VLAN 技术分析合集 及配置.doc

VLAN 之间的访问控制路由器通过以太网的子口建立与下连交换机TRUNK口相连。要求管理VLAN可以访问其它业务VLAN、办公VLAN、财务VLAN、家庭网VLAN，但是其它VLAN不可以访问管理VLAN。下面把路由器上的配置附上：ip access-list extended infilterevaluate mppacketdeny ip 55 55 deny ip 55 55 deny ip 55 55 deny ip 55 55 deny ip 55 55 deny ip 55 55 deny ip 55 55 deny ip 55 55 deny ip 55 55 deny ip 55 55 deny ip 55 55 deny ip 55 55 deny ip 55 55 deny ip 55 55 deny ip 55 55 deny ip 55 55 permit ip any any exitip access-list extended outfilterpermit ip any any reflect mppacket exitinterface fastethernet0ip address 52exitinterface fastethernet1exitinterface fastethernet1.1description Guanliip address 54 encapsulation dot1q 1exitinterface fastethernet1.2description Yewuip address 54 encapsulation dot1q 2ip access-group outfilter outip access-group infilter inexitinterface fastethernet1.3description Bangongip address 54 encapsulation dot1q 3ip access-group outfilter outip access-group infilter inexitinterface fastethernet1.4description Caiwuip address 54 encapsulation dot1q 4ip access-group outfilter outip access-group infilter inexitinterface fastethernet1.5description Jiatingip address 54 encapsulation dot1q 5ip access-group outfilter outip access-group infilter inexitip route VLAN技术实例之旁门左道某局域网的IP地址主要通过DHCP来分配，各VLAN的PC都使用位于VLAN1的一台DHCP服务器来获取IP地址和网关等参数。管理员发现在该网络中存在一个奇怪的现象，就是有一些机器有的时候获得的不是本VLAN的IP地址，而是别的VLAN的地址，更奇怪的是，使用别的VLAN的地址也能正常通讯！这怎么可能呢？ 经过观察，管理员终于跟踪到一个具体的表现。一台PC连接在交换机3548-03的F0/37端口，该端口属于VLAN1，但当前获得的是VLAN4的IP地址：11，它与其它网段互通没有问题。 在DOS窗口中输入命令ipconfig /all可以查看到PC的MAC地址00-d0-b7-19-06-fa。 在3548-03交换机上使用命令：show mac-address-table dynamic interface f 0/37, 没错该PC是连接在这个端口上： Non-static Address Table: Destination Address Address Type VLAN Destination Port - - - - 00d0.b719.06fa Dynamic 1 FastEthernet0/37 在核心交换机6509的路由模块MSFC上ping 11，通的，show arp | in 11观察ARP记录，正确无误；从别的网段ping 和tracert 该地址，通的；使用工具扫描，分析结果可以确定地址11的确是那台PC。 这样说来，很可能是VLAN 1和VLAN 4在网络的某个地方被连通了。假设是这样，怎么才能找出这个错误的连接点呢？ 