徐建祥 姚凯
如今,有线电视宽带网的技术日益成熟,它利用现有的有线电视网通过Cable Modem进行高速接入Internet,由于它只占用有线电视网可用频谱的一部分,在用户上网时对电视和电话不产生任何影响,对于普通的拨号网和需要二次布线的光纤接入网来说具有得天独厚的优势,已经成为重要的网络服务提供商(ISP)之一。因此,如何管理好有线电视宽带网络成为重中之重,应运而生的虚拟局域网技术以其配置灵活、有效控制网络广播风暴、高效安全管理网络等优点成为解决此管理难题的有效措施。
1VLAN技术概述
所谓虚拟局域网技术是指处于不同物理位置的节点可以根据需要组成一个逻辑子网,即一个VLAN就是一个逻辑广播域,它可以扩展到多个网络设备。VLAN可以将存在于不同物理网段、不同拓扑结构网络的节点组成一个虚拟局域网络,由此可以人为地将同一物理网段中的节点在逻辑上相互隔离,也可以将不同物理网段中的节点在逻辑上相互联系。
2VLAN技术特点
2.1有效阻隔网络广播,控制广播风暴
对于网络广播风暴的控制主要有物理网络分段和VLAN的逻辑分段两种方式,后者更灵活,效率更高。
同一VLAN处于相同的广播域,即通过VLAN的划分可以有效地阻隔网络广播,从而控制了广播风暴。同时不同VLAN之间的通信要经过路由的控制,所以规划设计好各个VLAN的成员,将网络内频繁通信的用户尽可能地集中于同一VLAN内,就可以减少网间流量,如此既有效节约了网络带宽,又提高了网络效率。
2.2控制网络内部IP地址的盗用
如今,校园网络具有终端用户节点数量多的特点,用户数量的增多使得网络IP地址盗用亦相应增加,严重影响了网络的正常使用。在建立VLAN后,该VLAN内任何一台计算机的IP地址均必须在分配给该VLAN的IP范围内,否则将无法通过路由器的审核,因而也就不能进行通信,如此就能有效地将IP的盗用控制在本VLAN之内。
2.3提高网络的整体安全性
建立VLAN后,同一VLAN内的计算机之间直接通信,不同VLAN间的通信要通过路由器的网关进行路由选径、传送,可以隔离基于广播的信息(如机器名、DHCP信息等),这样就可以有效阻止非法访问,大大提高网络系统的整体安全性。此外,通过路由访问控制列表、MAC地址分配、屏蔽VLAN路由信息等技术,可以有效控制用户的访问权限和网络资源安全。
2.4增加网络管理的灵活性,方便网络维护
对于交换式以太网,如果对某些用户进行重新的网段划分,就需要网络管理员对该网络系统的物理结构进行再一次的调整,甚至于需要额外增加网络设备,给网络管理带来了很大的管理量;而对于采用VLAN技术的网络来说,只需网络管理人员在网络中心对该用户进行VLAN网段的重新划分即可,在简化管理的同时方便了网络的维护,提高了工作效率。
3VLAN的划分方式
按照交换机的交换能力,可以将VLAN划分为两大类:2层交换和3层交换。2层交换是建立在OSI 7层模型之第二层桥的体系结构上,基于端口的VLAN和基于MAC地址的VLAN就属于此类;3层交换是基于OSI 7层模型之第3层的协议(IP、IPX等)来划分的。
3.1基于端口的VLAN
最有效的VLAN划分方法,只需针对网络设备的交换端口进行重新分配组合到不同的逻辑网段中即可,而不用考虑该端口所连接的设备是什么。分配到同一VLAN的各网段上的所有节点都在同一个广播域中,可以直接通信,不同VLAN节点间的通信则需要通过路由器或3层交换机(就是支持3层路由协议的交换机)进行。
3.2基于MAC地址的VLAN
基于MAC地址的VLAN划分其实就是基于工作站、服务器的MAC地址的集合,它解决了网络节点的变更问题,对于连接于交换机的工作站来说,在它们初始化时,相应的交换机要在VLAN的管理信息库MIB中检查MAC地址,从而动态地匹配该端口到相应的VLAN中。这在网络规模较小时不失为一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,就会在很大程度上加大网络管理的难度。
3.3基于第3层路由协议的VLAN
路由协议工作在OSI 7层协议的第3层——网络层,即基于IP和IPX协议的转发。根据IP子网、IPX网络号及其他一些协议来划分VLAN,同一协议的工作站划分为一个VLAN,该方式容许一个VLAN跨越多个交换机,不但大大减少人工配置VLAN的工作量,而且可以保证用户自由地增加、移动和修改。
