---- 虛擬局域網(wǎng)（VLAN）技術(shù)是保障大型網(wǎng)絡(luò)安全穩(wěn)定運行的一項重要技術(shù)措施，隨著眾多廠商積極參與和最終用戶的普遍認(rèn)可，它在實際建網(wǎng)中得到了廣泛的運用。VLAN技術(shù)之所以具有吸引力，主要得益于它在3個方面增強了對網(wǎng)絡(luò)的管理功能，即簡化因工作站及設(shè)備的變更所帶來的工作量、有效地控制網(wǎng)絡(luò)數(shù)據(jù)流量和提供工作組級及網(wǎng)絡(luò)級的安全保障。 

---- 因此，及時有效地對網(wǎng)絡(luò)實施VLAN技術(shù)，不但可以充分滿足用戶對網(wǎng)絡(luò)靈活性和擴展性方面的要求，而且對隔離網(wǎng)絡(luò)故障和高效率地分配網(wǎng)絡(luò)骨干帶寬也提供了一種切實有效的技術(shù)手段。 

---- 從技術(shù)角度來講，VLAN既可以在交換式以太網(wǎng)中實現(xiàn)，也可以在ATM骨干網(wǎng)中實現(xiàn)，比較起來，在ATM環(huán)境中配置VLAN的技術(shù)難度卻要遠(yuǎn)遠(yuǎn)大于前者。這無疑對網(wǎng)絡(luò)專業(yè)技術(shù)人員提出了更高的要求，使得他們不但需要了解ATM局域網(wǎng)仿真（ATM LANE）的工作原理，而且還要熟悉各種網(wǎng)絡(luò)設(shè)備，如ATM交換機、局域網(wǎng)交換機和路由器等相應(yīng)的配置過程。盡管如此，ATM技術(shù)帶來了從25Mbps到155Mbps乃至622Mbps的網(wǎng)絡(luò)帶寬，并可滿足桌面用戶對語音、數(shù)據(jù)和圖像的處理要求，因此許多企業(yè)依然采用ATM網(wǎng)絡(luò)。 

---- 下面，結(jié)合建設(shè)武漢供電局ATM城域網(wǎng)的實踐經(jīng)驗，以基于ATM 的VLAN為重點，著重探討其劃分及配置過程。 

一、VLAN劃分設(shè)計 

---- 根據(jù)武漢供電局ATM城域網(wǎng)（一期）設(shè)計要求，需要將第一批4個基層生產(chǎn)單位接入ATM骨干網(wǎng)，它們分別是漢口線路分局、漢陽線路分局、武昌線路分局、青山線路分局，加上局機關(guān)大樓，共有5處（后又增加漢口變電分局），分布于武漢三鎮(zhèn)。 

---- 按照70%網(wǎng)絡(luò)流量在VLAN網(wǎng)絡(luò)內(nèi)部流動、30%的流量在VLAN之間流動的原則，VLAN邏輯上可以按工作流程、職能部門或地理位置等依據(jù)來進行劃分。劃分技術(shù)可采取基于交換機端口、基于網(wǎng)卡MAC物理地址以及基于第三層即網(wǎng)絡(luò)協(xié)議層來進行實施，在這3種劃分技術(shù)中，尤以基于交換機端口的實現(xiàn)方式最為靈活，維護起來比較方便快捷，因而在VLAN的設(shè)計中，得到了普遍的應(yīng)用。 

---- 雖然VLAN技術(shù)可以有效地控制網(wǎng)絡(luò)數(shù)據(jù)流量，節(jié)省骨干網(wǎng)的網(wǎng)絡(luò)帶寬，但是，這要以合理地對城域網(wǎng)實施VLAN劃分為前提條件。而且，提高VLAN運行效率的關(guān)鍵在于，盡可能地使一個VLAN內(nèi)的網(wǎng)絡(luò)流量只在其內(nèi)部消化完成，減少VLAN之間的訪問流量，這就要求設(shè)計人員要清楚網(wǎng)絡(luò)內(nèi)各用戶群的工作方式、工作流程以及他們基于網(wǎng)絡(luò)方面的應(yīng)用等等，只有這樣，才能設(shè)計出高效率的VLAN。 

