第三层交换方案中跨网段虚拟局域网设计与实现

2015-04-30 06:46赵圆圆曹敏
软件导刊 2015年4期
关键词:安全隐患

赵圆圆 曹敏

摘要摘要:虚拟局域网能够有效控制广播域的范围并减少由于共享介质所形成的安全隐患问题。通过仿真软件Cisco Packet Tracer 来实现第三层交换方案中跨网段虚拟局域网的设计,为理论教学配置实践平台,以提高学生的实际动手能力。

关键词关键词:三层交换;虚拟局域网; Cisco Packet Tracer;安全隐患

DOIDOI:10.11907/rjdk.143981

中图分类号:TP393

文献标识码:A文章编号文章编号:16727800(2015)004012902

1虚拟局域网(VLAN)概述

在局域网交换技术中,虚拟局域网(VLAN)技术迅速发展[1]。当一个结点发送广播帧后,每一个收到该帧的结点都会将其复制转发到所有与其相连的网络,此时大量的广播帧存在网络中,导致网络性能下降,甚至网络瘫痪,这就是网络风暴问题。另外,很多企业在发展初期人员较少,对网络的要求也不高,大部分都是通过不同路由器端口划分为简单网络结构。在这样的结构中,由于以太网数据帧通常不加密,同时采用的是CSMA/CD控制访问机制,网内的任何一台计算机都可以毫无保留地获得同一网段上的数据。随着企业各项业务的不断升级,规模不断扩大,各部门分工更细,内部数据传输量很大。同时,有些特殊部门如财务部对数据安全性要求很高,不能和其它部门混用一个网段,以防止网络窃听。为了解决上述以太网广播风暴和安全性问题,迫切需要更灵活地配置局域网,虚拟局域网技术应运而生。它不是一种新型的局域网,而是局域网资源的一种逻辑组合[2]。

虚拟局域网(VLAN)是在一个物理网络上划分出来的逻辑网络,通过局域网内的交换机和路由器功能逻辑地划分为一个个独立网段,使网络中的站点不拘泥于所处的物理位置,并且能够根据需要灵活地加入不同的逻辑子网。虚拟局域网VLAN对比传统网络,很多问题都得到了解决,其优势如下:①它不受网络物理位置限制,可跨越多个物理网段、多台交换机。可以按照功能划分成多个逻辑分组,每组对应一个VLAN[3];②同一个虚拟局域网中的广播只有内部的成员才能听到,不会传到其它虚拟局域网中,这样就可以利用VLAN来隔离广播域,防止广播风暴的发生;③可将网络上的用户按照业务功能划分成多个VLAN ,日常的通信交流信息绝大部分被限制在一个虚拟局域网内,可有效提升带宽;④虚拟局域网由软件实现定义与划分,建立和重组十分灵活,增加、删除、修改用户不需要调整网络上的物理位置。

目前交换机可以按照基于端口、MAC地址、网络层地址及IP组播等分类进行VLAN划分[4]。可以按照静态和动态两种方式将端口分配给VLAN[5]。静态虚拟局域网是将端口强制性地分配给对应的虚拟局域网。使用虚拟局域网中继协议建立VTP SERVER和VTP client ,并在SERVER设备上建立VLAN,然后将端口分配给对应的VLAN。动态虚拟局域网由具体的设备决定自身所属的VLAN。即先建立VMPS VLAN管理策略服务器,生成一个文本文件,文件中存放VLAN与MAC地址的映射表;交换机根据这个映射表将端口分配给对应VLAN。本文主要阐述以静态端口划分方式,使用三层交换机实现虚拟局域网与VLAN间的相互通信。

2仿真技术下的实验设计

虚拟环境下进行实验教学是一种很好的教学办法[6]。利用网络仿真软件进行实验,学生易掌握、建设成本低,能够模拟各种网络技术,真正解决计算机网络工程课程“理论强,实践弱”的问题。本文使用Cisco Packet Tracer软件作为模拟器,拓扑结构如图1所示。核心三层交换机名称为coreswitch;分支交换机分别为A、B,通过快速以太网端口与核心交换机相连,创建两个VLAN,分别为101和202。一般将核心交换机设置为VTP DOMAIN域的 server,分支交换机设为 VTP DOMAIN 域的Client端。这样,在VTP SERVER 上创建的VLAN就可以通过VTP协议分发到整个管理域的分支交换机上,不但保证了整个管理域上VLAN的一致性,同时也便于管理人员维护网络。

在这种模式下划分VLAN,需要采取5个步骤:①设置 VTP DOMAIN ,包括创建VTP域名,设置VTP Server、Client模式(核心、分支交换机上都要进行设置);②在VTP Server上创建VLAN;③配置中继trunk(核心、分支交换机上都要进行设置);④将交换机端口划入VLAN;⑤配置三层交换路由。

3仿真技术下的实验验证

3.1核心交换机配置VTP

如图2所示。

3.2核心交换机中继协议配置

如图3所示。

3.3分支交换机A、B配置

如图4、图5所示。

此时用ping命令测试分别位于同一VLAN的两台主机,可以看到能够相互通信,而不同VLAN的PC机不能通信,由此看出不同VLAN的主机是不能通信的。要想使不同VLAN间的主机能够通信,需要在三层交换机的路由模块设置路由或在支持VLAN功能的外部路由器上设置路由,核心配置命令如图6所示。

在虚拟局域网的主机上分别设置与所属网络一致的IP地址,并且把默认网关设置为对应VLAN配置的IP地址,如图7所示。这样,VLAN之间就可以互访了。图8是PC0 ping PC3 连通测试截屏。

4结语

Cisco Packet Tracer提供了网络配置的练习平台,是计算机网络教学良好的辅助工具。本文主要以交换机中跨网段VLAN配置为例论述了Cisco Packet Tracer 在网络教学中的应用,这些应用为提高计算机网络教学质量发挥了很好的作用。

参考文献参考文献:

[1]李环.计算机网络[M] .北京:中国铁道出版社,2010.

[2]陈国耿. 三层交换机多VLAN的DHCP配置[J]. 软件导刊,2010,9(6):121122.

[3]魏评. 企业网络组建中VLAN的设计与实现[J].软件导刊,2012,11(9):134136.

[4]俞黎阳 .计算机网络工程实验教程[M] . 北京:清华大学出版社 ,2008.

[5]于明. 计算机网络与数据通信实验教程[M] .北京:中国水利水电出版社, 2004.

[6]李娟芳 .计算机网络技术与应用[M] .北京:中国铁道出版社,2013.

责任编辑(责任编辑:杜能钢)

猜你喜欢
安全隐患
建筑施工用电的安全隐患与防治策略
风电场集电线路隐患排查及防范治理措施
浅谈冶金装饰施工中的安全隐患及预防措施