1、多网合并的解决方案杨继胜摘要:运用实际案例,阐述在已 经存在的两个(或多个)局域网合并 为一个局域网的过程中,相关交换机的配置要求及操作方法。关键词:局域网 多网合并 VLAN 交换机THE WAY OF COMBINING NETWORKSDUAN Xiao-rong, ZHANG Hong-ming(Information Engineering Research Center of Nanchang University,Nanchang 330029,China)Abstract:With a practicality instance,discuss the way how to c
2、ombine two or several networks that had already existed before,include the way of configuring switches,and the step of the configuring practice。Keywords:local admain network,networks combined,VLAN,SWITCH一、 问题的提出信息时代的飞速发展,不仅仅影响了个人电脑数量的快速飚升,也直接影响着网络本身的快速膨胀,由一个小局域网慢慢地扩充为一个大局域网是一种趋势,而由几个小局域网合并成为一个大的局域网,
3、则是在信息暴炸时代既可实现资源共享又可节约人力物力的理想方式。如今多校合并的风气劲头正足,现有的几个校园网络的合并,以实现多个分校之间的资源共享,已经提到了这些校园网网络中心议事日程。而随着公众宽带网的进入校园,如何让校园内宽带网用户与教育网用户实现互访,让学校的教职员工和学生在上宽带时也能访问学校的诸如图书馆、电教中心等资源(这些资源一般是不对包括公众网用户在内的校园外用户开放的) ,在校园内部构建公众网与教育网组合起来的一个大网,让学校师生能够充分、快捷地利用教育网和公众网的资源,就成为一个必须考虑的技术问题。当然,如果公众网和教育网在相关问题上达成统一的共识,那么在校园内实现公众众网和教
4、育网的直接的互通互联,也就只是一步之遥了。二、 技术可行性分析多网合并,是指在不增加设备,基本不改变原有各自网络结构与配置的情况下,将多个网组合到一起,通过同一个交换机控制多个网络的流量,实现多个网络间的互联。要达到这个目的,首先得选一台性能各方面较为先进的交换机作为新网的主交换机,其次,由于各网在网络建设过程中都是相对独立的,当要将它们组合成一个网时,它们原有的网络配置将会存在冲突现象。这个冲突主要来自 VLAN 编号的冲突。在一个局域内部,是靠划分不同的 VLAN 来进行网络规划和管理的,而识别 VLAN 的方式就是用 VLAN 编号来进行的。当几个网都存在同一个 VLAN 编号,但各自的
5、 IP 地址却不相同时,就无法将它们组合在一起。所以第二步必须修改各个网络的 VLAN 编号。对于一般的 VLAN 来说,其编号是可以随便设定的,因此当几个网所用的 VLAN编号有重复时,只须将重复的 VLAN 删除,然后再添加一个 VLAN,将原 VLAN 的IP 地址、端口号等相关配置配给此 VLAN 即可,只是此 VLAN 的编号必须重新选一个其它几个网都没有的编号。唯一例外的就只有 1 号 VLAN(简称 VLAN 1) 。VLAN 1 在交换机上具有特殊的地位,一般是作为全网互联和管理用的,当一个网中存在多台交换机(它们可以作为主交换机之外的另一节点交换机,这在网络构建和网络管理上是
6、必须的) ,通常的方式是用 VLAN 1 将这些节点交换机联接的,其他 VLAN 则通过相应的节点交换机再联接至主交换机,最后由主交换机接入 INTERNET。所以各交换机的 VALN 1 都是不能删除的。而事实上,将互联和管理用 IP 地址分配给其他VLAN,通过其它 VLAN 进行节点交换机的互联和网络管理也是可行的。所以,在多网合并之前,如果能将各网的管理和互联用 VLAN 从原来的 VLAN 1 换到一个新VLAN 上,则多网合并就不存在任何问题了。剩下的问题只是将各网主交换机都连接到同一个交换机上,配置好这台交换机的路由表即可。原来的网络并不需要再进行更改。三、 解决方案及实际操作方
