管理虚拟局域网

如果使用的是早期的 Solaris 10 3/05，请参阅配置 VLAN（仅适用于 Solaris 10 3/05）。

虚拟局域网 (virtual local area network, VLAN) 是在 TCP/IP 协议栈的数据链路层上对局域网的细分。可以为采用交换机技术的局域网创建 VLAN。通过将用户组指定给 VLAN，可以加强整个本地网络的网络管理和安全性。还可以将同一系统上的接口指定给不同的 VLAN。

如果需要实现以下目的，请考虑将本地网络划分为多个 VLAN：

• 创建工作组的逻辑分区。

  例如，假定某楼层的所有主机都连接到一个基于交换的本地网络。可以为该楼层的每个工作组创建单独的 VLAN。

• 对各个工作组强制实施不同的安全策略。

  例如，财务部和信息技术部的安全需求大不相同。如果这两个部门的系统共享同一本地网络，则可以为每个部门创建单独的 VLAN。然后，基于每个 VLAN 强制实施适当的安全策略。

• 将工作组拆分为易管理的广播域。

  使用 VLAN 可减小广播域的大小并提高网络效率。

VLAN 拓扑概述

使用交换 LAN 技术，可以将本地网络中的系统组织到 VLAN 中。将本地网络划分为 VLAN 之前，必须先获取支持 VLAN 技术的交换机。可以对交换机上的所有端口进行配置，使其为单个 VLAN 或多个 VLAN 提供服务，具体取决于 VLAN 拓扑设计。配置交换机端口的过程因交换机制造商而异。

下图显示了子网地址为 192.168.84.0 的局域网。此 LAN 已细分为三个 VLAN：红 VLAN、黄 VLAN 和蓝 VLAN。

图 6–1 具有三个 VLAN 的局域网

LAN 192.168.84.0 上的连通性由交换机 1 和交换机 2 处理。红 VLAN 包含会计工作组中的系统。人力资源工作组的系统位于黄 VLAN 中。信息技术工作组的系统被指定给蓝 VLAN。

VLAN 标记和物理连接点

局域网中的每个 VLAN 都由 VLAN 标记或 VLAN ID (VID) 标识。VID 是在 VLAN 配置过程中指定的。VID 是一个介于 1 和 4094 之间的 12 位标识符，为每个 VLAN 提供唯一标识。在图 6–1 中，红 VLAN 的 VID 是 789，黄 VLAN 的 VID 是 456，蓝 VLAN 的 VID 是 123。

配置交换机使其支持 VLAN 时，需要为每个端口指定 VID。端口上的 VID 必须与指定给该端口所连接的接口的 VID 相同，如下图所示。

图 6–2 具有 VLAN 的网络的交换机配置

图 6–2 显示了连接到不同 VLAN 的多台主机。两台主机属于同一个 VLAN。在此图中，三台主机的主网络接口连接到交换机 1。主机 A 是蓝 VLAN 的成员。因此，主机 A 的接口配置为 VID 123。此接口连接到交换机 1 上的端口 1，该端口随后被配置为 VID 123。主机 B 是 VID 为 456 的黄 VLAN 的成员。主机 B 的接口连接到交换机 1 上的端口 5，该端口随后被配置为 VID 456。最后，主机 C 的接口连接到交换机 1 上的端口 9。蓝 VLAN 被配置为 VID 123。

该图还显示了一台主机也可以属于多个 VLAN。例如，主机 A 通过主机的接口配置了两个 VLAN。第二个 VLAN 被配置为 VID 456，并连接到端口 3，而端口 3 也被配置为 VID 456。因此，主机 A 同是蓝 VLAN 和黄 VLAN 的成员。

