校园网中VLAN划分与配置第3页
大量应用,广播的数量在积聚增加,当广播的数量占到总量的30%时,网络的传输效率将会明显下降。特别是当某网络设备出现故障后,会不停地向网络发送广播,从而导致通信陷于瘫痪。当校园网络内的计算机数超过200台后,就需要采取措施将网络分隔开来,将一个大的广播域划分成若干个小的广播域。目前,校园网的计算机已经有上千台,因此更应将这个大的广播域划分成若干个小的广播域,划分广播域的方式主要是将校园网划分为若干个虚拟子网,也就是vlan。对校园网进行vlan划分,可以强化网络管理和网络的安全,控制不必要的广播的数量。
为了使校园网的管理更加完善,校园网的安全性更强,则必须要对校园网进行vlan的划分。对校园网的vlan的划分,主要是根据西南林学院的网络拓扑图,首先是基于核心路由交换机quidways8016上根据为每个分配一个c类的ip地址划分为一个vlan;然后再基于quidways3026或%26micro;hammer24e交换机根据网络管理的要求和网络的安全需要进行vlan划分。如下分别是以学生宿舍1栋为例关于基于quidways8016、quidways3026的vlan配置。
3.3.1基于华为s3026的vlan的配置
校园网主要是以quidways8016为核心路由交换机,而其他网络部分是由多台quidways3026交换机组成的堆叠组。以学生宿舍1栋为例,学生宿舍1栋网络组成,是从核心路由交换机拉了一根光纤,光纤下面接8台quidways3026交换机组成的堆叠组,交换机下再接计算机或一般交换机(看具体宿舍)。
下面是学生宿舍1栋的组网图:
图3学生宿舍1栋的组网图
如果有很多台电脑同时相互之间传送文件或下载东西,那样就会影响上网和玩游戏的速度,从而有可能产生广播风暴。因此,可以基于quidways3026交换机每个端口划一个的vlan来控制广播,有效地避免广播风暴的产生,并且网络管理更加有效,可以保障dhcp服务器正常的给用户分配ip地址,而不被其它的dhcp服务器所影响。
因为交换机之间是通过堆叠组网的,所以在配置的时候,只要服务器连到主交换机,就可以通过主交换机连到从交换机进行配置,而不需要服务器单独连到从交换机上。
整个网络采用vlan10作为管理vlan,所有交换机上vlan10接口的ip地址在同一个网段192.168.6.0/24,网管工作站的ip地址为192.168.7.1。路由器的ip地址为192.168.8.1,二/三层交换机通过vlan2接口与路由器相连,vlan2接口的ip地址为192.168.8.2。
在s3026上作如下配置:isolate-user-vlan配置,将小区每个用户之间进行二层隔离,每个用户分配在一个secondaryvlan内;802.1认证配置,认证方式为基于mac地址;管理vlan配置、网管路由配置、snmp配置、各种访问方式的acl控制配置;hybrid端口配置。
以下是学生宿舍1栋其中一台quidways3026的vlan的配置如下:
配置isolate-user-vlan(isolate-user-vlan为vlan5)、进行管理vlan配置(配置管理vlan的ip地址、一条路由)、配置802.1认证、配置访问方式的acl控制。管理vlan10的ip地址为192.168.6.0,网管站的ip地址为192.168.7.1,向网管站发送数据的下一跳为192.168.6.1。
(1)配置isolate-user-vlan
配置isolate-user-vlan。
[quidway]vlan5
[quidway-vlan5]isolate-user-vlanenable
[quidway-vlan5]portethernet1/1
配置secondaryvlan
[quidway]vlan2
[quidway-vlan2]portethernet0/1
[quidway-vlan2]quit
[quidway]vlan3
[quidway-vlan3]portethernet0/2
[quidway-vlan3]quit
依此类推
[quidway]vlan25
[quidway-vlan25]portethernet0/24
[quidway-vlan25]quit
配置isolate-user-vlan和secondaryvlan间的映射关系
[quidway]isolate-user-vlan5secondary2to25
(2)配置管理vlan及路由
管理vlan为vlan10,配置其接口ip地址
[quidway]vlan10
[quidway-vlan10]quit
[quidway]interfacevlan10
[quidway-vlan-interface10]ipaddress192.168.6.0255.255.255.0
配置路由,下一跳为192.168.6.1
[quidway]iproute192.168.7.1255.255.255.0192.168.6.1
(3)配置802.1认证
端口和设备上启动802.1认证
[quidway]dot1
[quidway]dot1interfaceethernet0/1toethernet0/24
配置802.1认证基于mac地址
[quidway]dot1port-methodmacbasedinterfaceethernet0/1toethernet0/24
[quidway]dot1dhcp-launch
(4)配置上行端口ethernet1/1为hybrid端口
配置该端口为hybrid端口,允许vlan5和vlan10的报文通过
[quidway]interfaceethernet1/1
[quidway-ethernet1/1]portlink-typehybrid
[quidway-ethernet1/1]porthybridpvidvlan5
[quidway-ethernet1/1]porthybridvlan10tagged
(5)配置snmp
进入全局配置模式
%26lt;quidway%26gt;system-view
设置团体名和访问权限
[quidway]snmp-agentcommunityreadhuawei
[quidway]snmp-agentcommunitywritebeiyan
设置管理员标识、联系方法以及以太网交换机的物理位置
[quidway]snmp-agentsys-infocontactmr.wang-tel:3306
[quidway]snmp-agentsys-infolocationtelephone-closet,3rd-floor