7、法1、 现状及要求某校为两校合并而成的一所综合性大学,所以其校园园区分有东西两个园区。在校园网络规划上采用了一个中心节点,两个分节点的方式。东西两区的办公楼分别布光纤到各自所属园区的分节点,两个分节点再通过光纤连接到设在东区的主节点上。校园网网管中心办公室在主节点上。在三个节点上,分别放置一台交换机,其中主节点使用 BAY1200,两个分节点使用 BAY1100。三台交换机上均设有多个 VLAN 子网。三台交换机本身则采用同一 VLAN(VLAN1)不同网关的方式将整个网络联接起来。其他各 VLAN 则通过指定默认路由方式从 VLAN1 访问 INTERNET。这种网络结构,一方面节省了网络构
8、建成本,另一方面也使网络结构清晰,非常便于网络管理。校园宽带用户公众网教育网Cisco6509 1.1.1.254BAY12001.1.1.20BAY1100 BAY1100东区子网 西区子网1.1.1.21 1.1.1.22最近,电信局的宽带网也将进入校园,其主要设备是一台性能较为先进的 Cisco 6509 交换机。同时,校方的校务办公自动化网络系统也将投入运行。为了让办公自动化网络系统能在办公网和宽带网上实现。因此校方要求将校园宽带网与教育网在 Cisco 6509 上实现互访,使两网并成一网。同时,保留教育网与公众网直接互访的可能。其基本的网络结构如上图所示。图中所示的 BAY1200
9、 与 Cisco 6509 的连接问题正是本文所要研究的问题。2、 方案实施根据前面的可行性分析,校园网与校园宽带网(公众网)的互联,其实最主要的问题是两网之间独立构建时所形成的 VLAN 的冲突。所以,首先我们必须将其中一个局域网的 VLAN 号修改一下。由于宽带网涉及的点多面将,所以我们考虑修改校园办公网络的 VLAN 号。而对于 BAY 系列的交换机来说,其网管软件(NortelFrameSwitch Management Software)是很直观而又方便的。修改 VLAN 1 之外的 VLAN 号相对来说是非常简单的。但是,修改 VLAN 1 却有些复杂,因为我们希望,第一,操作时间
10、要短(网络中断时间不能太长) ;第二,在中心机房内完成所有工作。为此,我们设计了如下的实施步骤:首先,我们先假定 BAY1200 的 VLAN 1 的 IP 地址为 1.1.1.20,两个BAY1100(简称远端交换机)的 VLAN 1 的 IP 地址分别为 1.1.1.21 和 1.1.1.22,远端交换机上指定默认路由都指向 1.1.1.20。而 210.35.240.20 的默认路由则指向整个网络的出口防火墙地址 1.1.1.254。这样整个校园网就依赖此 VLAN 1 联结而成。我们假定 VLAN 1 之外的 VLAN 编号全部已经修改成了 802 以后的号码,现在要将 VLAN 1
11、的编号修改为 VLAN 801。修改完成后,VLAN 1 将成为空的没有任何内容的 VLAN,由 VLAN 801 代替原来的 VLAN 1 构建整个校园网络。下面是我们的实施步骤(假定操作的是东区交换机,西区交换机的修改方法完全相同):、首先,为了保证操作时网络不会中断(如果中断了,则不可能在中心机房内完成修改工作) ,必须先将联通三个交换机的四个端口设置成 TRUNK 方式。、在远端交换机(BAY1100)上增加一个 VLAN 2,将联接 BAY1200 的光纤端口(1/1)划入 VLAN2 中(这样端口 1/1 就同属于 VLAN1 和 VLAN2 了) ,VLAN2的 IP 地址分配为
12、 1.1.2.2 255.255.255.240,VLAN 名称定为 TEST。、在 BAY1200 也增加 VLAN2,将联结东西两区的光纤端口(1/1 和 1/2)以及另一个 RJ-45 端口(设为 2/12)划入 VLAN2 中,VLAN2 的 IP 地址设定为 1.1.2.1 255.255.255.240。VLAN 名称也为 TEST。、将 PC 机接到 BAY1200 的 2/12 上,并将 PC 机的 IP 改为 1.1.2.3 255.255.255.240。网关为 1.1.2.1。现在开始我们将用此 PC 进行操作。、用远端交换机新的 IP 地址(1.1.2.2)登录远端交换
13、机(此前一直是用VLAN1 的 1.1.1.21 登录的) ,由于此时管理 VLAN 是 VLAN2,所以此时可以对VLAN1 进行操作了。将 VLAN1 的 IP 地址及所属端口全部删除。这样 VLAN1 就成了一个空的 VLAN 了。同时新增一个 VLAN801,将原 VLAN1 的 IP 地址及端口原样配置在 VLAN801 上。VLAN 名称可以自选。注意:由于 VLAN1 内容的删除,原默认路由已经不存在,所以此时应增加默认路由 0.0.0.0 0.0.0.0 1.1.1.20。此项操作至关重要,否则网络有可能出现异常。、用以上同样的方法配置其他远端交换机。只须将 IP 地址作相应的
