VLAN技術(shù)在有線寬帶網(wǎng)絡(luò)中的應(yīng)用研究

　　如今，有線電視寬帶網(wǎng)的技術(shù)日益成熟，它利用現(xiàn)有的有線電視網(wǎng)通過Cable Modem進(jìn)行高速接入Internet，由于它只占用有線電視網(wǎng)可用頻譜的一部分，在用戶上網(wǎng)時(shí)對電視和電話不產(chǎn)生任何影響，對于普通的撥號網(wǎng)和需要二次布線的光纖接入網(wǎng)來說具有得天獨(dú)厚的優(yōu)勢，已經(jīng)成為重要的網(wǎng)絡(luò)服務(wù)提供商（ISP）之一。因此，如何管理好有線電視寬帶網(wǎng)絡(luò)成為重中之重，應(yīng)運(yùn)而生的虛擬局域網(wǎng)技術(shù)以其配置靈活、有效控制網(wǎng)絡(luò)廣播風(fēng)暴、高效安全管理網(wǎng)絡(luò)等優(yōu)點(diǎn)成為解決此管理難題的有效措施。

　　1 VLAN技術(shù)概述

　　所謂虛擬局域網(wǎng)技術(shù)是指處于不同物理位置的節(jié)點(diǎn)可以根據(jù)需要組成一個(gè)邏輯子網(wǎng)，即一個(gè)VLAN就是一個(gè)邏輯廣播域，它可以擴(kuò)展到多個(gè)網(wǎng)絡(luò)設(shè)備。VLAN可以將存在于不同物理網(wǎng)段、不同拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)的節(jié)點(diǎn)組成一個(gè)虛擬局域網(wǎng)絡(luò)，由此可以人為地將同一物理網(wǎng)段中的節(jié)點(diǎn)在邏輯上相互隔離，也可以將不同物理網(wǎng)段中的節(jié)點(diǎn)在邏輯上相互聯(lián)系。

　　2 VLAN技術(shù)特點(diǎn)

　　2.1 有效阻隔網(wǎng)絡(luò)廣播，控制廣播風(fēng)暴

　　對于網(wǎng)絡(luò)廣播風(fēng)暴的控制主要有物理網(wǎng)絡(luò)分段和VLAN的邏輯分段兩種方式，后者更靈活，效率更高。

　　同一VLAN處于相同的廣播域，即通過VLAN的劃分可以有效地阻隔網(wǎng)絡(luò)廣播，從而控制了廣播風(fēng)暴。同時(shí)不同VLAN之間的通信要經(jīng)過路由的控制，所以規(guī)劃設(shè)計(jì)好各個(gè)VLAN的成員，將網(wǎng)絡(luò)內(nèi)頻繁通信的用戶盡可能地集中于同一VLAN內(nèi)，就可以減少網(wǎng)間流量，如此既有效節(jié)約了網(wǎng)絡(luò)帶寬，又提高了網(wǎng)絡(luò)效率。

　　2.2 控制網(wǎng)絡(luò)內(nèi)部IP地址的盜用

　　如今，校園網(wǎng)絡(luò)具有終端用戶節(jié)點(diǎn)數(shù)量多的特點(diǎn)，用戶數(shù)量的增多使得網(wǎng)絡(luò)IP地址盜用亦相應(yīng)增加，嚴(yán)重影響了網(wǎng)絡(luò)的正常使用。在建立VLAN后，該VLAN內(nèi)任何一臺(tái)計(jì)算機(jī)的IP地址均必須在分配給該VLAN的IP范圍內(nèi)，否則將無法通過路由器的審核，因而也就不能進(jìn)行通信，如此就能有效地將IP的盜用控制在本VLAN之內(nèi)。

　　2.3 提高網(wǎng)絡(luò)的整體安全性

　　建立VLAN后，同一VLAN內(nèi)的計(jì)算機(jī)之間直接通信，不同VLAN間的通信要通過路由器的網(wǎng)關(guān)進(jìn)行路由選徑、傳送，可以隔離基于廣播的信息（如機(jī)器名、DHCP信息等），這樣就可以有效阻止非法訪問，大大提高網(wǎng)絡(luò)系統(tǒng)的整體安全性。此外，通過路由訪問控制列表、MAC地址分配、屏蔽VLAN路由信息等技術(shù)，可以有效控制用戶的訪問權(quán)限和網(wǎng)絡(luò)資源安全。

　　2.4 增加網(wǎng)絡(luò)管理的靈活性，方便網(wǎng)絡(luò)維護(hù)

　　對于交換式以太網(wǎng)，如果對某些用戶進(jìn)行重新的網(wǎng)段劃分，就需要網(wǎng)絡(luò)管理員對該網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)進(jìn)行再一次的調(diào)整，甚至于需要額外增加網(wǎng)絡(luò)設(shè)備，給網(wǎng)絡(luò)管理帶來了很大的管理量；而對于采用VLAN技術(shù)的網(wǎng)絡(luò)來說，只需網(wǎng)絡(luò)管理人員在網(wǎng)絡(luò)中心對該用戶進(jìn)行VLAN網(wǎng)段的重新劃分即可，在簡化管理的同時(shí)方便了網(wǎng)絡(luò)的維護(hù)，提高了工作效率。

