肖坤峨

摘 要：介紹了VLAN技術(shù)，以及劃分VLAN的好處及劃分方法。以華為S3328-tp交換機(jī)為例，設(shè)計(jì)了一個(gè)應(yīng)用VLAN技術(shù)的網(wǎng)絡(luò)互連方案，實(shí)現(xiàn)了虛擬局域網(wǎng)的劃分，縮小了廣播范圍，有效利用了網(wǎng)絡(luò)帶寬，一定程度上提高了網(wǎng)絡(luò)性能和安全。

關(guān)鍵詞：VLAN；交換機(jī)；廣播域

DOIDOI：10.11907/rjdk.1511069

中圖分類號(hào)：TP393

文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)文章編號(hào)：1672-7800（2015）012-0161-02

0 引言

隨著計(jì)算機(jī)技術(shù)、通信技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，交換式局域網(wǎng)逐步取代了傳統(tǒng)的共享式以太網(wǎng)，網(wǎng)絡(luò)中的互聯(lián)設(shè)備也逐漸發(fā)展為以交換機(jī)、路由器、防火墻為主，在交換式局域網(wǎng)中，每個(gè)端口、每個(gè)站點(diǎn)都能獨(dú)享一定的帶寬，相比傳統(tǒng)的以太網(wǎng)，在性能和傳輸速率上得到了大幅提高。但當(dāng)一個(gè)局域網(wǎng)中的接入設(shè)備過(guò)多時(shí)（200臺(tái)以上），就會(huì)形成一個(gè)過(guò)大的廣播域，影響網(wǎng)絡(luò)帶寬，解決辦法就是進(jìn)行VLAN劃分，從而提高網(wǎng)絡(luò)的整體性能以及安全性。

1 VLAN技術(shù)

VLAN是Virtual Local Area Network的縮寫(xiě)，即虛擬局域網(wǎng)，指將網(wǎng)絡(luò)上的節(jié)點(diǎn)按工作性質(zhì)與需要?jiǎng)澐殖扇舾蓚€(gè)邏輯工作組[1]，一個(gè)邏輯工作組就是一個(gè)虛擬局域網(wǎng)，即一個(gè)廣播域。同一邏輯組中的主機(jī)之間可以通信，不同邏輯組的主機(jī)之間不能通信，這樣廣播數(shù)據(jù)幀就被限制在一定范圍內(nèi)，只有處于同一個(gè)VLAN中的主機(jī)才能接收數(shù)據(jù)包，通過(guò)該方法就可以把一個(gè)大的廣播域劃分為多個(gè)小的廣播域，從而減少了網(wǎng)絡(luò)帶寬被無(wú)用信息占用的機(jī)會(huì)。邏輯工作組的劃分與管理通常以軟件方式實(shí)現(xiàn)，邏輯工作組的站點(diǎn)組成不受物理位置的限制，各成員不必連接在同一個(gè)物理網(wǎng)段，只要以太網(wǎng)交換機(jī)是互聯(lián)的，它們既可以連接在同一個(gè)局域網(wǎng)交換機(jī)上，也可以連接在不同的局域網(wǎng)交換機(jī)上。

1999年，IEEE協(xié)會(huì)制定了802.1q協(xié)議草案，規(guī)定了VLAN的具體實(shí)現(xiàn)方法，解決如何將大型網(wǎng)絡(luò)劃分為多個(gè)小網(wǎng)絡(luò)，使廣播和組播流量不占據(jù)更多帶寬的問(wèn)題。802.1q協(xié)議定義了數(shù)據(jù)幀的封裝格式[2]，在原有以太網(wǎng)幀的基礎(chǔ)上插入4個(gè)字節(jié)的VLAN字段，格式如圖1所示。

