應(yīng)用vlan技術(shù)建立鞍鋼計(jì)量遠(yuǎn)程信息網(wǎng)_secret

1、應(yīng)用VLAN技術(shù)建立鞍鋼計(jì)量遠(yuǎn)程信息網(wǎng)摘 要：介紹鞍鋼計(jì)量遠(yuǎn)程信息網(wǎng)的建網(wǎng)背景、建網(wǎng)思路、系統(tǒng)結(jié)構(gòu)， VLAN技術(shù)及應(yīng)用。關(guān)鍵字：VLAN技術(shù) 路由 網(wǎng)絡(luò)1建網(wǎng)背景鞍鋼公司為了適應(yīng)當(dāng)前生產(chǎn)和實(shí)現(xiàn)信息化管理，增強(qiáng)競(jìng)爭(zhēng)力的要求，于2001年建設(shè)了覆蓋全公司的高速信息傳輸網(wǎng)絡(luò)ATM綜合信息網(wǎng)，以實(shí)現(xiàn)公司生產(chǎn)、財(cái)會(huì)的計(jì)算機(jī)管理為起點(diǎn)，逐漸擴(kuò)展。該網(wǎng)也為實(shí)施遠(yuǎn)程接入、視頻監(jiān)控、電視會(huì)議等寬帶信息傳輸與應(yīng)用提供了充足的條件。鞍鋼做為國有特大型企業(yè)，其下屬的各子公司、廠礦根據(jù)自己的業(yè)務(wù)特點(diǎn)，辦公地點(diǎn)有的集中在一起，聯(lián)網(wǎng)比較方便簡(jiǎn)單；有的比較分散而其網(wǎng)絡(luò)業(yè)務(wù)需求卻較大，如計(jì)量、燃?xì)?、供電等系統(tǒng)。如果還采用傳統(tǒng)

2、的以各廠辦公樓為中心，向外輻射直連到各下級(jí)單位（車間、班組）的模式，僅線路一項(xiàng)（光纜、網(wǎng)線）的投資就是十分巨大的。而運(yùn)用現(xiàn)已十分成熟的VLAN技術(shù)，采取就近接入上網(wǎng)的策略，充分利用現(xiàn)有的ATM網(wǎng)絡(luò)資源，是解決計(jì)量等遠(yuǎn)程信息接入的良好途徑。2VLAN技術(shù)簡(jiǎn)介VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。VLAN在邏輯上等價(jià)于廣播域。更具體的說，我們可

3、以將VLAN類比成一組最終用戶的集合。這些用戶可以處在不同的物理LAN上，但他們之間可以象在同一個(gè)LAN上那樣自由通信而不受物理位置的限制。在這里，網(wǎng)絡(luò)的定義和劃分與物理位置和物理連接是沒有任何必然聯(lián)系的。網(wǎng)絡(luò)管理員可以根據(jù)不同的需要，通過相應(yīng)的網(wǎng)絡(luò)軟件靈活的建立和配置虛擬網(wǎng)，并為每個(gè)虛擬網(wǎng)分配它所需要的帶寬。2.1VLAN的劃分從技術(shù)角度講，VLAN的劃分可依據(jù)不同原則，一般有以下幾種劃分方法：（1）基于端口的VLAN劃分這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分為一個(gè)邏輯組，這是最簡(jiǎn)單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備

