局域網(wǎng)中的 VLAN 技術(shù)與應(yīng)用

胡霄

摘要：虛擬局域網(wǎng)（VLAN）是一種將局域網(wǎng)內(nèi)的設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)“虛擬工作組“的技術(shù)，它在以太網(wǎng)幀的基礎(chǔ)上增加VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的二層互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)，有效限制廣播范圍，增強(qiáng)了局域網(wǎng)的安全性。本文介紹了VLAN的概念、原理以及優(yōu)點(diǎn)，闡述VLAN技術(shù)在局域網(wǎng)中的應(yīng)用。

關(guān)鍵詞：局域網(wǎng)；VLAN；廣播風(fēng)暴；交換機(jī)；應(yīng)用

一、VLAN技術(shù)概述

VLAN（Virtual Local Area Network）的中文名為”虛擬局域網(wǎng)”。IEEE于1999年頒布了用于標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案，統(tǒng)一了不同廠商的幀標(biāo)簽格式形成的802.1Q標(biāo)準(zhǔn)在業(yè)界中獲得了廣泛的推廣。虛擬局域網(wǎng)（VLAN）是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門及應(yīng)用等因素將它們組織起來(lái)，好像它們?cè)谕籐AN上互相通信，而不同VLAN之間則是相互隔離的，所以一個(gè)VLAN內(nèi)部的廣播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，有效的節(jié)省寬帶，并且可以簡(jiǎn)化網(wǎng)絡(luò)的管理及提高網(wǎng)絡(luò)的安全性。

二、VLAN技術(shù)的特點(diǎn)

（一）簡(jiǎn)化網(wǎng)絡(luò)管理

對(duì)于交換式以太網(wǎng)，如果對(duì)用戶重新進(jìn)行網(wǎng)段分配，需要網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進(jìn)行調(diào)整，有可能還要追加設(shè)備，增加網(wǎng)絡(luò)管理的工作量，對(duì)于采用VLAN技術(shù)的網(wǎng)絡(luò)，可以將不同物理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段，在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。減輕了網(wǎng)絡(luò)管理員的工作負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費(fèi)用。

（二） 控制廣播數(shù)據(jù)

一個(gè)VLAN就是一個(gè)邏輯廣播域，通過(guò)對(duì)VLAN的創(chuàng)建隔離了廣播，縮小了廣播范圍，可以控制廣播風(fēng)暴的產(chǎn)生，從而保障了信息傳輸?shù)乃俣群托省?/p>

（三）提高網(wǎng)絡(luò)的安全

傳統(tǒng)局域網(wǎng)難以保證網(wǎng)絡(luò)的安全性，因?yàn)橹灰脩舻挠?jì)算機(jī)接入可以上網(wǎng)的端口，就能直接訪問(wèn)網(wǎng)絡(luò)。通過(guò)VLAN提供的安全機(jī)制，可以限制特定用戶的訪問(wèn)，控制廣播組的大小和位置，鎖定網(wǎng)絡(luò)成員的MAC地址，限制未經(jīng)安全許可的用戶和網(wǎng)絡(luò)成員對(duì)網(wǎng)絡(luò)的使用，提高網(wǎng)絡(luò)的安全系數(shù)。

三、VLAN的劃分

在局域網(wǎng)中VLAN的劃分方法有很多中，本文主要介紹最常用的二種方法：

（一）基于端口劃分的VLAN

這是最常用的一種VLAN劃分方法，也是應(yīng)用最為廣泛、最有效，目前絕大多數(shù)VLAN協(xié)議的交換機(jī)都提供這種VLAN配置方法。這種劃分VLAN的方法是基于端口為依據(jù)，就可以進(jìn)行VLAN劃分，這個(gè)過(guò)程不需要借助物理設(shè)備，只需要對(duì)設(shè)備交換端口進(jìn)行重新分配即可。優(yōu)點(diǎn)在于定義VLAN非常簡(jiǎn)單，網(wǎng)絡(luò)規(guī)模大小都合適使用，不足之處是不夠靈活，如果VLAN中某用戶離開(kāi)原來(lái)的端口到一個(gè)新的交換端口，就必須重新配置變更的端口。

（二）基于MAC地址劃分VLAN

MAC地址是連接在網(wǎng)絡(luò)中每個(gè)設(shè)備網(wǎng)卡的物理地址，對(duì)每個(gè)MAC地址的主機(jī)都配置它屬于哪個(gè)組，這種劃分VLAN的方法優(yōu)點(diǎn)是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN不用重新配置，缺點(diǎn)也很明顯，就是在初始化時(shí)，所有的用戶都必須配置，如果網(wǎng)絡(luò)中用戶很多的話，那么配置就很繁瑣，而且這種劃法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，當(dāng)用戶跟新網(wǎng)卡后，還需要重新配置。

四、結(jié)語(yǔ)

VLAN技術(shù)使用，可以在方便網(wǎng)絡(luò)用戶管理，減少網(wǎng)絡(luò)管理開(kāi)銷，增加網(wǎng)絡(luò)連接的靈活性，控制流量，減少設(shè)備投資，提高網(wǎng)絡(luò)的安全性及改善網(wǎng)絡(luò)服務(wù)質(zhì)量等方面提供很大幫助。

參考文獻(xiàn)：

[1] 徐雪鵬. 創(chuàng)建高級(jí)交換型互聯(lián)網(wǎng)實(shí)訓(xùn)手冊(cè) 第二版. 機(jī)械工業(yè)出版社 ， 2017.2

[2]王慧. 虛擬局域網(wǎng)（VLAN）的實(shí)際應(yīng)用[J]. 科學(xué)技術(shù)創(chuàng)新， 2011（36）：108-108