计算机网络实验教学中VLAN实验的设计研究
2023-12-07梁盛
梁 盛
(广州商学院 信息技术与工程学院,广东 广州 511363)
0 引言
VLAN 的中文名为虚拟局域网,指将一个物理的局域网在逻辑上划分成多个广播域,从而可以缩小和隔离广播域,达到预防数据流量过大和广播风暴的一种通信技术[1]。直接将局域网按网络号划分成不同的网段,虽能实现访问隔离的功能,但是后期维护不方便,更改访问控制需要用户配合。
例如某单位的人事部和财务部,初始计划是不能互访。如果仅使用不同网段进行隔离,而不使用VLAN。后期更改为人事部和财务部能够互访,则需用户配合更改IP为同一网段,这增加了后期维护的难度。反之,如果初始设计网络时使用了VLAN 技术,后期访问需求变更,网络的更改维护只需网络管理员在交换机端设置为VLAN 间路由互访。此更改过程不需要用户参与,简化了网络管理。
由于VLAN 的作用可以简化网络管理,控制广播风暴,增强网络安全性[2],应用比较广泛,因此VLAN实验在计算机网络的实验教学中,是一个比较重要的实验。在计算机网络实验的教学中,一般讲授完交换机的基础配置以后,就开始讲授VLAN 实验。该文根据实验内容的由浅入深,实际应用场景由简单到复杂的顺序,探讨VLAN实验内容的设计。
1 接入层只需一台交换机,VLAN 的划分和路由的配置
当公司的空间很小,网络规模很小,一台交换机已能够供给所有终端设备接入。此情况可以仅使用一台三层交换机实现。首先根据部门的数量,制定VLAN的划分计划表,列出部门名称、VLAN号、VLAN网段,如表1所示。
表1 VLAN的划分计划表
根据VLAN 的划分计划表,绘出网络拓扑结构图。由于两个VLAN 与多个VLAN 的配置方法类似,所以该文VLAN实验的设计研究只选用两个VLAN来举例子。其中,人事部使用VLAN 10,192.168.10.0 网段;财务部使用VLAN 20,192.168.20.0 网段。PC1 和PC3 属于人事部的个人电脑,PC2 和PC4 属于财务部的个人电脑。如图1所示。
图1 接入层一台交换机的网络拓扑图
在交换机上划分VLAN 的方法有多种,可以基于端口,也可以基于MAC 地址[3]。但应用最广泛、最有效的方法是基于端口的划分方法,绝大多数支持VLAN协议的交换机都提供这种VLAN配置方法。交换机端口出厂默认归属于VLAN 1。在端口归属的配置中,可以一个VLAN 对应一个端口,也可以一个VLAN拥有多个端口。由于一台三层交换机的端口数量有限,如果某一个VLAN 的终端数目不多,可以直接连至此交换机;如果某一个VLAN 的终端数目很多,可以在此端口下,先加入一个非网管型普通交换机,扩充可供终端设备连接的交换机端口。非网管型交换机属于即插即用的设备,不需要作任何配置。
根据VLAN 的划分计划表以及网络拓扑图,在交换机上需要做以下步骤。首先创建相应数目的VLAN,接着配置端口的属性,最后将端口归属到相应的VLAN[4],配置代码如下:
[LSW1]vlan 10
[LSW1]vlan 20
[LSW1]interface GigabitEthernet 0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type access
[LSW1-GigabitEthernet0/0/1]port default vlan 10
[LSW1]interface GigabitEthernet 0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type access
[LSW1-GigabitEthernet0/0/2]port default vlan 20
[LSW1]interface GigabitEthernet 0/0/3
[LSW1-GigabitEthernet0/0/3]port link-type access
[LSW1-GigabitEthernet0/0/3]port default vlan 10
[LSW1]interface GigabitEthernet 0/0/4
[LSW1-GigabitEthernet0/0/4]port link-type access
[LSW1-GigabitEthernet0/0/4]port default vlan 20
配置完成后,通过键入display vlan 命令显示VLAN 的配置情况,总的VLAN 数目为3 个,VLAN ID分别为VLAN 1、VLAN 10、VLAN 20。其中端口1 和端口3 属于VLAN 10,端口2 和端口4 属于VLAN 20,其余端口处于默认状态,属于VLAN 1,如图2所示。
图2 Display VLAN命令显示VLAN的配置情况
配置完VLAN 的划分后,通过在PC1 使用Ping 命令进行测试,发现PC1 能Ping 通PC3,但不能Ping 通PC2 和PC4。因为PC1 与PC3 在VLAN 10,PC2 与PC4在VLAN 20。Ping测试验证了同一个VLAN的设备可以互访,不同VLAN的设备不能互访。
