專利名稱:基于SuperVLAN技術(shù)的網(wǎng)絡(luò)組網(wǎng)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機網(wǎng)絡(luò)通信領(lǐng)域��,具體地說是涉及一種網(wǎng)絡(luò)組網(wǎng)的方法����。
背景技術(shù):
隨著hternet和htranet的普及和寬帶技術(shù)的發(fā)展,各大中型企業(yè)和院校的網(wǎng) 絡(luò)節(jié)點少則幾千多則上萬個�����。由于用戶對網(wǎng)絡(luò)知識的了解和技術(shù)的缺乏以及網(wǎng)絡(luò)病毒和網(wǎng) 絡(luò)攻擊的存在,特別是網(wǎng)絡(luò)環(huán)路���、ARP攻擊���、DHCP欺騙等問題造成網(wǎng)絡(luò)故障頻出,嚴重時往 往導(dǎo)致網(wǎng)絡(luò)癱瘓����。網(wǎng)管部門不僅花費大量的人力查找和排除故障,同時還耽誤了用戶對網(wǎng) 絡(luò)的使用����。為了保持網(wǎng)絡(luò)的正常運行,網(wǎng)絡(luò)管理部門目前采用①在現(xiàn)有的三層網(wǎng)絡(luò)(接入層��、匯聚層����、核心層)圖1所示的組網(wǎng)模式基礎(chǔ)上�����,將 接入層交換機更新?lián)Q代成更高性能(具有端口相互的隔離��,速率的限制,802. IX等接入功 能的實現(xiàn)�����,網(wǎng)絡(luò)環(huán)路檢測和中止��,DHCP偵聽和ARP動態(tài)檢測功能)的交換機���。②在接入層為每個用戶分配一個VLAN�,徹底解決了網(wǎng)絡(luò)環(huán)路���、網(wǎng)絡(luò)ARP攻擊����、DHCP 欺騙等用戶之間相互影響的問題��。由于接入層面的VLAN細分�,為了避免4KVLAN的限制,在 匯聚層的網(wǎng)絡(luò)設(shè)備需要支持QinQ技術(shù)能力的三層匯聚交換機�����,在核心層的網(wǎng)絡(luò)設(shè)備應(yīng)能 提供高密度的VLAN終結(jié)功能�����,并且支持QinQ終結(jié)能力(即可以同時終結(jié)普通VLAN和QinQ VLAN)的BRAS核心路由器(見圖幻。這種組網(wǎng)模式減輕了接入層網(wǎng)絡(luò)設(shè)備的性能要求(接 入交換機只承擔用戶接入和二層數(shù)據(jù)轉(zhuǎn)發(fā)的功能��,只需要提供基本的VLAN劃分功能)�,有 利于降低數(shù)量眾多的接入層網(wǎng)絡(luò)設(shè)備的投資。保證原有網(wǎng)絡(luò)接入設(shè)備的利用�,節(jié)約投資經(jīng) 費,同時滿足現(xiàn)行業(yè)務(wù)的開展�����,比如IPV6組播業(yè)務(wù)�。上述網(wǎng)絡(luò)組網(wǎng)模式確實能有效的解決了網(wǎng)絡(luò)環(huán)路、ARP攻擊��、DHCP欺騙等問題造 成的網(wǎng)絡(luò)故障����,提升了網(wǎng)絡(luò)運行的質(zhì)量。然而帶來了下述問題1.對于采用方案①的組網(wǎng)模式的方法���,必須將數(shù)量占比達90%以上的接入層交 換機更新?lián)Q代成更高性能的交換機。如此眾多數(shù)量的接入層交換機��,無論是網(wǎng)絡(luò)新建還是 升級改造都導(dǎo)致投資極大。特別是網(wǎng)絡(luò)升級改造更換下來的交換機不能再使用��,導(dǎo)致前期 投資的巨大損失�����。2.對于采用方案②使用QinQ技術(shù)的組網(wǎng)模式的方法�����,必須使用支持QinQ技術(shù)能 力的三層匯聚交換機和支持QinQ終結(jié)能力的BRAS核心路由器�。特別是BRAS路由器價格
