---- 虛擬局域網(VLAN)技術是保障大型網絡安全穩定運行的一項重要技術措施����,隨著眾多廠商積極參與和最終用戶的普遍認可�����,它在實際建網中得到了廣泛的運用����。VLAN技術之所以具有吸引力���,主要得益于它在3個方面增強了對網絡的管理功能�,即簡化因工作站及設備的變更所帶來的工作量�����、有效地控制網絡數據流量和提供工作組級及網絡級的安全保障�。
---- 因此����,及時有效地對網絡實施VLAN技術,不但可以充分滿足用戶對網絡靈活性和擴展性方面的要求���,而且對隔離網絡故障和高效率地分配網絡骨干帶寬也提供了一種切實有效的技術手段。
---- 從技術角度來講�����,VLAN既可以在交換式以太網中實現��,也可以在ATM骨干網中實現��,比較起來�����,在ATM環境中配置VLAN的技術難度卻要遠遠大于前者。這無疑對網絡專業技術人員提出了更高的要求,使得他們不但需要了解ATM局域網仿真(ATM LANE)的工作原理����,而且還要熟悉各種網絡設備��,如ATM交換機���、局域網交換機和路由器等相應的配置過程���。盡管如此���,ATM技術帶來了從25Mbps到155Mbps乃至622Mbps的網絡帶寬���,并可滿足桌面用戶對語音�����、數據和圖像的處理要求�,因此許多企業依然采用ATM網絡����。
---- 下面,結合建設武漢供電局ATM城域網的實踐經驗��,以基于ATM 的VLAN為重點�,著重探討其劃分及配置過程。
一�、VLAN劃分設計
---- 根據武漢供電局ATM城域網(一期)設計要求����,需要將第一批4個基層生產單位接入ATM骨干網����,它們分別是漢口線路分局、漢陽線路分局��、武昌線路分局�����、青山線路分局,加上局機關大樓,共有5處(后又增加漢口變電分局),分布于武漢三鎮�����。
---- 按照70%網絡流量在VLAN網絡內部流動�����、30%的流量在VLAN之間流動的原則�����,VLAN邏輯上可以按工作流程、職能部門或地理位置等依據來進行劃分。劃分技術可采取基于交換機端口����、基于網卡MAC物理地址以及基于第三層即網絡協議層來進行實施��,在這3種劃分技術中,尤以基于交換機端口的實現方式最為靈活���,維護起來比較方便快捷,因而在VLAN的設計中��,得到了普遍的應用��。
---- 雖然VLAN技術可以有效地控制網絡數據流量�,節省骨干網的網絡帶寬���,但是,這要以合理地對城域網實施VLAN劃分為前提條件����。而且���,提高VLAN運行效率的關鍵在于,盡可能地使一個VLAN內的網絡流量只在其內部消化完成,減少VLAN之間的訪問流量,這就要求設計人員要清楚網絡內各用戶群的工作方式、工作流程以及他們基于網絡方面的應用等等,只有這樣,才能設計出高效率的VLAN���。
---- 通過需求分析發現,基層單位的大部分生產管理應用系統都集中在當地局域網內部完成,只有少量的數據需要由異地匯集到局機關信息中心�,這就為有效地劃分VLAN提供了可靠的依據�。
---- 通過反復比較與取舍��,決定主要以地理位置作為劃分依據�����,局部按職能部門進行了劃分,具體實施見附表。
---- 附表 VLAN的劃分
地理位置 VLAN 編號 VLAN名稱 對應IP網段/掩碼位數 對應缺省網關
局機關大樓 1 Default 12.240.16.0/24 12.240.16.31
保留 2 VLAN0002 12.241.16.64/26 12.241.16.127
保留 3 VLAN0003 12.241.16.129/26 12.241.16.191
調通局專用網 4 VLAN0004
備用 5 VLAN0005 12.240.25.0/24 12.240.25.254
備用 6 VLAN0006
漢口線路分局 20 VLAN0020 12.240.17.0/24 12.240.17.254
漢陽線路分局 30 VLAN0030 12.240.18.0/24 12.240.18.254
武昌線路分局 40 VLAN0040 12.240.19.0/24 12.240.19.254
青山線路分局 50 VLAN0050 12.240.20.0/24 12.240.20.254
---- 由附表可以看出,每個VLAN都是和一段獨立的IP網段相對應的�,從而將IP的廣播組和VLAN的碰撞域一對一地結合起來�。這樣�,一方面有利于DHCP Server動態分配IP地址,另一方面也使得網絡結構清晰易懂�,便于網管人員的維護管理����。
二����、網絡環境
---- 武漢供電局城域網(一期)是以ATM為骨干、以局機關為中心,以漢口線路分局、漢陽線路分局����、武昌線路分局��、青山線路分局為4個骨干節點,通過OC3 155Mbps光纖主干將它們連接起來的覆蓋武漢三鎮的城域網,參見圖1�����。
---- 網絡設備全部采用Cisco系統公司的產品�。其中ATM核心交換機采用Lightstream 1010,ATM邊緣設備采用Catalyst局域網交換機系列產品,它們通過長距離單模光纖與Lightstream 1010相連,選用Cisco 7507高端路由器擔任網間路由。
