1、毕业论文论文题目虚拟局域网技术内容摘要虚拟局域网(VLAN)是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术,在功能和操作上和传统的LAN基本相同。虚拟局域网技术是目前网络界最热门的技术之一,也是交换网络中最重要的技术之一,它的出现是和局域网的交换技术的发展分不开的。VLAN的出现打破了传统网络的许多固有观念,使网络结构变得灵活、方便。随着网络技术日新月异的发展,现代局域网已进入高速交换时代。以交换技术为基础产生的VLAN技术是一种新的热门技术,目前正在得到越来越广泛的应用从某种角度讲,VLAN技术己经成为现代大型局域网建设、管理和应用不可缺少的技术。研
2、究VLAN技术的应用,对于网络的建设、管理和应用具有十分重要的意义。关键词虚拟局域网技术划分应用ABSTRACTTHEVIRTUALLOCALAREANETWORKVLAN,ISONEKINDTHROUGHISNOTPHYSICSDIVIDESLOCALAREANETWORKINEQUIPMENTLOGICEACHONEWEBPAGETOREALIZETHEHYPOTHESIZEDWORKTEAMSEMERGINGTECHNOLOGY,INFUNCTIONANDOPERATIONANDTRADITIONALLANBASICSAMETHEVIRTUALLOCALAREANETWORKTECHNO
3、LOGYISONEOFPRESENTNETWORKMOSTPOPULARTECHNOLOGIES,ALSOISEXCHANGESINTHENETWORKONEOFMOSTIMPORTANTTECHNICAL,ITSAPPEARANCEISANDTHELOCALAREANETWORKEXCHANGETECHNOLOGYDEVELOPMENTCANNOTSEPARATETHEVLANAPPEARANCEHASBROKENTRADITIONALNETWORKMANYINHERENTIDEAS,CAUSESTHENETWORKARCHITECTURETOBECOMEISNIMBLE,ISCONVENI
4、ENTWITHTHERAPIDDEVELOPMENTOFNETWORKTECHNOLOGY,MODERNHIGHSPEEDLOCALAREANETWORKHASENTEREDTHEERAOFEXCHANGEINEXCHANGEFORTECHNOLOGYBASEDVLANGENERATEDBYTHENEWTECHNOLOGYISAHOTTECHNOLOGY,ISBEINGINCREASINGLYWIDERANGEOFAPPLICATIONSFROMACERTAINPOINTSAY,VLANTECHNOLOGYHASBEENBECOMEAMODERNLARGESCALELOCALAREANETWO
5、RKCONSTRUCTION,MANAGEMENTANDAPPLICATIONOFESSENTIALTECHNOLOGIESVLANTECHNOLOGYRESEARCHFORTHECAMPUSNETWORKCONSTRUCTION,MANAGEMENTANDAPPLICATIONISOFGREATSIGNIFICANCEKEYWORDSVIRTUALLOCALAREANETWORK,TECHNOLOGY,DIVIDED,APPLYSZZ目录1、局域网(VLAN)基础111、虚拟局域网概述1111虚拟局域网的定义1112VLAN的由来112、虚拟局域网的特点3121VLAN的特性3122VLAN
6、与传统的LAN相比较的优势32、虚拟局域网的划分421、基于端口的VLAN划分422、基于MAC地址的VLAN划分423、基于网络层的划分524、基于策略的VLAN划分53、虚拟局域网协议531、IEEE8021Q协议532、VLAN链路6321VLAN链路类型6322VLAN帧在网络中的通信7323TRUNK和VLAN74、VLAN间路由841、VLAN间路由的需求8411VLAN隔离二层广播域8412连接不同的VLAN942、三层交换机做VLAN间路由9421VLAN间路由的解决方案9422使用VLANTRUNKINT10423基于内部硬件路由引擎的三层交换机115、虚拟局域网应用实例12
