趙圓圓　曹敏

摘要摘要：虛擬局域網(wǎng)能夠有效控制廣播域的范圍并減少由于共享介質(zhì)所形成的安全隱患問(wèn)題。通過(guò)仿真軟件Cisco Packet Tracer 來(lái)實(shí)現(xiàn)第三層交換方案中跨網(wǎng)段虛擬局域網(wǎng)的設(shè)計(jì)，為理論教學(xué)配置實(shí)踐平臺(tái)，以提高學(xué)生的實(shí)際動(dòng)手能力。

關(guān)鍵詞關(guān)鍵詞：三層交換；虛擬局域網(wǎng)； Cisco Packet Tracer；安全隱患

DOIDOI：10.11907/rjdk.143981

中圖分類號(hào)：TP393

文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)文章編號(hào)：16727800（2015）004012902

1虛擬局域網(wǎng)（VLAN）概述

在局域網(wǎng)交換技術(shù)中，虛擬局域網(wǎng)（VLAN）技術(shù)迅速發(fā)展[1]。當(dāng)一個(gè)結(jié)點(diǎn)發(fā)送廣播幀后，每一個(gè)收到該幀的結(jié)點(diǎn)都會(huì)將其復(fù)制轉(zhuǎn)發(fā)到所有與其相連的網(wǎng)絡(luò)，此時(shí)大量的廣播幀存在網(wǎng)絡(luò)中，導(dǎo)致網(wǎng)絡(luò)性能下降，甚至網(wǎng)絡(luò)癱瘓，這就是網(wǎng)絡(luò)風(fēng)暴問(wèn)題。另外，很多企業(yè)在發(fā)展初期人員較少，對(duì)網(wǎng)絡(luò)的要求也不高，大部分都是通過(guò)不同路由器端口劃分為簡(jiǎn)單網(wǎng)絡(luò)結(jié)構(gòu)。在這樣的結(jié)構(gòu)中，由于以太網(wǎng)數(shù)據(jù)幀通常不加密，同時(shí)采用的是CSMA/CD控制訪問(wèn)機(jī)制，網(wǎng)內(nèi)的任何一臺(tái)計(jì)算機(jī)都可以毫無(wú)保留地獲得同一網(wǎng)段上的數(shù)據(jù)。隨著企業(yè)各項(xiàng)業(yè)務(wù)的不斷升級(jí)，規(guī)模不斷擴(kuò)大，各部門分工更細(xì)，內(nèi)部數(shù)據(jù)傳輸量很大。同時(shí)，有些特殊部門如財(cái)務(wù)部對(duì)數(shù)據(jù)安全性要求很高，不能和其它部門混用一個(gè)網(wǎng)段，以防止網(wǎng)絡(luò)竊聽(tīng)。為了解決上述以太網(wǎng)廣播風(fēng)暴和安全性問(wèn)題，迫切需要更靈活地配置局域網(wǎng)，虛擬局域網(wǎng)技術(shù)應(yīng)運(yùn)而生。它不是一種新型的局域網(wǎng)，而是局域網(wǎng)資源的一種邏輯組合[2]。

虛擬局域網(wǎng)（VLAN）是在一個(gè)物理網(wǎng)絡(luò)上劃分出來(lái)的邏輯網(wǎng)絡(luò)，通過(guò)局域網(wǎng)內(nèi)的交換機(jī)和路由器功能邏輯地劃分為一個(gè)個(gè)獨(dú)立網(wǎng)段，使網(wǎng)絡(luò)中的站點(diǎn)不拘泥于所處的物理位置，并且能夠根據(jù)需要靈活地加入不同的邏輯子網(wǎng)。虛擬局域網(wǎng)VLAN對(duì)比傳統(tǒng)網(wǎng)絡(luò)，很多問(wèn)題都得到了解決，其優(yōu)勢(shì)如下：①它不受網(wǎng)絡(luò)物理位置限制，可跨越多個(gè)物理網(wǎng)段、多臺(tái)交換機(jī)?？梢园凑展δ軇澐殖啥鄠€(gè)邏輯分組，每組對(duì)應(yīng)一個(gè)VLAN[3]；②同一個(gè)虛擬局域網(wǎng)中的廣播只有內(nèi)部的成員才能聽(tīng)到，不會(huì)傳到其它虛擬局域網(wǎng)中，這樣就可以利用VLAN來(lái)隔離廣播域，防止廣播風(fēng)暴的發(fā)生；③可將網(wǎng)絡(luò)上的用戶按照業(yè)務(wù)功能劃分成多個(gè)VLAN ，日常的通信交流信息絕大部分被限制在一個(gè)虛擬局域網(wǎng)內(nèi)，可有效提升帶寬；④虛擬局域網(wǎng)由軟件實(shí)現(xiàn)定義與劃分，建立和重組十分靈活，增加、刪除、修改用戶不需要調(diào)整網(wǎng)絡(luò)上的物理位置。

目前交換機(jī)可以按照基于端口、MAC地址、網(wǎng)絡(luò)層地址及IP組播等分類進(jìn)行VLAN劃分[4]?？梢园凑侦o態(tài)和動(dòng)態(tài)兩種方式將端口分配給VLAN[5]。靜態(tài)虛擬局域網(wǎng)是將端口強(qiáng)制性地分配給對(duì)應(yīng)的虛擬局域網(wǎng)。使用虛擬局域網(wǎng)中繼協(xié)議建立VTP SERVER和VTP client ，并在SERVER設(shè)備上建立VLAN，然后將端口分配給對(duì)應(yīng)的VLAN。動(dòng)態(tài)虛擬局域網(wǎng)由具體的設(shè)備決定自身所屬的VLAN。即先建立VMPS VLAN管理策略服務(wù)器，生成一個(gè)文本文件，文件中存放VLAN與MAC地址的映射表；交換機(jī)根據(jù)這個(gè)映射表將端口分配給對(duì)應(yīng)VLAN。本文主要闡述以靜態(tài)端口劃分方式，使用三層交換機(jī)實(shí)現(xiàn)虛擬局域網(wǎng)與VLAN間的相互通信。

