孟 祥 成

(三江學院 計算機科學與工程學院，南京 210012)

基于eNSP的二層VLAN虛擬仿真實驗

孟 祥 成

(三江學院 計算機科學與工程學院，南京 210012)

基于二層VLAN的仿真實驗，闡述了VLAN的概念、劃分方式和接口類型。針對局域網(wǎng)內(nèi)缺乏三層路由設備的場景下，從二層VLAN傳統(tǒng)教學實驗出發(fā)，設計了跨交換機VLAN、Mux VLAN、非對稱VLAN模型3個實驗。利用 eNSP軟件仿真二層VLAN 3個實驗，實驗給出了詳細的設計方法、配置過程，并對實驗結果進行了驗證和分析。通過實驗證明，在沒有三層路由設備的情況下，二層VLAN之間也可以實現(xiàn)不同網(wǎng)段之間相互通信與隔離，可以運用在特定的網(wǎng)絡環(huán)境下，讓學生能夠從理論上和實踐上更好地掌握VLAN技術。

虛擬局域網(wǎng)； 實驗設計； 企業(yè)網(wǎng)絡仿真平臺； 端口隔離； 仿真實驗

0 引 言

在這“大眾創(chuàng)業(yè)，萬眾創(chuàng)新”的時代，沒有創(chuàng)新的教育，不可能有創(chuàng)新的人才，計算機網(wǎng)絡實驗教學內(nèi)容同樣需要創(chuàng)新改變。普通VLAN間通信實現(xiàn)的方式主要是通過路由器或三層交換機，本文以計算機網(wǎng)絡實踐教學二層VLAN仿真實驗為例，摒棄了三層路由設備，在傳統(tǒng)的二層VLAN實驗教學的基礎上，設計了二層VLAN仿真實驗，實現(xiàn)了同一VLAN之間隔離和不同VLAN之間通信。不僅能夠滿足特定網(wǎng)絡內(nèi)用戶之間的隔離、互通或與部門服務器之間通信，又能夠隔離廣播域，提升網(wǎng)絡的性能以及安全性，同時為虛擬仿真實驗教學環(huán)境作為參考[1-3]。

1 VLAN技術基礎

1.1VLAN的概念

虛擬局域網(wǎng)(Virtual Local Area Network，VLAN)技術是將一個二層交換機的局域網(wǎng)在邏輯上劃分成多個廣播域的數(shù)據(jù)交換技術[4-6]。在沒有使用三層路由設備或其他特別配置方法的情況下，同一VLAN下的交換機端口所連接的設備是可以互相通信的，而不同VLAN間是不能通信的[6-9]。

1.2VLAN的分類

(1) VLAN的劃分方式。

基于端口的VLAN：根據(jù)端口劃分，是最簡潔、最廣泛使用的劃分方式。

基于MAC的VLAN：根據(jù)MAC劃分，即根據(jù)終端設備的MAC來劃分VLAN。

基于IP子網(wǎng)的VLAN：根據(jù)IP進行劃分，即根據(jù)報文源IP及掩碼來確定報文所屬VLAN。

基于協(xié)議的VLAN：根據(jù)協(xié)議劃分，即根據(jù)端口接收到的報文所屬的協(xié)議類型及封裝格式來給報文分配不同的VLAN ID。

基于策略的VLAN：根據(jù)幾種劃分依據(jù)組合進行的劃分。

(2) 接口類型。在802.1Q中定義VLAN幀后，設備的有些接口可以識別VLAN幀，有些接口則不能識別VLAN幀[10]。根據(jù)對VLAN幀的識別情況，將接口分為4類：

Access接口:Access接口是交換機上用來連接用戶主機的接口，它只能連接接入鏈路。僅僅允許唯一的VLAN ID通過本接口，這個VLAN ID與接口的缺省VLAN ID相同，Access接口發(fā)往對端的以太網(wǎng)幀永遠是不帶標簽的幀。

Trunk接口：Trunk接口是交換機上用來和其它交換機連接的接口，它只能連接干道鏈路，允許多個VLAN的幀(帶Tag標記)通過。

Hybrid接口：Hybrid接口是交換機上連接用戶主機或連接其它交換機的接口。Hybrid接口既可以連接接入鏈路又可以連接干道鏈路。Hybrid接口允許多個VLAN的幀通過，并可以再出接口方向將某些VLAN幀的Tag剝掉。