7、51、思科单臂路由配置1252、利用VLAN进行学校配置13注释18参考文献19致谢2011局域网(VLAN)基础11虚拟局域网概述111虚拟局域网的定义VLAN(VIRTUALLOCALAREANETWORK)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术1。它允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工
8、作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性2。112VLAN的由来图11广播风暴传统的局域网使用的是HUB,HUB只有一根总路线,一根总路线就是一个冲突域。所以传统的局域网是一个扁平的网络,一个局域网属于同一个冲突域,任何一台主机发出的报文都会被同一冲突域的所有其它机器接收到。后来,组网的时使用网桥(二层交换机)代替集线器(HUB),每个端口可以看成是一根单独的总线,冲突域缩小到每个端口,使得网络发送单播报文的效率大大提高,极大地提高了二层网络的性能。但是网络中所有端口仍然处于
9、同一个广播域,网桥在传递广播报文的时候依然要将广播报文复制多份,发送到网络的各个角落。随着网络规模的扩大,网络中的广播报文越来越多,广播报文占用的网络资源越来越多,严重影响网络性能,这是所谓的广播风暴的问题。如图211所示。由于网桥二层网络工作原理的限制,网桥对广播风暴的问题无能为力。为了提高网络的效率,一般需要将网络进行分段把一个大的广播域划分成几个小的广播域。图12网络分段过去往往通过路由器对LAN进行分段。图12中用路由器替换图11中的中心节点交换机,使得广播报文的发送范围大大减小。这种方案解决了广播风暴的问题,但是用路由器是在网络层上分段将网络隔离,网络复杂,组网方式不灵活,并且大大增
10、加了管理维护的难度。做为替代的LAN分段的方法,虚拟局域网被引入到网络解决方案中来,用于解决大型的二层网络环境面临的问题。图13划分广播域虚拟局域网VLAN逻辑上把网络资源和网络用户按照一定的原则进行划分,把一个物理上实际的网络划分成多个小的逻辑的网络,这些小的逻辑的网络形成各自的广播域,也就是虚拟局域网3。图13中几个部门都使用一个中心交换机,但是各个部门属于不同的VLAN,形成各自的的广播域,广播报文不能跨越这些广播域传送。虚拟局域网将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内,在功能和操作上与传统LAN基本相同,可以提供一3定范围内终端系统的互联。12虚拟局域网的特点121V
11、LAN的特性VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,同一个VLAN中的所有成员共同拥有一个VLANID,组成一个虚拟局域网络;同一个VLAN中的成员均能收到本VLAN内其他成员发来的广播包,但收不到其他VLAN成员的广播包;不同VLAN成员之间不可进行二层互访直接通信,需要通过三层交换或者路由支持才能通信,而同一VLAN中的成员通过VLAN交换机可以直接通信,不需路由支持4。122VLAN与传统的LAN相比较的优势1增加、移动、更改工作站灵活方便。在网络中,工作站在一个建筑物内或校园网内增加、移动、
12、更改是很常见的事情。划分了VLAN后,当一个工作站需要变动物理位置时,只要通过网管工作站就可以重新配置其属性。当一个工作站在相同的VLAN内移动位置时,它在新的位置仍然保留其原有的属性当一个工作站在不同VLAN之间移动时,就把新的VLAN的属性应用于这个站。若因作需要,部的一个人员需调到另一个部门,或因开发某个项目需要临时组建一个由不同部门的技术人员组成的工作小组时,有了VLAN,小组的成员就不必真正集中到一起,他们只需坐在自己的计算机旁就可参与另一部门的工作或了解其他合作伙伴的工作情况。工作结束后,这个工作组可以随之消失。2隔离广播风暴,提高网络性能。网络中大量的广播信息所带来的带宽消耗和网
13、络延迟甚至造成网络堵塞,对用户来讲是不容忽视的。VLAN具有隔离广播风暴的特点,可以把一个大的局域网划分成几个小的VLAN,使每个VLAN中的广播信息大大减少,从而减少整个网络范围内广播包的传输,提高网络传输效率。除此之外,在划分VLAN时,若将工作性质相同的用户集中在同一个VLAN,减少跨VLAN的访问,可减少路由器经网络传输带来的延迟,也能进一步提高网络的性能。3增强网络的安全性。各个VLAN之间不能进行直接通信,而必须通过路由器转发。如果VLAN之间没有路由器,那么VLAN就是与外界隔离的,相当于一个独立的局域网,可防止大部分以网络监听为手段的入侵。当使用路由器转发时,可以在路由器上进行
