實(shí)例解析在ATM城域網(wǎng)中實(shí)施VLAN技術(shù)

虛擬局域網(wǎng)（VLAN）技術(shù)是保障大型網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行的一項(xiàng)重要技術(shù)措施，隨著眾多廠商積極參與和最終用戶的普遍認(rèn)可，它在實(shí)際建網(wǎng)中得到了廣泛的運(yùn)用。VLAN 技術(shù)之所以具有吸引力，主要得益于它在3 個(gè)方面增強(qiáng)了對網(wǎng)絡(luò)的管理功能，即簡化因工作站及設(shè)備的變更所帶來的工作量、有效地控制網(wǎng)絡(luò)數(shù)據(jù)流量和提供工作組級及網(wǎng)絡(luò)級的安全保障。

因此，及時(shí)有效地對網(wǎng)絡(luò)實(shí)施VLAN 技術(shù)，不但可以充分滿足用戶對網(wǎng)絡(luò)靈活性和擴(kuò)展性方面的要求，而且對隔離網(wǎng)絡(luò)故障和高效率地分配網(wǎng)絡(luò)骨干帶寬也提供了一種切實(shí)有效的技術(shù)手段。

從技術(shù)角度來講，VLAN 既可以在交換式以太網(wǎng)中實(shí)現(xiàn)，也可以在ATM 骨干網(wǎng)中實(shí)現(xiàn)，比較起來，在ATM 環(huán)境中配置VLAN 的技術(shù)難度卻要遠(yuǎn)遠(yuǎn)大于前者。這無疑對網(wǎng)絡(luò)專業(yè)技術(shù)人員提出了更高的要求，使得他們不但需要了解ATM 局域網(wǎng)仿真（ATM LANE）的工作原理，而且還要熟悉各種網(wǎng)絡(luò)設(shè)備，如ATM 交換機(jī)、局域網(wǎng)交換機(jī)和路由器等相應(yīng)的配置過程。盡管如此，ATM 技術(shù)帶來了從25Mbps 到155Mbps 乃至622Mbps的網(wǎng)絡(luò)帶寬，并可滿足桌面用戶對語音、數(shù)據(jù)和圖像的處理要求，因此許多企業(yè)依然采用ATM 網(wǎng)絡(luò)。

下面，結(jié)合建設(shè)武漢供電局ATM 城域網(wǎng)的實(shí)踐經(jīng)驗(yàn)，以基于ATM 的VLAN 為重點(diǎn)，著重探討其劃分及配置過程。

一、VLAN 劃分設(shè)計(jì)

根據(jù)武漢供電局ATM 城域網(wǎng)（一期）設(shè)計(jì)要求，需要將第一批4 個(gè)基層生產(chǎn)單位接入ATM 骨干網(wǎng)，它們分別是漢口線路分局、漢陽線路分局、武昌線路分局、青山線路分局，加上局機(jī)關(guān)大樓，共有5 處（后又增加漢口變電分局），分布于武漢三鎮(zhèn)。

按照70%網(wǎng)絡(luò)流量在VLAN 網(wǎng)絡(luò)內(nèi)部流動(dòng)、30%的流量在VLAN 之間流動(dòng)的原則，VLAN 邏輯上可以按工作流程、職能部門或地理位置等依據(jù)來進(jìn)行劃分。劃分技術(shù)可采取基于交換機(jī)端口、基于網(wǎng)卡MAC 物理地址以及基于第三層即網(wǎng)絡(luò)協(xié)議層來進(jìn)行實(shí)施，在這3 種劃分技術(shù)中，尤以基于交換機(jī)端口的實(shí)現(xiàn)方式最為靈活，維護(hù)起來比較方便快捷，因而在VLAN 的設(shè)計(jì)中，得到了普遍的應(yīng)用。

