李航

西安市交通信息中心 陜西 西安 710061

引言

當(dāng)前社會(huì)處于高速轉(zhuǎn)型階段，基于計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的信息化建設(shè)已經(jīng)成為社會(huì)發(fā)展的關(guān)鍵因素，為了提升網(wǎng)絡(luò)運(yùn)轉(zhuǎn)效率，降低網(wǎng)絡(luò)資源消耗，提高網(wǎng)絡(luò)數(shù)據(jù)安全性，VLAN虛擬局域網(wǎng)技術(shù)應(yīng)運(yùn)而生，且隨著技術(shù)的更新迭代，VLAN技術(shù)已經(jīng)是局域網(wǎng)技術(shù)中最重要技術(shù)之一，在網(wǎng)絡(luò)工程中得到較為廣泛的應(yīng)用。從實(shí)際應(yīng)用來(lái)看，VLAN技術(shù)在提高網(wǎng)絡(luò)安全性和高效性上有著非常重要的意義，并在專用網(wǎng)絡(luò)和未來(lái)的網(wǎng)絡(luò)新增功能中擔(dān)當(dāng)重要角色。文章先是對(duì)VLAN技術(shù)進(jìn)行簡(jiǎn)要概述，包括VLAN技術(shù)的定義、類型劃分以及技術(shù)特點(diǎn)，而后詳細(xì)分析和探討了VLAN技術(shù)在網(wǎng)絡(luò)工程中的應(yīng)用以及日常的維護(hù)和管理，旨在為VLAN技術(shù)的進(jìn)一步發(fā)展獻(xiàn)力。

1 VLAN技術(shù)概述

1.1 VLAN的定義

VLAN是VirtualLocalAreaNetwork虛擬局域網(wǎng)的縮寫，主要是通過(guò)路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備將同一網(wǎng)段內(nèi)的計(jì)算機(jī)節(jié)點(diǎn)，在沒(méi)有網(wǎng)絡(luò)交換設(shè)備的加持下直接進(jìn)行通信的網(wǎng)絡(luò)技術(shù)。它本身是一種規(guī)范，主要是解決廣播和網(wǎng)絡(luò)安全問(wèn)題，是通過(guò)虛擬局域網(wǎng)的ID實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)用戶更為細(xì)致的分組，并對(duì)用戶之間的相互訪問(wèn)進(jìn)行一定范圍的限制和約束[1]。VLAN實(shí)際上是一組邏輯上的設(shè)備和用戶，并不會(huì)受到物理空間、位置、距離的限制，可以根據(jù)組織者的需要將各類設(shè)備和不同用戶進(jìn)行重新劃分和分組，在組織架構(gòu)上極為靈活。此外，通過(guò)VLAN技術(shù)可以實(shí)現(xiàn)用戶的移動(dòng)式、快捷化組網(wǎng)，方便網(wǎng)絡(luò)管理人員從邏輯上實(shí)現(xiàn)網(wǎng)絡(luò)資源的進(jìn)一步優(yōu)化和配置。

1.2 VLAN類別劃分方式

基于交換式以太網(wǎng)實(shí)現(xiàn)VLAN大致上可以有三種途徑，分別是基于端口的VLAN、基于MAC地址的VLAN和基于IP地址的VLAN。基于端口的VLAN基于端口的VLAN就是將交換機(jī)中的若干個(gè)端口定義為一個(gè)VLAN，同一個(gè)VLAN中的站點(diǎn)具有相同的網(wǎng)絡(luò)地址，不同的VLAN之間進(jìn)行通信需要通過(guò)路由器。采用這種方式的VLAN其不足之處是靈活性不好，例如當(dāng)一個(gè)網(wǎng)絡(luò)站點(diǎn)從一個(gè)端口移動(dòng)到另外一個(gè)新的端口時(shí)，如果新端口與舊端口不屬于同一個(gè)VLAN，則用戶必須對(duì)該站點(diǎn)重新進(jìn)行網(wǎng)絡(luò)地址配置，否則，該站點(diǎn)將無(wú)法進(jìn)行網(wǎng)絡(luò)通信。

