VLAN技術研究及其在網(wǎng)絡管理中的應用

史穗宗

摘 要：VLAN技術為網(wǎng)絡應用和網(wǎng)絡管理提供了一種有效的解決方案，它不僅優(yōu)化了網(wǎng)絡的性能，而且還增加了網(wǎng)絡管理的靈活性和網(wǎng)絡的安全性。本文通過對VLAN技術研究，進而探討其在網(wǎng)絡管理中的應用。

關鍵詞：VLAN技術；網(wǎng)絡管理；虛擬局域網(wǎng)；企業(yè)網(wǎng)

1 VLAN技術在網(wǎng)絡管理中的優(yōu)勢

1.控制廣播風暴，提高網(wǎng)絡性能

局域網(wǎng)中廣播通信很多。廣播流量在通過交換機時，將向交換機的各個端口擴散，從而給網(wǎng)絡帶來潛在的流量負擔，并延誤了其它流量的通信，更為嚴重的是，當交換網(wǎng)絡被廣播報文充滿時即形成廣播風暴，用戶就無法正常使用網(wǎng)絡。對于網(wǎng)絡廣播風暴的控制主要有物理網(wǎng)絡分段和邏輯分段兩種方式，前者是利用路由器，后者即使用VLAN技術。后者更靈活，效率更高。

2.簡化網(wǎng)絡管理，有利于控制管理成本

VLAN劃分有利于控制管理成本。對于沒有劃分VLAN的交換式以太網(wǎng)，如果對某些用戶進行新的網(wǎng)段劃分，則需要網(wǎng)絡管理員對該網(wǎng)絡系統(tǒng)的物理結(jié)構(gòu)進行再一次的調(diào)整，搬動設備，甚至于需要額外增加網(wǎng)絡設備，從而增加了網(wǎng)絡管理的成本。目前，網(wǎng)管軟件可靈活、方便地劃分VLAN，圖形化界面隱藏了設計、配置和管理VLAN的復雜性，減少了網(wǎng)絡管理帶來的開銷。

3.提高了網(wǎng)絡的整體安全性

建立VLAN后，同一VLAN內(nèi)的計算機之間直接通信，不同VLAN間的通信要通過路由器的網(wǎng)關進行路由選擇，這樣不僅隔離了基于廣播的信息，網(wǎng)絡管理員還可以通過利用IOS ACL、VLAN ACL等技術實現(xiàn)VLAN之間的訪問控制，訪問控制可以是基于IP地址、協(xié)議、端口、甚至是MAC地址的，可以是單向的也可以是雙向的，可以是VLAN之間的也可以是VLAN內(nèi)部。網(wǎng)絡管理員可以基于應用類型和訪問特權進行邏輯工作組的劃分，被限制的應用程序和資源一般置于安全的VLAN。

4.一定程度上控制了網(wǎng)絡內(nèi)部IP地址的盜用

目前，園區(qū)網(wǎng)絡具有終端用戶節(jié)點數(shù)量多的特點，用戶數(shù)量的增多使得網(wǎng)絡IP地址盜用亦相應增加，嚴重影響了網(wǎng)絡的正常使用。在建立VLAN后，網(wǎng)內(nèi)任何一臺計算機的IP地址均必須在分配給該VLAN的IP地址范圍內(nèi)，否則將無法通過路由器的審核，因而也就不能進行通信。如此，就能有效地將IP地址的盜用控制在一個VLAN之內(nèi)。

2 VLAN的類型及劃分原則

1.基于物理端口的VLAN劃分

基于端口的劃分方式是最簡單也是最常用的，這種劃分是把一個或多個交換機上的幾個端口劃分成一個邏輯組，該方法只需網(wǎng)絡管理員對網(wǎng)絡設備的交換端口進行重新分配即可一，不用考慮該端口所連接的設備，目前絕大多數(shù)廠商的交換產(chǎn)品均支持這一功能。

2.基于MAC地址的VLAN劃分

基于MAC地址進行VLAN劃分，突破了地域限制，也可以理解為是基于用戶策略的劃分方法，方便了用戶的移動辦公，即一個用戶從網(wǎng)絡的一個地方移至另一個地方，其計算機設置及整個網(wǎng)絡設置不用任何變化，重新接入網(wǎng)絡即可使用，用戶仍屬于原有的VLAN。這種劃分方法還允許一個用戶即一個MAC地址屬于多個VLAN，增加了網(wǎng)絡邏輯劃分的靈活性。其缺點在于收集用戶MAC地址及利用這些地址進行設置的工作還是非常繁瑣的，用戶需要追加網(wǎng)絡設置。當然，現(xiàn)在交換機廠家一般提供圖形化管理工具。

