软考总结:虚拟局域网的技术与应用

　　交换机是网络的核心，其技术发展非常迅速，从10Mbps以太网、快速以太网、进而发展到千兆和万兆以太网。交换机在企业中的应用向纵深发展，网络管理人员对掌握虚拟局域网和链路聚合技术的需求也越来越迫切。本文通过实践经验，对这方面的应用进行总结。

一、虚拟局域网技术

[被屏蔽广告]　　交换式以太网使用透明桥接（Transparent Bridging）技术，该技术由IEEE 802.1协议给出明确的定义。所谓透明是针对主机而言的，主机不需要知道其他主机所在的位置，而交换机将负责把一个主机产生的数据帧传给另一个主机。

　　1．虚拟局域网工作原理

　　有很多企业在发展的初期，人员较少，因此对网络的要求也不高，而且为了节约成本，很多企业网都采用了通过路由器实现分段的简单结构，如图1所示。在这样的网络下，每一个局域网上的广播数据包都可以被该段上的所有设备收到，而无论这些设备是否需要。

图1 简单的网络分段

　　随着企业规模的不断扩大，特别是多媒体在企业局域网中的应用，使每个部门内部的数据传输量非常大。此外，由于公司发展中一些遗留下来的问题，使得一个部门的员工不能相对集中办公。更重要的是，公司的财务部门需要越来越高的安全性，不能和其他的部门混用一个以太网段，以防止数据窃听。这些新问题需要更灵活地配置局域网，因此就产生了虚拟局域网（Virtual LAN）技术。

　　VLAN概念的引入，使交换机承担了网络的分段工作，而不再使用路由器来完成。VLAN的经典拓扑结构见图2。VLAN具有控制广播、安全性高和灵活性及可扩展性等技术优势。

图2 VLAN的网络分段

　　通过使用VLAN，能够把原来一个物理的局域网划分成很多个逻辑意义上的子网，而不必考虑具体的物理位置，每一个VLAN都可以对应于一个逻辑单位，如部门、车间和项目组等。由于在相同VLAN内的主机间传送的数据不会影响到其他VLAN上的主机，因此减少了数据交互的可能性，极大地增强了网络的安全性。

　　2．VLAN的设置命令

　　在Cisco系列交换机中，如果配置VLAN，一般常用以下命令。

　　创建一个VLAN。命令如下：

　　set vlan vlan-num [name name]

　　把某个端口划分给一个VLAN。命令如下：

　　bset vlan {vlan}{mod/port}

二、链路聚合技术

　　1．链路聚合工作原理

　　链路聚合（Trunk）是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。Trunk的主要功能就是仅通过一条链路就可以连接多个VLAN，请和图2 进行比较，很明显，在2个交换机之间节省了2条链路，如图3所示。

图3

　　既然把多条链路合并为一条，交换机就必须对通过Trunk传输的每一个数据帧进行标识，这个标识可以是其原来的VLAN号，也可以是VLAN的颜色，因为在整个网络上VLAN号和其颜色都是惟一的。在Trunk的另一端，接收该帧的交换机（或者主机和路由器等）通过该标识就可以知道它原来是属于哪一个VLAN，再转发到相应的端口上去。Trunk封装可以有以下方式。

　　(1) ISL（Inter-Switch Link）

　SL是Cisco公司的专有封装方式，因此仅在Cisco的设备上支持。ISL会在原来的帧上再添加一个26字节的帧头和4个字节的帧尾，帧头中包含了VLAN的信息，帧尾中包含循环校验码CRC，以保证新帧的数据完整性。ISL主要用在以太网上。

　　(2) IEEE 802.1Q

　　这是一个有关Trunk封装方式的标准，很多厂商的设备都支持这个标准。和ISL不同，IEEE 802.1Q是在数据帧的中间位置加上4个字节的标识，前2个字节是标记协议标识（Tag Protocol Identifier，TPID），0x8100代表IEEE 802.1Q，后2个字节为标记控制信息（Tag Control Information，TCL），其中就包含了VLAN的信息。

　　(3) LAN 仿真

　　该封装方式主要用在ATM链路上，在此不做详细介绍。

　　(4) IEEE 802.10

　　Cisco提供了在标准的IEEE 802.10 FDDI帧上传送VLAN的信息。该信息就放在IEEE 802.10帧的安全联合标识（Security Association Identifier，SAID）域中。

　　用户可以根据需要选择封装方式。但有一点需要注意，仅在快速以太网和千兆以太网端口上支持Trunk，并且还需要由具体的软件版本决定，可以使用命令

　　show port mod/port capabilities来查看是否有Trunk功能。

　　2．设置Trunk方式

　　把某个端口设成Trunk方式。命令如下：

　　该命令可以分成以下4个部分：

　　mod/port：指定用户想要运行Trunk的那个端口；

　　Trunk的运行模式，分别有：on | off | desirable | auto | nonegotiate。要想在快速以太网和千兆以太网上自动识别出Trunk，则必须保证在同一个VTP域内。也可以使用On或Nonegotiate模式来强迫一个端口上起Trunk，无论其是否在同一个VTP域内，见表1；

　　承载的VLAN范围。缺省下是1～1005，可以修改，但必须有1；

　　Trunk协议。使用Trunk时，相邻端口上的协议要一致。

三、VTP协议

　　VTP是一种通过Trunk来进行VLAN管理的协议，属于Client/Server方式。首先，VTP包含域的概念，只有处在同一个域内的交换机才构成一个管理体系。其次，对于整个域内VLAN的添加和删除都是在服务器端完成的。修改的结果通过Trunk发给客户端，客户端的VLAN数据库也会发生相应的变化，也就是说，客户端内的VLAN数据库总是与服务器端的VLAN数据库保持一致（同步）。出于安全的考虑，整个VTP域还添加了口令认证的功能，只有认证通过，客户端交换机内的VLAN数据库才与服务器端进行同步。所需要用到的命令如下：

　　set vtp [domain domain_name] [mode {client | server | transparent}] [passwd passwd] [pruning{enable | disable}] [v2 {enable | disable}]

四、基于策略的动态端口VLAN分配

　　在中型企业中，移动办公的人员越来越多，网络管理员需要一种技术来为这些人提供更加透明的服务，也就是说，客户无论走到哪里，都可以在无需帮助的情况下正确地接入到网络中。举一个典型的例子，在会议室中为客户做产品演示，销售人员和技术人员都用各自的笔记本电脑进行讲述。这些电脑原来都是属于不同部门、不同VLAN的，但来到会议室后，希望能够不用做任何修改就可以直接接入公司的局域网，否则还需要IT部门的人员前来协助。借助基于策略的动态端口VLAN分配（VMPS）就可以实现这一功能。

　　1．VMPS工作原理

　　VMPS即VLAN Management Policy Server，是一种基于源MAC地址动态的、在交换机端口上划分VLAN的方法。属于Client/Server架构。很多Cisco交换机都支持Client功能，而Catalyst 5000系列交换机还可以作为服务器。下面以Catalyst 5000交换机为例来说明VMPS的工作原理。

　　当启动了VMPS以后，交换机首先会从一个预先指定好的TFTP服务器上下载MAC地址-VLAN的映射数据库，这个数据库是一个预先写好的文本文件，然后它会打开一个UDP进程来监听从客户端发来的请求，并进行处理。当VMPS接到从客户端发来的一个合法请求后，首先是查看数据库中是否有该MAC地址-VLAN的映射记录。如果有，则把对应的VLAN号发给客户端交换机；如果没有，且VMPS处于非安全模式下，则客户端只是简单地拒绝该主机的访问；同样是没有该MAC地址的映射记录，但VMPS处于安全模式下，则客户端交换机上连接该MAC的断口被关闭，想要重新开启此端口，只有进行手工操作。

　　用户可以配置一个缺省的VLAN，如果数据库中没有该MAC的记录，则它会被分配到这个VLAN上。用户也可以使用NONE关键字来明确地指定一个MAC不能属于某个VLAN。VMPS还提供了一些策略，以使VMPS配置起来更加灵活。这些策略包括端口组（Port-group）和VLAN组（VLAN-group）。