基于MAC地址的VLAN在基于MAC地址的VLAN中，交換機(jī)對(duì)站點(diǎn)的MAC地址和交換機(jī)端口進(jìn)行跟蹤，在新站點(diǎn)入網(wǎng)時(shí)根據(jù)需要將其劃歸至某一個(gè)VLAN，而無(wú)論該站點(diǎn)在網(wǎng)絡(luò)中怎樣移動(dòng)，由于其MAC地址保持不變，因此用戶不需要進(jìn)行網(wǎng)絡(luò)地址的重新配置。這種VLAN技術(shù)的不足之處是在站點(diǎn)入網(wǎng)時(shí)，需要對(duì)交換機(jī)進(jìn)行比較復(fù)雜的手工配置，以確定該站點(diǎn)屬于哪一個(gè)VLAN。

基于IP地址的VLAN在基于IP地址的VLAN中，新站點(diǎn)在入網(wǎng)時(shí)無(wú)須進(jìn)行太多配置，交換機(jī)則根據(jù)各站點(diǎn)網(wǎng)絡(luò)地址自動(dòng)將其劃分成不同的VLAN。在三種VLAN的實(shí)現(xiàn)技術(shù)中，基于IP地址的VLAN智能化程度最高，實(shí)現(xiàn)起來(lái)也最復(fù)雜。這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來(lái)劃分VLAN，這對(duì)網(wǎng)絡(luò)管理者來(lái)說(shuō)很重要，還有，這種方法不需要附加的幀標(biāo)簽來(lái)識(shí)別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每1個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的（相對(duì)于前面兩種方法）。

1.3 劃分VLAN的原因分析

首先，基于改善網(wǎng)絡(luò)性能的目的。大部分大中型網(wǎng)絡(luò)基本上都用的是廣播協(xié)議，且隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)廣播風(fēng)暴會(huì)比較嚴(yán)重，如果不進(jìn)行有效管控，則很有可能導(dǎo)致網(wǎng)絡(luò)性能的急劇下降，最終導(dǎo)致網(wǎng)絡(luò)堵塞、癱瘓、信息丟失等問(wèn)題的發(fā)生，嚴(yán)重影響用戶的網(wǎng)絡(luò)瀏覽體驗(yàn)。通過(guò)劃分多個(gè)VLAN可以減少網(wǎng)絡(luò)范圍內(nèi)廣播信息的傳輸，這是因?yàn)閺V播信息并不能跨過(guò)VLAN，因此，可以將廣播信息束縛在各個(gè)小的VLAN中，有效減少了廣播域，極大程度地提升了網(wǎng)絡(luò)信息的傳輸效率，全面改善網(wǎng)絡(luò)性能。

其次，基于提升網(wǎng)絡(luò)安全性的目的。用戶自由度高是傳統(tǒng)網(wǎng)絡(luò)的一大優(yōu)勢(shì)，也是造成傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)安全性降低的主要原因，因此，在進(jìn)行網(wǎng)絡(luò)工程建設(shè)過(guò)程中，應(yīng)該辯證地看待網(wǎng)絡(luò)自由度這一問(wèn)題。因?yàn)閂LAN間的用戶并不能直接進(jìn)行信息互通，需要通過(guò)路由器進(jìn)行信息轉(zhuǎn)發(fā)，這就使網(wǎng)絡(luò)信息變得安全可控，有效提升了網(wǎng)絡(luò)自身的安全性。此外，在大規(guī)模網(wǎng)絡(luò)系統(tǒng)中，企業(yè)團(tuán)體各部門之間的信息數(shù)據(jù)需要相互保密，通過(guò)VLAN技術(shù)可以真正實(shí)現(xiàn)體系內(nèi)各部門之間的有限關(guān)聯(lián)，在提升團(tuán)體運(yùn)作效率的同時(shí)，保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性和穩(wěn)定性。

