黃培炎

摘要：目前網(wǎng)絡(luò)信息通信頻繁，同時(shí)通信的安全性也有了較高的要求，有時(shí)同一局域網(wǎng)內(nèi)不同部門之間信息需要進(jìn)行信息隔離，保障信息的通信。另外不同部門之間的信息定向接收可以降低網(wǎng)絡(luò)通信間的信息傳遞壓力，提高網(wǎng)絡(luò)中的信息傳輸效率。為了實(shí)現(xiàn)這一目的，可以采用網(wǎng)絡(luò)的虛擬局域網(wǎng)劃分實(shí)現(xiàn)網(wǎng)絡(luò)通信中的信息隔離，提高網(wǎng)絡(luò)通信的安全性和準(zhǔn)確性。

關(guān)鍵詞：虛擬局域網(wǎng)劃分;隔離;安全

中圖分類號(hào)：TP311? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）17-0046-02

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

1定義與作用

VLAN（Virtual Local Area Network）的中文名為“虛擬局域網(wǎng)”。虛擬局域網(wǎng)的含義是一組邏輯上的數(shù)據(jù)通信設(shè)備，這些設(shè)備可以直接通信，像在同一個(gè)網(wǎng)段一樣，但不受物理?xiàng)l件的局限。

這里的邏輯上數(shù)據(jù)通信是指，在物理連接的局域網(wǎng)中通過VLAN技術(shù)，將原本可以通信的局域網(wǎng)內(nèi)的設(shè)備進(jìn)行邏輯劃分;實(shí)現(xiàn)信息的隔離。通過設(shè)置后同一個(gè)VLAN內(nèi)的計(jì)算機(jī)可以接收到相互之間的信息，不同VLAN的計(jì)算機(jī)之間信息不可以直接通信。

2 VLAN技術(shù)的優(yōu)點(diǎn)

優(yōu)點(diǎn)：

（1）限制廣播域

廣播是一種信息傳播的方式，信息網(wǎng)絡(luò)當(dāng)中傳播該網(wǎng)絡(luò)中連接的設(shè)備如果都能夠接收到該信息，那么這種傳播的方式即為廣播傳遞。在現(xiàn)實(shí)計(jì)算機(jī)網(wǎng)絡(luò)工作過程當(dāng)中，有些信息需要以廣播的形式在固定的局域網(wǎng)內(nèi)傳遞，但是局域網(wǎng)內(nèi)的部分用戶又不需要接收到該信息。所以，為了降低無用信息接收帶來的干擾，就需要以劃分虛擬局域網(wǎng)的形式來進(jìn)行廣播域信息的隔離限制，這樣可以降低網(wǎng)絡(luò)間設(shè)備的工作壓力，也可以提高網(wǎng)絡(luò)的工作效率和工作的安全性。

（2）靈活劃分網(wǎng)絡(luò)

在計(jì)算機(jī)網(wǎng)絡(luò)通信當(dāng)中由于網(wǎng)絡(luò)信息安全的需要，常常進(jìn)行局域網(wǎng)的分離來保證信息之間的通信安全在VLAN劃分的定義中，相同的VLAN是可以進(jìn)行直接通信的;不同的VLAN不能進(jìn)行直接通信。這種劃分特性可以方便地幫助網(wǎng)絡(luò)管理員進(jìn)行網(wǎng)絡(luò)調(diào)整，將網(wǎng)絡(luò)當(dāng)中的用戶計(jì)算機(jī)進(jìn)行虛擬局域網(wǎng)轉(zhuǎn)換，減少了物理線路的調(diào)整，方便了管理員的控制，減輕了管理員的工作量。

3 VLAN技術(shù)的劃分方法

VLAN的劃分常應(yīng)用于二層交換機(jī)內(nèi)，VLAN的劃分一般針對(duì)交換機(jī)的端口，常見的劃分方法是將端口通過指令配置劃入到相應(yīng)的虛擬局域網(wǎng)內(nèi)，然后通過不同的端口進(jìn)行信息隔離。

劃分形式：

3.1單交換機(jī)VLAN劃分

單交換機(jī)VLAN劃分是指網(wǎng)絡(luò)管理員通過對(duì)交換機(jī)進(jìn)行指令配置將交換機(jī)的端口劃入相應(yīng)的虛擬局域網(wǎng)中。但是需要注意的是，在進(jìn)行虛擬局域網(wǎng)配置的時(shí)候，每一個(gè)端口只能劃分入一個(gè)虛擬局域網(wǎng)內(nèi)，不能夠直接劃分入兩個(gè)局域網(wǎng)。具體的拓?fù)鋱D如1。