---- 通過需求分析發(fā)現(xiàn)，基層單位的大部分生產(chǎn)管理應(yīng)用系統(tǒng)都集中在當(dāng)?shù)鼐钟蚓W(wǎng)內(nèi)部完成，只有少量的數(shù)據(jù)需要由異地匯集到局機關(guān)信息中心，這就為有效地劃分VLAN提供了可靠的依據(jù)。 

---- 通過反復(fù)比較與取舍，決定主要以地理位置作為劃分依據(jù)，局部按職能部門進行了劃分，具體實施見附表。 

---- 附表 VLAN的劃分 

地理位置  VLAN 編號  VLAN名稱  對應(yīng)IP網(wǎng)段/掩碼位數(shù)  對應(yīng)缺省網(wǎng)關(guān)  
局機關(guān)大樓  1  Default  12.240.16.0/24  12.240.16.31  
保留  2  VLAN0002  12.241.16.64/26  12.241.16.127  
保留  3  VLAN0003  12.241.16.129/26  12.241.16.191  
調(diào)通局專用網(wǎng)  4  VLAN0004        
備用  5  VLAN0005  12.240.25.0/24  12.240.25.254  
備用  6  VLAN0006        
漢口線路分局  20  VLAN0020  12.240.17.0/24  12.240.17.254  
漢陽線路分局  30  VLAN0030  12.240.18.0/24  12.240.18.254  
武昌線路分局  40  VLAN0040  12.240.19.0/24  12.240.19.254  
青山線路分局  50  VLAN0050  12.240.20.0/24  12.240.20.254  

---- 由附表可以看出，每個VLAN都是和一段獨立的IP網(wǎng)段相對應(yīng)的，從而將IP的廣播組和VLAN的碰撞域一對一地結(jié)合起來。這樣，一方面有利于DHCP Server動態(tài)分配IP地址，另一方面也使得網(wǎng)絡(luò)結(jié)構(gòu)清晰易懂，便于網(wǎng)管人員的維護管理。 

二、網(wǎng)絡(luò)環(huán)境 

---- 武漢供電局城域網(wǎng)（一期）是以ATM為骨干、以局機關(guān)為中心，以漢口線路分局、漢陽線路分局、武昌線路分局、青山線路分局為4個骨干節(jié)點，通過OC3 155Mbps光纖主干將它們連接起來的覆蓋武漢三鎮(zhèn)的城域網(wǎng)，參見圖1。 

---- 網(wǎng)絡(luò)設(shè)備全部采用Cisco系統(tǒng)公司的產(chǎn)品。其中ATM核心交換機采用Lightstream 1010，ATM邊緣設(shè)備采用Catalyst局域網(wǎng)交換機系列產(chǎn)品，它們通過長距離單模光纖與Lightstream 1010相連，選用Cisco 7507高端路由器擔(dān)任網(wǎng)間路由。 

---- 網(wǎng)絡(luò)操作系統(tǒng)選用Windows NT,網(wǎng)絡(luò)協(xié)議采用TCP/IP協(xié)議。 

三、ATM LANE配置 

---- 要讓VLAN跨越ATM骨干網(wǎng)進行通訊，必須首先對ATM骨干網(wǎng)進行局域網(wǎng)仿真（LAN Emulation，LANE）的配置工作。 

---- 傳統(tǒng)的以太網(wǎng)工作機制與ATM網(wǎng)絡(luò)技術(shù)之間存在著諸多的差異。要想以ATM作為城域網(wǎng)中的骨干網(wǎng)，將分布在不同地區(qū)的局域網(wǎng)連接起來，必須要有一個解決方案來實現(xiàn)兩者之間的互連，于是ATM LANE技術(shù)就應(yīng)運而生了。通過LANE，可以讓ATM網(wǎng)絡(luò)模擬局域網(wǎng)的工作，使得多個局域網(wǎng)不做任何修改就可以連接到ATM網(wǎng)絡(luò)上來。ATM在其中擔(dān)負(fù)著橋接的功能，這對于用戶來說，是完全透明的、無縫的，似乎就是在一個純以太網(wǎng)的環(huán)境中工作，如圖2所示。 

