邵鹏飞,苗瑾超,金强山
(1.浙江万里学院信息与智能工程学院,浙江宁波315100;2.新疆理工学院信息工程系,新疆阿克苏843100)
交换式以太网和无线局域网是目前最主要的两种局域网技术。在交换式以太网和无线局域网组网中,虚拟局域网(Virtual Local Area Networks,VLAN)技术可以减少广播域的范围,减少局域网内的广播流量,解决广播风暴问题并带来更好的安全性,得到了广泛的应用[1-2]。无论是实际的网络工程,还是高校的计算机网络课程,VLAN技术都是局域网必不可少的内容之一[3-4]。根据“懂建管用”应用型网络人才培养目标,VLAN配置也成了实验教学中不可缺少的实验内容[5-8]。
在VLAN配置中,灵活运用接口VLAN(Port VLAN ID,PVID)特性对组网具有重要的意义。在一些组网场景中,比如采用集中控制的无线接入点控制和配置(Control and Provisioning of Wireless Access Points,CAPWAP[9-10])组建无线局域网时,只有通过正确的PVID配置才能实现其功能目标。而在一些特殊的情况下,PVID的不恰当配置将导致不同VLAN间的二层互通,出现意想不到的网络漏洞。
企业网络仿真平台(Enterprise Network Simulation Platform,eNSP)是一款免费、可扩展、图形化操作的网络仿真软件,功能强大,对组网的网络设备数量没有限制。借助eNSP软件构建大规模网络模拟实验环境,可以提高实验效率,降低实验成本[11-13]。下文案例中的网络结构和实验模拟都在eNSP中完成。
VLAN通过在数据帧中附加一个VLAN标签来标记数据帧能在哪个VLAN中传播。在VLAN环境,主要有3种链路类型接口:access、trunk和hybrid,分别运用于不同的工程场景。Access链路类型接口只默认VLAN(PVID)的以太网帧通过,对终端主机透明,常用于连接不需要识别802.1Q协议的设备,如终端主机、路由器等。Trunk链路类型接口可以接收和发送多个VLAN的数据帧,且在接收和发送过程中不对帧中的标签进行任何操作,PVID除外,常用于交换机之间的互联。Hybrid链路类型接口可以接收和发送多个VLAN的数据帧,同时还能够指定对任何VLAN帧进行剥离标签操作,包括PVID,常用于网络中大部分主机之间需要隔离,但这些隔离的主机又需要与另一台主机互通的场景。可以看出,这3种链路类型接口都与PVID密切相关。
在VLAN环境下,原则上只允许同一VLAN内的2层通信,不允许不同VLAN间的2层通信。不同VLAN内的主机之间若要实现通信,一般通过VLAN的3层接口实现第3层互通。在无线局域网中,移动终端从同一VLAN内的一个AP切到另一个AP时通信不中断就是2层漫游,而在不同VLAN内的AP之间切换通信不中断就是3层漫游。
本节主要通过一些特殊案例分析PVID在VLAN配置中的重要作用和影响。案例包括只有通过PVID设置才能实现组网功能、PVID设置形成不同VLAN间的2层互通等网络场景。
案例1Trunk路径上不能识别802.1Q协议的设备接入。
例如,在CAPWAP组建无线局域网(Wireless Local Area Networks,WLAN)时,根据CAPWAP 标准组网方式,访问控制器(Access Controller,AC)与AP之间直连或通过交换机旁接的形式相连,图1所示为直连方式。
图1 CAPWAP组建WLAN结构(直连)
一方面,AP启动后,需通过DHCP、DNS或广播发现等形式连接AC并建立隧道。由于AP都是零配置,此时AP相当于一个不能识别802.1Q协议的设备,AC与AP互连的接口应设置为access链路接口类型。另一方面,WLAN中一般至少需要两个VLAN:业务VLAN(传输用户上网数据)和管理VLAN(管理AP等设备),即在AP和AC之间至少有两个VLAN的数据流。由于要通过多个VLAN,AC与AP互连的接口又应设置为trunk链路接口类型。在这种情况下,不管需要多少个业务VLAN,管理VLAN只需要1个,只需在AC与AP之间的trunk链路上把AC端接口的PVID设置为管理VLAN,就可同时满足这两方面要求。图1中,假设业务VLAN为VLAN 100,管理VLAN为VLAN 101,则AC1上接口VLAN的主要配置如下:
案例2不同VLAN间的2层互通。
在单交换机组网结构中,根据VLAN技术原理,不存在不同VLAN间能互通的情况。
在多交换机组网结构中,典型如图2所示的3层网络结构。PC1和PC2分别连在不同的交换机上,它们之间互通的路径如图中红线标注,除两端是连接PC的access链路,其他都是交换机之间互连的链路。通常,正确配置交换机之间的VLAN链路后,相当于打通了源接口(本例中即连接PC1的交换机接口)到目的接口(本例中即连接PC2的交换机接口)之间的VLAN通路,此时相同VLAN内能2层互通,不同VLAN之间不能2层互通。根据VLAN(技术)原理,跨越多个交换机的VLAN通路与两个交换机之间的VLAN通路在配置方法和结果上应该是一致的,因此简化起见,以两个交换机组网为例,设计的实验结构如图3所示,PC1和PC2分别连在不同交换机下,两交换机之间直接相连。
图2 典型的3层多交换机网络结构
图3 简化的多交换机组网结构实验
基于交换机接口进行VLAN配置,假设PC1和PC2分别属于VLAN 10和VLAN 20。两主机的IP地址配置信息为:PC1:10.10.10.1,255.255.255.0;PC2:10.10.10.2,255.255.255.0。
