《ciscocatalyst交换技术》第4章 虚拟LAN

c

下载

Chinapub.com 下载 第4章虚拟LAN 随着网络用户的增加,网络管理日益成为一种挑战,所以,VLAN(虚拟局域网)具有 流行交换机的特点并不奇怪。VLAN可以减轻网络工程师的工作负担。VLAN还可以允许网络 管理员取消过去的物理限制,并对用户的第3层网络地址进行控制,而不管它处在网络中的哪 个位置 VLAN的其他优势包括加强网络的安全性能、易于控制广播和能够分布通信量。 Cisco Catalyst交换机能够完成很多功能来加强和简化VLAN的实现 中继线( trunking)的使用允许vLAN跨接由小型的或大型区域分开的多个交换机。Cisc 也在它的许多路由产品中实施了中继特性,使得我们可以设计许多有益而有趣的网络。 4.1ⅥLAN定义 VLAN可以定义为“广播域”,ⅥLAN即是广播域。第1章中,我们知道,广播域是第3层 的网络。交换机可以定义一个VLAN,交换机的端口便成为VLAN中的成员。例如,在图4-1 中,交换机的端口定义了两个VLAN,即会计( Accounting)和管理( Managemant) VLAN 管理VLAN 图4-1在 Catalyst1900上的两个VLAN 图中,端口1到端口13分配给会计VLAN,端口13至端口24分配给管理VLAN。由于交换 机不允许广播在VLAN之间传送,所以交换机相当于对图中的网络进行了逻辑分段(图4-2)。 如果工作站A发送一个广播,在会计VLAN上的所有工作站都接收到这个广播。但交换机 不会将广播发送至管理VLAN上的任何一个端口。实际上,交换机不会从一个VLAN向另外一 个的VLAN发送帧,除非它是一个多层交换机,这种交换机在本书的后面将加以讨论。现在 有人也许还在考虑第1章中所说的“路由器是唯一的能够对网络进行逻辑分段的设备”。从理论

下载 第4章 虚 拟 L A N 随着网络用户的增加，网络管理日益成为一种挑战，所以， V L A N（虚拟局域网）具有 流行交换机的特点并不奇怪。 V L A N可以减轻网络工程师的工作负担。 V L A N还可以允许网络 管理员取消过去的物理限制，并对用户的第 3层网络地址进行控制，而不管它处在网络中的哪 个位置。 V L A N的其他优势包括加强网络的安全性能、易于控制广播和能够分布通信量。 C i s c o C a t a l y s t交换机能够完成很多功能来加强和简化 V L A N的实现。 中继线（t r u n k i n g）的使用允许V L A N跨接由小型的或大型区域分开的多个交换机。 C i s c o 也在它的许多路由产品中实施了中继特性，使得我们可以设计许多有益而有趣的网络。 4.1 VLAN定义 V L A N可以定义为“广播域”，V L A N即是广播域。第 1章中，我们知道，广播域是第 3层 的网络。交换机可以定义一个 V L A N，交换机的端口便成为 V L A N中的成员。例如，在图 4 - 1 中，交换机的端口定义了两个 V L A N，即会计（A c c o u n t i n g）和管理（M a n a g e m a n t）。 图4-1 在Catalyst 1900上的两个VLAN 图中，端口1到端口1 3分配给会计V L A N，端口1 3至端口2 4分配给管理V L A N。由于交换 机不允许广播在V L A N之间传送，所以交换机相当于对图中的网络进行了逻辑分段（图 4 - 2）。 如果工作站A发送一个广播，在会计 V L A N上的所有工作站都接收到这个广播。但交换机 不会将广播发送至管理 V L A N上的任何一个端口。实际上，交换机不会从一个 V L A N向另外一 个的V L A N发送帧，除非它是一个多层交换机，这种交换机在本书的后面将加以讨论。现在， 有人也许还在考虑第1章中所说的“路由器是唯一的能够对网络进行逻辑分段的设备”。从理论 会计 VLAN 管理 VLAN