既然该PC使用VLAN 1 或VLAN 4的IP地址都可以与别的网段连通，那么它和位于MSFC上的网关通讯肯定是正常的。由于MSFC的唯一邻接的二层设备就是6509的交换引擎，所以引擎的MAC地址表中无论是VLAN 1 或VLAN 4都应该有该工作站的MAC地址记录。使用命令show camp 看到如下结果： 6509_se (enable) show cam 00-d0-b7-19-06-fa * = Static Entry. + = Permanent Entry. # = System Entry. R = Router Entry. X = Port Security Entry $ = Dot1x Security Entry VLAN Dest MAC/Route Des CoS Destination Ports or VCs / Protocol Type - - - - 1 00-d0-b7-19-06-fa 3/2 ALL 4 00-d0-b7-19-06-fa 3/1 ALL 好了，胜利在望。端口3/2 连接的是3548-03交换机，正确的，MAC地址出现在VLAN 1中，也是正确的; 端口3/1连接的是另一台交换机3548-01, 何以它会报告该MAC地址出现在VLAN 4中呢？ 登录3548-01交换机，使用show cdp nei 得到如下输出： 设备名称 本地端口 设备型号 远端端口 3548-01 Fas 0/33 127 T S WS-C3548-XFas 0/38 3548-01 Fas 0/38 127 T S WS-C3548-XFas 0/33 可以看到，设备出现在自已的cdp nei 表中，说明端口f0/33和f0/38可能通过交叉线或HUB之类的设备相连形成了环路；通过命令show vlan 可以发现，f0/33端口属于VLAN 1, 而f0/38端口则属于VLAN 4， 问题至此水落石出。 如果端口f0/33和f0/38都属于VLAN 1，且允许了spantree portfast 特性，那就很可能会引起生成树的环路。现象为网络时通时断，MSFC的MAC地址在正确的端口(15/1或16/1)和出问题的交换机端口之间flapping。 技术观点：谈谈VLAN的设计与应用(图)VLAN相互受影响根据VLAN的定义和技术规范，VLAN不是由独享的物理设备和物理链路搭建的物理子网或网段，VLAN与实实在在的物理子网的本质区别在于，VLAN之间要共享物理设备和物理链路，因此，VLAN间就会通过所共享的设备和链路相互影响。这种影响是如何产生的呢?VLAN是通过将一个物理拓扑中的两个或多个节点通过逻辑组合而形成的，要想实现这种逻辑的组合就必须使用支持VLAN的交换设备，但真正提供VLAN功能的是这些设备内部的软件。也就是说，VLAN所构造的子网(广播域)是软件实现的，而不是由网络拓扑所决定的。网络拓扑仅对由软件所建立的VLAN有所限制。知道了VLAN的工作原理，就不难解释VLAN间的影响了，同一交换机上的不同VLAN要共享交换机、要争夺交换机的CPU和背板资源。VLAN对交换机和链路的共享可分为两种类型:一种是“广播共享”，即VLAN划定的广播域贯穿共享设备和链路(如图1所示)，换句话说广播共享是二层的共享。另一种我们称之为“路由共享”，也可以说是三层共享，在这种类型的共享中，不同VLAN的数据包是以路由(三层交换)方式穿过交换机的(如图2中虚线所示)，通过的包基本上不含有一般的广播包(DHCP和特殊协议的广播除外)。VLAN在“广播共享”网络资源时的相互影响要比“路由共享”时更大。 从图1可清楚地看出所共享的网络资源(交换机和链路)。在正常情况下，VLAN间的这种影响不被我们所注意，原因是共享的交换机有足够的交换能力，链路不是很拥挤，但在某一VLAN出现异常时(如感染病毒或出现环路)情况就不同了。这时被感染VLAN(如VLAN1)中的大量数据帧将挤占该VLAN所及的所有交换机的CPU资源、背板带宽，并长时间占用物理链路，其他VLAN(如VLAN2)中的设备尽管“看”不到出现异常VLAN中的数据帧，但其所依赖的网络资源已被用尽，因此，VLAN1所覆盖的网络区域就会出现异常。如果故障点发生在核心交换机附近，那么整个网络就有可能瘫痪。这在各网络拓扑层交换机的性能相差不多的情况下尤为严重。三层共享有作用由VLAN的性质所决定，完全消除VLAN间的链路和设备的共享在理论上是不可能的。我们所做的努力只能尽量减少相互影响的范围、降低相互影响的程度。如何做到这一点呢?