多网合并的解决方案
多网合并的解决方案
杨继胜
摘要:运用实际案例,阐述在已经存在的两个(或多个)局域网合并为一个局域网的过程中,相关交换机的配置要求及操作方法。
关键词:局域网 多网合并 VLAN 交换机
THE WAY OF COMBINING NETWORKS
DUAN Xiao-rong, ZHANG Hong-ming
(Information Engineering Research Center of Nanchang University,Nanchang 330029,China)
Abstract:With a practicality instance,discuss the way how to combine two or several networks that had already existed before ,include the way of configuring switches ,and the step of the configuring practice。
Keywords:local admain network,networks combined,VLAN,SWITCH
一、 问题的提出
信息时代的飞速发展,不仅仅影响了个人电脑数量的快速飚升,也直接影响着网络本身的快速膨胀,由一个小局域网慢慢地扩充为一个大局域网是一种趋势,而由几个小局域网合并成为一个大的局域网,则是在信息暴炸时代既可实现资源共享又可节约人力物力的理想方式。如今多校合并的风气劲头正足,现有的几个校园网络的合并,以实现多个分校之间的资源共享,已经提到了这些校园网网络中心议事日程。而随着公众宽带网的进入校园,如何让校园内宽带网用户与教育网用户实现互访,让学校的教职员工和学生在上宽带时也能访问学校的诸如图书馆、电教中心等资源(这些资源一般是不对包括公众网用户在内的校园外用户开放的),在校园内部构建公众网与教育网组合起来的一个大网,让学校师生能够充分、快捷地利用教育网和公众网的资源,就成为一个必须考虑的技术问题。当然,如果公众网和教育网在相关问题上达成统一的共识,那么在校园内实现公众众网和教育网的直接的互通互联,也就只是一步之遥了。
二、 技术可行性分析
多网合并,是指在不增加设备,基本不改变原有各自网络结构与配置的情况下,将多个网组合到一起,通过同一个交换机控制多个网络的流量,实现多个网络间的互联。要达到这个目的,首先得选一台性能各方面较为先进的交换机作为新网的主交换机,其次,由于各网在网络建设过程中都是相对独立的,当要将它们组合成一个网时,它们原有的网络配置将会存在冲突现象。这个冲突主要来自VLAN 编号的冲突。在一个局域内部,是靠划分不同的VLAN 来进行网络规划和管理的,而识别VLAN 的方式就是用VLAN 编号来进行的。当几个网都存在同一个VLAN 编号,但各自的IP 地址却不相同时,就无法将它们组合在一起。所以第二步必须修改各个网络的VLAN 编号。对于一般的VLAN 来说,其编号是可以随便设定的,因此当几个网所用的VLAN 编号有重复时,只须将重复的VLAN 删除,然后再添加一个VLAN ,将原VLAN 的IP 地址、端口
号等相关配置配给此VLAN 即可,只是此VLAN 的编号必须重新选一个其它几个网都没有的编号。唯一例外的就只有1号VLAN (简称VLAN 1)。VLAN 1在交换机上具有特殊的地位,一般是作为全网互联和管理用的,当一个网中存在多台交换机(它们可以作为主交换机之外的另一节点交换机,这在网络构建和网络管理上是必须的),通常的方式是用VLAN 1 将这些节点交换机联接的,其他VLAN 则通过相应的节点交换机再联接至主交换机,最后由主交换机接入INTERNET 。所以各交换机的V ALN 1 都是不能删除的。而事实上,将互联和管理用IP 地址分配给其他VLAN ,通过其它VLAN 进行节点交换机的互联和网络管理也是可行的。所以,在多网合并之前,如果能将各网的管理和互联用VLAN 从原来的VLAN 1 换到一个新VLAN 上,则多网合并就不存在任何问题了。剩下的问题只是将各网主交换机都连接到同一个交换机上,配置好这台交换机的路由表即可。原来的网络并不需要再进行更改。
三、 解决方案及实际操作方法
1、 现状及要求
