---- 虛擬局域網(wǎng)（VLAN）技術(shù)是保障大型網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行的一項(xiàng)重要技術(shù)措施，隨著眾多廠商積極參與和最終用戶的普遍認(rèn)可，它在實(shí)際建網(wǎng)中得到了廣泛的運(yùn)用。VLAN技術(shù)之所以具有吸引力，主要得益于它在3個(gè)方面增強(qiáng)了對(duì)網(wǎng)絡(luò)的管理功能，即簡(jiǎn)化因工作站及設(shè)備的變更所帶來(lái)的工作量、有效地控制網(wǎng)絡(luò)數(shù)據(jù)流量和提供工作組級(jí)及網(wǎng)絡(luò)級(jí)的安全保障。 

---- 因此，及時(shí)有效地對(duì)網(wǎng)絡(luò)實(shí)施VLAN技術(shù)，不但可以充分滿足用戶對(duì)網(wǎng)絡(luò)靈活性和擴(kuò)展性方面的要求，而且對(duì)隔離網(wǎng)絡(luò)故障和高效率地分配網(wǎng)絡(luò)骨干帶寬也提供了一種切實(shí)有效的技術(shù)手段。 

---- 從技術(shù)角度來(lái)講，VLAN既可以在交換式以太網(wǎng)中實(shí)現(xiàn)，也可以在ATM骨干網(wǎng)中實(shí)現(xiàn)，比較起來(lái)，在ATM環(huán)境中配置VLAN的技術(shù)難度卻要遠(yuǎn)遠(yuǎn)大于前者。這無(wú)疑對(duì)網(wǎng)絡(luò)專業(yè)技術(shù)人員提出了更高的要求，使得他們不但需要了解ATM局域網(wǎng)仿真（ATM LANE）的工作原理，而且還要熟悉各種網(wǎng)絡(luò)設(shè)備，如ATM交換機(jī)、局域網(wǎng)交換機(jī)和路由器等相應(yīng)的配置過(guò)程。盡管如此，ATM技術(shù)帶來(lái)了從25Mbps到155Mbps乃至622Mbps的網(wǎng)絡(luò)帶寬，并可滿足桌面用戶對(duì)語(yǔ)音、數(shù)據(jù)和圖像的處理要求，因此許多企業(yè)依然采用ATM網(wǎng)絡(luò)。 

---- 下面，結(jié)合建設(shè)武漢供電局ATM城域網(wǎng)的實(shí)踐經(jīng)驗(yàn)，以基于ATM 的VLAN為重點(diǎn)，著重探討其劃分及配置過(guò)程。 

一、VLAN劃分設(shè)計(jì) 

---- 根據(jù)武漢供電局ATM城域網(wǎng)（一期）設(shè)計(jì)要求，需要將第一批4個(gè)基層生產(chǎn)單位接入ATM骨干網(wǎng)，它們分別是漢口線路分局、漢陽(yáng)線路分局、武昌線路分局、青山線路分局，加上局機(jī)關(guān)大樓，共有5處（后又增加漢口變電分局），分布于武漢三鎮(zhèn)。 

---- 按照70%網(wǎng)絡(luò)流量在VLAN網(wǎng)絡(luò)內(nèi)部流動(dòng)、30%的流量在VLAN之間流動(dòng)的原則，VLAN邏輯上可以按工作流程、職能部門或地理位置等依據(jù)來(lái)進(jìn)行劃分。劃分技術(shù)可采取基于交換機(jī)端口、基于網(wǎng)卡MAC物理地址以及基于第三層即網(wǎng)絡(luò)協(xié)議層來(lái)進(jìn)行實(shí)施，在這3種劃分技術(shù)中，尤以基于交換機(jī)端口的實(shí)現(xiàn)方式最為靈活，維護(hù)起來(lái)比較方便快捷，因而在VLAN的設(shè)計(jì)中，得到了普遍的應(yīng)用。 

