|
现在的位置:三川科技>>产品与技术
文章来源: 通信产业报 文章作者: 不详
随着行业信息化和中小企业信息化进程的加快,网络建设的热点正在由网络的核心转向网络边缘。骨干网的建设已经基本完成,网络建设的重点转为接入和应用,从而为Cisco思科交换机带来了黄金市场机会。种种迹象表明,Cisco思科交换机市场正受到各路网络设备诸侯的关注和青睐,将有望成为IT领域的又一个角斗战场。目前,这场角斗抢夺得制高点是对第三层Cisco思科交换机市场的争夺,尤其是边缘的Cisco思科交换机,有关市场调查显示,边缘Cisco思科交换机已经开始超越核心Cisco思科交换机,逐渐地占据主流的地位。用户在选购Cisco思科交换机时候,考虑最多的购买因素是应用和安全,因而,购买时大多选择可管理性非常强的三层或多层Cisco思科交换机。
可以说市场是催生三层Cisco思科交换机的主要因素。随着 Internet/Intranet
的迅猛发展和B/S(浏览器/服务器)计算模式的广泛应用,跨地域、跨网络的业务急剧增长,业界和用户深感传统的路由器在网络中的瓶颈效应。改进传统的路由技术迫在眉睫。在这种情况下,一种新的路由技术应运而生,这就是第三层交换技术。说它是路由器,因为它可操作在网络协议的第三层,是一种路由理解设备并可起到路由决定的作用;说它是Cisco思科交换机,是因为它的速度极快,几乎达到第二层交换的速度。
应用与安全的优越性
随着互联网的迅猛发展,用户在网络上的应用越来越多,纯粹的二层交换已经不能满足用户实际的需求。思科作为引领Cisco思科交换机市场发展的舵手,认为三层Cisco思科交换机的优势,主要反映在应用与网络安全两个方面。
应用上,主要体现在用户网络上传输的不再仅限于数据,语音、视频等,它对延迟、抖动要求非常高的多媒体信息也实现了在同一网络上传输。普通Cisco思科交换机由于工作在OSI7层模型的第二层(即数据链路层),在划分子网和广播限制等方面提供的控制非常少,极容易造成网络拥塞,使数据包的丢失和延迟增加,服务质量无法保证。三层Cisco思科交换机则把网络通信中的二层交换技术和三层路由(或称三层转发)技术结合在一起,并通过ASIC技术达到线速交换,大幅度提高了设备数据的包转发能力,消除了转发瓶颈。同时通过VLAN划分、高效的组播控制、流策略的管理及访问控制等功能有效保证网络资源的充分利用,切实保证满足各类用户的应用需求。另一方面,随着网络规模的扩大,网络变的越来越复杂,网络在运行和管理方面所付出的代价,大大超过了网络设备本身的成本,易维护和易管理要求也促成了三层Cisco思科交换机广泛应用。
安全上,主要体现在系统安全性和接入安全两个方面。思科的Cisco思科交换机大都有强大的安全保障系统。在系统安全性方面,在网络由核心到边缘的整体架构中实现了安全机制,主要包括:安全的网络管理,即通过特定技术对网络管理信息进行加密、控制。网络管理信息其实包含有最丰富、最完整的整体网络信息,如果网管信息在传输途中被有意无意窃听、破坏、篡改,那会对整体网络乃至企业运营带来不可预计的损失。思科通过适当的技术对网络全程的网管信息进行改进、加密等,建立起了非常牢固的安全网络系统。在全网系统的安全交换方面,实现了对各交换子网进行扩展树根段保护、从核心到边缘交换实行多层次多手段的ACL、在核心层加载入侵检测、网段间防火墙、企业网内VPN等等多种方式方法。接入安全性方面,思科的各类型终端应用了接入交换系统时的安全接入机制,主要包括:众所周知的802.1x
接入验证;RADIUS/TACACS+ 支持;MAC地址检验;各类型虚网技术,如端口隔离用专用虚网、802.1Q 、动态虚网、等等。
