李琴

摘要：VLAN是一種常見(jiàn)的組網(wǎng)技術(shù)，在園區(qū)網(wǎng)中得到廣泛的應(yīng)用。本文介紹了VLAN工作的基本原理，VLAN相關(guān)協(xié)議，并在Packet Tracer下對(duì)VLAN進(jìn)行仿真，具體包括VLAN的劃分、VLAN間路由的實(shí)現(xiàn)等，幫助大家更好地理解和掌握VLAN，熟悉VLAN的應(yīng)用。

關(guān)鍵詞：VLAN；802.1Q；VTP；扁平式網(wǎng)絡(luò)；單臂路由；第三層交換

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2015）22-0030-04

1概述

交換機(jī)是重要的網(wǎng)絡(luò)設(shè)備之一，工作在數(shù)據(jù)鏈路層，主要功能是根據(jù)MAC地址和交換機(jī)端口進(jìn)行快速的數(shù)據(jù)轉(zhuǎn)發(fā)。在傳統(tǒng)工作模式下，交換機(jī)上是不進(jìn)行網(wǎng)絡(luò)劃分的，交換機(jī)連接的設(shè)備處于一個(gè)廣播域中，這樣的組網(wǎng)結(jié)構(gòu)稱(chēng)為扁平式網(wǎng)絡(luò)[1]。扁平式網(wǎng)絡(luò)無(wú)法隔絕廣播，缺乏對(duì)網(wǎng)絡(luò)端口的有效控制，這種網(wǎng)絡(luò)結(jié)構(gòu)存在安全和性能兩個(gè)方面的問(wèn)題。在安全上，攻擊者可以很容易的加入網(wǎng)絡(luò)，并在物理層面上對(duì)網(wǎng)絡(luò)中的鏈路進(jìn)行監(jiān)聽(tīng)；在性能上，由于無(wú)法隔絕廣播，需要面對(duì)廣播風(fēng)暴的潛在風(fēng)險(xiǎn)[2]。這些問(wèn)題隨著網(wǎng)絡(luò)的高速發(fā)展，網(wǎng)絡(luò)用戶(hù)的急劇增加，變得更加突出。

VLAN技術(shù)的出現(xiàn)有效地解決了這些問(wèn)題。本文將對(duì)VLAN技術(shù)展開(kāi)研究，首先介紹VLAN技術(shù)工作的基本原理，然后在Packet Tracer平臺(tái)上對(duì)VLAN技術(shù)進(jìn)行網(wǎng)絡(luò)仿真，包括VLAN劃分、VLAN協(xié)議的配置及VLAN間路由的實(shí)現(xiàn)等，幫助大家更好地理解VLAN技術(shù)，掌握其應(yīng)用。

2 VLAN基本原理

所謂VLAN是虛擬局域網(wǎng)的意思，是應(yīng)用在交換機(jī)上的一種技術(shù)，其核心思想是通過(guò)交換機(jī)在鏈路層上實(shí)現(xiàn)了網(wǎng)段劃分，這種劃分是一種邏輯劃分，將一個(gè)網(wǎng)絡(luò)劃分成若干個(gè)虛擬的局域網(wǎng)。

VLAN 的劃分十分靈活，不受物理位置的限制。一個(gè)VLAN是一個(gè)完整的網(wǎng)絡(luò)，具備了一個(gè)物理網(wǎng)段所應(yīng)該有的所有特性。同一VLAN 內(nèi)的主機(jī)可相互直接通信，而不同VLAN 間主機(jī)的相互訪(fǎng)問(wèn)必須經(jīng)路由設(shè)備來(lái)轉(zhuǎn)發(fā)，VLAN在鏈路層實(shí)現(xiàn)了網(wǎng)絡(luò)的劃分，因此VLAN是隔絕廣播的，廣播數(shù)據(jù)包只可在本VLAN內(nèi)進(jìn)行廣播，不能傳輸?shù)狡渌黇LAN 中[3]。這使得交換機(jī)具備了隔絕廣播的功能，從而有效地解決了廣播風(fēng)暴的問(wèn)題。同時(shí)，這樣的劃分減小了網(wǎng)絡(luò)的規(guī)模，加強(qiáng)了對(duì)各個(gè)網(wǎng)段的管理，提高了網(wǎng)絡(luò)的安全性。

VLAN的劃分既可以在單個(gè)交換機(jī)上，也可以跨多個(gè)交換機(jī)。VLAN劃分的前提是交換機(jī)要支持VLAN技術(shù)，當(dāng)然目前多數(shù)交換機(jī)都提供了對(duì)VLAN的支持。

