山東黃金礦業(yè)股份有限公司焦家金礦 山東萊州 261441

摘要：通過對網(wǎng)絡(luò)進(jìn)行VLAN 劃分，可以有效的避免網(wǎng)絡(luò)廣播風(fēng)暴和沖突，本文介紹焦家金礦VLAN技術(shù)的應(yīng)用。

關(guān)鍵詞：VLAN技術(shù)；應(yīng)用

1概述

焦家金礦為實(shí)現(xiàn)數(shù)字化礦山發(fā)展的需要，搭建了覆蓋全礦區(qū)的局域網(wǎng)和工業(yè)環(huán)網(wǎng)，整個(gè)網(wǎng)絡(luò)系統(tǒng)較為龐大，如何能夠更好的對網(wǎng)絡(luò)實(shí)施管理，減少廣播風(fēng)暴對網(wǎng)絡(luò)影響，提高系統(tǒng)的運(yùn)行穩(wěn)定性，本文從VLAN 技術(shù)對網(wǎng)絡(luò)的劃分進(jìn)行了分析。

2 VLAN技術(shù)簡介

VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。

VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬VLAN，即VLAN），每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無須被放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，即使是兩臺計(jì)算機(jī)有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會(huì)相互轉(zhuǎn)發(fā)，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。

2.1 VLAN劃分方法

VLAN的劃分可依據(jù)不同原則，一般有以下幾種劃分方法：

2.1.1 根據(jù)端口來劃分VLAN

這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分為一個(gè)邏輯組，這是最簡單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備，是最常用的一種方式。

2.1.2 根據(jù)MAC地址劃分VLAN

MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識符，每一塊網(wǎng)卡的MAC地址都是惟一且固化在網(wǎng)卡上的。網(wǎng)絡(luò)管理員可按MAC地址把一些站點(diǎn)劃分為一個(gè)邏輯子網(wǎng)。

按MAC地址定義的VLAN有其特有的優(yōu)勢。因?yàn)镸AC地址與網(wǎng)絡(luò)接口卡捆綁在一起的，所以這種形式的虛擬網(wǎng)允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置，并且自動(dòng)保留其所屬虛擬網(wǎng)段的成員身份。從某種意義上講，利用MAC地址定義虛擬網(wǎng)可以看成是一種基于用戶的網(wǎng)絡(luò)劃分手段，這種方法的一個(gè)缺點(diǎn)是所有的用戶必須被明確的分配給一個(gè)虛擬網(wǎng)，而且這種劃分的方法可能導(dǎo)致每一個(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員，這樣就無法限制廣播包了。

2.1.3基于路由的VLAN劃分

路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè)VLAN中。

利用網(wǎng)絡(luò)層定義虛擬網(wǎng)有以下幾點(diǎn)優(yōu)勢：第一，這種方式可以按傳輸協(xié)議劃分網(wǎng)段。其次，用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動(dòng)而不用重新配置自己的工作站，尤其是使用TCP/IP的用戶。第三，這種類型的虛擬網(wǎng)可以減少由于協(xié)議轉(zhuǎn)換而造成的網(wǎng)絡(luò)延遲。

缺點(diǎn)是與利用MAC地址的形式相比，基于網(wǎng)絡(luò)層的虛擬網(wǎng)需要分析各種協(xié)議的地址格式并進(jìn)行相應(yīng)的轉(zhuǎn)換。因此，使用網(wǎng)絡(luò)層信息來定義虛擬網(wǎng)的交換機(jī)要比使用數(shù)據(jù)鏈路層信息的交換機(jī)在速度上占劣勢。另外，雖然按網(wǎng)絡(luò)層劃分的虛擬網(wǎng)對于使用TCP/IP協(xié)議的用戶群來說是十分有效的。但是，象IPX、DECnet、AppleTalk這樣的協(xié)議運(yùn)行在這種虛擬網(wǎng)絡(luò)結(jié)構(gòu)中似乎就不太合適了。再者，對于某些“無法路由”的協(xié)議如NetBIOS，按網(wǎng)絡(luò)層定義虛擬網(wǎng)就更困難了。

