淺析網(wǎng)絡(luò)時(shí)代虛擬局域網(wǎng)技術(shù)

摘要：文章對(duì)虛擬局域網(wǎng)（Virtual Local Area Network）做出簡單介紹。從現(xiàn)有網(wǎng)絡(luò)安全問題入手，介紹了這種常用的網(wǎng)絡(luò)管理方式，并詳細(xì)介紹了虛擬局域網(wǎng)的優(yōu)點(diǎn)、分類、實(shí)現(xiàn)、簡單配置、通訊、管理等多方面的問題。

關(guān)鍵詞：網(wǎng)絡(luò)安全；虛擬局域網(wǎng)；廣播風(fēng)暴

中圖分類號(hào)：TP393.1 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1006—8937（2012）23—0089—02

1 虛擬局域網(wǎng)簡介

虛擬局域網(wǎng)（Virtual Local Area Network）即我們常說的VLAN，是指在局域網(wǎng)交換的基礎(chǔ)上構(gòu)建的可跨越不同網(wǎng)段的邏輯網(wǎng)絡(luò)。是通過把局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備邏輯地劃分成多個(gè)不同的網(wǎng)段從而實(shí)現(xiàn)多個(gè)不同的邏輯工作組的一種技術(shù)。一般常用的網(wǎng)絡(luò)設(shè)備如交換機(jī)只能減少網(wǎng)絡(luò)中的沖突域，對(duì)廣播域則無能為力，隨著計(jì)算機(jī)的不斷普及以及網(wǎng)絡(luò)的飛速發(fā)展，局域網(wǎng)的規(guī)模越來越大，廣播域也就隨之不斷增大，給局域網(wǎng)的性能帶來很大的影響。

虛擬局域網(wǎng)給出了一種讓交換機(jī)也來減少廣播通信量的方法。VLAN將物理的局域網(wǎng)邏輯地劃分成不同的廣播域，每一個(gè)域中的計(jì)算機(jī)都有著相同的工作需求，它與物理上形成的局域網(wǎng)有著相同的屬性。一個(gè)邏輯廣播域，可以包括多個(gè)網(wǎng)絡(luò)設(shè)備，可以處于不同地理位置。在一個(gè)虛擬局域網(wǎng)中廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他虛擬局域網(wǎng)中，從而可以強(qiáng)化網(wǎng)絡(luò)管理、減少廣播風(fēng)暴、減少設(shè)備投資、提高網(wǎng)絡(luò)性能。

2 VLAN的優(yōu)點(diǎn)

①控制網(wǎng)絡(luò)的廣播風(fēng)暴。按照802.1D透明網(wǎng)橋的算法，當(dāng)一數(shù)據(jù)包找不到路由出口的時(shí)候，就會(huì)以橋模式的方式轉(zhuǎn)發(fā)出去。即交換機(jī)就會(huì)將該數(shù)據(jù)包向網(wǎng)段內(nèi)所有其他端口發(fā)送。這樣極大的浪費(fèi)了帶寬。采用VLAN技術(shù)，可將交換機(jī)的某個(gè)端口劃到某個(gè)具體的VLAN中，當(dāng)一數(shù)據(jù)包找不到路由出口的時(shí)候，而交換機(jī)只向同屬于這個(gè)VLAN內(nèi)的機(jī)器端口發(fā)送廣播包而不是所有端口。這樣數(shù)據(jù)包就被限制在一個(gè)VLAN內(nèi)。一個(gè)VLAN的廣播風(fēng)暴不會(huì)影響其它VLAN的性能。

