劉紅艷

摘要虛擬局域網(wǎng)(VLAN)技術(shù)是目前網(wǎng)絡(luò)技木中的一項(xiàng)重要技術(shù)。又章王要介紹了VIAN技木原理、優(yōu)點(diǎn)及其劃分，闡述了VLAN技術(shù)在管理維護(hù)校園網(wǎng)系統(tǒng)中所起的作用以及在校園網(wǎng)中用交換機(jī)配置VLAN的步驟，解決了校園網(wǎng)中存在的廠播風(fēng)暴和安全性問題。

關(guān)鍵詞VLAN，網(wǎng)絡(luò)，交換機(jī)，校園網(wǎng)

中圖分類號(hào)TP3931文獻(xiàn)標(biāo)志碼A文章編號(hào)：1006-8228(2012)01-14-02

0引言

在傳統(tǒng)的以太網(wǎng)絡(luò)上，所有的交換機(jī)的端口都在同一個(gè)廣播域里面，所以當(dāng)一臺(tái)主機(jī)發(fā)出廣播時(shí)，其他的主機(jī)都可以收到這個(gè)廣播。隨著校園網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)上的主機(jī)越來越多，廣播也就越來越多，網(wǎng)絡(luò)的傳輸效率將會(huì)明顯下降甚至形成廣播風(fēng)暴，引起網(wǎng)絡(luò)堵塞”。針對(duì)于此，引用了VLAN技術(shù)。

1VLAN技術(shù)原理

VLAN(Vtrtual LAN)，即虛擬LAN。VLAN技術(shù)將整個(gè)交換網(wǎng)絡(luò)分為多個(gè)廣播域，每一個(gè)VLAN是建立在一臺(tái)或多臺(tái)交換機(jī)上的一個(gè)廣播域，交換機(jī)按照橋接協(xié)議為每一個(gè)單獨(dú)的VLAN進(jìn)行獨(dú)立的橋接工作，也就是說，每一個(gè)VLAN都像一臺(tái)獨(dú)立的網(wǎng)橋一樣在工作。被分配在一個(gè)VLAN里的主機(jī)通過交換機(jī)只能和本VLAN的主機(jī)通信。

2VIAN技術(shù)優(yōu)點(diǎn)

2.1增加了網(wǎng)絡(luò)的連接靈活性

借助VLAN技術(shù)，能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境，用戶就像使用本地LAN一樣方便、靈活、有效。VLAN可以大大降低移動(dòng)或變更工作站地理位置的管理費(fèi)用。

2.2增強(qiáng)了網(wǎng)絡(luò)安全性

在交換機(jī)上劃分VLAN以后，不同的VLAN之間將不能直接通信，VLAN間的通信必須通過路由器或三層交換機(jī)等三層設(shè)備。這在很大程度上確保了網(wǎng)絡(luò)的安全保密性。

2.3控制廣播風(fēng)暴

由于不同的VLAN有著各自獨(dú)立的廣播域，而廣播只能在本地VLAN內(nèi)進(jìn)行，從而大大減少了廣播對(duì)網(wǎng)絡(luò)帶寬的占用，提高了帶寬傳輸效率，并可以有效地避免廣播風(fēng)暴的產(chǎn)生。即使有—個(gè)VLAN產(chǎn)生了廣播風(fēng)暴，也不會(huì)影響另外的VLAN。

3.VLAN的分類

VLAN的基本分組方法取決于VLAN的分組策略，而這些策略需要VLAN交換機(jī)上管理軟件的支持。目前，以交換式以太網(wǎng)為基礎(chǔ)實(shí)現(xiàn)VLAN技術(shù)主要有以下幾種方法。

