VLAN技術(shù)及其虛擬網(wǎng)絡(luò)實(shí)驗(yàn)研究

邱文軍

摘要：隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)安全管理成為制約網(wǎng)絡(luò)應(yīng)用發(fā)展的阻礙之一，通過VLAN能將含有敏感數(shù)據(jù)的用戶組與網(wǎng)絡(luò)的其余部分隔離，增強(qiáng)局域網(wǎng)的安全性，從而降低泄露機(jī)密信息的可能性。實(shí)踐表明，使用Cisco packet tracer模擬有助于培養(yǎng)學(xué)生的創(chuàng)造力，提升學(xué)生的網(wǎng)絡(luò)設(shè)計(jì)、配置和驗(yàn)證等綜合能力。

關(guān)鍵詞：VLAN技術(shù)；Cisco packet tracer；仿真實(shí)驗(yàn)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）31-7306-02

隨著Internet的進(jìn)一步發(fā)展，人們的工作和生活越來越依賴于網(wǎng)絡(luò)。由于在傳統(tǒng)的局域網(wǎng)中，局域網(wǎng)的安裝通常會(huì)受到地理?xiàng)l件的限制，這嚴(yán)重影響了網(wǎng)絡(luò)技術(shù)的應(yīng)用范圍和發(fā)展。而且在具有移動(dòng)要求的網(wǎng)絡(luò)組織里，移動(dòng)用戶在遠(yuǎn)程訪問電子郵件服務(wù)時(shí)，有可能意外連接到未經(jīng)授權(quán)的局域網(wǎng)的網(wǎng)段上，這對(duì)網(wǎng)絡(luò)安全產(chǎn)生了極大的安全隱患和對(duì)網(wǎng)絡(luò)管理的混亂，也會(huì)對(duì)局域網(wǎng)的管理和維護(hù)造成了極大的不便。此外隨著局域網(wǎng)內(nèi)同一網(wǎng)段內(nèi)網(wǎng)絡(luò)節(jié)點(diǎn)的不斷增多，導(dǎo)致廣播風(fēng)暴的幾率逐漸增大，網(wǎng)絡(luò)通信質(zhì)量逐漸下降，網(wǎng)絡(luò)安全和維護(hù)遭受極大的考驗(yàn)，這使傳統(tǒng)的局域網(wǎng)技術(shù)已經(jīng)不能滿足人們的需求，因此VLAN技術(shù)應(yīng)運(yùn)而生。

1 VLAN技術(shù)基礎(chǔ)

1.1 VLAN技術(shù)分類及劃分方式

VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）是指在一個(gè)物理網(wǎng)段內(nèi)，進(jìn)行邏輯的劃分，劃分成若干個(gè)虛擬局域網(wǎng)。VLAN最大的特性是不受物理位置的限制，可以進(jìn)行靈活的劃分。VLAN具備了一個(gè)物理網(wǎng)段所具備的特性。相同VLAN內(nèi)的主機(jī)可以互相直接訪問，不同VLAN間的主機(jī)之間互相訪問必須經(jīng)由路由設(shè)備進(jìn)行轉(zhuǎn)發(fā)。廣播數(shù)據(jù)包只可以在

本VLAN內(nèi)進(jìn)行傳播，不能傳輸?shù)狡渌鸙LAN中[1]。

VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。

VLAN的優(yōu)點(diǎn)：（1） 控制不必要的廣播報(bào)文的擴(kuò)散；（2） 提高網(wǎng)絡(luò)帶寬利用率，減少資源浪費(fèi)；（3） 劃分不同的用戶組，對(duì)組之間的訪問進(jìn)行限制；（4） 增加安全性。

VLAN的劃分方式主要有以下幾種：（1） 基于端口的VLAN，即明確指定各端口屬于哪個(gè)VLAN的設(shè)定。此方式仍然是目前使用較多的劃分VLAN的方式。（2） 基于MAC地址：通過查詢并記錄端口所連計(jì)算機(jī)網(wǎng)卡上的MAC地址來決定端口的所屬VLAN；（3） 基于網(wǎng)絡(luò)層的VLAN：通過所連計(jì)算機(jī)的IP地址來決定端口的所屬VLAN；（4） 基于IP主播地址的VLAN：一個(gè)主播組就是一個(gè)VLAN；（4） 基于用戶的VLAN：根據(jù)交換機(jī)各端口所連的計(jì)算機(jī)上當(dāng)前登錄的用戶來決定該端口屬于哪個(gè)VLAN[2]。

1.2 VLAN端口

Tag Vlan是基于交換機(jī)端口的另外一種類型，主要用于實(shí)現(xiàn)跨交換機(jī)的相同VLAN內(nèi)主機(jī)之間可以直接訪問，同時(shí)對(duì)于不同VLAN的主機(jī)進(jìn)行隔離。Tag Vlan遵循了IEEE802.1q協(xié)議的標(biāo)準(zhǔn)。在利用配置了Tag Vlan的接口進(jìn)行數(shù)據(jù)傳輸時(shí)，需要在數(shù)據(jù)幀內(nèi)添加4個(gè)字節(jié)的802.1q標(biāo)簽信息，用于標(biāo)識(shí)該數(shù)據(jù)幀屬于哪個(gè)VLAN，以便于對(duì)端交換機(jī)接收到數(shù)據(jù)幀后進(jìn)行準(zhǔn)確的過濾。

