□翁国秀

（玉林师范学院 教育技术中心，广西 玉林 537000）

计算机网络专业交换机ISOLATE-USER-VLAN集成实验的探讨

□翁国秀

（玉林师范学院 教育技术中心，广西 玉林 537000）

在计算机网络专业网络集成课程实验中，开设多级连交换机上集成ISOLATE-USERVLAN实验，能明显增强学生集成能力，还能培养学生网络全局统筹设计能力。本文探讨了该集成实验环境建设、实验的方法和过程，以及实验的教学效果.

ISOLATE-USER-VLAN；集成；多级连

交换机ISOLATE-USER-VLAN技术具有私有VLAN、端口二层隔离的技术特性，能在大型网络集成中节省VLAN资源和隔绝内网攻击，因而被广泛地应用于网络集成工程.但在交换机上配置ISOLATEUSER-VLAN相当复杂，要多次反复集成才能成功.因此，我校在计算机网络集成这门课的实验中，适当增加了ISOLATE-USER-VLAN配置实验的课时；并结合校园网集成实践的经验，建立了适当的实验环境，设计了循序渐进的实验进程.

在实验教学中，交换机ISOLATE-USER-VLAN集成实验，虽然是一个局部集成的实验，但它是涉及上接、下连网络设备的配置.所以，实验除了能学生培养具体集成能力之外，还能培养网络全局统筹设计能力.对于学生建立严谨的网络集成思维，也有裨益.本文根据的实际经验，探讨了如何搭建成此实验的环境、如何设计和进行实验，以更好地实验目的.

1 ISOLATE-USER-VLAN技术特性和实验关键点

ISOLATE-USER-VLAN技术是VLAN技术的一种扩展，这种技术有三个特性：①在同一VLAN下可以定义若干私有VLAN，不同私有VLAN的端口互相隔离.这种私有VLAN称为SECONDER VLAN，其所属的上层VLAN称为ISOLATE-USER-VLAN.这个特性可以隔离同一VLAN内而不同端口的计算机，对控制互相攻击、感染有一定作用.②对于上层交换机而言，它能感知其下层交换机的VLAN，但不能感知下层交换机VLAN内定义的SECONDER VLAN.如此，SECONDER VLAN号可不占用全网VLAN号，对于在大型局域网（如重点高校校园网）的集成或运维，起到节省VLAN资源的作用，从而简化了整个网络的配置.③同一SECONDER VLAN内的端口之间可互相通信；SECONDER VLAN内的端口还可以与其所属ISOLAVET-USER-VLAN的上行端口通信.

交换机ISOLATE-USER-VLAN集成配置，在单个交换机上还是比较简单的，但它的实用意义不大.在多级连交换机的情况下，就相当复杂了，其中的实验关键点有：上行下行端口所在VLAN衔接；跨多级连交换机的Trunk配置；核心交换机下接端口类型配置.

2 实验设备及环境建设

实验使用的主要设备是：华为S3026和S3050交换机、华为CONSOLE口串行配置线、普通个人计算机（提供串行口）.鉴于实验效果验证若有校园网环境的配合，会比较全面.所以，要将网络集成实验室接入校园网.

交将网络集成实验室接入校园网的方法是：用光缆或双绞线将核心交换机和实验室的交换机连接，当需用校园网验证实验结果时，核心交换机对应的端口设置为UP状态；实验结束后，设为down状态即可.如图1所示.

图1 网络集成实验室接入校园网

此外，校园网应规划若干VLAN号和IP地址段给网络集成实验室，作为实验之用，避免进行实验时，乱用VLAN号和IP地址.既方便实验进行，也有利于网络的管理和控制.

3 实验内容

这里探讨两个具有典型意义的、循序渐进的ISOLATE-USER-VLAN集成实验，分别是：多级连交换机上配置单一全网VLAN的ISOLATE-USER-VLAN；多级连交换机上配置多个全网VLAN的ISOLATE-USER-VLAN.

（1）多级连交换机上配置单一全网VLAN的ISOLATE-USER-VLAN

在多级连交换机上配置单一全网VLAN的ISOLATE-USER-VLAN，以图2为例进行实验，图中的3台华为QuidwayS3026二十四口交换机进行级连，每台机器均以0槽1口为上行口、0槽2口为下行口.

图2 3台Quidway S3026级连

实验要求为：

○所有交换机同属于一个ID为200的全网VLAN；

○每个交换机除上、下行口外的端口，全部进行二层隔离；

○每个交换机与计算机连接的端口，都能访问校园网服务器.

此实验配置过程如下：

在A交换机上：第一步定义VLAN200，将A交换机的0/1端口分配给VLAN200，定义VLAN200为ISOLATEUSER-VLAN.第二步定义VLAN50、3、4、…、24，分别配给端口0/2、0/3、…、0/24.第三步将VLAN50、3、4、…、24设为VLAN200下的Second VLAN.配置命令如下：

在B交换机上：第一步定义VLAN50，将A交换机的0/1端口分配给VLAN50，定义VLAN50为ISOLATEUSER-VLAN.第二步定义VLAN51、3、4、…、24，分别配给端口0/2、0/3、…、0/24.第三步将VLAN51、3、4、…、24设为VLAN50下的Second VLAN.配置命令如下：

在C交换机上：第一步定义VLAN51，将A交换机的0/1端口分配给VLAN51，定义VLAN51为ISOLATEUSER-VLAN.第二步定义VLAN2、3、4、…、24，分别配给端口0/2、0/3、…、0/24.第三步将VLAN2、3、4、…、24设为VLAN51下的Second VLAN.配置命令如下：

三个交换机配置完毕后，形成了如表1的VLAN从属关系，C交换机的VLAN全部包含于本机及B机的VLAN51，B交换机的VLAN全部包含于本机及A机的VLAN50，A机的VLAN全部包含于本机VLAN200.这里注意，同VLAN号不同交换机的端口，并不表示它们同属一个VLAN，这是因为某个端口的包，当其经过上级端口时，便被改为上级端口的VLAN标识.

