摘 要：隨著在局域網(wǎng)中計算機(jī)、交換機(jī)等網(wǎng)絡(luò)設(shè)備數(shù)量的不斷增加，網(wǎng)絡(luò)流量也隨之增大，而網(wǎng)絡(luò)中的廣播風(fēng)暴、安全性等問題就凸顯出來，如果能很好的應(yīng)用交換機(jī)的虛擬局域網(wǎng)（VLAN）技術(shù)就能很大程度的解決這些問題。本文介紹了VLAN的相關(guān)知識，以便能給網(wǎng)絡(luò)管理者以相應(yīng)的啟示。

關(guān)鍵詞：交換機(jī) VLAN技術(shù) 廣播風(fēng)暴 安全性

中圖分類號：G4 文獻(xiàn)標(biāo)識碼：A 文章編號：1673-9795（2013）04（b）-0169-01

交換機(jī)在局域網(wǎng)中占有重要的地位，通常是整個網(wǎng)絡(luò)的核心。而交換機(jī)最重要的作用就是轉(zhuǎn)發(fā)數(shù)據(jù)，保持其高效的數(shù)據(jù)轉(zhuǎn)發(fā)速率，不受到攻擊和干擾，如何能對訪問和存取網(wǎng)絡(luò)信息的用戶進(jìn)行區(qū)分和權(quán)限控制，還能配合其他網(wǎng)絡(luò)設(shè)備，對非授權(quán)訪問和同網(wǎng)絡(luò)攻擊進(jìn)行阻止。要實(shí)現(xiàn)這些操作就是依賴對交換機(jī)實(shí)施設(shè)置而實(shí)現(xiàn)的，其中的VLAN（虛擬局域網(wǎng)）劃分又是其重要所在。VLAN劃分是通過軟件方法實(shí)現(xiàn)，因此，它具有很高的靈活性。

1 先來了解VLAN的作用

VLAN是一種在局域網(wǎng)內(nèi)將網(wǎng)絡(luò)從邏輯上劃分成一個個不同的網(wǎng)段工作組，從而實(shí)現(xiàn)虛擬工作組的技術(shù)。一個VLAN就是一個廣播域，與用戶主機(jī)的物理位置沒有關(guān)系。一個VLAN看不到另一個VLAN的存在。

VLAN技術(shù)的出現(xiàn)，使得管理員能按管理、工作、重要性需求，把原本一個物理局域網(wǎng)內(nèi)的不同主機(jī)從邏輯上劃分成不同的廣播域（即VALN），每一個VLAN都包含一組有著相近需求的主機(jī)，與原本物理上形成的局域網(wǎng)有著相同的屬性。由于它是從邏輯上劃分，而不是在物理上劃分，所以同一個VLAN內(nèi)的各個主機(jī)沒有限制在同一個物理范圍中，即這些主機(jī)有可能在不同物理局域網(wǎng)網(wǎng)段。由VLAN的特點(diǎn)可知，一個VLAN內(nèi)部的廣播和單播流都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有效控制網(wǎng)絡(luò)流量、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。它在廣播抑制、安全性、動態(tài)組網(wǎng)等方面具有原本一個物理LAN無法比擬的優(yōu)越特性。

2 再看VLAN技術(shù)的特點(diǎn)

2.1 簡化網(wǎng)絡(luò)管理

網(wǎng)管采用VLAN技術(shù)能進(jìn)一步管理整個局域網(wǎng)絡(luò)。例如，網(wǎng)絡(luò)內(nèi)部主機(jī)用戶由于工作調(diào)整，人員在部門間調(diào)動，需要將要變動的人員的主機(jī)歸入相應(yīng)的新的工作組。如果采用了VLAN技術(shù)，網(wǎng)管只需更改交換機(jī)上的設(shè)置，就能迅速地建立適應(yīng)新需要的VLAN網(wǎng)絡(luò)，不用花時間和人力去移動計算機(jī)。

2.2 減少網(wǎng)絡(luò)上不必要的廣播，阻止廣播風(fēng)暴

大量的廣播在一個LAN內(nèi)出現(xiàn)就可以形成廣播風(fēng)暴，VLAN可以提供建立類似防火墻的機(jī)制，防止過量廣播或控制廣播范圍。使用VLAN技術(shù)，可以將某個交換端口或用戶賦予某一個特定的VLAN組，該VLAN組可以在一個交換機(jī)中，也可以跨接多個交換機(jī)，在一個VLAN中的廣播不會送到別的VLAN。所以就是相鄰的端口如果所屬不同VLAN，也不會收到其他VLAN產(chǎn)生的廣播。這樣可以減少廣播流量，降低交換機(jī)通信壓力。

2.3 加強(qiáng)網(wǎng)絡(luò)的安全性

一個VLAN是一個單獨(dú)的廣播域，VLAN之間相互隔離，確保了網(wǎng)絡(luò)的安全保密性。人們在局域網(wǎng)上經(jīng)常傳送一些需要保密的關(guān)鍵數(shù)據(jù)。一個有效和容易實(shí)現(xiàn)的方法是將網(wǎng)絡(luò)分段成幾個不同的廣播域，網(wǎng)管限制了VLAN中主機(jī)用戶的數(shù)量，禁止未經(jīng)授權(quán)而訪問網(wǎng)絡(luò)的用戶。交換端口可以按應(yīng)用類型和訪問特權(quán)來進(jìn)行分組，被限制的資源置于安全性較高的VLAN中。

2.4 便于監(jiān)督網(wǎng)絡(luò)