最后，基于完善網(wǎng)絡(luò)組織結(jié)構(gòu)的目的。VLAN技術(shù)經(jīng)常應(yīng)用于學(xué)校、企業(yè)等內(nèi)部網(wǎng)絡(luò)系統(tǒng)架構(gòu)上，主要是為了實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)的安全和共享。此外，VLAN技術(shù)的實(shí)施還可以提升網(wǎng)絡(luò)資源利用率，降低網(wǎng)絡(luò)中信息處理資源消耗，最終實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)集中管理、統(tǒng)一配置，進(jìn)一步優(yōu)化不同組織架構(gòu)的網(wǎng)絡(luò)結(jié)構(gòu)和資源管理。

2 VLAN技術(shù)的實(shí)現(xiàn)方式

根據(jù)VLAN技術(shù)特點(diǎn)以及其具體的組織架構(gòu)，VLAN技術(shù)的實(shí)現(xiàn)方式主要分為靜態(tài)和動(dòng)態(tài)兩種。首先，靜態(tài)實(shí)現(xiàn)VLAN技術(shù)主要是網(wǎng)絡(luò)管理員將交換機(jī)端口分配給某一個(gè)VLAN，這是一種最常使用且較容易實(shí)現(xiàn)的配置方式，該方式的優(yōu)點(diǎn)在于可以實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)的實(shí)時(shí)監(jiān)控，且整個(gè)實(shí)現(xiàn)過(guò)程較為安全穩(wěn)定[2]。其次，與靜態(tài)實(shí)現(xiàn)方式相比，VLAN技術(shù)動(dòng)態(tài)實(shí)現(xiàn)方式更為復(fù)雜，主要難點(diǎn)在于網(wǎng)絡(luò)管理人員必須建立一個(gè)較為復(fù)雜的數(shù)據(jù)庫(kù)，例如，管理人員需要輸入要連接的網(wǎng)絡(luò)設(shè)備的Mac地址以及相應(yīng)的VLAN端口號(hào)，這樣做的目的是當(dāng)網(wǎng)絡(luò)設(shè)備連接到交換機(jī)端口時(shí)，交換機(jī)可以自動(dòng)地將這個(gè)端口分配到對(duì)應(yīng)的VLAN中。因此，動(dòng)態(tài)的VLAN是基于網(wǎng)絡(luò)設(shè)備的MAC地址、IP地址以及應(yīng)用者或者使用者的網(wǎng)絡(luò)協(xié)議來(lái)進(jìn)行配置的。總的來(lái)說(shuō)，動(dòng)態(tài)VLAN的實(shí)現(xiàn)要求更多，在管理上需要考慮的因素更為復(fù)雜和多變，需要管理人員使用特定的管理軟件進(jìn)行管理，以此來(lái)提升VLAN網(wǎng)絡(luò)的管理效用。

3 VLAN技術(shù)在網(wǎng)絡(luò)工程中的應(yīng)用

虛擬局域網(wǎng)VLAN技術(shù)打破了傳統(tǒng)地域環(huán)境的限制，實(shí)現(xiàn)了在不改動(dòng)網(wǎng)絡(luò)物理連接的基礎(chǔ)上，任意地將工作站在不同工作組或者子網(wǎng)中隨意移動(dòng)和變換，不僅減輕了網(wǎng)絡(luò)管理和網(wǎng)絡(luò)維護(hù)的工作量，減少了網(wǎng)絡(luò)維護(hù)費(fèi)用，也在很大程度上增強(qiáng)了動(dòng)態(tài)網(wǎng)絡(luò)的管理能力，為網(wǎng)絡(luò)用戶提供了更為便捷和高效的服務(wù)。基于以上優(yōu)勢(shì)，VLAN技術(shù)在網(wǎng)絡(luò)工程中具有非常廣闊的應(yīng)用前景，因此，根據(jù)實(shí)際需求進(jìn)行劃分，VLAN技術(shù)主要應(yīng)用在以下幾個(gè)方面。

3.1 局域網(wǎng)內(nèi)部建立局域網(wǎng)