2.1.4基于IP廣播組的VLAN劃分

根據(jù)IP廣播組定義是指任何屬于同一IP廣播組的計(jì)算機(jī)都屬于同一虛擬網(wǎng)。當(dāng)IP包廣播到網(wǎng)絡(luò)上時(shí)，它將被傳送到一組IP地址的受托者那里。所有加入同一個(gè)廣播組的工作站被視為同一個(gè)虛擬網(wǎng)的成員。因此，利用IP廣播域來劃分虛擬網(wǎng)的方法給使用者帶來了巨大的靈活性和可延展性。而且，在這種方式下，整個(gè)網(wǎng)絡(luò)可以非常方便地通過路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。

2.1.5 基于規(guī)則的VLAN

這是最靈活的VLAN劃分方法，具有自動(dòng)配置的能力，能夠把相關(guān)的用戶連成一體，在邏輯劃分上稱為“關(guān)系網(wǎng)絡(luò)”。網(wǎng)絡(luò)管理員只需在網(wǎng)管軟件中確定劃分VLAN的規(guī)則（或?qū)傩裕?，那么?dāng)一個(gè)站點(diǎn)加入網(wǎng)絡(luò)中時(shí)，將會(huì)被“感知”，并被自己地包含進(jìn)正確的VLAN中。同時(shí)，對站點(diǎn)的移動(dòng)和改變也可自動(dòng)識別和跟蹤。采用這種方法，整個(gè)網(wǎng)絡(luò)可以非常方便地通過路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。有的產(chǎn)品還支持一個(gè)端口上的主機(jī)分別屬于不同的VLAN，這在交換機(jī)與共享式Hub共存的環(huán)境中顯得尤為重要。

綜上所述，有很多方式可以用來定義虛擬網(wǎng)。每種方法的側(cè)重點(diǎn)不同，所達(dá)到的效果也不盡相同。以上劃分VLAN的方式中，基于端口的VLAN端口方式建立在物理層上；MAC方式建立在數(shù)據(jù)鏈路層上；網(wǎng)絡(luò)層和IP廣播方式建立在第三層上。在具體應(yīng)用時(shí)要根據(jù)實(shí)際情況選擇一種最適合當(dāng)前需要的途徑。

2.2劃分VLAN的優(yōu)點(diǎn)

2.2.1 增加了網(wǎng)絡(luò)連接的靈活性

用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，通過冗余鏈路負(fù)載分擔(dān)網(wǎng)絡(luò)流量，跨越交換機(jī)配置VLAN通信，監(jiān)控交通流量和VLAN使用的網(wǎng)絡(luò)帶寬，這些能力有效地提高了網(wǎng)絡(luò)管理程序的可控性、靈活性和監(jiān)視功能。

2.2.2控制網(wǎng)絡(luò)上的廣播風(fēng)暴

隨著網(wǎng)絡(luò)向交換結(jié)構(gòu)轉(zhuǎn)變，人們失去了路由器提供防火墻功能。這樣，廣播風(fēng)暴將發(fā)送到每一個(gè)交換端口，也就是常說的整個(gè)網(wǎng)絡(luò)是一個(gè)廣播域。

VLAN可以提供建立防火墻的機(jī)制，防止交換網(wǎng)絡(luò)上的過量廣播風(fēng)暴。使用VLAN可以將某個(gè)交換端口或用戶賦于某一個(gè)特定的VLAN組，該VLAN組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機(jī)，在一個(gè)VLAN中的廣播風(fēng)暴不會(huì)送到VLAN之外。同樣，相鄰的端口不會(huì)收到其他VLAN產(chǎn)生的廣播風(fēng)暴。這樣，可以減少廣播流量，釋放帶寬給用戶應(yīng)用，減少廣播風(fēng)暴的產(chǎn)生。

