仿真环境下利用MUX VLAN实现局域网的构建
2019-08-30杨礼,刘静
杨 礼, 刘 静
(喀什大学 计算机科学与技术学院, 新疆 喀什 844006)
伴随着信息化时代的快速发展,网络成为了人们日常生活不可或缺的一部分,而局域网的构建显得尤其重要。通过虚拟局域网(Virtual Local Area Network,VLAN)技术把物理网络在逻辑上划分为多个广播域,VLAN技术有效地控制广播域范围和用户隔离,为网络管理人员提供了管理终端用户的策略和方法。在VLAN技术的研究和应用方面,文献[1-8]给出了有关VLAN端口的隔离、VLAN间的通信方面的仿真实验,通过划分VLAN实现端口隔离,通过三层路由实现VLAN间的互通。本文在上述文献的基础上,结合华为的MUX VLAN[9]技术,设计了一套构建局域网的部署方案。
1 MUX VLAN技术介绍
MUX VLAN(Multiplex VLAN)是华为交换机设备专有的一种VLAN隔离技术,它提供了一种在VLAN端口间进行二层流量隔离的机制[10]。MUX VLAN包括Principal VLAN(主VLAN)和Subordinate VLAN(从属VLAN)两部分。在Subordinate VLAN下有两种模式[11]:一种模式是互通模式,即Group模式,在这种模式下,同一个VLAN中的主机可以进行相互访问;另一种模式是隔离模式,即Separate模式,在该模式下,处于同一VLAN中的终端之间不能相互访问;Principal VLAN中的终端与Subordinate VLAN中的终端之间可以相互访问。
2 仿真实验的设计与实现
2.1 网络拓扑设计
本文在华为eNSP仿真器中完成实验,实验拓扑结构如图1所示。实验采用基于核心层和接入层的网络架构[12],搭建一个局域网的内网结构。本文的网络结构从上到下的设计思路为:出口路由器(AR1)用于连接内外网的路由设备;核心层(SW1、SW2)负责提供高效、快速、可靠的数据传输,通常情况下选择三层交换机作为核心层设备;接入层(SW3、SW4、SW5)用于连接不同的终端,通过配置VLAN实现广播流量隔离的功能。
图1 实验网络拓扑图
2.2 网络逻辑规划
SW1和SW2通过Eth-Trunk模式进行连接,提供高速的链路带宽满足VLAN间的通信,而且提供了一定的链路冗余度,提高了网络的可靠性。核心层与接入层设备之间的端口(GigabitEthernet0/0/23-24)通过Trunk模式进行连接,在两者之间启用多生成树协议[13](Multiple Spanning Tree Protocol,MSTP)以消除环路。在核心层上通过配置MUX VLAN实现二层VLAN的隔离与通信,且不允许在此配置基础上使用Vlanif接口。在核心层上创建VLAN 2、VLAN 3、VLAN 4,其中VLAN 4是Principal VLAN,VLAN 2是互通型的Group VLAN,而VLAN 3是隔离型的Separate VLAN,同时需要在接入层设备上配置MUX VLAN。对于接入层设备,在SW3上配置Group VLAN,在SW4上配置Separate VLAN,在SW5上配置Principal VLAN。
在本文实验中需要指出,MUX VLAN适合在同一个子网的网络中使用。
2.3 实验仿真实现
在进行实验时,需要完成以下相关配置,如终端网络参数、MSTP、链路聚合等,最后在以上操作的基础上完成MUX VLAN的配置。
2.3.1 终端参数配置
根据图1的网络设计及网络逻辑规划,终端主机PC1—PC8的网络参数配置如表1所示。
2.3.2 MSTP仿真配置
网络结构采用双核心的部署结构,通过配置MSTP协议可以阻塞二层网络中的冗余链路,将网络修剪成树状,达到消除冗余链路带来的环路问题[14]。本文以SW2和SW5的MSTP配置进行说明。在SW2上配置多生成树域(Multiple Spanning Tree Region),创建多生成树实例[15](Multiple Spanning Tree Instance,MSTI),建立MSTI和VLAN之间的映射关系。MSTI1允许VLAN 2和VLAN 3通过,MSTI2允许VLAN 4通过。配置SW2作为MSTI2的主根桥,作为MSTI1的备份根桥。在SW2的GigabitEthernet0/0/2端口上启动根保护功能,在SW5接入终端的端口(Ethernet0/0/2~3)取消MSTP功能。
SW2的MSTP配置如下:
stp region-configuration
region-name regionB
revision-level 1
instance 1 vlan 2 to 3
instance 2 vlan 4
active region-configuration
stp instance 1 root secondary
stp instance 2 root primary