4、，是最常用的一種方式。但是，這種方式不允許多個(gè)VLAN共享一個(gè)物理網(wǎng)段或交換機(jī)端口。而且，如果某一個(gè)用戶從一個(gè)端口所在的虛擬網(wǎng)移動(dòng)到另一個(gè)端口所在的虛擬網(wǎng)，網(wǎng)絡(luò)管理員需要重新進(jìn)行設(shè)置。這對(duì)于擁有眾多移動(dòng)用戶的網(wǎng)絡(luò)來說是不可想象的。（2）基于MAC地址的VLAN劃分MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的MAC地址都是唯一且固化在網(wǎng)卡上的。MAC地址由12位16進(jìn)制數(shù)表示，前8位為廠商標(biāo)識(shí)，后4位為網(wǎng)卡標(biāo)識(shí)。網(wǎng)絡(luò)管理員可按MAC地址把一些站點(diǎn)劃分為一個(gè)邏輯子網(wǎng)。按MAC地址定義的VLAN有其特有的優(yōu)勢(shì)。因?yàn)镸AC地址是捆綁在網(wǎng)絡(luò)接口卡上的，所以這種形式的虛擬網(wǎng)允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)

5、到另一個(gè)物理位置，并且自動(dòng)保留其所屬虛擬網(wǎng)段的成員身份。同時(shí)，這種方式獨(dú)立于網(wǎng)絡(luò)的高層協(xié)議（如TCP/IP，IP，IPX等）。因此，從某種意義上講，利用MAC地址定義虛擬網(wǎng)可以看成是一種基于用戶的網(wǎng)絡(luò)劃分手段。這種方法的一個(gè)缺點(diǎn)是所有的用戶必須被明確的分配給一個(gè)虛擬網(wǎng)。在這種初始化工作完成之后，對(duì)用戶的自動(dòng)跟蹤才成為可能。然而，在一個(gè)擁有成千上萬用戶的大型網(wǎng)絡(luò)中，如果要求管理員將每個(gè)用戶都一一劃分到某一個(gè)虛擬網(wǎng)，這實(shí)在是太困難了。因此，有些廠商便將這項(xiàng)配置MAC地址的復(fù)雜勞動(dòng)推給了他們的網(wǎng)絡(luò)管理工具。這些網(wǎng)管工具可以根據(jù)當(dāng)前網(wǎng)絡(luò)的使用情況，在MAC地址的基礎(chǔ)上自動(dòng)劃分虛擬網(wǎng)。（3）基于路由的V

6、LAN劃分路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè)VLAN中?；诰W(wǎng)絡(luò)層（基于路由）的虛擬網(wǎng)使用協(xié)議（如果網(wǎng)絡(luò)中存在多協(xié)議的話）或網(wǎng)絡(luò)層地址（如TCP/IP中的子網(wǎng)段地址）來確定網(wǎng)絡(luò)成員的劃分。利用網(wǎng)絡(luò)層定義虛擬網(wǎng)有以下幾點(diǎn)優(yōu)勢(shì)。第一，這種方式可以按傳輸協(xié)議劃分網(wǎng)段。這對(duì)于希望針對(duì)具體應(yīng)用和服務(wù)來組織用戶的網(wǎng)絡(luò)管理員來說無疑是非常有誘惑力的。其次，用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動(dòng)而不用重新配置自己的工作站，尤其是使用TCP/IP的用戶。第三，這種類型的虛擬網(wǎng)可以減少由于協(xié)議轉(zhuǎn)換而造成的網(wǎng)絡(luò)延遲。缺點(diǎn)是與利用MA

7、C地址的形式相比，基于網(wǎng)絡(luò)層的虛擬網(wǎng)需要分析各種協(xié)議的地址格式并進(jìn)行相應(yīng)的轉(zhuǎn)換。因此，使用網(wǎng)絡(luò)層信息來定義虛擬網(wǎng)的交換機(jī)要比使用數(shù)據(jù)鏈路層信息的交換機(jī)在速度上占劣勢(shì)。而且，這種差異在絕大多數(shù)網(wǎng)絡(luò)產(chǎn)品中都存在。另外，雖然按網(wǎng)絡(luò)層劃分的虛擬網(wǎng)對(duì)于使用TCP/IP協(xié)議的用戶群來說是十分有效的。但是，象IPX、DECnet、AppleTalk這樣的協(xié)議運(yùn)行在這種虛擬網(wǎng)絡(luò)結(jié)構(gòu)中似乎就不太合適了。再者，對(duì)于某些“無法路由”的協(xié)議如NetBIOS，按網(wǎng)絡(luò)層定義虛擬網(wǎng)就更困難了。運(yùn)行不可路由的協(xié)議的工作站是不能被識(shí)別的，因此也就不能成為虛擬網(wǎng)的一員。雖然這種類型的虛擬網(wǎng)是建立在網(wǎng)絡(luò)層的基礎(chǔ)上，但交換機(jī)本身并不