---- 網絡操作系統選用Windows NT,網絡協議采用TCP/IP協議����。
三、ATM LANE配置
---- 要讓VLAN跨越ATM骨干網進行通訊�����,必須首先對ATM骨干網進行局域網仿真(LAN Emulation�,LANE)的配置工作。
---- 傳統的以太網工作機制與ATM網絡技術之間存在著諸多的差異��。要想以ATM作為城域網中的骨干網���,將分布在不同地區的局域網連接起來��,必須要有一個解決方案來實現兩者之間的互連�,于是ATM LANE技術就應運而生了��。通過LANE�����,可以讓ATM網絡模擬局域網的工作,使得多個局域網不做任何修改就可以連接到ATM網絡上來�����。ATM在其中擔負著橋接的功能����,這對于用戶來說,是完全透明的�、無縫的��,似乎就是在一個純以太網的環境中工作,如圖2所示��。
---- LANE的配置過程是比較復雜的����,LANE的正常工作必須啟動以下4個服務:
---- 1. LECS (LANE Configuration Server),一個LANE環境中必須要有一個LECS。
---- 2. BUS (Broadcast and Unknown Server),一個ELAN(仿真局域網) 要有一個BUS�。
---- 3. LES (LANE Server), 一個ELAN要有一個LES�。
---- 4. LEC (LANE Client), 一個ELAN可有多個LEC�����。
---- 構建一個LANE的工作環境��,需要在Cisco 7507路由器、LS1010 ATM交換機及裝備了ATM模塊的Catalyst 5000���、3200、2924�����、2828局域網交換機上做相應的配置工作��。
---- 1.配置Cisco 7507路由器上的ATM模塊這樣做的目的是使之充當整個LANE環境中的LECS�����,并作為每個ELAN。ELAN的數目要和VLAN的數目相同�。例如���,本網中就需建10個ELAN中的LES���、BUS和LEC���。配置命令如下:
?����。�����?���!
show lane default-atm-address
�����!獲取ATM LANE的ATM地址��;該地址將作為LECS的ATM地址,
被保存在Lightstream 1010 ATM交換機中。
config t
lane database database_name ;
給LANE指定一個數據庫
name elan_name server-atm-address atm-address [index number]
!重復該命令可以建立起多個ELAN環境,并將自己作為各ELAN的LES�。
!在本網中,設置過程為:
!name default server-atm-address
47.009181000000001011be3401.0050d1070081.01
���!......
�����!name vlan0050 server-atm-address
47.009181000000001011be3401.0050d1070081.32
interface atmslot/module/port ;進入ATM端口設置模式
atm pvc 1 0 5 qsaal ;設置PVC信令
atm pvc 2 0 16 ilmi ;設置PVC與本地管理模式通訊
lane config database database_name ;對LANE數據庫進行配置
interface atmslot/module/port.subinterface multipoint
;指定子端口并進入該子端口設置模式
ip address ip_address netmask ;為子端口指定IP地址
lane server-bus ethernet elan_name ;
為ELAN設置LES/BUS服務�,仿真以太網。
lane client ethernet elan_name ;將自己作為LEC加入到該ELAN
!在本網中,將Cisco 7507作為上述多個ELAN的BUS�����、LEC設置過程為:
���!inter atm4/0/0.1 multipoint
����!ip address 12.240.16.31
���!lane server-bus ethernet default
���!lane client ethernet default
����!exit
����!......
�����!inter atm4/0/0.50 multipoint
����!ip address 12.240.20.254
����!lane server-bus ethernet vlan0050
!lane client ethernet vlan0050
!exit
end
copy running-config startup-config
?。����?!