作为网络核心设备的三层Cisco思科交换机,它的安全还体现在其他的方面。如防黑客攻击的防火墙,市场上的大多的Cisco思科交换机还加强了安全硬件,这对于像金融等要害部门非常重要。还有就是冗余能力,这也是网络安全运行的保证,任何厂商都不能保证其产品不发生故障,而发生故障时能否迅速切换到一个好设备上,是令人关心的问题。所以,在硬件上要考虑冗余能力:是否有重要的冗余元件,如后备电源、管理模块、冗余端口等,这对诸如电信、金融等对安全可靠性要求高的用户尤其重要。以及设计工作人员人身安全的符合何种安全性国际或国家标准:如电磁辐射标准、各种安全标准等。
多层Cisco思科交换机市场的发展趋势
随着信息化建设进程的推进,各种应用需求催熟了三层交换市场,三层Cisco思科交换机的功能将会越来越丰富化。行业信息化的推进以及宽带大规模建设,各种应用不断增加,增加了对三层Cisco思科交换机的应用。三层Cisco思科交换机能通过各种显式或隐式的VLAN划分方法提供基于策略的安全访问机制,而提高网络的安全性,用户对安全的日益重视也使三层Cisco思科交换机得以广泛应用。
与此同时,多层交换技术也将进一步得到应用,不仅仅只是面对互联网、企业内部网、企业外部网当今的需求,更重要的是建立满足未来需求的可扩展分布式体系结构。
李乃强
我们知道,传统的局域网Ethernet 使用具有冲突检测的载波监听多路访问( CSMA / CD )方法。在CSMA / CD
网络中,节点可以在它们有数据需要发送的任何时候使用网络。在节点传输数据之前,它进行"监听"以了解网络是否很繁忙。如果不是,则节点开始传送数据。如果网络正在使用,则节点等待。如果两个节点进行监听,没有听到任何东西,而开始同时使用线路,则会出现冲突。在发送数据时,它如果使用广播地址,那么在此网段上的所有PC都将收到数据包,这样一来如果该网段PC众多,很容易引起广播风暴。而冲突和广播风暴是影响网络性能的重要因素。为
解 决这一问题,引入了虚拟局域网(VLAN的概念。
虚拟网络是在整个网络中通过网络交换设备建立的虚拟工作组。虚拟网在逻辑上等于OSI模型的第二层的广播域,与具体的物理网及地理位置无关。虚拟工作组可以包含不同位置的部门和工作组,不必在物理上重新配置任何端口,真正实现了网络用户与它们的物理位置无关。虚拟网技术把传统的广播域按需要分割成各个独立的子广播域,将广播限制在虚拟工作组中,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。我们结合下面的图来看看讲下。图1所表示的是两层楼中的相同性质的部门划分到一个VLAN中,这样,会计的数据不会向市场的机器上广播,也不会和市场的机器发生数据冲突。所以VLAN有效的分割了冲突域和广播域。
我们可以在Cisco思科交换机的某个端口上定义VLAN ,所有连接到这个特定端口的终端都是虚拟网络的一部分,并且整个网络可以支持多个VLAN。VLAN通过建立网络防火墙使不必要的数据流量减至最少,隔离各个VLAN间的传输和可能出现的问题,使网络吞吐量大大增加,减少了网络延迟。在虚拟网络环境中,可以通过划分不同的虚拟网络来控制处于同一物理网段中的用户之间的通信。这样一来有效的实现了数据的保密工作,而且配置起来并不麻烦,网络管理员可以逻辑上重新配置网络,迅速、简单、有效地平衡负载流量,轻松自如地增加、删除和修改用户,而不必从物理上调整网络配置。既然VLAN有那么多的优点,我们为什么不了解它从而把VLAN技术应用到我们的现实网络管理中去呢。好的让我们通过实际的在Catalyst
1900Cisco思科交换机上来配置静态VLAN的例子来看看如何在Cisco思科交换机上配置VLAN。
设置好超级终端,连接上1900Cisco思科交换机后(可以参考《1900系列以太网Cisco思科交换机快速入门指南》或其他的CISCO参考资料),会出现如下的主配置界面:
-------------------------------------------------
1 user(s) now active on Management Console.
User Interface Menu
[M] Menus
[K] Command Line
[I] IP Configuration
Enter Selection:
我们简单介绍下,这儿显示了三个选项,[M] Menus 是主菜单,主要是Cisco思科交换机的初始配置和监控Cisco思科交换机的运行状况。[K] Command
Line 是命令行,很象路由器里面用命令来配置和监控路由器一样,主要是通过命令来操作。[I] IP Configuration
是配置IP地址、子网掩码和默认网管的一个选项。这是第一次连上Cisco思科交换机显示的界面,如果你已经配置好了IP
Configuration,那么下次登陆的时候将没有这个选项。因为用命令配置简洁明了,清晰易懂,所以我们通过 [K] Command Line
来实现VLAN的配置的。
设置好超级终端,连接上1900Cisco思科交换机后(可以参考《1900系列以太网Cisco思科交换机快速入门指南》或其他的CISCO参考资料),会出现如下的主配置界面:
-------------------------------------------------
1 user(s) now active on Management Console.
User Interface Menu
[M] Menus
[K] Command Line
[I] IP Configuration
Enter Selection:
我们简单介绍下,这儿显示了三个选项,[M] Menus 是主菜单,主要是Cisco思科交换机的初始配置和监控Cisco思科交换机的运行状况。[K] Command
Line 是命令行,很象路由器里面用命令来配置和监控路由器一样,主要是通过命令来操作。[I] IP Configuration
是配置IP地址、子网掩码和默认网管的一个选项。这是第一次连上Cisco思科交换机显示的界面,如果你已经配置好了IP
Configuration,那么下次登陆的时候将没有这个选项。因为用命令配置简洁明了,清晰易懂,所以我们通过 [K] Command Line
来实现VLAN的配置的。
我们选择 [K] Command Line ,进入命令行配置
Enter Selection:K 回车
CLI session with the switch is open.
To end the CLI session,enter [Exit ].
>
现在我们进入到了Cisco思科交换机的普通用户模式,
就象路由器一样,这种模式只能查看现在的配置,不能更改配置,并且能够使用的命令很有限。我们输入enable,进入特权模式:
>enable
#config t
Enter configuration commands,one per line.End with CNTL/Z
(config)#
为了安全和方便起见,我们给这个Cisco思科交换机起个名字,并且设置登陆密码。
(config)#hostname 1900Switch
1900Switch(config)# enable password level 15 goodwork
1900Switch(config)#
注意:密码必须是4-8位的字符。Cisco思科交换机密码的设置和路由器稍微不同,Cisco思科交换机用 level 级别的大小来决定密码的权限。Level 1
是进入命令行界面的密码,也就是说,设置了 level 1 的密码后,你下次连上Cisco思科交换机,并输入 K 后,就会让你输入密码,这个密码就是 level
1 设置的密码。而 level 15 是你输入了enable命令后让你输入的特权模式密码。路由器里面是使用 enable password 和
enable screet做此区分的。
好拉,我们已经设置好了名字和密码这样就足够安全了,让我们设置VLAN。VLAN的设置分以下2步:
1. 设置VLAN名称
2. 应用到端口
我们先设置VLAN的名称。使用 vlan vlan号 name vlan名称。 在特权配置模式下进行配置:
1900Switch (config)#vlan 2 name accounting
1900Switch (config)#vlan 3 name marketing
我们新配置了2个VLAN,为什么VLAN号从2开始呢?这是因为默认情况下,所有的端口否放在VLAN
1上,所以要从2开始配置。1900系列的Cisco思科交换机最多可以配置1024个VLAN,但是,只能有64个同时工作,当然了,这是理论上的,我们应该根据自己网络的实际需要来规划VLAN的号码。配置好了VLAN名称后我们要进入每一个端口来设置VLAN。在Cisco思科交换机中,要进入某个端口比如说第4个端口,要用
interface Ethernet 0/4,好的,结合上面给出的图我们让端口2、3、4和5属于VLAN2 ,端口17---22属于VLAN3
