虛擬局域網(VLAN)不僅有利于網絡安全和防止網絡風暴�,而且可以提高網絡運行的效率�,解決許多其他問題。第三層交換機的普及為VLAN的應用創造了條件�。筆者在實現網絡升級改造的過程中,也采用VLAN技術解決了網絡擴容的問題。
一�、網絡環境
筆者單位在組建局域網時路由器使用的是Cisco系統公司Cisco 3662,中心交換機使用的是3Com公司的CoreBuilder 3500第三層高功能交換機�。單位原來聯入局域網計算機較少,最近由于機構和業務的擴展�,由原來只把一棟樓內的計算機聯網,擴大到兩棟樓�。原來網段的ip地址已經分配完畢,新增加的計算機必須另行分配到新的網段�,但是仍然要求新網段內的計算機能與原來網段的計算機能夠實現互相訪問�。
為了解決這個問題�,筆者想到了采用VLAN技術。VLAN是由位于不同物理局域網段的設備組成�。雖然VLAN所連接的設備來自不同的網段,但是相互之間可以進行直接通信�,似乎處于同一網段中一樣,由此得名虛擬局域網�。正好單位所使用的3Com CoreBuilder 3500第三層高功能交換機支持第三層的轉發功能,也就是說支持VALN(所使用的Cisco 3662路由器也支持VLAN技術�,但使用路由器實現VLAN會帶來時延問題)。因此筆者利用現有的條件實現網絡擴容�,實現過程如下。
二�、劃分子網
子網的劃分有多種實現方法,筆者使用的是基于端口劃分VLAN�,這是構成VLAN的最簡單的方式。在這種方式中�,將屬于不同交換機端口的物理網段分在一個VLAN中。一個VLAN對應的是交換機端口的一個真子集合�。通過網絡治理軟件,根據交換機端口的標識符(Port ID)將不同的端口分到相應的分組中�。分配到同一個VLAN的各網段上的所有站點都在同一個廣播域中,可以直接通信�;不同VLAN的站點間的通信則需要路由的支持。
原來計算機使用的IP地址為C類地址�,即11.28.177.*/24,將此網段命名為VLAN-1�;新網段也為C類地址:即11.28.179.*/24,網段命名為VLAN-2�。
3Com CoreBuilder 3500交換機加載了2個6口模塊,將第1個模塊的6個端口和第2個模塊的1�、2、3端口分劃給VLAN-1�,第2個模塊的第4、5�、6端口劃分給VLAN-2,詳見表1�。
VLAN的劃分 VLAN命名 C類地址 交換機上的端口 VLAN接口IP地址 VLAN-1 11.28.177.* 第1模塊1~6端口,第2模塊7~9端口 11.28.177.247 VLAN-2 11.28.179.* 第2模塊10~12端口 11.28.179.247 擴容后的網絡結構拓撲圖見附圖�。
三�、配置交換機
1. 配置方式的建立
3Com CoreBuilder 3500交換機提供了多種配置方式�,筆者使用該交換機前面板上提供的Terminal控制口進行配置交換機�,將Console線一端連到交換機Terminal控制口,另一端連到一臺計算機的串口�,啟動計算機進入Windows 9X或windows 2000/XP,啟動超級終端程序�。注重串口的屬性設置為:每秒位數9600,數據位為8�,奇偶檢驗為無,停止位為1�,數據流控制為無。
2.登錄并進入主菜單
打開交換機電源�,會顯示初始化信息,顯示完成后會顯示如下:
Select access level (read�,write�,administer):
可以有3種權限登錄,Read是只讀權限�,Write是可改寫權限,Administer是治理員權限�,在此輸入Administer,即使用治理員權限登錄�,并輸入口令�,進入主菜單�。
3. 換機分配IP地址
由主菜單進入management/ip/interface/define�,輸入分配給交換機的IP地址為11.28.177.249,掩碼為255.255.255.0�,類型為System。給交換機分配IP地址的目的是治理交換機更加輕易�,可以使用“telnet”命令登錄交換機并進行配置。
4. 定義2個VLAN
由主菜單進入bridge/vlan/�,可以使用“summary”命令查看所定義的VLAN,在CoreBuilder 3500系統中已經建立了一個名稱為default的VLAN�,它包括所有的端口�,但不包括第三層交換,所以不需要去考慮它�??梢允褂谩癲efine”命令定義新的VLAN。
先定義名字為VLAN-1的一個VLAN�,再使用同樣的方法增加VLAN-2,不過其所包括的端口分別為10�、11、12�,IP地址改為11.28.179.0,掩碼不變�,完成后,使用“summary”命令查看結果如下:
Index VID Type Origin Name Ports
1 1 system static default 1-12
2 2 open static vlan-1 1-9
3 3 open static vlan-2 10-12
5.定義VLAN的接口IP地址
假如要實現2個VLAN之間的通信�,必須為VLAN分配接口IP地址�,從主菜單進入ip/interface/define�,定義VLAN的接口IP地址,并且要注重分配的接口IP地址必須屬于相對應的VLAN的網段上�,否則定義失敗。例如�,下面是為VLAN-1定義接口IP地址�。
Select menu option (ip/interface): define
Enter IP address: 11.28.177.247
Enter subnet mask [255.0.0.0]: 255.255.255.0
Enter VLAN interface index {2-3?}: 2
采用同樣方法,定義VLAN-2的接口IP地址�。
使用summary命令查看結果:
Index Type IP address Subnet mask State VLAN index
1 VLAN 11.28.177.247 255.255.255.0 Up 2
2 VLAN 11.28.179.247 255.255.255.0 Up 3
只要有計算機聯到VLAN中的端口上�,其VLAN的狀態即為UP。
6.在2個VLAN之間增加路由
為了實現在2個不同的VLAN之間通信�,還必須在這2個VLAN之間增加路由,可從主菜單進入ip/routing�,使用“enable”命令激活路由功能。
7.為交換機增加默認網關
連入交換機的計算機假如想訪問除以上2個網段以外的其他網段的計算機和網絡設備時�,需要給交換機分配一個默認路由。在主菜單進入ip/route/�,輸入“default”命令定義缺省路由�,此地址是局域網內路由器的IP地址。
Select menu option (ip/route): default
Enter gateway IP address: 11.28.177.254
這樣11.28.177.0/24網段(即VLAN-1內)的計算機可以訪問其他網段的計算機和網絡設備了�,但是11.28.179.0/24網段(即VLAN-2內)的計算機還不能訪問其他網段的計算機和網絡設備�,還需要在路由器即11.28.177.254內加上一個路由�,即到11.28.179.0/24網段的路由�。例如,在Cisco 3662路由器使用下面的命令:
ip route 11.28.179.0 255.255.255.0 11.28.177.247
四�、設置VLAN中的計算機
位于VLAN中的計算機,除了設置本網段的IP地址外�,假如想訪問其他VLAN或其他網段的計算機和網絡設備,需要在計算機中設置默認網關�,其網關為本VLAN的接口地址。例如VLAN-1中的計算機�,其網關應設置為11.28.177.247,掩碼為255.255.255.0�,VLAN-2中的網關應設置為11.28.179.247,掩碼為255.255.255.0�。
五、幾點說明
1.注重交換機和路由器的IP地址與2個VLAN的接口地址的區別�,見表2,其掩碼均為255.255.255.0�。本文中交換機的IP地址和路由器的IP地址在VALN-1網內。交換機的默認網關應設置為路由器的IP地址�,路由器中增加到VLAN-2的路由就應是VLAN-1的接口IP地址�,位于VLAN-1中計算機的默認網關設置為VLAN-1的接口IP地址,位于VLAN-2中計算機的默認網關設置為VLAN-2的接口IP地址�。
VLAN相關的IP地址 交換機IP 11.28.177.249 VLAN-1的接口IP 11.28.177.247 VLAN-2的接口IP 11.28.179.247 路由器的IP 11.28.177.254 2.決定在VLAN-1和VLAN-2這2個VLAN中的計算機互相訪問的開關就是看“ip/routing”命令是否激活。
3.在VLAN-2中的計算機訪問其他網段的計算機和網絡設備時�,需要在路由器中增加一個靜態路由,否則VLAN-2只能訪問到VLAN-1中的計算機或網絡設備�。
編輯點評
計算機網絡是企業信息化的基礎。隨著企業的發展�,企業的網絡也需要進行升級改造,以適應新的需求�。在升級改造的過程中,應當注重盡量發揮原有設備的作用�,而不是把它們通通拋棄�,從而保護企業原有的投資,本文提供了一個很好的實例�。
