高蘭

（西安鐵路職業(yè)技術(shù)學院 陜西 西安 710014）

虛擬局域網(wǎng)VLAN（Virtual Local Area Network）可以解決廣播幀的隔離問題[1]，是為解決以太網(wǎng)的廣播問題和安全性而提出的。VLAN技術(shù)允許網(wǎng)絡(luò)管理員將一個物理的LAN用VLAN ID把用戶邏輯地劃分成不同的廣播域，每一個VLAN都包含一組有著相同需求的計算機，與物理上形成的LAN有著相同的屬性。

出于安全等因素的考慮，為了使同一個部門的計算機可以相互訪問、信息共享，不同部門的計算機不能互訪，可將每個交換機上連接的同一部門的計算機的端口劃分到一個虛擬網(wǎng)（VLAN2）中，將另外部門的計算機的端口劃分到另一個虛擬網(wǎng)（VLAN3）中。

1 利用HUAWEI Quidaway S2016交換機進行Vlan劃分的配置

H1與H3劃分為同一個Vlan2，虛擬局域網(wǎng)的劃分如圖1所示，現(xiàn)要將同一個部門的H2與H4劃分到同一個Vlan3中。

利用RJ－45接口的雙絞線將交換機與若干臺計算機進行物理連接。并用交換機專用線將交換機A的console口與計算機H1相連接。

程序—附件—通訊—超級終端，如圖2，輸入連接說明的名稱：Switch－確定，在如圖3中選擇 COM1端口－確定。打開圖3 COM1屬性窗口，如圖4，點擊“還原為默認值”—確定[2]。

圖1 VLAN劃分拓撲圖Fig.1 The topology of VLAN divide

進入Switch－超級終端界面?？梢钥吹焦鈽说拈W爍，按回車鍵。出現(xiàn)＜Quidway＞提示符，現(xiàn)在可以對交換機A進行配置。

圖2 連接描述窗口Fig.2 The window of link describe

圖3 連接選項窗口Fig.3 The window of link option

圖4 COM1屬性窗口Fig.4 The window of COM1 property

圖5 交換機配置操作窗口Fig.5 The window of switch configure

關(guān)閉Switch A配置窗口。

同理，用交換機專用線將交換機B的console口與計算機H1相連接，可進行Switch B的配置。要注意干路端口的設(shè)置。

2 設(shè)置計算機的IP地址

對計算機H1進行IP地址的設(shè)置，如將其IP地址設(shè)為192.168.2.101。右擊桌面上的網(wǎng)上鄰居—屬性，進入網(wǎng)絡(luò)連接窗口界面，右擊本地連接—屬性，進入本地連接屬性窗口。選擇 Internet協(xié)議（Tcp/Ip）—屬性，進入 Internet協(xié)議（Tcp/Ip）屬性窗口[3]。在這里，將IP地址設(shè)為192.168.2.101，子網(wǎng)掩碼設(shè)為255.255.255.0，默認網(wǎng)關(guān)設(shè)為192.168.2.1。

同理，分別配置其他3臺計算機H2、H3、H4的IP地址為：192.168.2.102、192.168.2.103、192.168.2.104。

至此，兩個虛擬局域網(wǎng)按要求劃分配置完成。

基于端口的VLAN劃分的優(yōu)點是配置相對簡單，對交換機轉(zhuǎn)發(fā)性能幾乎沒有影響。其缺點是需要為每個交換機端口配置所屬的VLAN，一旦用戶移動位置，可能需要網(wǎng)絡(luò)管理員對交換機相應(yīng)端口進行重新設(shè)置[4]。

3 Vlan的驗證與信息的安全共享

3.1 Ping命令測試

Ping命令是一個測試程序，在安裝了TCP/IP協(xié)議之后，就可以利用ping命令來驗證與網(wǎng)絡(luò)中其他計算機的連接。根據(jù)返回信息，就可以推斷TCP/IP參數(shù)設(shè)置是否正確，網(wǎng)絡(luò)運行是否正常，如果某些ping命令出現(xiàn)運行故障，它也可以提示到任務(wù)處去查找問題[5]。

利用計算機H1分別對其他3臺計算機進行ping命令測試，同一VLAN中的計算機可以ping成功，不同VLAN的計算機ping不通。H1可以ping通H3，但ping不通H2和H4。

如，在H1計算機上操作[6]：開始—運行—cmd—確定，在光標提示符后輸入ping 192.168.2.102—回車，顯示為Request time out。但如果輸入ping 192.168.2.103—回車，顯示可以ping通，說明VLAN劃分成功。