3.4基于策略的VLAN
基于策略的VLAN划分是最灵活有效的VLAN划分方式,具有自动配置的能力,在逻辑划分上称为“关系网络”,自动配置VLAN时,交换机自动检查进入它端口的广播信息的IP源地址,然后自动将此端口分配给一个由IP子网映射成的VLAN,这主要取决于在VLAN的划分中所采用的策略。
4VLAN的关键技术
4.1ISL标签
ISL(Inter Switch Link)是一个在交换机之间、交换机和路由器之间以及交换机与服务器之间传递多个VLAN信息及VLAN数据流的协议,用于实现交换机间的VLAN中继。它是一个信息包标记协议,在支持ISL接口上发送的帧由一个标准以太网帧和相关的VLAN信息组成,通过在交换机直连的端口配置ISL封装,就可以跨越交换机进行整个网络的VLAN分配和配置。VLAN封装的国际标准为IEEE802.1Q,在支持ISL的接口上可以传送来自不同VLAN的数据。
4.2VTP协议
VTP(VLAN Trunk Protocol)是一个在交换机之间同步及传递VLAN配置信息的协议,VTP通过减少手工配置而支持大规模的网络。它有以下3种模式:Server模式(可以创建、修改、删除VLAN,同步整个VTP域中交换机传递的VLAN信息)、Client模式(不可以创建、修改、删除VLAN配置)和Transparent模式(可以创建、修改、删除VLAN配置,但并不参与本VTP域的同步)。
5VLAN在有线电视宽带网络中的应用研究
5.1某县有线电视宽带网络现状
现有一县级有线电视宽带网络,中心交换机为支持1 000 M接入的3层路由交换机Cisco Catalyst 6509,其上带有12个100 M光口模块,供其下的小区网络接入汇聚。小区网络D中使用1台Catalyst WS-C3550作2级交换机,小区网络C中使用1台Catalyst WS-C2950C作2级交换机,小区网络A和B中各使用1台Catalyst WS-C2924C作2级交换机,它们均以100 M光口接入中心3层交换机。
5.2VLAN的设计和IP地址划分
结合该县有线电视宽带网络的实际需求情况,我们选择基于交换机端口的VLAN划分方式,进行如下的VLAN设计,如表1所示。
表1VLAN和IP地址划分表
VLAN IDVLAN NAME子网信息说明
1Guanli192.168.0.1/255.255.255.0交换设备管理VLAN
2Xiaoqu-A192.168.1.1/255.255.255.0A小区VLAN
3Xiaoqu-B192.168.2.1/255.255.255.0B小区VLAN
4Xiaoqu-C192.168.3.1/255.255.255.0C小区VLAN
5Xiaoqu-D192.168.4.1/255.255.255.0D小区VLAN
6Jifei192.168.5.1/255.255.255.248计费系统VLAN
………………………………
①网络公共设备,例如WWW服务器、交换机等,单独划分一个VLAN;
②各小区网络以小区为单位各自划分VLAN;
③需要跨越小区网络进行通信的,如分布式计费系统,则以应用类型为单位进行VLAN划分。
5.3Catalyst6509 2层交换模块配置
①在6509 2层交换模块配置VTP信息
Catalyst6509>(enable)set vtp domain SFXY(设置VLAN的VTP Domain Name为SFXY)
Catalyst6509>(enable)set vtp mode server(设置VLAN的VTP模式为Server模式)
②配置VLAN名称
Catalyst6509>(enable)set vlan 1 name guanli(设置VLAN1名称为guanli,此VLAN为路由交换设备使用)。
VLAN2、VLAN3等依次分别进行配置……
③在6509交换机各下连端口起trunk
Catalyst6509>(enable)set trunk 2/1 on isl(2/1口下连A小区WS-C2924C交换机)
Catalyst6509>(enable)set trunk 2/2 on isl(2/2口下连B小区WS-C2924C交换机)
