在实际应用中,VLAN技术可以解决许多网络问题。例如,在企业网络中,可以根据不同的部门或工作组划分不同的VLAN,以便更好地管理和控制网络访问。此外,VLAN技术还可以用于提高网络的安全性,限制不同VLAN之间的通信,防止未经授权的访问。
然而,在实际部署和使用VLAN时,可能会遇到一些问题。例如,在配置VLAN时,需要确保所有的设备都正确配置了VLAN ID和访问控制策略。此外,当网络规模较大时,VLAN的配置和管理可能会变得复杂,需要管理员具备一定的专业知识和经验。
为了解决这些问题,可以使用一些工具和技巧来简化VLAN的配置和管理。例如,使用VLAN管理软件可以帮助管理员更好地配置和管理VLAN。此外,还可以使用网络管理系统来监控VLAN的运行状态,及时发现和解决问题。
总之,VLAN技术是一种非常有用的网络技术,可以帮助管理员更好地管理和控制网络。在实际应用中,需要注意VLAN的配置和管理,以及解决可能遇到的问题。通过使用一些工具和技巧,可以简化VLAN的配置和管理,提高网络的运行效率。
VLAN(Virtual Local Area network)的中文名为“虚拟局域网”。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。但又不是所有交换机都具有此功能,只有VLAN协议的第三层以上交换机才具有此功能,这一点可以查看相应交换机的说明书即可得知。
VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
一 VLAN无线上网交换机故障分析
用户PC所在的办公区距离核心交换机大约有2~3公里,该办公区有两个部门,分属不同的VLAN,因此我们在该办公区放置了安奈特网管交换机AT-8024,中间通过光纤和一对光收发器连接在我们的核心交换机Cisco6509上面(Cisco6509配置为:超级引擎SUP720,一个16口的千兆位光模块WS-X6816-GBIC,一个48口的快速交换电模块WS-X6548-RJ-45)。在连接光收发器的6509和安奈特交换机的相应端口上起了Trunk,安奈特交换机上面划分了两个VLAN,分别是172.25.6.0/24(以下简称VLAN6)和172.25.7.0/24(以下简称VLAN7),两个部门的机器分别接在各自的VLAN里面。而其他办公区的汇聚层交换机(Cisco3550)直接通过光模块连接在6509的WS-X6816-GBIC光模块上。
整个网络用了一台IBMX235服务器作为NAT和DHCP服务器,所有VLAN的数据先到NAT做地址转换以后再通过边缘路由器访问因特网。
遇到上述奇怪问题,我们一开始怀疑是NAT和6509的设置出了问题,但是经检查,VLAN6和VLAN7的配置和其他办公区的路由配置是完全一样的。因为除这两个VLAN外的其他VLAN上网完全正常,于是我们采用了以下解决步骤。
(1)将VLAN6和VLAN7的VLAN信息在安奈特网管交换机上全部删除,将所有端口都划在上网正常的VLAN1里面,这下它们完全和VLAN1一样了。但是问题依然如故,而其他办公区域VLAN1里面的用户上网仍然正常。
(2)从步骤(1)推断问题不在VLAN的划分上,我们开始怀疑是光收发器或者安奈特交换机有问题,于是将其他办公区使用正常的光收发器或者安奈特交换机换上去,问题依旧。
(3)难道是链路质量的问题?赶紧找来两台PC,一台接在安奈特交换机上,将光收发器接6509的网线拔下来,直接接在另外一台机器上,配置同一网段的IP,发最大的数据包65500b互ping,但是结果让我们失望,延时只有几个毫秒,这说明链路没有问题。
(4)就在我们"黔驴技穷"的时候,我们再次把光收发器和6509连接好,仍然用接在安奈特上的PC机ping设在6509上的该VLAN的网关172.25.6.210,问题出现了,用小包ping时,基本上没有延时,但是用大包(接近18024b,Cisco所支持的最大数据包)ping时出现了丢包,问题肯定出在这里了。
(5)重新检查安奈特和6509及NAT服务器的配置,我们发现这样一个问题:在安奈特上配置VLAN6和VLAN7,并将相应端口添加到VLAN的命令为:addVLAN6ports=23
frame=untagged(将23号端口添加到VLAN6里面,注意这里的frame=untagged表示此时不对数据包封帧),而我们在安奈特交换机与6509的级联口(第一号端口)上起了Trunk,同时对数据进行了强制封帧,命令如下:addVLAN1ports=1-24frame=tagged(即我们将所有经过级联口转发出去的数据包进行了强制封帧,我们知道安奈特交换机封帧类型为IEEE802.1QVLAN标记)。然后我们继续检查6509的配置,进入连接VLAN6和VLAN7的接口,进行该端口的Trunk配置,如下:
6509#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.
6509(config)#interfacegigabitEthernet3/48-进入级联接口
6509(config-if)#Switchporttrunk?-查看起Trunk后的情况
allowedSetallowedVLANcharacteristicswheninterfaceisintrunkingmodenative
SettrunkingnativecharacteristicswheninterfaceisintrunkingmodepruningSet
pruningVLANcharacteristicswheninterfaceisintrunkingmode
二 VLAN无线上网交换机故障排除
从上面可以看出:该端口不能强制进行IEEE802.1Q的Trunk设置,其他接口情况都一样。此时想到超级引擎SUP720模块上还有一个接口没有用,看它能不能进行强制封帧。进入该端口的Trunk配置,看到如下信息。
6509#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.
6509(config)#interfacegigabitEthernet5/2
6509(config-if)#switchporttrunk?
allowedSetallowedVLANcharacteristicswheninterfaceisintrunkingmode
encapsulationSettrunkingencapsulationwheninterfaceisintrunkingmode
nativeSettrunkingnativecharacteristicswheninterfaceisintrunkingmode
pruningSetpruningVLANcharacteristicswheninterfaceisintrunkingmode
:
