楊 禮， 劉 靜

(喀什大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院， 新疆 喀什 844006)

伴隨著信息化時(shí)代的快速發(fā)展，網(wǎng)絡(luò)成為了人們?nèi)粘Ｉ畈豢苫蛉钡囊徊糠?，而局域網(wǎng)的構(gòu)建顯得尤其重要。通過(guò)虛擬局域網(wǎng)(Virtual Local Area Network，VLAN)技術(shù)把物理網(wǎng)絡(luò)在邏輯上劃分為多個(gè)廣播域，VLAN技術(shù)有效地控制廣播域范圍和用戶隔離，為網(wǎng)絡(luò)管理人員提供了管理終端用戶的策略和方法。在VLAN技術(shù)的研究和應(yīng)用方面，文獻(xiàn)[1-8]給出了有關(guān)VLAN端口的隔離、VLAN間的通信方面的仿真實(shí)驗(yàn)，通過(guò)劃分VLAN實(shí)現(xiàn)端口隔離，通過(guò)三層路由實(shí)現(xiàn)VLAN間的互通。本文在上述文獻(xiàn)的基礎(chǔ)上，結(jié)合華為的MUX VLAN[9]技術(shù)，設(shè)計(jì)了一套構(gòu)建局域網(wǎng)的部署方案。

1 MUX VLAN技術(shù)介紹

MUX VLAN(Multiplex VLAN)是華為交換機(jī)設(shè)備專有的一種VLAN隔離技術(shù)，它提供了一種在VLAN端口間進(jìn)行二層流量隔離的機(jī)制[10]。MUX VLAN包括Principal VLAN(主VLAN)和Subordinate VLAN(從屬VLAN)兩部分。在Subordinate VLAN下有兩種模式[11]：一種模式是互通模式，即Group模式，在這種模式下，同一個(gè)VLAN中的主機(jī)可以進(jìn)行相互訪問(wèn)；另一種模式是隔離模式，即Separate模式，在該模式下，處于同一VLAN中的終端之間不能相互訪問(wèn)；Principal VLAN中的終端與Subordinate VLAN中的終端之間可以相互訪問(wèn)。

2 仿真實(shí)驗(yàn)的設(shè)計(jì)與實(shí)現(xiàn)

2.1 網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

本文在華為eNSP仿真器中完成實(shí)驗(yàn)，實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)如圖1所示。實(shí)驗(yàn)采用基于核心層和接入層的網(wǎng)絡(luò)架構(gòu)[12]，搭建一個(gè)局域網(wǎng)的內(nèi)網(wǎng)結(jié)構(gòu)。本文的網(wǎng)絡(luò)結(jié)構(gòu)從上到下的設(shè)計(jì)思路為：出口路由器(AR1)用于連接內(nèi)外網(wǎng)的路由設(shè)備；核心層(SW1、SW2)負(fù)責(zé)提供高效、快速、可靠的數(shù)據(jù)傳輸，通常情況下選擇三層交換機(jī)作為核心層設(shè)備；接入層(SW3、SW4、SW5)用于連接不同的終端，通過(guò)配置VLAN實(shí)現(xiàn)廣播流量隔離的功能。

圖1 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)鋱D

2.2 網(wǎng)絡(luò)邏輯規(guī)劃

SW1和SW2通過(guò)Eth-Trunk模式進(jìn)行連接，提供高速的鏈路帶寬滿足VLAN間的通信，而且提供了一定的鏈路冗余度，提高了網(wǎng)絡(luò)的可靠性。核心層與接入層設(shè)備之間的端口(GigabitEthernet0/0/23-24)通過(guò)Trunk模式進(jìn)行連接，在兩者之間啟用多生成樹協(xié)議[13](Multiple Spanning Tree Protocol，MSTP)以消除環(huán)路。在核心層上通過(guò)配置MUX VLAN實(shí)現(xiàn)二層VLAN的隔離與通信，且不允許在此配置基礎(chǔ)上使用Vlanif接口。在核心層上創(chuàng)建VLAN 2、VLAN 3、VLAN 4，其中VLAN 4是Principal VLAN，VLAN 2是互通型的Group VLAN，而VLAN 3是隔離型的Separate VLAN，同時(shí)需要在接入層設(shè)備上配置MUX VLAN。對(duì)于接入層設(shè)備，在SW3上配置Group VLAN，在SW4上配置Separate VLAN，在SW5上配置Principal VLAN。

