史穗宗

摘 要：VLAN技術(shù)為網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)管理提供了一種有效的解決方案，它不僅優(yōu)化了網(wǎng)絡(luò)的性能，而且還增加了網(wǎng)絡(luò)管理的靈活性和網(wǎng)絡(luò)的安全性。本文通過對VLAN技術(shù)研究，進(jìn)而探討其在網(wǎng)絡(luò)管理中的應(yīng)用。

關(guān)鍵詞：VLAN技術(shù)；網(wǎng)絡(luò)管理；虛擬局域網(wǎng)；企業(yè)網(wǎng)

1 VLAN技術(shù)在網(wǎng)絡(luò)管理中的優(yōu)勢

1.控制廣播風(fēng)暴，提高網(wǎng)絡(luò)性能

局域網(wǎng)中廣播通信很多。廣播流量在通過交換機(jī)時，將向交換機(jī)的各個端口擴(kuò)散，從而給網(wǎng)絡(luò)帶來潛在的流量負(fù)擔(dān)，并延誤了其它流量的通信，更為嚴(yán)重的是，當(dāng)交換網(wǎng)絡(luò)被廣播報(bào)文充滿時即形成廣播風(fēng)暴，用戶就無法正常使用網(wǎng)絡(luò)。對于網(wǎng)絡(luò)廣播風(fēng)暴的控制主要有物理網(wǎng)絡(luò)分段和邏輯分段兩種方式，前者是利用路由器，后者即使用VLAN技術(shù)。后者更靈活，效率更高。

2.簡化網(wǎng)絡(luò)管理，有利于控制管理成本

VLAN劃分有利于控制管理成本。對于沒有劃分VLAN的交換式以太網(wǎng)，如果對某些用戶進(jìn)行新的網(wǎng)段劃分，則需要網(wǎng)絡(luò)管理員對該網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)進(jìn)行再一次的調(diào)整，搬動設(shè)備，甚至于需要額外增加網(wǎng)絡(luò)設(shè)備，從而增加了網(wǎng)絡(luò)管理的成本。目前，網(wǎng)管軟件可靈活、方便地劃分VLAN，圖形化界面隱藏了設(shè)計(jì)、配置和管理VLAN的復(fù)雜性，減少了網(wǎng)絡(luò)管理帶來的開銷。

3.提高了網(wǎng)絡(luò)的整體安全性

建立VLAN后，同一VLAN內(nèi)的計(jì)算機(jī)之間直接通信，不同VLAN間的通信要通過路由器的網(wǎng)關(guān)進(jìn)行路由選擇，這樣不僅隔離了基于廣播的信息，網(wǎng)絡(luò)管理員還可以通過利用IOS ACL、VLAN ACL等技術(shù)實(shí)現(xiàn)VLAN之間的訪問控制，訪問控制可以是基于IP地址、協(xié)議、端口、甚至是MAC地址的，可以是單向的也可以是雙向的，可以是VLAN之間的也可以是VLAN內(nèi)部。網(wǎng)絡(luò)管理員可以基于應(yīng)用類型和訪問特權(quán)進(jìn)行邏輯工作組的劃分，被限制的應(yīng)用程序和資源一般置于安全的VLAN。

4.一定程度上控制了網(wǎng)絡(luò)內(nèi)部IP地址的盜用

目前，園區(qū)網(wǎng)絡(luò)具有終端用戶節(jié)點(diǎn)數(shù)量多的特點(diǎn)，用戶數(shù)量的增多使得網(wǎng)絡(luò)IP地址盜用亦相應(yīng)增加，嚴(yán)重影響了網(wǎng)絡(luò)的正常使用。在建立VLAN后，網(wǎng)內(nèi)任何一臺計(jì)算機(jī)的IP地址均必須在分配給該VLAN的IP地址范圍內(nèi)，否則將無法通過路由器的審核，因而也就不能進(jìn)行通信。如此，就能有效地將IP地址的盜用控制在一個VLAN之內(nèi)。

