摘? 要：在二層網(wǎng)絡里，由于接入終端數(shù)量較大，形成的廣播域也很大，一旦發(fā)生廣播風暴，會造成二層網(wǎng)絡擁塞、垃圾流量過多等現(xiàn)象，嚴重影響全網(wǎng)的終端上網(wǎng)功能。在網(wǎng)絡規(guī)劃時使用VLAN技術(shù)控制廣播域的范圍，減少廣播風暴的影響范圍，提高網(wǎng)絡性能是目前較常用、較規(guī)范的設計方法。文章介紹VLAN技術(shù)的相關(guān)內(nèi)容，并將二層接入網(wǎng)絡增加VLAN設計進行改造，并結(jié)合DHCP技術(shù)使終端上網(wǎng)方便，且減少了網(wǎng)絡風暴的影響，取得了很好的使用效果。

關(guān)鍵詞：VLAN;標簽;單臂路由;DHCP

中圖分類號：TP393.1? ? ? ?文獻標識碼：A 文章編號：2096-4706（2020）22-0065-04

Network Application and Research Based on VLAN

WEI Pei

（Anhui Branch of National Computer Network and Information Security Management Center，Hefei? 230031，China）

Abstract：In the layer-2 network，due to the large number of access terminals，the formation of the broadcast domain is also very large. Once a broadcast storm occurs，it will cause the congestion of the layer-2 network，excessive garbage flow and other phenomena，which seriously affect the internet access function of the whole network. Using VLAN technology in network planning to control the scope of the broadcast domain，reduce the scope of influence of broadcast storms，and improve network performance is currently a more common and standardized design method. This paper introduces the related content of VLAN technology，and adds VLAN design to the layer-2 access network for transformation. Combined with DHCP technology，it makes the terminal convenient to access the internet，and reduces the impact of network storm，and achieves good results.

Keywords：VLAN;tag;single arm routing;DHCP

0? 引? 言

網(wǎng)絡安全與網(wǎng)絡運行維護是筆者工作的主要任務，筆者在工作中經(jīng)常遇到部分網(wǎng)絡早期由于需要聯(lián)網(wǎng)的終端較少，網(wǎng)絡結(jié)構(gòu)設計缺少科學的長遠的規(guī)劃，導致接入層缺少VLAN技術(shù)的使用。后期隨著網(wǎng)絡規(guī)模擴大，日常使用的終端設備種類數(shù)量也隨之增多，導致所有的終端工作在同一個廣播域內(nèi)。由于廣播域太大，導致經(jīng)常出現(xiàn)廣播風暴，網(wǎng)絡擁塞現(xiàn)象，大大降低了網(wǎng)絡性能，甚至有的網(wǎng)絡安全事件頻發(fā)。為此，引入VLAN技術(shù)對網(wǎng)絡改造達到網(wǎng)絡規(guī)范化建設是亟待實施的工作。

1? 相關(guān)技術(shù)簡介

1.1? 二層交換機工作原理

二層交換機內(nèi)部維護著MAC地址表，交換機通過學習以太網(wǎng)數(shù)據(jù)幀的源MAC地址維護MAC地址表，通過數(shù)據(jù)幀里的目的MAC地址查找MAC地址表決定發(fā)往目的端口。一個MAC地址僅能出現(xiàn)在一個端口上。二層交換機對數(shù)據(jù)包的處理方式有學習、泛洪、轉(zhuǎn)發(fā)、丟棄。泛洪是一個重要的特性，指收到廣播幀、組播幀、未知單播幀時會從除了接收口外的接口轉(zhuǎn)發(fā)出去。MAC地址的記錄一般在交換機里保存約5分鐘，一旦接口DOWN，MAC地址記錄會被清空。在華為交換機內(nèi)可用dis mac-address命令查看當前的交換機MAC地址表。當網(wǎng)絡有級聯(lián)結(jié)構(gòu)時，一個物理接口里會出現(xiàn)多個MAC地址。

1.2? VLAN的分類

VLAN的分類方式有多種，可以按照交換機的接口劃分，適用于接入終端位置相對固定的情況，也適用于一般規(guī)模的單位使用，該方式是較為常用的方式;還可以按照終端的MAC地址分類，這種方式適用于終端設備位置經(jīng)常變動的接入情況，而且在做配置之前需要事先統(tǒng)計終端的MAC信息，一般在安全性要求較高、嚴格限制接入終端的情況下使用;也可以按照IP子網(wǎng)、策略分類。目前使用最多的是按照交換機接口劃分的方式。

1.3? VLAN間的訪問

VLAN間訪問的方式：路由器的物理接口、單臂路由、三層交換機VLAN虛擬接口，其特點如表1所示。

2? VLAN的優(yōu)勢

以太網(wǎng)隨著廣播域的增大，網(wǎng)絡安全現(xiàn)象與垃圾流量問題隨之增多。二層廣播域帶來很大問題，當出現(xiàn)如ARP數(shù)據(jù)包時，該包會泛洪至全網(wǎng)中的每一臺設備，其中能做出應答的設備最多有一個，其余的流量均為垃圾流量。該垃圾流量占用帶寬資源，給整個二層網(wǎng)絡帶來嚴重的負擔，影響了網(wǎng)絡性能。泛洪現(xiàn)象如圖1所示，圖中箭頭是泛洪流量，當一臺PC機發(fā)出廣播時，數(shù)據(jù)幀會被交換機傳送至該廣播域的每一臺終端，即使很多主機不需要接收這些數(shù)據(jù)幀。