3.基于協(xié)議的VLAN劃分

基于協(xié)議的VLAN劃分即基于OSI的第三層網(wǎng)絡層來劃分VLAN。如運行IP協(xié)議的用戶劃分成一個VLAN，運行IPX協(xié)議的用戶劃分成另一個VLAN。支持這種劃分策略的交換機必須能讀懂數(shù)據(jù)包的第三層信息，分清楚數(shù)據(jù)包的協(xié)議類型。在某些情況下這種劃分方法還是很有用的，如在一個大型網(wǎng)絡中，由于歷史的因素，有多種網(wǎng)絡協(xié)議類型存在，將IPX協(xié)議用戶劃分在一個VLAN中，可以將IPX產(chǎn)生的SAP（Service Advertisement Protocol）廣播控制在一定范圍，提高網(wǎng)絡通信的性能。在實際應用中，這種劃分方法一般與基于MAC地址、基于IP的劃分方法混合使用，使得網(wǎng)絡管理更加靈活。

4.基于IP的VLAN劃分

更加高級的基于第三層的VLAN劃分方法是基于IP的VLAN劃分，主要應用在TCP/IP網(wǎng)絡中。支持這種劃分方法的交換機需要讀懂第三層信息即支持第三層交換，如讀懂數(shù)據(jù)包的IP地址，當然交換機并不進行路由，只是判斷數(shù)據(jù)包的目的地址，送到交換機相應端口。IP網(wǎng)絡中，通過IP地址及子網(wǎng)掩碼可以決定一臺計算機所屬的邏輯網(wǎng)段，但在二層交換網(wǎng)絡中，廣播數(shù)據(jù)并未被控制在邏輯網(wǎng)段內(nèi)，整個物理網(wǎng)段的計算機都會接收到廣播數(shù)據(jù)包，只不過接收方會簡單地丟棄不屬于自己的數(shù)據(jù)包?；贗P地址劃分VLAN，可以將廣播控制在一定的邏輯網(wǎng)段內(nèi)。

3 案例應用研究

1.實例

校園網(wǎng)是學校實現(xiàn)數(shù)字化校園和現(xiàn)代化教學（如無紙化辦公、無紙化考試、遠程教學等）的基礎。隨著各學校的不斷發(fā)展及計算機技術的普及應用，為了適應時代發(fā)展的新需求，學校的網(wǎng)絡系統(tǒng)也需要逐步進行升級改造。下面以我校的教學區(qū)為例。

1.1 需求分析

目前我校有5個系及其他職能部門，為了將其納入整個校園網(wǎng)系統(tǒng)進行集中統(tǒng)一規(guī)劃和管理，需要采用統(tǒng)一的通信協(xié)議、路由協(xié)議；主干網(wǎng)從高速交換鏈路連接各子網(wǎng)；各子網(wǎng)內(nèi)部為交換網(wǎng)絡，形成兩個層次的平面網(wǎng)絡；主干網(wǎng)包括高速交換機、VLAN路由等。

1.2 VLAN規(guī)劃

根據(jù)我校的實際需求情況，目前將整個校園網(wǎng)絡劃分為8個VLAN。其VLAN劃分如表2：

1.3 設備選擇

校園網(wǎng)核心交換機采用STAR-S5610，其二級交換機STAR-S2024M，而且STAR-S2024M具有堆疊能力，可以隨時擴充工作站容量，并且支持PortVLAN和802.1Q TagVLAN兩種VLAN模式，完全滿足目前我校對網(wǎng)絡的各項需求。

1.4 VLAN設計

根據(jù)需求分析按系部和職能部門來劃分VLAN，以保證各個部門之間的隔離性和安全性，其拓撲結(jié)構(gòu)如圖2所示。設計原則：（1）劃分VLAN根據(jù)：由于學校各部門的地理位置不同，對網(wǎng)絡需求也不盡相同，所以對VLAN的劃分采取按部門劃分為主，按地理位置劃分為輔的方法。對具有相同工作性質(zhì)的部門，劃分在同一VLAN中；（2）靈活性：VLAN根據(jù)校園網(wǎng)拓撲結(jié)構(gòu)和應用需求的變化而進行調(diào)整；（3）安全性：將有特殊要求的部門劃分在特殊的VLAN中。隔離監(jiān)聽，防止廣播風暴產(chǎn)生。（4）經(jīng)濟性與可擴充性：在滿足學校各需求的前提下，盡量選用性價比高的網(wǎng)絡設備和服務器。

4 結(jié)束語

本文深入分析了VLAN技術的特點極其在網(wǎng)絡管理中的優(yōu)勢，并通過案例應用闡述了VLAN技術在網(wǎng)絡管理中的應用。隨著企業(yè)及學校的不斷發(fā)展壯大，網(wǎng)絡用戶也將隨之增多，如何對企業(yè)及校園網(wǎng)絡進行科學有效的管理是每一位網(wǎng)絡管理員都要面對的重要課題。VLAN 作為一種新型的網(wǎng)絡技術，突破了地域的限制，在網(wǎng)絡管理中具有管理便捷性、網(wǎng)絡安全性、網(wǎng)絡配置靈活、功能易拓展性以及按需劃分網(wǎng)段等特點，因此具有巨大的發(fā)展空間和良好的應用前景。

參考文獻

[1]徐超汗.計算機網(wǎng)絡及其解決方案[M].北京：電子工業(yè)出版社，1999.

[2]Karen Webb.組建CISCO分層交換網(wǎng)絡[M].北京：人民郵電出版社，2000.