---- LANE的配置過程是比較復(fù)雜的，LANE的正常工作必須啟動以下4個服務(wù)： 

---- 1. LECS (LANE Configuration Server),一個LANE環(huán)境中必須要有一個LECS。 

---- 2. BUS (Broadcast and Unknown Server),一個ELAN(仿真局域網(wǎng)) 要有一個BUS。 

---- 3. LES (LANE Server), 一個ELAN要有一個LES。 

---- 4. LEC (LANE Client), 一個ELAN可有多個LEC。 

---- 構(gòu)建一個LANE的工作環(huán)境，需要在Cisco 7507路由器、LS1010 ATM交換機及裝備了ATM模塊的Catalyst 5000、3200、2924、2828局域網(wǎng)交換機上做相應(yīng)的配置工作。 

---- 1.配置Cisco 7507路由器上的ATM模塊這樣做的目的是使之充當(dāng)整個LANE環(huán)境中的LECS，并作為每個ELAN。ELAN的數(shù)目要和VLAN的數(shù)目相同。例如，本網(wǎng)中就需建10個ELAN中的LES、BUS和LEC。配置命令如下： 

?。。?br />show lane default-atm-address 
！獲取ATM LANE的ATM地址；該地址將作為LECS的ATM地址，
被保存在Lightstream 1010 ATM交換機中。
config t
lane database database_name                 ;
給LANE指定一個數(shù)據(jù)庫
name elan_name server-atm-address atm-address [index number]
！重復(fù)該命令可以建立起多個ELAN環(huán)境，并將自己作為各ELAN的LES。
！在本網(wǎng)中,設(shè)置過程為：
！name default server-atm-address 
47.009181000000001011be3401.0050d1070081.01
！......
！name vlan0050 server-atm-address 
47.009181000000001011be3401.0050d1070081.32
interface atmslot/module/port       ;進入ATM端口設(shè)置模式
atm pvc 1 0 5 qsaal                ;設(shè)置PVC信令
atm pvc 2 0 16 ilmi                 ;設(shè)置PVC與本地管理模式通訊
lane config database database_name  ;對LANE數(shù)據(jù)庫進行配置
interface atmslot/module/port.subinterface multipoint 
;指定子端口并進入該子端口設(shè)置模式
ip address ip_address netmask       ;為子端口指定IP地址
lane server-bus ethernet elan_name  ;
為ELAN設(shè)置LES/BUS服務(wù)，仿真以太網(wǎng)。
lane client ethernet elan_name      ;將自己作為LEC加入到該ELAN
！在本網(wǎng)中,將Cisco 7507作為上述多個ELAN的BUS、LEC設(shè)置過程為：
！inter atm4/0/0.1 multipoint
！ip address 12.240.16.31
！lane server-bus ethernet default
！lane client ethernet default
！exit
！......
！inter atm4/0/0.50 multipoint
！ip address 12.240.20.254
！lane server-bus ethernet vlan0050
！lane client ethernet vlan0050
！exit
end
copy running-config startup-config
！??！

---- 需要注意的是，創(chuàng)建ELAN的個數(shù)要與前面規(guī)劃好的VLAN的個數(shù)要相同，使它們能保持一一對應(yīng)的關(guān)系，最好將ELAN和VLAN的名稱也取為一樣。在本網(wǎng)中，ELAN/VLAN名均為default、vlan0002……vlan0040、vlan0050，以方便管理。 
---- 2.配置Lightstream1010 ATM交換機 

---- 配置命令如下 

?。?！
atm lecs-address-default atm_address
！該atm_address即為在Cisco 7507配置中，
由show lane default-atm-address所獲取到的ATM
！地址。
?。。?/P>

---- 由于LANE 1.0標(biāo)準(zhǔn)沒有考慮到因設(shè)備單點故障造成LANE無法正常工作的情況，針對這種情況，Cisco提出了簡單服務(wù)器冗余協(xié)議 (Simple Server Redundancy Protocol，SSRP)來消除這種潛在的故障隱患，通過對LS1010 ATM交換機上的處理器（ATM Switch Processor，ASP）進行配置可以完成LECS、LES、BUS和LEC的備份工作。 
---- LS1010 ATM交換機的LANE備份的配置過程基本上和Cisco 7507路由器是一樣的，在此不再重復(fù)。 

