虚拟局域网(VLAN)技术是保障大型网络安全稳定运行的一项重要技术措施,随着众多厂商积极参与和最终用户的普遍认可,它在实际建网中得到了广泛的运用。VLAN 技术之所以具有吸引力,主要得益于它在3 个方面增强了对网络的管理功能,即简化因工作站及设备的变更所带来的工作量、有效地控制网络数据流量和提供工作组级及网络级的安全保障。
因此,及时有效地对网络实施VLAN 技术,不但可以充分满足用户对网络灵活性和扩展性方面的要求,而且对隔离网络故障和高效率地分配网络骨干带宽也提供了一种切实有效的技术手段。
从技术角度来讲,VLAN 既可以在交换式以太网中实现,也可以在ATM 骨干网中实现,比较起来,在ATM 环境中配置VLAN 的技术难度却要远远大于前者。这无疑对网络专业技术人员提出了更高的要求,使得他们不但需要了解ATM 局域网仿真(ATM LANE)的工作原理,而且还要熟悉各种网络设备,如ATM 交换机、局域网交换机和路由器等相应的配置过程。尽管如此,ATM 技术带来了从25Mbps 到155Mbps 乃至622Mbps的网络带宽,并可满足桌面用户对语音、数据和图像的处理要求,因此许多企业依然采用ATM 网络。
下面,结合建设武汉供电局ATM 城域网的实践经验,以基于ATM 的VLAN 为重点,着重探讨其划分及配置过程。
一、VLAN 划分设计
根据武汉供电局ATM 城域网(一期)设计要求,需要将第一批4 个基层生产单位接入ATM 骨干网,它们分别是汉口线路分局、汉阳线路分局、武昌线路分局、青山线路分局,加上局机关大楼,共有5 处(后又增加汉口变电分局),分布于武汉三镇。
按照70%网络流量在VLAN 网络内部流动、30%的流量在VLAN 之间流动的原则,VLAN 逻辑上可以按工作流程、职能部门或地理位置等依据来进行划分。划分技术可采取基于交换机端口、基于网卡MAC 物理地址以及基于第三层即网络协议层来进行实施,在这3 种划分技术中,尤以基于交换机端口的实现方式最为灵活,维护起来比较方便快捷,因而在VLAN 的设计中,得到了普遍的应用。
虽然VLAN 技术可以有效地控制网络数据流量,节省骨干网的网络带宽,但是,这要以合理地对城域网实施VLAN 划分为前提条件。而且,提高VLAN 运行效率的关键在于,尽可能地使一个VLAN 内的网络流量只在其内部消化完成,减少VLAN 之间的访问流量,这就要求设计人员要清楚网络内各用户群的工作方式、工作流程以及他们基于网络方面的应用等等,只有这样,才能设计出高效率的VLAN。
通过需求分析发现,基层单位的大部分生产管理应用系统都集中在当地局域网内部完成,只有少量的数据需要由异地汇集到局机关信息中心,这就为有效地划分VLAN 提供了可靠的依据。
通过反复比较与取舍,决定主要以地理位置作为划分依据,局部按职能部门进行了划分,具体实施见附表。
附表VLAN 的划分:
由附表可以看出,每个VLAN 都是和一段独立的IP 网段相对应的,从而将IP 的广播组和VLAN 的碰撞域一对一地结合起来。这样,一方面有利于DHCP Server 动态分配IP 地址,另一方面也使得网络结构清晰易懂,便于网管人员的维护管理。
二、网络环境
武汉供电局城域网(一期)是以ATM 为骨干、以局机关为中心,以汉口线路分局、汉阳线路分局、武昌线路分局、青山线路分局为4 个骨干节点,通过OC3 155Mbps 光纤主干将它们连接起来的覆盖武汉三镇的城域网,参见图1。
网络设备全部采用Cisco 系统公司的产品。其中ATM 核心交换机采用Lightstream 1010,ATM 边缘设备采用Catalyst 局域网交换机系列产品,它们通过长距离单模光纤与Lightstream 1010 相连,选用Cisco7507 高端路由器担任网间路由。网络操作系统选用Windows NT,网络协议采用TCP/IP 协议。
三、ATM LANE 配置
要让VLAN 跨越ATM 骨干网进行通讯,必须首先对ATM 骨干网进行局域网仿真(LAN Emulation,LANE)的配置工作。
传统的以太网工作机制与ATM 网络技术之间存在着诸多的差异。要想以ATM 作为城域网中的骨干网,将分布在不同地区的局域网连接起来,必须要有一个解决方案来实现两者之间的互连,于是ATM LANE 技术就应运而生了。通过LANE,可以让ATM 网络模拟局域网的工作,使得多个局域网不做任何修改就可以连接到ATM 网络上来。ATM 在其中担负着桥接的功能,这对于用户来说,是完全透明的、无缝的,似乎就是在一个纯以太网的环境中工作,如图2 所示。
LANE 的配置过程是比较复杂的,LANE 的正常工作必须启动以下4 个服务:
1. LECS (LANE Configuration Server),一个LANE 环境中必须要有一个LECS。
2. BUS (Broadcast and Unknown Server),一个ELAN(仿真局域网) 要有一个BUS。
3. LES (LANE Server), 一个ELAN 要有一个LES。
4. LEC (LANE Client), 一个ELAN 可有多个LEC。
构建一个LANE 的工作环境,需要在Cisco 7507 路由器、LS1010 ATM 交换机及装备了ATM 模块的Catalyst 5000、3200、2924、2828 局域网交换机上做相应的配置工作。
1.配置Cisco 7507 路由器上的ATM 模块这样做的目的是使之充当整个LANE 环境中的LECS,并作为每个ELAN。ELAN 的数目要和VLAN 的数目相同。例如,本网中就需建10 个ELAN 中的LES、BUS 和LEC。配置命令如下:
!!!