高昂,導(dǎo)致組網(wǎng)建設(shè)費用巨增����。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服目前采用的上述兩類網(wǎng)絡(luò)組網(wǎng)方法導(dǎo)致的網(wǎng)絡(luò)建設(shè)投資 方面存在的問題,提供一種利用超級虛擬局域網(wǎng)(SuperVlan)技術(shù)的組網(wǎng)方法(見圖3)����。 該方法只要將匯聚層的網(wǎng)絡(luò)設(shè)備更新?lián)Q代成支持SuperVlan技術(shù)能力的三層匯聚交換機, 維持使用原接入層和核心層網(wǎng)絡(luò)設(shè)備�����,尤其是接入層網(wǎng)絡(luò)設(shè)備即使在新建網(wǎng)絡(luò)時仍可使用 功能簡單�����、價格低廉的交換機。達到了既不改變傳統(tǒng)的三層網(wǎng)絡(luò)(接入層�、匯聚層、核心層)組網(wǎng)模式��,又可有效的解決了網(wǎng)絡(luò)環(huán)路��、ARP攻擊�、DHCP欺騙等問題造成的網(wǎng)絡(luò)故障,特別 是可以充分的保護前期的投資�,極大的減少了網(wǎng)絡(luò)新建或更新改造的投資費用。實現(xiàn)發(fā)明目的的技術(shù)方案通過以下步驟加以解決的�。基于SuperVLAN技術(shù)的網(wǎng)絡(luò)組網(wǎng)方法��,其方法步驟如下步驟1 初始化����,分別將接入層、匯聚層交換機進行物理安裝并將接入層交換機分 別與匯聚交換機以及核心交換機物理上下連接�����,然后檢查交換機物理上下連接正確后�����,給 交換機加電�,啟動;步驟2 對接入層交換機進行配置按照交換機Switchi i = 1....!11的端口數(shù)」�, 依次分別在交換機上創(chuàng)建j_l個VLANk k = i X (n-l)n = 2. . 3. . j,為了管理方便VLAN的 名與VLAN的標簽號(VID)應(yīng)保持相同����;步驟3 將交換機上的j個端口按照每個VLANk分配一個用戶端口的原則依次將m 臺交換機配置完成,即一個用戶一個VLAN —個端口���。同時將交換機上連匯聚交換機的端口 配置成支持中繼能力的端口����,即配置成Trunk port��,達到可以傳輸多個VLAN的數(shù)據(jù)流的目 地�����;步驟4 對匯聚交換機的配置��,首先在匯聚交換機上創(chuàng)建K+2個VLAN���,其中K個 VLAN的VID應(yīng)與接入層交換機上的VID相同����,然后進入第K+1的VLAN配置模式,設(shè)置該 VLAN的IP地址以及該VLAN的DHCP Server服務(wù)或者DHCP代理服務(wù)功能�����,保證用戶端的設(shè) 備自動獲得IP地址�;步驟5 繼續(xù)設(shè)置該VLAN屬于哪個SuperVLAN并打開SuperVLAN的功能,繼續(xù)在這 個VLAN模式下將K個VLAN設(shè)置成為SuperVLAN的SubVLAN�����,同時將SubVLAN的代理地址解 析協(xié)議(ARP)功能關(guān)閉����,不允許各SubVLAN之間相互通信,達到網(wǎng)絡(luò)二層相互隔離的作用���;步驟6 將匯聚交換機的各個下連端口和與核心交換機上連的端口均設(shè)置成 Trunk port,達到可以傳輸多個VLAN的數(shù)據(jù)流的目地��;步驟7 進入第K+2的VLAN配置模式���,設(shè)置該VLAN的IP地址����。然后視SuperVLAN 所在的VLAN里的DHCP krver服務(wù)功能是否設(shè)置���?若沒有設(shè)置DHCP krver服務(wù),則在本 VLAN里配置DHCP代理服務(wù)����;步驟8 對核心交換機的配置,在本交換機將與匯聚交換機下連的端口設(shè)置成 Trunk port�����。