《ciscocatalyst交换技术》第4章 虚拟LAN

c

下载

Chinapub.com 下载 第4章虚拟LAN 随着网络用户的增加,网络管理日益成为一种挑战,所以,VLAN(虚拟局域网)具有 流行交换机的特点并不奇怪。VLAN可以减轻网络工程师的工作负担。VLAN还可以允许网络 管理员取消过去的物理限制,并对用户的第3层网络地址进行控制,而不管它处在网络中的哪 个位置 VLAN的其他优势包括加强网络的安全性能、易于控制广播和能够分布通信量。 Cisco Catalyst交换机能够完成很多功能来加强和简化VLAN的实现 中继线( trunking)的使用允许vLAN跨接由小型的或大型区域分开的多个交换机。Cisc 也在它的许多路由产品中实施了中继特性,使得我们可以设计许多有益而有趣的网络。 4.1ⅥLAN定义 VLAN可以定义为“广播域”,ⅥLAN即是广播域。第1章中,我们知道,广播域是第3层 的网络。交换机可以定义一个VLAN,交换机的端口便成为VLAN中的成员。例如,在图4-1 中,交换机的端口定义了两个VLAN,即会计( Accounting)和管理( Managemant) VLAN 管理VLAN 图4-1在 Catalyst1900上的两个VLAN 图中,端口1到端口13分配给会计VLAN,端口13至端口24分配给管理VLAN。由于交换 机不允许广播在VLAN之间传送,所以交换机相当于对图中的网络进行了逻辑分段(图4-2)。 如果工作站A发送一个广播,在会计VLAN上的所有工作站都接收到这个广播。但交换机 不会将广播发送至管理VLAN上的任何一个端口。实际上,交换机不会从一个VLAN向另外一 个的VLAN发送帧,除非它是一个多层交换机,这种交换机在本书的后面将加以讨论。现在 有人也许还在考虑第1章中所说的“路由器是唯一的能够对网络进行逻辑分段的设备”。从理论

下载 第4章 虚 拟 L A N 随着网络用户的增加，网络管理日益成为一种挑战，所以， V L A N（虚拟局域网）具有 流行交换机的特点并不奇怪。 V L A N可以减轻网络工程师的工作负担。 V L A N还可以允许网络 管理员取消过去的物理限制，并对用户的第 3层网络地址进行控制，而不管它处在网络中的哪 个位置。 V L A N的其他优势包括加强网络的安全性能、易于控制广播和能够分布通信量。 C i s c o C a t a l y s t交换机能够完成很多功能来加强和简化 V L A N的实现。 中继线（t r u n k i n g）的使用允许V L A N跨接由小型的或大型区域分开的多个交换机。 C i s c o 也在它的许多路由产品中实施了中继特性，使得我们可以设计许多有益而有趣的网络。 4.1 VLAN定义 V L A N可以定义为“广播域”，V L A N即是广播域。第 1章中，我们知道，广播域是第 3层 的网络。交换机可以定义一个 V L A N，交换机的端口便成为 V L A N中的成员。例如，在图 4 - 1 中，交换机的端口定义了两个 V L A N，即会计（A c c o u n t i n g）和管理（M a n a g e m a n t）。 图4-1 在Catalyst 1900上的两个VLAN 图中，端口1到端口1 3分配给会计V L A N，端口1 3至端口2 4分配给管理V L A N。由于交换 机不允许广播在V L A N之间传送，所以交换机相当于对图中的网络进行了逻辑分段（图 4 - 2）。 如果工作站A发送一个广播，在会计 V L A N上的所有工作站都接收到这个广播。但交换机 不会将广播发送至管理 V L A N上的任何一个端口。实际上，交换机不会从一个 V L A N向另外一 个的V L A N发送帧，除非它是一个多层交换机，这种交换机在本书的后面将加以讨论。现在， 有人也许还在考虑第1章中所说的“路由器是唯一的能够对网络进行逻辑分段的设备”。从理论 会计 VLAN 管理 VLAN

第虚拟LAN59 上说,这种观点是不正确的,因为交换机也能够对网络进行逻辑分段,但在实际应用中,只使 用交换机而不使用路由器对网络进行逻辑分段是非常可笑的,因为这种配置事实上不会允许信 息在VLAN之间通过。所以这是一种不可靠的情况,而且也是一种讨论起来没有意义的情形 A且g 会计VLAN 管理LAN 图4-2广播限制在一个ⅥLAN的所有端口上 在会计VLAN中的工作站将与管理VLAN中的用户处在完全不同的广播域中,所以就存在 两个完全不同的IP子网、IPX网络和 Appletalk电缆范围。图4-3中,分配给会计ⅤLAN的P地址 是17216.10.0/24,IPX网络号为10, Appletalk电缆范围为10-10。分配给管理ⅤLAN的IP子网 地址为17216200/24,IPX网络号为20, Appletalk电缆范围为20-20。在这种情况下,一个 VLAN的通信量将对另外一个VLAN不会产生影响,而不管它在网络中的物理位置。 白直A g自白自百白白 会计VLAN 管理VLAN 子网172.16.10.0/24 IP子网17216.200/24 IPX网络10 IPX网络20 Apple Talk电缆范围10-10 Apple Talk电缆范围20-20 图4-3分配给P子网、PX网络和 Appletalk电缆范围