3.1基于端口的VIAN

這種方法是直接在交換機(jī)上以命令的方式將交換機(jī)上的某一個(gè)端口歸屬于某一個(gè)VLAN。所以應(yīng)用這種VLAN時(shí)，網(wǎng)絡(luò)管理員需要在交換機(jī)上一個(gè)端口一個(gè)端口地配置該端口屬于哪個(gè)VLAN。這種分組的優(yōu)點(diǎn)是簡單、容易實(shí)現(xiàn)，缺點(diǎn)是不-夠靈活，當(dāng)-+終端發(fā)生物理位置變化時(shí)要重新設(shè)置。例如，當(dāng)有人員變動(dòng)的時(shí)候，員工的計(jì)算機(jī)可能也要從—個(gè)辦公室搬到另外—個(gè)辦公室，連接到另外一臺(tái)交換機(jī)上，如果該交換機(jī)上連接這個(gè)新來的員工的端口不是他應(yīng)該進(jìn)入的VL#JN，就需要到那臺(tái)交換機(jī)上去手動(dòng)地修改。

3.2基于MAC地址的VLAN

基于MAC地址的VLAN也叫動(dòng)態(tài)VLAN，它是通過使用網(wǎng)管軟件分配主機(jī)的MAC地址的方式建立的。當(dāng)一臺(tái)主機(jī)接入網(wǎng)絡(luò)時(shí)，它會(huì)詢問數(shù)據(jù)庫自己屬于哪個(gè)VLAN，而網(wǎng)絡(luò)管理軟件會(huì)根據(jù)主機(jī)的MAC地址將它分配到相應(yīng)的VLAN里。

因此，在使用基于MAC地址的VLAN的交換網(wǎng)絡(luò)里，移動(dòng)辦公的用戶可以把自己的筆記本電腦連接到任何一臺(tái)交換機(jī)上，而他所屬于的VLAN不變，網(wǎng)絡(luò)管理員也不用在任何交換機(jī)的端口上作任何改動(dòng)。這種方式的優(yōu)點(diǎn)是VLAN的配置方便靈活，允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置，并自動(dòng)保留其所屬虛擬網(wǎng)段成員身份。缺點(diǎn)是網(wǎng)絡(luò)管理軟件價(jià)格比較昂貴，只有在大規(guī)模的網(wǎng)絡(luò)里才會(huì)使用，小規(guī)模的網(wǎng)絡(luò)還是使用基于端口的VLAN比較好。

3.3基于協(xié)議的VLAN

基于協(xié)議的VLAN是根據(jù)子網(wǎng)的不同劃分VLAN的，工作方式上類似動(dòng)態(tài)VLAN，只不過是基于邏輯地址的。

由于在實(shí)施DHCP的網(wǎng)絡(luò)里使用該類VLAN有問題，所以基于協(xié)議的VLAN已經(jīng)不再常用。

4VLAN配置在校園網(wǎng)中的應(yīng)用

4.1網(wǎng)絡(luò)構(gòu)建規(guī)劃

現(xiàn)結(jié)合某高校的校園網(wǎng)絡(luò)設(shè)備，介紹一下VLAN的配置。

由于校園網(wǎng)系統(tǒng)內(nèi)的用戶相對(duì)比較固定，并沒有大量的移動(dòng)，我們根據(jù)學(xué)校實(shí)際情況，確定使用基于端口的VLAN的分組方式。該校的校園網(wǎng)共有節(jié)點(diǎn)100多個(gè)，有辦公樓、教學(xué)樓、兩個(gè)機(jī)房，為了方便管理，校園網(wǎng)按一幢樓一個(gè)VLAN，—個(gè)機(jī)房一個(gè)VLAN的原則來劃分VLAN，所以總共有四個(gè)VLAN。中心交換機(jī)采用思科6500系列交換機(jī)，樓層交換機(jī)全部采用思科2950系列交換機(jī)，電信寬帶經(jīng)硬件防火墻接入校園網(wǎng)，各樓層間的交換機(jī)經(jīng)千兆光纖與中心交換機(jī)相連。VLAN按樓層交換機(jī)上直接端口劃分，對(duì)與中心交換機(jī)連接的光纖端口設(shè)置成主干線路，這樣在樓層交換機(jī)上可以同時(shí)定義多個(gè)VLAN，各VLAN之間的通訊通過在三層中心交換機(jī)上設(shè)置三層路由協(xié)議實(shí)現(xiàn)。

