邱文軍

摘要：隨著網(wǎng)絡(luò)規(guī)模的不斷擴大，網(wǎng)絡(luò)安全管理成為制約網(wǎng)絡(luò)應用發(fā)展的阻礙之一，通過VLAN能將含有敏感數(shù)據(jù)的用戶組與網(wǎng)絡(luò)的其余部分隔離，增強局域網(wǎng)的安全性，從而降低泄露機密信息的可能性。實踐表明，使用Cisco packet tracer模擬有助于培養(yǎng)學生的創(chuàng)造力，提升學生的網(wǎng)絡(luò)設(shè)計、配置和驗證等綜合能力。

關(guān)鍵詞：VLAN技術(shù)；Cisco packet tracer；仿真實驗

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）31-7306-02

隨著Internet的進一步發(fā)展，人們的工作和生活越來越依賴于網(wǎng)絡(luò)。由于在傳統(tǒng)的局域網(wǎng)中，局域網(wǎng)的安裝通常會受到地理條件的限制，這嚴重影響了網(wǎng)絡(luò)技術(shù)的應用范圍和發(fā)展。而且在具有移動要求的網(wǎng)絡(luò)組織里，移動用戶在遠程訪問電子郵件服務(wù)時，有可能意外連接到未經(jīng)授權(quán)的局域網(wǎng)的網(wǎng)段上，這對網(wǎng)絡(luò)安全產(chǎn)生了極大的安全隱患和對網(wǎng)絡(luò)管理的混亂，也會對局域網(wǎng)的管理和維護造成了極大的不便。此外隨著局域網(wǎng)內(nèi)同一網(wǎng)段內(nèi)網(wǎng)絡(luò)節(jié)點的不斷增多，導致廣播風暴的幾率逐漸增大，網(wǎng)絡(luò)通信質(zhì)量逐漸下降，網(wǎng)絡(luò)安全和維護遭受極大的考驗，這使傳統(tǒng)的局域網(wǎng)技術(shù)已經(jīng)不能滿足人們的需求，因此VLAN技術(shù)應運而生。

1 VLAN技術(shù)基礎(chǔ)

1.1 VLAN技術(shù)分類及劃分方式

VLAN（Virtual Local Area Network，虛擬局域網(wǎng)）是指在一個物理網(wǎng)段內(nèi)，進行邏輯的劃分，劃分成若干個虛擬局域網(wǎng)。VLAN最大的特性是不受物理位置的限制，可以進行靈活的劃分。VLAN具備了一個物理網(wǎng)段所具備的特性。相同VLAN內(nèi)的主機可以互相直接訪問，不同VLAN間的主機之間互相訪問必須經(jīng)由路由設(shè)備進行轉(zhuǎn)發(fā)。廣播數(shù)據(jù)包只可以在

本VLAN內(nèi)進行傳播，不能傳輸?shù)狡渌鸙LAN中[1]。

VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶互訪，每個工作組就是一個虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。

VLAN的優(yōu)點：（1） 控制不必要的廣播報文的擴散；（2） 提高網(wǎng)絡(luò)帶寬利用率，減少資源浪費；（3） 劃分不同的用戶組，對組之間的訪問進行限制；（4） 增加安全性。

VLAN的劃分方式主要有以下幾種：（1） 基于端口的VLAN，即明確指定各端口屬于哪個VLAN的設(shè)定。此方式仍然是目前使用較多的劃分VLAN的方式。（2） 基于MAC地址：通過查詢并記錄端口所連計算機網(wǎng)卡上的MAC地址來決定端口的所屬VLAN；（3） 基于網(wǎng)絡(luò)層的VLAN：通過所連計算機的IP地址來決定端口的所屬VLAN；（4） 基于IP主播地址的VLAN：一個主播組就是一個VLAN；（4） 基于用戶的VLAN：根據(jù)交換機各端口所連的計算機上當前登錄的用戶來決定該端口屬于哪個VLAN[2]。

1.2 VLAN端口

Tag Vlan是基于交換機端口的另外一種類型，主要用于實現(xiàn)跨交換機的相同VLAN內(nèi)主機之間可以直接訪問，同時對于不同VLAN的主機進行隔離。Tag Vlan遵循了IEEE802.1q協(xié)議的標準。在利用配置了Tag Vlan的接口進行數(shù)據(jù)傳輸時，需要在數(shù)據(jù)幀內(nèi)添加4個字節(jié)的802.1q標簽信息，用于標識該數(shù)據(jù)幀屬于哪個VLAN，以便于對端交換機接收到數(shù)據(jù)幀后進行準確的過濾。

