摘 要：VLAN網(wǎng)絡(luò)構(gòu)造簡(jiǎn)單、實(shí)現(xiàn)便捷，在不過多增加網(wǎng)絡(luò)成本前提下，增加了網(wǎng)絡(luò)的靈活性，并且降低了廣播占用的帶寬，維護(hù)和操作比較方便，具有廣泛的市場(chǎng)前景，在大中型企業(yè)網(wǎng)，校園網(wǎng)，智能小區(qū)中獲得廣泛的應(yīng)用。

關(guān)鍵詞：VLAN；三層交換；路由器

一、VLAN交換機(jī)上的鏈路

VLAN交換機(jī)有兩種主要類型的鏈路：Access鏈路和Trunk鏈路，Access鏈路是最常見的。

所有網(wǎng)絡(luò)主機(jī)都連接到交換機(jī)的Access鏈路，用以訪問本地網(wǎng)絡(luò)，這些鏈路是每個(gè)交換機(jī)上的普通端口，配置為訪問特定的VLAN。

Trunk鏈路連接兩個(gè)支持VLAN的交換機(jī)。當(dāng)訪問鏈路被配置為訪問特定的VLAN時(shí)，Trunk鏈路總是配置為允許所有可用VLAN的數(shù)據(jù)。

二、本征VLAN，ISL和802.1Q

當(dāng)交換機(jī)上的端口配置為接入鏈路時(shí)，它可以訪問一個(gè)特定的VLAN，連接到它的任何網(wǎng)絡(luò)設(shè)備將成為該VLAN的一部分。

在交換機(jī)內(nèi)部處理的時(shí)候，數(shù)據(jù)幀都是攜帶tag（VLAN ID），當(dāng)不帶tag的數(shù)據(jù)幀進(jìn)入交換機(jī)接口時(shí)，交換機(jī)會(huì)立即給該幀增加PVID的VLAN標(biāo)簽。當(dāng)帶tag的數(shù)據(jù)幀進(jìn)入交換機(jī)接口時(shí)，交換機(jī)會(huì)直接使用該幀的tag。由于PC不識(shí)別vlan 的tag 標(biāo)簽，因此發(fā)向PC的報(bào)文必須去掉tag 標(biāo)簽。另一方面，Trunk線絡(luò)鏈接更復(fù)雜。因?yàn)樗鼈償y帶來自所有VLAN的幀，所以在經(jīng)過交換機(jī)時(shí)需要識(shí)別幀。這稱為VLAN標(biāo)記。

這種工作機(jī)制主要有兩種方法：一是ISL（Inter-Switch Link），Cisco專有協(xié)議和IEEE 802.1Q。其中，802.1Q是應(yīng)用最廣泛的方法，并且在支持VLAN中繼的所有供應(yīng)商之間兼容。但是，當(dāng)不支持VLAN中繼的設(shè)備連接時(shí)，Trunk鏈路也可以配置為Access鏈路。

如果交換機(jī)上有中繼鏈路并連接計(jì)算機(jī)，端口將自動(dòng)提供對(duì)特定VLAN的訪問。在這種情況下，VLAN被稱為“本征VLAN”，這是一個(gè)通用術(shù)語，指的是作為接入鏈路配置的中繼端口的不打標(biāo)VLAN。

三、VLAN中繼協(xié)議

VTP是專有的Cisco協(xié)議，可確保VTP服務(wù)器上所有VLAN信息都傳播到VTP域內(nèi)的所有網(wǎng)絡(luò)交換機(jī)上。

在初始網(wǎng)絡(luò)配置期間，所有交換機(jī)都配置為相同VTP域的成員。使用VTP，管理人員可以在核心交換機(jī)上創(chuàng)建、刪除或重命名VLAN。然后所有信息都將發(fā)送給VTP域的所有成員。

其他制造商的VTP等價(jià)物是GARP（通用屬性注冊(cè)協(xié)議）VLAN注冊(cè)協(xié)議（GVRP），包括以前僅可以在Cisco System的VTP協(xié)議中實(shí)現(xiàn)的許多功能。