在实践中我们总结出如下原则:1)应尽量避免在同一交换机中配置多个VLAN;2)不同物理位置上的交换机上的端口尽量不要划归到同一个VLAN。前者较好理解，也容易实现，我们重点讨论后者，即如何做到VLAN不跨越核心交换机和拓扑结构的“层”。从图1可以看出，由于VLAN1(VLAN2也是这样)的范围跨越了整个网络，如果把所有VLAN的覆盖面都限定在核心交换机的同一侧，这些资源被共享的程度不就减轻了吗?按此想法我们可以将图1所示的网络改变为图2所示的结构。由于在这种结构中不存在跨越核心交换机的虚网，因此各VLAN的广播包就不会穿过核心交换机，但这些广播包却均能到达核心交换机，同时核心交换机上还会有ACL允许的VLAN间的正常数据流(如图2中的虚线所示)通过。很显然，这时的核心交换机既阻挡了各VLAN的广播包，又转发了VLAN间的正常数据流，其被共享的形式由“广播式”变成了“路由式”，受VLAN影响的程度变小。 有人可能会说，把核心交换机从二层提到了三层，性能会下降。这种说法无疑是正确的，但这点性能的降低对于当今的三层交换机所能提供的性能来说已经算不得什么了。从图2还可以看出，尽管受单个VLAN影响的程度和范围均变小，但共享链路的长度和强度并没有本质的变化。三层结构最有效细心的读者可能还会发现，图2所示网络中的VLAN没有体现VLAN技术的原始目的不同物理位置上的计算机能像在同一物理网中一样相互访问。这个问题正是本文涉及的核心问题，也是针对规划、部署VLAN提出的新观点:在网络中，特别是较大型网络，不要企图利用VLAN去实现不同物理位置上计算机的互联互通，互通性要由路由策略去实现。这在以往会有些问题，但网络技术发展到今天，交换机与路由器间的差别变得越来越小，原来用二层实现的方法很多都能够用三层技术所代替。用三层技术代替二层的功能有很多优点，主要表现在:结构更加清晰、控制更加丰富、扩展更加灵活、网络更加稳定、实现更加容易。继续分析图2中所存在的问题不难看出，尽管核心交换机被共享的形式改变了，但仍存在受到各VLAN出现异常情况的影响。要想避免核心交换机受到各个VLAN的影响、减小影响范围、避免全网瘫痪的发生，很容易想到在核心交换机和划有VLAN的交换机之间加上一层，以隔离核心交换机和各个VLAN。这时就形成了目前较为流行的三层拓扑结构的网络，如图3所示。 在三层网络结构中，汇聚层与核心层之间的区域不再有VLAN，汇聚层交换机的VLAN也仅限于部分端口，这时汇聚层交换机成为被“路由共享”的交换机，而且这种“路由共享”比图2的情况更弱。如果使汇聚层交换机的性能远高于接入层的交换机，那么由VLAN的广播(多由病毒引起)所引起的整网瘫痪问题就基本解决了。任何方案都具有利的一面和不利的一面，三层拓扑结构的网络也会带来一些问题:1)利用一般的手段较难实现对各个VLAN进行集中式的远程管理，对于这个问题的解决方案可充分利用网管软件。2)由于VLAN数量的增多、路由协议等技术的引入，此时的网络会比二层平面交换网络要复杂，对网络技术人员的要求更高，管理维护成本会有所增加。这两点是大型网络管理本身的要求，大型网络的管理不可能不使用网络管理工具，技术人员的缺乏更是各个企业都面临的问题，对此有的专家提出了“IT物业”的理念，也许这就是将来解决这个问题的最终方案。创新使用虚拟局域网VLAN以不同的用途部署在企业网络中，这些用途包括网络安全认证、使无线客户机可以在802.11b接入点之间漫游、隔离IP语音传输流以及一种在混合协议网络上容纳遗留协议传输流的方法。 VLAN是在差不多六年前推出的，其中的大多数VLAN是基于IEEE 802.1Q和802.1p标准的。802.1Q规范建立了一种标准的将VLAN成员信息插入到以太网帧中的方式。而802.1p是使第二层交换机能够为传输流提供优先级和执行动态多播过滤的规范。 当VLAN首次推出时，被视为一种简化地址管理的途径，它使IT部门在网络上任何位置部署服务器和PC，然后将这些设备虚拟地连接在一起组成设备组。 运行在大多数管理网络设备上的软件可以被用来将PC媒介访问控制地址(MAC)与VLAN建立关系，使客户机在从一个端口转移到另一端口时，可以自动地连接到网络上。 当第三层交换机的出现时，观察家说，VLAN技术将变得过时，因为子网之间的线速度路由将使用户可以更加容易地控制网络广播传输流。此外，DHCP在IP网络上普遍地应用解决了用户移动性的问题。 但是，据IDC说，由于第三层交换机只在全球以太网交换机端口安装基础中占6%，因此，VLAN仍在网络专业人员中得到广泛的使用。用户也出于网络管理之外的理由在他们的网络中使用802.1Q技术。 无线局域网 当Wi-Fi加入到局域网阵营后，管理漫游客户机变得很棘手。