VLAN技術(shù)在中職院校中的應(yīng)用

摘要:隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，全國各大中職院校基本上都有自己的校園網(wǎng)，在校園網(wǎng)建設(shè)如火如荼的同時(shí)，由于接入設(shè)備的越來越多，迫切需要一種技術(shù)解決交換機(jī)在進(jìn)行局域網(wǎng)互連時(shí)無法限制廣播的問題，因此，如何規(guī)劃、設(shè)計(jì)和管理好校園網(wǎng)絡(luò)成為重中之重，VLAN技術(shù)以其配量靈活，有效控制網(wǎng)絡(luò)廣播風(fēng)暴，高效安全管理網(wǎng)絡(luò)、應(yīng)用廣泛等特點(diǎn)成為校園網(wǎng)絡(luò)環(huán)境下的典型應(yīng)用。

關(guān)鍵詞:VLAN;局域網(wǎng);廣播風(fēng)暴;網(wǎng)絡(luò)管理

中圖分類號(hào):TP393文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)14-3838-03

VLAN Technology has Application in Secondary Vocational School

LI Chun-yu

(Kunming Medical School Information Center， Kunming 650032， China)

Abstract: With the development of network technology， the country is basically large and medium-level institutions have their own campus network， campus network construction in full swing at the same time， as more and more access to equipment， there is an urgent need for a technical solution switches LAN interconnection in broadcasting can not be restricted， so， how the planning， design and manage the campus network has become the top priority， VLAN technology with the volume of its flexible and effective network broadcast storm control， and efficient network security management， applications become a campus network， such as the characteristics of the typical application environment.

Key words: vlan; lan; broadcast storm; network management

1 VLAN的概念

VLAN(Virtual Local Area Network)即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN，即VLAN)，每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的 LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無須被放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺(tái)計(jì)算機(jī)有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號(hào)，它們各自的廣播流也不會(huì)相互轉(zhuǎn)發(fā)，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。

VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。既然VLAN隔離了廣播風(fēng)暴，同時(shí)也隔離了各個(gè)不同的VLAN之間的通訊，所以不同的VLAN之間的通訊是需要有路由來完成的。

2 VLAN的優(yōu)點(diǎn)

1)限制廣播域。廣播域被限制在一個(gè)VLAN內(nèi)，節(jié)省了帶寬，提高了網(wǎng)絡(luò)處理能力。

2)增強(qiáng)局域網(wǎng)的安全性。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備。

3)靈活構(gòu)建虛擬工作組。用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡(luò)構(gòu)建和維護(hù)更方便靈活。

VLAN是在數(shù)據(jù)鏈路層的，劃分子網(wǎng)是在網(wǎng)絡(luò)層的，所以不同子網(wǎng)之間的VLAN即使是同名也不可以相互通信。

3 組建VLAN的條件

VLAN是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立VLAN需要相應(yīng)的支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同VLAN間進(jìn)行相互通信時(shí)，需要路由的支持，這時(shí)就需要增加路由設(shè)備——要實(shí)現(xiàn)路由功能，既可采用路由器，也可采用三層交換機(jī)來完成。

4 VLAN的劃分

根據(jù)定義VLAN成員關(guān)系的方法的不同，VLAN可以分為7種，從簡到繁依次是:

基于端口的VLAN[Port—Based;基于協(xié)議的VLAN(Protocol—Based];基于MAC層分組的VLAN(MAC—Layer Grouping);基于網(wǎng)絡(luò)層分組的VLAN(Network:Layer Grouping);基于IP組播分組的VLAN(IP MulticastGrouping);組合的VLAN;基于策略的VLAN(Policy—Based)。不同種類的VLAN適用于不同的場(chǎng)合。下面就對(duì)各VLAN劃分作詳細(xì)介紹介紹:

4.1 基于端口分組的VLAN

按端口分組是早期定義VLAN成員關(guān)系的方法。在這種定義方法中，某個(gè)交換機(jī)上的端口(例如端口1、3和5)構(gòu)成VLANA，而該交換機(jī)上的其他端口構(gòu)成VLANB。早期基于端口的VLAN成員只能位于一個(gè)交換機(jī)中。第二代基于端口的VLAN支持多個(gè)交換機(jī)，例如交換機(jī)x上的端口1和端口2與交換機(jī)Y上的端口3和端口4構(gòu)成一個(gè)VLAN。

在基于端口的VLAN中，當(dāng)用戶從一個(gè)端口移到另外的端口時(shí)，網(wǎng)絡(luò)管理員必須重新配置VLAN成員關(guān)系。單純按照端口分組定義VLAN時(shí)，不允許多個(gè)VLAN包含同一個(gè)物理網(wǎng)段〔或交換機(jī)端口)。當(dāng)設(shè)備通過端口被分配給VLAN時(shí)，它們被物理地連接到端口上，端口分配是靜態(tài)的，而且只能由系統(tǒng)管理人員更改。盡管基于端口的VLAN容易構(gòu)建，但每個(gè)端口只能支持一個(gè)VLAN。因此，它們只具有對(duì)集線器(Hub)和服務(wù)器的有限支持。

4.2 基于MAC地址分組的VLAN

在這種定義方法中，若干個(gè)NAC地址構(gòu)成VLAN成員。用戶屬于哪個(gè)VLAN由其網(wǎng)卡中的MAC地址決定。由于MAC地址被固化在用戶的網(wǎng)卡中，因此基于MAC地址的VLAN能夠讓網(wǎng)絡(luò)管理員將工作站移動(dòng)到網(wǎng)絡(luò)中不同的物理位置，并能保持該工作站的VLAN成員關(guān)系，而且上述過程能夠通過軟件自動(dòng)完成(因?yàn)楣袒诰W(wǎng)卡中的MAC地址是全局唯一，且不可改變)。

4.3 基于協(xié)議的VLAN

另外一種簡單的VLAN可以根據(jù)協(xié)議的不同進(jìn)行分組，例如，所有使用MAC地址的用戶形成一個(gè)VLAN，用IP地址分組的用戶形成另外一個(gè)VLAN，而使用IPX(Internet Packet exchange，NetWare系統(tǒng)使用的第3層協(xié)議)地址的用戶形成第3個(gè)VLAN，等等。這種類型的VlaN稱為基于協(xié)議的VLAN。 基于協(xié)議劃分VLAN使用的分組標(biāo)準(zhǔn)是數(shù)據(jù)幀中的“協(xié)議類型”字段。該類型VLAN一般與基于IP地址分組的VLAN一起使用。

基于協(xié)議VLAN具有以下優(yōu)點(diǎn):

1)允許用戶同時(shí)屬于不同的VLAN。

2)支持多協(xié)議網(wǎng)絡(luò)環(huán)境。

3)允許IPX網(wǎng)絡(luò)的加入。

在純IP網(wǎng)絡(luò)中，基于協(xié)議的VLAN類似基于IP的VLAN。

使用基于協(xié)議的VLAN時(shí)，網(wǎng)絡(luò)中的交換機(jī)要具有一定的第3層智能功能，使之能理解數(shù)據(jù)分組中的地址字段信息。

