計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)交換機(jī)ISOLATE-USER-VLAN集成實(shí)驗(yàn)的探討

□翁國(guó)秀

（玉林師范學(xué)院 教育技術(shù)中心，廣西 玉林 537000）

計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)交換機(jī)ISOLATE-USER-VLAN集成實(shí)驗(yàn)的探討

□翁國(guó)秀

（玉林師范學(xué)院 教育技術(shù)中心，廣西 玉林 537000）

在計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)網(wǎng)絡(luò)集成課程實(shí)驗(yàn)中，開(kāi)設(shè)多級(jí)連交換機(jī)上集成ISOLATE-USERVLAN實(shí)驗(yàn)，能明顯增強(qiáng)學(xué)生集成能力，還能培養(yǎng)學(xué)生網(wǎng)絡(luò)全局統(tǒng)籌設(shè)計(jì)能力。本文探討了該集成實(shí)驗(yàn)環(huán)境建設(shè)、實(shí)驗(yàn)的方法和過(guò)程，以及實(shí)驗(yàn)的教學(xué)效果.

ISOLATE-USER-VLAN；集成；多級(jí)連

交換機(jī)ISOLATE-USER-VLAN技術(shù)具有私有VLAN、端口二層隔離的技術(shù)特性，能在大型網(wǎng)絡(luò)集成中節(jié)省VLAN資源和隔絕內(nèi)網(wǎng)攻擊，因而被廣泛地應(yīng)用于網(wǎng)絡(luò)集成工程.但在交換機(jī)上配置ISOLATEUSER-VLAN相當(dāng)復(fù)雜，要多次反復(fù)集成才能成功.因此，我校在計(jì)算機(jī)網(wǎng)絡(luò)集成這門課的實(shí)驗(yàn)中，適當(dāng)增加了ISOLATE-USER-VLAN配置實(shí)驗(yàn)的課時(shí)；并結(jié)合校園網(wǎng)集成實(shí)踐的經(jīng)驗(yàn)，建立了適當(dāng)?shù)膶?shí)驗(yàn)環(huán)境，設(shè)計(jì)了循序漸進(jìn)的實(shí)驗(yàn)進(jìn)程.

在實(shí)驗(yàn)教學(xué)中，交換機(jī)ISOLATE-USER-VLAN集成實(shí)驗(yàn)，雖然是一個(gè)局部集成的實(shí)驗(yàn)，但它是涉及上接、下連網(wǎng)絡(luò)設(shè)備的配置.所以，實(shí)驗(yàn)除了能學(xué)生培養(yǎng)具體集成能力之外，還能培養(yǎng)網(wǎng)絡(luò)全局統(tǒng)籌設(shè)計(jì)能力.對(duì)于學(xué)生建立嚴(yán)謹(jǐn)?shù)木W(wǎng)絡(luò)集成思維，也有裨益.本文根據(jù)的實(shí)際經(jīng)驗(yàn)，探討了如何搭建成此實(shí)驗(yàn)的環(huán)境、如何設(shè)計(jì)和進(jìn)行實(shí)驗(yàn)，以更好地實(shí)驗(yàn)?zāi)康?

1 ISOLATE-USER-VLAN技術(shù)特性和實(shí)驗(yàn)關(guān)鍵點(diǎn)

ISOLATE-USER-VLAN技術(shù)是VLAN技術(shù)的一種擴(kuò)展，這種技術(shù)有三個(gè)特性：①在同一VLAN下可以定義若干私有VLAN，不同私有VLAN的端口互相隔離.這種私有VLAN稱為SECONDER VLAN，其所屬的上層VLAN稱為ISOLATE-USER-VLAN.這個(gè)特性可以隔離同一VLAN內(nèi)而不同端口的計(jì)算機(jī)，對(duì)控制互相攻擊、感染有一定作用.②對(duì)于上層交換機(jī)而言，它能感知其下層交換機(jī)的VLAN，但不能感知下層交換機(jī)VLAN內(nèi)定義的SECONDER VLAN.如此，SECONDER VLAN號(hào)可不占用全網(wǎng)VLAN號(hào)，對(duì)于在大型局域網(wǎng)（如重點(diǎn)高校校園網(wǎng)）的集成或運(yùn)維，起到節(jié)省VLAN資源的作用，從而簡(jiǎn)化了整個(gè)網(wǎng)絡(luò)的配置.③同一SECONDER VLAN內(nèi)的端口之間可互相通信；SECONDER VLAN內(nèi)的端口還可以與其所屬ISOLAVET-USER-VLAN的上行端口通信.

