在企业网络刚刚兴起之时,由于企业网络规模小、应用范围的局限性、对Internet接入的熟悉程度、网络安全及治理的贫乏等原因,使得企业网仅仅限于交换模式的状态。交换技术主要有两种方式:基于以太网的帧交换和基于ATM的信元交换,LAN交换机的每一个端口均为自己独立的碰撞域,但同时对于所有处于一个ip网段或IPX网段的网络设备来说,却同在一个广播域中,当工作站的数量较多、信息流很大的时候,就轻易形成广播风暴,甚者造成网络的瘫痪。
什么是VLAN
VLAN是英文Virtual Local Area Network的缩写,即虚拟局域网。VLAN答应处于不同地理位置的网络用户加入一个逻辑子网中,共享一个广播域。通过对VLAN的创建可以控制广播风暴的产生,从而提高交换式网络的整体性能和安全性。
VLAN对于网络用户来说是完全透明的,用户感觉不到使用中与交换式网络有任何的差别,但对于网络治理人员则有很大的不同,因为这主要取决于VLAN的几点优势:
1. 对网络中的广播风暴的控制;
2. 提高网络的整体安全性,通过路由访问列表、MAC地址分配等VLAN划分原则,可以控制用户的访问权限和逻辑网段的大小;
3. 网络治理的简单、直观。
在采用交换技术的网络模式中,对于网络结构的划分采用的仅仅是物理网段的划分的手段。这样的网络结构从效率和安全性的角度来考虑都是有所欠缺的,而且在很大程度上限制了网络的灵活性,假如需要将一个广播域分开,那么就需要另外购买交换机并且要人工重新布线。由此,需要进行虚拟网络(VLAN)设置。
在一个规模较大的企业中,其下属有多个二级单位,在各单位的孤立网络进行互连时,出于对不同职能部门的治理、安全和整体网络的稳定运行,我们进行了VLAN的划分。
第一步 子网分析
该网络系统由三部分组成:公司、二级单位1、二级单位2,初始为三部分各自独立,未形成统一的网络环境,故各网络系统的运行采用的是以交换技术为主的方式。
三网主干均采用的是千兆以太网技术,起点的高定位为企业的信息应用带来了高速、稳定、符合国际标准的网络平台。公司中心交换机采用的是Cisco的Catalyst 6506,带有三层路由的引擎使得企业网具有将来升级的能力;同时各二级单位的中心交换机采用的亦是Cisco的Catalyst 4006;各二级、三级交换机则采用的是Cisco的Catalyst 3500系列,主要因为Catalyst 3500系列交换机的高性能和可堆叠能力。
现三部分应公司的要求联网,网络的互连仍采用千兆带宽,但因三网均采用了千兆以太网技术,为了不在主干形成瓶颈,因此各子网的互连采用Trunk技术,即双千兆技术,使网络带宽达到4G,如此既增加了带宽,又提供了链路的冗余,提高了整体网络的高速、稳定、安全运行性能。
但亦由于网络规模的扩大化,信息流量的加大,人员的复杂化等原因,为企业网络的安全性、稳定性、高效率运行带来了新的隐患。由此引发了VLAN的划分。
对于VLAN的划分,应公司的需求,我们对各VLAN的IP地址分配为:
· 经理办子网:192.168.1.0——192.168.2.0/22 网关:192.168.1.1;
· 财务子网: 192.168.3.0——192.168.5.0/22 网关:192.168.3.1;
· 供销子网: 192.168.6.0——192.168.8.0/22 网关:192.168.6.1;
· 信息中心子网:192.168.7.0/24 网关:192.168.7.1;
· 服务器子网:192.168.100.0/24 网关:192.168.100.1;
· 其余子网: 192.168.8.0——192.168.9.0/22 网关:192.168.8.1;
第二步 系统分析
VLAN的划分的四种策略
1. 基于端口的VLAN
基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。该方法只需网络治理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可。而不用考虑该端口所连接的设备是什么。
2. 基于MAC地址的VLAN
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一的。基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。在网络规模较小时,该方案亦不失为一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大治理的难度。