方案1基于交换机间access链路的PVID设置实现不同VLAN间的2层互通。
具体配置如下:
LSW1配置:
(1)创建VLAN 10
(2)接口Ethernet0/0/1:access类型,pvid:10
(3)接口Ethernet0/0/2:access类型,pvid:10
LSW2配置:
(1)创建VLAN 20
(2)接口Ethernet0/0/1:access类型,pvid:20
(3)接口Ethernet0/0/2:access类型,pvid:20
实验结果及分析:此时PC1属于VLAN 10,PC2属于VLAN 20,在第2层通信时,原则上不同VLAN之间是不通的,但此时PC1和PC2之间是能ping通的。这是因为在access链路上,出接口时去掉标签,到达对端接口时被打上该接口的PVID标签,这相当于有了一次更改数据帧VLAN标签的机会。但这种不同VLAN之间的2层互通意义不大,因为在大多数网络工程应用环境中,交换机之间互联的2层链路应该是trunk链路,允许多个VLAN通过,而不是本方案所示单方向仅允许一个VLAN通过。但在教学中,通过这个案例可以让学生更好地理解access接口及其链路特性。
方案2基于交换机间trunk链路的PVID设置实现不同VLAN间的2层互通。
具体配置如下:
LSW1配置:
(1)创建VLAN 10
(2)接口Ethernet0/0/1:access类型,pvid:10
(3)接口Ethernet0/0/2:trunk 类型,pvid:10,allow-pass vlan:all
LSW2配置:
(1)创建VLAN 20
(2)接口Ethernet0/0/1:access类型,pvid:20
(3)接口Ethernet0/0/2:trunk 类型,pvid:20,allow-pass vlan:all
实验结果及分析:PC1属于VLAN 10,PC2属于VLAN 20,但PC1和PC2之间能相互ping通,即PC1和PC2在第2层实现了互通。这是因为trunk链路上存在唯一情况可实现不同VLAN之间的2层互通,当数据帧带的VLAN标签与trunk口的PVID相同时,出接口时去掉标签,到达对端trunk口时被打上该trunk口的PVID,这就有了一次更改数据帧VLAN标签的机会。在实际网络工程中,trunk链路上允许多个带标签的VLAN通过,从而实现跨交换机的VLAN内通信,本方案所示的两个不同VLAN之间的2层互通属于特殊情况,其他不同VLAN之间的2层互通就不行了。在教学中,通过这个案例可以让学生更好地理解trunk接口及其链路特性。在工程应用中,这种不同VLAN间的特例互通可被充分用起来实现某些阶段特需的功能。
总之,从本例的两个方案可以看出,通过接口PVID特性的灵活运用和设置,可实现不同VLAN间的2层互通。但在网络工程中,原则上这种2层互通是不允许的,这样会出现网络漏洞,因此配置PVID时务必注意这一点。
案例3智能变电站VLAN应用配置。
过程层网络是智能变电站内间隔层设备和过程层设备之间的网络,负责实现这两层设备之间的数据传输。在过程层网络中,考虑需求、功能及实际应用等多方面因素,目前主要采用VLAN技术对数据进行分类导向和流量控制,以优化数据传输、提高通信效率,实现网络的动态管理,增加安全性,限制广播包等[14-15]。过程层交换机的VLAN配置主要有两种方式:人工配置VLAN和VLAN配置表自动生成。由于人工配置VLAN存在众多的问题,VLAN配置表自动生成技术成为近年来研究和应用的热点[16-17]。但无论是人工配置VLAN方式还是VLAN配置表自动生成方式,PVID的规划和设置都是关键。
在人工设置VLAN中,PVID相同的接口属于同一VLAN。两接口的PVID不同,但允许通过的VLAN互相包含对方的PVID,也能相互收发数据,类似于普通计算机网络中trunk链路相连的交换机间的相同VLAN内通信。VLAN中的某个设备与其他VLAN的设备发生数据交换时,如跨间隔设备母线保护装置、备自投装置等,需单独分配PVID,以便可靠隔离潜在的网络风暴,类似于通过交换机间trunk链路上的PVID设置实现不同VLAN间2层互通的网络场景。
在VLAN配置表自动生成方式中,如图4所示,PVID的分配方式和设置是关键步骤之一。无论是基于装置分配VLAN,还是交换机接口分配VLAN,都需要依靠交换机接口的PVID对每个进入交换机的报文打VLAN标签。从精细化控制流量的角度,对于PVID的自动划分,根据接口分配PVID,软件实现较为简单,流量控制颗粒度也较为精细,不受单双网影响,适宜在智能变电站推广应用。
图4 VLAN配置表自动生成
在实际网络工程应用及计算机网络课程教学中,VLAN都是局域网组建中使用的主要技术之一。本文通过多个网络案例分析得出,在VLAN配置中交换机互连链路的PVID设置起到很大的作用。其设置原则是:要保证单交换机下两个接口之间能够互通,交换机互连接口的PVID应设置为与用户VLAN ID相同;利用trunk链路上接口PVID的标签特性,可实现特殊情况下不同VLAN间的数据交换。在网络工程实施过程中,灵活运用PVID的接口类型特性,可以解决很多问题,实现组网要求。在计算机网络课程的VLAN配置实验教学中,应重视这方面的问题,通过实例验证让学生深入掌握PVID的特性,这样有利于加深学生对VLAN技术的理论掌握,也有助于打牢学生的网络工程基础。