VTP修剪是VTP功能的擴(kuò)展，可以確保不必要的網(wǎng)絡(luò)流量不會(huì)通過中繼鏈路發(fā)送。只有在中繼鏈路的接收端配置了該VLAN的端口時(shí)，才通過中繼鏈路在VLAN上轉(zhuǎn)發(fā)廣播和未知單播幀。

例如，如果在VLAN5上發(fā)生網(wǎng)絡(luò)廣播，并且特定交換機(jī)沒有將任何端口分配給VLAN5，則它將永遠(yuǎn)不會(huì)通過其中繼鏈路接收廣播流量。這轉(zhuǎn)換成VLAN網(wǎng)絡(luò)中終端交換機(jī)接收的廣播或組播流量的主要折扣。

四、VLAN間路由

VLAN間路由：在VLAN之間路由發(fā)送數(shù)據(jù)包—高端交換機(jī)中最重要的功能之一。因?yàn)閂LAN間路由根據(jù)其三層信息（IP地址）轉(zhuǎn)發(fā)數(shù)據(jù)包，所以執(zhí)行此功能的交換機(jī)稱為三層交換機(jī)，并且是價(jià)格都比較昂貴的。

核心交換機(jī)通常是三層交換機(jī)。當(dāng)三層交換機(jī)不可用時(shí)，也可以由具有兩個(gè)或更多網(wǎng)卡或路由器的服務(wù)器執(zhí)行此功能，該方法通常稱為“單臂路由或獨(dú)臂路由”。

因?yàn)閂LAN是網(wǎng)絡(luò)最重要的方面之一，所以三層交換機(jī)必須具有快速交換處理的能力（以Gbps為單位），并提供高級(jí)功能，例如支持路由協(xié)議，高級(jí)訪問控制列表和防火墻。三層交換機(jī)如果配置正確，可以為VLAN網(wǎng)絡(luò)提供出色的安全保護(hù)。

五、保護(hù)VLAN設(shè)備

確保VLAN網(wǎng)絡(luò)的第一個(gè)原則是物理安全。如果不希望其設(shè)備被篡改，則必須嚴(yán)格控制物理訪問。核心交換機(jī)通常處于安全較高的的位置，具有受限訪問的數(shù)據(jù)中心里，但是邊緣交換機(jī)通常位于暴露的區(qū)域中。

VLAN技術(shù)增強(qiáng)了網(wǎng)絡(luò)安全，并提供了在獨(dú)立環(huán)境中運(yùn)行多個(gè)服務(wù)的路徑，但不會(huì)因此犧牲速度、質(zhì)量和可用性。如果在實(shí)施和持續(xù)管理期間遵循基本的安全準(zhǔn)則，VLAN可以顯著減少管理開銷。最容易犯的的錯(cuò)誤，可能是低估了數(shù)據(jù)鏈路層的重要性，特別是在VLAN交換網(wǎng)絡(luò)的體系結(jié)構(gòu)。

大家應(yīng)該記住，任何一個(gè)網(wǎng)絡(luò)都有最薄弱的一個(gè)環(huán)節(jié)，需要對(duì)每一層網(wǎng)絡(luò)采取一樣的高度關(guān)注，以確保整個(gè)結(jié)構(gòu)的健全性。

參考文獻(xiàn)：

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京：電子工業(yè)出版社，1999：205-218.

[2]周明天.TCPIP 網(wǎng)絡(luò)原理與技術(shù)[M].北京：清華大學(xué)出版社，1999：97-201.

[3]莊永龍.應(yīng)用VLAN技術(shù)管理校園網(wǎng)絡(luò)[J].電腦學(xué)習(xí)，2003，（4）.

[4]斯科特·埃普森（Scott Empson）.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程 路由和交換基礎(chǔ)[M].人民郵電出版社，2014-12-01.

作者簡(jiǎn)介：李建坤，男，云南會(huì)澤人，大專，主要從事昭通供電局的信息管理工作已有14年，目前擔(dān)任昭通供電局信息中心信息管理專責(zé)。