QinQ接口：QinQ(802.1Q-in-802.1Q)接口是使用QinQ協(xié)議的接口。QinQ接口可以給幀加上雙重Tag，即在原來Tag的基礎上，給幀加上一個新的Tag，從而可以支持較多的VLAN，滿足網(wǎng)絡對VLAN數(shù)量的需求。

2 eNSP仿真軟件

eNSP(Enterprise Network Simulation Platform)是一款由華為提供的免費、可擴展、圖形化的網(wǎng)絡設備仿真平臺，主要對企業(yè)網(wǎng)路由器、交換機、WLAN等設備進行軟件仿真，完美呈現(xiàn)真實設備部署實景，支持大型網(wǎng)絡模擬，可以在沒有真實設備的情況下也能夠開展實驗測試，學習網(wǎng)絡技術[11-13]。目前最新版華為模擬器eNSP為v1.2.00.390。

3 實驗設計分析

3.1實驗目的

實驗設計的目的是讓學生靈活地掌握二層VLAN技術的相關知識點，了解VLAN劃分的方式，理解VLAN的技術基礎，熟悉二層VLAN技術配置，深入掌握交換機接口的類型配置，實現(xiàn)二層VLAN的隔離、通信。

3.2具體實訓項目及指導思想

根據(jù)實驗要求，選取部分具有代表性的知識點，將二層VLAN技術實驗設計分為3個方面的實驗，即跨交換機VLAN的劃分、Mux VLAN的端口隔離與通信、非對稱VLAN的端口隔離技術[14-15]。3個實驗均以特定公司網(wǎng)絡環(huán)境為背景，讓學生根據(jù)具體需求進行網(wǎng)絡規(guī)劃、設計與配置，具有一定的針對性與可操作性。3個實驗從由易到難、由常規(guī)到特殊，從常用的VLAN劃分方式到特定環(huán)境的主從型VLAN的劃分和非對稱VLAN的劃分使用。在學生做每個實驗之前，需要對實驗知識做些必要的講解，并做簡單操作演示。學生做完實驗需要寫實驗報告，分析記錄實驗過程中遇到的問題及解決方法，并進行歸納總結[16]。

3.3網(wǎng)絡拓撲結構仿真設計

(1) 基于跨交換機VLAN的劃分。例如某公司有2個主要的部門：市場部與技術部。為了通信的安全性，同時為了避免廣播風暴，公司希望業(yè)務相同的同一部門之間可以互相訪問，而不同部門之間不能直接互相訪問。對交換機做適當配置，市場部在一個VLAN里，而技術部在另外一個VLAN里。這樣就可以實現(xiàn)市場部內(nèi)的計算機只能訪問本部門的，技術部內(nèi)的計算機也只能訪問自己部門。在eNSP工作區(qū)繪制網(wǎng)絡拓撲結構仿真圖，如圖1所示。

圖1 基于跨交換機VLAN的劃分

(2) 基于Mux VLAN的端口隔離與通信。例如某一小型公司園區(qū)內(nèi)部有2個網(wǎng)絡區(qū)域：辦公區(qū)和宿舍區(qū)，辦公區(qū)的員工之間可以互相訪問，職工宿舍區(qū)的住戶之間不能互訪，同時這2個區(qū)域內(nèi)所有用戶都可以訪問公司園區(qū)服務器。對交換機做適當配置，采用Mux VLAN技術將公司園區(qū)服務器所在的網(wǎng)絡加入主VLAN，辦公區(qū)網(wǎng)絡加入互通型從VLAN，宿舍區(qū)網(wǎng)絡加入隔離型從VLAN。在eNSP工作區(qū)繪制網(wǎng)絡拓撲結構仿真圖，如圖2所示。

圖2 主從型VLAN端口隔離

(3) 基于非對稱VLAN模型的端口隔離技術。例如某公司有2個部門：技術部和市場部。要求技術部和市場部之間不能互相訪問，但他們都可以訪問公司服務器。為了能夠實現(xiàn)這兩個部門之間隔離，并又都能與公司服務器之間進行二層通信，公司網(wǎng)絡規(guī)劃采取了非對稱VLAN的端口隔離、通信。在eNSP工作區(qū)繪制網(wǎng)絡拓撲結構仿真圖，如圖3所示。

圖3 非對稱VLAN模型網(wǎng)絡拓撲圖

4 二層VLAN技術仿真實現(xiàn)

4.1基于跨交換機VLAN劃分的仿真實現(xiàn)