3. 基于路由的VLAN
路由协议工作在七层协议的第三层:网络层,即基于IP和IPX协议的转发。这类设备包括路由器和路由交换机。该方式答应一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
4. 基于策略的VLAN
基于策略的VLAN的划分是一种比较有效而直接的方式。这主要取决于在VLAN的划分中所采用的策略。
就目前来说,对于VLAN的划分主要采用1、3两种模式,对于方案2则为辅助性的方案。
VLAN的划分设计之后,再所涉及的就是VLAN划分的最后一步:VLAN间的互连。
在以前对VLAN的划分主要是通过路由器来实现的,但随着网络规模的扩大、信息量的增加,路由器无论是从端口数还是系统性能上来说都已经不堪负荷,因此逐渐形成了产生网络瓶颈的主要原因。而在现在,因为有了基于交换机上的三层路由的能力,在上述两点已经得到合理地解决。
对于Cisco的产品划分,VLAN主要是基于两种标准协议:ISL和802.1Q。在我们这里,因为所采用的均是Cisco的网络设备,故在进行VLAN间的互连时采用ISL的协议封装,该协议针对Cisco网络设备的硬件平台在信息流的处理、多媒体应用的优化进行了合理有效的优化。对于不同产品的VLAN互连,我们在后面会提到。
由于本案例中关于VLAN的划分扩展了各个交换机,所以交换机之间的连接都必须采用Trunk的方式。经理办和供销子网代表了VLAN划分中的两种问题——扩展交换机VLAN的划分和端口VLAN的划分:
在经理办虚网中,对于一个交换机扩展多个VLAN的时候,前面提到了该交换机与其上层交换机间必须采用Trunk方式连接,但在供销的虚网划分中,在二级单位1中的供销独立于一个LAN交换机Catalyst3548,所以在这里,Catalyst3548与二级中心交换机Catalyst4006只需采用正常的交换式连接即可,对于此部分供销VLAN的划分,只要在Catalyst4006上针对与Catalyst3548连接的端口进行划分即可。也就是前面提到的基于端口的VLAN的划分。
第三步 路由列表
做完了VLAN之间的连接后,因为两个Catalyst4006与主中心交换机Catalyst6506间采用的是双光纤通道式连接,屏蔽了Catalyst406与Catalyst6506间的线路故障的产生,所以要对整体网络的路由进行基于Catalyst6506的集中式治理。我们在主中心交换机Catalyst6506上设置了VLAN路由:
· 经理办虚网:192.168.1.1/22;
· 财务虚网: 192.168.3.1/22;
· 供销虚网: 192.168.6.1/22;
· 信息中心虚网:192.168.7.1/24;
· 其余虚网: 192.168.8.1/22;
接下来,在中心交换机上设置路由协议RIP或OSPF,并指定网段192.168.0.0。在全局配置模式下执行如下命令:
router rip
network 192.168.0.0
网络拓扑图
注重事项
1. 在这里需要注重的是:因为整个公司的网络系统的VLAN的划分是作为一个整体结构来设计的,所以为了保持VLAN列表的一致性,例如当二级单位1的VLAN有所变化时,VLAN列表也会有所变化,这时就需要该Catalyst 4006对整体网络的其他部分进行广播,以达到VLAN的列表的一致性。所以在设置VTP(VLAN Trunk PRotocol)时要注重,要将VTP的域作为一个整体,即:VTP类型分别为Server和Client。
2. 有些企业建网较早,所选用的网络设备为其他的厂商的产品,而后期的产品又不能与前期统一,这样在VLAN的划分中就会碰到些问题。
例如:在Cisco产品与3Com产品的混合网络结构中划分VLAN,对于Cisco网络设备的Trunk的封装协议则必须采用802.1Q,以达到与3Com的通讯。虽然两者之间可以建立VLAN的正常划分,和正常的应用,但由于交换机都具有自学习的能力,以致两者之间的协调配合较差。当两者之间的连接发生变化时,必须在Cisco交换机上使用命令(clear counter)进行清除,方可达到两者的重新协调工作。