如圖我們可以看到PC1和PC2分別連接兩個(gè)不同的端口，此時(shí)我們將兩臺(tái)計(jì)算機(jī)分別進(jìn)行IP地址的配置：PC0? 192.168.1.PC2? 192.168.1.2。通過以前的學(xué)習(xí)我們可以知道，IP地址是計(jì)算機(jī)在網(wǎng)絡(luò)當(dāng)中進(jìn)行通信的必要條件，相同網(wǎng)段的IP地址可以直接通信。因此，我們可以此時(shí)知道PC0和PC1的IP地址處于同一個(gè)網(wǎng)段。

知識(shí)點(diǎn)補(bǔ)充：IP地址網(wǎng)段的劃分和IP地址網(wǎng)絡(luò)號(hào)有關(guān)，網(wǎng)絡(luò)號(hào)相同兩個(gè)IP地址可以直接通信，網(wǎng)絡(luò)號(hào)不同兩個(gè)IP地址不能直接通信。

此時(shí)為了保證信息通信的安全，需要保證PC0和PC2兩個(gè)計(jì)算機(jī)之間不能直接通信，此時(shí)可以通過進(jìn)行局域網(wǎng)劃分的方法來進(jìn)行實(shí)現(xiàn)。具體方法如下：

（1） 通過計(jì)算機(jī)進(jìn)入交換機(jī)進(jìn)行配置，計(jì)算機(jī)接入Telent接口進(jìn)行配置信息;

（2） 計(jì)算機(jī)創(chuàng)建兩個(gè)不同的虛擬局域網(wǎng)vlan10 ，vlan20;

（3） 將兩個(gè)計(jì)算機(jī)連接的端口歸入到在路由器中劃分出來的虛擬局域網(wǎng)內(nèi);

（4） 測(cè)試可得兩個(gè)計(jì)算機(jī)之間不能直接通信。

重要配置指令：

SW（config）#vlan 10

SW（config-vlan）#vlan 20

SW（config-vlan）#end

SW# config terminal

SW（config）#int fa0/1

SW（config-if）#switchport access vlan 10

相同步驟將f0/2放入到vlan20當(dāng)中。

3.2跨交換機(jī)VLAN劃分

VLAN跨交換機(jī)劃分主要應(yīng)用在大型計(jì)算機(jī)網(wǎng)絡(luò)當(dāng)中，這種情況下接入局域網(wǎng)的計(jì)算機(jī)數(shù)量較多，單獨(dú)依靠一個(gè)交換機(jī)無法實(shí)現(xiàn)現(xiàn)實(shí)中的網(wǎng)絡(luò)排布要求，這時(shí)候就需要使用跨交換機(jī)VLAN劃分技術(shù)來實(shí)現(xiàn)網(wǎng)絡(luò)中虛擬局域網(wǎng)的劃分。

在交換機(jī)中我們已經(jīng)介紹過了，如果要進(jìn)行虛擬局域網(wǎng)的劃分，需要將端口劃分進(jìn)入虛擬局域網(wǎng)當(dāng)中。但是，根據(jù)交換機(jī)端口的特點(diǎn)，交換機(jī)的端口分成Access端口和Trunk端口。Access端口接收和發(fā)送的信息不帶IEEE 802.1Q標(biāo)簽。即端口只能劃分進(jìn)入一個(gè)固定的虛擬局域網(wǎng)當(dāng)中，如果要在兩個(gè)不同的交換機(jī)之間進(jìn)行虛擬局域網(wǎng)劃分，即兩個(gè)交換機(jī)都具有劃分到相同虛擬局域網(wǎng)的端口。此時(shí)，如果直接使用線路連接兩個(gè)交換機(jī)的連接端口需要和對(duì)應(yīng)的虛擬局域網(wǎng)劃分一樣才能傳遞信息。并且每一個(gè)連線只能傳遞一個(gè)固定的虛擬局域網(wǎng)的信息。這樣的連接配置方式會(huì)造成交換機(jī)端口的極大浪費(fèi)。

為了解決這個(gè)問題，我們可以把交換機(jī)的端口類型修改成為Trunk端口類型。Trunk接口用于交換機(jī)和交換機(jī)之間的連接，通過這個(gè)接口可以實(shí)現(xiàn)不同交換機(jī)相同vlan間的數(shù)據(jù)傳遞。一個(gè)Trunk接口，在默認(rèn)情況下屬于本交換機(jī)所有vlan。因此，我們?cè)谶M(jìn)行不同交換機(jī)VLAN配置的時(shí)候，可以將兩個(gè)不同交換機(jī)之間的連線端口類型設(shè)置成trunk端口，這樣的話就會(huì)在物理連接上節(jié)約很多端口。物理連接方式如圖2所示。

