| 跳过导航链接 | |
| 退出打印视图 | |
|
系统管理指南:IP 服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
| 跳过导航链接 | |
| 退出打印视图 | |
|
|
系统管理指南:IP 服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
1. Oracle Solaris TCP/IP 协议套件(概述)
5. 配置 TCP/IP 网络服务和 IPv4 寻址(任务)
25. Oracle Solaris 中的 IP 过滤器(概述)
虚拟局域网 (virtual local area network, VLAN) 是在 TCP/IP 协议栈的数据链路层上对局域网的细分。可以为采用交换机技术的局域网创建 VLAN。通过将用户组指定给 VLAN,可以加强整个本地网络的网络管理和安全性。还可以将同一系统上的接口指定给不同的 VLAN。
如果需要实现以下目的,请考虑将本地网络划分为多个 VLAN:
创建工作组的逻辑分区。
例如,假定某楼层的所有主机都连接到一个基于交换的本地网络。可以为该楼层的每个工作组创建单独的 VLAN。
对各个工作组强制实施不同的安全策略。
例如,财务部和信息技术部的安全需求大不相同。如果这两个部门的系统共享同一本地网络,则可以为每个部门创建单独的 VLAN。然后,基于每个 VLAN 强制实施适当的安全策略。
将工作组拆分为易管理的广播域。
使用 VLAN 可减小广播域的大小并提高网络效率。
使用交换 LAN 技术,可以将本地网络中的系统组织到 VLAN 中。将本地网络划分为 VLAN 之前,必须先获取支持 VLAN 技术的交换机。可以对交换机上的所有端口进行配置,使其为单个 VLAN 或多个 VLAN 提供服务,具体取决于 VLAN 拓扑设计。配置交换机端口的过程因交换机制造商而异。
下图显示了子网地址为 192.168.84.0 的局域网。此 LAN 已细分为三个 VLAN:红 VLAN、黄 VLAN 和蓝 VLAN。
图 6-1 具有三个 VLAN 的局域网
LAN 192.168.84.0 上的连通性由交换机 1 和交换机 2 处理。红 VLAN 包含会计工作组中的系统。人力资源工作组的系统位于黄 VLAN 中。信息技术工作组的系统被指定给蓝 VLAN。
局域网中的每个 VLAN 都由 VLAN 标记或 VLAN ID (VID) 标识。VID 是在 VLAN 配置过程中指定的。VID 是一个介于 1 和 4094 之间的 12 位标识符,为每个 VLAN 提供唯一标识。在图 6-1 中,红 VLAN 的 VID 是 789,黄 VLAN 的 VID 是 456,蓝 VLAN 的 VID 是 123。
配置交换机使其支持 VLAN 时,需要为每个端口指定 VID。端口上的 VID 必须与指定给该端口所连接的接口的 VID 相同,如下图所示。
图 6-2 具有 VLAN 的网络的交换机配置
图 6-2 显示了连接到不同 VLAN 的多台主机。两台主机属于同一个 VLAN。在此图中,三台主机的主网络接口连接到交换机 1。主机 A 是蓝 VLAN 的成员。因此,主机 A 的接口配置为 VID 123。此接口连接到交换机 1 上的端口 1,该端口随后被配置为 VID 123。主机 B 是 VID 为 456 的黄 VLAN 的成员。主机 B 的接口连接到交换机 1 上的端口 5,该端口随后被配置为 VID 456。最后,主机 C 的接口连接到交换机 1 上的端口 9。蓝 VLAN 被配置为 VID 123。
该图还显示了一台主机也可以属于多个 VLAN。例如,主机 A 通过主机的接口配置了两个 VLAN。第二个 VLAN 被配置为 VID 456,并连接到端口 3,而端口 3 也被配置为 VID 456。因此,主机 A 同是蓝 VLAN 和黄 VLAN 的成员。
在 VLAN 配置过程中,必须指定 VLAN 的物理连接点(即 PPA)。使用以下公式可以获得 PPA 值:
driver-name + VID * 1000 + device-instance
请注意,device-instance 编号必须小于 1000。
例如,若要将 ce1 接口配置为 VLAN 456 的一部分,则创建以下 PPA:
ce + 456 * 1000 + 1= ce456001
使用以下过程可规划网络上的 VLAN。
有关此类拓扑的基本示例,请参阅图 6-1。
注 - VLAN 编号方案可能已存在于网络中。如果是这样,则必须在现有的 VLAN 编号方案中创建 VID。
# dladm show-link
并非系统上的所有接口都一定要在同一 VLAN 上进行配置。