網(wǎng)絡(luò)監(jiān)督和管理，網(wǎng)管可以通過網(wǎng)管軟件可以查詢VLAN間和VLAN內(nèi)通信的數(shù)據(jù)包的分類信息，以及應(yīng)用數(shù)據(jù)包的分類信息。通過劃分VLAN可以使網(wǎng)絡(luò)管理變的更加簡單、有效。

3 VLAN在交換機(jī)上實(shí)現(xiàn)方法

3.1 按端口劃分

按端口劃分的VLAN也稱為靜態(tài)VALN，是實(shí)際應(yīng)用中最常見的一種。一臺或都一組交換機(jī)可以理解成由很多個交換機(jī)端口組成的，我們就可以其中的端口利用VLAN方法重新分組來構(gòu)成一個個虛擬局域網(wǎng)，相當(dāng)于一個獨(dú)立LAN。

這種按端口的VLAN配置簡單可行，可以利用一條命令成組的進(jìn)行操作，有較高的安全性，也便于監(jiān)控，適合主機(jī)相對固定的場所。所以這種方法缺點(diǎn)在于無法自動解決設(shè)備移動，不允許用戶主機(jī)移動，一旦用戶主機(jī)移動到一個新的位置（更換交換機(jī)端口），網(wǎng)管必須重新配置VLAN。

3.2 按主機(jī)MAC地址劃分VLAN

按主機(jī)MAC地址劃分VLAN，這樣又可以理解成每個VLAN都是一群MAC地址集合。這種方法可以允許一個主機(jī)同時屬于多個VLAN，當(dāng)主機(jī)在網(wǎng)絡(luò)中移動時（更換交換機(jī)端口），VLAN能自動識別它所屬的VLAN，保留其所屬VLAN的成員身份。

從這種劃分的機(jī)制可以看出，當(dāng)用戶物理位置移動時，即使從一個交換機(jī)換到其他的交換機(jī)，都不用重新配置VLAN，因?yàn)樗腔谟脩?，而不是基于交換機(jī)的端口。這種方法的缺點(diǎn)必須查找每一臺主機(jī)用戶的MAC再進(jìn)行單個配置，配置工作量會很大，所以按主機(jī)用戶MAC地址劃分VLAN通常適用于小型局域網(wǎng)。

3.3 按IP地址劃分VLAN

按IP地址劃分VLAN是基于第三層（網(wǎng)絡(luò)層）IP子網(wǎng)來構(gòu)造的VLAN。劃分時交換機(jī)將每一臺主機(jī)的MAC地址和它的IP地址對應(yīng)關(guān)聯(lián)起來，使用主機(jī)的IP地址來配置VLAN。這種方法的優(yōu)點(diǎn)是用戶主機(jī)可以隨意移動而不用重新配置IP地址，一個VLAN可以擴(kuò)展到多個交換機(jī)端口，也可以用一個端口來對應(yīng)多個VLAN；缺點(diǎn)三層的交換機(jī)檢查網(wǎng)絡(luò)層地址要花費(fèi)時間，而維護(hù)地址表也增加管理負(fù)擔(dān)。

3.4 按子網(wǎng)劃分VLAN

IP地址規(guī)定由網(wǎng)絡(luò)號和主機(jī)號兩部分組成，網(wǎng)絡(luò)號表示所在的是哪一個網(wǎng)絡(luò)（子網(wǎng)），主機(jī)號表示的是具體網(wǎng)絡(luò)內(nèi)的哪一臺主機(jī)。一個子網(wǎng)就是一個IP組播組，這樣就可以根據(jù)網(wǎng)絡(luò)中不同子網(wǎng)來劃分每個VLAN。這種方法靈活，而且也很容易通過路由進(jìn)行擴(kuò)展，適合于在不同地理范圍的局域網(wǎng)用戶組成一個VLAN。

3.5 按策略劃分VLAN。

按策略劃分的VLAN能實(shí)現(xiàn)多種分配方法，包括交換機(jī)端口、MAC地址、IP地址等，可以把不同方法組合成一種新的策略來劃分VLAN。當(dāng)一個策略被指定到一個交換機(jī)，該策略就在整個網(wǎng)絡(luò)上應(yīng)用。其方法的核心是采用什么樣的策略，網(wǎng)管可根據(jù)實(shí)際情況選擇最合適的方式。

4 結(jié)論

VLAN最大的優(yōu)點(diǎn)就是在不過多增加網(wǎng)絡(luò)成本的前提下，增加了網(wǎng)絡(luò)管理的靈活性，并且降低了廣播占用的帶寬，維護(hù)和操作比較方便。目前，局域網(wǎng)技術(shù)發(fā)展很快，從傳統(tǒng)LAN發(fā)展到VLAN逐漸趨向動態(tài)化，局域網(wǎng)技術(shù)前進(jìn)了一大步，并已經(jīng)得到了廣泛的推廣和應(yīng)用。作為網(wǎng)絡(luò)管理者應(yīng)緊跟網(wǎng)絡(luò)技術(shù)發(fā)展，與時俱進(jìn)提高網(wǎng)絡(luò)整體性能。本文從VLAN技術(shù)作用和使用方法等方面作了簡明的闡述，希望能對關(guān)于網(wǎng)絡(luò)研究和管理感興趣的讀者起到一定的幫助和啟發(fā)作用。

參考文獻(xiàn)

[1]張國清.網(wǎng)絡(luò)設(shè)備配置與調(diào)試[M].電子工業(yè)出版社，2009.

[2]張選波，王東，等.設(shè)備調(diào)試與網(wǎng)絡(luò)優(yōu)化[M].科學(xué)出版社，2009.

[3]孫波.計算機(jī)網(wǎng)絡(luò)技術(shù)[M].機(jī)械工業(yè)出版社，2010.