2仿真技術(shù)下的實(shí)驗(yàn)設(shè)計(jì)

虛擬環(huán)境下進(jìn)行實(shí)驗(yàn)教學(xué)是一種很好的教學(xué)辦法[6]。利用網(wǎng)絡(luò)仿真軟件進(jìn)行實(shí)驗(yàn)，學(xué)生易掌握、建設(shè)成本低，能夠模擬各種網(wǎng)絡(luò)技術(shù)，真正解決計(jì)算機(jī)網(wǎng)絡(luò)工程課程“理論強(qiáng)，實(shí)踐弱”的問(wèn)題。本文使用Cisco Packet Tracer軟件作為模擬器，拓?fù)浣Y(jié)構(gòu)如圖1所示。核心三層交換機(jī)名稱為coreswitch；分支交換機(jī)分別為A、B，通過(guò)快速以太網(wǎng)端口與核心交換機(jī)相連，創(chuàng)建兩個(gè)VLAN，分別為101和202。一般將核心交換機(jī)設(shè)置為VTP DOMAIN域的 server，分支交換機(jī)設(shè)為 VTP DOMAIN 域的Client端。這樣，在VTP SERVER 上創(chuàng)建的VLAN就可以通過(guò)VTP協(xié)議分發(fā)到整個(gè)管理域的分支交換機(jī)上，不但保證了整個(gè)管理域上VLAN的一致性，同時(shí)也便于管理人員維護(hù)網(wǎng)絡(luò)。

在這種模式下劃分VLAN，需要采取5個(gè)步驟：①設(shè)置 VTP DOMAIN ，包括創(chuàng)建VTP域名，設(shè)置VTP Server、Client模式（核心、分支交換機(jī)上都要進(jìn)行設(shè)置）；②在VTP Server上創(chuàng)建VLAN；③配置中繼trunk（核心、分支交換機(jī)上都要進(jìn)行設(shè)置）；④將交換機(jī)端口劃入VLAN；⑤配置三層交換路由。

3仿真技術(shù)下的實(shí)驗(yàn)驗(yàn)證

3.1核心交換機(jī)配置VTP

如圖2所示。

3.2核心交換機(jī)中繼協(xié)議配置

如圖3所示。

3.3分支交換機(jī)A、B配置

如圖4、圖5所示。

此時(shí)用ping命令測(cè)試分別位于同一VLAN的兩臺(tái)主機(jī)，可以看到能夠相互通信，而不同VLAN的PC機(jī)不能通信，由此看出不同VLAN的主機(jī)是不能通信的。要想使不同VLAN間的主機(jī)能夠通信，需要在三層交換機(jī)的路由模塊設(shè)置路由或在支持VLAN功能的外部路由器上設(shè)置路由，核心配置命令如圖6所示。

在虛擬局域網(wǎng)的主機(jī)上分別設(shè)置與所屬網(wǎng)絡(luò)一致的IP地址，并且把默認(rèn)網(wǎng)關(guān)設(shè)置為對(duì)應(yīng)VLAN配置的IP地址，如圖7所示。這樣，VLAN之間就可以互訪了。圖8是PC0 ping PC3 連通測(cè)試截屏。

4結(jié)語(yǔ)

Cisco Packet Tracer提供了網(wǎng)絡(luò)配置的練習(xí)平臺(tái)，是計(jì)算機(jī)網(wǎng)絡(luò)教學(xué)良好的輔助工具。本文主要以交換機(jī)中跨網(wǎng)段VLAN配置為例論述了Cisco Packet Tracer 在網(wǎng)絡(luò)教學(xué)中的應(yīng)用，這些應(yīng)用為提高計(jì)算機(jī)網(wǎng)絡(luò)教學(xué)質(zhì)量發(fā)揮了很好的作用。

參考文獻(xiàn)參考文獻(xiàn)：

[1]李環(huán).計(jì)算機(jī)網(wǎng)絡(luò)[M] .北京：中國(guó)鐵道出版社，2010.

[2]陳國(guó)耿. 三層交換機(jī)多VLAN的DHCP配置[J]. 軟件導(dǎo)刊，2010，9（6）：121122.

[3]魏評(píng). 企業(yè)網(wǎng)絡(luò)組建中VLAN的設(shè)計(jì)與實(shí)現(xiàn)[J].軟件導(dǎo)刊，2012，11（9）：134136.

[4]俞黎陽(yáng) .計(jì)算機(jī)網(wǎng)絡(luò)工程實(shí)驗(yàn)教程[M] . 北京：清華大學(xué)出版社 ，2008.

[5]于明. 計(jì)算機(jī)網(wǎng)絡(luò)與數(shù)據(jù)通信實(shí)驗(yàn)教程[M] .北京：中國(guó)水利水電出版社， 2004.

[6]李娟芳 .計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用[M] .北京：中國(guó)鐵道出版社，2013.

責(zé)任編輯（責(zé)任編輯：杜能鋼）