第虚拟LAN59 上说,这种观点是不正确的,因为交换机也能够对网络进行逻辑分段,但在实际应用中,只使 用交换机而不使用路由器对网络进行逻辑分段是非常可笑的,因为这种配置事实上不会允许信 息在VLAN之间通过。所以这是一种不可靠的情况,而且也是一种讨论起来没有意义的情形 A且g 会计VLAN 管理LAN 图4-2广播限制在一个ⅥLAN的所有端口上 在会计VLAN中的工作站将与管理VLAN中的用户处在完全不同的广播域中,所以就存在 两个完全不同的IP子网、IPX网络和 Appletalk电缆范围。图4-3中,分配给会计ⅤLAN的P地址 是17216.10.0/24,IPX网络号为10, Appletalk电缆范围为10-10。分配给管理ⅤLAN的IP子网 地址为17216200/24,IPX网络号为20, Appletalk电缆范围为20-20。在这种情况下,一个 VLAN的通信量将对另外一个VLAN不会产生影响,而不管它在网络中的物理位置。 白直A g自白自百白白 会计VLAN 管理VLAN 子网172.16.10.0/24 IP子网17216.200/24 IPX网络10 IPX网络20 Apple Talk电缆范围10-10 Apple Talk电缆范围20-20 图4-3分配给P子网、PX网络和 Appletalk电缆范围

上说，这种观点是不正确的，因为交换机也能够对网络进行逻辑分段，但在实际应用中，只使 用交换机而不使用路由器对网络进行逻辑分段是非常可笑的，因为这种配置事实上不会允许信 息在V L A N之间通过。所以这是一种不可靠的情况，而且也是一种讨论起来没有意义的情形。 图4-2 广播限制在一个VLAN的所有端口上 在会计V L A N中的工作站将与管理V L A N中的用户处在完全不同的广播域中，所以就存在 两个完全不同的I P子网、I P X网络和A p p l e a l k电缆范围。图4 - 3中，分配给会计V L A N的I P地址 是1 7 2 . 1 6 . 1 0 . 0 / 2 4，I P X网络号为1 0，A p p l e t a l k电缆范围为1 0 - 1 0。分配给管理V L A N的I P子网 地址为1 7 2 . 1 6 . 2 0 . 0 / 2 4，I P X网络号为2 0，A p p l e t a l k电缆范围为 2 0 - 2 0。在这种情况下，一个 V L A N的通信量将对另外一个V L A N不会产生影响，而不管它在网络中的物理位置。 图4-3 分配给IP子网、IPX网络和Appletalk电缆范围 第4章 虚 拟 LAN 59 下载 会计 VLAN 管理 VLAN 会计 VLAN IP 子网 172.16.10.0/24 IPX 网络 10 Apple Talk电缆范围10-10 管理 VLAN IP 子网 172.16.20.0/24 IPX 网络 20 Apple Talk电缆范围20-20

