虛擬子網（VLAN）方案

領測軟件測試網

　　 
　　虛擬子網（VLAN）方案
　　
　　為了便于管理，并提高網絡的效率和安全性，除了上述網絡的物理設計外，還需要對網絡進行邏輯設計，即劃分虛擬網。

虛擬網技術是將網絡中的物理基礎設施與網絡的邏輯基礎設施相分離，使得網管人員能方便而動態地建立和重構虛擬網絡，以適應部門機構的協作與變動，方便網絡管理，降低管理的成本。
　　
　　對于一個大型的局域網絡來說，VLAN的劃分是非常重要的功能，它為限制全網范圍的廣播和多點廣播提供了有效的手段。在網絡設計中應選擇切實可行的技術進行VLAN的靈活劃分，能夠跨越交換機劃分VLAN，高性能地實現VLAN之間的路由，并能提供一些基于VLAN的安全特性。
　　
　　總結起來，有下列因素促使我們采用虛擬網技術：
　　
　　² 一個平臺多種應用，這些要求相互之間相對獨立；
　　
　　² 提高帶寬的利用效率；
　　
　　² 提高網絡的安全性；
　　
　　² 方便網絡的管理。
　　
　　從大量的實際經驗中，我們認識到，交換網絡的設計不能僅限于第二層的LAN交換，而應對整個多協議網絡進行整體的設計。設計的總體原則是網絡核心只有交換，路由及第三層交換放在網絡邊緣。因此，虛擬網絡的設計應包括以下內容：
　　
　　² VLAN的設計和規劃
　　
　　² VLAN之間的分布式路由（三層交換）的設計
　　
　　² 整個網絡的廣播控制
　　
　　VLAN是取代傳統的橋接和路由器網絡技術的新技術。橋接技術使小的網絡可以互聯，但由于橋接不能有效地阻止廣播對網絡上節點通訊的影響，使整個網絡的帶寬使用率降低。路由器是一種很有效的控制廣播的設備，它把網絡按其上的端口分成段，并且阻止廣播從一個網段傳播到另一個網段。這樣，網絡被分成一個個廣播域。但路由器在作地址解析、路由選擇等工作時往往通過軟件來實現，從而增大了網絡上通訊的延遲時間。針對于以上兩種技術的缺點，產生了基于局域網交換技術的虛擬網（VLAN）技術。VLAN是邏輯上屬于一個集合而物理上可能分布于網絡的各個角落的一組工作站。每一個VLAN 就是一個廣播域。在傳統路由技術中，用戶被從物理上分成不同的段，而在一個VLAN中，用戶并不被局限在某一個物理區域內，而是可以分布在網絡的不同部分。VLAN使得建立大型的基于交換的網絡成為可能，并且通過VLAN來實現廣播控制。
　　
　　VLAN主要以下五種規則（Rule）的Policy來實現：
　　
　　l Port Rules
　　
　　基于端口的VLAN是最簡單的一種虛擬網形式。但它提供了最好的控制和安全性，它是通過配置分配連在某一端口上的設備基于它們所連接的端口來加入某一個VLAN。
　　
　　l MAC Address Rules
　　
　　基于MAC地址的VLAN和基于端口的VLAN比較要復雜，因為大量的MAC地址的管理比較復雜，這種VLAN也提供了較好的控制和安全性。它是通過配置分配不同的MAC地址到不同的VLAN 來實現的。
　　
　　l Protocol Rules
　　
　　基于協議的VLAN是用得較為廣泛的一種策略（Policy），它把不同的VLAN以在VLAN上應用的網絡協議區分開來，不同的VLAN可以基于不同的協議，如：IP協議、IPX協議、DECnet協議及NetBIOS協議等等。
　　
　　l Network Address Rules
　　
　　基于網絡地址的VLAN是根據不同的網絡地址來劃分VLAN，具體對于IP協議通過IP地址和網絡掩碼來分配VLAN，對于IPX協議通過IPX網絡號和封裝類型來分配VLAN。
　　l User Defined Rules
　　
　　網絡管理員還可以定義自己的VLAN策略（Policy），通過定義在信息幀中的特殊模板來創建VLAN，所有發出含有這種特殊模板信息幀的工作站將屬于同一個VLAN。
　　
　　在主干交換機和部分部門交換機中我們配置了高性能的第三層交換模塊，可支持線速的VLAN間路由，從而為網絡系統的應用提供了堅實的基礎。
　　
　　那么在本方案中我們如何實現跨越交換機的VLAN劃分呢？我們建議采用的中心網絡設備是Cisco公司最新推出的Cisco 4006多層路由交換機，它采用了Cisco千兆級的路由技術，在保存原有路由器所有的功能和特性的基礎上，提供了高達線速的處理能力，這使得我們可以很方便的進行全網范圍內的VLAN劃分和路由。
　　
　　具體如何實現呢？在各樓層交換機上，我們可以根據業務需求或部門基于端口或MAC地址劃分不同的VLAN并使其與IP子網相符合。更進一步,我們可以利用WindowsNT服務器上的用戶名(和相應的口令)來劃分VLAN,使VLAN劃分更加靈活方便,而且由于有用戶口令的保護使得VLAN的訪問更加安全.這就是Cisco公司提供的動態VLAN的解決方案，利用這一特性，我們可以實現移動辦公，并能防止非法機器連入網絡。
　　
　　對于與中心路由交換機相連接的端口，我們將其設為VLAN的Trunk，這樣它將傳遞所有的VLAN信息和數據給相同VTP域的其它交換機，VLAN的Trunking技術可以選擇ISL(InterSwitchLink)或802.1Q。
　　
　　由于中心路由交換機的每個端口都可以識別不同VLAN的802.1Q封包并可以針對不同的VLAN劃分不同的子端口(Subinterface)，對于每個子端口設置相應子網的IP地址，實現各子網(VLAN)之間的路由。如下圖所示：
　　

文章來源于領測軟件測試網 http://www.kjueaiud.com/