VLAN可以將廣播的傳播范圍限制在相關(guān)的主機范圍內(nèi)，進而減少這種影響。VLAN的優(yōu)點有：將廣播域限制在某一個范圍內(nèi)，節(jié)省了帶寬資源，提高了網(wǎng)絡性能;不同的VLAN間的報文是相互隔離的，提高了局域網(wǎng)的安全性;當網(wǎng)絡出現(xiàn)故障時，故障的影響范圍也會縮小至VLAN內(nèi)，不會波及更廣的范圍。通常在規(guī)劃時VLAN與廣播域和子網(wǎng)相對應。

3? 網(wǎng)絡優(yōu)化方案介紹

現(xiàn)有網(wǎng)絡結(jié)構(gòu)缺少科學的規(guī)劃，網(wǎng)絡結(jié)構(gòu)由一臺接入交換機和一臺路由器組成，接入交換機為二層結(jié)構(gòu)，負責終端設備的接入，路由器0口配置了內(nèi)網(wǎng)地址：192.168.254.254/ 16作為終端設備的網(wǎng)關(guān)，并配置了DHCP地址自動獲取;1口配置了公網(wǎng)IP，并配置了NAT轉(zhuǎn)換和靜態(tài)路由。該網(wǎng)絡可以實現(xiàn)用戶上網(wǎng)功能，但是由于不同部門之間的終端地址在同一個16位的網(wǎng)段內(nèi)，也就是所有終端均在同一個廣播域內(nèi)，當發(fā)生網(wǎng)絡風暴時，會影響所有的終端設備，任何一臺設備發(fā)出ARP等廣播幀，導致廣播流量泛洪至全網(wǎng)，所有的終端都會收到該流量，嚴重影響網(wǎng)絡性能。由于不同部門終端的IP在同一網(wǎng)段內(nèi)隨機獲取，當發(fā)生網(wǎng)絡安全事件或病毒感染事件，不能迅速定位到使用該地址的所屬部門，也會給后期事件處理帶來不便。這個設計在終端設備較少的環(huán)境下可以正常工作，但是隨著終端數(shù)量增多，網(wǎng)絡規(guī)模擴大，其網(wǎng)絡性能下降，不易于管理的弊端越來越明顯。如果該網(wǎng)絡內(nèi)有一臺主機發(fā)起ARP攻擊，會導致整個單位的網(wǎng)絡癱瘓，影響范圍廣，排查恢復困難。未使用VLAN的網(wǎng)絡拓撲如圖2所示。

路由器的部分配置為：

dhcp enable

acl 2000

rule peimit source any

interface g/0/0

ip add 192.168.254.254? 16

dhcp select interface

dhcp server dns-list 114.114.114.114

interface g/0/1

ip add 公網(wǎng)IP 掩碼

nat outbound 2000

ip routing-static 0.0.0.0 0.0.0.0 公網(wǎng)ip

鑒于以上缺點，為了縮小廣播域，合理規(guī)劃IP地址的分配，使網(wǎng)絡結(jié)構(gòu)清晰，采用了網(wǎng)絡分層的設計思想，一般網(wǎng)絡是由接入層、匯聚層、核心層以及出口組成。由于本單位網(wǎng)絡規(guī)模不是特別大，將匯聚層和核心層混合一體，采用接入層、匯聚層、出口層的分層結(jié)構(gòu)。按照現(xiàn)有的部門數(shù)量，將接入終端劃分為4個VLAN，并在匯聚交換機上配置VLAN虛擬口用作每個VLAN終端的網(wǎng)關(guān)。在匯聚層交換機上，采用DHCP的方式為終端動態(tài)分配IP地址，DNS服務器也是通過配置自動獲取。匯聚交換機的上聯(lián)口也是用虛擬VLAN口配置，VLAN的劃分如表2所示，VLAN內(nèi)使用C類內(nèi)網(wǎng)IP分配，每個VLAN大小約容納200多個終端，可以滿足每個部門的終端上網(wǎng)需求的發(fā)展需求。本次設計在匯聚交換機的VLAN虛擬口和路由器之間運行了OSPF協(xié)議，這種動態(tài)的路由協(xié)議運行靈活，避免了靜態(tài)路由的牽一發(fā)動全身的缺點。如果后期需要增加部門，僅需在匯聚交換機上新增VLAN相關(guān)配置，出口路由器的配置無須改動，這一點確保了網(wǎng)絡規(guī)模的擴容，有利于網(wǎng)絡的穩(wěn)定平滑擴容，減少用戶對網(wǎng)絡變動的感知。