上说，这种观点是不正确的，因为交换机也能够对网络进行逻辑分段，但在实际应用中，只使 用交换机而不使用路由器对网络进行逻辑分段是非常可笑的，因为这种配置事实上不会允许信 息在V L A N之间通过。所以这是一种不可靠的情况，而且也是一种讨论起来没有意义的情形。 图4-2 广播限制在一个VLAN的所有端口上 在会计V L A N中的工作站将与管理V L A N中的用户处在完全不同的广播域中，所以就存在 两个完全不同的I P子网、I P X网络和A p p l e a l k电缆范围。图4 - 3中，分配给会计V L A N的I P地址 是1 7 2 . 1 6 . 1 0 . 0 / 2 4，I P X网络号为1 0，A p p l e t a l k电缆范围为1 0 - 1 0。分配给管理V L A N的I P子网 地址为1 7 2 . 1 6 . 2 0 . 0 / 2 4，I P X网络号为2 0，A p p l e t a l k电缆范围为 2 0 - 2 0。在这种情况下，一个 V L A N的通信量将对另外一个V L A N不会产生影响，而不管它在网络中的物理位置。 图4-3 分配给IP子网、IPX网络和Appletalk电缆范围 第4章 虚 拟 LAN 59 下载 会计 VLAN 管理 VLAN 会计 VLAN IP 子网 172.16.10.0/24 IPX 网络 10 Apple Talk电缆范围10-10 管理 VLAN IP 子网 172.16.20.0/24 IPX 网络 20 Apple Talk电缆范围20-20

60 Cisco C)网交换技术 下载 Cisco的LAN实现为端口中心式。与节点相连的端口将定义它所驻留的VLAN。怎样将 端口分配给VLAN取决于 Cisco Catalyst交换机。将端口分配给ⅤLAN的方式有两种,分别是静 态的和动态的 42静态VLAN 形成静态VLAN过程是将端口强制性地分配给VLAN的过程。工程师一般按照自己的喜好 来确定哪些端口属于哪些特定的LAN,然后将VLAN静态映射到端口。例如,在图4-1中, 将会计VLAN定义为与端口1至端口12相连接的任何节点。工程师还将输入一些合适的命令, 这些命令有可能来自称为SNMP管理工作站的交换机的CLI(命令行接口),也有可能来自将 端口1至端口12分配给会计ⅤLAN的软件管理工具CWSI( Cisco Work switched internetworks) 这种方法非常耗时,因为工程师们只能对将端口映射到合适的ⅤLAN所必须的命令进行手工 输入。不过,这是将端口映射到VLAN的一种最通用的方法 4.3动态VLAN 动态的ⅤLAN形成很简单,由端口自己决定它属于哪个VLAN时,就形成了动态的VLAN。 不过,这不是 Terminator,也不是变成非小说文学的 The Forbin Project,它是一个简单的映射, 这个映射取决于工程师创建的数据库。分配给动态VLAN的端口被激活后,交换机就缓存初 始帧的源MAC地址(见图44)。 随后,交换机便向一个称为VMPS(VLAN管理策略服务器)的外部服务器发出请求, VMPS中包含一个文本文件,文件中存有进行ⅤLAN映射的MAC地址。交换机对这个文件进 行下载,然后对文件中的MAC地址进行校验。如果在文件列表中找到MAC地址,交换机就将 端口分配给列表中的VLAN。如果列表中没有MAC地址,交换机就将端口分配给默认的 VLAN(假设已经定义默认了VLAN)。如果在列表中没有MAC地址,而且也没有定义默认的 VLAN,端口不会被激活。这是维护网络安全一种非常好的的方法。 从表面上看,动态ⅤLAN的优势很大,但它也有致命的缺点,即创建数据库是一项非常艰 苦而且非常繁琐的工作。如果网络上有数千个工作站,则有大量的输入工作要做。即使有人 能胜任这项工作,也还会出现与动态的VLAN有关的很多问题。另外,保持数据库为最新也 是要随时进行的非常费时的工作。在第6章中将对动态的VLAN做进一步讨论。 44中继 前面我们已经知道,单个交换机可以定义VLAN,那么多个交换机是怎样扩展VLAN的 呢?举个例子,图4-5给出了第1层和第2层楼上属于会计部门和管理部门的一部分节点。这两 层楼的节点怎样才能属于同一个VLAN呢? 图中,我们可以将两个交换机之间的物理连接分配给会计VLAN,但这会限制楼层之间的 通信。在交换机之间还可以形成另外一个连接,而且可以将这个连接放置在管理VLAN中 但这种做法花费很大,特别是存在两个以上的ⅥLAN时。中继允许多个VLAN的信息通过同一 个物理连接。例如,如果图4-5中的两个交换机之间的连接做成一个中继连接,那么两个 VLAN都可以通过同一个物理连接进行通信。这个过程通常由一个标记完成。通过中继线进 行传输的帧都将用 VLAN ID进行标记。 Catalyst交换机通过一个唯一的数字对每个VLAN进行

