VLAN的原理与实现

VLAN的原理与实现（精选8篇）

VLAN的原理与实现 第1篇

关键词：VLAN,虚拟局域网,企业网络,网络设计

1 企业组网中采用单一网段架构的不足之处

企业在组建局域网和信息化平台时, 为节约成本往往采用了单一网段架构的组网模式。随着企业内部联网计算机的不断增多、网络应用的日趋复杂, 这种架构的弊端也不断显现出来。由于防火墙、服务器、工作站等网络设备处在同一个网段 (同一广播域) , 大量的广播包发送到局域网上容易引起广播风暴、占用很高的网络带宽, 从而影响到正常业务数据流的稳定传输。一旦某计算机发生ARP攻击或者冒用了网络设备的IP地址, 就会干扰到网络的正常运行, 造成严重的安全隐患。为了解决上述问题, 提高企业网络的安全性、稳定性和可靠性, 就需要部署与实施VLAN虚拟局域网。

2VLAN虚拟局域网的主要特点

IEEE802.1Q定义了VLAN网桥和操作规范。传统的共享介质型以太网中, 所有的计算机位于同一个广播域中, 广播域越大对网络性能的影响也就越大。有效的解决途径就是把单一网段架构的以太网划分成逻辑上相互独立的多个子网, 同一VLAN中的广播包只有同一VLAN的成员组才能收到, 而不会传输到其它VLAN中去, 这就很好地控制了广播风暴。在企业网络组建中, 通过合理的VLAN设计规划, 一方面可以限制广播域, 最大限度地防止广播风暴的发生, 节省网络带宽;同时还可以提高网络处理能力, 并通过VLAN间路由、VLAN间互访策略, 全面增强企业网络的安全性。

3 企业VLAN规划中的技术要点

VLAN技术在大型局域网、大型校园网的组建中有着广泛的应用, VLAN的规划和设计是高等计算机网络的一个重点, 同时也是一个技术难点, 实施者必须具备较高的计算机网络知识与实践技能。企业在实施VLAN前, 应该从以下几个方面重点分析和考虑:

(1) 根据目前的网络拓扑、综合布线、各类网络设备、计算机数量以及分布的地理位置进行统计和调研。通常位于核心层的防火墙、服务器组等应划分到一个单独的VLAN网段, 然后根据各部门的网络应用需求、联网设备数量作进一步规划。

(2) 采用合适的VLAN划分技术, 常见的VLAN划分方式包括:基于端口的VLAN、基于MAC地址的VLAN、基于协议的VLAN、基于IP子网的VLAN 和基于策略的VLAN等。以中小型企业为例, 计算机的数量与分布的地理位置相对比较固定, 优先考虑采用基于端口的静态VLAN划分方式。将交换机中的任意端口定义为一个VLAN端口组成员, 从而形成一个VLAN网段, 将指定端口加入到指定VLAN中之后, 该端口就可以转发指定VLAN的数据包。

(3) 各个VLAN之间的路由与ACL访问策略的配置。通常服务器所属的VLAN可以与其它VLAN相互访问, 各个VLAN的内部计算机可以互访, 其它VLAN之间计算机的互访权限视具体情况在三层交换机加以启用或禁用。

(4) 防火墙到各个VLAN之间的路由规划。防火墙是整个企业网的Internet总出口, 直接决定哪些VLAN组、哪些计算机成员可以访问Internet。

(5) 必要的经费投入, 购买合适的网络设备。一般选择三层智能VLAN以太网交换机, 根据设计方案, 通过命令参数进行配置。由于不同品牌、不同型号的交换机VLAN配置参数与语法命令不尽相同, 因此需要VLAN实施者精通常用交换机的配置与应用。

4 某企业VLAN规划和实施的具体步骤与案例分析

随着经营业务的不断扩展、联网设备的不断增多, 为提高局域网安全性和处理能力, 笔者参与了某商品流通企业的局域网VLAN实施项目。从企业网络应用的规模和现状分析, 设计划分为5个VLAN, 其中VLAN16为服务器核心网段, 可以与其它全部VLAN (17～20) 互访。VLAN (17～20) 只能访问16网段, 相互之间不能互访, 但每个VLAN内部计算机可以互访。防火墙型号为H3C SecPath F100-S, LAN口管理IP为192.168.16.1, 可以路由到全部5个VLAN, 并能控制任意网段的计算机访问外网与IP流量。

在实施VLAN前, 首先要对企业现有的综合布线作全面的梳理, 每根网线连接哪台电脑、交换机的端口标识要明确、清晰。在核心交换机端口充裕的情况下, 做到计算机与核心交换机端口直接相连, 尽量不要采用SOHO交换机进行多层次的网络转接。根据VLAN设计方案, 对网络设备、部门计算机的网络参数进行重新分配和配置, 把每台计算机的网线连接到交换机对应的VLAN端口。

该项目中, 采用了H3C公司的48口全千兆三层以太网交换机S5500-48P-SI。S5500-48P-SI千兆以太网交换机定位于企业网和城域网的汇聚或接入, 具备丰富的业务特性, 提供了高性能、大容量的交换服务, 并支持10GE 的上行接口, 为接入设备提供了更高的带宽。同时还可以用于数据中心服务器群的连接, 为用户提供了高接入带宽和高端口密度。S5500-48P-SI支持4K个基于端口的VLAN, 在全双工模式下交换容量为240Gbps, 整机包转发率为72Mpps, 可以满足企业目前应用需求。

S5500-48P-SI交换机的配置是整个VLAN实施中的技术重点和难点, 其配置要点说明如下:

(1) 创建ACL访问策略。根据设计方案, VLAN16可以与VLAN (17～20) 直接互访, 无须设置拒绝访问规则。VLAN17不能与VLAN (18～20) 互访, VLAN18不能与VLAN (17、19、20) 互访, VLAN19不能与VLAN (17、18、20) 互访, VLAN20不能与VLAN (17～19) 互访。因此, 必须单独设置规则号和拒绝访问控制列表。

acl number 3001

rule 0 deny ip source 192.168.17.0 0.0.0.255 destination 192.168.18.0 0.0.0.255

rule 1 deny ip source 192.168.17.0 0.0.0.255 destination 192.168.19.0 0.0.0.255

rule 2 deny ip source 192.168.17.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

acl number 3002

rule 0 deny ip source 192.168.18.0 0.0.0.255 destination 192.168.17.0 0.0.0.255

rule 1 deny ip source 192.168.18.0 0.0.0.255 destination 192.168.19.0 0.0.0.255

rule 2 deny ip source 192.168.18.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

acl number 3003

rule 0 deny ip source 192.168.19.0 0.0.0.255 destination 192.168.17.0 0.0.0.255

rule 1 deny ip source 192.168.19.0 0.0.0.255 destination 192.168.18.0 0.0.0.255

rule 2 deny ip source 192.168.19.0 0.0.0.255 destination 192.168.20.0 0.0.0.255

acl number 3004

rule 0 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.17.0 0.0.0.255

rule 1 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.18.0 0.0.0.255

rule 2 deny ip source 192.168.20.0 0.0.0.255 destination 192.168.19.0 0.0.0.255

(2) 创建VLAN16至VLAN20共计5个VLAN, 配置每个VLAN的管理IP地址 (即每个网段的网关) , 在VLAN (17～20) 上绑定相应的ACL访问策略。

vlan 16 to 20

interface Vlan-interface16

ip address 192.168.16.254 255.255.255.0

interface Vlan-interface17

ip address 192.168.17.254 255.255.255.0

packet-filter 3001 inbound

interface Vlan-interface18

ip address 192.168.18.254 255.255.255.0

packet-filter 3002 inbound

interface Vlan-interface19

ip address 192.168.19.254 255.255.255.0

packet-filter 3003 inbound

interface Vlan-interface20

ip address 192.168.20.254 255.255.255.0

packet-filter 3004 inbound

(3) 根据表2所示, 将交换机端口划分到对应的VLAN和设置访问模式, 以端口1、11、16、31、36、47、48为例, 配置参数如下:

interface GigabitEthernet1/0/1

port access vlan 16

mirroring-group 1 mirroring-port both

interface GigabitEthernet1/0/11

port access vlan 17

interface GigabitEthernet1/0/16

port access vlan 18

interface GigabitEthernet1/0/31

port access vlan 19

interface GigabitEthernet1/0/36

port access vlan 20

interface GigabitEthernet1/0/47

mirroring-group 1 monitor-port

interface GigabitEthernet1/0/48

port link-type trunk

port trunk permit vlan all

(4) 配置交换机默认的静态路由, 指向防火墙的内网口管理地址。H3C SecPath F100-S防火墙LAN端口IP地址为192.168.16.1, 是整个公司局域网接入Internet的出口网关。

ip route-static 0.0.0.0 0.0.0.0 192.168.16.1

(5) 配置防火墙的Internet接入与内部VLAN关联的静态路由:

ip route-static 0.0.0.0 0.0.0.0 【公网IP】 preference 60

ip route-static 192.168.0.0 255.255.0.0 192.168.16.254 preference 60

全部配置完毕后测试结果表明, 除了VLAN16, 其它VLAN之间的计算机均不能直接互访, 所有计算机都可以访问Internet和PING通服务器。测试结果与VLAN设计方案完全一致, 可以正式启用VLAN。

5VLAN实施后产生问题如何解决

由于实施VLAN后除了VLAN16其它各网段之间不能直接互访, 因此也带来了一些网络应用上的问题。比如不同VLAN之间不能直接共享打印机和共享文件夹, 需要重新设置共享。解决方案是在同一VLAN的内部计算机上设置共享打印机或者文件夹, 或者在VLAN16网段上设置共享打印机或者文件夹, 以便给全公司的联网计算机访问。

6 结语

通过实施VLAN前后的网络协议分析, 在企业网络应用高峰期利用OmniPeek协议分析软件在各个VLAN网段中实时抓包采样, 发现各个网段的广播包数量明显减少, 网络利用率有了明显提高, 实施后从未发生过广播风暴现象。特别是核心层网络设备从普通交换机升级到全千兆VLAN交换机后, 业务软件的输入、统计、查询, 以及浏览网页的速度均有较大的提高, 网络性能有了很大改善。

上述企业VLAN的设计思路、实施步骤和配置参数具有很高的参考与应用价值。规模更大、更复杂的企业网拥有更多的计算机, 因此, 需在此基础上划分更多的VLAN、设计更加复杂的ACL访问控制策略。通过VLAN的实施, 不仅提高了网络安全性和利用率, 并且对于今后企业网络的扩展和升级都带来了很大的便利。

参考文献

[1]崔北亮.CCNA认证指南 (640-802) [M].北京:电子工业出版社, 2009.

[2]王达.CISCO/H3C交换机配置与管理完全手册[M].北京:中国水利水电出版社, 2009.

[3]Marina Smith.虚拟局域网[M].北京:清华大学出版社, 2003.

[4]Todd Lammle.CCNA学习指南:中文第6版[M].北京:电子工业出版社, 2008.

跨交换机实现VLAN 第2篇

跨交换机实现VLAN

[背景描述]

假设某公司有两个部门分别是：销售部、技术部、其中销售部的个人计算机系统连接在不同的交换机上，两个部门之间需要相互进行通信，但为了数据安全起见，销售部和技术部需要进行相互隔离，要在交换机上做适当的配置来现实这个目标，

[实验拓扑]

实验的拓扑图：

[实验设备]

三层交换机一台

三层交换机一台

[预备知识]

交换机的基本配置方法、VLAN的工作原理和配置方法、TRUNK的工作原理和配置方法。

[实验步骤]