---- 需要注意的是,創建ELAN的個數要與前面規劃好的VLAN的個數要相同,使它們能保持一一對應的關系,最好將ELAN和VLAN的名稱也取為一樣����。在本網中����,ELAN/VLAN名均為default���、vlan0002……vlan0040�、vlan0050���,以方便管理���。
---- 2.配置Lightstream1010 ATM交換機
---- 配置命令如下
?���。?�!
atm lecs-address-default atm_address
���!該atm_address即為在Cisco 7507配置中�,
由show lane default-atm-address所獲取到的ATM
!地址�����。
?����。�����。?/P>
---- 由于LANE 1.0標準沒有考慮到因設備單點故障造成LANE無法正常工作的情況�����,針對這種情況�����,Cisco提出了簡單服務器冗余協議 (Simple Server Redundancy Protocol,SSRP)來消除這種潛在的故障隱患�,通過對LS1010 ATM交換機上的處理器(ATM Switch Processor�,ASP)進行配置可以完成LECS��、LES�����、BUS和LEC的備份工作��。
---- LS1010 ATM交換機的LANE備份的配置過程基本上和Cisco 7507路由器是一樣的,在此不再重復����。
---- 3.Catalyst 5000局域網交換機上的ATM模塊配置
---- 1)將Catalyst 5000上的ATM模塊配置為LEC工作模式���,具體過程如下�����。
!??�!
session 5 ;啟動Catalyst 5000插槽5中的ATM模塊
interface atm5 ;設置ATM主端口
atm pvc 1 0 5 qsaal
atm pvc 2 0 16 ilmi
lane config auto-config-atm-address
interface atmslot/module/port.subinterface multipoint
lane client [ethernet elan-name]]
!在本網中,將Catalyst 5000作為各個ELAN的LEC的設置過程為:
����!inter atm 5/0/0.1 multipoint ;
進入名為default的ELAN的子端口
�!lane client ethernet default ;聲明作為名為default的ELAN的LEC
�!exit
�����!......
���!inter atm 5/0/0.50 multipoint ;
進入名為vlan0050的ELAN的子端口
����!lane client ethernet vlan0050 ;
聲明作為名為vlan0050的ELAN的LEC
����!exit
end
copy running-config startup-config
!!!
---- 2)在裝配有ATM模塊的2924�、2828 LAN交換機上做各ELAN的LEC配置工作���,該過程和Catalyst 5000上的配置過程完全一致���,不再重復�����。Catalyst 3200的ATM配置方式是基于菜單選擇模式,非常直觀易懂���。
---- 至此,所有的ATM LANE配置過程就全部完成了。
---- 在配置ATM LANE中����,需要注意以下兩點��。
---- 1.子端口(Subinterface)概念
---- 一般情況下,裝備在網絡設備上的ATM模塊只提供一個ATM端口,而一個ATM端口只能對應一個ELAN環境�����,為了將一個ATM設備加入到多個ELAN環境中(否則ELAN之間無法通訊)�����,于是引進了子端口這樣一個邏輯概念。借助它���,可將一個ATM物理端口虛擬地細分為多個ATM 邏輯端口�,每個邏輯端口對應一個ELAN環境,從而實現了將一個ATM設備加入到多個ELAN環境的要求�����。
---- 2.VLAN與ELAN的比較
---- 在ATM LANE環境中����,ELAN與VLAN是一一對應的��,有多少個VLAN就要有多少個ELAN與之對應��,兩者通過位于第二層的LANE仿真接口����,透明地建立起映射關系。
---- ELAN只存在于ATM網絡環境中��,以ATM交換機為中心��,以裝備了ATM模塊的LAN 交換機為邊界�,而VLAN不僅包含了與之對應的ELAN�,還包括了屬于該VLAN的以太網端口、工作站和服務器等����。即ELAN是VLAN的子集,VLAN是ELAN的超集�����。
---- ELAN和VLAN一樣����,也是一種廣播域,一個ELAN中的廣播不會擴散到其他ELAN中�,ELAN之間的通訊要借助于同時屬于它們的LEC的路由器來實現。
四���、VLAN的設置及劃分
---- 1. VLAN的設置可在Catalyst 5000上進行����,具體過程如下���。
?�。�?�!
set vtp domain domain_name mode server ;
定義VLAN工作域及工作模式
set vlan vlan_number name vlan_name ;
定義VLAN編號及VLAN名稱
����!在本網中,設置過程為:
��!set vlan 1 name default ;定義局機關大樓VLAN
���!......
�!set vlan 50 name vlan0050 ;定義青山分局VLAN
---- 2. 在Catalyst 5000上將各以太網端口劃分至各VLAN的過程如下。
?��。?!
set vlan vlan_number module/port|port_rage
�����!將Catalyst 5000上的以太網端口劃分至各VLAN中
���!在本網中,設置過程為:
��!set vlan 2 4/1~24
