何　亮

摘要：VLAN是一個在物理網(wǎng)絡(luò)上根據(jù)用途，工作組、應(yīng)用等來邏輯劃分的局域網(wǎng)絡(luò)，是一個廣播域，與用戶的物理位置沒有關(guān)系。VLAN中的網(wǎng)絡(luò)用戶是通過LAN交換機(jī)來通信的。一個VLAN中的成員看不到另一個VLAN中的成員。本文對VLAN (虛擬局域網(wǎng)) 技術(shù)的特點作了詳細(xì)介紹。

關(guān)鍵詞：VLAN 網(wǎng)絡(luò)管理 應(yīng)用

0 引言

VLAN的特性是：控制通信活動，隔離廣播數(shù)據(jù)順化網(wǎng)絡(luò)治理，便于工作組優(yōu)化組合，VLAN中的成員只要擁有一個VLAN ID就可以不受物理位置的限制，隨意移動工作站的位置；增加網(wǎng)絡(luò)的安全性，VLAN交換機(jī)就是一道道屏風(fēng)，只有具備VLAN成員資格的分組數(shù)據(jù)才能通過，這比用計算機(jī)服務(wù)器做防火墻要安全得多；網(wǎng)絡(luò)帶寬得到充分利用，網(wǎng)絡(luò)性能大大提高。因此，VLAN技術(shù)近年越來越廣泛的運(yùn)用到各個領(lǐng)域。

1 VLAN介紹

所謂VLAN是指處于不同物理位置的節(jié)點根據(jù)需要組成不同的邏輯子網(wǎng)，即一個VLAN就是一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡(luò)設(shè)備。VLAN允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中，共享一個廣播域。通過對VLAN的創(chuàng)建可以控制廣播風(fēng)暴的產(chǎn)生，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。同一個VLAN中的端口可以接受VLAN中的廣播包，別的VLAN中的端口則接收不到。VLAN對于網(wǎng)絡(luò)用戶來說是完全透明的，用戶感覺不到使用中與交換式網(wǎng)絡(luò)有任何的差別，但對于網(wǎng)絡(luò)管理人員則有很大的不同，因為這主要取決于VLAN的幾點優(yōu)勢：①對網(wǎng)絡(luò)中的廣播風(fēng)暴的控制；②提高網(wǎng)絡(luò)的整體安全性，通過路由訪問列表、MAC地址分配等VLAN劃分原則，可以控制用戶的訪問權(quán)限和邏輯網(wǎng)段的大小；③網(wǎng)絡(luò)管理的簡單、直觀。

2 VLAN在企業(yè)網(wǎng)絡(luò)管理中的應(yīng)用

在一個規(guī)模較大的企業(yè)中，其下屬有多個二級單位，在各單位的孤立網(wǎng)絡(luò)進(jìn)行互連時，出于對不同職能部門的管理、安全和整體網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，要進(jìn)行VLAN的劃分。

2.1子網(wǎng)分析 該網(wǎng)絡(luò)系統(tǒng)由三部分組成：公司、二級單位1、二級單位2，初始為三部分各自獨(dú)立，未形成統(tǒng)一的網(wǎng)絡(luò)環(huán)境，故各網(wǎng)絡(luò)系統(tǒng)的運(yùn)行采用的是以交換技術(shù)為主的方式。三網(wǎng)主干均采用的是千兆以太網(wǎng)技術(shù)，起點的高定位為企業(yè)的信息應(yīng)用帶來了高速、穩(wěn)定、符合國際標(biāo)準(zhǔn)的網(wǎng)絡(luò)平臺。公司中心交換機(jī)采用的是Cisco的Catalyst 6506，帶有三層路由的引擎使得企業(yè)網(wǎng)具有將來升級的能力；同時各二級單位的中心交換機(jī)采用的亦是Cisco的Catalyst 4006；各二級、三級交換機(jī)則采用的是Cisco的Catalyst 3500系列，主要因為Catalyst 3500系列交換機(jī)的高性能和可堆疊能力。

現(xiàn)三部分應(yīng)公司的要求聯(lián)網(wǎng)，網(wǎng)絡(luò)的互連仍采用千兆帶寬，但因三網(wǎng)均采用了千兆以太網(wǎng)技術(shù)，為了不在主干形成瓶頸，因此各子網(wǎng)的互連采用Trunk技術(shù)，即雙千兆技術(shù)，使網(wǎng)絡(luò)帶寬達(dá)到4G，如此既增加了帶寬，又提供了鏈路的冗余，提高了整體網(wǎng)絡(luò)的高速、穩(wěn)定、安全運(yùn)行性能。但亦由于網(wǎng)絡(luò)規(guī)模的擴(kuò)大化，信息流量的加大，人員的復(fù)雜化等原因，為企業(yè)網(wǎng)絡(luò)的安全性、穩(wěn)定性、高效率運(yùn)行帶來了新的隱患。由此引發(fā)了VLAN的劃分。

2.2 系統(tǒng)分析 VLAN劃分的四種策略 ①基于端口的VLAN 基于端口的VLAN的劃分是最簡單、最有效的VLAN劃分方法。②基于MAC地址的VLAN MAC地址其實就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的MAC地址都是唯一的?；贛AC地址的VLAN劃分其實就是基于工作站、服務(wù)器的VLAN的組合。③基于路由的VLAN 路由協(xié)議工作在七層協(xié)議的第三層：網(wǎng)絡(luò)層，即基于IP和IPX協(xié)議的轉(zhuǎn)發(fā)。這類設(shè)備包括路由器和路由交換機(jī)。該方式允許一個VLAN跨越多個交換機(jī)，或一個端口位于多個VLAN中。④基于策略的VLAN 基于策略的VLAN的劃分是一種比較有效而直接的方式。這主要取決于在VLAN的劃分中所采用的策略。