8、參與路由工作。當(dāng)一個(gè)交換機(jī)捕捉到一個(gè)IP包，并利用IP地址確定其身份時(shí)，沒有任何與路由有關(guān)的計(jì)算產(chǎn)生。RIP以及OSPF等路由傳輸協(xié)議也不被采用。交換機(jī)只是作為一個(gè)高速網(wǎng)橋，簡(jiǎn)單的利用擴(kuò)展樹算法將包轉(zhuǎn)發(fā)給下一個(gè)節(jié)點(diǎn)上的交換機(jī)?；诰W(wǎng)絡(luò)層的虛擬網(wǎng)之間的連接應(yīng)該看成是一個(gè)類似于橋的拓?fù)浣Y(jié)構(gòu)。（4）基于IP廣播組的VLAN劃分根據(jù)IP廣播組定義是指任何屬于同一IP廣播組的計(jì)算機(jī)都屬于同一虛擬網(wǎng)。當(dāng)IP包廣播到網(wǎng)絡(luò)上時(shí)，它將被傳送到一組IP地址的受托者那里。這組被明確定義的廣播組是在網(wǎng)絡(luò)運(yùn)行中動(dòng)態(tài)生成的。任何一個(gè)工作站都有機(jī)會(huì)成為某一個(gè)廣播組的成員，只要它對(duì)該廣播組的廣播確認(rèn)信息給予肯定的回答。所有加

9、入同一個(gè)廣播組的工作站被視為同一個(gè)虛擬網(wǎng)的成員。然而，他們的這種成員身分可根據(jù)實(shí)際需求保留一定的時(shí)間。因此，利用IP廣播域來劃分虛擬網(wǎng)的方法給使用者帶來了巨大的靈活性和可延展性。而且，在這種方式下，整個(gè)網(wǎng)絡(luò)可以非常方便地通過路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。綜上所述，有很多方式可以用來定義虛擬網(wǎng)。每種方法的側(cè)重點(diǎn)不同，所達(dá)到的效果也不盡相同。在具體應(yīng)用時(shí)要根據(jù)實(shí)際情況選擇一種最適合當(dāng)前需要的途徑，因此，鞍鋼計(jì)量遠(yuǎn)程信息網(wǎng)依據(jù)實(shí)際需求選用的是第一種劃分方式既采用基于端口的VLAN劃分方式。2.2使用VLAN的優(yōu)點(diǎn)使用VLAN具有以下優(yōu)點(diǎn)：（1）增加了網(wǎng)絡(luò)連接的靈活性網(wǎng)絡(luò)上工作站可以按業(yè)務(wù)功能而不必按地理位置分

10、組。VLAN可以降低移動(dòng)或變更工作站地理位置的管理費(fèi)用，特別是一些業(yè)務(wù)情況有經(jīng)常性變動(dòng)的用戶使用了VLAN后，這部分管理費(fèi)用將大大降低。（2）控制網(wǎng)絡(luò)上的廣播風(fēng)暴隨著網(wǎng)絡(luò)向交換結(jié)構(gòu)轉(zhuǎn)變，人們失去了路由器提供防火墻功能。這樣，廣播風(fēng)暴將發(fā)送到每一個(gè)交換端口，也就是常說的整個(gè)網(wǎng)絡(luò)是一個(gè)廣播域。使用交換網(wǎng)絡(luò)的優(yōu)勢(shì)是可以提供低延時(shí)和高吞吐量，缺點(diǎn)是增加了整個(gè)交換網(wǎng)絡(luò)的廣播風(fēng)暴。VLAN可以提供建立防火墻的機(jī)制，防止交換網(wǎng)絡(luò)上的過量廣播風(fēng)暴。使用VLAN可以將某個(gè)交換端口或用戶賦于某一個(gè)特定的VLAN組，該VLAN組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機(jī)，在一個(gè)VLAN中的廣播風(fēng)暴不會(huì)送到VLAN之外。同樣