1） ACCESS端口，UnTagged端口，即接入接口，Access端口只能屬于一個(gè)VLAN，它發(fā)送的幀不帶有VALN標(biāo)簽，一般用于連接計(jì)算機(jī)的端口。

2） Trunk端口，Tag Aware端口，即干道接口，可以允許多個(gè)VLAN通過，它發(fā)出的幀一般是帶有VLAN標(biāo)簽的，一般用于交換機(jī)之間連接的端口。

2 利用Cisco packet tracer完成仿真實(shí)驗(yàn)

Cisco packet tracer是由Cisco公司發(fā)布的一個(gè)輔助學(xué)習(xí)工具，為計(jì)算機(jī)網(wǎng)絡(luò)的學(xué)習(xí)者在設(shè)計(jì)、配置、排除網(wǎng)絡(luò)故障等方面提供網(wǎng)絡(luò)模擬環(huán)境。學(xué)生可在軟件的圖形用戶界面上直接使用拖曳方法建立網(wǎng)絡(luò)拓?fù)?，軟件中?shí)現(xiàn)的IOS子集允許學(xué)生配置設(shè)備；并可提供數(shù)據(jù)包在網(wǎng)絡(luò)中行進(jìn)的詳細(xì)處理過程，觀察網(wǎng)絡(luò)實(shí)時(shí)運(yùn)行情況[3]。

2.1 VLAN的劃分

假設(shè)某企業(yè)有兩個(gè)主要部門：銷售部和技術(shù)部，其中銷售部門的個(gè)人計(jì)算機(jī)系統(tǒng)連接在不同的交換機(jī)上，他們之間需要相互進(jìn)行通信，但為了數(shù)據(jù)安全起見，銷售部和技術(shù)部需要進(jìn)行相互隔離，現(xiàn)要在交換機(jī)上做適當(dāng)配置來實(shí)現(xiàn)這一目標(biāo)。

2.2 VLAN間的路由

在前面，我們將銷售部和技術(shù)部劃分了VLAN進(jìn)行了隔離，但如果他們之間需要相互訪問，我們又可以利用三層交換機(jī)的路由功能實(shí)現(xiàn)銷售部和技術(shù)部不同VLAN間路由。在二層交換機(jī)上劃分VLAN配置Trunk實(shí)現(xiàn)不同VLAN的主機(jī)接入，在三層交換機(jī)上劃分VLAN配置Trunk并配置SVI接口實(shí)現(xiàn)不同VLAN間路由。

3 VLAN配置過程中可能產(chǎn)生的問題及解決的辦法

在VLAN的配置過程中可能會(huì)產(chǎn)生VLAN用戶隔離不成功，VLAN隔離后不能進(jìn)行任何通信以及采用VLAN技術(shù)后，無法進(jìn)行設(shè)備管理等問題。具體的解決方法就是：首先查看網(wǎng)絡(luò)拓?fù)鋱D與實(shí)際配置端口是否一致；其次分析數(shù)據(jù)幀的轉(zhuǎn)發(fā)過程，特別是數(shù)據(jù)包攜帶的VLAN ID的變化?？纯丛谡麄€(gè)數(shù)據(jù)幀轉(zhuǎn)發(fā)的過程中何時(shí)刪除TAG標(biāo)簽，何時(shí)增加TAG標(biāo)簽，在刪除和增加的過程中是否變化過VLAN ID，特別是PVLAN技術(shù)存在的時(shí)候；最后分析是否VLAN路由是否存在問題。

4 結(jié)束語(yǔ)

本文詳細(xì)介紹了VLAN在Cisco packet tracer仿真環(huán)境下的配置，VLAN技術(shù)是網(wǎng)絡(luò)設(shè)備管理技術(shù)的一個(gè)重點(diǎn)，也是網(wǎng)絡(luò)交換機(jī)配置的基礎(chǔ)，在校園網(wǎng)、企業(yè)網(wǎng)絡(luò)中應(yīng)用非常廣。通過在仿真環(huán)境下的實(shí)踐，既可以減少實(shí)驗(yàn)投入成本，也可以鍛煉學(xué)生的實(shí)際動(dòng)手能力，積累實(shí)踐經(jīng)驗(yàn)，增加理論與實(shí)踐的結(jié)合，培養(yǎng)學(xué)生的探索精神和創(chuàng)造性思維。

參考文獻(xiàn)：

[1] 楊株. VLAN技術(shù)實(shí)驗(yàn)的設(shè)計(jì)與仿真實(shí)現(xiàn)研究[J].實(shí)驗(yàn)技術(shù)與管理，2013，31（3）：14-17.

[2] 陳偉川. 基于MAC地址的動(dòng)態(tài)VLAN原理及組網(wǎng)應(yīng)用[J].計(jì)算機(jī)與現(xiàn)代化，2007，14（4）：107-108.

[3] 琚生根，陳黎，周剛，等.“計(jì)算機(jī)網(wǎng)絡(luò)”實(shí)驗(yàn)課程的教學(xué)探討[J].實(shí)驗(yàn)技術(shù)與管理，2013，30（4）：159-161.