圖1 IEEE802.1q 標(biāo)簽幀格式

在IEEE802.1q標(biāo)簽格式幀中，DA、SA是指目的MAC與源MAC地址；0X8100 指一個(gè)幀是802.1QVLAN數(shù)據(jù)幀；Priority 指明用戶優(yōu)先級(jí)別；CFI用于格式是否規(guī)范，cfi值為0說(shuō)明是規(guī)范格式，值為1說(shuō)明不是規(guī)范格式，最初用在令牌環(huán)網(wǎng)中；VLAN ID 為12比特的域，用來(lái)標(biāo)識(shí)標(biāo)簽屬于哪個(gè)VLAN，VLAN ID從1到212（1—4096）；802.1q的數(shù)據(jù)長(zhǎng)度最大為1522 bytes；FC 幀校驗(yàn)系列，用于幀的錯(cuò)誤校驗(yàn)。

2 VLAN優(yōu)點(diǎn)

（1）控制廣播風(fēng)暴。一個(gè)VLAN中的廣播流量不會(huì)傳輸?shù)皆揤LAN之外，鄰近的端口和VLAN也不會(huì)收到其它VLAN產(chǎn)生的任何廣播信息，減小了廣播范圍，為用戶的實(shí)際流量釋放了帶寬，抑制了廣播風(fēng)暴。

（2）提高了網(wǎng)絡(luò)安全性。VLAN上的信息流不會(huì)流入另一個(gè)VLAN。因此，通過(guò)適當(dāng)配置VLAN和該VLAN與外界的連接，就可以提高網(wǎng)絡(luò)的安全性。如學(xué)校財(cái)務(wù)處和其它部門之間不能通信，只需要把財(cái)務(wù)處單獨(dú)劃分到一個(gè)VLAN中即可。

（3）靈活的管理。添加、刪除和移動(dòng)網(wǎng)絡(luò)成員時(shí)，不用重新布線，也不用直接對(duì)成員配置。

3 VLAN劃分方法

（1）基于交換機(jī)端口的VLAN。靜態(tài)地將以太網(wǎng)交換機(jī)上的一些端口劃分給一個(gè)VLAN，這是目前最常用的一種劃分方法?？梢栽趩我唤粨Q機(jī)上劃分，也可以跨越多臺(tái)交換機(jī)來(lái)劃分邏輯組，方法簡(jiǎn)單，但當(dāng)一臺(tái)設(shè)備離開(kāi)原來(lái)的端口時(shí)需要重新配置。

（2）基于MAC地址的VLAN劃分。根據(jù)網(wǎng)卡的MAC地址進(jìn)行劃分，設(shè)備的物理位置發(fā)生改變，端口發(fā)生改變，只要計(jì)算機(jī)的MAC地址不變（計(jì)算機(jī)使用的網(wǎng)卡不變）， 它都屬于管理員原先所設(shè)定的VLAN。但當(dāng)新增設(shè)備或網(wǎng)卡出現(xiàn)問(wèn)題時(shí)，必須重新配置。

（3） 基于網(wǎng)絡(luò)協(xié)議的VLAN劃分[3]。根據(jù)網(wǎng)絡(luò)層所使用的協(xié)議類型劃分邏輯工作組，如把使用TCP/IP的劃分在同一個(gè)VLAN，使用IPX/SPX的劃分在另外一個(gè)VLAN。該方法實(shí)現(xiàn)起來(lái)復(fù)雜、效率低，數(shù)據(jù)包通過(guò)交換機(jī)，需要檢查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址或協(xié)議。

（4）基于IP組播的VLAN劃分。將同一組播內(nèi)的所有主機(jī)劃分在一個(gè)VLAN中，該方法靈活性高，但不適合用于局域網(wǎng)。

4 VLAN在華為交換機(jī)上配置實(shí)現(xiàn)

本例采用兩臺(tái)華為quidway S3328交換機(jī)級(jí)聯(lián)[4]，每臺(tái)交換機(jī)上連接一些PC，需要實(shí)現(xiàn)將PC1和PC4劃入VLAN100中，PC2和PC3劃入VLAN200中，這樣vlan100中的主機(jī)就能相互通信，vlan200中的主機(jī)也能相互通信，但vlan100和vlan200之間就不能通信，拓?fù)浣Y(jié)構(gòu)如圖2所示。

圖2 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

（1） 配置過(guò)程。使用配置線一端連接主機(jī)，另一端連接交換機(jī)的Consol口，設(shè)置好超級(jí)終端的參數(shù)，進(jìn)入交換機(jī)配置界面。然后創(chuàng)建VLAN，將端口加入VLAN中，設(shè)置TRUNK鏈路。