---- 雖然VLAN技術(shù)可以有效地控制網(wǎng)絡(luò)數(shù)據(jù)流量，節(jié)省骨干網(wǎng)的網(wǎng)絡(luò)帶寬，但是，這要以合理地對(duì)城域網(wǎng)實(shí)施VLAN劃分為前提條件。而且，提高VLAN運(yùn)行效率的關(guān)鍵在于，盡可能地使一個(gè)VLAN內(nèi)的網(wǎng)絡(luò)流量只在其內(nèi)部消化完成，減少VLAN之間的訪問(wèn)流量，這就要求設(shè)計(jì)人員要清楚網(wǎng)絡(luò)內(nèi)各用戶群的工作方式、工作流程以及他們基于網(wǎng)絡(luò)方面的應(yīng)用等等，只有這樣，才能設(shè)計(jì)出高效率的VLAN。 

---- 通過(guò)需求分析發(fā)現(xiàn)，基層單位的大部分生產(chǎn)管理應(yīng)用系統(tǒng)都集中在當(dāng)?shù)鼐钟蚓W(wǎng)內(nèi)部完成，只有少量的數(shù)據(jù)需要由異地匯集到局機(jī)關(guān)信息中心，這就為有效地劃分VLAN提供了可靠的依據(jù)。 

---- 通過(guò)反復(fù)比較與取舍，決定主要以地理位置作為劃分依據(jù)，局部按職能部門進(jìn)行了劃分，具體實(shí)施見附表。 

---- 附表 VLAN的劃分 

地理位置  VLAN 編號(hào)  VLAN名稱  對(duì)應(yīng)IP網(wǎng)段/掩碼位數(shù)  對(duì)應(yīng)缺省網(wǎng)關(guān)  
局機(jī)關(guān)大樓  1  Default  12.240.16.0/24  12.240.16.31  
保留  2  VLAN0002  12.241.16.64/26  12.241.16.127  
保留  3  VLAN0003  12.241.16.129/26  12.241.16.191  
調(diào)通局專用網(wǎng)  4  VLAN0004        
備用  5  VLAN0005  12.240.25.0/24  12.240.25.254  
備用  6  VLAN0006        
漢口線路分局  20  VLAN0020  12.240.17.0/24  12.240.17.254  
漢陽(yáng)線路分局  30  VLAN0030  12.240.18.0/24  12.240.18.254  
武昌線路分局  40  VLAN0040  12.240.19.0/24  12.240.19.254  
青山線路分局  50  VLAN0050  12.240.20.0/24  12.240.20.254  

---- 由附表可以看出，每個(gè)VLAN都是和一段獨(dú)立的IP網(wǎng)段相對(duì)應(yīng)的，從而將IP的廣播組和VLAN的碰撞域一對(duì)一地結(jié)合起來(lái)。這樣，一方面有利于DHCP Server動(dòng)態(tài)分配IP地址，另一方面也使得網(wǎng)絡(luò)結(jié)構(gòu)清晰易懂，便于網(wǎng)管人員的維護(hù)管理。 

二、網(wǎng)絡(luò)環(huán)境 

---- 武漢供電局城域網(wǎng)（一期）是以ATM為骨干、以局機(jī)關(guān)為中心，以漢口線路分局、漢陽(yáng)線路分局、武昌線路分局、青山線路分局為4個(gè)骨干節(jié)點(diǎn)，通過(guò)OC3 155Mbps光纖主干將它們連接起來(lái)的覆蓋武漢三鎮(zhèn)的城域網(wǎng)，參見圖1。 

---- 網(wǎng)絡(luò)設(shè)備全部采用Cisco系統(tǒng)公司的產(chǎn)品。其中ATM核心交換機(jī)采用Lightstream 1010，ATM邊緣設(shè)備采用Catalyst局域網(wǎng)交換機(jī)系列產(chǎn)品，它們通過(guò)長(zhǎng)距離單模光纖與Lightstream 1010相連，選用Cisco 7507高端路由器擔(dān)任網(wǎng)間路由。 

---- 網(wǎng)絡(luò)操作系統(tǒng)選用Windows NT,網(wǎng)絡(luò)協(xié)議采用TCP/IP協(xié)議。 

三、ATM LANE配置 

---- 要讓VLAN跨越ATM骨干網(wǎng)進(jìn)行通訊，必須首先對(duì)ATM骨干網(wǎng)進(jìn)行局域網(wǎng)仿真（LAN Emulation，LANE）的配置工作。 