14、变化。、全部的远端交换机配置完成后,在本地交换机(BAY1200)上删除 VLAN1的 IP 地址及端口,使其成为空 VLAN。增加 VLAN801,将原 VLAN1 的内容配置给VLAN801。不要忘记配置默认路由 0.0.0.0 0.0.0.0 1.1.1.254、在全部远端和近端交换机上设置新的管理 VLAN801 的 AUTHKEY 值。、将全部交换机上的 VLAN2 删除。这样,原校园网的 VLAN 修改工作就全部完成,为两网合并扫清了障碍。当然,要把两网联接起来,还得对用作合并后的网络主交换机 Cisco 6509 进行相应的配置才行。主要有以下几方面的工作:第一, 在 Cisco
15、6509 上指定端口与 BAY1200 的相应端口相连。将此两端口设置成 TRUNK 方式,并划入 VLAN801 中。给定端口地址为1.1.1.24。BAY1200 的默认路由可以指向此地址。这样通过 VLAN801 可以将 Cisco 6509 的此端口与校园办公网融合在一个网上,在这个网内由VLAN801 通过 OSPF 透传路由信息。第二, 在 Cisco 6509 上指定端口与校园网防火墙相连,替代原 BAY1200 与防火墙的联接。此端口属于 VLAN801,作为校园教育网的总出口,经防火墙接入教育网。在 Cisco 6509 上设置教育网地址的下一跳地址为1.1.1.254。第三
16、, 设置访问控制列表(ACL) ,主要思路为:允许校园内宽带网用户访问校园内部教育网资源(如图书馆、电教中心) ;允许校园教育网用户访问校园内宽带网用户;允许校园教育网用户之间无阻塞地自由互访;阻止校园外宽带网用户通过 Cisco6509 访问校园网资源甚至是访问整个教育网;阻止校园教育网用户通过 Cisco6509 直接访问公众网。由于 Cisco 6509默认路由的存在,有可能导致教育网内地址在此默认路由上丢失数据包,所以应特别注意看起来不存在任何问题的校园教育网到教育网的访问控制问题。这在 Cisco6509 也接有教育网的 VLAN 的时候(有时为了充分利用 Cisco6509 端口和
17、性能,也可能将部分 VLAN 直接配置在Cisco6509 上) ,尤其重要。访问控制列表大致如下所示:ip access-list extended no-local-jiaoyu-dianxindeny ip 0.0.0.0 0.0.15.255 218.99.50.0 0.0.1.255deny ip any 0.0.0.0 0.0.15.255permit ip any anyaccess-list 99 permit 218.99.118.157route-map no-local-jiaoyu-dianxin permit 10match ip address no-local-j
18、iaoyu-dianxinset ip next-hop 1.1.1.2540.0.0.0 0.0.15.255 为教育网 16 个 C 类 IP 地址;218.99.50.0 0.0.1.255 为宽带网 2 个 C 类 IP 地址;218.99.118.157 为宽带网用户的访问 Internet 的出口地址。四、 结束语本文所述为一个实际的成功案例,在实施过程中,经过电信局与校方的分析协商,满足了双方的要求,相信对有关人员具有一定的参考借鉴价值。作者简介:段小荣 男 1968 年出生 籍贯 江西赣州 工学士 工程师 研究方向:计算机网络管理参考文献1第三层交换 (美) Jim Metzler, Lynn DeNoia 著 卢泽新, 周榕等译 北京 机械工业出版社 2000 年2Cisco Catalyst 局域网交换技术 (美)Louis R.Rossi,Louis D.Rossi,Thomas L.Rossi 著 潇湘工作室译 北京 机械工业出版社 2000 年3虚拟局域网 (美)Marina Smith 著 北京 清华大学出版社, 2000 年4计算机网络系统集成与方案实例 陈俊良,黎连业主编 北京 机械工业出版社, 2001 年