---- 3.Catalyst 5000局域網(wǎng)交換機上的ATM模塊配置 

---- 1）將Catalyst 5000上的ATM模塊配置為LEC工作模式，具體過程如下。 

?。?！
session 5   ;啟動Catalyst 5000插槽5中的ATM模塊
interface atm5    ;設(shè)置ATM主端口
atm pvc 1 0 5 qsaal
atm pvc 2 0 16 ilmi
lane config auto-config-atm-address
interface atmslot/module/port.subinterface multipoint
lane client [ethernet elan-name]] 
！在本網(wǎng)中,將Catalyst 5000作為各個ELAN的LEC的設(shè)置過程為：
！inter atm 5/0/0.1 multipoint           ;
進入名為default的ELAN的子端口
！lane client ethernet default   ;聲明作為名為default的ELAN的LEC
！exit
！......
！inter atm 5/0/0.50 multipoint          ;
進入名為vlan0050的ELAN的子端口
！lane client ethernet vlan0050    ;
聲明作為名為vlan0050的ELAN的LEC
！exit
end
copy running-config startup-config
！??！

---- 2）在裝配有ATM模塊的2924、2828 LAN交換機上做各ELAN的LEC配置工作，該過程和Catalyst 5000上的配置過程完全一致，不再重復(fù)。Catalyst 3200的ATM配置方式是基于菜單選擇模式，非常直觀易懂。 
---- 至此，所有的ATM LANE配置過程就全部完成了。 

---- 在配置ATM LANE中，需要注意以下兩點。 

---- 1.子端口（Subinterface）概念 

---- 一般情況下，裝備在網(wǎng)絡(luò)設(shè)備上的ATM模塊只提供一個ATM端口，而一個ATM端口只能對應(yīng)一個ELAN環(huán)境，為了將一個ATM設(shè)備加入到多個ELAN環(huán)境中（否則ELAN之間無法通訊），于是引進了子端口這樣一個邏輯概念。借助它，可將一個ATM物理端口虛擬地細(xì)分為多個ATM 邏輯端口，每個邏輯端口對應(yīng)一個ELAN環(huán)境，從而實現(xiàn)了將一個ATM設(shè)備加入到多個ELAN環(huán)境的要求。 

---- 2.VLAN與ELAN的比較 

---- 在ATM LANE環(huán)境中，ELAN與VLAN是一一對應(yīng)的，有多少個VLAN就要有多少個ELAN與之對應(yīng)，兩者通過位于第二層的LANE仿真接口，透明地建立起映射關(guān)系。 

---- ELAN只存在于ATM網(wǎng)絡(luò)環(huán)境中，以ATM交換機為中心，以裝備了ATM模塊的LAN 交換機為邊界，而VLAN不僅包含了與之對應(yīng)的ELAN，還包括了屬于該VLAN的以太網(wǎng)端口、工作站和服務(wù)器等。即ELAN是VLAN的子集，VLAN是ELAN的超集。 

---- ELAN和VLAN一樣，也是一種廣播域，一個ELAN中的廣播不會擴散到其他ELAN中，ELAN之間的通訊要借助于同時屬于它們的LEC的路由器來實現(xiàn)。 

四、VLAN的設(shè)置及劃分 

---- 1. VLAN的設(shè)置可在Catalyst 5000上進行，具體過程如下。 

?。?！
set vtp domain domain_name mode server   ;
定義VLAN工作域及工作模式
set vlan vlan_number name vlan_name      ;
定義VLAN編號及VLAN名稱
！在本網(wǎng)中,設(shè)置過程為：
！set vlan 1 name default    ;定義局機關(guān)大樓VLAN
！......
！set vlan 50 name vlan0050   ;定義青山分局VLAN

---- 2. 在Catalyst 5000上將各以太網(wǎng)端口劃分至各VLAN的過程如下。 
！??！
set vlan vlan_number module/port|port_rage
！將Catalyst 5000上的以太網(wǎng)端口劃分至各VLAN中
！在本網(wǎng)中,設(shè)置過程為：
！set vlan 2 4/1～24   

最新評論