网管人员可以将无线传输流隔离到一个VLAN中，保证没有人在从一个接入点转移到另一个接入点时脱离网络。 利用VLAN管理遗留协议 VLAN是可以为一些企业中尚存在的一些老的应用提供特殊协议服务，方便网络管理人员管理网络，不必为这些老家伙建立独立的物理网络。 在国外的一家医院的应用中，他们仍在使用Digital VAX小型机处理运行在遗留DECnet协议上的定制医疗数据库，同时还在使用Novell NetWare 4.11服务器。Novell服务器和用户，以及DECnet建立独立的VLAN，使得基于IP和Windows NT/2000服务器的大部分网络避免被IPX和DECnet传输流所压垮。 将VoIP传输流隔离到不同的VLAN中也已经成为3Com、Cisco、Alcatel、Nortel和Avaya 等IP电话厂商的标准建议。所有这些厂商都在自己的交换机和IP PBX设备上支持802.1Q技术，使IP语音流被隔离到自己的VLAN上。 厂商和用户说，作为一种为故障检测而隔离语音流的手段，将语音保持在它自己的虚拟网段上很有用。它还可以保证在一个网络的很多网段上发生广播风暴或大型文件下载时，语音质量不会降低。 VLAN的优缺点 巩固私有VLAN和VLAN访问控制列表的网络前言 其 中一个关键要素到建立一个成功的网络安全设计是识别和强制执行 一个适当信任模式。适当信任模式定义了谁需要谈与谁并且 什么样的数据流需要被交换; 应该否决其他数据流。一旦适当信任模式被识别，然后安全设计员应该决定如何强制执行 型号。 因为重要资源是全局可用的并且网络攻击的新的表演 变，网络安全基础设施倾向于变得更加复杂，并且更多产品是可用 的。 防火墙、路由器、LAN交换机、入侵检测系统、AAA服务 器和VPN是可帮助强制执行型号的某些技术和产品。当然，每 一个这些产品和技术在整体安全实施之内扮演一个特定的角色，并 且了解设计员是重要的这些元素如何可以配置。 使 用的组件 本文不限于特 定软件和硬件版本。背景信息 识别和强制执行一个适当信任模式似乎是一项非常基 本任务，但在几年支持的安全实施之后，我们的经验表明安全事件 经常与恶劣的安全设计有关。通常这些设计差是不强制执行 一个适当信任模式的一个直接后果，有时因为什么是公正必要的没 有了解，其他次正因为充分地没有了解也没有误用介入的技术。 本文详细解释如何二个功能可用在我 们的Catalyst交换机，专用VLAN (PVLANs)并且VLAN 访问控制表 (VACLs)，在两可帮助保证适当信任模型企业并且服务提供商环境。 强制执行适 当信任模式的重要性 不强制执行适当信任模型的一个立即后果是整体安全实施变得较不 对免疫有恶意的活动。非敏感区域(DMZs)普通是被实施没有 强制执行正确的制度因而实现一个潜在入侵者的活动。此部 分分析DMZs经常如何是被实施和设计差的后果。我们以后将 解释如何缓和，或者在最佳的案件避免，这些后果。 通常，DMZ服务器只应该处理流入请 求从互联网和最终首次与一些后端服务器的连接位于里面或其他DMZ 分段，例如数据库服务器。 同时，DMZ服务器不应该彼此谈 或首次与外界的任何连接。这在一个简单信任型号清楚地定 义了必要的数据流; 然而，我们经常看型号不足够被强制执 行的这种。 设计员通常倾向于使用 一个共用段实现DMZs为所有服务器没有对数据流的任何控制他们之 间。例如，所有服务器位于普通的VLAN。因为什么都 在同样VLAN之内不控制数据流，如果其中一个服务器被攻陷然后在 同一个分段可以使用同一个服务器来源攻击对任何服务器和主机。 这清楚地实现展开端口重定向或应用层攻击的一个潜在入侵 者的活动。 一般，只用于防火墙和信 息包过滤器控制流入的连接，但是什么都通常没有完成从DMZ限制被 发起的连接。一些时间前有允许入侵者通过发送HTTP流开始X 终端仿真程序会话的cgi-bi脚本的一个着名的弱点; 这是应 该由防火墙允许的数据流。如果入侵者足够幸运，他或她可 能使用另一种款待得到根提示，典型地缓冲溢出攻击。这类 问题可以通过强制执行一个适当信任模式避免的大多时代。首先，服务器不应该彼此谈，并且不应该于这些服务器其次发起连 接与外界。 同样备注适用于许多其他 方案，去从所有正常不信任的分段至小型服务器站在应用程序服务 提供商。 PVLANs和VACLs在Catalyst 交换机可帮助保证一个适当信任模式。PVLANs将通过限制主 机的之间数据流帮助在一个共用段，而VACLs将通过提供对产生或被 注定的所有数据流的进一步控制贡献给一个特定段。