(1) 在仿真軟件eNSP中，根據(jù)圖1進行搭建。

(2) 配置用戶客戶端CLIENT的網(wǎng)絡參數(shù)，見表1所示。

(3) 配置交換機LSW1的VLAN。

system-view //進入系統(tǒng)視圖

[Huawei]sysname LSW1 //修改設備名稱

表1 客戶端IP地址參數(shù)

[LSW1]interface Ethernet 0/0/1 //進入接口視圖

[LSW1-Ethernet0/0/1]port link-type access //配置端口類型為access

[LSW1-Ethernet0/0/1]quit //退出

[LSW1]vlan 2 //創(chuàng)建vlan2

[LSW1-vlan2]port Ethernet 0/0/1 //將access端口加入到vlan2

[LSW1-vlan2] quit //退出

[LSW1]interface Ethernet 0/0/2 //進入接口視圖

[LSW1-Ethernet0/0/2]port link-type access //配置端口類型為access

[LSW1-Ethernet0/0/2]quit //退出

[LSW1]vlan 3 //創(chuàng)建vlan3

[LSW1-vlan3]port Ethernet 0/0/2 //將access端口加入到vlan3

(4) 配置交換機LSW1的VLAN的匯聚鏈接。

[LSW1]interface Ethernet0/0/3 //進入接口視圖

[LSW1-Ethernet0/0/3]port link-type trunk //配置端口類型為trunk

[LSW1-Ethernet0/0/3]port trunk allow-pass vlan 2 to 3 //配置trun所允許通過的vlan

(5) 配置交換機LSW2的VLAN。

[LSW2]interface Ethernet0/0/1 //進入接口視圖

[LSW2-Ethernet0/0/1]port link-type access //配置端口類型為access

[LSW2-Ethernet0/0/1]vlan 3 //創(chuàng)建vlan3，仿真軟件支持此操作方式創(chuàng)建vlan

[LSW2-vlan3]port Ethernet 0/0/1 //將access端口加入到vlan3

[LSW2-vlan3]quit //退出

[LSW2]interface Ethernet0/0/2 //進入接口視圖

[LSW2-Ethernet0/0/2]port link-type access //配置端口類型為access

[LSW2-Ethernet0/0/2]vlan 2 //創(chuàng)建vlan2

[LSW2-vlan2]port Ethernet 0/0/2 //將access端口加入到vlan2

(6) 配置交換機LSW2的VLAN的匯聚鏈接。

[LSW1]interface Ethernet0/0/3 //進入接口視圖

[LSW1-Ethernet0/0/3]port link-type trunk //配置端口類型為trunk

[LSW1-Ethernet0/0/3]port trunk permit vlan 2 //配置trunk允許vlan2通過

[LSW1-Ethernet0/0/3]port trunk permit vlan 3 //配置trunk允許vlan3通過

4.2基于MuxVLAN端口隔離與通信

(1) 在仿真軟件eNSP中，根據(jù)圖2進行搭建。

(2) 配置用戶客戶端CLIENT的網(wǎng)絡參數(shù)，見表2所示。

表2 客戶端IP地址參數(shù)