②確保網(wǎng)絡(luò)安全。由于在一般的網(wǎng)絡(luò)中，用戶只要能夠接入網(wǎng)絡(luò)設(shè)備就能訪問網(wǎng)絡(luò)。所以我們通常使用的共享式局域網(wǎng)很難保證網(wǎng)絡(luò)的安全。而通過劃分VLAN，就可以做到允許指定的用戶并且可以限制個(gè)別用戶的訪問，甚至可以限定接入設(shè)備的MAC地址，所以通過使用VLAN技術(shù)能夠大大增強(qiáng)網(wǎng)絡(luò)的安全性和可靠性。VLAN間的數(shù)據(jù)在二層間是不能通信的。這樣，一個(gè)VLAN內(nèi)的數(shù)據(jù)包是不能發(fā)送到另一個(gè)VLAN內(nèi)。這就確保了一個(gè)VLAN內(nèi)的信息不會(huì)被其他VLAN上用戶竊聽，實(shí)現(xiàn)了信息的保密。

③簡化網(wǎng)絡(luò)管理。借助于VLAN技術(shù)網(wǎng)絡(luò)管理員能輕松管理整個(gè)網(wǎng)絡(luò)。VLAN的劃分是邏輯的而不是物理的，網(wǎng)絡(luò)管理員只需設(shè)置幾條命令，就能按照需求建立起VLAN網(wǎng)絡(luò)。當(dāng)用戶的工作位置發(fā)生變動(dòng)時(shí)，或用戶的職責(zé)發(fā)生變更時(shí)可以非常方便的把用戶移如新的VLAN中，減少了移動(dòng)和改變的代價(jià)。

3 VLAN的分類

通常而言，VLAN的分類簡單來說有以下幾種：

①基于端口的VLAN?；诙丝诘膭澐諺LAN的方法是在日常工作中劃分虛擬局域網(wǎng)最常用、最有效的方法。最初的虛擬局域網(wǎng)的實(shí)現(xiàn)就是按照交換機(jī)的端口來確定VLAN內(nèi)的成員。這樣一個(gè)VLAN內(nèi)的所有成員實(shí)際上也就是符合某種條件的所有交換機(jī)端口的集合。在行進(jìn)網(wǎng)絡(luò)管理中，我們只需要在交換機(jī)上規(guī)劃好端口的用途，從而配置好交換機(jī)的端口。并不用在意這些交換機(jī)端口連接什么設(shè)備、下面的設(shè)備走的什么路由。這種配置方法是目前最常用的方法，而且配置起來也非常的簡單。它的不足和局限性是當(dāng)配置好的接入用戶當(dāng)工作屬性發(fā)生變化需要更改所屬VLAN時(shí)，需要在本身的交換機(jī)端口上重新配置此端口的虛擬局域網(wǎng)屬性。

②基于MAC地址的VLAN。由于MAC地址具有唯一性，每個(gè)網(wǎng)卡有固定且唯一的MAC地址。因此按不同的MAC地址來劃分VLAN也是常用的劃分VLAN的方法。這種劃分方式本質(zhì)上就是將具體的服務(wù)器、工作站甚至終端用戶通過固定的網(wǎng)卡劃分到具體的某個(gè)VLAN中。按照這種虛擬局域網(wǎng)劃分的方法，VLAN中就是有著特定需求的用戶的MAC地址的集合。當(dāng)用戶設(shè)備在網(wǎng)絡(luò)中位置發(fā)生變化時(shí)，該網(wǎng)絡(luò)設(shè)備能夠自動(dòng)保持它原有的虛擬局域網(wǎng)成員的資格?；贛AC地址的VLAN劃分方式可以被看作是基于用戶的虛擬局域網(wǎng)。這種劃分方式的缺點(diǎn)是要求在配置在某個(gè)虛擬局域網(wǎng)中，所有的網(wǎng)絡(luò)接入用戶都必須行進(jìn)初始配置。在初始配置生效之后，用戶的虛擬局域網(wǎng)自動(dòng)跟蹤才能夠?qū)崿F(xiàn)。顯而易見，在網(wǎng)絡(luò)規(guī)模不斷增長、用戶數(shù)量不斷增加的今天，這種配置方式會(huì)給網(wǎng)絡(luò)管理帶來很大的難度，對(duì)網(wǎng)絡(luò)的擴(kuò)展性支持的不是很好。