14、相应的设置,实现网络的安全访问控制。另外,在每个交换机端口只有一个工作站的结构中,可以形成特别有效的限制非授权访问的屏障。4提高网络的可靠性。在VLAN中利用STP可以在两条毛链路上进行负载4分担和冗余备份。也就是说,当两条TRUNK链路都工作的时候,可以使一部分VLAN通过一条毛田链路传递信息,另一部分VLAN通过另一条工M吐链路传递信息,使得两条毛链路共同分担信息传递,提高传送速度当两条TRUNK链路中有一条不能传递信息时,另一条自动承担全部VLAN的信息传递,保证了网络传递信息的可靠性。2虚拟局域网的划分21基于端口的VLAN划分这是最常应用的一种VLAN划分方法,应用也最为广泛、最有效
15、,目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。对于不同部门需要互访时,可通过路由器转发,并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上,设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。从这种划分方法本身我们可以看出,这种划分的方法的优点是定义VLAN成员时非常简单,只要将所
16、有的端口都定义为相应的VLAN组即可。适合于任何大小的网络。它的缺点是如果某用户离开了原来的端口,到了一个新的交换机的某个端口,必须重新定义。22基于MAC地址的VLAN划分这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组,它实现的机制就是每一块网卡都对应唯一的MAC地址,VLAN交换机跟踪属于VLANMAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时,自动保留其所属VLAN的成员身份。由这种划分的机制可以看出,这种VLAN的划分方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用
17、重新配置,因为它是基于用户,而不是基于交换机的端口。这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的,所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,保存了许多用户的MAC地址,查询起来相当不容易。另外,5对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样VLAN就必须经常配置。23基于网络层的划分VLAN按网络层协议来划分,可分为IP、IPX、DECNET、APPLETALK、BANYAN等VLAN网络5。这种按网络层协议来组成的VLAN,
18、可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且,用户可以在网络内部自由移动,但其VLAN成员身份仍然保留不变。这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。这种方法的缺点是效率低,因为检查每一个数据包的网络层地址是需要消耗处理时间的相对于前面两种方法,一般的交换机芯片都可以自动检查网络上数据包的以太网祯头,但要让芯片能检查IP帧头,需要更高的技术,同时也更费时5。当然,这与
19、各个厂商的实现方法有关。24基于策略的VLAN划分这是最灵活的VLAN划分方法,具有自动配置的能力,能实现多种分配方法,包括VLAN交换机端口、MAC地址、IP地址、网络层协议等,把相关的用户连成一体,在逻辑划分上称为“关系网络”6。网络管理员只需在网管软件中确定划分VLAN的规则(或属性),那么当一个站点加入网络中时,将会被“感知”,并被自己地包含进正确的VLAN中。同时,对站点的移动和改变也可自动识别和跟踪。3虚拟局域网协议31IEEE8021Q协议IEEE8021Q是虚拟桥接局域网的正式标准,定义了同一个物理链路上承载多个子网的数据流的方法。IEEE8021Q定义了VLAN帧格式,为识别
