随着公司网络的不断扩大、交换机技术的不断进步,公司的网络管理员在布局时更愿意选择可网管交换机,然后在可网管交换机上应用VLAN(虚拟局域网),VLAN所连接的设备可以来自不同区域,使得不同区域的设备相互之间彼此隔离,VLAN可以隔离广播,并将广播风暴压制在本VLAN范围内,其他VLAN用户不会受影响,非常节约网络带宽。而在VLAN技术的实现中,动态VLAN又明显的受用户喜爱。
动态VLAN明显优于静态VLAN
根据交换机端口联结的属性来划分,VLAN又分为静态VLAN和动态VLAN。静态VLAN指的是交换机中某个端口属于哪个VLAN是相对固定的,而动态VLAN则是根据接入交换机的计算机来决定这个端口是工作在哪个VLAN中的。
就目前的应用情况来说,静态VLAN应用极为广泛,设置也很简单。但静态VLAN唯一也是最大的缺点是交换机端口的属性必须由网络管理员人工设置。如果网络中的计算机数目超过一定数字(如200台),或者需要改变、切换端口的VLAN属性时,网管就必须对交换机进行重新配置,这就大大增强了误操作的可能性。而且客户机每次更改所连端口时,都必须同时改变端口所属的VALN,显然不适合那些需要频繁改变拓扑结构的网络。
而动态VLAN则不一样,因为他是基于用户,而不是基于交换机的端口来设置的,所以当用户物理位置移动时(即从一个交换机换到其他的交换机时),VLAN不用重新配置。既减少了网管出错的机率,也减少了维护成本。
因此,就长远看来,动态VLAN技术必将得到更多网管的青睐。
三种动态VALN技术 唯基于用户名技术独尊
就动态VLAN的实现技术而言,根据实现方法在OSI中的层级的不同而主要分为三种。
其中最流行的是在OSI的第二层设定访问链接的办法——基于MAC地址定义。它根据终端用户设备的MAC地址来定义成员资格的(而MAC地址的取得一般是提取用户设备的网卡地址),也就是说当设备连入一个交换机端口时,该交换机必须查询它的一个数据库以建立VLAN的成员资格。因此,网络管理员必须先把用户的MAC地址分配到VLAN成员资格策略服务器(VMPS,VLAN Membership Policy Server)的数据库中的一个VLAN上。这样网管员就要先收集要接入VLAN的所有网卡的MAC地址并登录,而且如果计算机换了网卡,就得重新设定。这样无疑是加重了网管员的工作量,对经常更换网卡的笔记本用户更是极为不便。
第二种动态VLAN的实现办法则是通过所连计算机的IP地址,来决定端口所属VLAN的,此办法在OSI的第三层设定访问链接来实现。不像基于MAC地址的VLAN,即使计算机因为换了网卡或是其他原因导致MAC地址改变,只要它的IP地址不变,就仍可以加入原先设定的VLAN。这个办法相比较基于MAC地址而言,可以更为简单的改变网络结构。
而第三种办法则在OSI的第四层以上实现,它就是基于用户VLAN的解决办法。此办法根据交换机各端口所连的计算机上当前登录的用户(这里的用户识别信息,一般是计算机操作系统登录的用户,比如可以是Windows域中使用的用户名),来决定该端口属于哪个VLAN。也就是说,只要使用自己的用户名登陆系统,使用者不管在哪个电脑、哪个IP的电脑上都可以自由的接入属于自己的VLAN网络中去。不论是对使用者还是网络管理员来说都非常方便,是三种实现方式中相对较好的一个解决方式。
华硕:因人而动 配置动态VLAN
作为网络交换机市场的佼佼者,华硕推出的二层以上网管型交换机,它们的动态VLAN则可以根据用户、使用者的不同的需要动态的设置VLAN,把VLAN属性变动的复杂工作变得简单、安全、自动。
此方法下,我们可以想象交换机存在一个数据库,这个数据库的信息可以保存在交换机外部的一台服务器(RADIUS Server)或者就存在于交换机本身。这个数据库的信息包括用户名、密码、以及这个用户所属的VLAN。用户接入交换机时,需要输入自已的用户信息,然后交换机在数据库中查找此用户信息,读取这个用户的VLAN,并把VLAN设置在此用户接入的端口上。用户的身份证明就是自己的用户名和密码,无论用户迁移到哪里,只要认证正确,交换机就可以把他动态的加入到相应的VLAN里。
动态VALN配置方法
下面,我们以客户使用构建在交换机内部的RADIUS Server为例(比如华硕GigaX 3112),演示一下动态VLAN的配置过程。
首先配置一个VLAN ,Bridge-〉VLAN Configuration
登陆到交换机中,找到Security-〉Port Access Control
在交换机第一个端口上配置使用802.1X认证,如下图
Security-〉Dial-in User
添加用户信息
Windows客户端配置,启用802.1x验证功能
1. 验证配置
当PC接入交换机时,Windows提示输入用户信息,如下图中输入正确的用户信息。
验证正确后,用户就已经在指定的VLAN内了。
以上是就华硕GigaX 3112高性能网管型三层千兆交换机的VLAN配置介绍,华硕其它网管型交换机的VLAN配置方法基本类似,参照有关交换机说明书即可。
网友评论