show lane default-atm-address
!获取ATM LANE 的ATM 地址;该地址将作为LECS 的ATM 地址,
被保存在Lightstream 1010 ATM 交换机中。
config t
lane database database_name ;
给LANE 指定一个数据库
name elan_name server-atm-address atm-address [index number]
!重复该命令可以建立起多个ELAN 环境,并将自己作为各ELAN 的LES。
!在本网中,设置过程为:
!name default server-atm-address
47.009181000000001011be3401.0050d1070081.01
!......
!name vlan0050 server-atm-address
47.009181000000001011be3401.0050d1070081.32
interface atmslot/module/port ;进入ATM 端口设置模式
atm pvc 1 0 5 qsaal ;设置PVC 信令
atm pvc 2 0 16 ilmi ;设置PVC 与本地管理模式通讯
lane config database database_name ;对LANE 数据库进行配置
interface atmslot/module/port.subinterface multipoint
;指定子端口并进入该子端口设置模式
ip address ip_address netmask ;为子端口指定IP 地址
lane server-bus ethernet elan_name ;
为ELAN 设置LES/BUS 服务,仿真以太网。
lane client ethernet elan_name ;将自己作为LEC 加入到该ELAN
!在本网中,将Cisco 7507 作为上述多个ELAN 的BUS、LEC 设置过程为:
!inter atm4/0/0.1 multipoint
!ip address 12.240.16.31
!lane server-bus ethernet default
!lane client ethernet default
!exit
!......
!inter atm4/0/0.50 multipoint
!ip address 12.240.20.254
!lane server-bus ethernet vlan0050
!lane client ethernet vlan0050
!exit
end
copy running-config startup-config
!!!
需要注意的是,创建ELAN 的个数要与前面规划好的VLAN 的个数要相同,使它们能保持一一对应的关系, 最好将ELAN 和VLAN 的名称也取为一样。在本网中, ELAN/VLAN 名均为default 、vlan0002……vlan0040、vlan0050,以方便管理。
2.配置Lightstream1010 ATM 交换机
配置命令如下
!!!
atm lecs-address-default atm_address
!该atm_address 即为在Cisco 7507 配置中,
由show lane default-atm-address 所获取到的ATM
!地址。
!!!
---- 由于LANE 1.0 标准没有考虑到因设备单点故障造成LANE 无法正常工作的情况,针对这种情况,Cisco提出了简单服务器冗余协议(Simple Server Redundancy Protocol,SSRP)来消除这种潜在的故障隐患,通过对LS1010 ATM 交换机上的处理器(ATM Switch Processor,ASP)进行配置可以完成LECS、LES、BUS和LEC 的备份工作。
LS1010 ATM 交换机的LANE 备份的配置过程基本上和Cisco 7507 路由器是一样的,在此不再重复。
3.Catalyst 5000 局域网交换机上的ATM 模块配置
1)将Catalyst 5000 上的ATM 模块配置为LEC 工作模式,具体过程如下。
!!!
session 5 ;启动Catalyst 5000 插槽5 中的ATM 模块
interface atm5 ;设置ATM 主端口
atm pvc 1 0 5 qsaal
atm pvc 2 0 16 ilmi
lane config auto-config-atm-address
interface atmslot/module/port.subinterface multipoint
lane client [ethernet elan-name]]
!在本网中,将Catalyst 5000 作为各个ELAN 的LEC 的设置过程为:
!inter atm 5/0/0.1 multipoint ;
进入名为default 的ELAN 的子端口
!lane client ethernet default ;声明作为名为default 的ELAN 的LEC
!exit
!......
