797.html

著名的linux英雄站点的文档打包

PAR2(config-if)#switchport access vlan 12 归属MANAGING VLAN<br>
PAR3(config)#interface fastEthernet 0/1 配置端口1<br>
PAR3(config-if)#switchport access vlan 10 归属COUNTER VLAN<br>
PAR3(config)#interface fastEthernet 0/2 配置端口2<br>
PAR3(config-if)#switchport access vlan 11 归属MARKET VLAN<br>
PAR3(config)#interface fastEthernet 0/3 配置端口3<br>
PAR3(config-if)#switchport access vlan 12 归属MANAGING VLAN<br>
……<br>
<br>
5、配置三层交换<br>
<br>
到这里，VLAN已经基本划分完毕。但是，VLAN间如何实现三层（网络层）交换呢？这时就要给<br>
各VLAN分配网络（IP）地址了。给VLAN分配IP地址分两种情况，其一，给VLAN所有的节点分配<br>
静态IP地址；其二，给VLAN所有的节点分配动态IP地址。下面就这两种情况分别介绍。<br>
<br>
我们假设给VLAN COUNTER分配的接口Ip地址为172.16.58.1/24，网络地址为：172.16.58.0，<br>
VLAN MARKET分配的接口Ip地址为172.16.59.1/24，网络地址为172.16.59.0，VLAN MANAGING<br>
分配的接口Ip地址为172.16.60.1/24，网络地址为172.16.60.0……。如果动态分配IP地址，<br>
则设网络上的DHCP服务器IP地址为172.16.1.11。<br>
<br>
(1)给VLAN所有的节点分配静态IP地址<br>
<br>
首先在核心交换机上分别设置各VLAN的接口IP地址，如下所示：<br>
<br>
COM(config)#interface vlan 10<br>
COM(config-if)#ip address 172.16.58.1 255.255.255.0 VLAN10接口IP<br>
COM(config)#interface vlan 11<br>
COM(config-if)#ip address 172.16.59.1 255.255.255.0 VLAN11接口IP<br>
COM(config)#interface vlan 12<br>
COM(config-if)#ip address 172.16.60.1 255.255.255.0 VLAN12接口IP<br>
……<br>
<br>
再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址，并且把默认网关设置为<br>
该VLAN的接口地址。这样，所有的VLAN也可以互访了。<br>
<br>
(2)给VLAN所有的节点分配动态IP地址<br>
<br>
首先在核心交换机上分别设置各VLAN的接口IP地址和DHCP服务器的IP地址，如下所示：<br>
COM(config)#interface vlan 10<br>
COM(config-if)#ip address 172.16.58.1 255.255.255.0 VLAN10接口IP<br>
COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP<br>
COM(config)#interface vlan 11<br>
COM(config-if)#ip address 172.16.59.1 255.255.255.0 VLAN11接口IP<br>
COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP<br>
COM(config)#interface vlan 12<br>
COM(config-if)#ip address 172.16.60.1 255.255.255.0 VLAN12接口IP<br>
COM(config-if)#ip helper-address 172.16.1.11 DHCP Server IP<br>
<br>
……<br>
<br>
再在DHCP服务器上设置网络地址分别为172.16.58.0，172.16.59.0，172.16.60.0的作用域，<br>
并将这些作用域的“路由器”选项设置为对应VLAN的接口IP地址。这样，可以保证所有的VLAN<br>
也可以互访了。<br>
<br>
最后在各接入VLAN的计算机进行网络设置，将IP地址选项设置为自动获得IP地址即可。<br>
<br>
三、总结<br>
<br>
本文是笔者在实际工作中的一些总结。笔者力图用通俗易懂的文字来阐述创建VLAN的全过程。<br>
并且给出了详细的设置步骤，只要你对Cisco交换机的IOS有所了解，看懂本文并不难。按照<br>
本文所示的步骤一步一步地做，你完全可以给一个典型的快速以太网络建立多个VLAN<br>
<br>
<br>
<br>
<br>
<br>
---- 在企业网络刚刚兴起之时， 由于规模小、应用面窄、对Internet接入认识程度低以及关<br>
于网络安全和管理知识贫乏等原因，使得企业网仅仅局限于交换模式状态。交换技术主要有2种<br>