20、帧属于哪个VLAN提供了一个标准的方法。这个格式统一了标识VLAN的方法,有利于保证不同厂家设备配置的VLAN问题。IEEE8021Q定义了以下内容VLAN的架构、VLAN中所提供的服务、VLAN实施中涉及的协议和算法;IEEE8021Q协议不仅规定VLAN中的MAC帧的格式,而且还制定诸如帧发送及校验、回路检测,对业务质量(QOS)参数的支持以及对网管系统的支持等方面的标准。如图31所示6图31IEEE8021Q概述32VLAN链路321VLAN链路类型图32ACCESSLINK和TRUNKLINK接入链路指ACCESSLINK的是用于连接主机和交换机的链路,通常情况下主机并不需要知道自己属
21、于哪些VLAN,主机的硬件也不一定支持带有VLAN标记的帧,主机要求发送和接收的帧都是没有打上标记的帧。接入链路属于某一个特定的端口,这个端口属于一个并且只能是一个VLAN,这个端口不能直接接收其它VLAN的信息,也不能直接向其它VLAN发送信息。不同VLAN的信息必须通过三层路由处理才能转发到这个端口上。干道链路“TRUNKLINK”是可以承载多个不同VLAN数据的链路7。干道链路通常用于交换机间的,或者用于交换机和路由器之间的连接。和接入链路不同,干道链路是用来在不同的设备之间(如交换机和路由器之间、交换机与交换机之间)承载VLAN的。通过配置,干道链路可以承载所有的VLAN数据,7也可以
22、配置为只能传输指定的VLAN的数据。322VLAN帧在网络中的通信图33帧在网络中的通信图33表示一个局域网环境,网络中有两台交换机,并且配置了两个VLAN。主机和交换机之间的链路是接入链路,交换机之间通过干道链路互相连接8。对于主机来说,它是不需要知道VLAN的存在的。主机发出的报文都是UNTAGGED的报文;交换机接收到这样的报文之后,根据配置规则(如端口信息)判断出报文所属VLAN进行处理,如果报文需要通过另外一台交换机发送,则该报文必须通过干道链路传输到另外一台交换机上。为了保证其它交换机正确处理报文的VLAN信息,在干道链路上发送的报文都带上了VLAN标记。当交换机最终确定报文发送端
23、口后,将报文发送给主机之前,将VLAN的标记从以太网帧中删除,这样主机接收到的报文都是不带VLAN的标记的以太网帧9。所以一般情况下,干道链路上传送的都是TAGGEDFRAME,接入链路上传送的都是UNTAGGEDFRAME。这样做的最终结果是网络中配置的VLAN可以被所有的交换机正确处理,而主机不需要了解VLAN信息。323TRUNK和VLAN无论一个网络由多少个交换机构成,也无论一个VLAN跨越了多少个交换机,按照VLAN的定义,一个VLAN就确定了一个广播域10。广播报文能够被在一个广播域中的所有主机接收到,也就是说,广播报文必须被发送一个VLAN中的所有端口。因为VLAN可能跨越多少交
24、换机,当一个交换机从某VLAN的一个端口收到广播报文之后,为了保证同属一个VLAN的所有主机都接收到这个广播报文,交换机必须按照如下原则报文进行转发1发送给本交换机中同一个VLAN中的其它端口;82将这个报文发送给本交换机的包含这个VLAN的所有干道链路,以便让其它交换机上的同一个VLAN的端口也发送该报文。图34TRUNK和VLAN将一个端口设置成TRUNK端口后,也就是说,和这个端口相连的名字路被设置为TRUNK链路,同时还可以配置哪些VLAN的报文可以通过这个干道链路。如图34所示4VLAN间路由41VLAN间路由的需求411VLAN隔离二层广播域图41VLAN隔离二层广播域为了解决网络
25、由广播导致的效率下降和安全性等问题,VLAN的概念被引入,在支持VLAN功能的交换机组成的网络中,每一个VLAN计数一个独立的广播域;VLAN之间被严格地隔离开来,任何一个帧都不能从自己所属的VLAN被转发到其他的VLAN中。整个网络被划分为若干个规模更小的广播域,网络系9统的广播被控制在相对比较小的范围内,提高了网络的带宽利用率,改善网络效率和性能。每个人都不能随意地从网络上的一点,毫无控制地直接访问另一点的网络或监听整个网络上的帧,隔离的广播域改善了网络的性能。如图41。VLAN可以实现对用户的分组,通过配置VLAN可以实现灵活的网络管理,同时在网络迁移的时候,由于交换机的灵活配置,可以物