在 VLAN 配置过程中，必须指定 VLAN 的物理连接点（即 PPA）。使用以下公式可以获得 PPA 值：

driver-name + VID * 1000 + device-instance

请注意，device-instance 编号必须小于 1000。

例如，若要将 ce1 接口配置为 VLAN 456 的一部分，则创建以下 PPA：

ce + 456 * 1000 + 1= ce456001

规划网络中的 VLAN

使用以下过程可规划网络上的 VLAN。

如何规划 VLAN 配置

1. 检查本地网络拓扑，并确定在何处划分 VLAN 比较合适。

   有关此类拓扑的基本示例，请参阅图 6–1。

2. 创建 VID 的编号方案，并将 VID 指定给每个 VLAN。

   ---

   注 –

   VLAN 编号方案可能已存在于网络中。如果是这样，则必须在现有的 VLAN 编号方案中创建 VID。

   ---

3. 在每个系统上，确定哪些接口将是特定 VLAN 的成员。

   1. 确定系统上配置了哪些接口。

      # dladm show-link

   2. 确定哪个 VID 将与系统上的相应数据链路相关联。

   3. 为要配置为 VLAN 一部分的每个接口创建 PPA。

   并非系统上的所有接口都一定要在同一 VLAN 上进行配置。

4. 检查接口与网络交换机的连接。

   记下每个接口的 VID 以及每个接口所连接到的交换机端口。

5. 用与所连接到的接口相同的 VID 配置交换机的每个端口。

   有关配置说明，请参阅交换机制造商的文档。

配置 VLAN

如果使用的是早期的 Solaris 10 3/05，请参阅配置 VLAN（仅适用于 Solaris 10 3/05）。

目前，Oracle Solaris ： 在以下接口类型上支持 VLAN：

• ce

• bge

• xge

• e1000g

对于传统接口类型，只有 ce 接口可以成为 VLAN 的成员。可以在同一 VLAN 中配置不同类型的接口。

可以配置多个 VLAN 到 IPMP 组中。有关 IPMP 组的更多信息，请参阅IPMP 接口配置。

如何配置 VLAN

如果使用的是 Solaris 10 3/05，则应使用如何配置静态 VLAN（仅适用于 Solaris 10 3/05）中的过程。

1. 承担主管理员角色，或成为超级用户。

   主管理员角色拥有主管理员配置文件。有关如何创建该角色并将其指定给用户，请参见《系统管理指南：基本管理》中的第 2  章 “使用 Solaris Management Console（任务）”。

2. 确定正在系统上使用的接口的类型。

   # dladm show-link

   以下输出显示可用的接口类型：

   ce0 type: legacy mtu: 1500 device: ce0 ce1 type: legacy mtu: 1500 device: ce1 bge0 type: non-vlan mtu: 1500 device: bge0 bge1 type: non-vlan mtu: 1500 device: bge1 bge2 type: non-vlan mtu: 1500 device: bge2

3. 将接口配置为 VLAN 的一部分。

   # ifconfig interface-PPA plumb IP-address up

   例如，可以使用以下命令，将新 IP 地址为 10.0.0.2 的接口 ce1 配置到 VID 为 123 的 VLAN 中：

   # ifconfig ce123001 plumb 10.0.0.2 up

   ---

   注 –

   您可以将 IPv4 和 IPv6 地址指定给 VLAN，就像您对其他接口所执行的那样。

   ---

4. （可选）要使 VLAN 设置在重新引导后继续存在，请为配置为 VLAN 的一部分的每个接口创建 hostname.interface-PPA 文件。

   # cat hostname.interface-PPA IPv4-address

5. 在交换机上，设置 VLAN 标记和 VLAN 端口，使之与在系统上设置的 VLAN 相对应。

示例 6–3 配置 VLAN

此示例说明如何将设备 bge1 和 bge2 配置到 VID 为 123 的 VLAN 中。

# dladm show-link
ce0            type: legacy    mtu: 1500       device: ce0
ce1            type: legacy    mtu: 1500       device: ce1
bge0           type: non-vlan  mtu: 1500       device: bge0 
bge1           type: non-vlan  mtu: 1500       device: bge1 
bge2           type: non-vlan  mtu: 1500       device: bge2
# ifconfig bge123001 plumb 10.0.0.1 up
# ifconfig bge123002 plumb 10.0.0.2 up  
# cat hostname.bge123001   10.0.0.1
# cat hostname.bge123002   10.0.0.2
# ifconfig -a
 lo0: flags=2001000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
         inet 127.0.0.1 netmask ff000000  
 bge123001: flags=201000803<UP,BROADCAST,MULTICAST,IPv4,CoS> mtu 1500 index 2
         inet 10.0.0.1 netmask ff000000 broadcast 10.255.255.255
         ether 0:3:ba:7:84:5e  
bge123002:flags=201000803 <UP,BROADCAST,MULTICAST,IPv4,CoS> mtu 1500 index 3
         inet 10.0.0.2 netmask ff000000 broadcast 10.255.255.255
         ether 0:3:ba:7:84:5e  
ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4>mtu 1500 index 4
         inet 192.168.84.253 netmask ffffff00 broadcast 192.168.84.255
         ether 0:3:ba:7:84:5e
# dladm show-link
ce0             type: legacy    mtu: 1500       device: ce0
ce1             type: legacy    mtu: 1500       device: ce1
bge0            type: non-vlan  mtu: 1500       device: bge0 
bge1            type: non-vlan  mtu: 1500       device: bge1 
bge2            type: non-vlan  mtu: 1500       device: bge2
bge123001       type: vlan 123  mtu: 1500       device: bge1 
bge123002       type: vlan 123  mtu: 1500       device: bge2