如圖我們可以看到四臺(tái)計(jì)算機(jī)通過兩個(gè)交換機(jī)連接成為一個(gè)網(wǎng)絡(luò)?，F(xiàn)在要求PC0和PC6屬于同一個(gè)虛擬局域網(wǎng)VLAN1 ，PC4和PC5屬于同一個(gè)虛擬局域網(wǎng)VLAN2，并且這4臺(tái)電腦的IP地址都屬于同一個(gè)網(wǎng)段。

要滿足以上的要求，需要進(jìn)行以下操作。

（1） 連接入交換機(jī)，在兩個(gè)交換機(jī)內(nèi)分別創(chuàng)建vlan10和vlan20。

（2） 將兩個(gè)交換機(jī)連接計(jì)算機(jī)的端口分別轉(zhuǎn)入vlan10，vlan20。注意，需要進(jìn)行跨交換機(jī)通信的計(jì)算機(jī)，端口歸入相同的虛擬局域網(wǎng)內(nèi)。

（3） 將連接兩臺(tái)交換機(jī)的導(dǎo)線，兩端對(duì)應(yīng)的端口改為trunk端口。

配置指令如下，兩臺(tái)交換機(jī)分別命名為SW1和SW2。

SW1重要配置指令：

SW1（config）#vlan 10

SW1（config-vlan）#vlan 20

SW1（config-vlan）#end? ?備注：以上指令為在sw1中創(chuàng)建兩個(gè)虛擬局域網(wǎng)。

SW1# config terminal

SW1（config）#int fa0/1

SW1（config-if）#switchport access vlan 10

同理進(jìn)入f0/3后可以將端口放入vlan20 內(nèi)

SW1（config-if）#exit

SW1（config）#int f0/2

SW1（config-if）# switchport mode trunk備注：將sw1的f0/2端口改為trunk模式。

同理我們可以寫出SW2的配置指令

在sw2中創(chuàng)建兩個(gè)虛擬局域網(wǎng)與在SW1中創(chuàng)建虛擬局域網(wǎng)步驟一致。

SW2（config）#int fa0/3

SW2（config-if）#switchport access vlan 10備注：指令作用將端口放入對(duì)應(yīng)vlan中。

同理，通過指令可將對(duì)應(yīng)的端口放入到vlan20當(dāng)中。

SW2（config-if）#exit

SW2（config）#int f0/1

SW2（config-if）# switchport mode trunk備注：將sw2的f0/1端口改為trunk模式。

SW2（config-if）#end

通過以上配置我們可以實(shí)現(xiàn)通過一根線路連接兩個(gè)不同交換機(jī)的相同虛擬局域網(wǎng)。這種配置方式極大地節(jié)約了網(wǎng)絡(luò)線路的鋪設(shè)成本，同時(shí)也可以實(shí)現(xiàn)虛擬局域網(wǎng)范圍的增加和減少，降低了網(wǎng)絡(luò)管理員的工作量。

3結(jié)束語

校園網(wǎng)的創(chuàng)建需要很多技術(shù)手段的支持。在進(jìn)行校園網(wǎng)創(chuàng)建的過程中要注意網(wǎng)絡(luò)搭建的實(shí)用性和便捷性。同時(shí)校園網(wǎng)絡(luò)搭建是一個(gè)與時(shí)俱進(jìn)的過程，因此在進(jìn)行網(wǎng)絡(luò)功能實(shí)現(xiàn)的過程中要注意硬件設(shè)備的使用。通過本文的介紹，VLAN技術(shù)可以很好地解決在網(wǎng)絡(luò)搭建過程中遇到的局域網(wǎng)劃分問題，方便了局域網(wǎng)的擴(kuò)展和搭建，節(jié)約了路由器的使用，降低了校園網(wǎng)的搭建成本。

參考文獻(xiàn)：

[1] 陳衛(wèi)民.基于QinQ技術(shù)的高校校園網(wǎng)研究[J].湖南城市學(xué)院學(xué)報(bào)（自然科學(xué)版），2011，20（2）：66-68.

[2] 白香芳，程丕坤.用VLAN技術(shù)配置校園網(wǎng)實(shí)例[J].電腦知識(shí)與技術(shù)，2005，1（29）：39-42.

【通聯(lián)編輯：聞翔軍】