　　3 VLAN的劃分方式

　　按照交換機(jī)的交換能力，可以將VLAN劃分為兩大類：2層交換和3層交換。2層交換是建立在OSI 7層模型之第二層橋的體系結(jié)構(gòu)上，基于端口的VLAN和基于MAC地址的VLAN就屬于此類；3層交換是基于OSI 7層模型之第3層的協(xié)議（IP、IPX等）來劃分的。

　　3.1 基于端口的VLAN

　　最有效的VLAN劃分方法，只需針對網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配組合到不同的邏輯網(wǎng)段中即可，而不用考慮該端口所連接的設(shè)備是什么。分配到同一VLAN的各網(wǎng)段上的所有節(jié)點(diǎn)都在同一個(gè)廣播域中，可以直接通信，不同VLAN節(jié)點(diǎn)間的通信則需要通過路由器或3層交換機(jī)（就是支持3層路由協(xié)議的交換機(jī)）進(jìn)行。

　　3.2 基于MAC地址的VLAN

　　基于MAC地址的VLAN劃分其實(shí)就是基于工作站、服務(wù)器的MAC地址的集合，它解決了網(wǎng)絡(luò)節(jié)點(diǎn)的變更問題，對于連接于交換機(jī)的工作站來說，在它們初始化時(shí)，相應(yīng)的交換機(jī)要在VLAN的管理信息庫MIB中檢查MAC地址，從而動(dòng)態(tài)地匹配該端口到相應(yīng)的VLAN中。這在網(wǎng)絡(luò)規(guī)模較小時(shí)不失為一個(gè)好的方法，但隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)設(shè)備、用戶的增加，就會(huì)在很大程度上加大網(wǎng)絡(luò)管理的難度。

　　3.3 基于第3層路由協(xié)議的VLAN

　　路由協(xié)議工作在OSI 7層協(xié)議的第3層——網(wǎng)絡(luò)層，即基于IP和IPX協(xié)議的轉(zhuǎn)發(fā)。根據(jù)IP子網(wǎng)、IPX網(wǎng)絡(luò)號及其他一些協(xié)議來劃分VLAN，同一協(xié)議的工作站劃分為一個(gè)VLAN，該方式容許一個(gè)VLAN跨越多個(gè)交換機(jī)，不但大大減少人工配置VLAN的工作量，而且可以保證用戶自由地增加、移動(dòng)和修改。

　　3.4 基于策略的VLAN

　　基于策略的VLAN劃分是最靈活有效的VLAN劃分方式，具有自動(dòng)配置的能力，在邏輯劃分上稱為“關(guān)系網(wǎng)絡(luò)”，自動(dòng)配置VLAN時(shí)，交換機(jī)自動(dòng)檢查進(jìn)入它端口的廣播信息的IP源地址，然后自動(dòng)將此端口分配給一個(gè)由IP子網(wǎng)映射成的VLAN，這主要取決于在VLAN的劃分中所采用的策略。

　　4 VLAN的關(guān)鍵技術(shù)

　　4.1 ISL標(biāo)簽

　　ISL（Inter Switch Link）是一個(gè)在交換機(jī)之間、交換機(jī)和路由器之間以及交換機(jī)與服務(wù)器之間傳遞多個(gè)VLAN信息及VLAN數(shù)據(jù)流的協(xié)議，用于實(shí)現(xiàn)交換機(jī)間的VLAN中繼。它是一個(gè)信息包標(biāo)記協(xié)議，在支持ISL接口上發(fā)送的幀由一個(gè)標(biāo)準(zhǔn)以太網(wǎng)幀和相關(guān)的VLAN信息組成，通過在交換機(jī)直連的端口配置ISL封裝，就可以跨越交換機(jī)進(jìn)行整個(gè)網(wǎng)絡(luò)的VLAN分配和配置。VLAN封裝的國際標(biāo)準(zhǔn)為IEEE802.1Q，在支持ISL的接口上可以傳送來自不同VLAN的數(shù)據(jù)。

　　4.2 VTP協(xié)議

　　VTP（VLAN Trunk Protocol）是一個(gè)在交換機(jī)之間同步及傳遞VLAN配置信息的協(xié)議，VTP通過減少手工配置而支持大規(guī)模的網(wǎng)絡(luò)。它有以下3種模式：Server模式（可以創(chuàng)建、修改、刪除VLAN，同步整個(gè)VTP域中交換機(jī)傳遞的VLAN信息）、Client模式（不可以創(chuàng)建、修改、刪除VLAN配置）和Transparent模式（可以創(chuàng)建、修改、刪除VLAN配置，但并不參與本VTP域的同步）。