(3) 配置Mux VLAN。

[LSW3]vlan batch 4 to 6 //創(chuàng)建vlan4、vlan5、vlan6

[LSW3]vlan 6 //進入vlan管理視圖

[LSW3-vlan6]mux-vlan //配置主vlan

[LSW3-vlan6]subordinate group 4 //配置vlan4為互通型從vlan

[LSW3-vlan6]subordinate separate 5 //配置vlan5為隔離型從vlan

(4) 配置交換機LSW3的VLAN。

LSW3]interface Ethernet 0/0/2 //進入接口視圖

[LSW3-Ethernet0/0/2]port link-type access //配置端口類型為access

[LSW3-Ethernet0/0/2]port default vlan 4 //將端口加入到vlan4

[LSW3-Ethernet0/0/2]port mux-vlan enable //開啟接口的mux-vlan功能

[LSW3-Ethernet0/0/2]interface Ethernet 0/0/3 //仿真軟件eNSP支持此方式進入接口視圖

[LSW3-Ethernet0/0/3]port link-type access //配置端口類型為access

[LSW3-Ethernet0/0/3]port default vlan 4 //將端口加入到vlan4

[LSW3-Ethernet0/0/3]port mux-vlan enable //開啟接口的mux-vlan功能

[LSW3-Ethernet0/0/3]interface Ethernet 0/0/4 //進入接口視圖

[LSW3-Ethernet0/0/4]port link-type access //配置端口類型為access

[LSW3-Ethernet0/0/4]port default vlan 5 //將端口加入到vlan5

[LSW3-Ethernet0/0/4]port mux-vlan enable //開啟接口的mux-vlan功能

[LSW3-Ethernet0/0/4]interface Ethernet 0/0/5 //進入接口視圖

[LSW3-Ethernet0/0/5]port link-type access //配置端口類型為access

[LSW3-Ethernet0/0/5]port default vlan 5 //將端口加入到vlan5

[LSW3-Ethernet0/0/5]port mux-vlan enable //開啟接口的mux-vlan功能

[LSW3-Ethernet0/0/5]interface Ethernet 0/0/1 //進入接口視圖

[LSW3-Ethernet0/0/1]port link-type access //配置端口類型為access

[LSW3-Ethernet0/0/1]port default vlan 6 //將端口加入到vlan6

[LSW3-Ethernet0/0/1]port mux-vlan enable //開啟接口的mux-vlan功能

4.3基于非對稱VLAN模型的端口隔離技術的實現(xiàn)

(1) 在仿真軟件eNSP中，根據(jù)圖3進行搭建。

(2) 配置用戶客戶端CLIENT的網(wǎng)絡參數(shù)，見表2所示。

表3 客戶端IP地址參數(shù)

(3) 配置LSW4的VLAN。

[LSW4]vlan batch 7 to 9 //創(chuàng)建vlan7、vlan8、vlan9

[LSW4]interface Ethernet 0/0/1 //進入接口視圖

[LSW4-Ethernet0/0/1]port link-type hybrid //配置端口類型為Hybrid

[LSW4-Ethernet0/0/1]port hybrid pvid vlan 7 //配置端口e0/0/1 PVID為7

[LSW4-Ethernet0/0/1]port hybrid untagged vlan 7 9 //允許vlan7、vlan9的數(shù)據(jù)幀以untagged方式通過

[LSW4-Ethernet0/0/1]interface Ethernet 0/0/2 //進入接口視圖

[LSW4-Ethernet0/0/2]port link-type hybrid //配置端口類型為Hybrid

[LSW4-Ethernet0/0/2]port hybrid pvid vlan 8 //配置端口e0/0/2 PVID為8

[LSW4-Ethernet0/0/2]port hybrid untagged vlan 8 9 //允許vlan8、vlan9的數(shù)據(jù)幀以untagged方式通過

[LSW4-Ethernet0/0/2]interface Ethernet 0/0/3 //進入接口視圖

[LSW4-Ethernet0/0/3]port link-type hybrid //配置端口類型為Hybrid

[LSW4-Ethernet0/0/3]port hybrid tagged vlan 7 to 9 //允許vlan7、vlan8、vlan9的數(shù)據(jù)幀以tagged方式通過

(4) 配置LSW5的VLAN。

[LSW5]vlan batch 7 to 9 //創(chuàng)建vlan7、vlan8、vlan9

[LSW5]interface Ethernet 0/0/1 //進入接口視圖

[LSW5-Ethernet0/0/1]port link-type hybrid //配置端口類型為Hybrid

[LSW5-Ethernet0/0/1]port hybrid pvid vlan 9 //配置端口e0/0/1 PVID為9

[LSW5-Ethernet0/0/1]port hybrid untagged vlan 7 to 9

[LSW5-Ethernet0/0/1]interface Ethernet 0/0/3 //進入接口視圖

[LSW5-Ethernet0/0/3]port link-type hybrid //配置端口類型為Hybrid

[LSW5-Ethernet0/0/3]port hybrid tagged vlan 7 to 9 //允許vlan7、vlan8、vlan9的數(shù)據(jù)幀以tagged方式通過

5 實驗結果驗證

(1) 通過4.1節(jié)實驗操作，同一VLAN的CLIENT1與CLIENT3、CLIENT2與CLIENT4能夠通信，屬于不同VLAN的CLIENT1與CLIENT2、CLIENT1與CLIENT4無法通信。實現(xiàn)了不同VLAN下的端口隔離。

(2) 通過4.2節(jié)實驗操作，由于辦公區(qū)網(wǎng)絡使用了互通型從VLAN技術，CLIENT5與CLIENT6可以互相通信；宿舍區(qū)網(wǎng)絡使用了隔離型從VLAN技術， CLIENT7與CLIENT8之間是無法通信；辦公區(qū)與宿舍區(qū)之間也無法通信，但是它們與服務器都可以通信。