记下每个接口的 VID 以及每个接口所连接到的交换机端口。
有关配置说明,请参阅交换机制造商的文档。
目前,Oracle Solaris 在以下接口类型上支持 VLAN:
ce
bge
xge
e1000g
对于传统接口类型,只有 ce 接口可以成为 VLAN 的成员。可以在同一 VLAN 中配置不同类型的接口。
主管理员角色拥有主管理员配置文件。要创建该角色并将其指定给用户,请参见《系统管理指南:基本管理》中的第 2 章 "使用 Solaris Management Console(任务)"。
# dladm show-link
以下输出显示可用的接口类型:
ce0 type: legacy mtu: 1500 device: ce0 ce1 type: legacy mtu: 1500 device: ce1 bge0 type: non-vlan mtu: 1500 device: bge0 bge1 type: non-vlan mtu: 1500 device: bge1 bge2 type: non-vlan mtu: 1500 device: bge2
# ifconfig interface-PPA plumb IP-address up
例如,可以使用以下命令,将新 IP 地址为 10.0.0.2 的接口 ce1 配置到 VID 为 123 的 VLAN 中:
# ifconfig ce123001 plumb 10.0.0.2 up
注 - 您可以将 IPv4 和 IPv6 地址指定给 VLAN,就像您对其他接口所执行的那样。
# cat hostname.interface-PPA IPv4-address
示例 6-3 配置 VLAN
此示例说明如何将设备 bge1 和 bge2 配置到 VID 为 123 的 VLAN 中。
# dladm show-link
ce0 type: legacy mtu: 1500 device: ce0
ce1 type: legacy mtu: 1500 device: ce1
bge0 type: non-vlan mtu: 1500 device: bge0
bge1 type: non-vlan mtu: 1500 device: bge1
bge2 type: non-vlan mtu: 1500 device: bge2
# ifconfig bge123001 plumb 10.0.0.1 up
# ifconfig bge123002 plumb 10.0.0.2 up
# cat hostname.bge123001 10.0.0.1
# cat hostname.bge123002 10.0.0.2
# ifconfig -a
lo0: flags=2001000849 <UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
bge123001: flags=201000803<UP,BROADCAST,MULTICAST,IPv4,CoS> mtu 1500 index 2
inet 10.0.0.1 netmask ff000000 broadcast 10.255.255.255
ether 0:3:ba:7:84:5e
bge123002:flags=201000803 <UP,BROADCAST,MULTICAST,IPv4,CoS> mtu 1500 index 3
inet 10.0.0.2 netmask ff000000 broadcast 10.255.255.255
ether 0:3:ba:7:84:5e
ce0: flags=1000843 <UP,BROADCAST,RUNNING,MULTICAST,IPv4>mtu 1500 index 4
inet 192.168.84.253 netmask ffffff00 broadcast 192.168.84.255
ether 0:3:ba:7:84:5e
# dladm show-link
ce0 type: legacy mtu: 1500 device: ce0
ce1 type: legacy mtu: 1500 device: ce1
bge0 type: non-vlan mtu: 1500 device: bge0
bge1 type: non-vlan mtu: 1500 device: bge1
bge2 type: non-vlan mtu: 1500 device: bge2
bge123001 type: vlan 123 mtu: 1500 device: bge1
bge123002 type: vlan 123 mtu: 1500 device: bge2
|