2.2.3增加網(wǎng)絡(luò)的安全性

不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過路由器或三層交換機(jī)等三層設(shè)備。

3焦家金礦VLAN設(shè)置實(shí)例

考慮到設(shè)備的安裝地點(diǎn)和功能需求，焦家金礦VLAN劃分采用了基于端口的劃分技術(shù)。

3.1局域網(wǎng)

焦家金礦局域網(wǎng)配有CISCO三層交換機(jī) 4507R一臺（雙引擎雙電源），CISCO二層交換機(jī) 2960 21臺，采用基于端口的VLAN劃分方式，全礦根據(jù)分布不同，共劃分了8個(gè)VLAN，其中VLAN 1是默認(rèn)VLAN，作為管理VLAN，各二層交換機(jī)分配有管理地址，可以在網(wǎng)絡(luò)的任何位置進(jìn)行管理和設(shè)置。其余8個(gè)VLAN分別是VLAN33、VLAN34、VLAN35、VLAN36、VLAN37、VLAN38、VLAN39。

焦家金礦局域網(wǎng)VLAN 劃分

3.2工業(yè)以太網(wǎng)

系統(tǒng)采用臺灣MOXA品牌的工業(yè)級可網(wǎng)管以太網(wǎng)交換機(jī)，依靠MOXA特有的光纖環(huán)網(wǎng)冗余協(xié)議，在地表和地下分別組成兩個(gè)以太環(huán)網(wǎng)，并將這兩個(gè)環(huán)網(wǎng)連接起來，組成冗余環(huán)，以起到出色的通訊線路備份和冗余的作用。當(dāng)通訊線路出現(xiàn)故障是，系統(tǒng)還能夠在20MS內(nèi)自動(dòng)切換到備份線路，以保證正常的通訊，從而能夠達(dá)到對整個(gè)系統(tǒng)更好的監(jiān)視和控制功能。

核心交換機(jī)：選用Moxa EDS-82810G三層交換機(jī)，提供XXX Gbps的交換容量，保障工業(yè)以太網(wǎng)數(shù)據(jù)傳輸?shù)牡目焖?、高效，并提供靈活、便捷的管理特性。

接入層交換機(jī)：選用Moxa EDS-510和510A交換機(jī)，地表配備7臺EDS-510，井下配備4臺EDS-510A寬溫形交換機(jī)。

地表交換機(jī)共劃分了8個(gè)VLAN，其中VLAN10為設(shè)備管理VLAN，其它的設(shè)置為VLAN11、12、13、14、15、16、17，井下劃分了四個(gè)VLAN，分別是VLAN21、VLAN22、VLAN23、VLAN24。

工業(yè)環(huán)網(wǎng)VLAN設(shè)置

4結(jié)論

通過對焦家金礦局域網(wǎng)和工業(yè)網(wǎng)進(jìn)行VLAN劃分，有效的限制了網(wǎng)絡(luò)廣播和沖突，使網(wǎng)絡(luò)性能大為提高，提別是工業(yè)網(wǎng)要求安全性要求更高，下層交換機(jī)直接相連的底層設(shè)備：如PLC、DCS控制系統(tǒng)等，如果不進(jìn)行劃分，存在著不同交換機(jī)之間對彼此底層設(shè)備的互訪，增加了安全隱患，通過劃分VLAN可以不受傳統(tǒng)的物理連接的限制來規(guī)劃網(wǎng)絡(luò)，如果設(shè)備屬于不同的VLAN，那么跨交換機(jī)終端設(shè)備相互之間不能通信，這樣就能保護(hù)系統(tǒng)免于受到無關(guān)的訪問和數(shù)據(jù)流量帶來的危害，提高了系統(tǒng)的安全性。

參考文獻(xiàn)：

[1]王鈞，楊善林 VLAN技術(shù)在網(wǎng)絡(luò)中的應(yīng)用[J]。電子科技，2000，（04）

[2]郭仕剛.淺談VLAN技術(shù)[J]?，F(xiàn)代通訊，2002，（11）

[3]梅紅嶺.VLAN技術(shù)及應(yīng)用[J]。計(jì)算機(jī)周刊，1999，（17）