不同VLAN之間計(jì)算機(jī)的通訊，需要把兩臺(tái)交換機(jī)的級(jí)聯(lián)端口設(shè)置為Trunk端口。這樣，當(dāng)交換機(jī)把數(shù)據(jù)包從級(jí)聯(lián)端口發(fā)出去的時(shí)候，會(huì)在數(shù)據(jù)包中做一個(gè)標(biāo)記(TAG)，以使其它交換機(jī)識(shí)別該數(shù)據(jù)包屬于哪一個(gè)VLAN。其他交換機(jī)收到這樣一個(gè)數(shù)據(jù)包后，只會(huì)將該數(shù)據(jù)包轉(zhuǎn)發(fā)到標(biāo)記中指定的VLAN，從而完成了跨越交換機(jī)的VLAN內(nèi)部數(shù)據(jù)傳輸。

4.2交換機(jī)VLAN的配置過程

我們?cè)O(shè)定中心交換機(jī)名稱為A，分支交換機(jī)分別為PAl、PA2、PAB，分別通過Port l的光線模塊與中心交換機(jī)相連，并且假設(shè)VLAN名稱分別為發(fā)BGL、JXL、JFl

4.2.1設(shè)置VTP DOMAIN

交換VTP更新信息的所有交換機(jī)必須配置為相同的管理域。如果所有的交換機(jī)都以中繼線相連，那么只要在核心交換機(jī)上設(shè)置一個(gè)管理域，網(wǎng)絡(luò)上所有的交換機(jī)都加入該域，這樣管理域里所有的交換機(jī)就能夠了解彼此的VLAN列表。

A#vlan database進(jìn)入VLAN配置模式

A(vlan)#vtp domain COM設(shè)置VTP管理域名稱COM

A(vlan)#vtp server設(shè)置交換機(jī)為服務(wù)器模式

PAl#vlan database進(jìn)入VLAN配置模式

PAl(vlan)#vtp domain COM設(shè)置VTP管理域名稱COM

PAl(vlan)#vtp Chent設(shè)置交換機(jī)為客尸端模式

PA2#vlan database 進(jìn)入VLAN配置模式

PA2(vlan)#vtp domain COM設(shè)置VTP管理域名稱COM

PA2(vlan)#vtp Client設(shè)置交換機(jī)力客戶端模式

4.2.2配置VLAN TTLLl3k端口

干道技術(shù)可以在一條物理線路上讓來自多個(gè)VLAN數(shù)據(jù)通過。為了達(dá)到這個(gè)目的，每一個(gè)通過干道傳輸?shù)臄?shù)據(jù)幀都要

標(biāo)記上VLAN ID，以使接收這個(gè)數(shù)據(jù)幀的交換機(jī)知道這個(gè)數(shù)據(jù)幀是由屬于哪個(gè)VLAN的主機(jī)發(fā)送的。

在交換機(jī)上有兩種鏈路訪問鏈路(Access Link)和干道鏈路(Trunk Lmk)。訪問鏈路連接的是一般的屬于某個(gè)VLAN的終端，干道鏈路連接的是交換機(jī)。在中心交換機(jī)端配置如下A(conflg)#mtefface0/1 A(config-lf)#swdchport trunk encapsulation IsI指定封裝類型A(config-ff)#sw=tchport mode trunk配置士前端口力Trunk模式A(conflg)#mterface f0/2 A(config-ff)#swetchport trunk encapsulation lsI指定封裝類型A(conflg-ff)#swltchport mode trunk配置當(dāng)前端口為Tmnk模式A(config)#mterface fo/3 A(config-lf)#swltchport trunk encapsulation IsI指定封裝類型A(config-ff)#swltchport mode trunk配置當(dāng)前端口力Trunk模式在分支交換機(jī)瑞配置如下PAl(config)#mterface fo/241 PAl(config-ff)#swltchport mode trunk PA2(config)#mterface f0/24