雖然VLAN 技術(shù)可以有效地控制網(wǎng)絡(luò)數(shù)據(jù)流量，節(jié)省骨干網(wǎng)的網(wǎng)絡(luò)帶寬，但是，這要以合理地對城域網(wǎng)實(shí)施VLAN 劃分為前提條件。而且，提高VLAN 運(yùn)行效率的關(guān)鍵在于，盡可能地使一個(gè)VLAN 內(nèi)的網(wǎng)絡(luò)流量只在其內(nèi)部消化完成，減少VLAN 之間的訪問流量，這就要求設(shè)計(jì)人員要清楚網(wǎng)絡(luò)內(nèi)各用戶群的工作方式、工作流程以及他們基于網(wǎng)絡(luò)方面的應(yīng)用等等，只有這樣，才能設(shè)計(jì)出高效率的VLAN。

通過需求分析發(fā)現(xiàn)，基層單位的大部分生產(chǎn)管理應(yīng)用系統(tǒng)都集中在當(dāng)?shù)鼐钟蚓W(wǎng)內(nèi)部完成，只有少量的數(shù)據(jù)需要由異地匯集到局機(jī)關(guān)信息中心，這就為有效地劃分VLAN 提供了可靠的依據(jù)。

通過反復(fù)比較與取舍，決定主要以地理位置作為劃分依據(jù)，局部按職能部門進(jìn)行了劃分，具體實(shí)施見附表。
附表VLAN 的劃分：

　　由附表可以看出，每個(gè)VLAN 都是和一段獨(dú)立的IP 網(wǎng)段相對應(yīng)的，從而將IP 的廣播組和VLAN 的碰撞域一對一地結(jié)合起來。這樣，一方面有利于DHCP Server 動(dòng)態(tài)分配IP 地址，另一方面也使得網(wǎng)絡(luò)結(jié)構(gòu)清晰易懂，便于網(wǎng)管人員的維護(hù)管理。

二、網(wǎng)絡(luò)環(huán)境

武漢供電局城域網(wǎng)（一期）是以ATM 為骨干、以局機(jī)關(guān)為中心，以漢口線路分局、漢陽線路分局、武昌線路分局、青山線路分局為4 個(gè)骨干節(jié)點(diǎn)，通過OC3 155Mbps 光纖主干將它們連接起來的覆蓋武漢三鎮(zhèn)的城域網(wǎng)，參見圖1。

網(wǎng)絡(luò)設(shè)備全部采用Cisco 系統(tǒng)公司的產(chǎn)品。其中ATM 核心交換機(jī)采用Lightstream 1010，ATM 邊緣設(shè)備采用Catalyst 局域網(wǎng)交換機(jī)系列產(chǎn)品，它們通過長距離單模光纖與Lightstream 1010 相連，選用Cisco7507 高端路由器擔(dān)任網(wǎng)間路由。網(wǎng)絡(luò)操作系統(tǒng)選用Windows NT,網(wǎng)絡(luò)協(xié)議采用TCP/IP 協(xié)議。

三、ATM LANE 配置

要讓VLAN 跨越ATM 骨干網(wǎng)進(jìn)行通訊，必須首先對ATM 骨干網(wǎng)進(jìn)行局域網(wǎng)仿真（LAN Emulation，LANE）的配置工作。

傳統(tǒng)的以太網(wǎng)工作機(jī)制與ATM 網(wǎng)絡(luò)技術(shù)之間存在著諸多的差異。要想以ATM 作為城域網(wǎng)中的骨干網(wǎng)，將分布在不同地區(qū)的局域網(wǎng)連接起來，必須要有一個(gè)解決方案來實(shí)現(xiàn)兩者之間的互連，于是ATM LANE 技術(shù)就應(yīng)運(yùn)而生了。通過LANE，可以讓ATM 網(wǎng)絡(luò)模擬局域網(wǎng)的工作，使得多個(gè)局域網(wǎng)不做任何修改就可以連接到ATM 網(wǎng)絡(luò)上來。ATM 在其中擔(dān)負(fù)著橋接的功能，這對于用戶來說，是完全透明的、無縫的，似乎就是在一個(gè)純以太網(wǎng)的環(huán)境中工作，如圖2 所示。