步骤一 配置两台交换机的主机名

switch#configure terminal

switch(config)#hostname s3550

switch#config terminal

switch(config)#hostname s2950

步骤二 在三层交换机上划分VLAN添加端口

s3550(config)#vlan 10

s3550(config)#name xiaoshou

s3550(config)#vlan 20

s3550(config)#name jishu

s3550(config)#interface fastethernet 0/6

s3550(config-if)#switchport access vlan 10

s3550(config)#interface fastethernet 0/11

s3550(config-if)#switchport access vlan 20

s3550(config)#interface f 0/1

s3550(config-if)#switchport mode trunk

s3550(config)#interface vlan 10

s3550(config-if)#ip address 192.168.1.1 255.255.255.0

s3550(config-if)#no shutdown

s3550(config)#interface vlan 20

s3550(config-if)#ip address 192.168.2.1 255.255.255.0

s3550(config-if)#no shutdown

步骤三 在二层交换机上划分VLAN添加端口

S2950(config)#vlan 10

s2950(config)#name xiaoshou

s2950(config)#interface fastethernet 0/6

s2950(config-if)#switchport access vlan 10

s2950(config)#interface fastethernet 0/1

s2950(config-if)#switchport mode trunk

步骤四 测试PC3访问PC1如图所示：

步骤五 测试PC3访问PC2如图所示：

本文出自 “划过一片天空” 博客

★ 为什么我们需要三层交换机网络知识

★ 配置例程：华为交换机vlan方案说明及代码

★ Windows中轻松实现红外线通信支持

★ 用C或者C++语言实现SOCKET通信

★ 移动通信大客户个体分析系统的设计和实现

VLAN的原理与实现 第3篇

关键词：虚拟局域网 (VLAN) ,医院信息系统,无线数字化医疗

近年来医疗体制改革成为公众关心的热点, 医院信息系统化建设也要适应医疗改革的需求, 建立面向临床的数字化医院, 利用信息技术简化就医流程, 提高医师工作效率, 是各级医院亟待解决的重要问题。

1、传统医院信息系统的局限性

医院作为与人民生活息息相关的单位, 倡导“以病人为中心”, 尽可能地为提高医护人员的诊断、处置效率, 为救治病患缩短时间。而传统的医院信息化系统存在其不可避免的局限性。如:传统的医院信息化系统难以实现移动临床医疗和护理, 住院查房、巡房携带电脑不方便, 多数医院仍采用纸质病史, 医嘱下达与执行不及时;无法数字化记录护理体征监测、护理记录, 护理工作数据难以采集。不能随时随地进行临床危急事件警示与处理及临床医疗合作。固定式检查、监护设备, 无法实现床边、家庭的检查及及时的远程诊断报告、远程监护, 对行动不便及在家的病人, 不便于便携式的检查、监护。而作为医院管理者来说, 无法及时获得医疗业务量、费用、质量等信息, 无法预测异常情况并随时随地作出决策。

2、无线数字化医疗的设计实现

医院信息化模块包括医院管理系统 (HIS) 、实验室管理系统 (LIS) , 医学影像管理系统 (PACS) 、电子病历电子病历 (EMR) 等, 由这些系统产生的信息资源, 存储在医院服务器上, 由各模块系统开发商提供的标准化接口, 集成医疗业务协同工作平台, 通过虚拟局域网 (VLAN) , 进行移动医护、危机值管理、计划任务管理、会诊管理、为重病人管理、药品使用管理、医疗业务查询、诊疗信息查询等工作。医护人员使用的移动终端可以是掌上电脑 (PDA) 、手机等移动数字设备。设计架构如图1所示:

3.1 移动医护

在病区组建V L A N后, 医生可以随身携带移动终端, 在病区间移动而不会发生程序错误。医护人员可以通过移动终端, 迅速地获取患者的住院信息、病史、检验、检查结果和其他生命体征信息, 尽可能有效地与患者交流, 从而获得高效率、高质量的床边探视和护理。医生可以根据查房情况, 及时将信息录入系统, 并根据病情变化当即开出检验、检查、治疗和其他医嘱, 避免了查房后再次转抄医嘱或凭记忆补开医嘱、记录病程, 造成重复工作甚至错误情况发生。

3.1 危机值管理

危机值是指实验室在检验分析过程中, 产生的异常数据结果。异常数据结果通过LIS系统, 自动集成到协同工作平台, 协同工作平台接收到危机值后, 通过VLAN网络, 发送到相应的移动终端:医用P D A或者主治医师手机。主治医师在收到危机值信息后, 通过信息提醒查看危机值, 能够及时根据危机值进行病史、报告查阅、医嘱下达等及时的处置工作。

3.2 计划任务管理:

工作人员将会议安排、医师排班、手术安排等计划任务录入到系统, 自动集成到协同工作平台, 通过V L A N网络, 发送到相关移动终端, 可以进行提醒时间设置, 随时随地提醒工作人员及时进行各项工作, 比如, 在手术开始前半个小时进行提醒、会议开始前十分钟提醒等。

3.3 会诊管理

在遇到需要会诊的患者病情时, 主治医生通过移动终端, 录入会诊申请, 会诊申请自动集成到协同工作平台, 通过VLAN网络传输到受邀会诊医师的移动终端。受邀医师接受会诊申请并查阅申请, 通过终端可以先查看患者病史病情等, 再进行床边会诊, 会诊结束后, 录入会诊结果与处置意见, 自动集成到协同平台, 返回到主治医师的移动终端, 主治医师根据会诊结果与意见, 进行医嘱处理。

3.4 危重病人管理

监护仪检测到被监护的重症病人的病危体征, 主治医师通过病危体征提醒, 录入病危通知到移动终端, 自动集成到协同工作平台, 通过V L A N网络, 发送到上级医师的移动终端, 上级医师查阅病危通知, 并进行床边处置、开医嘱等。此功能可以随时随地获取重症病人信息, 提高医疗质量, 保障患者安全。

3.5 药品使用管理

病人来院就诊时, 接诊医生通过移动终端开具抗生素处方, 集成到协同工作平台, 通过V L A N网络, 发送到上级医师的移动终端, 上级医师接收抗生素处方并审核处方, 将审核结果返回到接诊医生。此功能可以随时随地完成分级用药管理, 优化医疗业务监管流程。

3.6 信息查询

医院各级工作人员, 可以根据设定的权限, 在自己的权限范围内进行查询, 通过V L A N网络, 利用移动终端随时随地, 查询医疗业务实时动态信息, 辅助医院管理决策, 提高过程监管水平。

3.7 医疗机构间相互资源共享

可以通过移动运营商提供的无线网络, 实现各医疗机构间的资源共享, 如医生可以根据权限, 查询患者过往在其它医疗机构的治疗情况、用药情况等, 以便更加及时准确地判断病情。

3.8 日常业务提醒

医院医护人员工作繁忙, 对于日常工作中按流程需要及时处理的事情很难记住, 往往会造成有些待办任务延时, 给工作带来不便。工作提醒功能就是从医院H I S、电子病历、O A等各系统中抽取按流程需要下一工作环节处理的任务进行汇总, 根据不同岗位、不同权限人员进行分类, 供工作人员查询或主动提醒。同时系统也支持主动填写待办事项, 可以为自己填写, 也可指定其他人员接收。如对药剂工作人员, 可进行的提醒有:药品库存不足、药品过期提醒、积压药品提醒、领单审批提醒、调价审批、待发药品过期提醒等;对住院医生进行病历书写时效提醒;对住院护士进行护理工作提醒、护理病历书写提醒、危重病人提醒、交接班提醒等;对住院处待出院结账病人提醒;对后勤人员;设备报修处理提醒、材料请领审批、材料库存不足提醒等。

