【摘 要】VLAN是英文Virtual Local Area Network 的簡稱，中文即虛擬局域網(wǎng)，它利用相關網(wǎng)絡管理軟件將一個物理網(wǎng)段劃分成可以跨越不同網(wǎng)段、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡。本文從理論角度出發(fā)，從幾個方面闡述了VLAN在內網(wǎng)中的重要性及管理應用。

【關鍵詞】VLAN技術；網(wǎng)絡管理；應用

VLAN即虛擬局域網(wǎng)，它是指處于不同物理位置的節(jié)點根據(jù)需要組成不同的邏輯子網(wǎng)，即一個VLAN 就是一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡設備。VLAN 允許處于不同地理位置的網(wǎng)絡用戶加入到一個邏輯子網(wǎng)中，共享一個廣播域。通過對VLAN 的創(chuàng)建可以控制廣播風暴的產(chǎn)生，從而提高交換式網(wǎng)絡的整體性能和安全性。同一個VLAN 中的端口可以接受VLAN 中的廣播包，別的VLAN 中的端口則接收不到。

一、局域網(wǎng)中VLAN的通信原理

使用VLAN的關鍵是交換機能夠區(qū)分來自不同VLAN的數(shù)據(jù)流，并且按照VLAN將他們轉發(fā)出去。傳統(tǒng)的以太網(wǎng)不能對VLAN或子網(wǎng)進行標記，因為它認為該信息是第三層的信息。在VLAN環(huán)境中使用幀頭中的幀標記來了解數(shù)據(jù)幀屬于哪個VLAN，交換機為每個VLAN建立一個MAC地址表，當交換機確定數(shù)據(jù)幀來自某個VLAN后，就到那個VLAN對應的MAC地址表中去查詢、轉發(fā)。

二、VLAN在網(wǎng)絡管理中的應用

集團公司下屬公司多，業(yè)務種類多，根據(jù)業(yè)務發(fā)展需要，經(jīng)過認真規(guī)劃，將聯(lián)網(wǎng)后的統(tǒng)一網(wǎng)絡劃分為30個VLAN。劃分原則為：集團本部以樓層為單位進行VLAN 劃分，各下屬公司以業(yè)務的不同來劃分VLAN，不同的VLAN具有不同的安全級別。其中生產(chǎn)用機及各種服務器所在的VLAN 具有的安全級別較高。同時利用路由器自身的訪問控制功能，設置訪問列表對特定的VLAN用戶進行保護，對特定的端口135、445、1434等進行控制，保證了整個網(wǎng)絡中各個VLAN 用戶的安全隔離。VLAN劃分的有4種策略：基于端口的VLAN劃分、基于MAC地址的VLAN劃分、基于路由的VLAN 劃分、基于策略的VLAN 劃分。該集團采用的方式是基于端口的VLAN劃分的方式。

基于端口的VLAN劃分是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡管理員對網(wǎng)絡設備的交換機端口進行重新分配即可，不用考慮該端口所連接的設備。在交換機投入運行前就把它的物理端口根據(jù)需要劃分給指定的VLAN 并分配給用戶。這種劃分使網(wǎng)絡管理員能夠隨時掌握網(wǎng)絡的負載情況，有利于網(wǎng)絡的優(yōu)化使用，并具有較高的安全性。那么VLAN與VLAN之間又是如何實現(xiàn)相互間的訪問呢？

在一般的二層交換機組成的網(wǎng)絡中，VLAN 實現(xiàn)了網(wǎng)絡流量的分割，不同的VLAN 間是不能互相通信的。要實現(xiàn)VLAN 間的通信必須借助：1）路由器來實現(xiàn)；2）三層交換機。下屬公司采用的是使用三層交換機的方式。利用三層交換機實現(xiàn)VLAN 間通信，三層交換機是將第二層交換機和第三層路由器兩者的優(yōu)勢有機而智能化地結合起來，可在各個層次提供線速性能。三層交換機內，分別設置了交換機模塊和路由器模塊；而內置的路由模塊與交換模塊類似，也使用ASIC硬件處理路由。因此，與傳統(tǒng)的路由器相比，可以實現(xiàn)高速路由。

VLAN 對于網(wǎng)絡使用者來說是完全透明的，用戶感覺不到使用中與交換式網(wǎng)絡有任何的差別，但對于網(wǎng)絡管理人員則有很大的不同，因為這主要取決于VLAN 的幾點優(yōu)勢。

（一）控制廣播風暴

網(wǎng)絡管理必須解決因大量廣播信息帶來帶寬消耗的問題。VLAN 作為一種網(wǎng)絡分段技術， 可將廣播風暴限制在一個VLAN 內部，避免影響其他網(wǎng)段。與傳統(tǒng)局域網(wǎng)相比，VLAN 能夠更加有效地利用帶寬。在VLAN 中，網(wǎng)絡被邏輯地分割成廣播域，由VLAN 成員所發(fā)送的信息幀或數(shù)據(jù)包僅在VLAN 內的成員之間傳送，而不是向網(wǎng)上的所有工作站發(fā)送。這樣可減少主干網(wǎng)的流量，提高網(wǎng)絡速度。

（二）增強網(wǎng)絡的安全性

共享式LAN上的廣播必然會產(chǎn)生安全性問題，因為網(wǎng)絡上的所有用戶都能監(jiān)測到流經(jīng)的業(yè)務，用戶只要插入任一活動端口就可訪問網(wǎng)段上的廣播包。采用VLAN提供的安全機制，可以限制特定用戶的訪問，控制廣播組的大小和位置，甚至鎖定網(wǎng)絡成員的MAC地址，這樣，就限制了未經(jīng)安全許可的用戶和網(wǎng)絡成員對網(wǎng)絡的使用。

（三）增強網(wǎng)絡管理

采用VLAN技術，使用VLAN管理程序可對整個網(wǎng)絡進行集中管理，能夠更容易地實現(xiàn)網(wǎng)絡的管理性。用戶可以根據(jù)業(yè)務需要快速組建和調整VLAN。當鏈路擁擠時，利用管理程序能夠重新分配業(yè)務。管理程序還能夠提供有關工作組的業(yè)務量、廣播行為以及統(tǒng)計特性等的詳盡報告。對于網(wǎng)絡管理員來說，所有這些網(wǎng)絡配置和管理工作都是透明的。VLAN 變動時，用戶無需了解網(wǎng)絡的接線情況和協(xié)議是如何重新設置的。另外在使用VLAN 劃分后，也較好的解決了客戶機隨意使用IP地址的問題，因為某臺計算機是屬于某個特定的VLAN的，如果設置其他VLAN的IP地址，則是不能接人局域網(wǎng)的。

局域網(wǎng)通過使用VLAN 劃分技術，在安全性和穩(wěn)定性方面都有了很大的提升，為各種業(yè)務的開展提供了可靠的保證，總之VLAN技術在集團公司網(wǎng)絡管理中的重要性是不容忽視的。