在本文實(shí)驗(yàn)中需要指出，MUX VLAN適合在同一個(gè)子網(wǎng)的網(wǎng)絡(luò)中使用。

2.3 實(shí)驗(yàn)仿真實(shí)現(xiàn)

在進(jìn)行實(shí)驗(yàn)時(shí)，需要完成以下相關(guān)配置，如終端網(wǎng)絡(luò)參數(shù)、MSTP、鏈路聚合等，最后在以上操作的基礎(chǔ)上完成MUX VLAN的配置。

2.3.1 終端參數(shù)配置

根據(jù)圖1的網(wǎng)絡(luò)設(shè)計(jì)及網(wǎng)絡(luò)邏輯規(guī)劃，終端主機(jī)PC1—PC8的網(wǎng)絡(luò)參數(shù)配置如表1所示。

2.3.2 MSTP仿真配置

網(wǎng)絡(luò)結(jié)構(gòu)采用雙核心的部署結(jié)構(gòu)，通過(guò)配置MSTP協(xié)議可以阻塞二層網(wǎng)絡(luò)中的冗余鏈路，將網(wǎng)絡(luò)修剪成樹狀，達(dá)到消除冗余鏈路帶來(lái)的環(huán)路問(wèn)題[14]。本文以SW2和SW5的MSTP配置進(jìn)行說(shuō)明。在SW2上配置多生成樹域(Multiple Spanning Tree Region)，創(chuàng)建多生成樹實(shí)例[15](Multiple Spanning Tree Instance，MSTI)，建立MSTI和VLAN之間的映射關(guān)系。MSTI1允許VLAN 2和VLAN 3通過(guò)，MSTI2允許VLAN 4通過(guò)。配置SW2作為MSTI2的主根橋，作為MSTI1的備份根橋。在SW2的GigabitEthernet0/0/2端口上啟動(dòng)根保護(hù)功能，在SW5接入終端的端口(Ethernet0/0/2～3)取消MSTP功能。

SW2的MSTP配置如下：

stp region-configuration

region-name regionB

revision-level 1

instance 1 vlan 2 to 3

instance 2 vlan 4

active region-configuration

stp instance 1 root secondary

stp instance 2 root primary

interface GigabitEthernet0/0/2

stp root-protection

SW5的MSTP配置如下：

interface Ethernet0/0/2

stp disable

interface Ethernet0/0/3

stp disable

2.3.3 鏈路聚合仿真配置

在SW1、SW2之間配置Eth-Trunk模式，從而保證數(shù)據(jù)傳輸和鏈路的可靠性。SW1配置為手工模式的分擔(dān)負(fù)載的鏈路聚合，SW2的鏈路聚合配置與SW1的配置一致。

SW1的鏈路聚合配置如下：

interface Eth-Trunk 1

port link-type trunk

port trunk allow-pass vlan 2 to 4

load-balance src-dst-mac

interface GigabitEthernet0/0/23

eth-trunk 1

interface GigabitEthernet0/0/24

eth-trunk 1

2.3.4 MUX VLAN仿真配置

在核心層設(shè)備上創(chuàng)建VLAN，設(shè)置主、從屬VLAN，并確定從屬VLAN中的互通型和隔離型VLAN。VLAN 4的終端可以與VLAN 2、VLAN 3的終端之間相互訪問(wèn)，VLAN 2與VLAN 3的終端之間不能相互訪問(wèn)，VLAN 2的內(nèi)部終端之間可以相互訪問(wèn)，VLAN 3的內(nèi)部終端之間不允許相互訪問(wèn)。以SW1的配置為例，其MUX VLAN的配置如下：

vlan batch 2 to 4

vlan 4

mux-vlan

subordinate separate 3

subordinate group 2

在接入層上配置MUX VLAN的同時(shí)，需要將接入層的接口設(shè)置為Access模式，把相應(yīng)的接口劃入VLAN，并在接口上啟動(dòng)mux-vlan功能。以SW3的配置為例，SW4、SW5的配置同SW3的配置類似。SW3的MUX VLAN配置如下：

vlan 4

mux-vlan

subordinate separate 3

subordinate group 2

interface Ethernet0/0/2

port link-type access

port default vlan 2

port mux-vlan enable

interface Ethernet0/0/3

port link-type access

port default vlan 2

port mux-vlan enable

interface Ethernet0/0/4

port link-type access

port default vlan 3

port mux-vlan enable

3 實(shí)驗(yàn)結(jié)果驗(yàn)證

3.1 MSTP驗(yàn)證

圖2 MSTI中的端口狀態(tài)

根據(jù)網(wǎng)絡(luò)的配置，SW2是MSTI2的主根橋， 在SW2上查看MSTI1和MSTI2的端口的角色、狀態(tài)和保護(hù)類型，忽略MSTI0(實(shí)例MSTI0為默認(rèn)實(shí)例)中的端口，其中MSTID表示多生成樹實(shí)例的編號(hào)，如圖2所示。由圖中可知， GigabitEthernet0/0/2為主端口，其余為指定端口。

3.2 Eth-Trunk驗(yàn)證

圖3 Eth-Trunk的成員與狀態(tài)

在SW1和SW2之間配置鏈路聚合功能，在SW1上通過(guò)display eth-trunk命令查看鏈路聚合的綁定的端口及其狀態(tài)，結(jié)果如圖3所示。從圖中可以看出，Eth-Trunk 1中包含兩個(gè)成員端口——GigabitEthernet0/0/23和GigabitEthernet0/0/24，并且端口的狀態(tài)都處于Up狀態(tài)。由于核心交換機(jī)在網(wǎng)絡(luò)中承載高速數(shù)據(jù)轉(zhuǎn)發(fā)的功能，鏈路聚合為核心交換機(jī)之間通信提供冗余鏈路，提高網(wǎng)絡(luò)的可靠性。比如：當(dāng)SW1的上行端口出現(xiàn)故障時(shí)，SW1可以通過(guò)鏈路聚合端口轉(zhuǎn)發(fā)VLAN數(shù)據(jù)。

3.3 MUX VLAN特性驗(yàn)證

圖4 PC4與PC5的ping測(cè)試通信結(jié)果

實(shí)驗(yàn)實(shí)現(xiàn)了VLAN 2、VLAN 3、VLAN 4中的主機(jī)之間的通信與隔離。限于篇幅，本文僅給出在Separate模式下SW4上的VLAN 3內(nèi)的主機(jī)之間實(shí)現(xiàn)隔離的實(shí)驗(yàn)結(jié)果。在本文的實(shí)驗(yàn)中，PC3、PC4和PC5均屬于VLAN 3，由于VLAN 3在MUX VLAN中的配置模式為Separate，因此VLAN 3內(nèi)的主機(jī)無(wú)法通信，以PC4和PC5的通信為例，結(jié)果如圖4所示。

4 結(jié) 語(yǔ)

本文通過(guò)構(gòu)建一套局域網(wǎng)的內(nèi)網(wǎng)結(jié)構(gòu)的實(shí)驗(yàn)，驗(yàn)證了MUX VLAN在局域網(wǎng)中的功能和特性，有效降低了VLAN ID的使用數(shù)量，便于網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)進(jìn)行維護(hù)。在雙核心網(wǎng)絡(luò)模型中，通過(guò)使用MSTP消除網(wǎng)絡(luò)中的回路，通過(guò)設(shè)計(jì)鏈路聚合提高了網(wǎng)絡(luò)可靠性。測(cè)試結(jié)果表明，在其中一個(gè)核心層設(shè)備斷電的情況下，網(wǎng)絡(luò)依然能夠保障暢通。由于MUX VLAN所使用的IP地址只能屬于同一個(gè)子網(wǎng)，使得其應(yīng)用范圍存在一定的局限性。本文的局域網(wǎng)模型為中小型企業(yè)等組織或機(jī)構(gòu)組建內(nèi)部網(wǎng)絡(luò)提供了可供參考的方案。