就目前來說，對于VLAN的劃分主要采用1、3兩種模式，對于方案2則為輔助性的方案。

VLAN的劃分設(shè)計之后，再所涉及的就是VLAN劃分的最后一步：VLAN間的互連。在以前對VLAN的劃分主要是通過路由器來實現(xiàn)的，但隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大、信息量的增加，路由器無論是從端口數(shù)還是系統(tǒng)性能上來說都已經(jīng)不堪負(fù)荷，因此逐漸形成了產(chǎn)生網(wǎng)絡(luò)瓶頸的主要原因。而在現(xiàn)在，因為有了基于交換機(jī)上的三層路由的能力，在上述兩點已經(jīng)得到合理地解決。對于Cisco的產(chǎn)品劃分，VLAN主要是基于兩種標(biāo)準(zhǔn)協(xié)議：ISL和802.1Q。在我們這里，因為所采用的均是Cisco的網(wǎng)絡(luò)設(shè)備，故在進(jìn)行VLAN間的互連時采用ISL的協(xié)議封裝，該協(xié)議針對Cisco網(wǎng)絡(luò)設(shè)備的硬件平臺在信息流的處理、多媒體應(yīng)用的優(yōu)化進(jìn)行了合理有效的優(yōu)化。由于本案例中關(guān)于VLAN的劃分?jǐn)U展了各個交換機(jī)，所以交換機(jī)之間的連接都必須采用Trunk的方式。經(jīng)理辦和供銷子網(wǎng)代表了VLAN劃分中的兩種問題——擴(kuò)展交換機(jī)VLAN的劃分和端口VLAN的劃分：在經(jīng)理辦虛網(wǎng)中，對于一個交換機(jī)擴(kuò)展多個VLAN的時候，前面提到了該交換機(jī)與其上層交換機(jī)間必須采用Trunk方式連接，但在供銷的虛網(wǎng)劃分中，在二級單位1中的供銷獨(dú)立于一個LAN交換機(jī)Catalyst3548，所以在這里，Catalyst3548與二級中心交換機(jī)Catalyst4006只需采用正常的交換式連接即可，對于此部分供銷VLAN的劃分，只要在Catalyst4006上針對與Catalyst3548連接的端口進(jìn)行劃分即可。也就是前面提到的基于端口的VLAN的劃分。

2.3 路由列表 做完了VLAN之間的連接后，因為兩個Catalyst4006與主中心交換機(jī)Catalyst6506間采用的是雙光纖通道式連接，屏蔽了Catalyst406與Catalyst6506間的線路故障的產(chǎn)生，所以要對整體網(wǎng)絡(luò)的路由進(jìn)行基于Catalyst6506的集中式管理。我們在主中心交換機(jī)Catalyst6506上設(shè)置了VLAN路由：經(jīng)理辦虛網(wǎng)：192.168.1.1/22；財務(wù)虛網(wǎng)：192.168.3.1/22；供銷虛網(wǎng)：192.168.6.1/22；信息中心虛網(wǎng)：192.168.7.1/24；其余虛網(wǎng)：192.168.8.1/22；接下來，在中心交換機(jī)上設(shè)置路由協(xié)議RIP或OSPF，并指定網(wǎng)段192.168.0.0。

3 需要注意的問題

3.1 在這里需要注意的是：因為整個公司的網(wǎng)絡(luò)系統(tǒng)的VLAN的劃分是作為一個整體結(jié)構(gòu)來設(shè)計的，所以為了保持VLAN列表的一致性，例如當(dāng)二級單位1的VLAN有所變化時，VLAN列表也會有所變化，這時就需要該Catalyst 4006對整體網(wǎng)絡(luò)的其他部分進(jìn)行廣播，以達(dá)到VLAN的列表的一致性。所以在設(shè)置VTP（VLAN Trunk Protocol）時要注意，要將VTP的域作為一個整體，即：VTP類型分別為Server和Client。

3.2 有些企業(yè)建網(wǎng)較早，所選用的網(wǎng)絡(luò)設(shè)備為其他的廠商的產(chǎn)品，而后期的產(chǎn)品又不能與前期統(tǒng)一，這樣在VLAN的劃分中就會遇到些問題。

4 結(jié)束語

總之，隨著網(wǎng)絡(luò)硬件性能的不斷提高和成本的不斷降低，目前新建立的局域網(wǎng)基本上都采用了性能先進(jìn)的快速以太網(wǎng)或千兆網(wǎng)技術(shù)，其核心交換機(jī)采用三層交換機(jī)，它能很好地支持VLAN技術(shù)，在安全性和穩(wěn)定性方面都有了很大的提升，為各種業(yè)務(wù)的開展提供了可靠的保證。

參考文獻(xiàn)：

[1]舒鑫柱,舒虹.VLAN配置實驗的模擬實現(xiàn)探討[J].實驗科學(xué)與技術(shù).2008.(06):58-60.

[2]俞利君.用VLAN技術(shù)實現(xiàn)Windows Server 2003局域網(wǎng)組網(wǎng)實訓(xùn)[J].電子技術(shù).2008.(11):6-9.