在實(shí)際工作中，很多企業(yè)內(nèi)部已經(jīng)有較為完善和成熟的局域網(wǎng)絡(luò)體系，但在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中，并不能很好的對(duì)網(wǎng)絡(luò)內(nèi)部信息進(jìn)行加密，不同部門之間的信息基本呈現(xiàn)透明狀態(tài)，嚴(yán)重影響了企業(yè)內(nèi)部的正常管理。而通過(guò)VLAN技術(shù)可以在已經(jīng)建立好的局域網(wǎng)內(nèi)，根據(jù)各業(yè)務(wù)部門或者課題研究小組的需要再次建立一個(gè)局域網(wǎng)，這樣既可以保證原有局域網(wǎng)的穩(wěn)定性，還可以實(shí)現(xiàn)信息的有限度加密，實(shí)現(xiàn)企業(yè)內(nèi)部動(dòng)態(tài)化辦公。首先，收集各個(gè)業(yè)務(wù)部門或者課題組的人員組成、位置信息、交換機(jī)端口數(shù)據(jù)等信息。其次，根據(jù)部門數(shù)量對(duì)原有交換機(jī)進(jìn)行重新配置，創(chuàng)建虛擬局域網(wǎng)。最后，在原有公用局域網(wǎng)內(nèi)部劃分出來(lái)一個(gè)或是多個(gè)虛擬局域網(wǎng)，在減少?gòu)V播風(fēng)暴的同時(shí)，提高了網(wǎng)絡(luò)信息傳輸性能，實(shí)現(xiàn)局域網(wǎng)內(nèi)部管理效用的進(jìn)一步提升。

3.2 實(shí)現(xiàn)局域網(wǎng)內(nèi)部共享訪問(wèn)

在很多城市的辦公集中區(qū)域，為統(tǒng)一樓內(nèi)提供的局域網(wǎng)服務(wù)基本是相同的，即為不同單位提供統(tǒng)一的網(wǎng)絡(luò)服務(wù)平臺(tái)，通過(guò)公共的出口來(lái)訪問(wèn)互聯(lián)網(wǎng)或是公共區(qū)域內(nèi)的信息服務(wù)器。但由于每一家單位在網(wǎng)絡(luò)使用上有不同的需求，且不同單位之間的信息數(shù)據(jù)需要一定的獨(dú)立性，因此，統(tǒng)一的網(wǎng)絡(luò)服務(wù)并不能很好地適應(yīng)多個(gè)單位的使用需要[3]。在這種情況下，VLAN和虛網(wǎng)中繼技術(shù)成為解決這一問(wèn)題的首要選擇。首先，可以給有不同需要的單位創(chuàng)建一個(gè)獨(dú)立的虛擬局域網(wǎng)，以此來(lái)保證單位內(nèi)部信息的獨(dú)立性和連通性。其次，利用虛網(wǎng)中繼技術(shù)，將提供接入服務(wù)的代理服務(wù)器或者對(duì)應(yīng)的路由器與所對(duì)應(yīng)的局域網(wǎng)端口連接，實(shí)現(xiàn)網(wǎng)絡(luò)共享接入。

與此同時(shí)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的快速發(fā)展，為了提升網(wǎng)絡(luò)的安全性，局域網(wǎng)絡(luò)管理者必須加強(qiáng)對(duì)網(wǎng)絡(luò)訪問(wèn)者的監(jiān)管，限制一些非法用戶的信息通訊，及時(shí)處理可能出現(xiàn)的網(wǎng)絡(luò)安全隱患。通過(guò)VLAN的配置，可以提供更好的網(wǎng)絡(luò)安全訪問(wèn)機(jī)制，在減少?gòu)V播風(fēng)暴的同時(shí)，提升網(wǎng)絡(luò)內(nèi)部安全性，增加局域網(wǎng)對(duì)外的抗風(fēng)險(xiǎn)能力。

3.3 交疊VLAN技術(shù)