4.4 基于IP的VLAN

更復(fù)雜的第3層VLAN是基于IP地址VLAN或者是基于IPx地址的VLAN，后者比較少見。

基于IP的VLAN以第3層信息為基礎(chǔ)，并使用網(wǎng)絡(luò)(IP子網(wǎng))地址。該類型VLAN在確定成員時(shí)也考慮協(xié)議類型(如果同時(shí)支持多協(xié)議)。盡管這種VLAN基于分組中的第3層信息，但并不構(gòu)造路由，它只是使用交換機(jī)中原有的路由表。這種交換機(jī)就是第3層交換機(jī)，它負(fù)責(zé)執(zhí)行路由功能。盡管路由器能在子網(wǎng)間發(fā)送分組，并能保持VLAN信息，但它會(huì)產(chǎn)生瓶頸，所以應(yīng)采用第3層交換機(jī)。第3層交換機(jī)是基于ASIC芯片組的，它比基于CPU的路由器性能好。目前網(wǎng)絡(luò)中路由器和第3層交換機(jī)還在共存，當(dāng)網(wǎng)絡(luò)徹底實(shí)現(xiàn)VLAN時(shí)，也就是路由器“退休”之日。盡管交換機(jī)為確定VLAN成員關(guān)系要檢查IP地址，但并不進(jìn)行路由計(jì)算，像RIP和OSPF這樣的路由協(xié)議也不工作。通過這些交換機(jī)的幀是根據(jù)生成樹算法(Spanning-Tree)被橋接的。所以，從第3層交換機(jī)觀點(diǎn)來看，VLAN網(wǎng)絡(luò)仍然可以看作是一個(gè)平面的、橋安的網(wǎng)絡(luò)。

4.5 基于IP組播分組的VLAN

組播的通信量是點(diǎn)到多點(diǎn)或多點(diǎn)到多點(diǎn)的。組播正被期望成為數(shù)據(jù)網(wǎng)絡(luò)的新服務(wù)。

組播VLAN是通過偵聽Internet組管理協(xié)議(Internet Group Management Protocol)，當(dāng)用戶打開使用組播的應(yīng)用時(shí)，它們將動(dòng)態(tài)地加入與應(yīng)用相關(guān)的VLAN，而當(dāng)應(yīng)用關(guān)閉時(shí)，它們會(huì)斷開與組播VLAN的連接。

組播的設(shè)計(jì)目標(biāo)是將VLAN的目標(biāo)是有區(qū)別的。非廣播的組播被認(rèn)為是MAC工作站(通常是采用廣播的)忽略與己無關(guān)的流量的一種方法，因?yàn)榫W(wǎng)絡(luò)中某些工作站不能以線速處理分組，需要有一種MAC層的方法使分組在消耗資源(緩存空間和CPU時(shí)間)之前就被丟掉。然而被工作站丟棄的組播分組仍然占用了線路的帶寬，而且在傳統(tǒng)的橋接網(wǎng)絡(luò)中，所有的分組將不被區(qū)別地轉(zhuǎn)發(fā)到所有的端口和網(wǎng)絡(luò)。

4.6 VLAN的組合

實(shí)際上，網(wǎng)絡(luò)管理員針對(duì)特定的網(wǎng)絡(luò)環(huán)境采用更加靈活的方法來定義VLAN成員關(guān)系，以獲得更好的成員分組。例如，對(duì)于混合使用IP和NetBIOS的網(wǎng)絡(luò)，由于NetBIOS的不可路由性，因此采用單純第3層的方法顯然對(duì)NetBIOS工作站不適用，那么可以按照IP子網(wǎng)定義基于IP的VLAN，按照MAC地址分組NetBIOS工作站。

VLAN組合最常見的情形是2/3層VLAN。

使用2/3層VLAN的虛擬網(wǎng)絡(luò)技術(shù)融合了某些傳統(tǒng)路由技術(shù)和面向連接技術(shù)的特質(zhì)。網(wǎng)絡(luò)技術(shù)能夠比路由器提供更好的可靠性、安全性和高效性。

對(duì)端用戶來說，虛擬網(wǎng)絡(luò)像是一個(gè)第3層交換網(wǎng)絡(luò)，而從路由器的角度來看，它又像一個(gè)單一的VLAN。

虛擬網(wǎng)絡(luò)或VLAN就是獨(dú)立的用戶組，要想相互通信，用戶組的用戶必須處在同一個(gè)子網(wǎng)或在同一個(gè)網(wǎng)絡(luò)地址范圍內(nèi)。要想在VLAN之間通信，就需要更多的輔助措施。

在VLAN之間進(jìn)行交換是不可能的，因?yàn)槟菢泳捅仨殞⑺械腣LAN拆分到一個(gè)單一的廣播域，即拆分重組一個(gè)單一的VLAN。因此，為保持原有的獨(dú)立廣播域，就需要路由器或路由功能，同時(shí)，允許不同子網(wǎng)的和同一子網(wǎng)的用戶在第3層進(jìn)行通信。