26、设计,而不需要修改网络的布线等烦琐、耗时的工作。412连接不同的VLAN“无连不成网”,一个网络在使用VLAN隔离成多个广播域后,各个VLAN之间是不能互相访问的,因为各个VLAN的流量实际上已经在物理上隔离开来了。隔离网络并不是建网的最终目的,选择VLAN隔离只是为了优化网络,最终我们还是要让整个网络能够畅通起来。VLAN之间的通信是解决方法是在VLAN配置路由器,这样VLAN内部的流量仍然通过原来的VLAN内部的二层网络进行,从一个VLAN到另外一个VLAN的通信流量,通过路由在三层上进行转发,转发到目的网络后,再通过二层交换网络把报文最终发送给目的主机11。如图42所示图42VLAN间通
27、信的路由选择由于路由器对以太网上的广播报文采取不转发的策略,因此中间配置的路由器仍然不会改变划分VLAN所达到的广播的目的。在VLAN之间做互联使用的路由器上,我们可以通过各种配置,比如对路由协议的配置、对访问控制的配置等形成对VLAN之间互相访问的控制策略,使网络处于受控的状态12。42三层交换机做VLAN间路由421VLAN间路由的解决方案10对于本地通信,通信两端的主机同处于一个相同的广播域,两台主机之间的流量可以直接相互到达,通信的过程与扁平二层网络中的情况相同;对于非本地通信,通信两端的主机位于不同的广播域内,主机的流量不能互相到达,主机通过ARP广播请求也不能到对方的地址,此时的通
28、信必须借助于中间的路由器来完成。路由器在各个VLAN中间,实际上是作为各个VLAN的网状起作用的,要难过路由器来互相通信的主机必须知道这路由器的存在,并且知道它的地址。在路由器配置好了之后,就要在主机上配置默认网关为路由器在本VLAN上的接口的地址。如图43中所示,主机11110要同22220通信。首先主机11110根据本地的子网掩码比较,发现目的主机不是本地主机,不能够访问目的主机;根据IP通信规则,主机11110将要查找本机的的路由表寻找相应的网状,在实际网络中,主机通常只配置了默认网关,因此这里主机11110找到了默认网关。然后,主机11110在本机的ARPCACHE中查找默认网关的MA
29、C地址,如果没有则启动一个ARP请求的过程去发现,得到默认网关的MAC地址后,主机将帧转发给默认网关,由路由器转发。路由器通过查找路由表将报文转发到相应的接口上面,然后查找到目的主机的MAC地址,将报文发送给目的主机。目的主机收到报文后,回应的报文经历类似的过程又转发回主机11110。422使用VLANTRUNKINT图43使用VLANTRUNKINT使用VLANTRUNKING这种技术,可以使多个VLAN的业务流量共享相同的物理连接,通过在VLANTUNKING的物理连接上传递打标记的帧将各个VLAN的流量区分开来13。在做VLAN间互通的时候,对于网络中多个VLAN,只需要共11享一条物理
30、链路。在交换机上配置连接到路由器的端口使用VLANTRUNKING,在路由器上也做相同的配置。如图44所示在这样的配置下,路由器上的路由接口和物理接口是多对一的对应关系,路由器在进行VLAN间路由的时候把报文从一个路由器接口上转发到另一个路由接口上,但从物理接口上看是从一个物理接口上转发回同一个物理上去,但是VLAN标记在转发后被替换为目标网络的标记。这样,在通常的情况下,VLAN间路由的流量不足以达到链路的线速度,使用VLANTRUNKING的配置,可以提高链路的的带宽利用率,节省端口资源,和简化管理。423基于内部硬件路由引擎的三层交换机图44交换和路由的集成三层交换机使用硬件技术,采用巧
31、妙的处理方法把二层交换机和路由器在网络中的功能集成到一个盒子里,提高了网络的集成度,增强了转发性能。如图45所示。为了实现各种网络的互连,IP协议实现了十分丰富的内容,标准的IP路由需要在转发每一个IP报文的时候做很多的处理,经过很多的流程,但是这样的工作并不是在处理每一个报文都必须的,绝大多数的报文只需要经过很少一部分的过程,IP路由的方法有很大的改进余地。三层交换机的设计基于对IP路由的仔细分析,把IP路由中每一个报文都必须经过的过程提取出来,这个过程是个十分简化的过程1IP路由中绝大多数报文是不包含IP选项的报文,因此处理报文选项的工作在大多数情况下是多余的。2不同的网络的报文长度都是不