創(chuàng)建一個與匯聚交換機上第K+2的VLAN同名同VID的VLAN ����;步驟9 進入該VLAN的配置模式,設(shè)置該VLAN的IP地址�����。然后視匯聚交換機的 SuperVLAN所在的VLAN里的DHCP krver服務(wù)功能是否設(shè)置�����?若沒有設(shè)置DHCP krver服 務(wù),則在本VLAN里配置SuperVLAN網(wǎng)段的DHCP Server服務(wù)���;步驟10 繼續(xù)在本VLAN里配置本VLAN與SuperVLAN之間互通的路由����;步驟11 保存各個交換機的系統(tǒng)配置�,然后重新啟動各個交換機。本發(fā)明基于SuperVLAN技術(shù)的網(wǎng)絡(luò)組網(wǎng)方法的基本原理如下本發(fā)明的網(wǎng)絡(luò)組網(wǎng)方法的原理主要的部分就是充分的使用了超級虛擬局域網(wǎng) (SuperVlan)技術(shù)�,那么 SuperVLAN 是什么?SuperVLAN是VLAN劃分的一種方式�。SuperVLAN又稱為VLAN聚合,是一種專門優(yōu) 化IP地址的管理技術(shù)���。傳統(tǒng)的信息服務(wù)商(ISP)網(wǎng)絡(luò)給每個用戶被分配一個IP子網(wǎng)�����,每 分配一個子網(wǎng)�,就有三個IP地址被占用����,分別作為子網(wǎng)的網(wǎng)絡(luò)號��、廣播地址和缺省網(wǎng)關(guān)�。如果一些用戶的子網(wǎng)中有大量未分配的IP地址�����,也無法給其他用戶使用�����。因此這種方法會造 成IP地址的浪費��。SuperVLAN有效的解決了這個問題��,其原理是將一個網(wǎng)段的IP分給多個 不同的VLAN (稱為SubVLAN)�,這些SubVLAN同屬于一個SuperVLAN����。而每個SubVLAN都是 一個獨立的廣播域,不同SubVLAN之間二層相互隔離�。這樣只需為SuperVLAN分配一個IP 子網(wǎng),并為每個用戶建立一個SubVLAN���,從而保證了不同用戶之間的隔離��。所有SubVLAN可以靈活分配SuperVLAN子網(wǎng)中的IP地址�����,當SubVLAN內(nèi)的用戶需 要進行三層通信時����,將使用SuperVLAN的虛接口的IP地址作為缺省網(wǎng)關(guān)。這樣多個VLAN 共享一個IP地址��,從而節(jié)省了 IP地址資源��。同時�����,為了實現(xiàn)不同SubVLAN間的三層互通及 SubVLAN與其他網(wǎng)絡(luò)的互通����,需要利用ARP代理功能。通過ARP代理可以進行ARP請求和響 應(yīng)報文的轉(zhuǎn)發(fā)與處理���,從而實現(xiàn)了二層隔離端口間的三層互通���。由此可見采用SuperVLAN技術(shù)的初衷是為了節(jié)省IP地址(它只需對包含多個Sub VLAN的SuperVLAN分配一個IP地址)��。而基于SuperVLAN技術(shù)的網(wǎng)絡(luò)組網(wǎng)方法不僅利用 SuperVLAN技術(shù)節(jié)省IP地址的特性�����,更重要的是利用每個SubVLAN都是一個獨立的廣播域��, 不同用戶之間二層相互隔離的特性�。在接入層交換機上為每個用戶分配一個VLAN���,每個 VLAN只分配一個用戶端口����。這樣將不同用戶之間的影響降到最低�,徹底解決了網(wǎng)絡(luò)環(huán)路��、網(wǎng) 絡(luò)ARP攻擊����、DHCP欺騙等用戶之間相互影響的問題。本發(fā)明基于SuperVLAN技術(shù)的網(wǎng)絡(luò)組網(wǎng)方法與傳統(tǒng)的三層網(wǎng)絡(luò)(接入層��、匯聚層��、 核心層)組網(wǎng)方法或使用QinQ技術(shù)的組網(wǎng)模式的方法相比較有以下有益效果①有效的解決了網(wǎng)絡(luò)環(huán)路、ARP攻擊�����、DHCP欺騙等問題造成的網(wǎng)絡(luò)故障��,提升了網(wǎng) 絡(luò)運行的質(zhì)量�����。