　　2．VMPS的配置

　　在Catalyst 5000系列交换机上配置VMPS首先要创建一个VMPS数据库。在创建VMPS数据库时需要注意以下几个问题：（1）文件以“VMPS”开始，这样可以避免交换机错误地读入其他文件；（2）定义VMPS域，使其和VTP的域一致；（3）定义安全模式，可以是Open或者Secure; （4）（可选）定义缺省VLAN;（5）定义MAC地址-VLAN映射关系；（6）定义VLAN分配的策略。

　　在Catalyst 5000系列交换机中，配置VMPS的步骤如下。

　　指定通过何种方式下载数据库信息，命令如下：

　　set vmps downloadmethod rcp | tftp [username]

　　配置VMPS数据库所在的TFTP或RCP服务器，命令如下：
　　set vmps downloadserver ip_addr [filename]

　　启动VMPS，命令如下：

　　set vmps state enable

五、典型应用举例

　　本例所阐述的网络环境只是一个企业网的缩影，完全是为了说明VLAN是如何应用到网络中去的。在这个例子中，我们只考虑3个主要部门的分布情况，并且VLAN的划分也是基于部门来做的。这3个部门是: 客户服务部、销售部和技术支持部。具体划分见表2。

　　其中每个楼层均有客户服务部的人员; 销售部分别在一层和二层办公; 技术支持部分布在一层和三层，这是企业的逻辑结构。在物理上，该企业网分布在一幢3层楼的建筑内部。每个楼层均有一台楼层交换机，各交换机使用Trunk技术与中心骨干路由交换机相连。网络的拓扑结构见图4。

图4 企业网络分布

　　有关交换机的配置如下。

　　1．三楼楼层交换机

　　set vlan 1 2/1-4, 2/6
　　/* 把三楼交换机上的2/1到2/4和2/6端口分配给VLAN1*/
　　set vlan 3 2/5, 2/7-10
　　set trunk 2/24 on isl /
　　*把端口2/24的Trunk模式设为on，封装为ISL*/
　　set vtp domain test
　　/*把VTP域设为test*/
　　set vtp mode client /
　　*把VTP模式设为客户端*/
　　set vtp password hello
　　/*设置VTP域内所需的口令为hello*/

　　2．二楼楼层交换机

　　set vlan 1 2/1, 2/3, 2/6-7
　　set vlan 2 2/4-5, 2/8-10
　　set trunk 2/24 on isl
　　set vtp domain test
　　set vtp mode client
　　set vtp password hello

　　3．一楼楼层交换机

　　set vlan 1 2/2-4
　　set vlan 2 2/5-8
　　set vlan 3 2/9-20
　　set trunk 2/24 on isl
　　set vtp domain test
　　set vtp mode client
　　set vtp password hello

4．中心骨干路由交换机
　　set vlan 1
　　/*在VLAN数据库中添加VLAN1*/
　　set vlan 2
　　set vlan 3
　　!
　　set trunk 2/1 on isl /
　　*接一楼楼层交换机*/
　　set trunk 2/2 on isl /
　　*接二楼楼层交换机*/
　　set trunk 2/3 on isl /
　　*接三楼楼层交换机*/
　　!
　　set vtp domain test
　　set vtp mode server
　　set vtp password hello
　　!
　　interface vlan 1 /
　　*在路由模块上设置每一个VLAN对应的IP地址段*/
　　ip adderss 192.168.1.1 255.255.255.0
　　!
　　interface vlan 2
　　ip adderss 192.168.2.1 255.255.255.0
　　!
　　interface vlan 3
　　ip adderss 192.168.3.1 255.255.255.0
　　!
　　本文介绍了以太网交换技术和实际举例，希望会给读者带来有益的帮助。对于其他硬件平台，会有不同的命令来具体实现。希望本文带给大家更多有关数据网络技术的思想，起到抛砖引玉的作用。