60 Cisco C)网交换技术 下载 Cisco的LAN实现为端口中心式。与节点相连的端口将定义它所驻留的VLAN。怎样将 端口分配给VLAN取决于 Cisco Catalyst交换机。将端口分配给ⅤLAN的方式有两种,分别是静 态的和动态的 42静态VLAN 形成静态VLAN过程是将端口强制性地分配给VLAN的过程。工程师一般按照自己的喜好 来确定哪些端口属于哪些特定的LAN,然后将VLAN静态映射到端口。例如,在图4-1中, 将会计VLAN定义为与端口1至端口12相连接的任何节点。工程师还将输入一些合适的命令, 这些命令有可能来自称为SNMP管理工作站的交换机的CLI(命令行接口),也有可能来自将 端口1至端口12分配给会计ⅤLAN的软件管理工具CWSI( Cisco Work switched internetworks) 这种方法非常耗时,因为工程师们只能对将端口映射到合适的ⅤLAN所必须的命令进行手工 输入。不过,这是将端口映射到VLAN的一种最通用的方法 4.3动态VLAN 动态的ⅤLAN形成很简单,由端口自己决定它属于哪个VLAN时,就形成了动态的VLAN。 不过,这不是 Terminator,也不是变成非小说文学的 The Forbin Project,它是一个简单的映射, 这个映射取决于工程师创建的数据库。分配给动态VLAN的端口被激活后,交换机就缓存初 始帧的源MAC地址(见图44)。 随后,交换机便向一个称为VMPS(VLAN管理策略服务器)的外部服务器发出请求, VMPS中包含一个文本文件,文件中存有进行ⅤLAN映射的MAC地址。交换机对这个文件进 行下载,然后对文件中的MAC地址进行校验。如果在文件列表中找到MAC地址,交换机就将 端口分配给列表中的VLAN。如果列表中没有MAC地址,交换机就将端口分配给默认的 VLAN(假设已经定义默认了VLAN)。如果在列表中没有MAC地址,而且也没有定义默认的 VLAN,端口不会被激活。这是维护网络安全一种非常好的的方法。 从表面上看,动态ⅤLAN的优势很大,但它也有致命的缺点,即创建数据库是一项非常艰 苦而且非常繁琐的工作。如果网络上有数千个工作站,则有大量的输入工作要做。即使有人 能胜任这项工作,也还会出现与动态的VLAN有关的很多问题。另外,保持数据库为最新也 是要随时进行的非常费时的工作。在第6章中将对动态的VLAN做进一步讨论。 44中继 前面我们已经知道,单个交换机可以定义VLAN,那么多个交换机是怎样扩展VLAN的 呢?举个例子,图4-5给出了第1层和第2层楼上属于会计部门和管理部门的一部分节点。这两 层楼的节点怎样才能属于同一个VLAN呢? 图中,我们可以将两个交换机之间的物理连接分配给会计VLAN,但这会限制楼层之间的 通信。在交换机之间还可以形成另外一个连接,而且可以将这个连接放置在管理VLAN中 但这种做法花费很大,特别是存在两个以上的ⅥLAN时。中继允许多个VLAN的信息通过同一 个物理连接。例如,如果图4-5中的两个交换机之间的连接做成一个中继连接,那么两个 VLAN都可以通过同一个物理连接进行通信。这个过程通常由一个标记完成。通过中继线进 行传输的帧都将用 VLAN ID进行标记。 Catalyst交换机通过一个唯一的数字对每个VLAN进行