方式: 基于以太网的帧交换和基于ATM的信元交换，它相对于共享式网络性能有很大提高，但对<br>
于所有处于一个IP网段或IPX网段的网络设备来说，却同在一个广播域中。当工作站数量较多和<br>
信息流较大时，容易形成广播风暴，严重影响了网络运行速度，甚至容易造成网络瘫痪。 怎样<br>
避免这个问题出现呢？采用划分网络的办法是个不错的选择。<br>
<br>
---- 在采用交换技术的网络模式中，一般采用划分物理网段的手段进行网络结构的划分。 从<br>
效率和安全性等方面来看，这种结构划分有一定缺陷，而且在很大程度上限制了网络的灵活性。<br>
因为如果要将一个广播域分开，必须另外购买交换机，并且需要重新进行人工布线。好在，虚<br>
拟局域网（Virtual Local Area Network，VLAN）技术的出现解决了上述问题。实际上，VLAN<br>
就是一个广播域，它不受地理位置的限制，可以跨多个局域网交换机。一个VLAN可以根据部门<br>
职能、对象组或者应用来将不同地理位置的网络用户划分为一个逻辑网段。对于局域网交换机，<br>
其每一个端口只能标记一个VLAN，一个VLAN中的所有端口拥有一个广播域，而处于不同VLAN的<br>
端口则共享不同的广播域，这样就避免了广播风暴的产生。可以说，在一个交换网络中，VLAN<br>
提供了网段和机构的弹性组合机制。<br>
<br>
---- 通常，一个规模较大的企业，其下属一般拥有多个二级单位， 为保证对不同职能部门管<br>
理的方便性和安全性以及整体网络运行的稳定性，可以采用VLAN划分技术，进行虚拟网络划分。<br>
下面，我们通过对一个实际案例的分析，让大家了解和掌握应用VLAN技术的真谛。<br>
<br>
网络状况<br>
<br>
---- 某大型起重设备总公司下属有2个二级单位，主要进行研发、服务与销售等工作。由于地<br>
理位置相对较远，业务规模尚未发展壮大，在企业成立之初，公司总部、 二级单位1和二级单<br>
位2分别建立了独立的网络环境，各网络系统均采用以交换技术为主的方式，3网主干均采用千<br>
兆以太网技术。公司总部中心交换机采用了Cisco Catalyst 6506产品， 它是带有三层路由的<br>
引擎，可使企业网具有很强的升级能力。各二级单位的中心交换机采用了Cisco Catalyst 4006。<br>
其他二级和三级交换机采用了Cisco Catalyst 3500系列交换机，主要因为Catalyst 3500系列<br>
交换机具有很高的性能和可堆叠能力。<br>
<br>
需求分析<br>
    由于业务发展迅猛，总公司与2个二级单位迫切需要畅通无阻的信息交流，从而让公司总<br>
部能对2个下属单位进行更直接和更有效的管理，进而达到三方信息共享的目的， 所以将彼此<br>
相互独立的3个子网联成一个统一网络势在必行。<br>
     图1所示的是起重设备总公司3个子网互联形成统一网络的示意图，3个子网是采用千兆以<br>
太网技术进行互联的。为了避免在主干引发瓶颈问题，各子网在互联时采用了Trunk技术(即双<br>
千兆技术)，使网络带宽达到4GB，这样，既增加了带宽，又提供了链路的冗余，还提高了整体<br>
网络高速、稳定和安全的运行性能。<br>
    然而，由于网络规模不断扩大，信息流量逐渐加大，人员管理变得日益复杂， 给企业网<br>
的安全、稳定和高效运行带来新的隐患，如何消除这些隐患呢？VLAN划分技术能为此排忧解难。<br>
    根据起重设备总公司业务发展需要，我们将联网后的统一网络划分为5个虚拟子网，分别<br>
是: 经理办子网、财务子网、供销子网和信息中心子网，其余部分划为一个子网。<br>
    由于统一网络的IP地址处于192.168.0.0网段，所以我们可以将各VLAN的IP地址分配如下。<br>
    经理办子网：192.168.1.0～192.168.2.0/22 网关：192.168.1.1<br>
    财务子网： 192.168.3.0～192.168.5.0/22 网关：192.168.3.1<br>
    供销子网： 192.168.6.0～192.168.8.0/22 网关：192.168.6.1<br>
    信息中心子网：192.168.7.0/24 网关：192.168.7.1<br>
    服务器子网：192.168.100.0/24 网关：192.168.100.1<br>
    其余子网： 192.168.8.0～192.168.9.0/22 网关：192.168.8.1<br>
<br>
<br>
详细设计<br>
<br>
---- 在划分VLAN时，Cisco的产品主要基于2种标准协议：ISL和802.1q。ISL是Cisco自己研发<br>
设计的通用于所有Cisco网络产品的VLAN间互联封装协议，该协议针对Cisco网络设备的硬件平<br>
台在信息流处理和多媒体应用方面进行了合理有效的优化。802.1q协议是IEEE802委员会于<br>
1996年发布的国际规范标准。<br>
<br>
---- 在此案例中，因为所采用的均是Cisco网络设备，故在进行VLAN间互联时采用了ISL协议<br>
(对于不同网络设备的互联，本文在结尾处有相应介绍)。<br>
<br>
---- 从图1我们可以看到，总公司中心交换机采用了Cisco Catalyst 6506，其2级节点为<br>