如果后期需求更改为不同部门也能互相访问,财务部和人事部需要互访,需要在三层交换机上配置VLAN间的路由[5]。方法是给每个VLAN配置一个IP,此IP 将成为此VLAN 内所有终端设备的网关。配置方法是通过interface 命令进入某个VLAN 的接口,给此VLAN设置一个IP,配置代码如下:
[LSW1]interface vlanif 10
[LSW1-Vlanif10]ip address 192.168.10.254 24[LSW1]interface vlanif 20
[LSW1-Vlanif20]ip address 192.168.20.254 24
配置完VLAN 间的路由后,通过在PC1 使用Ping命令进行测试,发现PC1不仅能Ping通PC3,也能Ping通PC2和PC4。此Ping测试的结果验证了在交换机上配置VLAN间的路由,能实现不同VLAN的通信,不同部门的互相访问。
2 接入层有两台或多台交换机,VLAN 的划分和路由的配置
当公司的空间逐渐增大,网络规模也在逐渐增大,一台交换机已无法方便地提供给所有终端接入,公司放置了两台或者多台交换机,供终端的网络接入。从设备价格成本考虑,两层交换机的价格比三层交换机便宜,且两层交换机具备划分VLAN 的功能。因此接入层交换机一般使用两层交换机。公司通过划分VLAN 来隔离广播域,由于办公室分散,同一部门的员工通过不同交换机接入。VLAN的划分计划表同表1。
由于两台交换机与多台交换机的配置方法类似,所以该文VLAN 实验的设计研究,只选用两台交换机来举例子。其中人事部使用VLAN 10,192.168.10.0网段;财务部使用VLAN 20,192.168.20.0 网段。PC1和PC3 属于人事部的个人电脑,PC2 和PC4 属于财务部的个人电脑。人事部和财务部的电脑都存在通过两台以上交换机接入的情况。如图3所示。
图3 接入层两台交换机的网络拓扑图
每一台交换机VLAN 的划分,同前文接入层只有一台交换机的配置方法。交换机连接终端设备的端口,属性配置为Acess 属性,从属于某一VLAN。但是两台交换机之间的数据传输一般不局限于某一个部门某一个VLAN,而是需要允许多个部门多个VLAN的数据通过。因此两台交换机之间连线的端口,需要将属性配置为Trunk 属性,允许某些VLAN 或者全部VLAN通过。典型的配置为允许全部VLAN通过。
根据VLAN 的划分计划表以及网络拓扑图,在交换机上需要做以下步骤。首先每台交换机创建相应数目的VLAN,接着配置接入链路端口的属性,将端口归属到相应的VLAN,最后配置干道链路端口的属性。配置代码如下:
交换机的配置代码如下:
[LSW3]interface GigabitEthernet 0/0/1
[LSW3-GigabitEthernet0/0/1]port link-type access
[LSW3-GigabitEthernet0/0/1]port default vlan 10
[LSW3]interface GigabitEthernet 0/0/2
[LSW3-GigabitEthernet0/0/2]port link-type access
[LSW3-GigabitEthernet0/0/2]port default vlan 20
[LSW3]interface GigabitEthernet 0/0/24
[LSW3-GigabitEthernet0/0/24]port link-type trunk
[LSW3-GigabitEthernet0/0/24]port trunk allowpass vlan all
配置完成后,通过键入display vlan 命令显示VLAN 的配置情况,总的VLAN 数目为3 个,VLAN ID分别为VLAN 1、VLAN 10、VLAN 20。其中两台交换机的端口1属于VLAN 10,端口2属于VLAN 20,端口24 既属于VLAN 10,也属于VLAN 20,其余端口处于默认状态的VLAN 1。
配置完VLAN的划分后,通过在PC使用Ping命令进行测试,发现PC1与PC3能互相Ping通,PC2与PC4能互相Ping通,但两个VLAN 间不能Ping通。验证了不同VLAN 的设备不能互访,端口配置为Trunk 属性且允许所有VLAN 通过的干道链路可以通过所有的VLAN数据。
如果后期需求更改为不同部门也能互相访问,财务部和人事部需要互访,需要将其中一台二层交换机更换为三层交换机,在三层交换机上配置VLAN 间的路由。方法同前文接入层只有一台交换机的情况,给每个VLAN配置一个IP,配置代码如下:
[LSW1]interface vlanif 10
[LSW1-Vlanif10]ip address 192.168.10.254 24
[LSW1]interface vlanif 20