4、结束语

随着医学科技和信息技术的迅猛发展, 无线网络技术也不断发展, 网络保密技术充分发展, 无线数字化医疗信息的建立具有广阔的发展前景, 然而医院信息化建设的不断完善是一项艰巨而复杂的工作, 需要充分引入国际医学标准, 完善电子病历模型标准化、医疗设备数据传输标准化以及子系统无缝连接标准化等核心问题, 更加方便病人就诊, 提高医疗服务质量。同时大力发展远程医疗和社区医疗, 提高家庭健康保健水平, 使病人在家中就可以完成就医, 并且方便快捷地查询个人病历信息。

参考文献

[1]Erica Drazen and Jason Fortin:DigitalHospitals Move Off the Drawing Board.iHealthReports, October, 2003, 7-8

[2]李书章, 刘国详, 吴昊, 等.数字化医院建设思路与实践.解放军医院管理杂志.2004.11 (2) :100-102

[3]张鸿雁, 时利民, 赵勇, 等.对军队医院数字化建设的思考.中国医院.2005, 9:128-131

浅谈VLAN的实现方法 第4篇

VLAN是将LAN中交换机等设备逻辑划分成多个网段,达到虚拟工作组目的,这就是通常讲地虚拟局域网。

1.1 VLAN的三个特点

第一,具有物理LAN相同属性,允许网管把局域网逻辑划分成不同广播域,每个虚拟局域网都由有同样需求的客户端组成,与物理局域网具有相同属性。第二,提高网络安全性,VLAN是逻辑而不是物理划分,故VLAN中的各计算机不需放在同一位置,即这些计算机不在同一物理网段。一个VLAN内部的广播和单播流量均不会发送到其它VLAN中,这样利于减少网络设备资源消耗、控制信息流量、方便网络管理,从而达到提高网络安全性目的。第三,限制网络广播风暴,VLAN的目的是解决网络广播问题和网络安全性,在以太网帧上增加虚拟局域网ID头标记,把用户划分为更小的工作域,限制不同的工作组间相互访问,因每个工作组为一个独立的VLAN。

1.2 VLAN隔离广播作用

将广播风暴控制在VLAN内部,其他VLAN不此影响,这大大节约了网络带宽。随着当前局域网数量地增加、规模地扩大,交换技术地提高,网管在网络组建规划时更宁愿选择可管理控制的交换机,再在交换机上定义VLAN,VLAN所连的网络设备可以是不同位置,这使得不同区域的设备间彼此不能相互访问,起到隔离限制网络广播的作用。

1.3 VLAN两大分类

VLAN分为静态VLAN和动态VLAN,静态VLAN指的是交换机的某一个端口(如fastethernet 0/2)属于某个VLAN是固定的,而动态VLAN指由连接Switch的PC来决定这个端口工作在某个VLAN中。在实现中动态VLAN明显优于静态,受用户欢迎。

静态VLAN应用较广,设置简单,它唯一也是最大缺点是交换机端口属性由网管来设定。若网络中的PC较多,要改变端口的VLAN属性,网管必须对交换机进行重新配置,这加大了误操作的可能性。且工作站若需更改所连交换机的端口时,须同时改变这个端口所属的VALN,这不适合那些经常改变网络拓扑结构的局域网。

动态VLAN是基于用户的,而不是基于Switch的Interface来设置,故当用户位置改变时,VLAN不需要再重新配置,这样大大减少了网管出错机率和维护成本。从动态VLAN的实现来讲,分三种类型。一是基于MAC地址,在OSI第二层设定访问链接的方式。由客户端MAC网卡地址来定义成员,当该设备接入交换机的某一端口时,该交换机需查询它的一个数据库,目的是建立VLAN成员资格表,所以网管需先把MAC分配到VLAN成员资格策略服务器数据库中的VLAN上。这样网管就需先收集接入VLAN的所有网卡的MAC地址,且若更换网卡,需重新设定,这加大网管工作量,对常更换网卡的用户不方便。二是基于工作站IP,是由IP地址来确定端口属于某一个虚拟局域网,这在OSI(开放系统互联)的第三层网络层设定访问链接来进行。这不同于基于MAC网卡地址,即使计算机因更换网卡或其他原因导致MAC地址改变,只要IP地址不变,就可添加到原先设定的虚拟局域网中。这与基于MAC相比,可简单改变网络结构。三是基于用户VLAN,它在OSI的第四层以上实现,是根据交换机各端口所连的PC上当前登录的用户来决定某一个端口属于哪一个VLAN中。只要用户使用自己的帐号登陆系统,该用户不管在哪台计算机、哪个IP的计算机上均可方便接入属于自己VLAN的网络中。从VLAN的实现和使用上讲,这是三种实现方式中最好的一种方式。

2 VLAN四种实现方法

虚拟局域网VLAN的四种实现方法是基于端口、MAC地址、网络层、IP组播。

1)基于端口,由交换机端口来划分。如华为S3760的2-15号快速以太网端口定义到VLAN 10,16-20号以太网端口定义到VLAN 20,21-24号以太网端口定义到VLAN 30。另外,这些属于同一个VLAN的端口可以是不连续的,这些端口如何定义划分由网管来把握确定。如果有多个Switch,可设置Switch1的3-13号端口和Switch2的5-15号端口为同一个VLAN,即同一VLAN可跨越多个Switch。优点设定VLAN成员方便,只需将端口定义设置即可;缺点若VLAN 30用户离开原来的端口,到一个新的Switch某一个以太网端口,就需要重新设置。

2)基于MAC,对每个MAC网卡地址的主机都需要配置它属于某个组。优点是当用户的工作站位置移动时,即从Switch1换到Switch2时,VLAN不用重新定义,这种根据MAC地址的划分方法是基于用户的VLAN。缺点初始化时,用户都需要配置,如果有成百甚至更多的客户端,配置较为繁琐,并会导致交换机的运行效率降低,因为在交换机的端口上都可能存在很多个VLAN组成员,这就无法限制广播包发生。