2 VLAN的類型及劃分原則

1.基于物理端口的VLAN劃分

基于端口的劃分方式是最簡單也是最常用的，這種劃分是把一個或多個交換機(jī)上的幾個端口劃分成一個邏輯組，該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可一，不用考慮該端口所連接的設(shè)備，目前絕大多數(shù)廠商的交換產(chǎn)品均支持這一功能。

2.基于MAC地址的VLAN劃分

基于MAC地址進(jìn)行VLAN劃分，突破了地域限制，也可以理解為是基于用戶策略的劃分方法，方便了用戶的移動辦公，即一個用戶從網(wǎng)絡(luò)的一個地方移至另一個地方，其計(jì)算機(jī)設(shè)置及整個網(wǎng)絡(luò)設(shè)置不用任何變化，重新接入網(wǎng)絡(luò)即可使用，用戶仍屬于原有的VLAN。這種劃分方法還允許一個用戶即一個MAC地址屬于多個VLAN，增加了網(wǎng)絡(luò)邏輯劃分的靈活性。其缺點(diǎn)在于收集用戶MAC地址及利用這些地址進(jìn)行設(shè)置的工作還是非常繁瑣的，用戶需要追加網(wǎng)絡(luò)設(shè)置。當(dāng)然，現(xiàn)在交換機(jī)廠家一般提供圖形化管理工具。

3.基于協(xié)議的VLAN劃分

基于協(xié)議的VLAN劃分即基于OSI的第三層網(wǎng)絡(luò)層來劃分VLAN。如運(yùn)行IP協(xié)議的用戶劃分成一個VLAN，運(yùn)行IPX協(xié)議的用戶劃分成另一個VLAN。支持這種劃分策略的交換機(jī)必須能讀懂?dāng)?shù)據(jù)包的第三層信息，分清楚數(shù)據(jù)包的協(xié)議類型。在某些情況下這種劃分方法還是很有用的，如在一個大型網(wǎng)絡(luò)中，由于歷史的因素，有多種網(wǎng)絡(luò)協(xié)議類型存在，將IPX協(xié)議用戶劃分在一個VLAN中，可以將IPX產(chǎn)生的SAP（Service Advertisement Protocol）廣播控制在一定范圍，提高網(wǎng)絡(luò)通信的性能。在實(shí)際應(yīng)用中，這種劃分方法一般與基于MAC地址、基于IP的劃分方法混合使用，使得網(wǎng)絡(luò)管理更加靈活。

4.基于IP的VLAN劃分

更加高級的基于第三層的VLAN劃分方法是基于IP的VLAN劃分，主要應(yīng)用在TCP/IP網(wǎng)絡(luò)中。支持這種劃分方法的交換機(jī)需要讀懂第三層信息即支持第三層交換，如讀懂?dāng)?shù)據(jù)包的IP地址，當(dāng)然交換機(jī)并不進(jìn)行路由，只是判斷數(shù)據(jù)包的目的地址，送到交換機(jī)相應(yīng)端口。IP網(wǎng)絡(luò)中，通過IP地址及子網(wǎng)掩碼可以決定一臺計(jì)算機(jī)所屬的邏輯網(wǎng)段，但在二層交換網(wǎng)絡(luò)中，廣播數(shù)據(jù)并未被控制在邏輯網(wǎng)段內(nèi)，整個物理網(wǎng)段的計(jì)算機(jī)都會接收到廣播數(shù)據(jù)包，只不過接收方會簡單地丟棄不屬于自己的數(shù)據(jù)包?；贗P地址劃分VLAN，可以將廣播控制在一定的邏輯網(wǎng)段內(nèi)。

3 案例應(yīng)用研究

1.實(shí)例

校園網(wǎng)是學(xué)校實(shí)現(xiàn)數(shù)字化校園和現(xiàn)代化教學(xué)（如無紙化辦公、無紙化考試、遠(yuǎn)程教學(xué)等）的基礎(chǔ)。隨著各學(xué)校的不斷發(fā)展及計(jì)算機(jī)技術(shù)的普及應(yīng)用，為了適應(yīng)時代發(fā)展的新需求，學(xué)校的網(wǎng)絡(luò)系統(tǒng)也需要逐步進(jìn)行升級改造。下面以我校的教學(xué)區(qū)為例。