。命令是 vlan-membership static/ dynamic VLAN号 。 静态的或者动态的两者必须选择一个,后面是刚才配置的VLAN号。好的,我们看结果:
1900Switch(config)#interface ethernet 0/2
1900Switch(config-if)#vlan-membership static 2
1900Switch(config-if)#int e0/3
1900Switch(config-if)#vlan-membership static 2
1900Switch(config-if)#int e0/4
1900Switch(config-if)#vlan-membership static 2
1900Switch(config-if)#int e0/5
1900Switch(config-if)#vlan-membership static 2
1900Switch(config-if)#int e0/17
1900Switch(config-if)#vlan-membership static 3
。。。。。。
1900Switch(config-if)#int e0/22
1900Switch(config-if)#vlan-membership static 3
1900Switch(config-if)#
好的,我们已经把VLAN都定义到了Cisco思科交换机的端口上了。这儿,我们只是配置的静态的,关于动态的,我们在后面会有提及的。到现在为止,我们已经把Cisco思科交换机的VLAN配置好了,怎么样,没有你想象的那么复杂吧:)。为了验证我们的配置,我们在特权模式使用
show vlan命令。输出如下:
1900Switch(config)#show vlan
VLAN Name Status Ports
--------------------------------------
1 default Enabled 1,6-16,22-24,AUI,A,B
2 acconting Enabled 2-5
3 marketing Enabled 17-22
1002 fddi-default Suspended
1003 token-ring-defau Suspended
1004 fddinet-default Suspended
1005 trnet-default Suspended
这是一个24口的Cisco思科交换机,并且带有AUI和两个100兆端口(A、B),可以看出来,我们的设置已经正常工作了,什么,还要不要保存running
configure?当然不用了,Cisco思科交换机是即时自动保存的,所以不用我们使用命令来保存设置了。当然了,你也可以使用 show vlan vlan号
的命令来查看某个VLAN,比如show vlan 2 , show vlan 3. 还可以使用show vlan-membership
,改命令主要是显示Cisco思科交换机上的每一个端口静态或动态的属于哪个VLAN。
以上是给Cisco思科交换机配置静态VLAN的过程,下面我们看看动态的VLAN。动态的V L A N 形成很简单,由端口自己决定它属于哪个V L A N
时,就形成了动态的V L A N 。不过,这并不意味着就一层不变了,它只是一个简单的映射,这个映射取决于网络管理员创建的数据库。分配给动态V L
A N 的端口被激活后,Cisco思科交换机就缓存初始帧的源M A C 地址,随后,Cisco思科交换机便向一个称为VMPS (V L A N
管理策略服务器)的外部服务器发出请求,V M P S 中包含一个文本文件,文件中存有进行V L A N 映射的M A C
地址。Cisco思科交换机对这个文件进行下载,然后对文件中的M A C 地址进行校验。如果在文件列表中找到M A C 地址,Cisco思科交换机就将端口分配给列表中的V L
A N 。如果列表中没有M A C 地址,Cisco思科交换机就将端口分配给默认的V L A N (假设已经定义默认了V L A N )。如果在列表中没有M
A C 地址,而且也没有定义默认的V L A N ,端口不会被激活。这是维护网络安全一种非常好的的方法。从表面上看,动态V L A N
的优势很大,但它也有致命的缺点,即创建数据库是一项非常艰苦而且非常繁琐的工作。如果网络上有数千个工作站,则有大量的输入工作要做。即使有人能胜任这项工作,也还会出现与动态的V
L A N
有关的很多问题。另外,保持数据库为最新也是要随时进行的非常费时的工作。所以不经常用到它,这里我们就不做详细的讲解,可以参考相关的CISCO的文档资料。
这么样,没有你想象的那么复杂吧。我们已经把VLAN配置好了,那么VLAN的另一部分不容忽视的工作,就是前期的对网络的规划。就是说,哪些机器在一个VLAN中,各自的IP地址、子网掩码如何分配,以及VLAN之间互相通讯的问题。只有规划计划好了,才能够在配置和以后的使用维护过程中轻松省事。
|