在早期計(jì)算機(jī)技術(shù)應(yīng)用中，交換機(jī)的每一個(gè)端口基本上只能對(duì)應(yīng)一個(gè)虛擬網(wǎng)絡(luò)，但通過(guò)交疊VLAN技術(shù)可以實(shí)現(xiàn)一個(gè)交換機(jī)端口同時(shí)對(duì)應(yīng)多個(gè)虛擬網(wǎng)絡(luò)，因此，該技術(shù)可以有效解決一些有突發(fā)性和臨時(shí)性的虛擬網(wǎng)絡(luò)應(yīng)用問(wèn)題[4]。例如，在某一科研單位內(nèi)部，由于管理和研究需要，已經(jīng)劃分了多個(gè)虛擬網(wǎng)絡(luò)，但由于項(xiàng)目開(kāi)發(fā)需要臨時(shí)地組建一個(gè)科研小組，就需要在原有的內(nèi)部虛擬網(wǎng)絡(luò)中重新構(gòu)建一個(gè)，既要滿足科研小組內(nèi)部信息交流通暢，還需要科研小組內(nèi)部技術(shù)人員保持和原來(lái)虛擬網(wǎng)絡(luò)之間的信息交流。如果蠶蛹路由和訪問(wèn)列表進(jìn)行控制，不僅會(huì)增加網(wǎng)絡(luò)管理成本，還會(huì)降低原有網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定性和安全性。交疊VLAN技術(shù)的出現(xiàn)為這一問(wèn)題帶來(lái)了一個(gè)極具性價(jià)比的解決方式：該科研單位的網(wǎng)絡(luò)管理人員只需要將新成立科研小組內(nèi)部研究人員對(duì)應(yīng)的交換機(jī)端口設(shè)置成為支持多個(gè)虛擬網(wǎng)絡(luò)，然后重新創(chuàng)建一個(gè)新的虛擬局域網(wǎng)，并最終將所有人員劃分到該網(wǎng)絡(luò)系統(tǒng)中，就可以很好地實(shí)現(xiàn)保持研究人員原有虛擬網(wǎng)絡(luò)歸屬的基礎(chǔ)上進(jìn)行信息的自由交流。此外，如果該科研小組在完成規(guī)定的研究任務(wù)后，還可以將臨時(shí)性的虛擬網(wǎng)絡(luò)注銷，使得整個(gè)單位的網(wǎng)絡(luò)管理變得更為靈活。

4 VLAN的維護(hù)和管理

從實(shí)際應(yīng)用情況來(lái)看，VLAN技術(shù)給網(wǎng)絡(luò)工程的正向加成是非常明顯的，因此，為了進(jìn)一步提升VLAN技術(shù)發(fā)展能力，并開(kāi)拓其發(fā)展空間，相關(guān)工作和研究人員需要對(duì)VLAN進(jìn)行合理維護(hù)和管理：①VLAN技術(shù)的基礎(chǔ)是交換機(jī)，這就需要專業(yè)技術(shù)人員進(jìn)行合理分配網(wǎng)絡(luò)資源，均衡網(wǎng)絡(luò)中的信息負(fù)載，強(qiáng)化網(wǎng)絡(luò)信息的監(jiān)控，提升VLAN的實(shí)用性和隱私性。②技術(shù)人員需要對(duì)VLAN進(jìn)行網(wǎng)絡(luò)維護(hù)，及時(shí)的備份和配置網(wǎng)絡(luò)參數(shù)，不定期地進(jìn)行系統(tǒng)檢查，及時(shí)解決發(fā)現(xiàn)的各種軟硬件問(wèn)題，將潛在的威脅降到最低。

5 結(jié)束語(yǔ)

研究VLAN技術(shù)在網(wǎng)絡(luò)工程中的應(yīng)用具有非?，F(xiàn)實(shí)的意義，該技術(shù)的出現(xiàn)不僅解決了傳統(tǒng)網(wǎng)絡(luò)資源配置不均，網(wǎng)絡(luò)安全性不高等諸多問(wèn)題，還極大程度地讓網(wǎng)絡(luò)管理變得更為簡(jiǎn)單和靈活，有效提升了網(wǎng)絡(luò)管理有效性。因此，應(yīng)該擴(kuò)大VLAN技術(shù)在網(wǎng)絡(luò)工程中的實(shí)際應(yīng)用研究，為推進(jìn)網(wǎng)絡(luò)信息技術(shù)的整體發(fā)展不斷努力。