校园网中VLAN划分与配置第4页
实现vlan间通信的方式也有两种,其一,就是启用交换机的路由功能,这种方式的实现方法可采用以上介绍的路由器方式的任一种。其二,是利用某些高端交换机所支持的专用vlan功能来实现vlan间的通信。
5valn的新用途
虽然vlan并非最好的网络技术,但这种用于网络结点逻辑分段的方法正为许多企业所使用。vlan采用多种方式配置于企业网络中,包括网络安全认证、使无线用户在802.11b接入点漫游、隔离ip语音流及在不同协议的网络中传输数据等。
六年前引进vlan的时候,多数vlan都是基于ieee802.1q和802.1p标准的。802.1q规范用于将vlan用户信息载入以太网帧,而802.1p使二层交换机具有流量优先和实施动态多址滤波的能力。
当初引进vlan时,它被看作是一个简化地址管理的方法,可以使it人员在网络的任意点对服务器和pc机进行物理配置,并将pc机加入到组中。
多数网络设备的软件可用于将媒体访问控制(mac)地址与vlan相关联,当客户从一个端口移动到另一个端口时,可以使其自动连接到网络上。
(1)vlan的无线接入
随着越来越多的公司推出其无线网络,人们最关心的问题恐怕就是如何将无线用户接入适当的有线vlan。有线网络中的vlan用户身份通常都是由用户的物理层二层交换机或三层路由器连接端口来定义的。但在无线网络中,用户根本没有与任何物理端口连接。
为解决这一问题,人们开始采用先进的无线验证技术,并利用基于角色的vlan关联来进行用户识别。这种方法可以利用一系列标准的验证方法,如基于http捕获端口和802.1等可选验证机制来判断出正确的vlan用户身份。
(2)vlan的应用
最近,休斯顿在4栋22层的建筑物中建立了网络及其子网,包括122个法庭、法律事务所和审判厅,这种建筑物非常适合建立vlan,因为将122个私人子网合并到一个vlan中要比将用户插入端口组容易得多。
vlan和静态ip地址也可用于安全机制。所有工作于这里的客户都分配了一个静态ip地址,通过alcatel的omniswitch路由器和omnicore5052主干网交换器连接到网络中。
这种配置方式使法官和律师在不同的法庭中都可以进行工作。这种设置可控制许可用户的访问权限以及限制未注册用户的访问,因而可以提供安全性。接入网络的唯一方法就是必须拥有一个ip地址,而且这些pc机都连接在其中的一个vlan上。
(3)vlan的漫游功能
massachusetts的bridgewater州立学院配置了100多个enterasys公司的roamabout802.11b/a无线接入点,因而学生在整个校园中都可以访问web和e-mail。
如果没有对无线流量进入自己的vlan进行隔离,那么对于希望在校园范围内保持网络连接的移动用户来说,它将成为一场噩梦。将所有的无线流量置于一个vlan中,可以确保当用户从一个接入点移动到另一个接入点时不会掉线。而实际上当整个校园中配置的enterasys接入点只有150英尺的范围时,这种情况很容易发生。
在宿舍、教室和管理机构中,利用cisco和enterasys混合的可堆叠交换器来连接到无线接入点。克服了一些交叉厂商的vlan配置问题之后,现在可以在校园的任意地方漫游,无论是连接到cisco还是enterasys交换器上,都可以保持连接在同一vlan上。
(4)vlan管理
vlan不仅可用于安全和网络管理,对于混合型网络的管理来说,它同样不失为一个有益的工具。
有人利用enterasys公司的smartswitch可堆叠交换器和smartswitchrouter主干网交换器来在整个子网上建立vlan,这些子网是运行多种协议的。医疗数据库建立在va小型机上,这种应用运行于遗留的decnet协议之上。decnet的确使用了大量的广播流量,可将这些流量置于其自己的vlan上,因而decnet数据流只能够到达一定的网段。
netware4.11服务器在网络上运行的情况与此类似。它只为novell服务器及用户创建独立的ipvlan,这使多数基于ip和windowsnt/服务器的网络不会陷入ip和decnet流量的海洋中。
隔离voip流量进入vlan也成为3com、cisco、alcatel、nortel和avaya等ip电话厂商的一个标准推荐。所有这些厂商的交换器和ippb设备都支持802.1q技术,这就隔离了ip语音流进入其自己的vlan。
厂商和用户都认为,在其虚拟段保持语音可能是非常有用的,作为一个隔离语音流的方法,它可以达到故障诊断的目的。如果有大流量的广播或大的文件下载,它也能确保语音质量不会下降。
我们可以假设一个情景。一位财务部的无线用户可能要安全地连接至财务vlan,使用的是一种安全链接加密方法,如wi-fi受保护访问。然而,当该vlan中的用户漫游至其他接入点时,他们可能会无法再访问财务vlan,因而也就无法获取需要的网络资源。如果要对网络进行重新配置,并使用户在整个公司里的每个接入点都能访问vlan的话,整个重新配置的过程将变得非常繁杂,当然也不可能成为有竞争力的解决方案。
