基于端口的VLAN劃分與信息共享的實現(xiàn)

高蘭

（西安鐵路職業(yè)技術學院 陜西 西安 710014）

虛擬局域網VLAN（Virtual Local Area Network）可以解決廣播幀的隔離問題[1]，是為解決以太網的廣播問題和安全性而提出的。VLAN技術允許網絡管理員將一個物理的LAN用VLAN ID把用戶邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機，與物理上形成的LAN有著相同的屬性。

出于安全等因素的考慮，為了使同一個部門的計算機可以相互訪問、信息共享，不同部門的計算機不能互訪，可將每個交換機上連接的同一部門的計算機的端口劃分到一個虛擬網（VLAN2）中，將另外部門的計算機的端口劃分到另一個虛擬網（VLAN3）中。

1 利用HUAWEI Quidaway S2016交換機進行Vlan劃分的配置

H1與H3劃分為同一個Vlan2，虛擬局域網的劃分如圖1所示，現(xiàn)要將同一個部門的H2與H4劃分到同一個Vlan3中。

利用RJ－45接口的雙絞線將交換機與若干臺計算機進行物理連接。并用交換機專用線將交換機A的console口與計算機H1相連接。

程序—附件—通訊—超級終端，如圖2，輸入連接說明的名稱：Switch－確定，在如圖3中選擇 COM1端口－確定。打開圖3 COM1屬性窗口，如圖4，點擊“還原為默認值”—確定[2]。

圖1 VLAN劃分拓撲圖Fig.1 The topology of VLAN divide

進入Switch－超級終端界面?？梢钥吹焦鈽说拈W爍，按回車鍵。出現(xiàn)＜Quidway＞提示符，現(xiàn)在可以對交換機A進行配置。

圖2 連接描述窗口Fig.2 The window of link describe

圖3 連接選項窗口Fig.3 The window of link option

圖4 COM1屬性窗口Fig.4 The window of COM1 property

圖5 交換機配置操作窗口Fig.5 The window of switch configure

關閉Switch A配置窗口。

同理，用交換機專用線將交換機B的console口與計算機H1相連接，可進行Switch B的配置。要注意干路端口的設置。

2 設置計算機的IP地址

對計算機H1進行IP地址的設置，如將其IP地址設為192.168.2.101。右擊桌面上的網上鄰居—屬性，進入網絡連接窗口界面，右擊本地連接—屬性，進入本地連接屬性窗口。選擇 Internet協(xié)議（Tcp/Ip）—屬性，進入 Internet協(xié)議（Tcp/Ip）屬性窗口[3]。在這里，將IP地址設為192.168.2.101，子網掩碼設為255.255.255.0，默認網關設為192.168.2.1。

同理，分別配置其他3臺計算機H2、H3、H4的IP地址為：192.168.2.102、192.168.2.103、192.168.2.104。

至此，兩個虛擬局域網按要求劃分配置完成。

基于端口的VLAN劃分的優(yōu)點是配置相對簡單，對交換機轉發(fā)性能幾乎沒有影響。其缺點是需要為每個交換機端口配置所屬的VLAN，一旦用戶移動位置，可能需要網絡管理員對交換機相應端口進行重新設置[4]。

3 Vlan的驗證與信息的安全共享

3.1 Ping命令測試

Ping命令是一個測試程序，在安裝了TCP/IP協(xié)議之后，就可以利用ping命令來驗證與網絡中其他計算機的連接。根據(jù)返回信息，就可以推斷TCP/IP參數(shù)設置是否正確，網絡運行是否正常，如果某些ping命令出現(xiàn)運行故障，它也可以提示到任務處去查找問題[5]。

利用計算機H1分別對其他3臺計算機進行ping命令測試，同一VLAN中的計算機可以ping成功，不同VLAN的計算機ping不通。H1可以ping通H3，但ping不通H2和H4。

