网络工程标书之VLAN划分

网络工程标书之VLAN划分由于学校正在积极筹备专升本工作，因此，投入了近500万元购置网络设备和计算机。中心交换机采用CiscoCatalyst4500，工作组交换机采用CiscoCatalyst3550和Catalyst2950。考虑到每栋楼接入的交换机数量并不多，所以，没有设置骨干交换机。只是简单地利用千兆端口将工作组交换机连接在一起，然后，通过光纤连接到中心交换机。目前，接入校园网的楼宇共8栋，计算机1100余台。显然不能把这么多的计算机都放在一个网段中。原因有以下几点：第一，IP地址冲突会把网管搞得晕头转向，而动态分配IP地址又会产生大量的广播包，导致网络传输效率下降。第二，任何一块网卡的损坏，任何一根双绞线出问题，都有可能导致网络风暴的发生，从而导致网络瘫痪。第三，各种网络协议(如ARP、NetBEUI、DHCP等)被广泛使用，从而导致网络内充斥大量的广播包，大大降低网络的有效带宽。第四，任何用户都可以直接访问所有的计算机，使恶意攻击变得易如反掌，网络没有任何安全可言。因此，必须根据不同部门的特点，将整个校园网划分为若干个子网络，从而将大量的广播通讯限制在本地网络。同时，限制对某些特殊子网(如财务、人事、学生等)的访问。一、什么是VLAN虚拟网技术(VLAN，VirtualLocalAreaNetwork)的诞生主要源于广播。广播在网络中起着非常重要的作用，如发现新设备、调整网络路径、IP地址租赁等等，许多网络协议都要用到广播，如。然而，随着网络内计算机数量的增多，广播包的数量也会急剧增加，当广播包的数量占到通讯总量的30%时，网络的传输效率将会明显下降。所以，当局域网内的计算机达到一定数量后(通常限制在150~200台以内)，通常采用划分VLAN的方式将网络分隔开来，将一个大的广播域划分为若干个小的广播域，以减小广播可能造成的损害如何分隔大的广播域呢?最简单的方案就是物理分隔，即将一个完整的网络物理地分隔成两个或多个子网络，然后，再通过一个能够隔离广播的路由设备将彼此连接起来。除了物理分隔的方法之外，就是在交换机上采用逻辑分隔的方式，将一个大的局域网划分为若干个小的虚拟子网(如图2所示)，即VLAN，从而使每一个子网都成为一个单独的广播域，子网之间进行通信必须通过三层设备。当VLAN在交换机上划分后，不同VLAN间的设备就如同是被物理地分割。也就是说，连接到同一交换机、然而处于不同VLAN的设备，就如同被物理地连接到两个位于不同网段的交换机上一样，彼此之间的通信一定要经过路由设备，否则，他们之间将无法得知对方的存在，将无法进行任何通信?二、VLAN的重要意义VLAN中的成员与其物理位置无关，既可连接至同一台交换机，也可连接至不同交换机。位置、连接至不同交换机中的用户如何使之处于同一VLAN的难题。例如，在一个拥有数百台计算机的校园网中，为了提高网络传输效率，可以将所有用户划分为行政和教学两个VLAN。虽然各学院、系、教研室位于不同的建筑物内，连接至不同的交换机，但仍然能够根据其连接的端口将其划分至同一VLAN。需要注意的是，如果交换机某端口连接至一个集线器，那么，该集线器以及其连接的所有计算机都将属于该端口的VLAN。2.基于MAC的VLAN所谓基于MAC的VLAN，是指借助智能管理软件根据MAC地址来划分VLAN。该划分方式一般用在每一交换机端口只连接一个终端的情况。也就是说，当端口连接至集线器或交换机时，该种划分方式并不适用。端口借助网络包的MAC地址、逻辑地址或协议类型来确定其VLAN的从属，将端口划分至不同VLAN。当一网络节点刚连接到交换机时，此时交换机端口尚未分配，于是，交换机通过读取网络节点的MAC地址，动态地将该端口划入某个虚拟网。一旦网管人员配置好后，用户的计算机就可以随意改变其连接的交换机端口，而不会由此而改变自己的VLAN。当网络中出现未定义的MAC地址，交换机可以按照预先设定的方式向网管人员报警，再由网管人员作相应的处理。例如，网络管理员有一台笔记本电脑，由于工作性质的关系，他需要经常到各部门联机工作。