所谓的虚拟局域网(Virtual Local Area Network,VLAN),是指不管设备用户的物理位置在哪里,而改为按照设备的功能、用户所属的部门、或是所使用的应用程序来分组,将既有的物理连接结构重新分配所形成的新的分组区段,每一个区段都分别自成一个广播域,可以把它看成是一个新的局域网。由于这个新的局域网并非依物理布线的结构形成,所以称为虚拟局域网。虚拟局域网的本质是在交换机上逻辑分组,通过软件来完成。
VLAN是对连接到的第二层交换机端口的网络用户的逻辑分段,不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。
传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。
VLAN相当于OSI参考模型的第二层的广播域,能够将广播风暴控制在一个VLAN内部,划分VLAN后,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层(网络层)的路由来实现的,因此使用VLAN技术,结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。
另外,VLAN具有灵活性和可扩张性等特点,方便于网络维护和管理,这两个特点正是现代局域网设计必须实现的两个基本目标,在局域网中有效利用虚拟局域网技术能够提高网络运行效率。
图3.1 虚拟局域网拓补
3.3 访问控制列表
3.3.1 ACL的基本概念:
三层交换机利用访问控制列表(Access Control List , ACL)提供过滤网络流量的功能,ACL是由允许和拒绝访问的描述语句组成的控制表,标准的ACL可以控制管理源网络地址到本地的数据传输,扩展型的ACL可以根据上层协议的服务类型,来控制管理从发送端网络到目标网络的数据传输。本毕业设计中只用到了标准型ACL。
ACL的功能:
1、可以限制数据流的种类;
2、可以提供数据流的流量控制;
3、提供基本的网络安全。
标准型ACL会检查可路由的数据包的源地址,使用标准ACL可以拒绝或允许来自某些网络的所有流量。如果数据包被允许,就会被转发出去;如果被拒绝,数据包就会被丢弃。标准型ACL指令的完整语法:
access-list 号码 { deny | permit } 源网址 通配掩码 [log]
使用下面的指令来检查ACL规则,并检验是否每样输入的都正确。
show access-list
如果想变更当前的规则,必须先删除原来的ACL,然后再重新建立一组ACL规则。删除ACL的指令语法是:
no access-list 号码
使用ip access-group 这个指令将写好的ACL规则应用于端口。ip access-group指令的格式是:
ip access-group 号码 { in | out }
如果要从端口中删除ACL,指令的语法如下:
no ip access-group 编号 { in | out }
3.3.2 ACL在该毕业设计中的运用:
本课题中,将Cisco公司Catalyst 3550 series交换机的FastEthernet0/1分配给Vlan1作为程序的控制端口,将FastEthernet0/2分配给Vlan2连接公网。其余的端口可以动态设置连接各子网。
在程序运行时点击 [连接] 按钮,在建立了telnet连接后会建立一个ACL,将用于连接某子网的端口,来终止由该端口到交换机的所有数据包。ACL语句如下:
Switch(config)#no access-list 2
Switch(config)#access-list 2 deny any
当创建或修改FastEthernet0/3~ FastEthernet0/24中某个端口信息时,也会自动建立一个ACL,将用于拒绝该端口所连子网的数据包发送到公网。 ACL语句如下:
Switch(config)#no access-list 端口号
Switch(config)# access-list 端口号 deny 子网地址 通配符掩码
Switch(config)# access-list 端口号 permit any
某个子网(例如端口3所连子网)连接到本网时,使用一条 access-group指令即可实现:
Switch(config)#interface vlan 3
Switch(config-if)#ip access-group 2 in
要连接到校园网时使用下列语句:
Switch(config)#interface vlan 2
Switch(config-if)#ip access-group 3 out
Switch(config-if)#exit
Switch(config)#interface vlan 3
Switch(config-if)#no ip access-group 2 in
要连接公网时使用下列语句:
Switch(config)#interface vlan 2
Switch(config-if)#no ip access-group 3 out
Switch(config-if)#exit
Switch(config)#interface vlan 3
Switch(config-if)#no ip access-group 2 in
第四章 课题实现的功能介绍
本课题主要是对一台Cisco公司的Catalyst 3550 series交换机实现远程控制。从而控制各子网的状态,协助管理员工作。
下面介绍一下本软件的使用方法:
