交換機(jī)VLAN技術(shù)在局域網(wǎng)中的應(yīng)用

摘 要：隨著在局域網(wǎng)中計(jì)算機(jī)、交換機(jī)等網(wǎng)絡(luò)設(shè)備數(shù)量的不斷增加，網(wǎng)絡(luò)流量也隨之增大，而網(wǎng)絡(luò)中的廣播風(fēng)暴、安全性等問(wèn)題就凸顯出來(lái)，如果能很好的應(yīng)用交換機(jī)的虛擬局域網(wǎng)（VLAN）技術(shù)就能很大程度的解決這些問(wèn)題。本文介紹了VLAN的相關(guān)知識(shí)，以便能給網(wǎng)絡(luò)管理者以相應(yīng)的啟示。

關(guān)鍵詞：交換機(jī) VLAN技術(shù) 廣播風(fēng)暴 安全性

中圖分類(lèi)號(hào)：G4 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1673-9795（2013）04（b）-0169-01

交換機(jī)在局域網(wǎng)中占有重要的地位，通常是整個(gè)網(wǎng)絡(luò)的核心。而交換機(jī)最重要的作用就是轉(zhuǎn)發(fā)數(shù)據(jù)，保持其高效的數(shù)據(jù)轉(zhuǎn)發(fā)速率，不受到攻擊和干擾，如何能對(duì)訪(fǎng)問(wèn)和存取網(wǎng)絡(luò)信息的用戶(hù)進(jìn)行區(qū)分和權(quán)限控制，還能配合其他網(wǎng)絡(luò)設(shè)備，對(duì)非授權(quán)訪(fǎng)問(wèn)和同網(wǎng)絡(luò)攻擊進(jìn)行阻止。要實(shí)現(xiàn)這些操作就是依賴(lài)對(duì)交換機(jī)實(shí)施設(shè)置而實(shí)現(xiàn)的，其中的VLAN（虛擬局域網(wǎng)）劃分又是其重要所在。VLAN劃分是通過(guò)軟件方法實(shí)現(xiàn)，因此，它具有很高的靈活性。

1 先來(lái)了解VLAN的作用

VLAN是一種在局域網(wǎng)內(nèi)將網(wǎng)絡(luò)從邏輯上劃分成一個(gè)個(gè)不同的網(wǎng)段工作組，從而實(shí)現(xiàn)虛擬工作組的技術(shù)。一個(gè)VLAN就是一個(gè)廣播域，與用戶(hù)主機(jī)的物理位置沒(méi)有關(guān)系。一個(gè)VLAN看不到另一個(gè)VLAN的存在。

VLAN技術(shù)的出現(xiàn)，使得管理員能按管理、工作、重要性需求，把原本一個(gè)物理局域網(wǎng)內(nèi)的不同主機(jī)從邏輯上劃分成不同的廣播域（即VALN），每一個(gè)VLAN都包含一組有著相近需求的主機(jī)，與原本物理上形成的局域網(wǎng)有著相同的屬性。由于它是從邏輯上劃分，而不是在物理上劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)主機(jī)沒(méi)有限制在同一個(gè)物理范圍中，即這些主機(jī)有可能在不同物理局域網(wǎng)網(wǎng)段。由VLAN的特點(diǎn)可知，一個(gè)VLAN內(nèi)部的廣播和單播流都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有效控制網(wǎng)絡(luò)流量、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。它在廣播抑制、安全性、動(dòng)態(tài)組網(wǎng)等方面具有原本一個(gè)物理LAN無(wú)法比擬的優(yōu)越特性。

2 再看VLAN技術(shù)的特點(diǎn)

2.1 簡(jiǎn)化網(wǎng)絡(luò)管理

網(wǎng)管采用VLAN技術(shù)能進(jìn)一步管理整個(gè)局域網(wǎng)絡(luò)。例如，網(wǎng)絡(luò)內(nèi)部主機(jī)用戶(hù)由于工作調(diào)整，人員在部門(mén)間調(diào)動(dòng)，需要將要變動(dòng)的人員的主機(jī)歸入相應(yīng)的新的工作組。如果采用了VLAN技術(shù)，網(wǎng)管只需更改交換機(jī)上的設(shè)置，就能迅速地建立適應(yīng)新需要的VLAN網(wǎng)絡(luò)，不用花時(shí)間和人力去移動(dòng)計(jì)算機(jī)。

2.2 減少網(wǎng)絡(luò)上不必要的廣播，阻止廣播風(fēng)暴

大量的廣播在一個(gè)LAN內(nèi)出現(xiàn)就可以形成廣播風(fēng)暴，VLAN可以提供建立類(lèi)似防火墻的機(jī)制，防止過(guò)量廣播或控制廣播范圍。使用VLAN技術(shù)，可以將某個(gè)交換端口或用戶(hù)賦予某一個(gè)特定的VLAN組，該VLAN組可以在一個(gè)交換機(jī)中，也可以跨接多個(gè)交換機(jī)，在一個(gè)VLAN中的廣播不會(huì)送到別的VLAN。所以就是相鄰的端口如果所屬不同VLAN，也不會(huì)收到其他VLAN產(chǎn)生的廣播。這樣可以減少?gòu)V播流量，降低交換機(jī)通信壓力。

2.3 加強(qiáng)網(wǎng)絡(luò)的安全性

一個(gè)VLAN是一個(gè)單獨(dú)的廣播域，VLAN之間相互隔離，確保了網(wǎng)絡(luò)的安全保密性。人們?cè)诰钟蚓W(wǎng)上經(jīng)常傳送一些需要保密的關(guān)鍵數(shù)據(jù)。一個(gè)有效和容易實(shí)現(xiàn)的方法是將網(wǎng)絡(luò)分段成幾個(gè)不同的廣播域，網(wǎng)管限制了VLAN中主機(jī)用戶(hù)的數(shù)量，禁止未經(jīng)授權(quán)而訪(fǎng)問(wèn)網(wǎng)絡(luò)的用戶(hù)。交換端口可以按應(yīng)用類(lèi)型和訪(fǎng)問(wèn)特權(quán)來(lái)進(jìn)行分組，被限制的資源置于安全性較高的VLAN中。

2.4 便于監(jiān)督網(wǎng)絡(luò)

網(wǎng)絡(luò)監(jiān)督和管理，網(wǎng)管可以通過(guò)網(wǎng)管軟件可以查詢(xún)VLAN間和VLAN內(nèi)通信的數(shù)據(jù)包的分類(lèi)信息，以及應(yīng)用數(shù)據(jù)包的分類(lèi)信息。通過(guò)劃分VLAN可以使網(wǎng)絡(luò)管理變的更加簡(jiǎn)單、有效。

3 VLAN在交換機(jī)上實(shí)現(xiàn)方法

3.1 按端口劃分

按端口劃分的VLAN也稱(chēng)為靜態(tài)VALN，是實(shí)際應(yīng)用中最常見(jiàn)的一種。一臺(tái)或都一組交換機(jī)可以理解成由很多個(gè)交換機(jī)端口組成的，我們就可以其中的端口利用VLAN方法重新分組來(lái)構(gòu)成一個(gè)個(gè)虛擬局域網(wǎng)，相當(dāng)于一個(gè)獨(dú)立LAN。

這種按端口的VLAN配置簡(jiǎn)單可行，可以利用一條命令成組的進(jìn)行操作，有較高的安全性，也便于監(jiān)控，適合主機(jī)相對(duì)固定的場(chǎng)所。所以這種方法缺點(diǎn)在于無(wú)法自動(dòng)解決設(shè)備移動(dòng)，不允許用戶(hù)主機(jī)移動(dòng)，一旦用戶(hù)主機(jī)移動(dòng)到一個(gè)新的位置（更換交換機(jī)端口），網(wǎng)管必須重新配置VLAN。

3.2 按主機(jī)MAC地址劃分VLAN

按主機(jī)MAC地址劃分VLAN，這樣又可以理解成每個(gè)VLAN都是一群MAC地址集合。這種方法可以允許一個(gè)主機(jī)同時(shí)屬于多個(gè)VLAN，當(dāng)主機(jī)在網(wǎng)絡(luò)中移動(dòng)時(shí)（更換交換機(jī)端口），VLAN能自動(dòng)識(shí)別它所屬的VLAN，保留其所屬VLAN的成員身份。

從這種劃分的機(jī)制可以看出，當(dāng)用戶(hù)物理位置移動(dòng)時(shí)，即使從一個(gè)交換機(jī)換到其他的交換機(jī)，都不用重新配置VLAN，因?yàn)樗腔谟脩?hù)，而不是基于交換機(jī)的端口。這種方法的缺點(diǎn)必須查找每一臺(tái)主機(jī)用戶(hù)的MAC再進(jìn)行單個(gè)配置，配置工作量會(huì)很大，所以按主機(jī)用戶(hù)MAC地址劃分VLAN通常適用于小型局域網(wǎng)。

3.3 按IP地址劃分VLAN

按IP地址劃分VLAN是基于第三層（網(wǎng)絡(luò)層）IP子網(wǎng)來(lái)構(gòu)造的VLAN。劃分時(shí)交換機(jī)將每一臺(tái)主機(jī)的MAC地址和它的IP地址對(duì)應(yīng)關(guān)聯(lián)起來(lái)，使用主機(jī)的IP地址來(lái)配置VLAN。這種方法的優(yōu)點(diǎn)是用戶(hù)主機(jī)可以隨意移動(dòng)而不用重新配置IP地址，一個(gè)VLAN可以擴(kuò)展到多個(gè)交換機(jī)端口，也可以用一個(gè)端口來(lái)對(duì)應(yīng)多個(gè)VLAN；缺點(diǎn)三層的交換機(jī)檢查網(wǎng)絡(luò)層地址要花費(fèi)時(shí)間，而維護(hù)地址表也增加管理負(fù)擔(dān)。

3.4 按子網(wǎng)劃分VLAN

IP地址規(guī)定由網(wǎng)絡(luò)號(hào)和主機(jī)號(hào)兩部分組成，網(wǎng)絡(luò)號(hào)表示所在的是哪一個(gè)網(wǎng)絡(luò)（子網(wǎng)），主機(jī)號(hào)表示的是具體網(wǎng)絡(luò)內(nèi)的哪一臺(tái)主機(jī)。一個(gè)子網(wǎng)就是一個(gè)IP組播組，這樣就可以根據(jù)網(wǎng)絡(luò)中不同子網(wǎng)來(lái)劃分每個(gè)VLAN。這種方法靈活，而且也很容易通過(guò)路由進(jìn)行擴(kuò)展，適合于在不同地理范圍的局域網(wǎng)用戶(hù)組成一個(gè)VLAN。

3.5 按策略劃分VLAN。

按策略劃分的VLAN能實(shí)現(xiàn)多種分配方法，包括交換機(jī)端口、MAC地址、IP地址等，可以把不同方法組合成一種新的策略來(lái)劃分VLAN。當(dāng)一個(gè)策略被指定到一個(gè)交換機(jī)，該策略就在整個(gè)網(wǎng)絡(luò)上應(yīng)用。其方法的核心是采用什么樣的策略，網(wǎng)管可根據(jù)實(shí)際情況選擇最合適的方式。

4 結(jié)論

VLAN最大的優(yōu)點(diǎn)就是在不過(guò)多增加網(wǎng)絡(luò)成本的前提下，增加了網(wǎng)絡(luò)管理的靈活性，并且降低了廣播占用的帶寬，維護(hù)和操作比較方便。目前，局域網(wǎng)技術(shù)發(fā)展很快，從傳統(tǒng)LAN發(fā)展到VLAN逐漸趨向動(dòng)態(tài)化，局域網(wǎng)技術(shù)前進(jìn)了一大步，并已經(jīng)得到了廣泛的推廣和應(yīng)用。作為網(wǎng)絡(luò)管理者應(yīng)緊跟網(wǎng)絡(luò)技術(shù)發(fā)展，與時(shí)俱進(jìn)提高網(wǎng)絡(luò)整體性能。本文從VLAN技術(shù)作用和使用方法等方面作了簡(jiǎn)明的闡述，希望能對(duì)關(guān)于網(wǎng)絡(luò)研究和管理感興趣的讀者起到一定的幫助和啟發(fā)作用。

參考文獻(xiàn)

[1]張國(guó)清.網(wǎng)絡(luò)設(shè)備配置與調(diào)試[M].電子工業(yè)出版社，2009.

[2]張選波，王東，等.設(shè)備調(diào)試與網(wǎng)絡(luò)優(yōu)化[M].科學(xué)出版社，2009.

[3]孫波.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)[M].機(jī)械工業(yè)出版社，2010.