某校为两校合并而成的一所综合性大学,所以其校园园区分有东西两个园区。在校园网络规划上采用了一个中心节点,两个分节点的方式。东西两区的办公楼分别布光纤到各自所属园区的分节点,两个分节点再通过光纤连接到设在东区的主节点上。校园网网管中心办公室在主节点上。在三个节点上,分别放置一台交换机,其中主节点使用BAY1200,两个分节点使用BAY1100。三台交换机上均设有多个VLAN 子网。三台交换机本身则采用同一VLAN (VLAN1)不同网关的方式将整个网络联接起来。其他各VLAN 则通过指定默认路由方式从VLAN1访问INTERNET 。这种网络结构,一方面节省了网络构建成本,另一方面也使网络结构清晰,非常便于网络管理。
1.1.1.21 1.1.1.22
最近,电信局的宽带网也将进入校园,其主要设备是一台性能较为先进的Cisco 6509交换机。同时,校方的校务办公自动化网络系统也将投入运行。为了让办公自动
化网络系统能在办公网和宽带网上实现。因此校方要求将校园宽带网与教育网在Cisco 6509上实现互访,使两网并成一网。同时,保留教育网与公众网直接互访的可能。
其基本的网络结构如上图所示。图中所示的BAY1200与Cisco 6509的连接问题正是本文所要研究的问题。
2、 方案实施
根据前面的可行性分析,校园网与校园宽带网(公众网)的互联,其实最主要的问题是两网之间独立构建时所形成的VLAN 的冲突。所以,首先我们必须将其中一个局域网的VLAN 号修改一下。由于宽带网涉及的点多面将,所以我们考虑修改校园办公网络的VLAN 号。而对于BAY 系列的交换机来说,其网管软件(NortelFrameSwitch Management Software)是很直观而又方便的。修改VLAN 1之外的VLAN 号相对来说是非常简单的。但是,修改VLAN 1却有些复杂,因为我们希望,第一,操作时间要短(网络中断时间不能太长);第二,在中心机房内完成所有工作。为此,我们设计了如下的实施步骤:
首先,我们先假定BAY1200的VLAN 1的IP 地址为1.1.1.20,两个BAY1100(简称远端交换机)的VLAN 1 的IP 地址分别为 1.1.1.21和1.1.1.22,远端交换机上指定默认路由都指向1.1.1.20。而210.35.240.20的默认路由则指向整个网络的出口防火墙地址1.1.1.254。这样整个校园网就依赖此VLAN 1联结而成。
我们假定VLAN 1之外的VLAN 编号全部已经修改成了802以后的号码,现在要将VLAN 1的编号修改为VLAN 801。修改完成后,VLAN 1将成为空的没有任何内容的VLAN ,由VLAN 801代替原来的VLAN 1构建整个校园网络。
下面是我们的实施步骤(假定操作的是东区交换机,西区交换机的修改方法完全相同):
⑴、首先,为了保证操作时网络不会中断(如果中断了,则不可能在中心机房内完成修改工作),必须先将联通三个交换机的四个端口设置成TRUNK 方式。
⑵、在远端交换机(BAY1100)上增加一个VLAN 2,将联接BAY1200的光纤端口(1/1)划入VLAN2中(这样端口1/1就同属于VLAN1和VLAN2了),VLAN2的IP 地址分配为 1.1.2.2 255.255.255.240,VLAN 名称定为TEST 。
⑶、在BAY1200也增加VLAN2,将联结东西两区的光纤端口(1/1和1/2)以及另一个RJ-45端口(设为2/12)划入VLAN2中,VLAN2的IP 地址设定为1.1.2.1 255.255.255.240。VLAN 名称也为TEST 。
⑷、将PC 机接到BAY1200的2/12上,并将PC 机的IP 改为1.1.2.3 255.255.255.240。网关为1.1.2.1。
现在开始我们将用此PC 进行操作。
⑸、用远端交换机新的IP 地址(1.1.2.2)登录远端交换机(此前一直是用VLAN1的1.1.1.21登录的),由于此时管理VLAN 是VLAN2,所以此时可以对VLAN1进行操作了。将VLAN1的IP 地址及所属端口全部删除。这样VLAN1就成了一个空的VLAN 了。同时新增一个VLAN801,将原VLAN1的IP 地址及端口原样配置在VLAN801上。VLAN 名称可以自选。注意:由于VLAN1内容的删除,原默认路由已经不存在,所以此时应增加默认路由 0.0.0.0 0.0.0.0 1.1.1.20。此项操作至关重要,否则网络有可能出现异常。