　　
LANE 的配置過程是比較復(fù)雜的，LANE 的正常工作必須啟動(dòng)以下4 個(gè)服務(wù)：
1. LECS (LANE Configuration Server),一個(gè)LANE 環(huán)境中必須要有一個(gè)LECS。
2. BUS (Broadcast and Unknown Server),一個(gè)ELAN(仿真局域網(wǎng)) 要有一個(gè)BUS。
3. LES (LANE Server), 一個(gè)ELAN 要有一個(gè)LES。
4. LEC (LANE Client), 一個(gè)ELAN 可有多個(gè)LEC。

構(gòu)建一個(gè)LANE 的工作環(huán)境，需要在Cisco 7507 路由器、LS1010 ATM 交換機(jī)及裝備了ATM 模塊的Catalyst 5000、3200、2924、2828 局域網(wǎng)交換機(jī)上做相應(yīng)的配置工作。

1.配置Cisco 7507 路由器上的ATM 模塊這樣做的目的是使之充當(dāng)整個(gè)LANE 環(huán)境中的LECS，并作為每個(gè)ELAN。ELAN 的數(shù)目要和VLAN 的數(shù)目相同。例如，本網(wǎng)中就需建10 個(gè)ELAN 中的LES、BUS 和LEC。配置命令如下：
　　�。�！
　　show lane default-atm-address
　��！獲取ATM LANE 的ATM 地址；該地址將作為LECS 的ATM 地址，
　　被保存在Lightstream 1010 ATM 交換機(jī)中。
　　config t
　　lane database database_name ;
　　給LANE 指定一個(gè)數(shù)據(jù)庫
　　name elan_name server-atm-address atm-address [index number]
　��！重復(fù)該命令可以建立起多個(gè)ELAN 環(huán)境，并將自己作為各ELAN 的LES。
　��！在本網(wǎng)中,設(shè)置過程為：
　　！name default server-atm-address
　　47.009181000000001011be3401.0050d1070081.01
　　！......
　��！name vlan0050 server-atm-address
　　47.009181000000001011be3401.0050d1070081.32
　　interface atmslot/module/port ;進(jìn)入ATM 端口設(shè)置模式
　　atm pvc 1 0 5 qsaal ;設(shè)置PVC 信令
　　atm pvc 2 0 16 ilmi ;設(shè)置PVC 與本地管理模式通訊
　　lane config database database_name ;對LANE 數(shù)據(jù)庫進(jìn)行配置
　　interface atmslot/module/port.subinterface multipoint
　　;指定子端口并進(jìn)入該子端口設(shè)置模式
　　ip address ip_address netmask ;為子端口指定IP 地址
　　lane server-bus ethernet elan_name ;
　　為ELAN 設(shè)置LES/BUS 服務(wù)，仿真以太網(wǎng)。
　　lane client ethernet elan_name ;將自己作為LEC 加入到該ELAN
　��！在本網(wǎng)中,將Cisco 7507 作為上述多個(gè)ELAN 的BUS、LEC 設(shè)置過程為：
　�。�inter atm4/0/0.1 multipoint
　��！ip address 12.240.16.31
　　！lane server-bus ethernet default
　�。�lane client ethernet default
　�。�exit
　��！......
　��！inter atm4/0/0.50 multipoint
　�。�ip address 12.240.20.254
　��！lane server-bus ethernet vlan0050
　�。�lane client ethernet vlan0050
　��！exit
　　end
　　copy running-config startup-config
　�。。�！
需要注意的是，創(chuàng)建ELAN 的個(gè)數(shù)要與前面規(guī)劃好的VLAN 的個(gè)數(shù)要相同，使它們能保持一一對應(yīng)的關(guān)系， 最好將ELAN 和VLAN 的名稱也取為一樣。在本網(wǎng)中， ELAN/VLAN 名均為default 、vlan0002……vlan0040、vlan0050，以方便管理。