这些功 能在以下部分讨论。 专用VLAN PVLANs是可用的在运行CatcOs 5.4或以上，在 Catalyst 4000的Catalyst 6000，2980G、2980G-A、运行 CatcOs 6.2或以上的2948G和4912G。 从我们的透视图，PVLANs是准许分离数据流在把广播分段的变成第 二层的一个工具(L2)一个非广播multi-access-like分段。 交易在所有端口来自到交换机一个混乱端口(即是能转发主要和辅助 VLAN)能出去属于同样主VLAN的端口。交易(它可以是查出， 属性或者走向交换机自端口被映射对辅助VLAN 的双向属性VLAN)可 以转发到属于同一属性VLAN 的一个混乱端口或端口。多个 端口映射对同样隔离VLAN不能交换任何数据流。以下镜象显示概念。 图1：专用VLAN 主VLAN在蓝色 表示; 辅助VLAN在红色和黄色表示。Host-1连接到属 于辅助VLAN红色交换机的端口。Host-2连接到属于辅助 VLAN 黄色交换机的端口。 当主机传 输时，数据流运载辅助VLAN。 例如，当时Host-2传输，其数 据流在VLAN 黄色去。当那些主机接受时，数据流来自VLAN 蓝色，是主VLAN。 路由器和防火墙其 中连接的端口是混乱端口因为在映射能转发数据流来自每个辅助 VLAN定义的那些端口并且主VLAN。端口连接到每主机能只转 发来自主VLAN和辅助VLAN 的数据流配置在该端口。 图画表示专用VLAN作为连接路由器和 主机的不同的管道：包所有其他的管道是主VLAN (蓝色)和数 据流在VLAN蓝色从路由器流到主机。管道内部对主VLAN是辅 助VLAN，并且移动在那些管道的数据流是从主机往路由器。 当镜象显示，主VLAN能包一个或更多 辅助VLAN。 及早在本文我们说PVLANs 帮助在一个共用段之内通过简单保证主机的离析强制执行适当信任 模式。即然我们知道更多专用VLAN ，让我们看见这在我们最 初的DMZ方案如何可以实现。服务器不应该彼此谈，但是他们 还是需要与他们被联系的防火墙或路由器谈。在这种情况下 ，当应该附有路由器和防火墙混乱端口时，应该连接服务器到隔离 的端口。通过执行此，如果其中一个服务器被攻陷，入侵者 不会能使用同一个服务器来源攻击到另一个服务器在同一个分段之 内。交换机将投下所有信息包以线速，没有任何影响性能。 另一个注意事项是这种控制可以只是 被实施在L2设备因为所有切断属于相同子网。 没什么每防火 墙或路由器能执行因为切断将设法直接地沟通。另一个选项 是投入一个防火墙端口每个服务器，但这是可能太消耗大，难实现 和不扩展。 在一个后面的章节，我们 详细描述您能使用此功能的一些其他典型的方案。 VLAN访问控制表 VACLs是可用的在运行 CatcOs 5.3或以后的Catalyst 6000系列。 VACLs在一台Catalyst 6500可以配置在L2 没有需要 对于路由器(您只需要Policy Feature Card (PFC)。他们 在配置VACLs被强制执行以线速那么那里是没有影响性能在 Catalyst 6500。 因为VACLs查找在硬件执行不管访问控制列 表的大小，转发速率保持不变。 VACLs可以分开被映射对主要或备用VLAN 。有在辅助VLAN配置的VACL准许过滤主机产生的数据流没有涉及路由 器或防火墙生成的数据流。 通过结合 VACLs和专用VLAN它是可能的对根据流量方向的过滤流量。例 如，如果二个路由器连接到分段和一些主机(例如服务器一样)， VACLs在辅助VLAN可以配置以便主机生成的仅数据流被过滤当数据流 被交换在路由器之间是未触动过的时。 VACLs可以容易地配置强制执行适当信任模式。 请分析我们的DMZ案件。服务器在DMZ应该服务仅流入 的连接，并且他们没有预计首次与外界的连接。VACL可以适 用于他们的辅助VLAN为了控制离开这些服务器的数据流。注 意到是关键的，当时使用VACLs ，数据流在硬件降低那么那里是对 路由器的CPU的没有影响亦不交换机。在案件一个服务器在分 布拒绝服务（DDos）攻击涉及作为来源，交换机将降低所有非法数 据流以线速，没有任何影响性能。相似的过滤器在服务器在 哪里连接到的路由器或防火墙可以被应用，但这通常有严重性能指 示。 VACLs 和PVLANs的已知限制 当配置过滤用VACLs时，您在PFC应该小心关于片段处理，根据硬件 的规格，并且那配置被调整。 假使 Catalyst 6500的Supervisor 1的PFC的硬件设计，明确地拒绝icmp 片段最好的。