---- 傳統(tǒng)的以太網(wǎng)工作機(jī)制與ATM網(wǎng)絡(luò)技術(shù)之間存在著諸多的差異。要想以ATM作為城域網(wǎng)中的骨干網(wǎng)，將分布在不同地區(qū)的局域網(wǎng)連接起來(lái)，必須要有一個(gè)解決方案來(lái)實(shí)現(xiàn)兩者之間的互連，于是ATM LANE技術(shù)就應(yīng)運(yùn)而生了。通過(guò)LANE，可以讓ATM網(wǎng)絡(luò)模擬局域網(wǎng)的工作，使得多個(gè)局域網(wǎng)不做任何修改就可以連接到ATM網(wǎng)絡(luò)上來(lái)。ATM在其中擔(dān)負(fù)著橋接的功能，這對(duì)于用戶來(lái)說(shuō)，是完全透明的、無(wú)縫的，似乎就是在一個(gè)純以太網(wǎng)的環(huán)境中工作，如圖2所示。 

---- LANE的配置過(guò)程是比較復(fù)雜的，LANE的正常工作必須啟動(dòng)以下4個(gè)服務(wù)： 

---- 1. LECS (LANE Configuration Server),一個(gè)LANE環(huán)境中必須要有一個(gè)LECS。 

---- 2. BUS (Broadcast and Unknown Server),一個(gè)ELAN(仿真局域網(wǎng)) 要有一個(gè)BUS。 

---- 3. LES (LANE Server), 一個(gè)ELAN要有一個(gè)LES。 

---- 4. LEC (LANE Client), 一個(gè)ELAN可有多個(gè)LEC。 

---- 構(gòu)建一個(gè)LANE的工作環(huán)境，需要在Cisco 7507路由器、LS1010 ATM交換機(jī)及裝備了ATM模塊的Catalyst 5000、3200、2924、2828局域網(wǎng)交換機(jī)上做相應(yīng)的配置工作。 

---- 1.配置Cisco 7507路由器上的ATM模塊這樣做的目的是使之充當(dāng)整個(gè)LANE環(huán)境中的LECS，并作為每個(gè)ELAN。ELAN的數(shù)目要和VLAN的數(shù)目相同。例如，本網(wǎng)中就需建10個(gè)ELAN中的LES、BUS和LEC。配置命令如下： 

?。?！
show lane default-atm-address 
！獲取ATM LANE的ATM地址；該地址將作為L(zhǎng)ECS的ATM地址，
被保存在Lightstream 1010 ATM交換機(jī)中。
config t
lane database database_name                 ;
給LANE指定一個(gè)數(shù)據(jù)庫(kù)
name elan_name server-atm-address atm-address [index number]
！重復(fù)該命令可以建立起多個(gè)ELAN環(huán)境，并將自己作為各ELAN的LES。
！在本網(wǎng)中,設(shè)置過(guò)程為：
！name default server-atm-address 
47.009181000000001011be3401.0050d1070081.01
！......
！name vlan0050 server-atm-address 
47.009181000000001011be3401.0050d1070081.32
interface atmslot/module/port       ;進(jìn)入ATM端口設(shè)置模式
atm pvc 1 0 5 qsaal                ;設(shè)置PVC信令
atm pvc 2 0 16 ilmi                 ;設(shè)置PVC與本地管理模式通訊
lane config database database_name  ;對(duì)LANE數(shù)據(jù)庫(kù)進(jìn)行配置
interface atmslot/module/port.subinterface multipoint 
;指定子端口并進(jìn)入該子端口設(shè)置模式
ip address ip_address netmask       ;為子端口指定IP地址
lane server-bus ethernet elan_name  ;
為ELAN設(shè)置LES/BUS服務(wù)，仿真以太網(wǎng)。
lane client ethernet elan_name      ;將自己作為L(zhǎng)EC加入到該ELAN
！在本網(wǎng)中,將Cisco 7507作為上述多個(gè)ELAN的BUS、LEC設(shè)置過(guò)程為：
！inter atm4/0/0.1 multipoint
！ip address 12.240.16.31
！lane server-bus ethernet default
！lane client ethernet default
！exit
！......
！inter atm4/0/0.50 multipoint
！ip address 12.240.20.254
！lane server-bus ethernet vlan0050
！lane client ethernet vlan0050
！exit
end
copy running-config startup-config
?。?！