交換機(jī)ISOLATE-USER-VLAN集成配置，在單個(gè)交換機(jī)上還是比較簡(jiǎn)單的，但它的實(shí)用意義不大.在多級(jí)連交換機(jī)的情況下，就相當(dāng)復(fù)雜了，其中的實(shí)驗(yàn)關(guān)鍵點(diǎn)有：上行下行端口所在VLAN銜接；跨多級(jí)連交換機(jī)的Trunk配置；核心交換機(jī)下接端口類型配置.

2 實(shí)驗(yàn)設(shè)備及環(huán)境建設(shè)

實(shí)驗(yàn)使用的主要設(shè)備是：華為S3026和S3050交換機(jī)、華為CONSOLE口串行配置線、普通個(gè)人計(jì)算機(jī)（提供串行口）.鑒于實(shí)驗(yàn)效果驗(yàn)證若有校園網(wǎng)環(huán)境的配合，會(huì)比較全面.所以，要將網(wǎng)絡(luò)集成實(shí)驗(yàn)室接入校園網(wǎng).

交將網(wǎng)絡(luò)集成實(shí)驗(yàn)室接入校園網(wǎng)的方法是：用光纜或雙絞線將核心交換機(jī)和實(shí)驗(yàn)室的交換機(jī)連接，當(dāng)需用校園網(wǎng)驗(yàn)證實(shí)驗(yàn)結(jié)果時(shí)，核心交換機(jī)對(duì)應(yīng)的端口設(shè)置為UP狀態(tài)；實(shí)驗(yàn)結(jié)束后，設(shè)為down狀態(tài)即可.如圖1所示.

圖1 網(wǎng)絡(luò)集成實(shí)驗(yàn)室接入校園網(wǎng)

此外，校園網(wǎng)應(yīng)規(guī)劃若干VLAN號(hào)和IP地址段給網(wǎng)絡(luò)集成實(shí)驗(yàn)室，作為實(shí)驗(yàn)之用，避免進(jìn)行實(shí)驗(yàn)時(shí)，亂用VLAN號(hào)和IP地址.既方便實(shí)驗(yàn)進(jìn)行，也有利于網(wǎng)絡(luò)的管理和控制.

3 實(shí)驗(yàn)內(nèi)容

這里探討兩個(gè)具有典型意義的、循序漸進(jìn)的ISOLATE-USER-VLAN集成實(shí)驗(yàn)，分別是：多級(jí)連交換機(jī)上配置單一全網(wǎng)VLAN的ISOLATE-USER-VLAN；多級(jí)連交換機(jī)上配置多個(gè)全網(wǎng)VLAN的ISOLATE-USER-VLAN.

（1）多級(jí)連交換機(jī)上配置單一全網(wǎng)VLAN的ISOLATE-USER-VLAN

在多級(jí)連交換機(jī)上配置單一全網(wǎng)VLAN的ISOLATE-USER-VLAN，以圖2為例進(jìn)行實(shí)驗(yàn)，圖中的3臺(tái)華為QuidwayS3026二十四口交換機(jī)進(jìn)行級(jí)連，每臺(tái)機(jī)器均以0槽1口為上行口、0槽2口為下行口.

圖2 3臺(tái)Quidway S3026級(jí)連

實(shí)驗(yàn)要求為：

○所有交換機(jī)同屬于一個(gè)ID為200的全網(wǎng)VLAN；

○每個(gè)交換機(jī)除上、下行口外的端口，全部進(jìn)行二層隔離；

○每個(gè)交換機(jī)與計(jì)算機(jī)連接的端口，都能訪問(wèn)校園網(wǎng)服務(wù)器.