表1 各交换机VLAN从属关系

至此，进入核心交换机配置，核心交换机的下接口应设为untag属性的,然后将此端口划给VLAN200.配置命令以DCRS7500为例：

（2）多级连交换机上配置多全网VLAN的ISOLATE-USER-VLAN

在多级连交换机上配置多全网VLAN的ISOLATE-USER-VLAN，以图3为例进行实验，图中的5台华为QuidwayS3026二十四口交换机进行级连，每台机器均以0槽1口为上行口、0槽2口为下行口.

图3 5台Quidway S3026级连

实验要求为：

○交换机A、B、C属于ID为200的全网VLAN，交换机D、E属于ID为201的全网VLAN；

○每个交换机除上、下行口外的端口，全部进行二层隔离；

○每个交换机与计算机连接的端口，都能访问校园网服务器.

此实验配置过程如下：

A、B、C交换机的配置过程与上一实验基本相同，但C机的0/2口配置和Seconder VLAN配置有所不同，应为：

在D交换机上：第一步定义VLAN201，将0/1端口分配给VLAN201，定义VLAN201为ISOLATE-USER-VLAN.第二步定义VLAN50、3、4、…、24，分别配给端口0/2、0/3、…、0/24.第三步将VLAN50、3、4、…、24设为VLAN201下的Second VLAN.配置命令参考上例，这里略.

在E交换机上：第一步定义VLAN50，将0/1端口分配给VLAN50，定义VLAN201为ISOLATE-USER-VLAN.第二步定义VLAN2、3、4、…、24，分别配给端口0/2、0/3、…、0/24.第三步将VLAN2、3、4、…、24设为VLAN50下的Second VLAN.配置命令略.

做完上述配置后，须在A、B、C的上行口（0/1）、下行口（0/2），以及D机的上行口（0/1）上，配上port hybrid vlan 201 tagged命令，使VLAN201的包通过时，打上VLAN201的tag.

至此，进入核心交换机配置，仍以DCRS7500核心交换机为例.DCRS7500交换机只有TAG、UNTAG两种属性，无Hybrid属性.而设成ISOLATE-USER-VLAN后的端口是Hybrid属性，所以交换机组不能直接与核心交换机连接，可在其间加设一台交换机（如Quidway S3050）.S3050以Gigabitethernet1/1口与核心交换机连接、以 Ethernet0/1口与交换机组连接.并设Gigaethernet1/1口给VLAN200、201打TAG；ethernet0/1口给VLAN201打TAG、不给VALN200打TAG.

除上述配置外，还需给交换机配置网关、VTY、STP等才能正常工作，这里不再赘述.

4 实验教学效果

我校计算机网络专业网络集成课程自加强ISOLATE-USER-VALN集成实验后，取得了良好的实验教学效果.

1）ISOLATE-USER-VALN集成具有相当的复杂性，学生通过实验后，网络集成能力普遍提高.

2）ISOLATE-USER-VALN集成涉及集成面广，实验培养了学生网络全局统筹设计能力.

3）ISOLATE-USER-VALN集成运用的网络知识较多，对于学生建立严谨的网络集成思维，也有裨益.■

[1]Barry Raveendran Greene and Philip Smith .Cisco ISP Essentials [M]Beijin: Post & Telecommunications Press

[2]Karen Webb. Building Cisco Multilayer Switched Networks [M] Beijin: Post & Telecommunications Press

[3]陆魁军. 计算机网络工程实践教程[M]北京：清华大学出版社.

[4]张国鸣，唐树才，薛刚逊编．网络管理实用技术[M]．北京：清华大学出版社，2002：22-62．

[5]中国人民解放军总装备部军事训练教材编辑工作委员会编．通信网管理技术[M]．北京：国防工业出版社，2003：110-145．

[6]杨家海，任宪坤，王沛瑜.网络管理原理与实现技术[M].北京：清华大学出版社，2000：67-70．

【责任编辑 谢明俊】

Inquire into Integration ISOLATE-USER-VLAN on Switch of Computing

WENG Guo-xiu
(Yulin Normal University, Yulin, Guangxi 537000)

In Network integration experiment of computing, offering experiment of ISOLATE-USER-VLAN integration on multi-grade-connect switch apparently enhances student’s integration capacity, and develops their all-network design capability. This paper inquires into the construction of experiment environment, the ways and process of the experiment, and the teaching effect.

ISOLATE-USER-VLAN; integration; multi-grade-connect

TP39

A

1004-4671（2015）02-0118-05

2015-03-11

翁国秀（1976～），广西玉林人，玉林师范学院教育技术中心工程师。研究方向：计算机技术应用、实验室管理与实验教学。