VLAN技术在县级供电公司网络中的应用 |
| 2013-04-17 17:49 作者:吉兰芳 来源:硅谷网-《硅谷》杂志 HV: 编辑: 【搜索试试】
|
|
据《硅谷》杂志2012年第23期刊文称,目前,VLAN技术已广泛用于各种企业网络中,尤其是逐渐成为应用焦点的以太网技术更值得深入分析。通过对VLAN定义及其优势的阐述,通过对VLAN技术标准的运用,对VLAN的划分形式、具体设计,以及配置管理进行分析,并在此基础上构建基于Cisco4507交换机的VLAN体系,实践证实其可较大提高网络的安全性和性能。
关键词:Cisco交换机;VLAN设计;安全配置方法
中图分类号:TM764文献标识码:A文章编号:1671—7597(2012)1210
随着电力企业信息化建设向着数据共享、业务融合的阶段深入,信息系统支撑企业各项业务的开展起着越来越重要的作用,县级供电公司处于信息系统末端应用环节,因此公司必须建议一个安全、可靠、高速的网络以满足应用系统稳定运行需求。VLAN是在以太网的广播问题和安全性基础上孕育而生的一种协议,其在以太网帧的基础上增加了VLAN头,并用VLANID将用户划分成较小的工作组,对不同工作组间的互相访问进行了一定限制,即每个工作组是一个虚拟局域网,进而实现了有效限制广播范围,实现网络动态管理的功能。1VLAN的定义及优势
VLAN即虚拟局域网,通过虚拟局域网,用户可在网络中快速地组建宽带网络,而无需进行相应的硬件和通信线路的调节和设置。如此,网络管理员即可越过考虑物理连接方式的步骤,而直接从逻辑上对网络资源和用户进行分配,其充分体现了现代网络技术的高速度、高灵活性,以及管理便捷和易扩展的特点,尤其可有效防止某网段PC短时间使用率过高导致的广播风暴,大大提高了网络性能。
2VLAN的划分形式
2.1通过端口划分VLAN
通过端口划分VLAN是很多VLAN厂商的主要划分形式,一般此种划分都通过交换机的端口来实现,起初设定的端口均在同个广播域中,这就将虚拟网捆绑在了一台交换机上,第二代端口VLAN技术则弥补了第一代的不足,可跨越多个交换机进行多个不同端口的VLAN划分,并将不同交换机的多个端口组成同一个虚拟网。当前,这种端口划分VLAN的形式应用最广。
2.2通过MAC地址划分VLAN
根据MAC地址即通过每个主机的MAC地址划分VLAN,其优点是当用户发生物理位移时,即从交换机A换到交换机B时,VLAN无需重新配置,简言之,这种形式的划分是从用户角度出发的VLAN。当然,这种方式亦存在一定的缺陷,即需要所有用户进行相应的配置,显然这操作起来十分麻烦,如用户更换网卡即要进行新的配置,此外其还会导致交换机执行效率下降,进而无法对广播包进行有效的控制。此外,还可通过网络层和IP组播划分VLAN,但两者的效率相对较低。
3VLAN的设计和管理
计算机在VLAN的配置中,会涉及到IP地址、子网掩码的分配问题,以及各VLAN间的相互通信问题,因此要想在使用过程中更加便捷、灵活、省力,保证管理和维护的效率,前期的网络规划和设计尤为重要。为达到此目的,可从网络设计和VLAN管理两个方面进行。
3.1网络设计
3.1.1网络子网分配
根据上级公司分配的网络子网段,对公司内部网络vlan定义如下,VLAN1用于服务器、交换机设备管理,VLAN2用于办公,VLAN3用于生产,……。
VLAN1地址段:172.28.224.0/24
VLAN2地址段:172.28.225.0/24
VLAN3地址段:172.28.226.0/24
……
3.1.2VLAN的网络设计及实现
公司采用三层核心交换机+二层接入交换机进行组网,三层交换机采用Cisco4507,二层交换机采用cisco3560。Cisco的VLAN实现通常是以端口为中心的。与节点相连的端口将确定它所驻留的VLAN。将端口分配给VLAN的方式有两种,分别是静态的和动态的.形成静态VLAN的过程是将端口强制性地分配给VLAN的过程。即我们先在VTP(VLANTrunkingProtocol)Server上建立VLAN,然后将每个端口分配给相应的VLAN的过程。这是我们创建VLAN最常用的方法。具体配置如下:
1)设置VTPDOMAIN(管理域)。
交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连,那么只要在核心交换机上设置一个管理域,网络上所有的交换机都加入该域,这样管理域里所有的交换机就能够了解彼此的VLAN列表。
Cisco4507:
VTPOperatingMode:Server
VTPDomainName:jhgdj1
Cisco3650:
VTPOperatingMode:Client
VTPDomainName:jhgdj1
2)创建VLAN,并配置三层交换Cisco4507。
核心交换机上分别设置VLAN的接口IP地址。
interfaceVlan1
ipaddress172.28.224.1255.255.255.0
interfaceVlan2
ipaddress172.28.225.1255.255.255.0
interfaceVlan3
ipaddress172.28.226.1255.255.255.0
……
3)配置VLAN封装方式为802.1q。802.1q是一个在交换机之间、交换机与路由器之间传递多个VLAN信息及VLAN数据流的协议模式,通过在交换机直接相连的端口配置封装,即可跨越交换机进行整个网络的VLAN分配和进行配置。
Cisco4507
interfaceGigabitEthernet5/1
descriptiontolink-to-device
switchporttrunkencapsulationdot1q
switchportmodetrunk
……
Cisco3560
interfaceGigabitEthernet0/1
descriptiontolink-to-cisco4507
switchporttrunkencapsulationdot1q
switchportmodetrunk
4)将交换机端口划入VLAN
interfaceFastEthernet0/1
switchportaccessvlan1
switchportmodeaccess
……
interfaceFastEthernet0/2
switchportaccessvlan2
switchportmodeaccess
……
在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址,并把默认网关设置为该VLAN的接口地址。
3.2VLAN管理
在VLAN的管理上,主要应从限制IP地址和设置子网访问权限两种方法进行,在IP地址限制上,可建立一张静态ARP表,已绑定IP地址和网卡MAC地址;在设置子网访问权限上,应对重要信息进行必要的保护,并对虚拟局域网间的访问进行必要的控制,如此即可有效提高网络的安全性。
4总结
虚拟局域网VLAN不但在网络安全和预防网络风暴上具有明显的成效,而且操作简单、管理便捷,是网络有效运行和提高运行效率的重要技术。 |
|
|
|
【对“VLAN技术在县级供电公司网络中的应用”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