2.配置Lightstream1010 ATM 交換機(jī)
配置命令如下
　�。。�！
　　atm lecs-address-default atm_address
　　！該atm_address 即為在Cisco 7507 配置中，
　　由show lane default-atm-address 所獲取到的ATM
　��！地址。
　�。。�！
　　---- 由于LANE 1.0 標(biāo)準(zhǔn)沒有考慮到因設(shè)備單點(diǎn)故障造成LANE 無法正常工作的情況，針對這種情況，Cisco提出了簡單服務(wù)器冗余協(xié)議(Simple Server Redundancy Protocol，SSRP)來消除這種潛在的故障隱患，通過對LS1010 ATM 交換機(jī)上的處理器（ATM Switch Processor，ASP）進(jìn)行配置可以完成LECS、LES、BUS和LEC 的備份工作。
LS1010 ATM 交換機(jī)的LANE 備份的配置過程基本上和Cisco 7507 路由器是一樣的，在此不再重復(fù)。
3.Catalyst 5000 局域網(wǎng)交換機(jī)上的ATM 模塊配置
1）將Catalyst 5000 上的ATM 模塊配置為LEC 工作模式，具體過程如下。
　�。。�！
　　session 5 ;啟動(dòng)Catalyst 5000 插槽5 中的ATM 模塊
　　interface atm5 ;設(shè)置ATM 主端口
　　atm pvc 1 0 5 qsaal
　　atm pvc 2 0 16 ilmi
　　lane config auto-config-atm-address
　　interface atmslot/module/port.subinterface multipoint
　　lane client [ethernet elan-name]]
　��！在本網(wǎng)中,將Catalyst 5000 作為各個(gè)ELAN 的LEC 的設(shè)置過程為：
　　！inter atm 5/0/0.1 multipoint ;
　　進(jìn)入名為default 的ELAN 的子端口
　　！lane client ethernet default ;聲明作為名為default 的ELAN 的LEC
　　！exit
　��！......
　��！inter atm 5/0/0.50 multipoint ;
　　進(jìn)入名為vlan0050 的ELAN 的子端口
　　！lane client ethernet vlan0050 ;
　　聲明作為名為vlan0050 的ELAN 的LEC
　　！exit
　　end
　　copy running-config startup-config
　�。。�！
2）在裝配有ATM 模塊的2924、2828 LAN 交換機(jī)上做各ELAN 的LEC 配置工作，該過程和Catalyst 5000上的配置過程完全一致，不再重復(fù)。Catalyst 3200 的ATM 配置方式是基于菜單選擇模式，非常直觀易懂。至此，所有的ATM LANE 配置過程就全部完成了。
在配置ATM LANE 中，需要注意以下兩點(diǎn)。
1.子端口（Subinterface）概念
一般情況下，裝備在網(wǎng)絡(luò)設(shè)備上的ATM 模塊只提供一個(gè)ATM 端口，而一個(gè)ATM 端口只能對應(yīng)一個(gè)ELAN環(huán)境，為了將一個(gè)ATM 設(shè)備加入到多個(gè)ELAN 環(huán)境中（否則ELAN 之間無法通訊），于是引進(jìn)了子端口這樣一個(gè)邏輯概念。借助它，可將一個(gè)ATM 物理端口虛擬地細(xì)分為多個(gè)ATM 邏輯端口，每個(gè)邏輯端口對應(yīng)一個(gè)ELAN 環(huán)境，從而實(shí)現(xiàn)了將一個(gè)ATM 設(shè)備加入到多個(gè)ELAN 環(huán)境的要求。
2.VLAN 與ELAN 的比較
在ATM LANE 環(huán)境中，ELAN 與VLAN 是一一對應(yīng)的，有多少個(gè)VLAN 就要有多少個(gè)ELAN 與之對應(yīng)，兩者通過位于第二層的LANE 仿真接口，透明地建立起映射關(guān)系。
ELAN 只存在于ATM 網(wǎng)絡(luò)環(huán)境中，以ATM 交換機(jī)為中心，以裝備了ATM 模塊的LAN 交換機(jī)為邊界，而VLAN 不僅包含了與之對應(yīng)的ELAN，還包括了屬于該VLAN 的以太網(wǎng)端口、工作站和服務(wù)器等。即ELAN 是VLAN 的子集，VLAN 是ELAN 的超集。
ELAN 和VLAN 一樣，也是一種廣播域，一個(gè)ELAN 中的廣播不會擴(kuò)散到其他ELAN 中，ELAN 之間的通訊要借助于同時(shí)屬于它們的LEC 的路由器來實(shí)現(xiàn)。