在網(wǎng)上鄰居中查找計算機，只能看到同一個 VLAN中的計算機，其他的看不到。如，計算機H1在網(wǎng)上鄰居中只能看到H3，看不到H2和H4。同理，計算機H2只能在網(wǎng)上鄰居中看到H4，看不到H1和H3。

3.2 發(fā)送信息

使用net send命令給同一vlan和不同vlan中的計算機發(fā)送信息[7]。先對將要進行通信的電腦進入相應(yīng)設(shè)置，因為，多數(shù)操作系統(tǒng)的信使服務(wù)默認是禁用的。

在“我的電腦”上右擊—管理，進入計算機管理界面—雙擊 “服務(wù)和應(yīng)用程序”—單擊 “服務(wù)”—在名稱列表中找到messenger—雙擊“messenger”，進入 messenger屬性窗口—將啟動類型的“已禁用”改為“自動”—應(yīng)用—啟動—確定，啟動了信使服務(wù)。

單擊“開始”菜單，點擊“運行”后，在運行對話框中輸入“cmd”，確定，在光標提示符后輸入net send IP地址 發(fā)送共享信息的文字。如，net send 192.168.2.120請上交部門年度財務(wù)預(yù)算，回車。

可以看到同一VLAN中，對方計算機上出現(xiàn)接收到消息內(nèi)容窗口。而不同VLAN中的計算機收不到消息，這樣就實現(xiàn)了重要信息的定向到達。

3.3 VLAN中的廣播

在上述啟用messenger服務(wù)的狀態(tài)下，開始—運行—cmd—確定，在光標提示符后輸入net send*發(fā)送共享信息的文字。如，net send*重要通知：下午2：00在第一會議室召開人事任免會議，回車。

可以看到同一VLAN中，所有計算機上出現(xiàn)接收到消息內(nèi)容窗口。而不同VLAN中的計算機收不到信息。利用這一操作，可以在同一VLAN中發(fā)送的通知信息，而不被其他VLAN的計算機接收，從而實現(xiàn)了信息的安全共享。

3.4 共享文件夾

在某計算機上設(shè)置共享文件夾，同一VLAN中的計算機可以打開共享文件夾，不同VLAN計算機看不到共享文件夾。

雙擊網(wǎng)上鄰居—打開相應(yīng)的工作組，可以看到同一VLAN中的共享文件夾，并可對它進行訪問。以上測試，驗證了VLAN的劃分可以滿足實際應(yīng)用中同一個部門的計算機可以相互訪問、信息共享，不同部門的計算機不能互訪網(wǎng)絡(luò)安全的要求。

4 結(jié)束語

以上虛擬局域網(wǎng)的劃分，可以有效地保證部門間的信息共享與信息安全。網(wǎng)絡(luò)設(shè)備具有"虛擬"的重新配置網(wǎng)絡(luò)的能力[6]，如果網(wǎng)絡(luò)用戶間的通信關(guān)系有所改變，只需要網(wǎng)絡(luò)管理員通過交換機控制臺的操作，對需要重新分配用戶關(guān)系計算機物理端口間重新建立新的虛擬局域網(wǎng)即可。

[1]高傳善，毛迪林，王雪平，等.計算機網(wǎng)絡(luò)[M].1版.北京：人民郵電出版社，2002：154.

[2]眭碧霞.計算機網(wǎng)絡(luò)實訓[M].1版.北京：機械工業(yè)出版社，2005：162-163.

[3]邢彥辰.計算機網(wǎng)絡(luò)與通信[M].1版.北京：人民郵電出版社，2008：249.

[4]孫秀英.路由交換技術(shù)與應(yīng)用[M].1版.西安：西安電子科技大學出版社，2009：120.

[5]舒云星.計算機網(wǎng)絡(luò)技術(shù)基礎(chǔ)[M].1版.武漢：武漢理工大學出版社，2005：89.

[6]江錦祥.計算機網(wǎng)絡(luò)與應(yīng)用[M].2版.北京：科學出版社，2009：151.

[7]宋慶大，李冬，徐天野.計算機網(wǎng)絡(luò)安全問題和對策研究[J].現(xiàn)代電子技術(shù)，2009（21）：93-95，98.

SONG Qing-da，LI Dong，XU Tian-ye.Security problems and countermeasure research of computer network[J].Modern Electronics Technique，2009（21）：93-95，98.