---- 需要注意的是，創(chuàng)建ELAN的個(gè)數(shù)要與前面規(guī)劃好的VLAN的個(gè)數(shù)要相同，使它們能保持一一對(duì)應(yīng)的關(guān)系，最好將ELAN和VLAN的名稱也取為一樣。在本網(wǎng)中，ELAN/VLAN名均為default、vlan0002……vlan0040、vlan0050，以方便管理。 
---- 2.配置Lightstream1010 ATM交換機(jī) 

---- 配置命令如下 

！??！
atm lecs-address-default atm_address
！該atm_address即為在Cisco 7507配置中，
由show lane default-atm-address所獲取到的ATM
！地址。
?。?！

---- 由于LANE 1.0標(biāo)準(zhǔn)沒有考慮到因設(shè)備單點(diǎn)故障造成LANE無(wú)法正常工作的情況，針對(duì)這種情況，Cisco提出了簡(jiǎn)單服務(wù)器冗余協(xié)議 (Simple Server Redundancy Protocol，SSRP)來(lái)消除這種潛在的故障隱患，通過(guò)對(duì)LS1010 ATM交換機(jī)上的處理器（ATM Switch Processor，ASP）進(jìn)行配置可以完成LECS、LES、BUS和LEC的備份工作。 
---- LS1010 ATM交換機(jī)的LANE備份的配置過(guò)程基本上和Cisco 7507路由器是一樣的，在此不再重復(fù)。 

---- 3.Catalyst 5000局域網(wǎng)交換機(jī)上的ATM模塊配置 

---- 1）將Catalyst 5000上的ATM模塊配置為L(zhǎng)EC工作模式，具體過(guò)程如下。 

！??！
session 5   ;啟動(dòng)Catalyst 5000插槽5中的ATM模塊
interface atm5    ;設(shè)置ATM主端口
atm pvc 1 0 5 qsaal
atm pvc 2 0 16 ilmi
lane config auto-config-atm-address
interface atmslot/module/port.subinterface multipoint
lane client [ethernet elan-name]] 
！在本網(wǎng)中,將Catalyst 5000作為各個(gè)ELAN的LEC的設(shè)置過(guò)程為：
！inter atm 5/0/0.1 multipoint           ;
進(jìn)入名為default的ELAN的子端口
！lane client ethernet default   ;聲明作為名為default的ELAN的LEC
！exit
！......
！inter atm 5/0/0.50 multipoint          ;
進(jìn)入名為vlan0050的ELAN的子端口
！lane client ethernet vlan0050    ;
聲明作為名為vlan0050的ELAN的LEC
！exit
end
copy running-config startup-config
?。?！

---- 2）在裝配有ATM模塊的2924、2828 LAN交換機(jī)上做各ELAN的LEC配置工作，該過(guò)程和Catalyst 5000上的配置過(guò)程完全一致，不再重復(fù)。Catalyst 3200的ATM配置方式是基于菜單選擇模式，非常直觀易懂。 
---- 至此，所有的ATM LANE配置過(guò)程就全部完成了。 

---- 在配置ATM LANE中，需要注意以下兩點(diǎn)。 

---- 1.子端口（Subinterface）概念 

---- 一般情況下，裝備在網(wǎng)絡(luò)設(shè)備上的ATM模塊只提供一個(gè)ATM端口，而一個(gè)ATM端口只能對(duì)應(yīng)一個(gè)ELAN環(huán)境，為了將一個(gè)ATM設(shè)備加入到多個(gè)ELAN環(huán)境中（否則ELAN之間無(wú)法通訊），于是引進(jìn)了子端口這樣一個(gè)邏輯概念。借助它，可將一個(gè)ATM物理端口虛擬地細(xì)分為多個(gè)ATM 邏輯端口，每個(gè)邏輯端口對(duì)應(yīng)一個(gè)ELAN環(huán)境，從而實(shí)現(xiàn)了將一個(gè)ATM設(shè)備加入到多個(gè)ELAN環(huán)境的要求。 