C i s c o的V L A N实现为端口中心式。与节点相连的端口将定义它所驻留的 V L A N。怎样将 端口分配给V L A N取决于Cisco Catalyst交换机。将端口分配给V L A N的方式有两种，分别是静 态的和动态的。 4.2 静态VLAN 形成静态V L A N过程是将端口强制性地分配给 V L A N的过程。工程师一般按照自己的喜好 来确定哪些端口属于哪些特定的 V L A N，然后将V L A N静态映射到端口。例如，在图 4 - 1中， 将会计V L A N定义为与端口 1至端口1 2相连接的任何节点。工程师还将输入一些合适的命令， 这些命令有可能来自称为 S N M P管理工作站的交换机的 C L I（命令行接口），也有可能来自将 端口1至端口1 2分配给会计V L A N的软件管理工具C W S I（C i s c o Work Switched Internetworks）。 这种方法非常耗时，因为工程师们只能对将端口映射到合适的 V L A N所必须的命令进行手工 输入。不过，这是将端口映射到 V L A N的一种最通用的方法。 4.3 动态VLAN 动态的V L A N形成很简单，由端口自己决定它属于哪个 V L A N时，就形成了动态的V L A N。 不过，这不是Te r m i n a t o r，也不是变成非小说文学的The Forbin Project，它是一个简单的映射， 这个映射取决于工程师创建的数据库。分配给动态 V L A N的端口被激活后，交换机就缓存初 始帧的源M A C地址（见图4 - 4）。 随后，交换机便向一个称为 VMPS （V L A N管理策略服务器）的外部服务器发出请求， V M P S中包含一个文本文件，文件中存有进行 V L A N映射的M A C地址。交换机对这个文件进 行下载，然后对文件中的 M A C地址进行校验。如果在文件列表中找到 M A C地址，交换机就将 端口分配给列表中的 V L A N。如果列表中没有 M A C地址，交换机就将端口分配给默认的 V L A N（假设已经定义默认了 V L A N）。如果在列表中没有 M A C地址，而且也没有定义默认的 V L A N，端口不会被激活。这是维护网络安全一种非常好的的方法。 从表面上看，动态V L A N的优势很大，但它也有致命的缺点，即创建数据库是一项非常艰 苦而且非常繁琐的工作。如果网络上有数千个工作站，则有大量的输入工作要做。即使有人 能胜任这项工作，也还会出现与动态的 V L A N有关的很多问题。另外，保持数据库为最新也 是要随时进行的非常费时的工作。在第 6章中将对动态的V L A N做进一步讨论。 4.4 中继 前面我们已经知道，单个交换机可以定义 V L A N，那么多个交换机是怎样扩展 V L A N的 呢？举个例子，图4 - 5给出了第1层和第2层楼上属于会计部门和管理部门的一部分节点。这两 层楼的节点怎样才能属于同一个 V L A N呢？ 图中，我们可以将两个交换机之间的物理连接分配给会计 V L A N，但这会限制楼层之间的 通信。在交换机之间还可以形成另外一个连接，而且可以将这个连接放置在管理 V L A N中， 但这种做法花费很大，特别是存在两个以上的 V L A N时。中继允许多个V L A N的信息通过同一 个物理连接。例如，如果图 4 - 5中的两个交换机之间的连接做成一个中继连接，那么两个 V L A N都可以通过同一个物理连接进行通信。这个过程通常由一个标记完成。通过中继线进 行传输的帧都将用VLAN ID进行标记。C a t a l y s t交换机通过一个唯一的数字对每个 V L A N进行 60 Cisco Catalyst 局域网交换技术 下载

Chinapub.coM 虚叔AN61 下载 与端口1l连接 源MAC地址 0000.6509a080 第一个帧的源MAC地址被缓存 巴 鞋主 端口1应分配至 哪个VLAN VMPS被要求下载数据库并检查源MAC地址 LAN 端口将分配给管理ⅤLAN 源MAC地址 0000.6509a080 也址00a0.24a6 fade vlan-名字会计 地址00006509a080van名字管理 地址 aabb ccdd, eeff vlan-名字工程 地址1223.56789 abc vlan名字HR 图4-4将源MAC地址映射到管理VLAN 第一层楼 会计用户 管理用户 回g 图45会计用户和管理用户

第4章 虚 拟 LAN 61 源MAC 地址 与端口1/1 连接 端口1/1 应分配至 哪个VLAN VLAN 地址 地址 地址 地址 名字会计 名字管理 名字工程 名字 VMPS 被要求下载数据库并检查源MAC 地址 第一个帧的源MAC 地址被缓存 端口将分配给管理VLAN 源MAC 地址 地址 名字会计 名字管理 名字工程 名字 地址 地址 地址 图4-4 将源MAC地址映射到管理VLAN 第一层楼 第二层楼 会计用户 管理用户 图4-5 会计用户和管理用户 下载