C i s c o的V L A N实现为端口中心式。与节点相连的端口将定义它所驻留的 V L A N。怎样将 端口分配给V L A N取决于Cisco Catalyst交换机。将端口分配给V L A N的方式有两种，分别是静 态的和动态的。 4.2 静态VLAN 形成静态V L A N过程是将端口强制性地分配给 V L A N的过程。工程师一般按照自己的喜好 来确定哪些端口属于哪些特定的 V L A N，然后将V L A N静态映射到端口。例如，在图 4 - 1中， 将会计V L A N定义为与端口 1至端口1 2相连接的任何节点。工程师还将输入一些合适的命令， 这些命令有可能来自称为 S N M P管理工作站的交换机的 C L I（命令行接口），也有可能来自将 端口1至端口1 2分配给会计V L A N的软件管理工具C W S I（C i s c o Work Switched Internetworks）。 这种方法非常耗时，因为工程师们只能对将端口映射到合适的 V L A N所必须的命令进行手工 输入。不过，这是将端口映射到 V L A N的一种最通用的方法。 4.3 动态VLAN 动态的V L A N形成很简单，由端口自己决定它属于哪个 V L A N时，就形成了动态的V L A N。 不过，这不是Te r m i n a t o r，也不是变成非小说文学的The Forbin Project，它是一个简单的映射， 这个映射取决于工程师创建的数据库。分配给动态 V L A N的端口被激活后，交换机就缓存初 始帧的源M A C地址（见图4 - 4）。 随后，交换机便向一个称为 VMPS （V L A N管理策略服务器）的外部服务器发出请求， V M P S中包含一个文本文件，文件中存有进行 V L A N映射的M A C地址。交换机对这个文件进 行下载，然后对文件中的 M A C地址进行校验。如果在文件列表中找到 M A C地址，交换机就将 端口分配给列表中的 V L A N。如果列表中没有 M A C地址，交换机就将端口分配给默认的 V L A N（假设已经定义默认了 V L A N）。如果在列表中没有 M A C地址，而且也没有定义默认的 V L A N，端口不会被激活。这是维护网络安全一种非常好的的方法。 从表面上看，动态V L A N的优势很大，但它也有致命的缺点，即创建数据库是一项非常艰 苦而且非常繁琐的工作。如果网络上有数千个工作站，则有大量的输入工作要做。即使有人 能胜任这项工作，也还会出现与动态的 V L A N有关的很多问题。另外，保持数据库为最新也 是要随时进行的非常费时的工作。在第 6章中将对动态的V L A N做进一步讨论。 4.4 中继 前面我们已经知道，单个交换机可以定义 V L A N，那么多个交换机是怎样扩展 V L A N的 呢？举个例子，图4 - 5给出了第1层和第2层楼上属于会计部门和管理部门的一部分节点。这两 层楼的节点怎样才能属于同一个 V L A N呢？ 图中，我们可以将两个交换机之间的物理连接分配给会计 V L A N，但这会限制楼层之间的 通信。在交换机之间还可以形成另外一个连接，而且可以将这个连接放置在管理 V L A N中， 但这种做法花费很大，特别是存在两个以上的 V L A N时。中继允许多个V L A N的信息通过同一 个物理连接。例如，如果图 4 - 5中的两个交换机之间的连接做成一个中继连接，那么两个 V L A N都可以通过同一个物理连接进行通信。这个过程通常由一个标记完成。通过中继线进 行传输的帧都将用VLAN ID进行标记。C a t a l y s t交换机通过一个唯一的数字对每个 V L A N进行 60 Cisco Catalyst 局域网交换技术 下载

Chinapub.coM 虚叔AN61 下载 与端口1l连接 源MAC地址 0000.6509a080 第一个帧的源MAC地址被缓存 巴 鞋主 端口1应分配至 哪个VLAN VMPS被要求下载数据库并检查源MAC地址 LAN 端口将分配给管理ⅤLAN 源MAC地址 0000.6509a080 也址00a0.24a6 fade vlan-名字会计 地址00006509a080van名字管理 地址 aabb ccdd, eeff vlan-名字工程 地址1223.56789 abc vlan名字HR 图4-4将源MAC地址映射到管理VLAN 第一层楼 会计用户 管理用户 回g 图45会计用户和管理用户

第4章 虚 拟 LAN 61 源MAC 地址 与端口1/1 连接 端口1/1 应分配至 哪个VLAN VLAN 地址 地址 地址 地址 名字会计 名字管理 名字工程 名字 VMPS 被要求下载数据库并检查源MAC 地址 第一个帧的源MAC 地址被缓存 端口将分配给管理VLAN 源MAC 地址 地址 名字会计 名字管理 名字工程 名字 地址 地址 地址 图4-4 将源MAC地址映射到管理VLAN 第一层楼 第二层楼 会计用户 管理用户 图4-5 会计用户和管理用户 下载