③基于第3層的VLAN?；诘?層的VLAN配置方式通常是采用在路由器中常用的方法。在確定虛擬局域網(wǎng)成員時(shí)考慮協(xié)議類型或網(wǎng)絡(luò)層地址。但這并不是一種路由功能，任何給定虛擬局域網(wǎng)范圍內(nèi)的聯(lián)接被視為平行的橋接拓?fù)浣Y(jié)構(gòu)。在此，局域網(wǎng)交換機(jī)允許把它的一個(gè)子網(wǎng)擴(kuò)展到多個(gè)局域網(wǎng)交換端口，甚至允許一個(gè)端口對(duì)應(yīng)于多個(gè)子網(wǎng)。不過這種方法與基于端口的VLAN和基于MAC地址的VLAN相比性能上有明顯的不足，數(shù)據(jù)包中的地址在OSI7層網(wǎng)絡(luò)結(jié)構(gòu)中屬于第三層，MAC地址屬于OSI中的第二層，檢查數(shù)據(jù)包第三層地址要耗時(shí)更多，速度更慢。

④基于策略的VLAN。基于策略的VLAN是一種靈活有效的VLAN劃分方法。該方法的基本知道思想是根據(jù)用戶的需要來決定具體采用什么樣的策略?？梢园凑沼脩鬒P地址、MAC地址、網(wǎng)絡(luò)協(xié)議、不同的網(wǎng)絡(luò)的應(yīng)用等來確定策略。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，設(shè)備配置的不斷更新和提高，新的策略也不斷的產(chǎn)生和應(yīng)用在當(dāng)今的網(wǎng)絡(luò)中。

4 VLAN的實(shí)現(xiàn)

VLAN的實(shí)現(xiàn)方式簡單來分有以下有兩種：靜態(tài)VLAN和動(dòng)態(tài)VLAN。

VLAN的靜態(tài)實(shí)現(xiàn)是指管理員將某個(gè)交換機(jī)具體的端口分配給固定VLAN，這種方法就是剛才提及的基于端口的VLAN，這種方法最為常用。它配置簡單而且安全可靠、擴(kuò)展性強(qiáng)。

VLAN的動(dòng)態(tài)實(shí)現(xiàn)是指管理員先建立一個(gè)相對(duì)較為復(fù)雜的數(shù)據(jù)庫，當(dāng)網(wǎng)絡(luò)接入設(shè)備接到網(wǎng)絡(luò)交換機(jī)端口時(shí)交換機(jī)會(huì)依據(jù)事先設(shè)計(jì)好的這個(gè)數(shù)據(jù)庫自動(dòng)把接入的網(wǎng)絡(luò)設(shè)備所連接的端口分配給相應(yīng)的VLAN。VLAN的動(dòng)態(tài)配置可以基于網(wǎng)絡(luò)設(shè)備的MAC地址、IP地址、或者所使用的網(wǎng)絡(luò)協(xié)議。動(dòng)態(tài)VLAN的實(shí)現(xiàn)一般使用管理軟件來進(jìn)行。這種VLAN的配置管理方式優(yōu)點(diǎn)是管理員只需維護(hù)相應(yīng)的管理數(shù)據(jù)庫，而無需關(guān)心用戶具體使用哪一個(gè)交換機(jī)端口。但是缺點(diǎn)是每次有新用戶加入時(shí)需要做相對(duì)復(fù)雜的手工配置。

