通信1. 通过路由器实现VLAN间的通信一个VLAN处在一个广播域中，VLAN之间在二层中是不能通信的，从而提高了网络的安全性，也解决了网络的广播控制问题。如果想VLAN

26、能通信，必须通过路由器或者三层交换机实现VLAN的通信。可以利用路由器的多个端口实现VLAN间的路由选择。这是最简单的一种方法，但是也是最浪费资源的一种方法，在现实生活中，路由器的造价往往很高，通过端口来实现VLAN路由选择的成本太高。所以这种方法在现实中应用的很少，图2.5显示的是利用多个端口实现VLAN的路由选择。图2.5 利用路由器实现VLAN通信2.通过三层交换实现VLAN通信三层交换技术使一台交换机具有路由的功能。传统的交换机工作在数据链路层，只能在第二层对数据进行转发，但是三层交换机能工作在网络层，并对数据进行高速转发，它解决了局域网中划分网段后必须通过路由器实现数据转发，和路由器

27、造价高以及存在的网络瓶颈等问题。三层交换技术的出现为VLAN的发展提供了更好的空间。三层交换技术的原理是：假设A和B要通信，A首先向交换机发送一个ARP请求包，寻找自己的缺省路由的MAC，然后将数据发送到交换机，若A和B在同一个子网中，直接通过二层转发出去，不再经过三层，若A和B不再同一个子网中，需要将数据转发到三层，在路由表中寻找匹配的条目，找到MAC地址，若存在直接在二层建立连接，使二层芯片处理数据通过二层转发可大大的节省时间，和提高效率。若在表中无法找到相关项，需三层交换机将目的ip地址和路由表项对比，发送ARP数据包到目的主机，得到该主机的MAC地址，然后再二层转发。原理如图2.6所示

28、。图2.6 三层交换原理3. 通过设置单臂路由实现VLAN间的通信路由器与交换机之间是通过外部线路连接的, 这个外部线路只有一条, 但是它在逻辑上是分开的, 需要路由的数据包会通过这个线路到达路由器, 经过路由后再通过此线路返回交换机进行转发。所以大家给这种拓扑方式起了一个形象的名字单臂路由。采用单臂路由技术可以在使用路由器时，节约物理端口的使用，通常在路由器与交换机连接的一个物理端口上定义多个逻辑子端口，一个子端口连接一个VLAN。图2.7通过设置单臂路由实现VLAN间的通信这种基于单臂路由的VLAN 通信模型不需要添加或更换路由器, 交换机等网络设备; 基于原有网络拓扑结构, 也不需要重新

29、布线施工。但是, 作为中继链路的路由器端口往往成为限制VALN 之间流量的主要瓶颈, 单臂路由作为一种廉价的网络升级方案只适用于通信质量要求不高的情况, 并不能完全取代路由器和三层交换机。（五）VLAN的划分方式VLAN 的划分方式很重要， 在设计和建设VLAN， 实现VLAN 应用时， 首先要决定如何划分VLAN， 即依据什么标准来组织VLAN 成员。下面介绍5种常见的划分方式， 不同的划分方式代表不同的VLAN 实现类型。1.按端口划分VLAN将交换机中的某些端口定义为一个单独的区域， 从而形成一个VLAN。同一VLAN 中的计算机属于同一个网段， 不同VLAN 之间进行通信需要通过路由器

30、。基于端口的VLAN 的优点是配置起来非常方便， 只要在交换机上进行相关的设置就可以了，适用于网络环境比较固定的情况。不足之处是不够灵活， 当一台计算机需要从一个端口移动到另一个新的端口， 而新端口与旧端口不属于同一个VLAN时， 要修改端口的VLAN 设置， 或在用户计算机上重新配置网络地址， 这样才能加入到新的VLAN 中。否则， 这台计算机将无法进行网络通信。基于端口的划分方式是最简单也是最常用的。采用这种方式， 将属于不同交换机端口的物理网段分在一个VLAN 中， 通过网络管理软件， 根据VLAN_标识符将不同的端口分到相应的分组（ VLAN ）中。例如， 一个交换机的1、2、3端口被定义为VLAN 1， 同一交换机的4、5端口组成VLAN 2， 如图2.8所示。图2.8 按端口划分VLAN示意图这样划分， 允许各端口之间的通信， 并允许共享型网络的升级。遗憾的是，这种划分模式将虚拟网限制在了一台交