原因是互联网控制信息协议(ICMP)片段和ECHO 回复由硬件认为同样，默认情况下并且硬件被编程明确地允许片段 。如此如果想要从离开服务器终止回应数据包，您必须用线 路deny icmp any any fragment 明确配置 此。配置在本文考 虑到此。 有一个着名的安全限制对 PVLANs，是可能性路由器转发数据流来自的取消相同子网。路由器能发送数据流横跨阻挠目的对于PVLANs的隔离的端口。 此限制归结于事实PVLANs是提供隔离在L2的工具，不在第三 层(L3) 。 有修正到此问题，通过在 主VLAN配置的VACLs达到。案例分析提供在主VLAN需要配置到 下落数据流产生由相同子网和路由回到相同子网的VACLs。 在一些线路卡，PVLAN映射/映射/中 继端口的配置是受多个PVLAN映射其中必须属于不同的端口专用集成 电路的一些限制支配(ASIC)为了获得配置。那些限制在新的 端口ASIC Coil3 被去除。参见软件配置的最新的 Catalyst 交换机文档的这些详细资料。 示例分析 以下部分描述三个案例 分析，我们相信是多数实施代表并且给予详细资料与PVLANs 和 VACLs的安全部署有关。 这些方案是 ： 转接DMZ 外部DMZ 与防火墙并联 的VPN集中器 转接DMZ 这是其中一个最普通配置的方案。 在本例中 ，DMZ实现一个转换区域在二个防火墙路由器之间如下图所示的。 图2：转接 DMZ 在本例中，DMZ服务器应该由外部获取并且内部用户，但他 们不需要与彼此联络。 在某些情况下，DMZ服务器需要打开 与一台内部主机的连接。同时，内部客户端应该访问VLAN中的VTP和STP-ISLL3，L4交换已经非常成熟。Internet中也越来越广泛地应用了交换技术，全交换网络已经非常普遍。在这些网络中，VLAN的使用是必不可少的。1VLAN（Virtual LANs）的描述VLAN是一个根据作用、计划组、应用等进行逻辑划分的交换式网络。与用户的物理位置没有关系。举个例子来说，几个终端可能被组成一个部分，可能包括工程师或财务人员。当终端的实际物理位置比较相近，可以组成一个局域网（LAN）。如果他们在不同的建筑物中，就可以通过VLAN将他们聚合在一起。同一个VLAN中的端口可以接受VLAN中的广播包。但别的VLAN中的端口却接受不到。VLAN提供以下一些特性* 简化了终端的删除、增加、改动当一个终端从物理上移动到一个新的位置，它的特征可以从网络管理工作站通过SNMP或用户界面菜单中重新定义。而对于仅在同一个VLAN中移动的终端来说，它会保持以前定义的特征。在不同VLAN中移动的终端来说，终端可以获得新的VLAN定义。* 控制通讯活动VLAN可以由相同或不同的交换机端口组成。广播信息被限制在VLAN中。这个特征限定了只在VLAN中的端口才有广播、多播通讯。管理域（management domain）是一个仅有单一管理者的多个VLAN的集合。* 工作组和网络安全将网络划分不同的域可以增加安全性。VLAN可以限制广播域的用户数。控制VLAN的大小和组成可以控制广播域的相应特性。在VLAN中应用最广的就是VTP和STP技术。它们是VLAN中优点的集中体现。2VTP（VLAN Trunking Protocol）VTP通过网络保持VLAN配置统一性。VTP在系统级管理增加，删除，调整的VLAN，自动地将信息向网络中其它的交换机广播。此外，VTP减小了那些可能导致安全问题的配置。* 当使用多重名字VLAN能变成交*-连接。* 当它们是错误地映射在一个和其它局域网，VLAN能变成内部断开。VTP模式当交换机是在VTP Server或透明的模式，能在交换机配置VLAN。当交换机配置在VTP Server或透明的模式，使用CLI、控制台菜单、MIB（当使用SNMP简单网络管理协议管理工作站）修改VLAN配置。一个配置为VTP Server模式的交换机向邻近的交换机广播VLAN配置，通过它的Trunk从邻近的交换机学习新的VLAN配置。在Server模式下可以通过MIB，CLI，或者控制台模式添加、删除和修改VLAN。例如：增加了一个VLAN，VTP将广播这个新的VLAN，Server和Client机的Trunk网络端口准备接收信息。在交换机自动转到VTP的Client模式后，它会传送广播信息并从广播中学习新的信息。但是，不能通过MIB、CLI、或者控制台来增加、删除、修改VLAN。VTP Client端不能保持VLAN信息在非易失存储器中。当启动时，它会通过Trunk网络端口接受广播信息，学习配置信息。在VTP透明的模式，交换不做广播或从网络学习VLAN配置。