Catalyst 3508和Catalyst 3548，Catalyst 3508交换机具有8个千兆以太网端口，并且利用<br>
Catalyst 3500系列交换机的堆叠能力，可以随时扩充工作站数量。 边缘交换机则采用具有千<br>
兆模块的Catalyst 3548。二级单位的中心交换机则采用了Cisco Catalyst 4006， 其2级节点<br>
和边缘交换机采用的也是Catalyst 3548。公司总部与各二级附属单位的连接采用了ISL封装的<br>
Trunk方式，用2组光纤连接（在Catalyst 6506与Catalyst 4006之间），这样既解决了VLAN间<br>
的互联问题，同时又提高了网络带宽和系统的冗余，为3个子网互联提供了可靠保障。对于到<br>
Internet的连接，接口为2MB DDN专线接入，各二级单位通过公司总部的Proxy接入Internet。<br>
Internet的管理由公司总部信息中心统一规划。<br>
<br>
---- 需要说明的是，由于本案例中关于VLAN的划分覆盖了各个交换机， 所以交换机之间的连<br>
接都必须采用Trunk方式。鉴于经理办和供销子网代表了VLAN划分中的2个问题: 扩展交换机VLAN<br>
的划分和端口VLAN的划分，所以我们再将经理办子网和供销子网对VLAN做一详细介绍。<br>
<br>
经理办VLAN<br>
<br>
---- 由于经理办工作站所在局域网交换机划分了多个VLAN，连接了多个VLAN工作站， 所以该<br>
交换机与其上层交换机之间的连接必须采用Trunk方式(如图2所示)。<br>
<br>
---- 公司总部采用了Catalyst 3508和Catalyst 6506，二级单位1采用了Catalyst 3548和<br>
Catalyst 4006，二级单位2采用了Catalyst 3548和Catalyst 4006。<br>
<br>
供销VLAN<br>
    虽然当一个交换机覆盖了多个VLAN时，必须采用Trunk方式连接，但在供销VLAN划分中，<br>
其二级单位1中的供销独立于交换机Catalyst 3548，所以在这里， Catalyst 3548与二级中心<br>
交换机Catalyst 4006只需采用正常的交换式连接即可(如图3所示)。对于此部分供销VLAN的划<br>
分，只要在Catalyst 4006上针对与Catalyst 3548连接的端口进行划分即可。这是一种基于端<br>
口的VLAN划分。<br>
    由于2个Catalyst 4006与主中心交换机Catalyst 6506间采用的是双光纤通道式连接， 屏<br>
蔽了Catalyst 4006与Catalyst 6506间线路故障的产生，所以对整体网络的路由进行基于<br>
Catalyst 6506的集中式管理。下面我们对VLAN之间的路由做一个介绍。<br>
    在中心交换机Catalyst 6506上设置VLAN路由如下。<br>
    经理办VLAN：192.168.1.1/22<br>
    财务VLAN： 192.168.3.1/22<br>
    供销VLAN： 192.168.6.1/22<br>
    信息中心VLAN：192.168.7.1/24<br>
    其余VLAN： 192.168.8.1/22<br>
    在中心交换机上设置路由协议RIP或OSPF，并指定网段192.168.0.0。在全局配置模式下执<br>
行如下命令。<br>
    router rip network 192.168.0.0<br>
    由于IP地址处于192.168.0.0网段，所以对各VLAN的IP地址分配如下所示。<br>
    经理办子网: 192.168.1.0，子网掩码: 255.255.255.0，网关: 192.168.1.1。<br>
    财务子网: 192.168.2.0，子网掩码: 255.255.255.0，网关: 192.168.2.1。<br>
    供销子网: 192.168.3.0，子网掩码为255.255.255.0，网关: 192.168.3.1。<br>
    信息中心子网: 192.168.4.0，子网掩码: 255.255.255.0，网关: 192.168.4.1。<br>
    服务器子网: 192.168.100.0，子网掩码: 255.255.255.0，网关: 192.168.100.1。<br>
    其余子网: 192.168.8.0，子网掩码为255.255.255.0，网关: 192.168.8.1。<br>
    根据上述IP地址分配情况，不难看出各子网的网络终端数均可达到254台， 完全满足目前<br>
或将来的应用需要，同时还降低了管理工作量，增强了管理力度。<br>
<br>
注意事项<br>
    需要注意的是: 因为起重设备总公司统一网络系统的VLAN划分是作为一个整体结构来设计<br>
的，所以为了保持与VLAN列表的一致性，需要Catalyst 4006对整体网络的其他部分进行广播。<br>
所以在设置VTP（VLAN Trunk Protocol）时注意，要将VTP的域作为一个整体，其中VTP类型为<br>
Server和Client。<br>
    有些企业建网较早，若所选用的网络设备为其他厂商的产品，而后期的产品又不能与前期<br>
统一，这样在VLAN的划分中就会遇到一些问题。例如， 在Cisco产品与3COM产品的混合网络结<br>