□翁國秀

（玉林師范學(xué)院 教育技術(shù)中心，廣西 玉林 537000）

計算機網(wǎng)絡(luò)專業(yè)交換機ISOLATE-USER-VLAN集成實驗的探討

□翁國秀

（玉林師范學(xué)院 教育技術(shù)中心，廣西 玉林 537000）

在計算機網(wǎng)絡(luò)專業(yè)網(wǎng)絡(luò)集成課程實驗中，開設(shè)多級連交換機上集成ISOLATE-USERVLAN實驗，能明顯增強學(xué)生集成能力，還能培養(yǎng)學(xué)生網(wǎng)絡(luò)全局統(tǒng)籌設(shè)計能力。本文探討了該集成實驗環(huán)境建設(shè)、實驗的方法和過程，以及實驗的教學(xué)效果.

ISOLATE-USER-VLAN；集成；多級連

交換機ISOLATE-USER-VLAN技術(shù)具有私有VLAN、端口二層隔離的技術(shù)特性，能在大型網(wǎng)絡(luò)集成中節(jié)省VLAN資源和隔絕內(nèi)網(wǎng)攻擊，因而被廣泛地應(yīng)用于網(wǎng)絡(luò)集成工程.但在交換機上配置ISOLATEUSER-VLAN相當(dāng)復(fù)雜，要多次反復(fù)集成才能成功.因此，我校在計算機網(wǎng)絡(luò)集成這門課的實驗中，適當(dāng)增加了ISOLATE-USER-VLAN配置實驗的課時；并結(jié)合校園網(wǎng)集成實踐的經(jīng)驗，建立了適當(dāng)?shù)膶嶒灜h(huán)境，設(shè)計了循序漸進的實驗進程.

在實驗教學(xué)中，交換機ISOLATE-USER-VLAN集成實驗，雖然是一個局部集成的實驗，但它是涉及上接、下連網(wǎng)絡(luò)設(shè)備的配置.所以，實驗除了能學(xué)生培養(yǎng)具體集成能力之外，還能培養(yǎng)網(wǎng)絡(luò)全局統(tǒng)籌設(shè)計能力.對于學(xué)生建立嚴謹?shù)木W(wǎng)絡(luò)集成思維，也有裨益.本文根據(jù)的實際經(jīng)驗，探討了如何搭建成此實驗的環(huán)境、如何設(shè)計和進行實驗，以更好地實驗?zāi)康?

1 ISOLATE-USER-VLAN技術(shù)特性和實驗關(guān)鍵點

ISOLATE-USER-VLAN技術(shù)是VLAN技術(shù)的一種擴展，這種技術(shù)有三個特性：①在同一VLAN下可以定義若干私有VLAN，不同私有VLAN的端口互相隔離.這種私有VLAN稱為SECONDER VLAN，其所屬的上層VLAN稱為ISOLATE-USER-VLAN.這個特性可以隔離同一VLAN內(nèi)而不同端口的計算機，對控制互相攻擊、感染有一定作用.②對于上層交換機而言，它能感知其下層交換機的VLAN，但不能感知下層交換機VLAN內(nèi)定義的SECONDER VLAN.如此，SECONDER VLAN號可不占用全網(wǎng)VLAN號，對于在大型局域網(wǎng)（如重點高校校園網(wǎng)）的集成或運維，起到節(jié)省VLAN資源的作用，從而簡化了整個網(wǎng)絡(luò)的配置.③同一SECONDER VLAN內(nèi)的端口之間可互相通信；SECONDER VLAN內(nèi)的端口還可以與其所屬ISOLAVET-USER-VLAN的上行端口通信.

交換機ISOLATE-USER-VLAN集成配置，在單個交換機上還是比較簡單的，但它的實用意義不大.在多級連交換機的情況下，就相當(dāng)復(fù)雜了，其中的實驗關(guān)鍵點有：上行下行端口所在VLAN銜接；跨多級連交換機的Trunk配置；核心交換機下接端口類型配置.

2 實驗設(shè)備及環(huán)境建設(shè)

實驗使用的主要設(shè)備是：華為S3026和S3050交換機、華為CONSOLE口串行配置線、普通個人計算機（提供串行口）.鑒于實驗效果驗證若有校園網(wǎng)環(huán)境的配合，會比較全面.所以，要將網(wǎng)絡(luò)集成實驗室接入校園網(wǎng).