允许发送trap
[quidway]snmp-agenttrapenable
定义访问控制列表
[quidway]aclnumber1
[quidway-acl-basic-1]rule0permitsource192.168.7..10
创建snmp组,并定义访问控制
[quidway]snmp-agentgroupv3huaweigroupacl1
为snmp组添加一个用户huaweimanager,设置认证密码为hello,并配置访问控制,只允许网管工作站访问交换机
[quidway]snmp-agentusm-userv3huaweimanagerhuaweigroupauthmd5huaweiacl1
(6)配置对telnet用户的访问控制,仅允许ip为192.168.6.46和192.168.6.52的用户通过telnet访问交换机。
定义基本访问控制列表
[quidway]aclnumber20
[quidway-acl-basic-20]rule0permitsource192.168.6.460
[quidway-acl-basic-20]rule1permitsource192.168.6.520
引用访问控制列表
[quidway]user-interfacevty04
[quidway-ui-vty0-4]acl20inbound
(7)配置对http用户的访问控制,仅允许ip地址为192.168.6.46的主机通过web方式访问交换机
定义基本访问控制列表。
[quidway]aclnumber30
[quidway-acl-basic-30]rule0permitsource192.168.6.460
引用访问控制列表
[quidway]iphttpacl30
通过以上对1栋宿舍基于quidways3026的vlan配置,可以使quidways3026交换机每个端口的用户之间不能进行互通,而且把1栋宿舍楼的广播域控制为交换机每个端口下面的用户为一个广播域。
3.3.2基于华为quidways8016的vlan配置
(1)vlan配置
创建vlan5、vlan6
[s8016]vlan5
[s8016-vlan5]vlan6
配置g3/0/1端口允许vlan5通过
[s8016]interfacegigabitethernet3/0/1
[s8106-gigabitethernet4/0/0]porttrunkpermitvlan5
配置g3/0/2端口允许vlan6通过
[s8016]interfacegigabitethernet3/0/2
[s8106-gigabitethernet4/0/0]porttrunkpermitvlan6
(2)vlan接口配置
vlan5接口ip地址192.168.9.1,掩码24位;vlan6接口ip地址192.168.10.1,掩码24位
[s8016]interfacevlanif5
[s8106-vlanif5]ipaddress192.168.9.1255.255.255.0
[s8016]interfacevlanif6
[s8106-vlanif6]ipaddress192.168.10.1255.255.255.0
(3)dhcprelay配置
增加一个dhcpserver组,ip地址是192.168.11.45和192.168.12.34
[s8016c]dhcprelayserver-group1server192.168.11.45192.168.12.34
把vlan5、vlan6加入dhcpserver组1。
[s8016c]dhcprelayserver-group1vlan56
4.vlan之间的通信
随着交换机应用的普及,vlan技术的应用也越来越广泛。众所周知,vlan技术的主要作用是可将分布于不同地理位置的计算机按工作需要组合成一个逻辑网络,同时vlan的划分可缩小广播域,以提高网络传输速度,由于处于不同vlan的计算机之间不能直接通信,从而使网络的安全性能得到了很大提高。但事实上在很多网络中要求处于不同vlan中的计算机间能够相互通信,如何解决vlan间的通信问题是我们在规划vlan时必须认真考虑的问题。在校园网络发展的初期,网络中只有10%~20%的信息在vlan之间传播,但随着多媒体技术在校园网络中应用的迅速普及,vlan之间信息的传输量增加了许多倍,如果vlan之间的通信问题解决得不好,将严重影响网络的使用和安全。
在lan内的通信,是通过数据帧头中指定通信目标的mac地址来完成的。而为了获取mac地址,tcp/ip协议下使用arp地址协议解析mac地址的方法是通过广播报文来实现的,如果广播报文无法到达目的地,那么就无从解析mac地址,亦即无法直接通信。当计算机分属不同的vlan时,就意味着分属不同的广播域,自然收不到彼此的广播报文。因此,属于不同vlan的计算机之间无法直接互相通信。为了能够在vlan间通信,需要利用osi参照模型中更高一层——网络层的信息(ip地址)来进行路由。在目前的网络互连设备中能完成路由功能的设备主要有路由器和三层以上的交换机。
4.1通过路由器实现vlan间的通信
使用路由器实现vlan间通信时,路由器与交换机的连接方式有两种。第一种通过路由器的不同物理接口与交换机上的每个vlan分别连接。第二种通过路由器的逻辑子接口与交换机的各个vlan连接。
4.1.1通过路由器的不同物理接口与交换机上的每个vlan分别连接
这种方式的优点是管理简单,缺点是网络扩展难度大。每增加一个新的vlan,都需要消耗路由器的端口和交换机上的访问链接,而且还需要重新布设一条网线。而路由器,通常不会带有太多lan接口的。新建vlan时,为了对应增加的vlan所需的端口,就必须将路由器升级成带有多个lan接口的高端产品,这部分成本、还有重新布线所带来的开销,都使得这种接线法成为一种不受欢迎的办法。
4.1.2通过路由器的逻辑子接口与交换机的各个vlan连接
这种连接方式要求路由器和交换机的端口都支持汇聚链接,且双方用于汇聚链路的协议自然也必须相同。接着在路由器上定义对应各个vlan的逻辑子接口e1.1和e1.2。由于这种方式是靠在一个物理端口上设置多个逻辑子接口的方式实现网络扩展,因此网络扩展比较容易且成本较低,只是对路由器的配置要复杂一些。
4.2用交换机代替路由器实现vlan间的通信
目前市场上有许多三层以上的交换机,在这些交换机中,厂家通过硬件或软件的方式将路由功能集成到交换机中,交换机主要用于园区网中,园区网中的路由比较简单,但要求数据交换的速度较快,因此在大型园区网中用交换机代替路由器已是不争的事实。用交换机代替路由器