在虛擬網(wǎng)絡(luò)中，既可以使用傳統(tǒng)的路由器，也可以不使用。

4.7 基于策略的VLAN

策略源于網(wǎng)絡(luò)管理，主要是指網(wǎng)絡(luò)管理行為所遵守的規(guī)則。這些規(guī)則涉及網(wǎng)絡(luò)管理員和軟硬件系統(tǒng)的禁止、允許和授權(quán)等行為，尤其是當(dāng)網(wǎng)絡(luò)產(chǎn)生報(bào)警信息時(shí)，網(wǎng)絡(luò)和網(wǎng)絡(luò)管理員應(yīng)該采取的措施。

基于策略的VLAN是指為實(shí)現(xiàn)管理策略而定義的邏輯用戶組。它使用上述VLAN種類定義的方法，NAC地址、第3層地址和協(xié)議類型字段等。它還可以將不同的策暗組合到一起以滿足網(wǎng)絡(luò)管理員的特殊需要。

根據(jù)策略建立的VLAN仍然是一個(gè)廣播域，但是域中的成員關(guān)系更加粒狀(granular)，即成員分組可以基于任何標(biāo)準(zhǔn)或數(shù)據(jù)幀中的指標(biāo)，并且每個(gè)交換機(jī)端口可以支持多個(gè)VLAN。

基于策略的VLAN提供了更大的靈活性，但可能導(dǎo)致更復(fù)雜、更多的管理成本。從技術(shù)上看，基于策略的VLAN是幀過濾器(frame—filter)在廣播域應(yīng)用的產(chǎn)物?；诓呗缘腣VLAN允許對(duì)通信量實(shí)施更加拉狀的控制，這意味著廣播域中的VLAN交換機(jī)必須支持多個(gè)VLAN共存一個(gè)交換機(jī)。

基于策略的VLAN比其他VLAN更依賴于特定的網(wǎng)絡(luò)管理。

校園網(wǎng)中常用的VLAN是基于端口的VLAN、基于MAC地址的VLAN和基于IP地址的VLAN。

5 VLAN在我校校園中的應(yīng)用

5.1 我校校園網(wǎng)情況

校園網(wǎng)以學(xué)校網(wǎng)絡(luò)中心為核心，覆蓋辦公樓、教學(xué)樓、實(shí)驗(yàn)樓、主校區(qū)辦公樓、電子閱覽室、圖書館等主要大樓。采用化為7506R交換機(jī)作為中心交換機(jī)，在其他樓配置二級(jí)交換機(jī)，中心交換機(jī)與防火墻相連，各服務(wù)器都連到7506R三層交換機(jī)上，防火墻連接INTERNET。

5.2 校園網(wǎng)絡(luò)規(guī)劃

根據(jù)校園網(wǎng)的具體情況，為了達(dá)到信息流量的控制，并提供良好的安全性，由于點(diǎn)位超過200個(gè)，特劃分了九個(gè)VLAN網(wǎng)段，以避免因局域網(wǎng)內(nèi)的計(jì)算機(jī)過多而引起網(wǎng)絡(luò)堵塞或廣播風(fēng)暴，影響到用戶正常的辦公及上網(wǎng)。

通過對(duì)網(wǎng)絡(luò)邏輯結(jié)構(gòu)進(jìn)行分析和合理劃分，采用基于端口VLAN技術(shù)對(duì)校園內(nèi)部網(wǎng)絡(luò)不同部門之間進(jìn)行邏輯隔離，同時(shí)抑制廣播風(fēng)暴。

參考文獻(xiàn):

[1] 王保順.校園網(wǎng)絡(luò)設(shè)計(jì)與遠(yuǎn)程教學(xué)系統(tǒng)開發(fā)[M].北京:人民郵電出版社，2003.1.

[2] 蔣建軍，等.局域網(wǎng)組網(wǎng)技術(shù)與工程[M].上海:上海交通大學(xué)出版社，2003.5.