62 Cisco catalys)交换技术 下载 识别。如果分配给会计VLAN的VLAN号为100,那么,在中继线上进行传输的与会计VLAN 有关的所有帧都将使用ⅤLAN100进行标记(见图4-6)。 数据帧 会计用户 理用户 PPE 中继线 数据帧 图46中继标记 当第2层楼的交换机收到中继线上的帧时,它读取标记,然后便得知帧是发往会计VLAN 帧。另外,广播也将通过中继线进行传输。这一点是非常重要的,因为VLAN也是一个广播 域。由于广播能够在适当的VLAN中继线上传播,广播域也可以通过交换机扩展。交换机通 过读取来自中继线的帧上的标记,就可以将广播保留在适当的VLAN中 图4-7给出了一个由6层楼组成的网络,用户分散在所有的6层楼上。由于实现了中继,所 以,所有的会计用户都可以放置在同一个广播域中或同一个VLAN中。 图中,任一会计节点与一个ⅥLANI00端口进行连接,而不管这个节点位于哪个楼层。这 样,所有的会计用户就可以处在同一个P子网、同一个PX网络或同一个 Appletalk的电缆范围 中。图4-7中,我们还注意到,通过使用VLAN,服务器不但可以定位到一起,而且仍然能够 保持在它们各自的用户广播域中 如果有必要,所有VLAN的通信都将经过中继线进行传输,这样可以确保其他的ⅤLAN通 过整个网络保持连通,如图4-8所示 在这个网络中,所有的工作站将按照部门来进行逻辑地址的分配,而不管它所处的物理位 置如何。在选择中继前,工程师要想从网络的物理配置中分离岀逻辑寻址模式是非常困难的

识别。如果分配给会计 V L A N的V L A N号为1 0 0，那么，在中继线上进行传输的与会计 V L A N 有关的所有帧都将使用VLAN 100进行标记（见图4 - 6）。 图4-6 中继标记 当第2层楼的交换机收到中继线上的帧时，它读取标记，然后便得知帧是发往会计 V L A N 帧。另外，广播也将通过中继线进行传输。这一点是非常重要的，因为 V L A N也是一个广播 域。由于广播能够在适当的 V L A N中继线上传播，广播域也可以通过交换机扩展。交换机通 过读取来自中继线的帧上的标记，就可以将广播保留在适当的 V L A N中。 图4 - 7给出了一个由6层楼组成的网络，用户分散在所有的 6层楼上。由于实现了中继，所 以，所有的会计用户都可以放置在同一个广播域中或同一个 VLAN 中。 图中，任一会计节点与一个 V L A N 1 0 0端口进行连接，而不管这个节点位于哪个楼层。这 样，所有的会计用户就可以处在同一个 I P子网、同一个I P X网络或同一个A p p l e t a l k的电缆范围 中。图4 - 7中，我们还注意到，通过使用 V L A N，服务器不但可以定位到一起，而且仍然能够 保持在它们各自的用户广播域中。 如果有必要，所有V L A N的通信都将经过中继线进行传输，这样可以确保其他的 V L A N通 过整个网络保持连通，如图 4 - 8所示。 在这个网络中，所有的工作站将按照部门来进行逻辑地址的分配，而不管它所处的物理位 置如何。在选择中继前，工程师要想从网络的物理配置中分离出逻辑寻址模式是非常困难的。 62 Cisco Catalyst 局域网交换技术 下载 数据帧 数据帧 会计用户 管理用户 中继线 数 据 帧

虚拟AN63 下载 早皇 但旱旦 中继线 吕早事 子网172.16.1000/24 PX网络AA100 Appletalk电缆范围100-10 图47会计VLAN 4.5快速以太网和千兆以太网上的中继 在网络中,几乎 Catalyst交换机能够支持的任何介质都可以作为中继线。其中,在快速l 太网和千兆以太网上实现中继可使用下面两种类型的标记 l) Inter- Switch连接。 2)IEEE 802.1Q. ISL( Inter- Switch Link,交换机间通信)标记是 Cisco特有的一种标记,它主要使用在快 速以太网的中继线上。IEEE802.1Q标记是一种标准的标记,某些(但不是所有的) Cisco Catalyst交换机线路卡可以支持它。中继可以通过线路模块上的ASI( application- specific ntegrated circuit,专用的集成电路)来实现,所以,线路模块应该包含所必须的ASIC。由于