交將網(wǎng)絡(luò)集成實驗室接入校園網(wǎng)的方法是：用光纜或雙絞線將核心交換機和實驗室的交換機連接，當(dāng)需用校園網(wǎng)驗證實驗結(jié)果時，核心交換機對應(yīng)的端口設(shè)置為UP狀態(tài)；實驗結(jié)束后，設(shè)為down狀態(tài)即可.如圖1所示.

圖1 網(wǎng)絡(luò)集成實驗室接入校園網(wǎng)

此外，校園網(wǎng)應(yīng)規(guī)劃若干VLAN號和IP地址段給網(wǎng)絡(luò)集成實驗室，作為實驗之用，避免進行實驗時，亂用VLAN號和IP地址.既方便實驗進行，也有利于網(wǎng)絡(luò)的管理和控制.

3 實驗內(nèi)容

這里探討兩個具有典型意義的、循序漸進的ISOLATE-USER-VLAN集成實驗，分別是：多級連交換機上配置單一全網(wǎng)VLAN的ISOLATE-USER-VLAN；多級連交換機上配置多個全網(wǎng)VLAN的ISOLATE-USER-VLAN.

（1）多級連交換機上配置單一全網(wǎng)VLAN的ISOLATE-USER-VLAN

在多級連交換機上配置單一全網(wǎng)VLAN的ISOLATE-USER-VLAN，以圖2為例進行實驗，圖中的3臺華為QuidwayS3026二十四口交換機進行級連，每臺機器均以0槽1口為上行口、0槽2口為下行口.

圖2 3臺Quidway S3026級連

實驗要求為：

○所有交換機同屬于一個ID為200的全網(wǎng)VLAN；

○每個交換機除上、下行口外的端口，全部進行二層隔離；

○每個交換機與計算機連接的端口，都能訪問校園網(wǎng)服務(wù)器.

此實驗配置過程如下：

在A交換機上：第一步定義VLAN200，將A交換機的0/1端口分配給VLAN200，定義VLAN200為ISOLATEUSER-VLAN.第二步定義VLAN50、3、4、…、24，分別配給端口0/2、0/3、…、0/24.第三步將VLAN50、3、4、…、24設(shè)為VLAN200下的Second VLAN.配置命令如下：

在B交換機上：第一步定義VLAN50，將A交換機的0/1端口分配給VLAN50，定義VLAN50為ISOLATEUSER-VLAN.第二步定義VLAN51、3、4、…、24，分別配給端口0/2、0/3、…、0/24.第三步將VLAN51、3、4、…、24設(shè)為VLAN50下的Second VLAN.配置命令如下：

在C交換機上：第一步定義VLAN51，將A交換機的0/1端口分配給VLAN51，定義VLAN51為ISOLATEUSER-VLAN.第二步定義VLAN2、3、4、…、24，分別配給端口0/2、0/3、…、0/24.第三步將VLAN2、3、4、…、24設(shè)為VLAN51下的Second VLAN.配置命令如下：

三個交換機配置完畢后，形成了如表1的VLAN從屬關(guān)系，C交換機的VLAN全部包含于本機及B機的VLAN51，B交換機的VLAN全部包含于本機及A機的VLAN50，A機的VLAN全部包含于本機VLAN200.這里注意，同VLAN號不同交換機的端口，并不表示它們同屬一個VLAN，這是因為某個端口的包，當(dāng)其經(jīng)過上級端口時，便被改為上級端口的VLAN標(biāo)識.

表1 各交換機VLAN從屬關(guān)系

至此，進入核心交換機配置，核心交換機的下接口應(yīng)設(shè)為untag屬性的,然后將此端口劃給VLAN200.配置命令以DCRS7500為例：

（2）多級連交換機上配置多全網(wǎng)VLAN的ISOLATE-USER-VLAN

在多級連交換機上配置多全網(wǎng)VLAN的ISOLATE-USER-VLAN，以圖3為例進行實驗，圖中的5臺華為QuidwayS3026二十四口交換機進行級連，每臺機器均以0槽1口為上行口、0槽2口為下行口.

圖3 5臺Quidway S3026級連

實驗要求為：

○交換機A、B、C屬于ID為200的全網(wǎng)VLAN，交換機D、E屬于ID為201的全網(wǎng)VLAN；

○每個交換機除上、下行口外的端口，全部進行二層隔離；

○每個交換機與計算機連接的端口，都能訪問校園網(wǎng)服務(wù)器.

