戴英如

（浙江省稅務(wù)干部學(xué)校，浙江 湖州 313000）

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)已作為信息社會(huì)的基礎(chǔ)設(shè)施滲透了社會(huì)的各個(gè)領(lǐng)域。在快速高效的信息時(shí)代，如何更好地利用網(wǎng)絡(luò)技術(shù)來提高工作效率，保障信息安全性，就需要我們?cè)诰W(wǎng)絡(luò)管理及應(yīng)用中充分利用好VLAN技術(shù)。

1 VLAN技術(shù)簡介及產(chǎn)生

VLAN技術(shù)是一項(xiàng)為實(shí)現(xiàn)虛擬工作組而將網(wǎng)絡(luò)由物理劃分改為邏輯劃分的新興技術(shù)，該技術(shù)允許網(wǎng)絡(luò)管理人員將原先一個(gè)大的物理上的局域網(wǎng)按照邏輯功能或?qū)傩詣澐殖扇舾蓚€(gè)不同的虛擬局域網(wǎng)（即VLAN），每個(gè)VLAN都可以包含多臺(tái)有著相似硬件配置和數(shù)據(jù)需求的終端，但因?yàn)閮H僅是從邏輯上進(jìn)行劃分，所以可以避免物理位置的限制，這在很大程度上減少了網(wǎng)絡(luò)設(shè)備物理位置移動(dòng)、增減和維護(hù)等方面的支出，也使得管理員的管理更為便捷。同時(shí)，由于它們有著同樣的數(shù)據(jù)流控制和接入訪問權(quán)限等功能，所以同一個(gè)VLAN內(nèi)的終端在各自廣播或單播數(shù)據(jù)流時(shí)不會(huì)在相互之間進(jìn)行轉(zhuǎn)發(fā),從而可以很好的控制整個(gè)系統(tǒng)總線上的流量，減少干擾，極大地提高網(wǎng)絡(luò)安全性。

在現(xiàn)實(shí)網(wǎng)絡(luò)運(yùn)用過程中，網(wǎng)絡(luò)應(yīng)用的需求不斷增加，很多網(wǎng)絡(luò)設(shè)備逐漸添加到網(wǎng)絡(luò)鏈路中，從而導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，雖然管理者使用路由器和交換機(jī)能在一定程度上實(shí)現(xiàn)不同的用戶劃分，也可提供局域網(wǎng)之間的網(wǎng)絡(luò)互聯(lián)，但也不可避免的導(dǎo)致網(wǎng)絡(luò)時(shí)延的增加，降低網(wǎng)絡(luò)的通信效率。當(dāng)然，在現(xiàn)實(shí)應(yīng)用中，交換機(jī)可以隔離網(wǎng)絡(luò)沖突域，但在廣播報(bào)文特別多的情況下仍會(huì)造成廣播風(fēng)暴，而如果通過路由器進(jìn)行隔離，則會(huì)受到廣播域劃分和物理位置的限制，缺乏足夠的靈活性。

VLAN技術(shù)正是基于以上多種原因并伴隨著技術(shù)的不斷進(jìn)步而產(chǎn)生的。它把交換機(jī)組成的網(wǎng)絡(luò)在邏輯上分割成多個(gè)廣播域，通過減少每個(gè)域的廣播流量，同時(shí)限制不同VLAN之間的通信，從而提高網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全效率，同時(shí)它也很好地解決了交換機(jī)之間的網(wǎng)絡(luò)訪問效率和訪問控制問題，部門之間可根據(jù)實(shí)際需要設(shè)置VLAN之間的通信和訪問規(guī)則。VLAN劃分方法有人不受物理位置的限制，網(wǎng)絡(luò)管理員可通過命令或網(wǎng)絡(luò)管理軟件進(jìn)行VLAN的劃分，大大增加了VLAN劃分的靈活性。圖1中相同圖標(biāo)的計(jì)算機(jī)代表一個(gè)VLAN。