图4-7 会计VLAN 4.5 快速以太网和千兆以太网上的中继 在网络中，几乎C a t a l y s t交换机能够支持的任何介质都可以作为中继线。其中，在快速以 太网和千兆以太网上实现中继可使用下面两种类型的标记： 1) Inter-Switch 连接。 2) IEEE 802.1Q。 I S L（I n t e r-Switch Link，交换机间通信）标记是 C i s c o特有的一种标记，它主要使用在快 速以太网的中继线上。 IEEE 802.1Q标记是一种标准的标记，某些（但不是所有的） C i s c o C a t a l y s t交换机线路卡可以支持它。中继可以通过线路模块上的 A S I C（a p p l i c a t i o n - s p e c i f i c integrated circuit，专用的集成电路）来实现，所以，线路模块应该包含所必须的 A S I C。由于 第4章 虚 拟 LAN 63 下载 会计用户 VLAN 100 IP 子网172.16.100.0/24 IPX 网络 AA100 Appletalk 电缆范围 100-104 中继线

64 Cisco Catal)与交换技术 下载 中继取决于硬件,所以,对 Catalyst的软件进行更新并不能使中继进行更新。在不是所有的交 换机都是 Cisco Catalyst交换机的场合,使用IEE802.1Q标记 中继线 囗叶‖回以口 回@回回@哥 叫人c叭画画 !! ess 画积世 寸ec≌s 区 4.5.1|sL 主要由 Cisco Catalyst交换机构成的网络环境中的快速以太网和千兆以太网的中继线中

中继取决于硬件，所以，对 C a t a l y s t的软件进行更新并不能使中继进行更新。在不是所有的交 换机都是Cisco Catalyst交换机的场合，使用IEEE 802.1Q标记。 4.5.1 ISL 主要由Cisco Catalyst 交换机构成的网络环境中的快速以太网和千兆以太网的中继线中， 64 Cisco Catalyst 局域网交换技术 下载 中继线

第虚拟AN65 通常使用ISL标记。图4-9给出了ISL标记的字段分析。 一≌ 8eA令 进时账 在这个报头中,最重要的字段是VLAN字段。它用来标识包含封装帧的VLAN。需要注意 的是,非 Cisco的设备不能读取ISL标记

通常使用I S L标记。图4 - 9给出了I S L标记的字段分析。 在这个报头中，最重要的字段是 V L A N字段。它用来标识包含封装帧的 V L A N。需要注意 的是，非C i s c o的设备不能读取I S L标记。 第4章 虚 拟 LAN 65 下载

66 Cisco Catal)k网交换技术 下载 4.5.2|EEE802.1Q 在1998的下半年,IE还在进行最后的EEE8021Q标准的草案设计,这时,制定标记格式的 工作已经全部完成了。EE8021Q和SL不一样,它的格式取决于使用它的介质。例如,ISL一般 只适应快速以太网和千兆以太网,而021Q几乎适应所有的不同介质,其中包括DD和令牌环。 以太网的标记形式列在图410中。 NO 0- N 雪

4.5.2 IEEE 802.1Q 在1 9 9 8的下半年，I E E E还在进行最后的IEEE 802.1 Q标准的草案设计，这时，制定标记格式的 工作已经全部完成了。IEEE 802.1 Q和I S L不一样，它的格式取决于使用它的介质 。例如，I S L一般 只适应快速以太网和千兆以太网，而8 0 2 . 1 Q几乎适应所有的不同介质，其中包括F D D I和令牌环。 以太网的标记形式列在图4 - 1 0中。 66 Cisco Catalyst 局域网交换技术 下载