当一个交换机是在VTP透明的模式，能通过控制台、CLI、MIB来修改、增加、删除VLAN。为使每一个VLAN能够使用，必须使VTP知道。并且包含在Trunk port 的准许列表中，一个快速以太网ISL Trunk自动为VLAN传输数据，并且从一个交换机到另一个交换机。需要注意的是如果交换在VTP Server模式接收广播包含128多个VLAN，交换自动地转换向VTP Client模式。更改交换机从VTP Client模式向VTP透明的模式，交换机保持初始、唯一128VLAN并删除剩余的VLAN。传送VTP信息每个交换机用VTP广播Trunk端口的管理域，定义特定的VLAN边界，它的配置修订号，已知VLAN和特定参数。在一个VTP管理域登记后交换机才能工作。通过Trunk，VTP Server向其它交换机传输信息和接收更新。VTP Server也在NVRAM中保存本VTP管理域信息中 VLAN的列表。 VTP能通过统一的名字和内部的列表动态显示出管理域中的VLAN。VTP信息在全部Trunk连接上传输，包括ISL、IEEE802.10、LANE。VTP MIB为VTP提供SNMP工具，并允许浏览VTP参数配置。VTP建立共用的配置值和分布下列的共用的配置信息:* VLAN IDs（ISL）* 仿效LAN的名字（ATM LANE）* IEEE802.10 SAID值（FDDI）* VLAN中最大的传输单元（MTU）大小* 帧格式3Spanning-Tree Protocol（生成树协议）STP能够提供路径冗余，即使网络中有多条有效路径会引起不正常的环路，导致网络不正常时。使用STP可以使两个终端中只有一条有效路径。STP在大的网络中定义了一个树，并且迫使一定的备份路径处于Standby状态。如果spanning tree中的网络一部分不可达，或者STP值变化了，spanning-tree算法会重新计算spanning-tree拓扑，并且通过启动备份路径来重新建立连接。STP操作对于终端来说是透明的。而终端不管它们连在LAN的一部分或者多个部分。在不同的VLANs配置Spanning-Tree Protocol。 当创建网络时，网络中所有节点存在多条路径。spanning-tree中的算法计算出最佳路径。因为每个VLAN是一个逻辑LAN部分，你能使STP一次工作在最多64个VLAN，如果要配置超过64个VLAN，需要将其它VLAN的STP禁止。默认的，STP可以支持1-64个VLAN。交换机间链路（ISL）协议ISL(Interior Switching Link)协议用于实现交换机间的VLAN中继。它是一个信息包标记协议，在支持ISL接口上发送的帧由一个标准以太网帧及相关的VLAN信息组成。如下图所示，在支持ISL的接口上可以传送来自不同VLAN的数据。使用VLAN技术实现网络扩容虚拟局域网（VLAN）不仅有利于网络安全和防止网络风暴，而且可以提高网络运行的效率，解决许多其他问题。第三层交换机的普及为VLAN的应用创造了条件。笔者在实现网络升级改造的过程中，也采用VLAN技术解 决了网络扩容的问题。 一、网络环境 笔者单位在组建局域网时路由器使用的是Cisco系统公司Cisco 3662，中心交换机使用的是3Com公司的CoreBuilder 3500第三层高功能交换机。单位原来联入局域网计算机较少，最近由于机构和业务的扩展，由原来只把一栋楼内的计算机联网，扩大到两栋楼。原来网段的IP地址已经分配完毕，新增加的计算机必须另行分配到新的网段，但是仍然要求新网段内的计算机能与原来网段的计算机能够实现互相访问。 为了解决这个问题，笔者想到了采用VLAN技术。VLAN是由位于不同物理局域网段的设备组成。虽然VLAN所连接的设备来自不同的网段，但是相互之间可以进行直接通信，好像处于同一网段中一样，由此得名虚拟局域网。正好单位所使用的3Com CoreBuilder 3500第三层高功能交换机支持第三层的转发功能，也就是说支持VALN（所使用的Cisco 3662路由器也支持VLAN技术，但使用路由器实现VLAN会带来时延问题）。因此笔者利用现有的条件实现网络扩容，实现过程如下。 二、划分子网 子网的划分有多种实现方法，笔者使用的是基于端口划分VLAN，这是构成VLAN的最简单的方式。在这种方式中，将属于不同交换机端口的物理网段分在一个VLAN中。一个VLAN对应的是交换机端口的一个真子集合。通过网络管理软件，根据交换机端口的标识符（Port ID）将不同的端口分到相应的分组中。