!inter atm 5/0/0.50 multipoint ;
进入名为vlan0050 的ELAN 的子端口
!lane client ethernet vlan0050 ;
声明作为名为vlan0050 的ELAN 的LEC
!exit
end
copy running-config startup-config
!!!
2)在装配有ATM 模块的2924、2828 LAN 交换机上做各ELAN 的LEC 配置工作,该过程和Catalyst 5000上的配置过程完全一致,不再重复。Catalyst 3200 的ATM 配置方式是基于菜单选择模式,非常直观易懂。至此,所有的ATM LANE 配置过程就全部完成了。
在配置ATM LANE 中,需要注意以下两点。
1.子端口(Subinterface)概念
一般情况下,装备在网络设备上的ATM 模块只提供一个ATM 端口,而一个ATM 端口只能对应一个ELAN环境,为了将一个ATM 设备加入到多个ELAN 环境中(否则ELAN 之间无法通讯),于是引进了子端口这样一个逻辑概念。借助它,可将一个ATM 物理端口虚拟地细分为多个ATM 逻辑端口,每个逻辑端口对应一个ELAN 环境,从而实现了将一个ATM 设备加入到多个ELAN 环境的要求。
2.VLAN 与ELAN 的比较
在ATM LANE 环境中,ELAN 与VLAN 是一一对应的,有多少个VLAN 就要有多少个ELAN 与之对应,两者通过位于第二层的LANE 仿真接口,透明地建立起映射关系。
ELAN 只存在于ATM 网络环境中,以ATM 交换机为中心,以装备了ATM 模块的LAN 交换机为边界,而VLAN 不仅包含了与之对应的ELAN,还包括了属于该VLAN 的以太网端口、工作站和服务器等。即ELAN 是VLAN 的子集,VLAN 是ELAN 的超集。
ELAN 和VLAN 一样,也是一种广播域,一个ELAN 中的广播不会扩散到其他ELAN 中,ELAN 之间的通讯要借助于同时属于它们的LEC 的路由器来实现。
四、VLAN 的设置及划分
1. VLAN 的设置可在Catalyst 5000 上进行,具体过程如下。
!!!
set vtp domain domain_name mode server ;
定义VLAN 工作域及工作模式
set vlan vlan_number name vlan_name ;
定义VLAN 编号及VLAN 名称
!在本网中,设置过程为:
!set vlan 1 name default ;定义局机关大楼VLAN
!......
!set vlan 50 name vlan0050 ;定义青山分局VLAN
---- 2. 在Catalyst 5000 上将各以太网端口划分至各VLAN 的过程如下。
!!!
set vlan vlan_number module/port|port_rage
!将Catalyst 5000 上的以太网端口划分至各VLAN 中
!在本网中,设置过程为:
!set vlan 2 4/1~24
!将位于Catalyst 5000 插槽4 中的以太网模块的
1~24 端口划至VLAN 2 中
!......
exit
copy running-config startup-config
!!!
---- 3. 在Catalyst 5000 上将ELAN 与VLAN 映射在一起,使之一一对应。
!!!
inter atm5
inter atm5.1 multipoint
lane client ethernet 1 default ;
将编号为1 的VLAN 与名为default 的ELAN 映射在一起
!......
inter atm5.50 multipoint
lane client ethernet 50 vlan0050 ;
将编号为50 的VLAN 与名为vlan0050 的ELAN 映射在一起
!
值得注意的是,在Cisco IOS 中,对VLAN 的识别是通过VLAN 的编号来惟一确定的,而对ELAN 的识别则是通过ELAN 的名称来惟一确定的。
4. 在Catalyst 其他LAN 交换机上进行VLAN 端口的划分Catalyst 3200、1924 的VLAN 端口划分是基于菜单驱动方式的,无需像Catalyst 5000 那样要在CLI 模式下键入一条条命令来实现。因此,它们配置起来比较简洁直观。
而Catalyst 2828、2924 则更进了一步,它们不但支持CLI 模式,而且支持基于Web 方式的管理(通过浏览器即可对其端口实行VLAN 划分),对动态端口的划分(可将一端口同时划分到多个VLAN 中)也提供了很好地支持,这就使得它们的配置过程显得更为直观、可操作性更强。
至此,基于ATM 骨干网的VLAN 环境就完全地建立了起来,从而实现VLAN 之间跨越ATM 主干进行通讯。