然而,802.1基于端口的验证方法则可以提供一个有效的框架,为以太网和无线网络上的用户提供基站访问授权。802.1使用可扩展验证协议(eap)来中继局域网基站(请求者)、以太网交换机或无线接入点(验证者)与radius服务器(验证服务器)之间的端口访问请求。
用于保护wi-fi网络用户的核心机制是基于数据加密和用户验证的方法,而非通常使用的基于角色的验证方法。基于角色的802.1vlan关联具有很大的吸引力,因为它可以提供合理的工作组流量分割,并且更容易与有线网络上配置的安全和流量工程策略集成在一起。
网络管理员通常都希望为所有用户保留原有的扩展服务集id(essid)和加密档案。这样,当用户进入无线局域网时,系统可根据验证服务器上已经配置好的属性,将用户分配至不同vlan内的不同工作组中。如果不使用基于角色的vlan,这种方法基本上是不可能实现的,除非对无线局域网的许许多多配置逐个调整,为每个用户组引入新的essid。这种做法无疑需要巨大的资金投入和高昂的运营费用。
无线局域网交换机可以支持各种类型的用户角色,以及不同的访问权限和vlan关联。它还可以支持多种类型的服务器规则,并从中引申出用户角色,如radius服务器发出的访问接受信息中的radius属性。例如,某一条服务器规则用于提取某个特定radius属性中的数值,并使用该数值作为角色。在802.1验证中,客户机通过一个无线局域网交换机验证至radius服务器。然后,无线局域网根据执行服务器规则后产生的角色,在vlan与客户机之间建立关联。
一旦与接入点之间的关联建立完成,无线局域网交换机将客户机置于未授权状态下。在这种状态下,只有客户机生成的802.1eap包才能通过无线局域网转发。无线局域网交换机发送一条eaprequest-id,即用户身份请求信息给客户机。客户机则回应一条eapresponse-id信息。此后,无线局域网交换机将eapresponse-id封包为一条radius访问请求信息,并将其转发给radius服务器。
如果验证成功,radius服务器将访问接受信息发送给无线局域网交换机。这条信息可以识别不同的用户属性,如角色和访问权限。然后,无线局域网交换机会对这条回应信息进行解析,并确定客户机应当被分配至哪一个vlan。
使用该信息,无线局域网交换机便将客户机分置于授权状态下,并发送一条eapsuccess信息。此后,交换机才将来自客户机的所有数据流量转发给合适的vlan。在收到eapsuccess信息后,客户机将启动动态主机配置协议,并从基于角色的vlan上获得一个ip地址。
结论
经过在毕业实习中的学习和实践,使我对四年大学的理论知识有了更系统更全面的掌握,对计算机网络知识有了更进一步的认识,特别是在实际网络设备的操作方面有很大的提高。对于网络建设中vlan规划有着进一步的认识,让我了解到理论联系实际的重要性。
通过对校园网的ip地址的分配和vlan规划,使我深刻的认识到。在计算机网络建设中,一定要依据地址分配和vlan划分原理来进行网络规划,还需要认真研究实际情况,考虑网络设备性能、网络规模、网络运行、管理、安全和升级等诸方面因素,形成一套合理、适当的地址分配和vlan规划方案,这将会大大提高网络的整体性能,给网络管理带来许多方便。
参考文献
[1]王小虎,熊桂喜.计算机网络[m].北京:清华大学出版社,1998.
肖德宝.计算机网络[m].武汉:华中理工大学出版社,.
[3]谢希仁.计算机网络(第二版)[m].北京:电子工业出版社,.
[4]王宝智.计算机网络技术及应用[m].长沙:国防科技大学出版社,1999.
[5]郭诠水,王宝智.全新计算机网络工程教程[m].北京:北京希望电子出版社,
[6]张大陆,宋金刚.vlan技术分析.计算机应用研究,1998年03期.
[7]梁亚声,汪永益,刘京菊,汪生,计算机网络安全技术教程[m].机械工业出版社,
[8]陈应明,《计算机网络与应用》[m].冶金工业出版社,
[9]刘韵洁,张智江,《下一代网络》[m].人民邮电出版社,
[10]孙卫佳/周连喆/胡明,《网络系统集成技术与实训》[m].电子工业出版社,
[11]d.mcpherson,b.dykes.rfc3069--vlanaggregationforefficientipaddressallocation.february,.
[12]comer,computernetworkandinternet,phei/prenticehall,
[13]stallings,thelandnetworkoflanandcity(thesithedition)(englishedition),phei/prenticehall,