⑹、用以上同样的方法配置其他远端交换机。只须将IP 地址作相应的变化。
⑺、全部的远端交换机配置完成后,在本地交换机(BAY1200)上删除VLAN1的IP 地址及端口,使其成为空VLAN 。增加VLAN801,将原VLAN1的内容配置给
VLAN801。不要忘记配置默认路由 0.0.0.0 0.0.0.0 1.1.1.254
⑻、在全部远端和近端交换机上设置新的管理VLAN801的AUTHKEY 值。
⑼、将全部交换机上的VLAN2删除。
这样,原校园网的VLAN 修改工作就全部完成,为两网合并扫清了障碍。
当然,要把两网联接起来,还得对用作合并后的网络主交换机Cisco 6509进行相应的配置才行。主要有以下几方面的工作:
第一, 在Cisco6509上指定端口与BAY1200的相应端口相连。将此两端口设置
成TRUNK 方式,并划入VLAN801中。给定端口地址为1.1.1.24。BAY1200
的默认路由可以指向此地址。这样通过VLAN801可以将Cisco 6509的此
端口与校园办公网融合在一个网上,在这个网内由VLAN801通过OSPF
透传路由信息。
第二, 在Cisco 6509上指定端口与校园网防火墙相连,替代原BAY1200与防火
墙的联接。此端口属于VLAN801,作为校园教育网的总出口,经防火墙
接入教育网。在Cisco 6509上设置教育网地址的下一跳地址为1.1.1.254。
第三, 设置访问控制列表(ACL ),主要思路为:允许校园内宽带网用户访问校
园内部教育网资源(如图书馆、电教中心);允许校园教育网用户访问校
园内宽带网用户;允许校园教育网用户之间无阻塞地自由互访;阻止校园
外宽带网用户通过Cisco6509访问校园网资源甚至是访问整个教育网;阻
止校园教育网用户通过Cisco6509直接访问公众网。由于Cisco 6509默认
路由的存在,有可能导致教育网内地址在此默认路由上丢失数据包,所以
应特别注意看起来不存在任何问题的校园教育网到教育网的访问控制问
题。这在Cisco6509也接有教育网的VLAN 的时候(有时为了充分利用
Cisco6509端口和性能,也可能将部分VLAN 直接配置在Cisco6509上),
尤其重要。访问控制列表大致如下所示:
ip access-list extended no-local-jiaoyu-dianxin
deny ip 0.0.0.0 0.0.15.255 218.99.50.0 0.0.1.255
deny ip any 0.0.0.0 0.0.15.255
permit ip any any
access-list 99 permit 218.99.118.157
route-map no-local-jiaoyu-dianxin permit 10
match ip address no-local-jiaoyu-dianxin
set ip next-hop 1.1.1.254
0.0.0.0 0.0.15.255 为教育网16个C 类IP 地址;
218.99.50.0 0.0.1.255 为宽带网2个C 类IP 地址;
218.99.118.157为宽带网用户的访问Internet 的出口地址。
四、 结束语
本文所述为一个实际的成功案例,在实施过程中,经过电信局与校方的分
析协商,满足了双方的要求,相信对有关人员具有一定的参考借鉴价值。
作者简介:段小荣 男 1968年出生 籍贯 江西赣州 工学士 工程师 研究方向:计算机网
络管理
参考文献
[1]第三层交换 (美) Jim Metzler, Lynn DeNoia著 卢泽新, 周榕等译 北京 机械工业出版社 2000年
[2]Cisco Catalyst局域网交换技术 (美)Louis R.Rossi,Louis D.Rossi,Thomas L.Rossi著 潇湘工作室
译 北京 机械工业出版社 2000年
[3]虚拟局域网 (美)Marina Smith著 北京 清华大学出版社, 2000 年
[4]计算机网络系统集成与方案实例 陈俊良,黎连业主编 北京 机械工业出版社, 2001年