　　5 VLAN在有線電視寬帶網(wǎng)絡(luò)中的應(yīng)用研究

　　5.1 某縣有線電視寬帶網(wǎng)絡(luò)現(xiàn)狀

　　現(xiàn)有一縣級有線電視寬帶網(wǎng)絡(luò)，中心交換機(jī)為支持1 000 M接入的3層路由交換機(jī)Cisco Catalyst 6509，其上帶有12個(gè)100 M光口模塊，供其下的小區(qū)網(wǎng)絡(luò)接入?yún)R聚。小區(qū)網(wǎng)絡(luò)D中使用1臺(tái)Catalyst WS-C3550作2級交換機(jī)，小區(qū)網(wǎng)絡(luò)C中使用1臺(tái)Catalyst WS-C2950C作2級交換機(jī)，小區(qū)網(wǎng)絡(luò)A和B中各使用1臺(tái)Catalyst WS-C2924C作2級交換機(jī)，它們均以100 M光口接入中心3層交換機(jī)。

　　5.2 VLAN的設(shè)計(jì)和IP地址劃分

　　結(jié)合該縣有線電視寬帶網(wǎng)絡(luò)的實(shí)際需求情況，我們選擇基于交換機(jī)端口的VLAN劃分方式，進(jìn)行如下的VLAN設(shè)計(jì)。

　　VLAN IDVLAN NAME子網(wǎng)信息說明

　　1Guanli192.168.0.1/255.255.255.0交換設(shè)備管理VLAN

　　2Xiaoqu-A192.168.1.1/255.255.255.0A小區(qū)VLAN

　　3Xiaoqu-B192.168.2.1/255.255.255.0B小區(qū)VLAN

　　4Xiaoqu-C192.168.3.1/255.255.255.0C小區(qū)VLAN

　　5Xiaoqu-D192.168.4.1/255.255.255.0D小區(qū)VLAN

　　6Jifei192.168.5.1/255.255.255.248計(jì)費(fèi)系統(tǒng)VLAN

　　………………………………

　　①網(wǎng)絡(luò)公共設(shè)備，例如WWW服務(wù)器、交換機(jī)等，單獨(dú)劃分一個(gè)VLAN； 　　

　�、诟餍�區(qū)網(wǎng)絡(luò)以小區(qū)為單位各自劃分VLAN； 　　

　　③需要跨越小區(qū)網(wǎng)絡(luò)進(jìn)行通信的，如分布式計(jì)費(fèi)系統(tǒng)，則以應(yīng)用類型為單位進(jìn)行VLAN劃分。
　　
　　5.3 Catalyst6509 2層交換模塊配置 　　

　�、僭�6509 2層交換模塊配置VTP信息 　　

　　Catalyst6509>(enable)set vtp domain SFXY(設(shè)置VLAN的VTP Domain Name為SFXY)

　　Catalyst6509>(enable)set vtp mode server(設(shè)置VLAN的VTP模式為Server模式)

　　②配置VLAN名稱

　　Catalyst6509>(enable)set vlan 1 name guanli(設(shè)置VLAN1名稱為guanli，此VLAN為路由交換設(shè)備使用)。

　　VLAN2、VLAN3等依次分別進(jìn)行配置……

　�、墼�6509交換機(jī)各下連端口起trunk

　　Catalyst6509>(enable)set trunk 2/1 on isl（2/1口下連A小區(qū)WS-C2924C交換機(jī)）

　　Catalyst6509>(enable)set trunk 2/2 on isl（2/2口下連B小區(qū)WS-C2924C交換機(jī)）

　　Catalyst6509>(enable)set trunk 2/3 on dot1q（2/3口下連C小區(qū)WS-C2950C交換機(jī)）

　　其他依次進(jìn)行配置（注意新推出的WS-C2950C和WS-C3550等系列交換機(jī)的TRUNK封裝類型為支持IEEE801.1Q標(biāo)準(zhǔn)的dot1q協(xié)議）。

　　5.4 Catalyst6509 3層路由模塊

　�、倥渲脙�(nèi)部路由

　　Catalyst6509>(enable)set interface sc0 1 192.168.0.1 255.255.255.0 192.168.0.255（配置Catalyst 6509 2層交換模塊的管理地址）

　　Catalyst6509>(enable)set ip route 0.0.0.0 0.0.0.0 192.168.0.2（配置靜態(tài)路由指向3層路由模塊）

　　②配置VLAN路由信息

　　C6509 Router#(config) interface Vlan1

　　ip address 192.168.0.1 255.255.255.0

　　interface Vlan2

　　ip address 192.168.1.1 255.255.255.0

　　……

　　5.5 A小區(qū)2級WS-C2924C端口相同VLAN的配置

　�、倥渲肰TP模式

　　XiaoQu-A 2924C(config)# vtp domain name sfxy

　　XiaoQu-A 2924C(config)# vtp client

　�、谠诮粨Q機(jī)上連端口起trunk（本例為24口）

　　XiaoQu-A 2924C(config)#interface FastEthernet 0/24（進(jìn)入第24快速以太網(wǎng)口）

　　XiaoQu-A 2924C(config-if)#switchport mode trunk（啟用該端口的trunk）