虚拟子网VLAN的配置
1).Catalyst 3200交换机上VLAN及VTP的配置 经超级终端进入Catalyst 3200控台
a).设置VLAN治理域 进入"SET VTP AND···· ",选"VTP ADMINISTRATION CONFIGURATION" 设置VALN治理域名"GIETNET";VTP方式为"SERVER"。
b).设置VLAN及TRUNK: 将所有子网的交换机、HUB上连至Catalyst 3200的10MB或100MB口,并按上述原则分配VLAN,将这些端口进行虚网划分如下:
本项设置是从控制台的CONFIGURATION选定"LOCAL VLAN PROT CONFIGURATION",进行VLAN及TRUNK口的指定,并把所有的3个VLAN填入TRUNK口的配置单中,最后显示如下
2).Cisco 4500路由器的设置
把Cisco 4500的f0口按子网数"分割"成相应的"子口", 根据其设置的ISL(InterSwitch Link)号,与相应子网进行逻辑连接。在本例中,f0被分割为f0.1、f0.2、f0.3与VLAN1、VLAN2、VLAN3连接,其配置命令如下:
router#config t
router(config)#int f0.1
router(config-subif)#Description VLAN1_GIET
router(config-subif)#ip address 192.168.111.1 255.255.255.192
router(config-subif)#encapsulation isl 2
. .
router(config)#int f0.2
router(config-subif)#Description VLAN2_gzbnic
router(config-subif)#ip addess 192.168.111.65 255.255.255.192
router(config-subif)#encapsulation isl 3
. .
Ctl Z
wr
设置完毕,再请北京网络中心把边界路由器中有关子网路由项全部指向Cisco 4500,用户的网关按其子网路由器地址设定。
3).在Cisco 4500路由器上建立ARP表
为强化网络治理防止IP盗用,在Cisco 4500路由器上建立ARP表,将所有子网的IP与相应的网卡MAC地址进行绑定,对于未用的IP也进行绑定,如:
ARP 192.168.111.130 0800.3c5d.419f ARPA (已分配的IP有网卡地址)
.
ARP 192.168.111.169 0000.0000.0000 ARPA (未分配的IP无网卡地址)
当注册网络用户需更换网卡时,需得到网管人员的确认、同意,对企图非法盗用者将无法进行(参见下述);另外可按具体情况设置访问控制列表等安全治理措施。
系统特点
经过虚网设置和IP-MAC绑定结合, 网络系统的特点:
1).发挥VLAN优势
合理分配网络资源,均衡网络负载,有效降低网上广播信息,方便对用户的分组治理。
2).增强网络安全
由于网络各子网相互隔离,网络通讯限制在子网内;子网间的交通或出境的通讯全部通过其相应的路由端口,加強了Cisco 4500对全网的控制能力,并由4500上的ARP表进行用户IP的合法性核查。
3).强化网络治理、合理记费
如2)所述,由于虚网的配置加上Cisco 4500的IP-MAC的匹配检查,使得IP盗用比一般的地址绑定更为困难,理由是这种配置结构下,即使想盗用,其通讯也只限于本子网内(活动范围大大减少,被当场抓获可能性加大) ;Cisco 4500上的IP-MAC的匹配核查,使得有计费的IP盗用无法进行(盗用变得无意义),从而达到合理记费和有效提高网络治理、控制能力。
本工作于去年完成,运行稳定,满足要求。华教公司的田戈先生对方案提供宝贵意见,在此表示感谢。
名词解释:
1).VLAN TRUNK PROTOCOL(VTP):用VTP设置和治理整个域内的VLAN,在治理域内VTP自动发布配置信息,其范围包括所有TRUNK连接,如交换互连(ISL)、802.10和ATMLAN(LANE) 当交换机加电时,它会周期性地送出VTP配置请求,直至接到近邻的配置(summary)广播信息,从而进行结构配置必要的更新。 交换机的VTP配置有三种模式:服务器、客户和透明模式。
2).ISLTRUNK ISL中继不同的VLAN多路包,包头带有"ISL VLAN数"标志(VTP VLAN ID)。