32、同的,为了适应不同的网络,IP实现了报文分片的功能,但是在全以太网的环境中,网络的帧(报文)长度是固定的,因此报文分片的功能也12是一个可以裁减的工作。3三层交换机采用了和路由器的最长地址掩码匹配不同的方法,使用精确地址匹配的方式处理,有利于硬件实现快速查找。4三层交换机采用了CACHE的方法,把最近经常使用的主机路由放到了硬件的查找表中,只有在这个CACHE中无法匹配到项目才会通过软件去转发。这样,只有每个流的第一个报文会通过软件进行转发,其后的大量数据流则可以在硬件中得以完成。三层交换机在IP路由的处理上做了以上改进,实现了简化的IP转发流程,利用专用的芯片实现了硬件的转发,这样绝大多数的
33、报文处理都在硬件中实现了,只有极少数报文才需要使用软件转发,整个系统的转发性能能够得以成百上千倍地增加,相同性能的设备在成本上得以大幅度下降。5虚拟局域网应用实例51思科单臂路由配置VLAN(虚拟局域网)技术是路由交换中非常基础的技术14。在网络管理实践中,通过在交换机上划分适当数目的VLAN,不仅能有效隔离广播风暴,还能提高网络安全系数及网络带宽的利用效率。划分VLAN之后,VLAN与VLAN之间是不能通信的,只能通过路由或三层交换来实现。我们知道路由器实现路由功能通常是数据报从一个接口进来然后另一个接口出来,现在路由器与交换机之间通过一条主干现实通信或数据转发,也就是说路由器仅用一个接口实
34、现数据的进与出,因为我们形象地称它为单臂路由。单臂路由是解决VLAN间通信的一种廉价而实用的解决方案15。如图51所示PCA和PCB分别属于VLAN10和VLAN20,SWITCH2950是一个CISCO的二层交换机,型号2950,欲实现VLAN10和VLAN20的通信,我们要增加一个路由器来转发VLAN之间的数据包,路由器与交换机之间使用单条链路相连(图中画红线),这条链路也叫主干,所有数据包的进出都要通过路由器2600的F0/0端口来现实数据转发。图51单臂路由一配置交换机SWITCH启动后进入CLI界面13SWITCHENABLE进入特权模式SWITCHVLANDATABASE进入配置V
35、LAN模式SWITCHVLANVLAN10NAMECAIWU配置第一个VLAN10,取名CAIWUSWITCHVLANVLAN20NAMERENSHI配置第二个VLAN20,取名RENSHISWITCHVLANEXIT退出VLAN配置模式SWITCHCONFIGURETERMINAL进入特权模式,开始配置接口SWITCHCONFIGINTERFACEF0/1进入F0/1接口SWITCHCONFIGIFSWITCHPORTMODEACCESSSWITCHCONFIGIFSWITCHPORTACCESSVLAN10把F0/1接口分配给VLAN10SWITCHCONFIGIFEXITSWITCHCO
36、NFIGINTERFACEF0/2进入F0/2接口SWITCHCONFIGIFSWITCHPORTMODEACCESSSWITCHCONFIGIFSWITCHPORTACCESSVLAN20把F0/2接口分配给VLAN20SWITCHCONFIGIFEXITSWITCHCONFIGINTERFACEF0/12进入F0/12接口SWITCHCONFIGIFSWITCHPORTMODETRUNK把F0/12配置成主干模式SWITCHCONFIGIFEND二配置路由器ROUTER启动路由器后进入CLI界面ROUTERENABLE进入特权模式ROUTERCONFIGURETERMINAL进入全局模式R
37、OUTERCONFIGINTERFACEF0/0配置F0/0ROUTERCONFIGIFNOSHUTDOWN激活F0/0也就是打开这个接口ROUTERCONFIGIFINTERFACEF0/01配置子接口ROUTERCONFIGSUBIFIPADDRESS1921681012552552550配置IP与SUBNETROUTERCONFIGSUBIFENCAPSULATIONDOT1Q10为这个接口配置8021Q协议ROUTERCONFIGSUBIFEXITROUTERCONFIGIFINTERFACEF0/02配置第二个子接口ROUTERCONFIGSUBIFIPADDRESS19216820
38、12552552550ROUTERCONFIGSUBIFENCAPSULATIONDOT1Q20ROUTERCONFIGSUBIFEND三验证最后配置PCA和PCB的IP地址和子网掩码,再试试PCA主机PINGPCB主机,实验结果能PING通,配置成功。52利用VLAN进行学校配置14一配置交换机配置环境CISCO3560G24EMI作为一个小型网络的核心交换机,在其上共需要划分4个VLAN,分别取名为SERVER、MANAGE、TEACHER、STUDENT。其中3500G的2个4兆扩展口用来连接二级交换机CISCO295024,在2950G上相应的VLAN中加入端口,各端口IP地址和VLA