此實驗配置過程如下：

A、B、C交換機的配置過程與上一實驗基本相同，但C機的0/2口配置和Seconder VLAN配置有所不同，應(yīng)為：

在D交換機上：第一步定義VLAN201，將0/1端口分配給VLAN201，定義VLAN201為ISOLATE-USER-VLAN.第二步定義VLAN50、3、4、…、24，分別配給端口0/2、0/3、…、0/24.第三步將VLAN50、3、4、…、24設(shè)為VLAN201下的Second VLAN.配置命令參考上例，這里略.

在E交換機上：第一步定義VLAN50，將0/1端口分配給VLAN50，定義VLAN201為ISOLATE-USER-VLAN.第二步定義VLAN2、3、4、…、24，分別配給端口0/2、0/3、…、0/24.第三步將VLAN2、3、4、…、24設(shè)為VLAN50下的Second VLAN.配置命令略.

做完上述配置后，須在A、B、C的上行口（0/1）、下行口（0/2），以及D機的上行口（0/1）上，配上port hybrid vlan 201 tagged命令，使VLAN201的包通過時，打上VLAN201的tag.

至此，進入核心交換機配置，仍以DCRS7500核心交換機為例.DCRS7500交換機只有TAG、UNTAG兩種屬性，無Hybrid屬性.而設(shè)成ISOLATE-USER-VLAN后的端口是Hybrid屬性，所以交換機組不能直接與核心交換機連接，可在其間加設(shè)一臺交換機（如Quidway S3050）.S3050以Gigabitethernet1/1口與核心交換機連接、以 Ethernet0/1口與交換機組連接.并設(shè)Gigaethernet1/1口給VLAN200、201打TAG；ethernet0/1口給VLAN201打TAG、不給VALN200打TAG.

除上述配置外，還需給交換機配置網(wǎng)關(guān)、VTY、STP等才能正常工作，這里不再贅述.

4 實驗教學(xué)效果

我校計算機網(wǎng)絡(luò)專業(yè)網(wǎng)絡(luò)集成課程自加強ISOLATE-USER-VALN集成實驗后，取得了良好的實驗教學(xué)效果.

1）ISOLATE-USER-VALN集成具有相當(dāng)?shù)膹?fù)雜性，學(xué)生通過實驗后，網(wǎng)絡(luò)集成能力普遍提高.

2）ISOLATE-USER-VALN集成涉及集成面廣，實驗培養(yǎng)了學(xué)生網(wǎng)絡(luò)全局統(tǒng)籌設(shè)計能力.

3）ISOLATE-USER-VALN集成運用的網(wǎng)絡(luò)知識較多，對于學(xué)生建立嚴謹?shù)木W(wǎng)絡(luò)集成思維，也有裨益.■

[1]Barry Raveendran Greene and Philip Smith .Cisco ISP Essentials [M]Beijin: Post & Telecommunications Press

[2]Karen Webb. Building Cisco Multilayer Switched Networks [M] Beijin: Post & Telecommunications Press

[3]陸魁軍. 計算機網(wǎng)絡(luò)工程實踐教程[M]北京：清華大學(xué)出版社.

[4]張國鳴，唐樹才，薛剛遜編．網(wǎng)絡(luò)管理實用技術(shù)[M]．北京：清華大學(xué)出版社，2002：22-62．

[5]中國人民解放軍總裝備部軍事訓(xùn)練教材編輯工作委員會編．通信網(wǎng)管理技術(shù)[M]．北京：國防工業(yè)出版社，2003：110-145．

[6]楊家海，任憲坤，王沛瑜.網(wǎng)絡(luò)管理原理與實現(xiàn)技術(shù)[M].北京：清華大學(xué)出版社，2000：67-70．

【責(zé)任編輯 謝明俊】

Inquire into Integration ISOLATE-USER-VLAN on Switch of Computing

WENG Guo-xiu
(Yulin Normal University, Yulin, Guangxi 537000)

In Network integration experiment of computing, offering experiment of ISOLATE-USER-VLAN integration on multi-grade-connect switch apparently enhances student’s integration capacity, and develops their all-network design capability. This paper inquires into the construction of experiment environment, the ways and process of the experiment, and the teaching effect.

ISOLATE-USER-VLAN; integration; multi-grade-connect

TP39

A

1004-4671（2015）02-0118-05

2015-03-11

翁國秀（1976～），廣西玉林人，玉林師范學(xué)院教育技術(shù)中心工程師。研究方向：計算機技術(shù)應(yīng)用、實驗室管理與實驗教學(xué)。