3)基于网络层,它是由每个客户端网络层地址或协议类型来划分的。虽然此方法是根据网络地址(如IP地址),但是它非路由,这与网络层路由无关。同时它尽管查看数据包IP地址,但非路由,故无OSPF、RIP等网络路由协议,它由生成树算法按桥接方式来实现。优点是用户的工作站位置改变,不需重新定义所属的VLAN,且可由协议类型来划分VLAN,这对网管非常重要,且不需要附加帧标签来识别VLAN,可减少网络流量。缺点效率低,因检测数据包网络层地址需花时间,一般交换机均可检测出数据包以太网帧头,但要让芯片能检查IP帧头,需更高技术,同时也很费时。

4)基于IP组播,它是由虚拟局域网VLAN来定义的,把一个组播当成一个VLAN。它将VLAN扩充到WAN,这具有很大的灵活性,并方便通过路由进行扩充,但这不适合LAN,因执行效率太低。

3 VLAN的配置举例

思科系列S3550交换机支持250个VLAN,可以分别为Server、VTP Client等。VLAN的编号由1到4094号,VLAN编号1002到1005号保留给FDDI和令牌环虚拟局域网。当VLAN编号需要生成的范围从1006到4094时,交换机需配置成VTP透明模式。

本交换机支持基于VLAN的生成树,最多可支持128个生成树,支持ISL及Trunk两种封装。配置正常范围下,VLAN编号1、1002号到1005号是自动生成的,且这些编号不能删除。VLAN的编号1到1005号的配置生成文档在vlan.dat文件中,可以用show vlan命令进行显示。如配置文件的内容显示如下:

这里可采用vlan database进入VLAN设置,使用no vlan vlan-id命令来删除VLAN。若删除VTP服务器的交换机上的VLAN时,则该VLAN将把所有相同VTP的交换机上进行删除。若在透明模式下,只在当前的交换机上进行删除VLAN。

将1号端口分配给VLAN 30

定义二层口

配置VLAN TrunksSA#confi term

默认方式下TRUNK允许所有的VLAN通过,用swit trun allo vlan remo vlan-list这条命令来进行删除。

VLAN的原理与实现 第5篇

自1999年底我院开通"军卫一号"工程以来,随着医院的发展、工作站的增加,机器数量超过了254个,为了实现更多用户的接入,将原来的C类地址改为B类地址,现在已有400多台接入医院局域网内。目前网络上存在着诸多隐患:(1)由于没有划分虚网,广播包在各个交换机上进行广播,网络阻塞现象时有发生,造成数据库死锁、网络速度慢等现象;(2)网络安全性不高,虽在网络管理上采取了一些手段,如屏蔽U盘、光盘,但一旦发生ARP病毒,无法阻断;(3)依托HIS系统的应用日益增多,如LIS、PIVAS等,增加了网络负荷,特别是我院今年拟开通PACS,对网络性能提出了更高要求。

广播风暴和网络安全的控制只能通过路由器来实现,为有效提高交换机的数据交换效率[1],我院采用了虚拟网络(VLAN)技术,通过在支持VLAN技术的交换机上划分多个不同的VLAN,使广播信息在交换过程中只能在同一个VLAN中复制,无法跨越不同的VLAN,从而有效地阻隔了广播风暴,提高了交换机的性能,增强了网络的安全性,确保了我院信息系统的安全、稳定运行。

医院在实施VLAN改造时,常规的方案都是利用晚上的空闲时间,全院断网,停止医疗业务,信息科人员下科,对全部机器的配置修改完成后,再开通业务,这样不仅信息科技术人员工作量大、任务繁重,而且也影响了全院医疗工作的正常运行[3]。我院采取的VLAN升级方案,充分利用交换机的网管功能,在实施过程中不需要断网,可逐个虚网剥离、逐台机器实施,在虚网部署过程中临床科室医疗工作可以正常进行。

2 虚网划分方案

虚网的划分一般都采用基于端口方式,在制定全院虚网子网范围时,常见的设计方法有按楼宇划分、接科室划分、按应用划分等,我们院由于楼宇较多,且分布较散,因此采用按楼宇划分和按应用划分相结合的方法。由于PACS系统传输图像,对带宽占用较高,因此我们将PACS涉及到的工作站单独划分一个虚网,其它除PACS外全部工作站按楼宇划分,这样划分出外科楼、内科楼、门诊楼、急诊楼、PACS等7个虚网。

为了保证服务器的安全,将网络中心中的13台服务器和信息科网管机器单独划作一个VLAN,构成网管中心子网。划分好各个VLAN后,通过设定VLAN访问控制表,对不同业务部门设定不同的访问权限[2],使各子网只与服务器子网通讯,而各部门的子网之间是隔离的。这样,既满足了各部门的安全要求,又可实现部门之间的数据交流,有效提高了网络的数据交换能力。

3 配置VLAN的方法和步骤

我院采用的核心交换机为3COM 5500,二层交换机为3com4200系列。具体实施步骤如下:

3.1 逐台添加默认网关VLAN1

即把全院机器都看作在一个大的虚网内。由于交换机上还没有划分VLAN,所以网关即使添加后也不起作用,不影响网络的正常连通。

3.2 在三层交换机上设置VLAN1

将端口全部绑定到VLAN1上,通过控制口连接到三层交换机:

管理IP地址

3.3 将七个虚网逐个剥离,如外科楼设为VLAN2,先在三层交换机上创建VLAN2:

再在外科楼交换机上创建VLAN2:

Vlan2虽然已创建完成,但并没有将端口绑定到vlan2上,所有机器仍在VLAN1上,因此机器仍可正常使用,下面再逐台将vlan2内的机器剥离出。

3.4 查找机器的MAC地址,再在交换机上查找mac地址对应的端口号,找到后将端口绑到VLAN2上:

3.5 修改机器的IP地址及其它设置

根据预先分配的虚网划分地址范围,修改机器的IP地址,同时修改P盘路径,将原来的服务器机器名改为IP地址,以便跨虚网仍可正常运行。

4 注意事项

4.1 如果医院和地方医保相连,需在医保前置机上增加路由,指明各个虚网的传输路由。

如我院医保前置机的IP地址是202.196.2.15,相应的网关是202.196.2.1,在前置机上分别增加7个虚网的路由,即:

4.2 提前做好交换机和计算机IP地址分配方案

为了保障虚网实施过程中,严谨、有序,需提前将各个科室的子网网段规划好,并做出预留,实施时严格按照分配方案进行,以保证多人同时操作时不出现IP冲突。

对交换机管理IP分配好固定网段,对服务器也指定网段范围,以便管理和日后的扩充。

4.3 做好测试,分步实施

各个医院除HIS外,外接的系统也比较多,如LIS、PACS、网管软件等等,在测试环境中很难测试完整,因此,除了要在VLAN实施前做好相应的测试工作外,在实际开通过程中也应该先尝试开通一个虚网,稳定一段时间后再全院开通。

我院先划分了一个虚网(外科楼),在实际运行过程中发现个别机器重启后,速度变慢,网络时通时断,后查找到原因:桌面网管软件在windows98操作系统下,对虚网不支持,造成网络故障,卸载网管软件后,一切正常。

4.4 修改HIS系统相应的配置

虚网划分后,"军字一号"HIS中需修改以下几个地方:(1)P盘映射:将服务器名改为IP地址;(2)医护站通信表client_installation:将护士站IP逐个改为新的IP;(3)PASS(合理用药):将服务器名改为IP地址。

4.5 做好VLAN划分实施后的归档工作

VLAN划分是医院信息化建设中的基础工作,也是医院局域网安全屏障的重要组成部分,涉及技术文档较多,实施后要及时整理归挡,以备日后维护和网络扩建。

4结束语

本文阐述了部署应用VLAN的全过程,特别是如何在不中断医院医疗业务的情况下,充分利用交换机的网管功能,逐步实现全院虚网的部署及应用,这种方法不仅减轻了信息科技术人员实施过程中的压力,而且也确保了全院医疗工作7*24小时的正常运行,整个实施过程中网络畅通,各子系统均能正常工作。VLAN部署应用后,在网络中心进行集中控制和管理,方便和简化了管理,增强了整个医院的网络安全,而且提升了网络数据交换的能力。

摘要：采用虚拟网络技术对医院网络系统进行了改造。在实施过程中充分利用交换机功能,实现了在不中断医疗业务情况下全院虚网的部署。论文详细介绍了划分VLAN的方法及配置步骤。实际应用表明,在医院信息系统中采用虚拟网络技术后,有效提高了网络运行的效率和安全性,从而确保整个管理信息系统安全、稳定运行。

关键词：VLAN,交换机,网络安全

参考文献

[1]郭丹,邢琦.第三层交换技术原理与应用[J].信息技术,2004,(4):36.

[2]韩文智,蒋文彬.VLAN间的通信方式[J].计算机与信息技术,2005,(9):75～76.

VLAN的原理与实现 第6篇

IEEE于1999年颁布了802.1Q标准, 即VLAN协议, 规定了VLAN的国际标准实现, 从而使得不同厂商之间的VLAN互通成为可能。标准以太网帧和VLAN帧结构如1所示。

与标准的以太网帧头相比, VLAN报文格式在源地址后增加了一个4字节的VLAN标签。

TPID (Tag Protocol Identifier) :16比特, 是IEEE定义的新的类型, 表明这是一个加了802.1Q标签的帧。TPID取固定值0x8100。

Priority:3比特, 它指明了该帧的优先级。一共有8种优先级, 0～7。

CFI (Canonical Format Indicator) :1比特, 当它为0时表示是规范格式, 为1时表示是非规范格式帧。

VLAN Identi er (VLAN ID) :12比特, 用来表示VLAN的ID标识, 一共可有4096个。每个支持802.1Q协议的交换机发出来的数据包中都会包含这个字段, 用来指明这个包属于哪一个VLAN。

EoPDH网桥芯片构介绍

本Eo PDH网桥芯片是为实现多通道以太网映射到PDH而设计的EOPDH汇聚式网桥芯片。它提供4个以太网接口, 每路以太网可通过VL A N划分到片内63路完全隔离的VCG通道, 每个通道经GFP封装后又可以根据带宽需求映射到1-16路E1。以该芯片为核心, 配以少量的外围元器件即可实现具有汇聚功能的多路以太网到多路E1转换器。芯片的内部结构设计如图1所示。

从图1中可知, VLAN的收发处理在以太网接口模块和GFP封装/解封装模块之间完成。在发送方向, 从MAC口来的以太网帧经过以太网接收器后提取出相关的VLAN信息及并将以太网净荷数据合并成字节数据流送给VLAN发送模块。VLAN发送模块根据相关要求插入VLAN标签或删除VLAN标签, 将以太网数据分发到63个VCG后进行GFP封装。之后, 将VCG数据送给VCAT/LCAS协议发送模块, 此模块根据ITU-T G.7042-Y1305[2]链路容量自动调整 (LCAS) 协议和ITU-T G.7043[3]准同步数字体系虚级联 (VCAT) 协议处理数据后再进行E1成帧, 最后发送到E1线路上去。在接收方向, 从E1线路来的数据经E1解帧后送给VCAT/LCAS模块, 恢复出的VCG数据经过GFP解帧后到VLAN接收模块处理。此模块根据接收VLAN相关要求插入VLAN标签或删除VLAN标签, 将恢复出的以太网数据通过以太网发送器发到以太网上。

VLAN模块设计

VLAN模块的设计分为收发两部分。收发功能独立, 可分别进行寄存器配置。其发送部分的电路框图如图2所示。

在发送方向上, 设计一个发送VL AN表格, 如表1所示, 所有的发送VL AN操作都以这个表为核心进行。发送VL AN表格包含63个VLAN的匹配信息以及VL AN的删除、插入控制信息和VCG的分配信息。因为要支持4个以太网口到63个VL AN的交叉处理, 需要一个专门的调度模块来调度VLAN表格, 协调各个操作。使用以太网端口的PORT ID和从以太网帧数据帧提取出VLAN信息来索引此表格, 如果VLAN表格中的VLAN配置和以太网中提取的VLAN TAG一致, 则说明此以太网帧的VLAN匹配。不匹配的帧将被

丢弃, 对于匹配的帧进一步处理, 如果配置为VLAN删除, 则由发送VLAN删除电路将以太网帧中的VL AN TAG删除;如果配置为添加VLAN, 则由发送VLAN添加电路根据寄存器配置在数据帧中原VLAN TAG前或原VLAN TAG后再插入一级VLAN, 形成二级VLAN。经过VLAN处理的数据帧按配置的VCG映射关系放到外部SDRAM中缓存。因为以太网数据的突发性所以需要为以太网来的数据帧提供一个海量存储器, 以防止以太网数据的丢失。外部的SDRAM就充当了这个海量存储器的作用。