重新規(guī)劃改造后的拓撲結(jié)構(gòu)如圖3所示。

涉及的部分配置為：

（1）出口路由器：

acl 2000

rule peimit soure any

interface g/0/0

ip add 192.168.100.1 24

interface g/0/1

ip add 公網(wǎng)IP 掩碼

nat outbound 2000

ip routing-static 0.0.0.0 0公網(wǎng)ip

ospf 1 route-id 1.1.1.1

area 0

network 192.168.100.1 0.0.0.0

default-route-advertise

（2）接入交換機的部分配置：

Dhcp enable

vlan bath 10 20 30 40 100

interface g0/0/1

port link-type access

port default vlan 10

interface g0/0/0

port link-type access

port default vlan 100

interface g0/0/2

port link-type access

port default vlan 20

interface g0/0/3

port link-type access

port default vlan 30

interface g0/0/4

port link-type access

port default vlan 40

interface vlanif 10

ip add 192.168.1.254 24

dhcp select interface

dhcp server dns-list 114.114.114.114

interface vlanif 20

ip add 192.168.2.254 24

dhcp select interface

dhcp server dns-list 114.114.114.114

interface vlanif 30

ip add 192.168.3.254 24

dhcp select interface

dhcp server dns-list 114.114.114.114

interface vlanif 40

ip add 192.168.4.254 24

dhcp select interface

dhcp server dns-list 114.114.114.114

interface vlanif 100

ip add 192.168.100.254 24

ospf 1 route-id 2.2.2.2

area 0

network 192.168.0.0 0.0.255.255

之前所有的終端在同一個廣播域，一旦遇到廣播風暴會波及全網(wǎng)終端?，F(xiàn)在，使用VLAN將部門之間分隔開，每個部門是獨自的廣播域，當廣播風暴發(fā)生后，僅會影響該部門，大大減少了垃圾流量對全網(wǎng)的影響。比如部門1的某臺終端發(fā)出廣播幀，由于部門1是一個廣播域，廣播幀由于VLAN的隔離作用，僅能在部門1所涉及的范圍內(nèi)泛洪，這樣就減少了廣播風暴對全網(wǎng)的影響，之前經(jīng)常發(fā)生的延遲時間長、網(wǎng)速慢的現(xiàn)象有所改善?，F(xiàn)在網(wǎng)絡擴展性能有所提升，如果后期需要增加終端，僅需將主機連接至接入交換機;如果需要擴展部門，需要增加VLAN及其相關(guān)接口配置，并在匯聚交換機里的OSPF配置中宣告該新增的網(wǎng)段。總之，引入VLAN技術(shù)的網(wǎng)絡避免了廣播域規(guī)模大的缺點，減少了廣播風暴的影響范圍，后期網(wǎng)絡可以有規(guī)劃地擴展，帶來了良好的網(wǎng)絡運行效果。

4? 結(jié)? 論

本文利用VLAN技術(shù)將二層網(wǎng)絡進行了調(diào)整和整理，達到了以VLAN劃分廣播域的目的，使廣播風暴僅影響某個VLAN內(nèi)，減少了網(wǎng)絡中的垃圾流量以及網(wǎng)絡風暴帶來的影響，提升了網(wǎng)絡的安全性，也改善了網(wǎng)絡性能。VLAN技術(shù)在較大型網(wǎng)絡中起到隔離廣播域的作用，是網(wǎng)絡規(guī)劃常用的技術(shù)。后期還可以從增加安全性和高可用性考慮，引入VRRP技術(shù)，達到網(wǎng)關(guān)保護的目的;還可以使用捆綁技術(shù)，有效地避免網(wǎng)絡的單點故障。VLAN技術(shù)是目前局域網(wǎng)里較成熟的技術(shù)，可有效完善網(wǎng)絡結(jié)構(gòu)，相信該技術(shù)后續(xù)會有更廣泛的應用。

參考文獻：

[1] 謝哲天，徐磊.VLAN技術(shù)及其在工業(yè)互聯(lián)網(wǎng)中的應用 [J].自動化應用，2020（7）：69-71.

[2] 程永青.論VLAN技術(shù)的具體應用 [J].電腦知識與技術(shù)：學術(shù)交流，2016（11Z）：17-19.

[3] 曹園青.基于VLAN技術(shù)的高校網(wǎng)絡安全加固策略初探 [J].電子制作，2020（22）：39-41+35.

[4] 馬良鴻.網(wǎng)絡工程中VLAN技術(shù)的應用研究 [J].信息與電腦（理論版），2018（2）：150-151+156.

[5] 劉中艷，劉曉.試析VLAN技術(shù)在網(wǎng)絡工程中的應用 [J].數(shù)字技術(shù)與應用，2017（1）：29+31.

[6] 李子豪.VLAN技術(shù)在當前網(wǎng)絡工程中的應用分析 [J].信息技術(shù)與信息化，2020（8）：147-148.

作者簡介：魏培（1985—），女，漢族，江蘇沛縣人，中級工程師，碩士，研究方向：計算機應用、計算機網(wǎng)絡、網(wǎng)絡安全。