肖坤峨

摘 要：介紹了VLAN技術(shù)，以及劃分VLAN的好處及劃分方法。以華為S3328-tp交換機為例，設(shè)計了一個應(yīng)用VLAN技術(shù)的網(wǎng)絡(luò)互連方案，實現(xiàn)了虛擬局域網(wǎng)的劃分，縮小了廣播范圍，有效利用了網(wǎng)絡(luò)帶寬，一定程度上提高了網(wǎng)絡(luò)性能和安全。

關(guān)鍵詞：VLAN；交換機；廣播域

DOIDOI：10.11907/rjdk.1511069

中圖分類號：TP393

文獻標(biāo)識碼：A 文章編號文章編號：1672-7800（2015）012-0161-02

0 引言

隨著計算機技術(shù)、通信技術(shù)、網(wǎng)絡(luò)技術(shù)的發(fā)展，交換式局域網(wǎng)逐步取代了傳統(tǒng)的共享式以太網(wǎng)，網(wǎng)絡(luò)中的互聯(lián)設(shè)備也逐漸發(fā)展為以交換機、路由器、防火墻為主，在交換式局域網(wǎng)中，每個端口、每個站點都能獨享一定的帶寬，相比傳統(tǒng)的以太網(wǎng)，在性能和傳輸速率上得到了大幅提高。但當(dāng)一個局域網(wǎng)中的接入設(shè)備過多時（200臺以上），就會形成一個過大的廣播域，影響網(wǎng)絡(luò)帶寬，解決辦法就是進行VLAN劃分，從而提高網(wǎng)絡(luò)的整體性能以及安全性。

1 VLAN技術(shù)

VLAN是Virtual Local Area Network的縮寫，即虛擬局域網(wǎng)，指將網(wǎng)絡(luò)上的節(jié)點按工作性質(zhì)與需要劃分成若干個邏輯工作組[1]，一個邏輯工作組就是一個虛擬局域網(wǎng)，即一個廣播域。同一邏輯組中的主機之間可以通信，不同邏輯組的主機之間不能通信，這樣廣播數(shù)據(jù)幀就被限制在一定范圍內(nèi)，只有處于同一個VLAN中的主機才能接收數(shù)據(jù)包，通過該方法就可以把一個大的廣播域劃分為多個小的廣播域，從而減少了網(wǎng)絡(luò)帶寬被無用信息占用的機會。邏輯工作組的劃分與管理通常以軟件方式實現(xiàn)，邏輯工作組的站點組成不受物理位置的限制，各成員不必連接在同一個物理網(wǎng)段，只要以太網(wǎng)交換機是互聯(lián)的，它們既可以連接在同一個局域網(wǎng)交換機上，也可以連接在不同的局域網(wǎng)交換機上。

1999年，IEEE協(xié)會制定了802.1q協(xié)議草案，規(guī)定了VLAN的具體實現(xiàn)方法，解決如何將大型網(wǎng)絡(luò)劃分為多個小網(wǎng)絡(luò)，使廣播和組播流量不占據(jù)更多帶寬的問題。802.1q協(xié)議定義了數(shù)據(jù)幀的封裝格式[2]，在原有以太網(wǎng)幀的基礎(chǔ)上插入4個字節(jié)的VLAN字段，格式如圖1所示。

圖1 IEEE802.1q 標(biāo)簽幀格式

在IEEE802.1q標(biāo)簽格式幀中，DA、SA是指目的MAC與源MAC地址；0X8100 指一個幀是802.1QVLAN數(shù)據(jù)幀；Priority 指明用戶優(yōu)先級別；CFI用于格式是否規(guī)范，cfi值為0說明是規(guī)范格式，值為1說明不是規(guī)范格式，最初用在令牌環(huán)網(wǎng)中；VLAN ID 為12比特的域，用來標(biāo)識標(biāo)簽屬于哪個VLAN，VLAN ID從1到212（1—4096）；802.1q的數(shù)據(jù)長度最大為1522 bytes；FC 幀校驗系列，用于幀的錯誤校驗。

2 VLAN優(yōu)點

（1）控制廣播風(fēng)暴。一個VLAN中的廣播流量不會傳輸?shù)皆揤LAN之外，鄰近的端口和VLAN也不會收到其它VLAN產(chǎn)生的任何廣播信息，減小了廣播范圍，為用戶的實際流量釋放了帶寬，抑制了廣播風(fēng)暴。

（2）提高了網(wǎng)絡(luò)安全性。VLAN上的信息流不會流入另一個VLAN。因此，通過適當(dāng)配置VLAN和該VLAN與外界的連接，就可以提高網(wǎng)絡(luò)的安全性。如學(xué)校財務(wù)處和其它部門之間不能通信，只需要把財務(wù)處單獨劃分到一個VLAN中即可。

（3）靈活的管理。添加、刪除和移動網(wǎng)絡(luò)成員時，不用重新布線，也不用直接對成員配置。

3 VLAN劃分方法

（1）基于交換機端口的VLAN。靜態(tài)地將以太網(wǎng)交換機上的一些端口劃分給一個VLAN，這是目前最常用的一種劃分方法?？梢栽趩我唤粨Q機上劃分，也可以跨越多臺交換機來劃分邏輯組，方法簡單，但當(dāng)一臺設(shè)備離開原來的端口時需要重新配置。