在发送方向上, 如果要实现多路以太网数据共享一个信道传输, 需要将上述表格中的VCG_assign分配成相同的值即可。这样经过VLAN处理后的以太网帧就会被映射到同一个VCG组中, 通过GFP封装后从E1发出。

VLAN接收部分电路结构和发送部分类似。在接收方向上, 也需要设计一个接收VLAN表格, 如表2所示。接收所有操作围绕接收VLAN表格进行, 这个表格包含63个VCG的VLAN配置信息及是否要进行VLAN删除、插入的控制信息和MAC端口对应信息。VCG数据经过GFP解封装后从数据中提取出VLAN信息, 使用此VLAN信息索引接收VLAN表格。如果表格中的VLAN配置和提取出的VLAN信息一致, 则说明VLAN匹配。不匹配的帧被丢弃, 匹配的帧进一步处理, 如果配置为删除, 则将收到包中的VLAN TAG删除;如果配置为添加则在原包中的VLAN TAG前或后插入新的VLAN TAG, 形成二级VLAN, 和发送方向完全类似。经过VLAN处理的包按MAC映射关系存入外部的SDRAM缓存。等到SDRAM中有完整的包后, 以太网发送器将数据帧取出通过MAC接口发送。

在接收方向上, 如果要实现多业务流的汇聚功能, 需要将表格中需要汇聚业务流VLAN对应的MAC_port_assign配置成相同。这样从E1来的多个VCG业务流就可以汇聚到一个MAC口上发送。

电路设计、仿真及FPGA实现[5]

本设计模块作为EoPDH网桥芯片的一部分, 根据模块功能定义进行了功能细分。采用高级描述语言Verilog[4]来进行代码设计, 输入工具采用图形化设计工具Summit, 仿真工具采用NC-Verilog, 综合布线软件采用的是Xilinx公司提供的Xilinx ISE Design Suite 12.4。

系统仿真时, 编写以太网发生器模型, 产生连续带VLAN的以太网帧送给M A C接口, 经过芯片发送电路处理后从E1侧将信号环回。环回的数据经接收电路处理后从以太网口恢复出以太网帧。发送方向插入VLAN后形成两级VLAN的仿真波形截图如图3所示。数据从E1接收回来从两级VLAN中删除一级VLAN的仿真波形截图如图4所示。

从图3可以看到, 以太网帧原数据帧中的VLAN信息为0x81000000, 插入的VLAN也为0x81000000。在具体应用中这个插入的VLAN信息可以根据具体应用由寄存器来设置。

从图4可以看到, 经过发送VLAN电路插入形成的两级VLAN被删除掉了一级, 只剩下了原测试激励中的VLAN标签。从仿真结果来看, VLAN模块完成了所设计的功能。

最后, 将整个芯片在Xilinx Spartan-6的XA6SLX45-3 FGG484上进行FPGA验证。经过FPGA验证, 实现了802.1Q标准要求的VLAN功能, 电路可工作在100Mhz。

参考文献

[1]IEEE.Virtual Bridged Local Area Networks[S].1999

[2]ITU-T G.7042/Y.1305Link Capacity Adjustment Scheme (LCAS) for Virtual Concatenated Signals[S].2002, 6

[3]ITU-T G.7043/Y.1343Virtual Concatenation of Plesiochronous Digital Hierarchy (PDH) Signals[S].2004, 6

[4]夏宇闻.Verilog数字系统设计教程[M].北京:北京航空航天大学出版社, 2003

VLAN的原理与实现 第7篇

交换机VLAN的配置,是计算机网络技术专业教学中的重要实验,但是这一实验教学,对实验环境中硬件的要求比较高,特别是实验设备的数量要求比较多。现实教学过程中,学生因为设备数量不够而无法进行真实设备的配置练习,这就存在教学与实验环境之间的矛盾。如果在讲授交换机VLAN配置的教学中选择使用思科网络技术学院提供的Packet Tracer模拟软件,就能够较好地解决这一矛盾。

2. Packet Tr acer简介

Packet Tracer是思科公司推出的一款Cisco路由器、交换机模拟软件。该软件是目前思科网络技术学院中最流行的、操作最简单和最接近真实环境的模拟工具。它模拟较为基础的学习环境,为网络新手去设计,配置和故障排除计算机网络的复杂性提供了非常好的平台。Packet Tracer依靠一个简化模型的网络设备和协议,支持学生和教师创造仿真、可视化和网络和动画的现象,如同任何模拟。同时,它的命令基本与Cisco的lOS基本保持一致,也可以随意构建网络拓扑结构,为路由器和交换机的教学和学生的实验提供了很大的灵活性。其界面如图1所示:

1-主菜单2-主工具栏3-常用工具栏4-逻辑区/物理区的导航5-工作区6-实时/模拟导航7-网络组件8-设备类型选择区9-具体设备选择区10-用户创建包窗口

3. VLAN简介

3.1 VLAN的概念

VLAN是Virtual Local Area Network的缩写,即虚拟局域网。它是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。一方面,VLAN建立在局域网交换机的基础之上,另一方面,VLAN是局域交换网的灵魂。这是因为通过VLAN,用户能方便地在网络中移动和快捷地组建宽带网络,无需改变任何硬件和通信线路。这样,就能从逻辑上对用户和网络资源进行分配,而无需考虑具体的物理位置。VLAN技术的出现,可以根据实际应用需求,把同一物理局域网内的不同用户逻辑地划分成不同的广播域,与物理上形成的LAN有着相同的属性。

由于它是从逻辑上划分,而不是从物理上划分,所以同一个VLAN内的各个工作站没有限制在同一个物理范围中,即这些工作站可以在不同物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,从而有助于控制流量、降低设备成本、简化网络管理、提高网络的安全性[2]。

3.2 VLAN的实现方法

VLAN在交换机上的实现方法大致可以分为6种:

(1)基于端口划分VLAN

(2)基于MAC地址划分VLAN

(3)基于网络层协议划分VLAN

(4)根据IP组播划分VLAN

(5)按策略划分VLAN

(6)按用户定义、非用户授权划分VLAN

其中应用最为广泛、最有效的划分方法是第(1)种基于端口划分VLAN的方法[2]。

4. 用Packet Tr acer实现基于端口的VLAN配置

首先规划好网络拓扑和基本教学实验要求:用三台交换机连接6台PC机,要求划分三个VLAN,其中PC1与PC4属于VLAN10,PC2、PC5属于同一VLAN20,PC3、PC6属于同一VLAN30。可以让同学们理解为分布在不同部门或者不同位置的计算机。