②不改變傳統(tǒng)的三層網(wǎng)絡(luò)(接入層��、匯聚層���、核心層)組網(wǎng)方法的組織結(jié)構(gòu)���,保持 了傳統(tǒng)網(wǎng)絡(luò)運行的靈活性和應(yīng)用的多樣性的特點,增強了網(wǎng)絡(luò)的可靠性�。③由于該方法僅在網(wǎng)絡(luò)匯聚層的網(wǎng)絡(luò)設(shè)備更新?lián)Q代成支持SuperVLAN技術(shù)能力 的三層交換機,減輕了傳統(tǒng)網(wǎng)絡(luò)接入層網(wǎng)絡(luò)設(shè)備的性能要求��,(接入交換機只承擔用戶接入 和二層數(shù)據(jù)轉(zhuǎn)發(fā)的功能��,只需要提供基本的VLAN劃分功能)�,維持使用原接入層和核心層 網(wǎng)絡(luò)設(shè)備�����,尤其是接入層網(wǎng)絡(luò)設(shè)備即使在新建網(wǎng)絡(luò)時仍可使用功能簡單���、價格低廉的交換 機。極大的減少了網(wǎng)絡(luò)新建或更新改造的投資費用�����。
四
圖1 傳統(tǒng)的三層網(wǎng)絡(luò)拓撲模式圖��。圖2 采用QinQ技術(shù)的網(wǎng)絡(luò)拓撲模式圖��。圖3 基于SuperVLAN技術(shù)的網(wǎng)絡(luò)拓撲模式圖�����。五�����、具體實例1.實例環(huán)境實驗環(huán)境由一幢學(xué)生宿舍樓構(gòu)成�����,樓內(nèi)有720個信息點和1個3. 3mX 3. !MX : 的 網(wǎng)絡(luò)匯聚設(shè)備機房�����,機房里安置4個ail高的標準機柜���,安裝港灣μ Hammer2024E 24端口 的交換機16臺和Avaya P334T 48端口的交換機8臺作為用戶接入交換機����,銳捷RG-S5760 三層交換機作為匯聚交換機��。每個機柜里分別安裝M端口的交換機4臺和48端口的交 換機2臺�,各交換機的1號端口分別用雙絞網(wǎng)線與銳捷RG-S5760匯聚交換機相連,而銳捷RG-S5760匯聚交換機用多模光纖線與銳捷RG-S8606核心交換機相連�����。2.實現(xiàn)①分別對對臺用戶接入交換機進行VLAN劃分和端口配置�,其中一臺港灣 μ Hammer2024E交換機配置的相關(guān)內(nèi)容顯示如下
Stu5—l(config)# sh run
!HammerOS system config file----------------
!vlan config
config ipaddress 172.17.130.12 255.255.255.0交換機管理地址
config vlan default tag 1
create vlan 1002 config vlan 1002 tag 1002 config vlan 1002 add port 1 lagged config vlan 1002 add port 2 untagged
create vlan 1003 config vlan 1003 tag 1003 config vlan 1003 add port 1 tagged config vlan 1003 add port 3 untagged
create vlan 1024 config vlan 1024 tag 1024 config vlan 1024 add port 1 tagged config vlan 1024 add port 24 untagged
config vlan 1002 inputport 2 config vlan 1003 inputport 3
config vlan 10024 inputport 24
!