圖1 VLAN劃分示意圖

2 VLAN技術(shù)的特點(diǎn)

與傳統(tǒng)的局域網(wǎng)組網(wǎng)技術(shù)相比，VLAN組網(wǎng)技術(shù)具有以下幾個(gè)特點(diǎn)：

（1）可以有效避免廣播風(fēng)暴。將一個(gè)大型局域網(wǎng)劃分成多個(gè)VLAN，不僅可以減少局域網(wǎng)內(nèi)參與廣播風(fēng)暴的設(shè)備數(shù)量，還可以建立高效的防火墻機(jī)制，使一個(gè)VLAN中的廣播不會(huì)外泄。還可根據(jù)需要設(shè)定VLAN組，使其可以跨接多個(gè)以太網(wǎng)交換機(jī)。

（2）可以提高網(wǎng)絡(luò)性能與訪問效率。將網(wǎng)絡(luò)劃分成多個(gè)邏輯工作組后就可以減少網(wǎng)絡(luò)干線上不必要的信息流量，極大地提高傳輸性能。同時(shí)，還可以將具有同一邏輯特征的用戶和網(wǎng)絡(luò)設(shè)備聚合到一起，以支持相同的業(yè)務(wù)需求。

（3）可以提高網(wǎng)絡(luò)安全性和組網(wǎng)靈活性。VLAN不僅改變了網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，使其變得更加靈活，還可以有效控制網(wǎng)絡(luò)中不同站點(diǎn)之間相互訪問以及隔離不同局域網(wǎng)內(nèi)數(shù)據(jù)報(bào)文的傳輸，如果需要交換數(shù)據(jù)，則需要通過路由器或三層交換設(shè)備來完成。

（4）可以大大降低網(wǎng)絡(luò)設(shè)備增減、移動(dòng)和維護(hù)的成本。由于VLAN的劃分和組建與網(wǎng)絡(luò)設(shè)備的物理位置無關(guān)，所以在調(diào)整局域網(wǎng)內(nèi)的VLAN數(shù)量、屬性和終端時(shí)，只需改變系統(tǒng)的網(wǎng)絡(luò)管理參數(shù)（如交換機(jī)端口號(hào)）即可，在很大程度上降低了管理成本，既快速又便捷。

3 VLAN之間的通信

圖2 利用路由器實(shí)現(xiàn)不同VLAN間的通信

VLAN之間的通信從硬件實(shí)現(xiàn)原理上看主要有外部路由器和內(nèi)部路由模塊兩種方式。外部路由器方式就是通過在交換機(jī)設(shè)備之外另外設(shè)置一個(gè)具備第三層路由功能的獨(dú)立路由器，并用它來實(shí)現(xiàn)不同VLAN之間的通信。通常采用的方法有以下兩種，一種是將路由器上不同物理的接口分別與交換機(jī)上的每個(gè)VLAN進(jìn)行連接，這種方法的好處是管理相對(duì)簡單，但在很大程度上會(huì)限制網(wǎng)絡(luò)的擴(kuò)展，因?yàn)槊吭黾右粋€(gè)新的VLAN，都需要分配一個(gè)路由器端口，還需要重新布設(shè)一條網(wǎng)線，隨著網(wǎng)絡(luò)的增加就需要更換更多端口的路由器和增加網(wǎng)線，從而增加網(wǎng)絡(luò)建設(shè)成本。第二種是將路由器上的邏輯子接口與交換機(jī)的每個(gè)VLAN連接，這種方法是通過在一個(gè)物理端口上設(shè)置多個(gè)邏輯子接口來實(shí)現(xiàn)網(wǎng)絡(luò)擴(kuò)展，因此網(wǎng)絡(luò)擴(kuò)展比較方便而且成本較低，但是路由器的配置要相對(duì)復(fù)雜，而且要求也相對(duì)較高，既要保證路由器和交換機(jī)的端口都支持匯聚鏈接，還要能具有相同的匯聚鏈路協(xié)議。從總體功能實(shí)現(xiàn)來說，VLAN可以實(shí)現(xiàn)單個(gè)交換機(jī)的和跨交換機(jī)之分，主要還是通過交換機(jī)和路由器的Trunk端口設(shè)置上的不同來實(shí)現(xiàn)路由設(shè)計(jì)的不同（如下圖2）。