分配到同一个VLAN的各网段上的所有站点都在同一个广播域中，可以直接通信；不同VLAN的站点间的通信则需要路由的支持。 原来计算机使用的IP地址为C类地址，即11.28.177.*/24，将此网段命名为VLAN-1；新网段也为C类地址：即11.28.179.*/24，网段命名为VLAN-2。 3Com CoreBuilder 3500交换机加载了2个6口模块，将第1个模块的6个端口和第2个模块的1、2、3端口分划给VLAN-1，第2个模块的第4、5、6端口划分给VLAN-2，详见表1。 技术讲解：VLAN的汇聚链接在规划企业级网络时，很有可能会遇到隶属于同一部门的用户分散在同一座建筑物中的不同楼层的情况，这时可能就需要考虑到如何跨越多台交换机设置VLAN的问题了。假设有如下图所示的网络，且需要将不同楼层的A、C和B、D设置为同一个VLAN。 这时最关键的就是“交换机1和交换机2该如何连接才好呢？”最简单的方法，自然是在交换机1和交换机2上各设一个红、蓝VLAN专用的接口并互联了。 但是，这个办法从扩展性和管理效率来看都不好。例如，在现有网络基础上再新建VLAN时，为了让这个VLAN能够互通，就需要在交换机间连接新的网线。建筑物楼层间的纵向布线是比较麻烦的，一般不能由基层管理人员随意进行。并且，VLAN越多，楼层间（严格地说是交换机间）互联所需的端口也越来越多，交换机端口的利用效率低是对资源的一种浪费、也限制了网络的扩展。为了避免这种低效率的连接方式，人们想办法让交换机间互联的网线集中到一根上，这时使用的就是汇聚链接（Trunk Link）。何谓汇聚链接？汇聚链接（Trunk Link）指的是能够转发多个不同VLAN的通信的端口。汇聚链路上流通的数据帧，都被附加了用于识别分属于哪个VLAN的特殊信息。现在再让我们回过头来考虑一下刚才那个网络如果采用汇聚链路又会如何呢？用户只需要简单地将交换机间互联的端口设定为汇聚链接就可以了。这时使用的网线还是普通的UTP线，而不是什么其他的特殊布线。图例中是交换机间互联，因此需要用交叉线来连接。接下来，让我们具体看看汇聚链接是如何实现跨越交换机间的VLAN的。A发送的数据帧从交换机1经过汇聚链路到达交换机2时，在数据帧上附加了表示属于红色VLAN的标记。交换机2收到数据帧后，经过检查VLAN标识发现这个数据帧是属于红色VLAN的，因此去除标记后根据需要将复原的数据帧只转发给其他属于红色VLAN的端口。这时的转送，是指经过确认目标MAC地址并与MAC地址列表比对后只转发给目标MAC地址所连的端口。只有当数据帧是一个广播帧、多播帧或是目标不明的帧时，它才会被转发到所有属于红色VLAN的端口。蓝色VLAN发送数据帧时的情形也与此相同。VLAN技术在有线宽带网络中的应用研究如今，有线电视宽带网的技术日益成熟，它利用现有的有线电视网通过Cable Modem进行高速接入Internet，由于它只占用有线电视网可用频谱的一部分，在用户上网时对电视和电话不产生任何影响，对于普通的拨号网和需要二次布线的光纤接入网来说具有得天独厚的优势，已经成为重要的网络服务提供商（ISP）之一。因此，如何管理好有线电视宽带网络成为重中之重，应运而生的虚拟局域网技术以其配置灵活、有效控制网络广播风暴、高效安全管理网络等优点成为解决此管理难题的有效措施。1 VLAN技术概述所谓虚拟局域网技术是指处于不同物理位置的节点可以根据需要组成一个逻辑子网，即一个VLAN就是一个逻辑广播域，它可以扩展到多个网络设备。VLAN可以将存在于不同物理网段、不同拓扑结构网络的节点组成一个虚拟局域网络，由此可以人为地将同一物理网段中的节点在逻辑上相互隔离，也可以将不同物理网段中的节点在逻辑上相互联系。2 VLAN技术特点2.1 有效阻隔网络广播，控制广播风暴对于网络广播风暴的控制主要有物理网络分段和VLAN的逻辑分段两种方式，后者更灵活，效率更高。同一VLAN处于相同的广播域，即通过VLAN的划分可以有效地阻隔网络广播，从而控制了广播风暴。同时不同VLAN之间的通信要经过路由的控制，所以规划设计好各个VLAN的成员，将网络内频繁通信的用户尽可能地集中于同一VLAN内，就可以减少网间流量，如此既有效节约了网络带宽，又提高了网络效率。2.2 控制网络内部IP地址的盗用如今，校园网络具有终端用户节点数量多的特点，用户数量的增多使得网络IP地址盗用亦相应增加，严重影响了网络的正常使用。在建立VLAN后，该VLAN内任何一台计算机的IP地址均必须在分配给该VLAN的IP范围内，否则将无法通过路由器的审核，因而也就不能进行通信，如此就能有效地将IP的盗用控制在