（2）SwitchA的相關(guān)配置。

（huawei）system-view //進(jìn)入系統(tǒng)視圖模式

[huawei]sysname SwitchA //修改交換機(jī)名字

[SwitchA]interface ethernet 0/0/10 //進(jìn)入端口視圖

[SwitchA-ethernet0/0/10]port link-type access //修改端口類型

[SwitchA]interface ethernet 0/0/12

[SwitchA-ethernet0/0/12]port link-type access

[SwitchA]vlan 100 //創(chuàng)建VLAN100

[SwitchA-vlan100]port ethernet 0/0/10 //將端口eth0/0/10加入vlan100

[SwitchA]vlan 200 //創(chuàng)建VLAN200

[SwitchA-vlan200] port ethernet 0/0/12 //將端口eth0/0/10加入vlan200

（2）SwitchB的相關(guān)配置。

（huawei）system-view

[huawei]sysname SwitchB

[SwitchB]interface ethernet 0/0/10

[SwitchB-ethernet0/0/10]port link-type access

[SwitchB]interface ethernet 0/0/12

[SwitchB-ethernet0/0/12]port link-type access

[SwitchB]vlan 100

[SwitchB-vlan100]port ethernet 0/0/10

[SwitchB]vlan 200

[SwitchB-vlan200] port ethernet 0/0/12

（3）TRUNK端口配置。把連接兩臺(tái)交換機(jī)的端口配置為trunk屬性，trunk類型[5]的端口可以發(fā)送和接收多個(gè)VLAN的報(bào)文。

SwtichA的trunk口配置：

[SwitchA]interface ethernet 0/0/1

[SwitchA-ethernet0/0/1]port link-type trunk //修改端口類型為trunk類型

[SwitchA-ethernet0/0/1]port trunk allow-pass vlan100 //允許該trunk類型端口通過(guò)屬于vlan100的數(shù)據(jù)包

[SwitchA-ethernet0/0/1]port trunk allow-pass vlan200 //允許該trunk類型端口通過(guò)屬于vlan200的數(shù)據(jù)包

[SwitchA-ethernet0/0/1]quit

[SwitchA]save //保存配置SwtichB的trunk口配置：

[SwitchB]interface ethernet 0/0/1

[SwitchB-ethernet0/0/1]port link-type trunk

[SwitchB-ethernet0/0/1]port trunk allow-pass vlan100

[SwitchB-ethernet0/0/1]port trunk allow-pass vlan200

[SwitchB-ethernet0/0/1]quit

[SwitchB]save

通過(guò)ping命令測(cè)試連通性，結(jié)果PC2和PC3能互通，PC1和PC4能互通，PC1和PC2不能互通，PC3和PC4不能互通，即VLAN配置成功。

5 結(jié)語(yǔ)

虛擬局域網(wǎng)簡(jiǎn)化了網(wǎng)絡(luò)管理流程，提高了網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全性，抑制了廣播風(fēng)暴，減少了網(wǎng)絡(luò)管理成本，在網(wǎng)絡(luò)管理中研究VLAN技術(shù)具有一定的現(xiàn)實(shí)意義。

參考文獻(xiàn)參考文獻(xiàn)：

[1] 喬正洪，葛武滇.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)與應(yīng)用 [M].北京：科學(xué)出版社，2011.

[2] 楊姝.虛擬局域網(wǎng)技術(shù)的實(shí)現(xiàn)[J].實(shí)驗(yàn)科學(xué)與技術(shù)，2009，5（7）：58-60

[3] 于磊.VLAN常規(guī)劃分及應(yīng)用[J].軟件導(dǎo)刊，2014，13（12）：29-30.

[4] 郭振勇，沈昌海.H3C交換機(jī)VLAN配置實(shí)現(xiàn)[J].科技論壇，2015（6）：156-159.

[5] 張世星.跨交換機(jī)VLAN的配置與應(yīng)用[J].武警學(xué)院學(xué)報(bào)，2008，24（6）：92-94.

（責(zé)任編輯：杜能鋼）