1） ACCESS端口，UnTagged端口，即接入接口，Access端口只能屬于一個VLAN，它發(fā)送的幀不帶有VALN標簽，一般用于連接計算機的端口。

2） Trunk端口，Tag Aware端口，即干道接口，可以允許多個VLAN通過，它發(fā)出的幀一般是帶有VLAN標簽的，一般用于交換機之間連接的端口。

2 利用Cisco packet tracer完成仿真實驗

Cisco packet tracer是由Cisco公司發(fā)布的一個輔助學習工具，為計算機網(wǎng)絡(luò)的學習者在設(shè)計、配置、排除網(wǎng)絡(luò)故障等方面提供網(wǎng)絡(luò)模擬環(huán)境。學生可在軟件的圖形用戶界面上直接使用拖曳方法建立網(wǎng)絡(luò)拓撲，軟件中實現(xiàn)的IOS子集允許學生配置設(shè)備；并可提供數(shù)據(jù)包在網(wǎng)絡(luò)中行進的詳細處理過程，觀察網(wǎng)絡(luò)實時運行情況[3]。

2.1 VLAN的劃分

假設(shè)某企業(yè)有兩個主要部門：銷售部和技術(shù)部，其中銷售部門的個人計算機系統(tǒng)連接在不同的交換機上，他們之間需要相互進行通信，但為了數(shù)據(jù)安全起見，銷售部和技術(shù)部需要進行相互隔離，現(xiàn)要在交換機上做適當配置來實現(xiàn)這一目標。

2.2 VLAN間的路由

在前面，我們將銷售部和技術(shù)部劃分了VLAN進行了隔離，但如果他們之間需要相互訪問，我們又可以利用三層交換機的路由功能實現(xiàn)銷售部和技術(shù)部不同VLAN間路由。在二層交換機上劃分VLAN配置Trunk實現(xiàn)不同VLAN的主機接入，在三層交換機上劃分VLAN配置Trunk并配置SVI接口實現(xiàn)不同VLAN間路由。

3 VLAN配置過程中可能產(chǎn)生的問題及解決的辦法

在VLAN的配置過程中可能會產(chǎn)生VLAN用戶隔離不成功，VLAN隔離后不能進行任何通信以及采用VLAN技術(shù)后，無法進行設(shè)備管理等問題。具體的解決方法就是：首先查看網(wǎng)絡(luò)拓撲圖與實際配置端口是否一致；其次分析數(shù)據(jù)幀的轉(zhuǎn)發(fā)過程，特別是數(shù)據(jù)包攜帶的VLAN ID的變化?？纯丛谡麄€數(shù)據(jù)幀轉(zhuǎn)發(fā)的過程中何時刪除TAG標簽，何時增加TAG標簽，在刪除和增加的過程中是否變化過VLAN ID，特別是PVLAN技術(shù)存在的時候；最后分析是否VLAN路由是否存在問題。

4 結(jié)束語

本文詳細介紹了VLAN在Cisco packet tracer仿真環(huán)境下的配置，VLAN技術(shù)是網(wǎng)絡(luò)設(shè)備管理技術(shù)的一個重點，也是網(wǎng)絡(luò)交換機配置的基礎(chǔ)，在校園網(wǎng)、企業(yè)網(wǎng)絡(luò)中應用非常廣。通過在仿真環(huán)境下的實踐，既可以減少實驗投入成本，也可以鍛煉學生的實際動手能力，積累實踐經(jīng)驗，增加理論與實踐的結(jié)合，培養(yǎng)學生的探索精神和創(chuàng)造性思維。

參考文獻：

[1] 楊株. VLAN技術(shù)實驗的設(shè)計與仿真實現(xiàn)研究[J].實驗技術(shù)與管理，2013，31（3）：14-17.

[2] 陳偉川. 基于MAC地址的動態(tài)VLAN原理及組網(wǎng)應用[J].計算機與現(xiàn)代化，2007，14（4）：107-108.

[3] 琚生根，陳黎，周剛，等.“計算機網(wǎng)絡(luò)”實驗課程的教學探討[J].實驗技術(shù)與管理，2013，30（4）：159-161.