!iproute config
ip route 0.0.0.0 0.0.0.0 172.17.130.1 ι
!end of config-------------------------------②對銳捷RG-S5760匯聚交換機的配置���,配置的相關(guān)內(nèi)容顯示如下
6
創(chuàng) i 8 /����、h 1002 的 VLAN 設(shè)過λ丨iu] 1002的VID為]002
設(shè)M1 1 ''J端Π為可通行vlan 1002標識的數(shù)據(jù)包 設(shè)KT 2 U WU為用戶端口
創(chuàng)建名字為1003的VLAN 設(shè)賈 vlan 1003 的 VID 為 1003 設(shè)覽S號端口為可通行vlan 1003標識的數(shù)據(jù)包 設(shè)賢3號端口為用戶端口
創(chuàng)建名字為1024的VLAN 設(shè)腎 vlan 1024 的 VID 為 1024
設(shè)賈1號端口為可通行vlan 1024標識的數(shù)據(jù)包 設(shè)賈M號端口為用戶端口
設(shè)賈2號端口進出vlaii 1002的數(shù)據(jù)包不加標識 設(shè)賈3 y端口進出vlan 1003的數(shù)據(jù)包不加標識
設(shè)覽24號端口進出vlan 1024的數(shù)據(jù)包不加標識Ruijie#sh run
version RGOS 10.4(2) Release(79877)(Fri Mar 19 19:05:07 CST 2010 -ngcfil)
vlan 1 vlan 1002 vlan 1003
缺省VLAN 創(chuàng)建V:II)為
1002 的 VLAN
vlan 1024 vlan 1025
創(chuàng)建VID為1(Π4的VLAN
vlan 1744 vlan 1745 vlan 5 vlan 651 supervlan subvlan 1002-1745
no proxy-arp
創(chuàng)建VID為1725的第K個VLAN 創(chuàng)建V:iD為5的第Κ+2個VLAN 創(chuàng)建VID為651的第Κ+1個VLAN 將 VII)為 651 的 VLAN 設(shè)為 SuperVLAN 將 VID 為 1002-1725 的 VLAN 設(shè)為 SubVLAN
關(guān)閉ARP代理功能
no service password-encryption service dhcp ip dhcp pool vlan 651 network 10.1.0.0 255.255.252.0 dns-server 218.2.135.1 default-router 10.1.3.254 interface GigabitEthernet 0/1
switchport mode trunk interface GigabitEthernet 0/2 switchport mode trunk
麵IW VLAN651的DHCP服務(wù)功能 將10.1.0.0 10.1.3.254的IP地址分配給 VLAN651 SuperVLAN里的用戶使用
交換機端口 1配置成Trunk port
交換機端口 2配置成Trunk port
交換機端口 24配置成Trunk port 交換機光模端口 1/1配置成Trunk port
interface GigabitEthernet 0/24
switchport mode trunk interface GigabitEthernet 1/1 switchport mode trunk
interface VLAN 5配置齊遙VLAN 5網(wǎng)絡(luò)的IP地址(即缺省網(wǎng)關(guān))
ip address 192.168.1.1 255.255.255.0 interface VLAN 651配置超級VLAN 65網(wǎng)絡(luò)的: :Ρ地ill:(即缺省網(wǎng)關(guān))
no ip proxy-arp關(guān)閉IP ARP代理功能
ip address 10.1.3.254 255.255.252.0 end③對銳捷RG-S8606核心交換機的配置,配置的相關(guān)內(nèi)容顯示如下
7Ruijie#sh run Vlan 1
Vlan 5創(chuàng)建 VID 為 5 的 VLAN
interface GigabitEthernet3/2交換機光投 V M 3/2 設(shè)置成 Trunk port
switchport mode trunk
interface VLAN 5設(shè)贊齊通VLAN 5網(wǎng)絡(luò)的IP地址(即缺省網(wǎng)關(guān))
ip address 192.168.1.2 255.255.255.0 ip route 10.1.0.0 255.255.252.0 192.168.1.1 i^V VLAN 5 網(wǎng)絡(luò)與超級網(wǎng)絡(luò) VLA.N 651