4.2.3創(chuàng)建VIAN

在管理域中的任何一臺(tái)VTP屬性為Server的交換機(jī)上建立VLAN，它就會(huì)通過VTP通告整個(gè)管理域中的所有的交換機(jī)。這里的VLAN是在中心交換機(jī)上建立的。

A(vlan)VIan 10 name BGL創(chuàng)建了一個(gè)編號(hào)為10名字力BGL

的VLAN

A(vlan)#Vlan 20 name JXL創(chuàng)建了一個(gè)編號(hào)為20名字力JXL的

VLAN

A(vlan)#Vlan 30 name JFl創(chuàng)建了一個(gè)編號(hào)為30名字為JFl

的VLAN

4.2.4將交換機(jī)端口劃入VLAN

例如，要將PAl、PA2、PA3分支交換機(jī)的端口l劃入BGLVLAN，端口2劃入JXL VLAN，端口3劃入JFl VLAN

PAl fconfig)#mterface fastEthernet 0/1配置瑞口1

PAl(config-ff)#switchport access vlan 10歸屬BGL VLAN

PAl(config)#mterface fastEthernet O/2配置端口2

PAl(config-ff)#swltchport access vlan 20歸屬JXL VLAN

PAl(config)nterface fastEthernet 0/3配置端口3

PAl(config-if)#swltchpon access vlan 30歸屬JFl VLAN

PA2(config沖nterface fastEthemet 0/1配置端口1

PA2(config-ff)#swrtchpon access vlan 10歸屬BGL VLAN

PA2(config)nterface fastEthernet 0/2配置端口2

4.2.5配置三層交換

VLAN劃分完畢后，為了實(shí)現(xiàn)VLAN間的三層(網(wǎng)絡(luò)層)交換，就要給各VLAN分配網(wǎng)絡(luò)(IP)地址。給VLAN分配IP地址分兩種情況，其一，給VLAN所有的節(jié)點(diǎn)分配靜態(tài)IP地址，其二，給VLAN所有的節(jié)點(diǎn)分配動(dòng)態(tài)IP地址。本文就靜態(tài)IP地址的分配為例作一介紹。

VLAN BGL分配的接口Ip地址為192168 1 1/24，網(wǎng)絡(luò)地址為

1921681 0

VLAN JXL分配的接口lp地址力19216821/24，網(wǎng)絡(luò)地址力

192168 2 0

VLAN JFl分配的接口Ip地址為192168.31/24，網(wǎng)絡(luò)地址為

192168 3 0

這種劃分完全滿足目前或?qū)淼膽?yīng)用需要，同時(shí)還降低了管理工作量，增強(qiáng)了管理力度。

首先在中心交換機(jī)上分別設(shè)置各VLAN的接口IP地址。中心交換機(jī)將vlan做為一種接口對(duì)待。

A(config瑚nterface vlan 10

A(configlp address 192 188 1 1 255 255 255 0 VLANl0接

IP

A(config)#~nterface vlan 20

A(config-d)#=p address 192 168 2 1 255 255 255 0 VLAN20接

JP

再在各接入VLAN的計(jì)算機(jī)上設(shè)置與所屬VLAN的網(wǎng)絡(luò)地址—致的IP地址，并且把默認(rèn)網(wǎng)關(guān)設(shè)置為該VLAN的接口地址。這樣，所有的VLAN也可以互訪了。

5結(jié)束語

VLAN技術(shù)的應(yīng)用，使校園網(wǎng)各項(xiàng)功能得到了優(yōu)化，大大提高了網(wǎng)絡(luò)用戶的工作效率，減少了網(wǎng)絡(luò)安全故障的發(fā)生。隨著校園網(wǎng)用戶數(shù)量的不斷增多，VLAN技術(shù)將會(huì)得到更加廣泛的應(yīng)用和發(fā)展。