一、TAG–VLAN技术简介
二层VPN是指构成VPN的隧道封装在网络参考模型的第二层(即数据链路层)上来完成。每个远端节点通过 VPN提供的二层链路与中心相连,二层链路里的数据包对外界来说是透明的。本文所讨论的二层VPN是指数据帧应用802.1Q协议封装后在VLAN内跨交换机传送。也就是说TAG–VLAN是二层VPN的一种表现形式。
下面我们来看一下TAG–VLAN应用于校园网的实现过程。因为这个过程相对简单,教育城域网只不过是校园网的一个扩展,在原理上是一样的。如下图所示:
 

1、数据配置简介:
(1)、7504中心交换机划分若干个不同的VLAN,分别连接办公楼或教学楼主机。上图中的“端口1”,配置为Tagged端口,以标记通过的数据包,这样就可以把端口1划分到多个不同的VLAN中。
(2)、办公楼交换机通过物理“端口2”与端口1相连。端口2和端口3配置为Tagged端口,因为它们可能被划分到多个VLAN中, 并且VLAN ID与7504中心交换机保持一致。
(3)、“楼层交换机1”根据端口3被分配的VLAN数量和VLAN ID划分一对一的VLAN,每个VLAN ID要与7504中心交换机保持一致。楼层交换机1的上联物理端口配置为Tagged端口,楼层交换机1中的其它物理端口由于是直接连接电脑主机,所以配置为Untagged端口。这些Untagged端口可以根据需要(可以两个以上的端口在一个VLAN里 )划分到不同的VLAN中,同时,每个VLAN里必需包括上联端口。
(4)、由此可见,数据包在VLAN内跨交换机传送的时候都是打上Tag标记的数据包,此数据包只能在VLAN内按序传送。由图中可以看出,Tag标记的数据包从中心交换机到楼层交换机走的是一条直线。如果图中再有几个与办公楼交换机配置一样的的交换机串到网络中,便可扩展成为教育城域网。当然,此扩展一般只用于市、区或区(县)与学校之间的物理连接,在数据配置上还是要走三层路由,通过静态路由实现,因为这样可使市、区和学校的网络中心保持相对独立的地位。
2、数据配置实例
数据配置比较简单。假设图中交换机分别为:中心交换机:DCRS-7504;办公楼交换机:DCRS-5526;楼层交换机1:F-engine S2000。数据配置如下:
(1)、DCRS-7504划分若干个VLAN
!
vlan 10 name linkbangong1 by port
 tagged ethe 1/1      
 router-interface ve 10
!
vlan 20 name linkbangong2 by port
 tagged ethe 1/1
 router-interface ve 20
!
(……)
vlan 180 name linkjiaoxuelou by port
 tagged ethe 1/2
 router-interface ve 180
!
interface ve 10 
 ip address 192.168.1.1  255.255.255.248 (主机的网关和子网掩码)
!
interface ve 20 
 ip address 192.168.1.9  255.255.255.248
!
(……)
(2)、DCRS-5526划分与DCRS-7504对应的VLAN,VLAN ID一致,所有端口打Tag标记。
interface ethernet1/1
switchport acceptable-frame-types  tagged
!
interface ethernet1/2
switchport acceptable-frame-types  tagged
!
Vlan 10 name linkbangong1 media ethernet
switchport interface ethernet 1/1-2
!
Vlan 20 name linkbangong2 media ethernet
switchport interface ethernet 1/1-2