39、N划分如表所示,网络拓扑图为图52所示。VLANNAMEIPADDRPORTVLAN13650/G0G1,3650/2124,2950/G0G1VLAN2SERVER19216822543650/110VLAN3MANAGE19216832543650/1120VLAN10TEACHER192168102542950/115VLAN11STUDENT192168112542950/1624网管工作站19216821图52网络拓扑配置要求为了网络管理的安全,禁止VLAN3与网络管理工作站相互通信,允许其他的相互通信。网管工作站入在VLAN2网段中。在交换机默认配置下,没有设置密码,只需按2次回车
40、键,即可进入交换机的配置界面。SWITCH1输入ENABLE后,提示符即变成SWITCH1ENABLESWITCH115号表示已经进入特权模式,在这种模式下可进行交换机的配置操作,按下来根据网络配置方案进行交换机的调试。1激活VLAN路由SWITCH1CONFIGTSWITCH1CONFIGIPROUTEINGSWITCH1CONFIGEXIT2创建4个VLANSWITCH1SWITCH1VLANDATABASSWITCH1VLANVLAN2NAMESERVERSWITCH1VLANVLAN3NAMEMANAGESWITCH1VLANVLAN10NAMETEACHERSWITCH1VLANVL
41、AN11NAMESTUDENTSWITCH1VLANEXIT3给VLAN分配IPSWITCH1CONFIGTSWITCH1CONFIGINTVLAN2SWITCH1CONFIGIFIPADDRESS19216822542552552550SWITCH1CONFIGIFNOSHUTDOWNSWITCH1CONFIGIFENDSWITCH1CONFIGINTVLAN3SWITCH1CONFIGIFIPADDRESS19216832542552552550SWITCH1CONFIGIFNOSHUTDOWNSWITCH1CONFIGIFENDSWITCH1CONFIGINTVLAN10SWITCH1C
42、ONFIGIFIPADDRESS192168102542552552550SWITCH1CONFIGIFNOSHUTDOWNSWITCH1CONFIGIFENDSWITCH1CONFIGINTVLAN11SWITCH1CONFIGIFIPADDRESS192168112542552552550SWITCH1CONFIGIFNOSHUTDOWNSWITCH1CONFIGIFEND4配置VTP(虚拟终端协议),用以与二级交换机之间传递VLAN配置信息,中心交换机为SERVER,二级交换机为CLIENT。SWITCH1SWITCH1CONFIGTSWITCH1CONFIGVTPDOMAINCISCO
43、SWITCH1CONFIGVTPMODESERVER16SWITCH1CONFIGEND5配置TURNK,该端口用以连接二级交换机,因为这条线路上需要传递多个VLAN的信息(VLAN10及VLAN11),因此该端口需要配置成TURNK(中继端口)SWITCH1SWITCH1CONFIGTSWITCH1CONFIGINTERFACGIGABITETHERNET0/1SWITCH1CONFIGIFSWITCHPORTTRUNKENCAPSULATIONDOT1QSWITCH1CONFIGIFSWITCHPORTMODETRUNKSWITCH1CONFIGIFEND6给中心交换机配置默认路由SWIT
44、CH1SWITCH1CONFIGTSWITCH1CONFIGIPROUTE00000000192168217把端口号分配给VLANSWITCH1SWITCH1CONFIGTSWITCH1CONFIGINTERFACERANGEFASTETHERNET0/110SWITCH1CONFIGIFSWITCHPORTMODEACCESSSWITCH1CONFIGIFSWITCHPORTACCESSVLAN2SWITCH1CONFIGIFSPANNINGTREEPORTFASTSWITCH1CONFIGIFENDSWITCH1CONFIGINTERFACERANGEFASTETHERNET0/1120S