(3) 通過4.3節(jié)實驗操作，技術部CLIENT10與市場部CLIENT11之間不能通信，但它們與公司服務器CLIENT12之間可以相互通信。

6 結 語

本文設計了二層VLAN虛擬仿真實驗，所有數(shù)據(jù)到達二層交換機后，直接被轉發(fā)，不被送達CPU，從而提高了設備的運行性能、降低了通信的成本、也減少了設備的收到惡意數(shù)據(jù)的攻擊。同時，在傳統(tǒng)的VLAN基礎實驗上，增加了MUX VLAN和非對稱VLAN實驗，讓學生對VLAN知識有了更加清楚的認識。

[1] 陳建銳.軟件仿真下的VLAN配置實驗探討[J].實驗室研究與探索，2011，30(2):78-81.

[2] 廉佐政，王海珍.大型局域網(wǎng)中VLAN間可靠通信的仿真設計[J]. 計算機仿真，2015，32(7):296-302.

[3] 羅 彬，賈樹生.虛擬局域網(wǎng)的構建與安全方法措施初探[J]. 煤炭技術，2011，30(3):237-239.

[4] 劉 群，李 堅.組建局域網(wǎng)綜合實驗的設計[J].實驗室研究與探索，2016，35(7):96-101.

[5] 楊 姝. VLAN技術實驗的設計與仿真實現(xiàn)研究[J].實驗技術與管理，2014，31(3):114-117.

[6] 李 永，甘新玲，王海燕.不同VLAN之間通信實驗設計與實現(xiàn)[J].實驗技術與管理，2013，32(4):106-130.

[7] 廉佐政，王海珍.大型局域網(wǎng)中VLAN間可靠通信實驗設計與實現(xiàn)[J].實驗室研究與探索，2015，34(12):119-123.

[8] 胡 云.基于VLAN間不同互連方式的ACL配置[J].成都大學學報，2015，34(1):41-43，51.

[9] 陳 潮，靳慧云，黃安安. VLAN間路由實驗在仿真器中的設計與實現(xiàn)[J].實驗技術與管理，2016，33(8):129-132.

[10] 劉向東，李志潔，焉德軍,等. IEEE802. 1QVLAN原理實驗的設計與實現(xiàn)[J].實驗室研究與探索，2011，30(4):46-48，77.

[11] 孟祥成.基于eNSP的防火墻仿真實驗[J].實驗室研究與探索，2016，35(4):95-100.

[12] 張梁斌，高 昆，梁世斌.基于Packet Tracer的小型企業(yè)網(wǎng)絡應用架構的仿真實驗[J].實驗室研究與探索，2012，31(10):372-376.

[13] 薛 琴.基于Packet Tracer的計算機網(wǎng)絡仿真實驗教學[J].實驗室研究與探索，2010，29(2):57-59.

[14] 唐燈平.利用Packet Tracer模擬組建大型單核心網(wǎng)絡的研究[J].實驗室研究與探索， 2011，30(1):186-189.

[15] 林初建，張四海，王海英,等.基于非對稱VLAN的端口隔離技術研究與應用[J].華東師范大學學報，2015(3):232-239.

[16] 曹騰飛，孟永偉，黃建強.西部高校計算機網(wǎng)絡實驗[J].實驗室研究與探索，2014，33(4):129-131.

Two-layerVLANSimulationExperimentBasedoneNSP

MENGXiangcheng

(Department of Computer Science and Technology， Sanjiang College, Nanjing 210012， China)

This article is based on the two-layer VLAN simulation experiment, expounds the concept, the division method and the interface type of VLAN. In view of the lack of three-layer routing devices in the LAN, starting from two-layer VLAN on the traditional teaching experiment, the article designs three experiments i.e., the across switches VLAN, Mux VLAN, asymmetric VLAN. Using the eNSP software, simulation is used to achieve the three experiments on the two-layer VLAN. The article shows the detailed design method and the configuration process, and makes the validation and analysis the result of the experiment. Experiments show that in the absence of three-layer routing devices, the two-layer VLAN can also realize the communication and isolation between different network segments, can be used on a specific network environment. The experiment lets the student better grasp the VLAN technology from theory and practice.

virtual local area network(VLAN)； experimental design； enterprise network simulation platform(eNSP)； port isolation； simulation experiment

TP 393

A

1006-7167(2017)09-0102-05

2016-11-22

孟祥成(1981-)，男，江蘇灌南人，碩士，實驗師，研究方向計算機網(wǎng)絡技術。Tel.：15345185087;E-mail：mxiang5087@qq.com