內(nèi)部路由模塊方式在系統(tǒng)實(shí)現(xiàn)上則比較簡單，通常是將交換機(jī)的第二層功能與路由器的第三層功能集成到一個(gè)高端的網(wǎng)絡(luò)設(shè)備中，這種設(shè)備被稱之為三層交換機(jī)，并通過第三層交換技術(shù)由交換機(jī)內(nèi)部的路由模塊來實(shí)現(xiàn)不同VLAN之間的通信，而不需要借助于外部路由器。簡單的說，第三層交換技術(shù)也即“二層交換技術(shù)+三層轉(zhuǎn)發(fā)”，這種技術(shù)的出現(xiàn)，很好的解決了局域網(wǎng)中網(wǎng)段劃分之后子網(wǎng)必須依賴路由器進(jìn)行管理的局面，同時(shí)也解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題（如下圖3）。

圖3 三層交換機(jī)設(shè)置拓?fù)鋱D

4 VLAN技術(shù)的應(yīng)用及實(shí)踐

很多單位往往出于管理和保密等方面原因考慮，要求各部門之間與外部單位之間以及有隸屬關(guān)系部門之間獨(dú)立組成一個(gè)局域網(wǎng)，各網(wǎng)絡(luò)之間不允許互相訪問，面對(duì)這種情況，VLAN就是最好的解決方法。為了完成相應(yīng)的網(wǎng)組任務(wù)，網(wǎng)絡(luò)管理員需要收集各部門的人員組成、職能、辦公室位置以及交換機(jī)鏈接的端口等信息。根據(jù)部門人員情況和主機(jī)數(shù)量對(duì)交換機(jī)的端口進(jìn)行配置，建立符合規(guī)模需求的局域網(wǎng)，并合理設(shè)置中繼站點(diǎn)，最后再把這個(gè)公用的局域網(wǎng)劃分出若干個(gè)虛擬局域網(wǎng)，這樣就可以最大限度的減少局域網(wǎng)內(nèi)的廣播風(fēng)暴，同時(shí)提高網(wǎng)絡(luò)傳輸性能，也方便對(duì)虛擬局域網(wǎng)的維護(hù)。

三層交換機(jī)的VLAN的配置非常靈活，以上圖3為例進(jìn)行配置，具體步驟如下：

（1）在三層交換機(jī)上配置啟動(dòng)路由

（2）配置VLAN1的IP地址（3）三層交換機(jī)上配置路由接口

（4）在三層交換機(jī)上配置動(dòng)態(tài)路由

5 結(jié)束語

本文以實(shí)際應(yīng)用作為基本出發(fā)點(diǎn)，對(duì)VLAN技術(shù)概況及產(chǎn)生原因、技術(shù)特點(diǎn)、通信模式及應(yīng)用等問題進(jìn)行闡述和分析，從而也直觀的了解到對(duì)于一個(gè)大型的局域網(wǎng)而言，劃分成多個(gè)VLAN是有顯著好處的，它不僅有效的控制廣播風(fēng)暴，還可以提高網(wǎng)絡(luò)處理能力，并在很大程度上消除對(duì)重要信息的監(jiān)聽，提高網(wǎng)絡(luò)的安全性和組織的靈活定，可以大大提高網(wǎng)絡(luò)管理員的工作效率。

［1］周虹.VLAN技術(shù)及其在局域網(wǎng)中的應(yīng)用[J].電腦知識(shí)與技術(shù),2010(36).

［2］葉勇健.VLAN技術(shù)淺析[J].電腦編程技巧與維護(hù),2011(24).

［3］常勝.VLAN技術(shù)的發(fā)展及其在校園網(wǎng)中的應(yīng)用[J].硅谷,2011.(19).

［4］呂叁妮.VLAN技術(shù)在校園網(wǎng)中的應(yīng)用綜述[J].軟件導(dǎo)刊,2012(09).

［5］高鵬飛.VLAN和Trunk技術(shù)在局域網(wǎng)建設(shè)中的應(yīng)用[J].信息與電腦：理論版,2013(07).

［6］王淞.VLAN技術(shù)在局域網(wǎng)建設(shè)中的應(yīng)用探究[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2013(1).

［7］李維峰.基于VLAN技術(shù)的局域網(wǎng)絡(luò)建設(shè)[J].計(jì)算機(jī)與網(wǎng)絡(luò),2014(7).