三楼
二楼 一楼
Sales HR Des
图2 VLAN的优点
? VLAN的划分依据
从技术角度讲,VLAN的划分可依据不同原则,一般有以下三种划分方法: 1) 基于端口的VLAN划分
这种划分是把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
2) 基于MAC地址的VLAN划分
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示,前6位为网卡的厂商标识(OUI),后6位为网卡标识(NIC)。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。
3) 基于路由的VLAN划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。
? 不同VLAN间的通信
在不同VLAN间不通过路由是无法通信的。在LAN内的通信,必须在数据帧头中指定通信目标的MAC地址。而为了获取MAC地址,TCP/IP协议下使用的是ARP。ARP解析MAC地址的方法,则是通过广播。也就是说,如果广播报文无法到达,那么就无从解析MAC地址,亦即无法直接通信。
计算机分属不同的VLAN,也就意味着分属不同的广播域,自然收不到彼此的广播报文。因此,属于不同VLAN的计算机之间无法直接互相通信。为了能够在VLAN间通信,需要利用OSI参照模型中更高一层——网络层的信息(IP地址)来进行路由。
因此,在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现,如图3所示。
静态路由
Fa 0/0 Vlan 10 Vlan 20 trunk 10.1.1.1 10.2.2.2
图3 使用外部路由实现不同VLAN间通信
? VTP协议
当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议(Vlan Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。
VTP(VLAN Trunking Protocol):是VLAN中继协议,也被称为虚拟局域网干道协议。
它是一个OSI参考模型第二层的通信协议,主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名。在一台VTP Server 上配置一个新的
VLAN时,该VLAN的配置信息将自动传播到本域内的其他所有交换机。这些交换机会自动地接收这些配置信息,使其VLAN的配置与VTP Server保持一致,从而减少在多台设备上配置同一个VLAN信息的工作量,而且保持了VLAN配置的统一性。
VTP通过网络(ISL帧或cisco私有DTP帧)保持VLAN配置统一性。VTP在系统级管理增加,删除,调整的VLAN,自动地将信息向网络中其它的交换机广播。此外,VTP减小了那些可能导致安全问题的配置。使用VTP便于管理,只要在VTP Server做相应设置,,VTP Client会自动学习VTP Server上的Vlan信息。
VTP有三种工作模式:VTP Server、VTP Client 和 VTP Transparent,如图4所示。 一般,一个VTP域内的整个网络只设一个VTP Server。VTP Server维护该VTP域中所有VLAN 信息列表,VTP Server可以建立、删除或修改VLAN。VTP Client虽然也维护所有VLAN信息列表,但其VLAN的配置信息是从VTP Server学到的,VTP Client不能建立、删除或修改VLAN。VTP Transparent相当于是一上独立的交换机,它不参与VTP工作,不从VTP Server学习VLAN的配置信息,而只拥有本设备上自己维护的VLAN信息。VTP Transparent可以建立、删除和修改本机上的 VLAN信息。
VTP模式
Sever 创建VLAN 修改VLAN 删除VLAN 发送、转发VLAN信息
不能创建VLANs 不能修改VLANs 不能删除VLAN 同步VLAN信息
图4 VTP的不同工作模式
只能创建本地VLANs
Client Transparent 只能修改本地VLANs
只能删除本地VLANs 转发接到到的VLAN信
? STP(Spanning Tree Protocol,生成树协议)
企业网络首要关心的就是高可用性,它在很大程序上依赖于处理业务的多层交换网络。确保高可用性的方法之一就是在整个网络中提供设备、模块和链路的冗余。但是,第二层的网络冗余可能会导致潜在的桥接环路,数据包将在设备之间无休止地循环,进而破坏网络的正常工作能力。
STP能够识别并防止这种第二层环路。STP使用根网桥、根端口和指定端口等概念来建立网络的无环路径。
STP能够克服冗余网络中透明桥接的问题,通过采用无环路径,STP能够避免和消除网络中的环路。STP可以通过判断网络中存在环路的地方并阻断冗余链路,从而达到上述目的,确保到每个目标都只有一条路径,所以永远不会产生环路,如果发生某条链路失效的情况,那么网桥就会将接口从阻塞状态过渡到转发状态。
? 园区网内部部署方式
为了简化交换网络设计、提高交换网络的可扩展性,在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次:接入层、分布层、核心层。接入层为所有的终端用户提供一个接入点;分布层除了负责将接入层交换机进行汇集外,还为整个交换网络提供VLAN间的路由选择功能;核心层将各分布层交换机互连起来进行穿越园区网骨干的高速数据交换。 2.2.3 远程访问技术:
远程访问也是园区网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供移动接入服务。下面对各种远程接入方式进行比较:
? 各种远程接入方式的比较 1) 远程拨号
采用远程拨号方式,必须申请电话线,用户多时,需申请中继电话线,而且需要Modem Pool 将模拟信号转换成数字信号,拨号访问服务器将串行数据转换为网络上传输的IP 数据包。同时多数企业较难为接入设备提供理想的工作环境,不能确保信息传输的质量和安全。
2) 租用专用线路
在过去的数十年间,许多企业花费大量资金租用专用线路,将其主要分支机构连接起来组成该企业的私有通信网络,以达到信息在企业内部的快速沟通和共享,这样企业在获得高效率的同时,也为租用专用线路付出了较高的成本。
3) VPN 远程接入
VPN(Virtual Private Network) 即虚拟专用网是在公共网络上建立的专用网络[8-10],但其任意2个结点间的连接并没有传统专用网络所需的点到点的物理链路,而是架构在公共网络( Internet) 服务商( ISP) 所提供网络平台上的逻辑网络。用户数据通过ISP 在公共网络中建立的逻辑隧道( Tunnel ) ,即点到点的虚拟专线进行传输。通过加密和认证技术,确保企业内部网络数据在公共网络上安全传输,真正实现网络数据的专有性。VPN 是对企业内部网络的扩展,通过它可以实现远程用户与内部网络的安全连接。VPN 远程接入方式最适用于企业经常有人员出差,需实现远程办公的情况。出差员工利用当地ISP 提供的VPN服务,即可与企业VPN 网关建立私有的隧道连接。
VPN 远程接入方式有以下主要优势:
简化网络。只需要投入1 台VPN 网关设备,即可解决几十到几千人的远程接入问题。
节省费用。利用本地拨号接入取代远距离接入或800 电话接入,显著降低长途通信费用,减少了用于购置调制解调器和终端服务设备的费用。
支持多种标准认证机制如LDAP、RADIUS 等。
多样接入方式。无论用户采用哪种方式访问互联网,均可建立VPN 连接。 自由选择规模。无论企业大小,VPN 都有相对应的产品,用户数可为5~5 000 个。
具有高可用性。对于接入用户较多的企业, VPN 支持远程接入的高可用性模式,保障用户服务的连贯性。
? Easy VPN方式
Easy VPN是Cisco的一种特性,它允许使用Cisco VPN客户端软件一类实施IPsec远程访问设备。
由于可以使用Cisco路由器或者PIX来配置Easy VPN服务器,而不需要另