interface GigabitEthernet0/0/2
stp root-protection
SW5的MSTP配置如下:
interface Ethernet0/0/2
stp disable
interface Ethernet0/0/3
stp disable
2.3.3 链路聚合仿真配置
在SW1、SW2之间配置Eth-Trunk模式,从而保证数据传输和链路的可靠性。SW1配置为手工模式的分担负载的链路聚合,SW2的链路聚合配置与SW1的配置一致。
SW1的链路聚合配置如下:
interface Eth-Trunk 1
port link-type trunk
port trunk allow-pass vlan 2 to 4
load-balance src-dst-mac
interface GigabitEthernet0/0/23
eth-trunk 1
interface GigabitEthernet0/0/24
eth-trunk 1
2.3.4 MUX VLAN仿真配置
在核心层设备上创建VLAN,设置主、从属VLAN,并确定从属VLAN中的互通型和隔离型VLAN。VLAN 4的终端可以与VLAN 2、VLAN 3的终端之间相互访问,VLAN 2与VLAN 3的终端之间不能相互访问,VLAN 2的内部终端之间可以相互访问,VLAN 3的内部终端之间不允许相互访问。以SW1的配置为例,其MUX VLAN的配置如下:
vlan batch 2 to 4
vlan 4
mux-vlan
subordinate separate 3
subordinate group 2
在接入层上配置MUX VLAN的同时,需要将接入层的接口设置为Access模式,把相应的接口划入VLAN,并在接口上启动mux-vlan功能。以SW3的配置为例,SW4、SW5的配置同SW3的配置类似。SW3的MUX VLAN配置如下:
vlan 4
mux-vlan
subordinate separate 3
subordinate group 2
interface Ethernet0/0/2
port link-type access
port default vlan 2
port mux-vlan enable
interface Ethernet0/0/3
port link-type access
port default vlan 2
port mux-vlan enable
interface Ethernet0/0/4
port link-type access
port default vlan 3
port mux-vlan enable
3 实验结果验证
3.1 MSTP验证
图2 MSTI中的端口状态
根据网络的配置,SW2是MSTI2的主根桥, 在SW2上查看MSTI1和MSTI2的端口的角色、状态和保护类型,忽略MSTI0(实例MSTI0为默认实例)中的端口,其中MSTID表示多生成树实例的编号,如图2所示。由图中可知, GigabitEthernet0/0/2为主端口,其余为指定端口。
3.2 Eth-Trunk验证
图3 Eth-Trunk的成员与状态
在SW1和SW2之间配置链路聚合功能,在SW1上通过display eth-trunk命令查看链路聚合的绑定的端口及其状态,结果如图3所示。从图中可以看出,Eth-Trunk 1中包含两个成员端口——GigabitEthernet0/0/23和GigabitEthernet0/0/24,并且端口的状态都处于Up状态。由于核心交换机在网络中承载高速数据转发的功能,链路聚合为核心交换机之间通信提供冗余链路,提高网络的可靠性。比如:当SW1的上行端口出现故障时,SW1可以通过链路聚合端口转发VLAN数据。
3.3 MUX VLAN特性验证
图4 PC4与PC5的ping测试通信结果
实验实现了VLAN 2、VLAN 3、VLAN 4中的主机之间的通信与隔离。限于篇幅,本文仅给出在Separate模式下SW4上的VLAN 3内的主机之间实现隔离的实验结果。在本文的实验中,PC3、PC4和PC5均属于VLAN 3,由于VLAN 3在MUX VLAN中的配置模式为Separate,因此VLAN 3内的主机无法通信,以PC4和PC5的通信为例,结果如图4所示。
4 结 语
本文通过构建一套局域网的内网结构的实验,验证了MUX VLAN在局域网中的功能和特性,有效降低了VLAN ID的使用数量,便于网络管理员对网络进行维护。在双核心网络模型中,通过使用MSTP消除网络中的回路,通过设计链路聚合提高了网络可靠性。测试结果表明,在其中一个核心层设备断电的情况下,网络依然能够保障畅通。由于MUX VLAN所使用的IP地址只能属于同一个子网,使得其应用范围存在一定的局限性。本文的局域网模型为中小型企业等组织或机构组建内部网络提供了可供参考的方案。