1.1 需求分析

目前我校有5個系及其他職能部門，為了將其納入整個校園網(wǎng)系統(tǒng)進(jìn)行集中統(tǒng)一規(guī)劃和管理，需要采用統(tǒng)一的通信協(xié)議、路由協(xié)議；主干網(wǎng)從高速交換鏈路連接各子網(wǎng)；各子網(wǎng)內(nèi)部為交換網(wǎng)絡(luò)，形成兩個層次的平面網(wǎng)絡(luò)；主干網(wǎng)包括高速交換機(jī)、VLAN路由等。

1.2 VLAN規(guī)劃

根據(jù)我校的實(shí)際需求情況，目前將整個校園網(wǎng)絡(luò)劃分為8個VLAN。其VLAN劃分如表2：

1.3 設(shè)備選擇

校園網(wǎng)核心交換機(jī)采用STAR-S5610，其二級交換機(jī)STAR-S2024M，而且STAR-S2024M具有堆疊能力，可以隨時擴(kuò)充工作站容量，并且支持PortVLAN和802.1Q TagVLAN兩種VLAN模式，完全滿足目前我校對網(wǎng)絡(luò)的各項(xiàng)需求。

1.4 VLAN設(shè)計(jì)

根據(jù)需求分析按系部和職能部門來劃分VLAN，以保證各個部門之間的隔離性和安全性，其拓?fù)浣Y(jié)構(gòu)如圖2所示。設(shè)計(jì)原則：（1）劃分VLAN根據(jù)：由于學(xué)校各部門的地理位置不同，對網(wǎng)絡(luò)需求也不盡相同，所以對VLAN的劃分采取按部門劃分為主，按地理位置劃分為輔的方法。對具有相同工作性質(zhì)的部門，劃分在同一VLAN中；（2）靈活性：VLAN根據(jù)校園網(wǎng)拓?fù)浣Y(jié)構(gòu)和應(yīng)用需求的變化而進(jìn)行調(diào)整；（3）安全性：將有特殊要求的部門劃分在特殊的VLAN中。隔離監(jiān)聽，防止廣播風(fēng)暴產(chǎn)生。（4）經(jīng)濟(jì)性與可擴(kuò)充性：在滿足學(xué)校各需求的前提下，盡量選用性價比高的網(wǎng)絡(luò)設(shè)備和服務(wù)器。

4 結(jié)束語

本文深入分析了VLAN技術(shù)的特點(diǎn)極其在網(wǎng)絡(luò)管理中的優(yōu)勢，并通過案例應(yīng)用闡述了VLAN技術(shù)在網(wǎng)絡(luò)管理中的應(yīng)用。隨著企業(yè)及學(xué)校的不斷發(fā)展壯大，網(wǎng)絡(luò)用戶也將隨之增多，如何對企業(yè)及校園網(wǎng)絡(luò)進(jìn)行科學(xué)有效的管理是每一位網(wǎng)絡(luò)管理員都要面對的重要課題。VLAN 作為一種新型的網(wǎng)絡(luò)技術(shù)，突破了地域的限制，在網(wǎng)絡(luò)管理中具有管理便捷性、網(wǎng)絡(luò)安全性、網(wǎng)絡(luò)配置靈活、功能易拓展性以及按需劃分網(wǎng)段等特點(diǎn)，因此具有巨大的發(fā)展空間和良好的應(yīng)用前景。

參考文獻(xiàn)

[1]徐超汗.計(jì)算機(jī)網(wǎng)絡(luò)及其解決方案[M].北京：電子工業(yè)出版社，1999.

[2]Karen Webb.組建CISCO分層交換網(wǎng)絡(luò)[M].北京：人民郵電出版社，2000.