的路由設(shè)置完成后�����,保存各個交換機的配置�����,重新啟動交換機�����,實驗完成��。從上述配置內(nèi)容可見對接入交換機的性能要求較低�,適合大量使用功能簡單,價 格低廉的交換機��。對核心交換機的配置也不需作大的改動����,關(guān)鍵的部分在匯聚交換機上的 超級VLAN與核心交換機之間的網(wǎng)絡(luò)互聯(lián)�,由于SuperVLAN技術(shù)不支持802. IQ協(xié)議,因此必 須在匯聚交換機上創(chuàng)建一個普通VLAN作為跳板��,將超級VLAN與核心交換機進行橋接達到 網(wǎng)絡(luò)之間的互聯(lián)。
8
權(quán)利要求
1.基于SuperVLAN技術(shù)的網(wǎng)絡(luò)組網(wǎng)方法��,其方法步驟如下步驟1 初始化����,分別將接入層、匯聚層交換機進行物理安裝并將接入層交換機分別與 匯聚交換機以及核心交換機物理上下連接�,然后檢查交換機物理上下連接正確后,給交換 機加電��,啟動�����;步驟2:對接入層交換機進行配置按照交換機Switchi i = 1....111的端口數(shù)]_�����,依次 分別在交換機上創(chuàng)建j_l個VLANk k = i X (n-l)n = 2. . 3. . j�,為了管理方便VLAN的名與 VLAN的標簽號(VID)應(yīng)保持相同;步驟3 將交換機上的j個端口按照每個VLANk分配一個用戶端口的原則依次將m臺 交換機配置完成����,即一個用戶一個VLAN —個端口。同時將交換機上連到匯聚交換機的端口 配置成支持中繼能力的端口,即配置成Trunk port��,達到可以傳輸多個VLAN的數(shù)據(jù)包的目 地���;步驟4 對匯聚交換機的配置首先在匯聚交換機上創(chuàng)建K+2個VLAN����,其中K個VLAN的 VID應(yīng)與接入層交換機上的VID相同�����,然后進入第K+1的VLAN配置模式�,設(shè)置該VLAN的IP 地址以及該VLAN的DHCP Server服務(wù)或者DHCP代理服務(wù)功能,保證用戶端的設(shè)備自動獲 得IP地址�;步驟5 繼續(xù)設(shè)置該VLAN屬于哪個SuperVLAN并打開SuperVLAN的功能,繼續(xù)在這個 VLAN模式下將K個VLAN設(shè)置成為SuperVLAN的SubVLAN����,同時將SubVLAN的代理地址解析 協(xié)議(ARP)功能關(guān)閉,不允許各SubVLAN之間相互通信����,達到網(wǎng)絡(luò)二層相互隔離的作用;步驟6 將匯聚交換機的各個下連端口和與核心交換機上連的端口均設(shè)置成Trunk port��,達到各個端口均可以傳輸多個VLAN的數(shù)據(jù)包的目地;步驟7 進入第K+2的VLAN配置模式�,設(shè)置該VLAN的IP地址���。然后視SuperVLAN所在 的VLAN里的DHCP krver服務(wù)功能是否設(shè)置��?若沒有設(shè)置DHCP krver服務(wù)�,則在本VLAN 里配置DHCP代理服務(wù)�;步驟8 對核心交換機的配置在本交換機將與匯聚交換機下連的端口設(shè)置成Trunk port。創(chuàng)建一個與匯聚交換機上第K+2的VLAN同名同VID的VLAN ��;步驟9 進入該VLAN的配置模式���,設(shè)置該VLAN的IP地址��。然后視匯聚交換機的 SuperVLAN所在的VLAN里的DHCP krver服務(wù)功能是否設(shè)置�?若沒有設(shè)置DHCP krver服 務(wù)����,則在本VLAN里配置SuperVLAN網(wǎng)段的DHCP Server服務(wù);步驟10 繼續(xù)在本VLAN里配置本VLAN與SuperVLAN之間互通的路由��; 步驟11 保存各個交換機的系統(tǒng)配置�,然后重新啟動各個交換機�����。
全文摘要
本發(fā)明的目的在于克服目前通常采用的兩類網(wǎng)絡(luò)組網(wǎng)方法導(dǎo)致的網(wǎng)絡(luò)建設(shè)投資方面存在的問題�����。公開了一種利用超級虛擬局域網(wǎng)(SuperVlan)技術(shù)的組網(wǎng)方法���。該方法只要將匯聚層的網(wǎng)絡(luò)設(shè)備更新?lián)Q代成支持SuperVlan技術(shù)能力的三層匯聚交換機,充分利用SuperVlan技術(shù)的特點��,維持使用原接入層和核心層的網(wǎng)絡(luò)設(shè)備(尤其是接入層網(wǎng)絡(luò)設(shè)備即使在新建網(wǎng)絡(luò)時仍可使用功能簡單�����、價格低廉的交換機)��。達到了既不改變傳統(tǒng)的三層網(wǎng)絡(luò)(接入層���、匯聚層��、核心層)組網(wǎng)模式�,又可有效的解決了網(wǎng)絡(luò)環(huán)路�、ARP攻擊�����、DHCP欺騙等問題造成的網(wǎng)絡(luò)故障�,特別是可以充分的保護前期的投資��,極大的減少了網(wǎng)絡(luò)新建或更新改造的投資費用����。
文檔編號H04L12/46GK102130831SQ20111004047
公開日2011年7月20日 申請日期2011年2月18日 優(yōu)先權(quán)日2011年2月18日
發(fā)明者李博揚, 李金方 申請人:李金方