11、，相鄰的端口不會(huì)收到其他VLAN產(chǎn)生的廣播風(fēng)暴。這樣，可以減少廣播流量，釋放帶寬給用戶應(yīng)用，減少廣播風(fēng)暴的產(chǎn)生。（3）增加網(wǎng)絡(luò)的安全性人們?cè)贚AN上經(jīng)常傳送一些保密的、關(guān)鍵性的數(shù)據(jù)。保密的數(shù)據(jù)應(yīng)提供訪問控制等安全手段。一個(gè)有效和容易實(shí)現(xiàn)的方法是將網(wǎng)絡(luò)分段成幾個(gè)不同的廣播組，網(wǎng)絡(luò)管理員限制了VLAN中用戶的數(shù)量，禁止未經(jīng)允許而訪問VLAN中的應(yīng)用。交換端口可以基于應(yīng)用類型和訪問特權(quán)來進(jìn)行分組，被限制的應(yīng)用程序和資源一般置于安全性VLAN中。（4）增加了集中化的管理控制通過集中化的VLAN管理程序，網(wǎng)絡(luò)管理員可以確定VLAN組，分配特定用戶和交換端口給這些VLAN組，設(shè)置安全性等級(jí)，限制廣播域的大

12、小，通過冗余鏈路負(fù)載分擔(dān)網(wǎng)絡(luò)流量，跨越交換機(jī)配置VLAN通信，監(jiān)控交通流量和VLAN使用的網(wǎng)絡(luò)帶寬。這些能力有效地提高了網(wǎng)絡(luò)管理程序的可控性、靈活性和監(jiān)視功能，減少了管理的費(fèi)用。鞍鋼計(jì)量遠(yuǎn)程信息網(wǎng)已具備了上述幾項(xiàng)特點(diǎn)，受到用戶的好評(píng)。3建網(wǎng)思路在傳統(tǒng)的局域網(wǎng)中，各站點(diǎn)共享傳輸信道所造成的信道沖突和廣播風(fēng)暴是影響網(wǎng)絡(luò)性能的重要因素。為了解決發(fā)生在網(wǎng)絡(luò)第二層的信道沖突和發(fā)生在網(wǎng)絡(luò)第三層的廣播風(fēng)暴問題，網(wǎng)橋和路由器被廣泛應(yīng)用于局域網(wǎng)中。由網(wǎng)橋連接的網(wǎng)絡(luò)屬于同一邏輯子網(wǎng)，邏輯子網(wǎng)是指該網(wǎng)絡(luò)中的網(wǎng)絡(luò)站點(diǎn)具有相同的網(wǎng)絡(luò)層地址，例如具有相同的IP網(wǎng)絡(luò)號(hào)。由路由器將不同邏輯子網(wǎng)連接在一起，邏輯子網(wǎng)間的通信必須

13、經(jīng)路由器進(jìn)行。在這種網(wǎng)絡(luò)結(jié)構(gòu)中，由集線器、粗纜和細(xì)纜所構(gòu)成的物理網(wǎng)絡(luò)與邏輯子網(wǎng)相對(duì)應(yīng)。通常一個(gè)IP子網(wǎng)屬于一個(gè)廣播域，因此網(wǎng)絡(luò)中的廣播域是根據(jù)物理網(wǎng)絡(luò)來劃分的。這樣的網(wǎng)絡(luò)結(jié)構(gòu)無論從效率和安全性角度來考慮都有所欠缺。同時(shí)，由于網(wǎng)絡(luò)中的站點(diǎn)被束縛在所處的物理網(wǎng)絡(luò)中，而不能夠根據(jù)需要將其劃分至相應(yīng)的邏輯子網(wǎng)，因此網(wǎng)絡(luò)的結(jié)構(gòu)缺乏靈活性。例如分屬于不同集線器的站點(diǎn)不能屬于同一個(gè)邏輯子網(wǎng)。而VLAN技術(shù)正好可以解決這一難題，網(wǎng)絡(luò)中的站點(diǎn)不再拘泥于所處的物理位置，而可以根據(jù)需要靈活地加入不同的邏輯子網(wǎng)中。目前公司下屬各廠礦基本都已建成了采用TCP/IP協(xié)議基于交換機(jī)的局域網(wǎng)（以太網(wǎng)），并通過公司ATM骨干網(wǎng)

14、互連。計(jì)量、燃?xì)?、供電等廠礦的實(shí)際情況正是如此，總廠已接入公司ATM網(wǎng)，而各車間班組站點(diǎn)的物理位置卻分散在鞍鋼廠區(qū)的不同地方，因此，我們可以充分利用現(xiàn)有的資源，根據(jù)各站點(diǎn)所處的物理位置和實(shí)際需求，利用VLAN技術(shù)采取就近接入上網(wǎng)的策略，組建起符合實(shí)際需求的遠(yuǎn)程接入網(wǎng)絡(luò)，以滿足廣大用戶的需求。首先根據(jù)用戶的實(shí)際情況和物理位置設(shè)計(jì)出用戶端到頂端（既就近接入ATM網(wǎng)的二級(jí)交換機(jī)P333T的端口處）的最佳光纜路由，然后按照統(tǒng)一規(guī)劃在P333T上將用戶所接端口劃入用戶所在的VLAN中，連好連線，既建立起遠(yuǎn)端用戶與廠部的通信路由。從2002年5月開始，計(jì)量廠遠(yuǎn)程信息網(wǎng)經(jīng)兩期工程共接入用戶站點(diǎn)81處，敷設(shè)光

15、纜80多公里（一期：子站類20處用戶，累計(jì)用光纜20余公里；二期：衡器類61處用戶，累計(jì)用光纜60余公里），已有140多臺(tái)微機(jī)與廠部實(shí)現(xiàn)了互聯(lián)，可實(shí)時(shí)傳輸數(shù)據(jù)、圖象。一期（子站類）、二期（衡器類）工程的路由圖分別如圖一和圖二所示。4鞍鋼計(jì)量遠(yuǎn)程信息網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)鞍鋼計(jì)量系統(tǒng)遠(yuǎn)程信息網(wǎng)是以鞍鋼公司ATM骨干網(wǎng)為依托，充分利用現(xiàn)有設(shè)備和設(shè)施組建起來的。本廠設(shè)置一臺(tái)二級(jí)交換機(jī)（朗訊公司的Cajun P333T）作為廠部及鄰近站點(diǎn)用戶接入ATM骨干網(wǎng)用。廠外站點(diǎn)根據(jù)各自所處的物理位置和實(shí)際需求，利用VLAN技術(shù)采取就近接入上網(wǎng)的策略（VLAN劃分采用基于端口的方式）接入ATM網(wǎng)。例如計(jì)量廠在遠(yuǎn)離廠部的煉鐵總廠院內(nèi)有一站點(diǎn)：計(jì)量廠煉鐵子站（IP地址為：192.8.80.12）。計(jì)量廠所在VLAN是vlan80，所用網(wǎng)段是192.8.80.0。則在煉鐵總廠（所在VLAN是vlan19，所用網(wǎng)段是192.8.19.0）二級(jí)