4.1 绘制实验拓扑图

运行Packet Tracer,在工作区绘制网络拓扑图。选择三台2960型交换机,分别命名为S1、S2和S3。选择6台PC机,分别命名为PC1、PC2、PC3、PC4、PC5、PC6,并且用FastEthernet连线将各设备依次连接起来。绘制好的拓扑图如图l所示:

4.2 配置PC机参数并检验网络连通性

绘制拓扑图后,单击PC1,选择Desktop,单击IP Configuration,单击Static,填写IP address为l92.168.1.10,subnetmask为255.255.255.0,如图3所示:

类似地,配置PC2的IP地址为l92.168.1.20,子网掩码为255.255.255.0,PC3的IP地址为l92.168.1.30,子网掩码为255.255.255.0,PC4的IP地址为l92.168.1.40,子网掩码为255.255.255.0,PC5的IP地址为l92.168.1.50,子网掩码为255.255.255.0,PC6的IP地址为l92.168.1.60,子网掩码为255.255.255.0。PC机参数设置完成后可以用Ping命令检验网络的连通性,6台PC机互Ping应都能ping通,和真实交换机环境得到的结果应是相同的。

4.3 配置、测试交换机TRUNK

单击交换机Sl,选择CLI,在命令行中配置相关trunk参数,如下所示:

单击交换机S2,选择CLI,在命令行中配置相关trunk参数,如下所示:

单击交换机S3,选择CLI,在命令行中配置相关trunk参数,如下所示:

测试交换机TRUNK参数

在交换机S1的特权模式下,运行show interface trunk,结果如下显示:

S2和S3一样的可以测试trunk的运行状况.

4.4 配置、测试VTP参数

4.5 配置、测试VLAN参数

单击交换机S1,选择CLI并配置、测试VLAN参数,如下所示:

单击交换机S2并配置、测试VLAN参数,如下所示:

S2的VLAN信息因其设置成了VTP的客户模式,可以从Sl(VTP服务器)学习到,所以不用另行配置。

单击交换机S3并配置、测试VLAN参数,如下所示:

S3的VLAN信息因其设置成了VTP的客户模式,可以从Sl(VTP服务器)学习到,所以不用另行配置。

4.6 检验连通性

(1)选择PC1,用Ping命令检验连通性,得到的结果应为:PCl与PC4能Ping通(因其和PC4在同一VLAN10中),PCl与PC2、PC3、PC5、PC6不能Ping通(因其和PC2、PC3、PC5、PC6不在同一VLAN)。

(2)选择PC2,类似地用Ping命令检验它和PCl、PC3、PC4、PC5、PC6的连通性,得到的结果应为:PC2与PC5能Ping通,PC2与PC1、PC3、PC4、PC6不能Ping通。

5. 结束语

使用Packet Tracer模拟软件进行交换机的教学和实验,可以让每一位同学都能自已动手配置,这对加强学生的动手能力和今后的工作有很大的帮助

参考文献

[1]谢慧,聂峰.基于BOSON NETSIM的计算机网络仿真实验教学研究[J].实验技术与管理,2007,24(5):89-90.

VLAN的原理与实现 第8篇

VLAN的目的是隔离广播, 并非要不同VLAN内的主机彻底不能相互通信, 但VLAN间的通信等同于不同广播域之间的通信, 必须使用第三层的设备才能实现。VLAN间的通信就是指VLAN间的路由, 是VLAN之间在一个路由器或其他三层设备 (三层交换机) 上发生的路由。

利用路由实现VLAN间的路由具有速度慢, 所以本文采用三层交换机, 以三层交换的方式来实现VLAN间的路由。三层交换机本质上就是带有路由功能的二层交换机, 三层交换机是将两者的优势有机而智能化地结合起来, 它可在各个层次提供线速转发性能。

2 Paceket Tracer简介

Paceket Tracer是思科公司推出的一款cisco路由器、交换机模拟软件。该软件是目前思科网络技术学院中最流行的、操作最简单和最接近真实环境的模拟工具。Paceket Tracer突破了网络设备的局限性, 是学生在最普通的计算机室就能模拟整个网络的搭建应用。

3 利用Paceket Tracer实现跨VLAN数据间的通信

三层交换机实现VLAN之间的访问的原理是, 利用三层交换机的路由功能, 通过识别数据包的IP地址, 查找路由表进行选路转发。

3.1 目标需求

某企业有两个主要部门:销售部和技术部, 其中销售部门的个人计算机系统分散连接, 他们之间需要相互进行通信, 销售部和技术部也需要进行相互通信, 现要在交换机上做适当配置来实现这一目标。

3.2 拓扑结构图

销售部和技术部各选取2台PC机为例进行配置, 拓扑结构图如图1所示。PC1和PC3分配在VLAN10中, PC2和PC4分配在VLAN20中。

3.3 配置命令

(1) 在三层交换机S3560上创建VLAN10并将Fa0/2端口划分到VLAN10中.创建VLAN20并将Fa0/3端口划分到VLAN20中。以VLAN10创建为例。

4 结束语

使用Packet Tracer模拟软件进行交换机的教学和实验, Packet Tracer模拟软件可以完成网络设备课程大部分的教学任务, 提高网络课程的实验效率, 可以让每一位同学都能自己动手配置, 这对加强学生的动手能力和今后的工作有很大的帮助。

摘要：本文简要地介绍了虚拟局域网 (VLAN) 的概念和技术以及思科网院提供的Paceket Tracer模拟软件, 较为详细地介绍了如何利用Paceket Tracer实现交换机跨VLAN实现数据通信的配置方法与步骤, 给三层交换机接口配置IP地址, 采用SVI (交换虚拟接口) 的方式实现VLAN间互连。

关键词：VLAN,三层交换机,网络设备配置,交换虚拟接口

参考文献

[1]杜勇.思科Paceket Tracer5.3在网络教学中的运用[J].中国科教创新导刊北京, 2011.14:45-47.

[2]薛琴.基于Paceket Tracer的计算机网络仿真实验教学[J].实验室研究与探索, 2010 (2) :57-59.