5 VLAN的簡單配置

VLAN的命令非常簡單，比較常用的方式是TELNET到交換機(jī)上或者串口連接到交換機(jī)上進(jìn)行配置，常用的命令如下所示：

增加VLAN

Switch# vlan database

Switch（vlan）# vlan vlan—id name vlan—name

Switch# show vlan name vlan—name

Switch（vlan）# no vlan vlan—id //刪除VLAN

將端口加入VLAN

Switch# configure terminal

Switch（config）# interface interface

Switch（config—if）# switchport mode access

Switch（config—if）# switchport access vlan vlan—id

Switch（config—if）# show interface interface—id switchport

配置trunk 端口

Switch# configure terminal

Switch（config）# interface interface

Switch（config—if）# switchport mode trunk

Switch（config—if）# switchport trunk encapsulation isl

Switch（config—if）# end

Switch# show interface interface switchport

6 VLAN間通訊

如前文所述，VLAN間的數(shù)據(jù)在二層間是不能通信的，在不同VLAN之間，數(shù)據(jù)的傳輸是通過第三層也就是OSI中的網(wǎng)絡(luò)層的路由來實(shí)現(xiàn)。在許多局域網(wǎng)中，基于為了提高網(wǎng)絡(luò)性能、增強(qiáng)網(wǎng)絡(luò)的安全性等等原因的考慮都使用了VLAN，但各個(gè)VLAN之間還都需要相互通訊，這樣如何使VLAN間通訊的問題就擺在我們面前。

早期VLAN間的通訊是用路由器來完成的，由于路由器的作用主要是聯(lián)接廣域網(wǎng)，內(nèi)部交換的性能不是很強(qiáng)，所以通訊的延遲比較長，通訊性能不是很好。而且路由器的造價(jià)昂貴，因此這種方法并沒有得到廣泛的應(yīng)用。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，具有三層交換功能的交換機(jī)的產(chǎn)生。VLAN間的通訊變的簡單易行起來。交換機(jī)內(nèi)部集成了路由功能，可以在第三層線速轉(zhuǎn)發(fā)數(shù)據(jù)包。用這種方法首先解決了VLAN能否通訊的問題，而且通訊的延遲非常小，效果非常好?，F(xiàn)今VLAN間的通訊大都是用三層交換機(jī)的方法來解決。

7 管理VLAN

VLAN的管理一般是通過軟件而不是硬件來實(shí)現(xiàn)。常用的管理軟件有VLANVIEW、TRAFFICVIEW等。

VLANVIEW是一種通過圖形界面來管理VLAN的VLAN管理軟件。它以圖形的方式自動(dòng)畫出交換機(jī)在網(wǎng)絡(luò)上的拓?fù)湮恢?，并提供交換機(jī)每個(gè)端口的狀態(tài)，且允許用戶通過拖放的方式將端口配給VLAN。這種方法簡單易行，配置清晰明了。它還有一些擴(kuò)展的功能，比如可以通過發(fā)現(xiàn)主機(jī)的IP地址或者M(jìn) AC地址動(dòng)態(tài)的配置VLAN，和基于應(yīng)用層、網(wǎng)絡(luò)層協(xié)議對(duì)VLAN進(jìn)行動(dòng)態(tài)分組。

TRAFFICVIEW是基于RMON的流量監(jiān)聽與分析應(yīng)用，可以提供流量分析和發(fā)現(xiàn)網(wǎng)絡(luò)的變化。可以提供給端口和每個(gè)局域網(wǎng)段的流量控制。

以上這兩個(gè)軟件都是基于SNMP協(xié)議，并且對(duì)于常用的網(wǎng)絡(luò)管理軟件如NETVIEW、OPENVIEW、SUNNET MANAGER等等支持性非常好。

8 結(jié) 語

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，VLAN技術(shù)也隨之日益完善，VLAN技術(shù)越來越多的應(yīng)用在局域網(wǎng)中，成為增強(qiáng)網(wǎng)絡(luò)性能提高網(wǎng)絡(luò)安全的好方法。虛擬局域網(wǎng)技術(shù)在網(wǎng)絡(luò)中的重要性也越來越大。

參考文獻(xiàn)：

[1] 盧加元.計(jì)算機(jī)組網(wǎng)技術(shù)與配置[M].北京：清華大學(xué)出版社，2008.