[LSW1-Vlanif20]ip address 192.168.20.254 24
配置完VLAN 间的路由后,发现PC1 不仅能Ping通PC3,也能Ping通PC2和PC4,验证了在交换机上配置VLAN间的路由,能实现不同VLAN的通信,实现不同部门的互相访问。
随着网络规模的增大,接入层交换机数量越来越多,如果网络拓扑结构依旧保持为一层结构,接入层交换机两两连接,那么从一个终端设备到另一个终端设备的访问,经过的交换机节点数也会越来越多。网络的访问速度将降低,网段内的数据广播流量会增多。因此,考虑将网络结构从一层结构改为两层结构,将划分VLAN 的二层交换机保留在接入层,将配置VLAN 间路由的三层交换机提升一层当作核心交换机,不再连接终端设备。接入层的交换机则不再是两两连接,而是全部连接到核心交换机,那么从一个终端设备到另外一个终端设备经过的交换机数目为三个,先后为发送端所连接的接入交换机、核心交换机、接收端所连接的接入交换机。
3 两层结构下,VLAN的划分和路由的配置
在企业或校园网络中,一般使用的是分层的结构。根据网络规模以及需要实现的功能,可以分成两层结构,核心层和接入层;也可以分成三层结构,核心层、汇聚层、接入层。其中,核心层和汇聚层的交换机,一般放在网络中心机房,由网络管理员专职管理。接入层的交换机,则根据终端设备的所在位置,来决定摆放位置。例如学校里,会放置接入交换机在教学楼、实验楼等位置,供终端设备接入。
由于两个VLAN 与多个VLAN 的配置方法类似,接入层两台交换机与多台交换机的配置方法类似,这里选用两个VLAN,接入层两台交换机作为例子。其中人事部使用VLAN 10,192.168.10.0 网段;财务部使用VLAN 20,192.168.20.0网段。PC1和PC3属于人事部的个人电脑,PC2 和PC4 属于财务部的个人电脑。人事部和财务部的电脑都存在通过两台以上交换机接入的情况。接入层使用二层交换机,核心层使用三层交换机,如图4所示。
图4 两层结构的网络拓扑图
接入层每一台交换机VLAN 的划分,同前文接入层只有一台交换机的配置方法。交换机连接终端设备的端口,属性配置为Acess 属性,从属于某一VLAN。但是两台交换机之间的数据传输,接入层交换机与核心层交换机的级联线路作为干道链路,需要将属性配置为Trunk 属性,允许某些VLAN 或者全部VLAN通过。
根据VLAN 的划分计划表以及网络拓扑图,在交换机上需要做以下步骤。首先每台交换机创建相应数目的VLAN,接着配置接入链路端口的属性,将端口归属到相应的VLAN,最后配置干道链路端口的属性。接入层交换机的配置代码同前文,核心层交换机的配置代码如下:
[LSW1]vlan 10
[LSW1]vlan 20
[LSW1]interface GigabitEthernet 0/0/1
[LSW1-GigabitEthernet0/0/1]port link-type trunk
[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[LSW1]interface GigabitEthernet 0/0/2
[LSW1-GigabitEthernet0/0/2]port link-type trunk
[LSW1-GigabitEthernet0/0/2]port trunk allow-pass vlan all
配置完成后,通过键入display vlan 命令显示VLAN 的配置情况,总的VLAN 数目为3 个,VLAN ID分别为VLAN 1、VLAN 10、VLAN 20。其中接入层两台交换机的端口1 属于VLAN 10,端口2 属于VLAN 20,端口3属于所有VLAN。核心层交换机的端口1和端口2属于所有VLAN。
配置完VLAN的划分后,通过在PC使用Ping命令进行测试,发现PC1与PC3能互相Ping通,PC2与PC4能互相Ping通,但两个VLAN 间不能Ping通。验证了不同VLAN 的设备不能互访,端口配置为Trunk 属性且允许所有VLAN 通过的干道链路可以通过所有的VLAN数据。
如果后期需求更改为不同部门能互访,不同VLAN 能互相通信,则在核心层交换机上进行VLAN间路由的配置。
4 结束语
在VLAN 实验内容所设计的三个网络应用场景中,可发现接入层的交换机,都需要做VLAN 的划分和端口的归属这两个步骤,且配置方法是一样的,VLAN 间路由的配置代码也是一样的。区别在于VLAN 间的路由,选择在哪台交换机上进行配置。在接入层只有一台交换机的情况下,只能在此交换机;在接入层有多台二层交换机的情况下,选择其中一台更改为三层交换机,并进行VLAN 间路由的配置;在两层网络结构下,选择核心层交换机进行VLAN 间路由的配置。
通过对VLAN 实验内容进行由浅入深的设计,网络规模从一台交换机,到一层的网络结构,再到两层的网络结构。学生在学习中,循序渐进地掌握VLAN相关的知识,学习兴趣得到提高,实验教学质量也得到了提升。