Catalyst6509>(enable)set trunk 2/3 on dot1q(2/3口下连C小区WS-C2950C交换机)
其他依次进行配置(注意新推出的WS-C2950C和WS-C3550等系列交换机的TRUNK封装类型为支持IEEE801.1Q标准的dot1q协议)。
5.4Catalyst6509 3层路由模块
①配置内部路由
Catalyst6509>(enable)set interface sc0 1 192.168.0.1 255.255.255.0 192.168.0.255(配置Catalyst 6509 2层交换模块的管理地址)
Catalyst6509>(enable)set ip route 0.0.0.0 0.0.0.0 192.168.0.2(配置静态路由指向3层路由模块)
②配置VLAN路由信息
C6509 Router#(config) interface Vlan1
ip address 192.168.0.1 255.255.255.0
interface Vlan2
ip address 192.168.1.1 255.255.255.0
……
5.5A小区2级WS-C2924C端口相同VLAN的配置
①配置VTP模式
XiaoQu-A 2924C(config)# vtp domain name sfxy
XiaoQu-A 2924C(config)# vtp client
②在交换机上连端口起trunk(本例为24口)
XiaoQu-A 2924C(config)#interface FastEthernet 0/24(进入第24快速以太网口)
XiaoQu-A 2924C(config-if)#switchport mode trunk(启用该端口的trunk)
XiaoQu-A 2924C(config-if)#switchport trunk encapsulation isl(trunk封装设为isl)
③在相应交换机端口配置VLAN
XiaoQu-A 2924C(config)#interface FastEthernet 0/1
XiaoQu-A 2924C(config-if)#switchport access vlan 2(将该端口设为静态VLAN3)
其他端口依次进行配置。
5.6D小区WS-C3550端口不同VLAN的配置
①在上连交换机端口起trunk(注意WS-C3550系列交换机的trunk封装类型为Dot1q)
XiaoQu-D C3550(config)#interface FastEthernet 0/24(进入24口快速以太网端口)
XiaoQu-D C3550 (config-if)#switchport mode trunk
XiaoQu-D C3550 (config-if)#switchport trunk encapsulation dot1q
②在交换机端口进行相应VLAN的配置(本例为1口属于VLAN5,2口属于VLAN6)
XiaoQu-D C3550 (config)#interface FastEthernet 0/1
XiaoQu-D C3550 (config-if)#switchport access vlan 5
XiaoQu-D C3550 (config)#interface FastEthernet 0/2
XiaoQu-D C3550 (config-if)#switchport access vlan 6
如此就可以进行各交换机的相应VLAN配置,由于Cisco交换机品种较多,各种类型版本的配置命令和格式也不尽相同,不过只要领会了配置原理,相应的变化自然也会触类旁通。其实,Cisco交换路由设备的配置亦有好多技巧,比如可以利用文本文件将VLAN配置信息一次改动到位后执行“拷贝”操作,进入配置模式后利用“粘贴”命令即可将配置全部刷进设备。
6结束语
通过在某县的有线电视宽带网络中进行如上的VLAN技术应用后,增加了网络维护的灵活性,满足了用户端灵活的逻辑组合,隔离了不同用户性质的分组,阻止了广播包的肆意传播,有效地控制了广播风暴的产生,在一定程度上控制了IP地址的盗用,还可以对不同VLAN网段根据需要设定不同的访问权限,以增加网络的整体安全性。
摘自《中国有线电视》
|