如，在H1計算機上操作[6]：開始—運行—cmd—確定，在光標提示符后輸入ping 192.168.2.102—回車，顯示為Request time out。但如果輸入ping 192.168.2.103—回車，顯示可以ping通，說明VLAN劃分成功。

在網上鄰居中查找計算機，只能看到同一個 VLAN中的計算機，其他的看不到。如，計算機H1在網上鄰居中只能看到H3，看不到H2和H4。同理，計算機H2只能在網上鄰居中看到H4，看不到H1和H3。

3.2 發(fā)送信息

使用net send命令給同一vlan和不同vlan中的計算機發(fā)送信息[7]。先對將要進行通信的電腦進入相應設置，因為，多數(shù)操作系統(tǒng)的信使服務默認是禁用的。

在“我的電腦”上右擊—管理，進入計算機管理界面—雙擊 “服務和應用程序”—單擊 “服務”—在名稱列表中找到messenger—雙擊“messenger”，進入 messenger屬性窗口—將啟動類型的“已禁用”改為“自動”—應用—啟動—確定，啟動了信使服務。

單擊“開始”菜單，點擊“運行”后，在運行對話框中輸入“cmd”，確定，在光標提示符后輸入net send IP地址 發(fā)送共享信息的文字。如，net send 192.168.2.120請上交部門年度財務預算，回車。

可以看到同一VLAN中，對方計算機上出現(xiàn)接收到消息內容窗口。而不同VLAN中的計算機收不到消息，這樣就實現(xiàn)了重要信息的定向到達。

3.3 VLAN中的廣播

在上述啟用messenger服務的狀態(tài)下，開始—運行—cmd—確定，在光標提示符后輸入net send*發(fā)送共享信息的文字。如，net send*重要通知：下午2：00在第一會議室召開人事任免會議，回車。

可以看到同一VLAN中，所有計算機上出現(xiàn)接收到消息內容窗口。而不同VLAN中的計算機收不到信息。利用這一操作，可以在同一VLAN中發(fā)送的通知信息，而不被其他VLAN的計算機接收，從而實現(xiàn)了信息的安全共享。

3.4 共享文件夾

在某計算機上設置共享文件夾，同一VLAN中的計算機可以打開共享文件夾，不同VLAN計算機看不到共享文件夾。

雙擊網上鄰居—打開相應的工作組，可以看到同一VLAN中的共享文件夾，并可對它進行訪問。以上測試，驗證了VLAN的劃分可以滿足實際應用中同一個部門的計算機可以相互訪問、信息共享，不同部門的計算機不能互訪網絡安全的要求。

4 結束語

以上虛擬局域網的劃分，可以有效地保證部門間的信息共享與信息安全。網絡設備具有"虛擬"的重新配置網絡的能力[6]，如果網絡用戶間的通信關系有所改變，只需要網絡管理員通過交換機控制臺的操作，對需要重新分配用戶關系計算機物理端口間重新建立新的虛擬局域網即可。

[1]高傳善，毛迪林，王雪平，等.計算機網絡[M].1版.北京：人民郵電出版社，2002：154.

[2]眭碧霞.計算機網絡實訓[M].1版.北京：機械工業(yè)出版社，2005：162-163.

[3]邢彥辰.計算機網絡與通信[M].1版.北京：人民郵電出版社，2008：249.

[4]孫秀英.路由交換技術與應用[M].1版.西安：西安電子科技大學出版社，2009：120.

[5]舒云星.計算機網絡技術基礎[M].1版.武漢：武漢理工大學出版社，2005：89.

[6]江錦祥.計算機網絡與應用[M].2版.北京：科學出版社，2009：151.

[7]宋慶大，李冬，徐天野.計算機網絡安全問題和對策研究[J].現(xiàn)代電子技術，2009（21）：93-95，98.

SONG Qing-da，LI Dong，XU Tian-ye.Security problems and countermeasure research of computer network[J].Modern Electronics Technique，2009（21）：93-95，98.