此實(shí)驗(yàn)配置過(guò)程如下：

在A交換機(jī)上：第一步定義VLAN200，將A交換機(jī)的0/1端口分配給VLAN200，定義VLAN200為ISOLATEUSER-VLAN.第二步定義VLAN50、3、4、…、24，分別配給端口0/2、0/3、…、0/24.第三步將VLAN50、3、4、…、24設(shè)為VLAN200下的Second VLAN.配置命令如下：

在B交換機(jī)上：第一步定義VLAN50，將A交換機(jī)的0/1端口分配給VLAN50，定義VLAN50為ISOLATEUSER-VLAN.第二步定義VLAN51、3、4、…、24，分別配給端口0/2、0/3、…、0/24.第三步將VLAN51、3、4、…、24設(shè)為VLAN50下的Second VLAN.配置命令如下：

在C交換機(jī)上：第一步定義VLAN51，將A交換機(jī)的0/1端口分配給VLAN51，定義VLAN51為ISOLATEUSER-VLAN.第二步定義VLAN2、3、4、…、24，分別配給端口0/2、0/3、…、0/24.第三步將VLAN2、3、4、…、24設(shè)為VLAN51下的Second VLAN.配置命令如下：

三個(gè)交換機(jī)配置完畢后，形成了如表1的VLAN從屬關(guān)系，C交換機(jī)的VLAN全部包含于本機(jī)及B機(jī)的VLAN51，B交換機(jī)的VLAN全部包含于本機(jī)及A機(jī)的VLAN50，A機(jī)的VLAN全部包含于本機(jī)VLAN200.這里注意，同VLAN號(hào)不同交換機(jī)的端口，并不表示它們同屬一個(gè)VLAN，這是因?yàn)槟硞€(gè)端口的包，當(dāng)其經(jīng)過(guò)上級(jí)端口時(shí)，便被改為上級(jí)端口的VLAN標(biāo)識(shí).

表1 各交換機(jī)VLAN從屬關(guān)系

至此，進(jìn)入核心交換機(jī)配置，核心交換機(jī)的下接口應(yīng)設(shè)為untag屬性的,然后將此端口劃給VLAN200.配置命令以DCRS7500為例：

（2）多級(jí)連交換機(jī)上配置多全網(wǎng)VLAN的ISOLATE-USER-VLAN

在多級(jí)連交換機(jī)上配置多全網(wǎng)VLAN的ISOLATE-USER-VLAN，以圖3為例進(jìn)行實(shí)驗(yàn)，圖中的5臺(tái)華為QuidwayS3026二十四口交換機(jī)進(jìn)行級(jí)連，每臺(tái)機(jī)器均以0槽1口為上行口、0槽2口為下行口.

圖3 5臺(tái)Quidway S3026級(jí)連

實(shí)驗(yàn)要求為：

○交換機(jī)A、B、C屬于ID為200的全網(wǎng)VLAN，交換機(jī)D、E屬于ID為201的全網(wǎng)VLAN；

○每個(gè)交換機(jī)除上、下行口外的端口，全部進(jìn)行二層隔離；

○每個(gè)交換機(jī)與計(jì)算機(jī)連接的端口，都能訪問(wèn)校園網(wǎng)服務(wù)器.

此實(shí)驗(yàn)配置過(guò)程如下：

A、B、C交換機(jī)的配置過(guò)程與上一實(shí)驗(yàn)基本相同，但C機(jī)的0/2口配置和Seconder VLAN配置有所不同，應(yīng)為：

在D交換機(jī)上：第一步定義VLAN201，將0/1端口分配給VLAN201，定義VLAN201為ISOLATE-USER-VLAN.第二步定義VLAN50、3、4、…、24，分別配給端口0/2、0/3、…、0/24.第三步將VLAN50、3、4、…、24設(shè)為VLAN201下的Second VLAN.配置命令參考上例，這里略.

在E交換機(jī)上：第一步定義VLAN50，將0/1端口分配給VLAN50，定義VLAN201為ISOLATE-USER-VLAN.第二步定義VLAN2、3、4、…、24，分別配給端口0/2、0/3、…、0/24.第三步將VLAN2、3、4、…、24設(shè)為VLAN50下的Second VLAN.配置命令略.