当该笔记本电脑从端口A移动到端口B时，交换机能够自动识别经过端口B的源MAC地址，自动把端口A从当前VLAN中删除，而把端口B定义到当前VLAN中。这种定义方法的优点是当终端在交换式网络中移动时，不必重新定义虚拟网，交换机能够自动进行识别和定义。因此，基于MAC的VLAN也称为动态VLAN。由于MAC地址具有世界唯一性，因此，该VLAN划分方式的安全性也较高。3.基于IP的VLAN所谓基于IP的VALN，是指根据IP地址来划分的VLAN。交换机属OSI第二层，因此，普通交换机不能识别帧中的网络层报文，但随着第三层交换机的出现，将第二层的交换功能和第三层的路由功能结合在一起，从而使交换机也能够识别网络层报文，可以使用报文中的IP地址来定义VLAN。因此，当某一用户设置有多个IP地址时，或该端口连接到的集线器中拥有多个TCP/IP用户时，通过基于IP的VLAN，该用户或该端口就可以同时访问多个虚拟网。在该模式下，位于不同VLAN的多个部门(每种业务设置成一个虚拟网)均可同时访问同一台网络服务器，也可以同时访问多个虚拟网的资源，还可让多个虚拟网间的连接只需一个路由端口即可完成。这种定义方法的优点是当某一终端使用的网络层协议或IP地址改变时，交换机能够自动识别，重新定义VLAN，不需要管理员干预。但由于IP地址可以人为地、不受约束地自由设置，因此，使用该方式划分VLAN也会带来安全上的隐患。4.基于组播的VLAN组播作为一点对多点的通信，是节省网络带宽的有效方法之一。在多媒体应用中，当需要将一个节点的多媒体信号传送到多个节点时，无论是采用重复点对点通信方式，还是采用广播的方式，都会严重浪费网络带宽，而只有组播才是最好的选择。组播能够使一个或多个发送者将帧发送给组地址，而不是单个主机。其中，那些希望参加某一特定组的接收者，需要将含有组地址的IGMP“加入消息”发送给最邻近的路由器，然后，路由器使用多点广播路由协议(例如DVMRP、PIM等)建立从源到所有接收者的分发树。接收者在任何时候都可以动态地参加或离开某个多点广播组。支持IP多点广播的应用包括：音频/视频会议、“push”技术(如股票行情、运动记分、报文)和虚拟现实游戏。基于组播的VLAN，就是动态地把那些需要同时通信的端口定义到一个VLAN中，并在VLAN中用广播的方法解决点对多点通信的问题。四、实现VLAN需要的设备若欲在校园网络中实现VLAN，首先需要支持VLAN的交换机。当然，并不要求所有的交换机都支持VLAN，但是，网络内必须至少有一台交换机支持VLAN，否则，VLAN的划分就是不可能的。在选择支持VLAN的设置时，应当注意以下几个方面的问题：第一，中心交换机必须支持VLAN，并且拥有三层交换功能。由于VLAN之间的通讯必须借助三层设备才能实现，因此，如果没有三层设备，VLAN的划分将失去其原有的意义。原因很简单，我们的目的不是阻隔通信，而是试图使通信变得更快捷、更安全。若欲实现VLAN间的无阻塞线速传输，就必须采用集网桥和路由于一身的三层交换机，而不能采用传输的路由器。否则，VLAN间的传输将成为制约网络效率的瓶颈。第二，若欲在一台交换机上划分两个或两个以上的VLAN，那么，该交换机也必须支持VLAN划分功能。如果交换机上只有一个VLAN，那么，完全可以将该VLAN划分在第三层交换机或所级联交换机的端口上。但是，如果若欲在交换机划分两个以上的VLAN，那么，该交换机就必须是可网管的，而且必须支持VLAN。第三，网络内所有划分有VLAN的交换机必须支持同一种VLAN和中继协议，即IEEE802.1Q和802.3ad网络协议。否则，将无法实现VLAN在不同交换机之间的跨越。第四，应当尽量采用同一品牌的交换机，以保证产品和技术的兼容性，并可采用同一网络管理软件，实现对网络设备的统一管理，简化网络配置操作。尽管不同厂商都执行相同的国际标准和协议，但同时也大量采有独特的协议和技术(如Cisco的ISL)，因此，在交换机间实现VLAN中继时，会遇到许多困难，产生许多莫名其妙的通信故障。所以，对于大中型校园网络而言，为了将来管理上的方便，应当