四、VLAN 的設(shè)置及劃分

1. VLAN 的設(shè)置可在Catalyst 5000 上進(jìn)行，具體過程如下。
　�。。�！
　　set vtp domain domain_name mode server ;
　　定義VLAN 工作域及工作模式
　　set vlan vlan_number name vlan_name ;
　　定義VLAN 編號及VLAN 名稱
　�。≡诒揪W(wǎng)中,設(shè)置過程為：
　�。�set vlan 1 name default ;定義局機(jī)關(guān)大樓VLAN
　��！......
　��！set vlan 50 name vlan0050 ;定義青山分局VLAN
　　---- 2. 在Catalyst 5000 上將各以太網(wǎng)端口劃分至各VLAN 的過程如下。
　�。。。�
　　set vlan vlan_number module/port|port_rage
　��！將Catalyst 5000 上的以太網(wǎng)端口劃分至各VLAN 中
　�。≡诒揪W(wǎng)中,設(shè)置過程為：
　�。�set vlan 2 4/1～24
　��！將位于Catalyst 5000 插槽4 中的以太網(wǎng)模塊的
　　1～24 端口劃至VLAN 2 中
　�。�......
　　exit
　　copy running-config startup-config
　�。。。�
　　---- 3. 在Catalyst 5000 上將ELAN 與VLAN 映射在一起，使之一一對應(yīng)。
　�。。。�
　　inter atm5
　　inter atm5.1 multipoint
　　lane client ethernet 1 default ;
　　將編號為1 的VLAN 與名為default 的ELAN 映射在一起
　��！......
　　inter atm5.50 multipoint
　　lane client ethernet 50 vlan0050 ;
　　將編號為50 的VLAN 與名為vlan0050 的ELAN 映射在一起
　��！
值得注意的是，在Cisco IOS 中，對VLAN 的識別是通過VLAN 的編號來惟一確定的，而對ELAN 的識別則是通過ELAN 的名稱來惟一確定的。

4. 在Catalyst 其他LAN 交換機(jī)上進(jìn)行VLAN 端口的劃分Catalyst 3200、1924 的VLAN 端口劃分是基于菜單驅(qū)動(dòng)方式的，無需像Catalyst 5000 那樣要在CLI 模式下鍵入一條條命令來實(shí)現(xiàn)。因此，它們配置起來比較簡潔直觀。

而Catalyst 2828、2924 則更進(jìn)了一步，它們不但支持CLI 模式，而且支持基于Web 方式的管理（通過瀏覽器即可對其端口實(shí)行VLAN 劃分）,對動(dòng)態(tài)端口的劃分（可將一端口同時(shí)劃分到多個(gè)VLAN 中）也提供了很好地支持，這就使得它們的配置過程顯得更為直觀、可操作性更強(qiáng)。

至此，基于ATM 骨干網(wǎng)的VLAN 環(huán)境就完全地建立了起來，從而實(shí)現(xiàn)VLAN 之間跨越ATM 主干進(jìn)行通訊。