2.1單機(jī)VLAN

3 VLAN協(xié)議

VLAN技術(shù)的實(shí)現(xiàn)需要協(xié)議的支持，按功能來(lái)分，有兩種VLAN協(xié)議。

3.1 ISL與802.1Q

VLAN內(nèi)的主機(jī)需要跨交換機(jī)進(jìn)行通信，如圖2所示，那么如何判定數(shù)據(jù)幀是屬于VLAN10還是VLAN20呢？

一種簡(jiǎn)單的方法就是對(duì)數(shù)據(jù)幀做標(biāo)記（tag），也就是在傳統(tǒng)數(shù)據(jù)幀前加上新的VLAN頭，通過(guò)VLAN標(biāo)記（VLAN ID）來(lái)區(qū)分來(lái)自不同VLAN的數(shù)據(jù)幀。這由ISL協(xié)議來(lái)實(shí)現(xiàn)，ISL的主要作用就是為數(shù)據(jù)幀打上VLAN標(biāo)簽。

802.1Q與ISL具有相同的功能，區(qū)別是前者是Cisco的協(xié)議，后者是IEEE標(biāo)準(zhǔn)協(xié)議。

3.2 VTP與GVRP

VLAN能夠進(jìn)行靈活的網(wǎng)絡(luò)劃分，并且交換機(jī)端口的VLAN劃分是可以改變的，人們可以將某個(gè)交換機(jī)端口從一個(gè)VLAN劃分到另一個(gè)VLAN。當(dāng)VLAN劃分發(fā)生變化時(shí)，需要進(jìn)行VLAN信息的同步，這是VTP協(xié)議的主要工作。VTP協(xié)議主要用于管理在同一個(gè)域的網(wǎng)絡(luò)范圍內(nèi)VLAN的建立、刪除和更新。

GVRP與VTP協(xié)議功能類(lèi)似，區(qū)別是VTP是CISCO的協(xié)議，而GVRP是IEEE標(biāo)準(zhǔn)協(xié)議。

4.2 VLAN間路由

VLAN技術(shù)使得可以在交換機(jī)上將網(wǎng)絡(luò)劃分成多個(gè)VLAN，VLAN內(nèi)的主機(jī)可以互通，VLAN間無(wú)法直接通信，要實(shí)現(xiàn)VLAN間的通信，則需要進(jìn)行VLAN間的路由。VLAN間路由的方法有兩種，一種是三層交換機(jī)，一種是單臂路由。

1）三層交換機(jī)實(shí)現(xiàn)VLAN間路由

一般交換機(jī)工作在鏈路層，是二層設(shè)備。而三層交換機(jī)除具有普通交換機(jī)的功能外，還具有網(wǎng)絡(luò)層路由的功能，其實(shí)現(xiàn)VLAN 間相互訪(fǎng)問(wèn)的原理是：利用三層交換機(jī)的路由功能，根據(jù)數(shù)據(jù)包中IP首部的目的IP地址，查找路由表從而實(shí)現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)。交換機(jī)本來(lái)不需要給端口配置IP地址，但是三層交換機(jī)為了實(shí)現(xiàn)路由的功能，需要給端口配置IP地址，采用交換虛擬接口（Switch Virtual Interface， SVI）技術(shù)，為每一個(gè)VLAN分配一個(gè)虛擬接口并配置IP地址。每個(gè)VLAN有了自己的IP地址，就可以采用路由器的工作原理，實(shí)現(xiàn)VLAN間路由。

5 結(jié)語(yǔ)

VLAN是一種常用的組網(wǎng)技術(shù)，在園區(qū)網(wǎng)中應(yīng)用廣泛，本文對(duì)VLAN技術(shù)展開(kāi)研究和討論，介紹了VLAN技術(shù)的基本原理，VLAN協(xié)議，并在Packet Tracer平臺(tái)上對(duì)VLAN技術(shù)進(jìn)行了仿真，模擬了VLAN劃分和VLAN間路由的功能，幫助大家更好地理解和掌握VLAN技術(shù)。

參考文獻(xiàn)：

[1] Li Qiong. Research on VLAN Technology and Campus Network Constructionp[J]. Computer and Modernization，2007.

[2] Le Jun，Chen Guanghuai.VLAN and Its Application in Safety Management of Campus-Based Network[J].China Distance Education，2001.

[3] Feng Dongzhu，Yang Deng. Based on VLAN Technology in Campus Network Construction[J]. Microcomputer Information，2010.

[4] 呂方瑤.當(dāng)前主要網(wǎng)絡(luò)仿真工具研究和實(shí)踐[J].信息通信，2011（4）：3-5.

[5] 吳名歡，蔣小華.校園網(wǎng)絡(luò)方案設(shè)計(jì)仿真[J].計(jì)算機(jī)與信息技術(shù)，2009（4）：84-85.