做完上述配置后，須在A、B、C的上行口（0/1）、下行口（0/2），以及D機(jī)的上行口（0/1）上，配上port hybrid vlan 201 tagged命令，使VLAN201的包通過(guò)時(shí)，打上VLAN201的tag.

至此，進(jìn)入核心交換機(jī)配置，仍以DCRS7500核心交換機(jī)為例.DCRS7500交換機(jī)只有TAG、UNTAG兩種屬性，無(wú)Hybrid屬性.而設(shè)成ISOLATE-USER-VLAN后的端口是Hybrid屬性，所以交換機(jī)組不能直接與核心交換機(jī)連接，可在其間加設(shè)一臺(tái)交換機(jī)（如Quidway S3050）.S3050以Gigabitethernet1/1口與核心交換機(jī)連接、以 Ethernet0/1口與交換機(jī)組連接.并設(shè)Gigaethernet1/1口給VLAN200、201打TAG；ethernet0/1口給VLAN201打TAG、不給VALN200打TAG.

除上述配置外，還需給交換機(jī)配置網(wǎng)關(guān)、VTY、STP等才能正常工作，這里不再贅述.

4 實(shí)驗(yàn)教學(xué)效果

我校計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)網(wǎng)絡(luò)集成課程自加強(qiáng)ISOLATE-USER-VALN集成實(shí)驗(yàn)后，取得了良好的實(shí)驗(yàn)教學(xué)效果.

1）ISOLATE-USER-VALN集成具有相當(dāng)?shù)膹?fù)雜性，學(xué)生通過(guò)實(shí)驗(yàn)后，網(wǎng)絡(luò)集成能力普遍提高.

2）ISOLATE-USER-VALN集成涉及集成面廣，實(shí)驗(yàn)培養(yǎng)了學(xué)生網(wǎng)絡(luò)全局統(tǒng)籌設(shè)計(jì)能力.

3）ISOLATE-USER-VALN集成運(yùn)用的網(wǎng)絡(luò)知識(shí)較多，對(duì)于學(xué)生建立嚴(yán)謹(jǐn)?shù)木W(wǎng)絡(luò)集成思維，也有裨益.■

[1]Barry Raveendran Greene and Philip Smith .Cisco ISP Essentials [M]Beijin: Post & Telecommunications Press

[2]Karen Webb. Building Cisco Multilayer Switched Networks [M] Beijin: Post & Telecommunications Press

[3]陸魁軍. 計(jì)算機(jī)網(wǎng)絡(luò)工程實(shí)踐教程[M]北京：清華大學(xué)出版社.

[4]張國(guó)鳴，唐樹(shù)才，薛剛遜編．網(wǎng)絡(luò)管理實(shí)用技術(shù)[M]．北京：清華大學(xué)出版社，2002：22-62．

[5]中國(guó)人民解放軍總裝備部軍事訓(xùn)練教材編輯工作委員會(huì)編．通信網(wǎng)管理技術(shù)[M]．北京：國(guó)防工業(yè)出版社，2003：110-145．

[6]楊家海，任憲坤，王沛瑜.網(wǎng)絡(luò)管理原理與實(shí)現(xiàn)技術(shù)[M].北京：清華大學(xué)出版社，2000：67-70．

【責(zé)任編輯 謝明俊】

Inquire into Integration ISOLATE-USER-VLAN on Switch of Computing

WENG Guo-xiu
(Yulin Normal University, Yulin, Guangxi 537000)

In Network integration experiment of computing, offering experiment of ISOLATE-USER-VLAN integration on multi-grade-connect switch apparently enhances student’s integration capacity, and develops their all-network design capability. This paper inquires into the construction of experiment environment, the ways and process of the experiment, and the teaching effect.

ISOLATE-USER-VLAN; integration; multi-grade-connect

TP39

A

1004-4671（2015）02-0118-05

2015-03-11

翁國(guó)秀（1976～），廣西玉林人，玉林師范學(xué)院教育技術(shù)中心工程師。研究方向：計(jì)算機(jī)技術(shù)應(yīng)用、實(shí)驗(yàn)室管理與實(shí)驗(yàn)教學(xué)。