---- 2.VLAN與ELAN的比較 

---- 在ATM LANE環(huán)境中，ELAN與VLAN是一一對(duì)應(yīng)的，有多少個(gè)VLAN就要有多少個(gè)ELAN與之對(duì)應(yīng)，兩者通過(guò)位于第二層的LANE仿真接口，透明地建立起映射關(guān)系。 

---- ELAN只存在于ATM網(wǎng)絡(luò)環(huán)境中，以ATM交換機(jī)為中心，以裝備了ATM模塊的LAN 交換機(jī)為邊界，而VLAN不僅包含了與之對(duì)應(yīng)的ELAN，還包括了屬于該VLAN的以太網(wǎng)端口、工作站和服務(wù)器等。即ELAN是VLAN的子集，VLAN是ELAN的超集。 

---- ELAN和VLAN一樣，也是一種廣播域，一個(gè)ELAN中的廣播不會(huì)擴(kuò)散到其他ELAN中，ELAN之間的通訊要借助于同時(shí)屬于它們的LEC的路由器來(lái)實(shí)現(xiàn)。 

四、VLAN的設(shè)置及劃分 

---- 1. VLAN的設(shè)置可在Catalyst 5000上進(jìn)行，具體過(guò)程如下。 

！?。?br />set vtp domain domain_name mode server   ;
定義VLAN工作域及工作模式
set vlan vlan_number name vlan_name      ;
定義VLAN編號(hào)及VLAN名稱
！在本網(wǎng)中,設(shè)置過(guò)程為：
！set vlan 1 name default    ;定義局機(jī)關(guān)大樓VLAN
！......
！set vlan 50 name vlan0050   ;定義青山分局VLAN

---- 2. 在Catalyst 5000上將各以太網(wǎng)端口劃分至各VLAN的過(guò)程如下。 
?。。?br />set vlan vlan_number module/port|port_rage
！將Catalyst 5000上的以太網(wǎng)端口劃分至各VLAN中
！在本網(wǎng)中,設(shè)置過(guò)程為：
！set vlan 2 4/1～24   

---- 3. 在Catalyst 5000上將ELAN與VLAN映射在一起，使之一一對(duì)應(yīng)。 
?。?！
inter atm5
inter atm5.1 multipoint 
lane client ethernet 1 default    ;
將編號(hào)為1的VLAN與名為default的ELAN映射在一起
！......
inter atm5.50 multipoint 
lane client ethernet 50 vlan0050  ;
將編號(hào)為50的VLAN與名為vlan0050的ELAN映射在一起
！

---- 值得注意的是，在Cisco IOS中，對(duì)VLAN的識(shí)別是通過(guò)VLAN的編號(hào)來(lái)惟一確定的，而對(duì)ELAN的識(shí)別則是通過(guò)ELAN的名稱來(lái)惟一確定的。 
---- 4. 在Catalyst 其他LAN交換機(jī)上進(jìn)行VLAN端口的劃分Catalyst 3200、1924的VLAN端口劃分是基于菜單驅(qū)動(dòng)方式的，無(wú)需像Catalyst 5000那樣要在CLI模式下鍵入一條條命令來(lái)實(shí)現(xiàn)。因此，它們配置起來(lái)比較簡(jiǎn)潔直觀。 

---- 而Catalyst 2828、2924則更進(jìn)了一步，它們不但支持CLI模式，而且支持基于Web方式的管理（通過(guò)瀏覽器即可對(duì)其端口實(shí)行VLAN劃分）,對(duì)動(dòng)態(tài)端口的劃分（可將一端口同時(shí)劃分到多個(gè)VLAN中）也提供了很好地支持，這就使得它們的配置過(guò)程顯得更為直觀、可操作性更強(qiáng)。 

---- 至此，基于ATM骨干網(wǎng)的VLAN環(huán)境就完全地建立了起來(lái)，從而實(shí)現(xiàn)VLAN之間跨越ATM主干進(jìn)行通訊。 

最新評(píng)論