45、WITCH1CONFIGIFSWITCHPORTMODEACCESSSWITCH1CONFIGIFSWITCHPORTACCESSVLAN3SWITCH1CONFIGIFSPANNINGTREEPORTFASTSWITCH1CONFIGIFEND8配置访问控制列表(ACL),禁止VLAN3子网的客户机访问网管工作站,这里有两种配置方式。第一种方式网管工作站在VLAN2中,这样可以禁止源自VLAN3到网管工作站的数据,允许其他一切数据进入VLAN2SWITCH1CONFIGACCESSLIST101DENYIP19216830000255HOST19216821SWITCH1CONFIGACCE
46、SSLIST101PERMITIPANYANYSWITCH1CONFIGINTERFACEVLAN2SWITCH1CONFIGIFIPACCESSGROUP101OUT第二种方式在VLAN3与中心交换机互联的地方限制网管工作站的数据进入VLAN3,这样就可以实现网络管理的安全。SWITCH1CONFIGT17SWITCH1CONFIGACCESSLIST1DENYHOST19216821SWITCH1CONFIGACCESSLIST1PERMITANYSWITCH1CONFIGINTERFACEVLAN3SWITCH1CONFIGIFIPACCESSGROUP1OUTSWITCH1CONFIG
47、IFEND9检查上述配置是否与设计的一样SWITCH1SHOWVLANSWITCH1SHOWIPROUTESWITCH1SHOWINTREFACEGIGABITETHERNET0/1SWITCHPORTSWITCH1SHOWRUNSWITCH1SHOWVTPSTATUS10保存配置SWITCH1COPYRUNNINGCONFIGSTARTUPCONFIG18注释1岳延兵计算机网络技术基础,西南师范大学出版社2008年版,第35页。2白彭浅谈交换机的VLAN技术及其配置,大众科学,2008,第48页。3朱红明VLAN技术浅谈,无锡南洋学院学报,2008,第96页。4王智VLAN技术在网络中的应用
48、,西北职教,2007,第39页。5钟九洲浅谈VLAN技术与应用,达州职业技术学院学报,2007,第59页。6张博IP子网与VLAN辨析与应用,电脑知识与技术,2008,第121页。7王玉慧VLAN技术的应用,中国水运,200412,第43页。8雷震甲计算机网络,清华大学出版社,2004,第51页。9王卫红计算机网络与互联网,机械工业出版社,201007,第246页。10曹建春主编计算机网络技术实训教程,中国人民大学出版社,201009,第1页。11王宣政计算机网络技术导论,西安电子科技大学出版社,200508,第1页。12王建平网络设备配置与管理,清华大学出版社,201004,第6页。13沈淑
49、娟计算机网络应用教程,机械工业出版社,201102,第194页。14张曾科计算机网络,清华大学出版社,200603,第214页。15汪海波主编计算机网络应用技术,地质出版社,200612,第102页。19参考文献岳延兵计算机网络技术基础,西南师范大学出版社2008年版。白彭浅谈交换机的VLAN技术及其配置,大众科学,2008。朱红明VLAN技术浅谈,无锡南洋学院学报,2008。王智VLAN技术在网络中的应用,西北职教,2007。钟九洲浅谈VLAN技术与应用,达州职业技术学院学报,2007。张博IP子网与VLAN辨析与应用,电脑知识与技术,2008。王玉慧VLAN技术的应用,中国水运,200412,4344页。雷震甲计算机网络,清华大学出版社,2004,5161页。王燕张新刚基于ARP协议的攻击及其防御方法分析微计算机信息20072336。曹建春主编计算机网络技术实训教程,中国人民大学出版社,201009,第1页。20致谢首先,对指导教师的指导表示感谢,本毕业论文是在我的导师的亲切关怀和悉心指导下完成的。其次,我还要感谢在一起愉快的度过大学生活的各位同学和老师,正是由于你们的帮助和支持,我才能克服一个一个的困难和疑惑,直至本文的顺利完成。在论文即将完成之际,我的心情无法平静,从开始进入课题到论文的顺利完成,有多少可敬的师长、同学、朋友给了我无言的帮助,在