(……)
(3)、F-engine S2000划分与DCRS-5526对应的VLAN,VLAN ID一致,上联端口打Tag标记,其它端口为Untagged。
in vlan 10
   memr 24 tagged
memr 17-21 un
interface ethernet 17
pvid vlan 10
interface ethernet 18
pvid vlan 10
(……)
interface ethernet 21
pvid vlan 10
in vlan 20
(……)
3、优势与不足
TAG–VLAN具有强大的扩展性,网络中可以容纳的TAG–VLAN数量与三层交换机支持的VLAN数量相当;数据配置简单方便;支持各类数据包传送;可以达到相当于一根网线直接连接异地设备的目的,不需要专用的长距离传输设备支持。
TAG–VLAN不能对链路带宽进行管理,对异常流量的阻断也无能为力,同时TAG–VLAN中传送的数据包与标准的VPN不同,是不加密的。但是,它却有着广泛的应用。
二、TAG–VLAN在教育城域网中的应用
1、教育城域网简介
教育城域网是城域网的一个类别,是教育行业的城域专网,它为教育行业拥有和使用,提供学校、教育单位等局域网的互连途径,是以网络技术为基础的区域教育整体信息化集成应用系统。它以网络互联运行为技术支持,以教育软件和教育资源为核心,以建构现代教育和管理模式为目的,为区域教育信息化提供全方位的服务。教育城域网一般在一个地级市的范围内建设,主要包括市教育网络中心、区(县)教育网络中心和学校等。组网方式基本是采用以太网,但是建设模式可以说是多种多样,主要包括以下几种:
(1)、采用合作经营的模式。通常是与电信部门合作共赢,在软件和硬件方面最大限度的节约教育资金。   
(2)、采用租用通信部门线路的模式。用租用的线路来连接区(县)教育网络中心或学校校园网,以形成相对独立的网络结构。
(3)、专网模式。整个教育城域网络为教育行业专有,各类网络设备和中间各类通信线路全部自己规划建设。其管理和运营模式与电信运营商也基本相同。
    在这三种模式中都广泛应用到TAG -VLAN技术。
    2、TAG–VLAN支持的教育城域网应用
(1)、连接区(县)教育网络中心或学校校园网
在租用电信部门线路的组网方式下是一种经常用到的方式。网络拓朴如下图所示:
 

如上图所示:市、区教育网络中心之间的连接对用户来说是透明的,好像一条网线直接连接两端的交换设备。由于此种方式的先天不足——不能对带宽管理,因此,此时市、区两端的交换机通信方式最好采用路由方式,通过静态路由互连互访,限制局域网病毒的扩展传播。
(2)、在学校校园网内部的使用。
在“TAG–VLAN技术简介”部分已作了配置上的祥细说明,这里再说一下,为什么要在校园中应用。
在校园网中使用时,需要校园网中的所有交换机支持802.1q协议。其实只要可网管的交换机,默认都支持此项协议。在校园网中,80%以上的入侵攻击来自网内,通常由于网内用户电脑应用水平参差不齐,病毒、ARP攻击和异常流量等时有发作,影响网络。有时网内两三台电脑受到ARP、木马下载器或其它局域网病毒形成的异常流量攻击,就会导致整个网络瘫痪。因此,我们可以在校园中应用此技术构建多个TAG–VLAN通道,尽量把用户在网内隔离开,限制病毒的传播范围,不让其在二层上互相访问,如果要互相访问,全部走三层路由。同样也是为了尽量控制局域网病毒向上传播。
实践证明:通过这种方式把局域网内的用户尽量隔离开是一种比较有效的安全措施,非常利于网络的稳定运行。
(3)、TAG–VLAN支持视频会议、远程评教、大文件传输下载等专用通道应用。
对于在IP网络上应用视频会议来说,都需要稳定的带宽保障。通过TAG–VLAN技术在教育城域网上构建相对独立的通道,只传送视频会议的数据,以保障数据传输的稳定性。
由于视频会议通常需要在市、区教育局和个别学校之间召开,所以,此时TAG–VLAN要透传到每一个远端接入点。此时最好在市教育网络中心交换机配置TAG–VLAN的虚拟接口和IP网关,视频会议终端直接分配相应的IP和网关,如此,数据的传输效率会极高(二层寻址吗),比直接的静态路由还要高。
虽然TAG–VLAN不能对带宽进行管理,但是它具有良好的隔离性。通过测试发现,网络稳定时,效果很好;网络不稳定时,也就是说,传输通道内别的二层通道受到异常流量的攻击时,只要中间传输设备能够承受攻击,不宕机,视频会议应用就不会受影响。可见二层VPN的隔离性是很好的。当然,为保障带宽的稳定性,在市教育网络中心最好采用流控设备,根据不同的应用需求分配不同的带宽。
三、总结
TAG–VLAN在管理网络的隔离、安全和传输效率等需求方面具有较大的作用。在实际的网络应用中,根据笔者的经验,如果网内同时在线的用户数在500左右,在不配置流控设备的情况下,TAG–VLAN网络中的所有应用都能稳定运行。当然,这里面与网络设备自身的性能(承载量)和实际的带宽等有很大关系。

文章如转载,请注明转载自:http://www.5iadmin.com/post/986.html