（2）基于MAC地址的VLAN劃分。根據(jù)網(wǎng)卡的MAC地址進行劃分，設(shè)備的物理位置發(fā)生改變，端口發(fā)生改變，只要計算機的MAC地址不變（計算機使用的網(wǎng)卡不變）， 它都屬于管理員原先所設(shè)定的VLAN。但當(dāng)新增設(shè)備或網(wǎng)卡出現(xiàn)問題時，必須重新配置。

（3） 基于網(wǎng)絡(luò)協(xié)議的VLAN劃分[3]。根據(jù)網(wǎng)絡(luò)層所使用的協(xié)議類型劃分邏輯工作組，如把使用TCP/IP的劃分在同一個VLAN，使用IPX/SPX的劃分在另外一個VLAN。該方法實現(xiàn)起來復(fù)雜、效率低，數(shù)據(jù)包通過交換機，需要檢查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址或協(xié)議。

（4）基于IP組播的VLAN劃分。將同一組播內(nèi)的所有主機劃分在一個VLAN中，該方法靈活性高，但不適合用于局域網(wǎng)。

4 VLAN在華為交換機上配置實現(xiàn)

本例采用兩臺華為quidway S3328交換機級聯(lián)[4]，每臺交換機上連接一些PC，需要實現(xiàn)將PC1和PC4劃入VLAN100中，PC2和PC3劃入VLAN200中，這樣vlan100中的主機就能相互通信，vlan200中的主機也能相互通信，但vlan100和vlan200之間就不能通信，拓撲結(jié)構(gòu)如圖2所示。

圖2 網(wǎng)絡(luò)拓撲結(jié)構(gòu)

（1） 配置過程。使用配置線一端連接主機，另一端連接交換機的Consol口，設(shè)置好超級終端的參數(shù)，進入交換機配置界面。然后創(chuàng)建VLAN，將端口加入VLAN中，設(shè)置TRUNK鏈路。

（2）SwitchA的相關(guān)配置。

（huawei）system-view //進入系統(tǒng)視圖模式

[huawei]sysname SwitchA //修改交換機名字

[SwitchA]interface ethernet 0/0/10 //進入端口視圖

[SwitchA-ethernet0/0/10]port link-type access //修改端口類型

[SwitchA]interface ethernet 0/0/12

[SwitchA-ethernet0/0/12]port link-type access

[SwitchA]vlan 100 //創(chuàng)建VLAN100

[SwitchA-vlan100]port ethernet 0/0/10 //將端口eth0/0/10加入vlan100

[SwitchA]vlan 200 //創(chuàng)建VLAN200

[SwitchA-vlan200] port ethernet 0/0/12 //將端口eth0/0/10加入vlan200

（2）SwitchB的相關(guān)配置。

（huawei）system-view

[huawei]sysname SwitchB

[SwitchB]interface ethernet 0/0/10

[SwitchB-ethernet0/0/10]port link-type access

[SwitchB]interface ethernet 0/0/12

[SwitchB-ethernet0/0/12]port link-type access

[SwitchB]vlan 100

[SwitchB-vlan100]port ethernet 0/0/10

[SwitchB]vlan 200

[SwitchB-vlan200] port ethernet 0/0/12

（3）TRUNK端口配置。把連接兩臺交換機的端口配置為trunk屬性，trunk類型[5]的端口可以發(fā)送和接收多個VLAN的報文。

SwtichA的trunk口配置：

[SwitchA]interface ethernet 0/0/1

[SwitchA-ethernet0/0/1]port link-type trunk //修改端口類型為trunk類型

[SwitchA-ethernet0/0/1]port trunk allow-pass vlan100 //允許該trunk類型端口通過屬于vlan100的數(shù)據(jù)包

[SwitchA-ethernet0/0/1]port trunk allow-pass vlan200 //允許該trunk類型端口通過屬于vlan200的數(shù)據(jù)包

[SwitchA-ethernet0/0/1]quit

[SwitchA]save //保存配置SwtichB的trunk口配置：

[SwitchB]interface ethernet 0/0/1

[SwitchB-ethernet0/0/1]port link-type trunk

[SwitchB-ethernet0/0/1]port trunk allow-pass vlan100

[SwitchB-ethernet0/0/1]port trunk allow-pass vlan200

[SwitchB-ethernet0/0/1]quit

[SwitchB]save

通過ping命令測試連通性，結(jié)果PC2和PC3能互通，PC1和PC4能互通，PC1和PC2不能互通，PC3和PC4不能互通，即VLAN配置成功。

5 結(jié)語

虛擬局域網(wǎng)簡化了網(wǎng)絡(luò)管理流程，提高了網(wǎng)絡(luò)性能和網(wǎng)絡(luò)安全性，抑制了廣播風(fēng)暴，減少了網(wǎng)絡(luò)管理成本，在網(wǎng)絡(luò)管理中研究VLAN技術(shù)具有一定的現(xiàn)實意義。

參考文獻參考文獻：

[1] 喬正洪，葛武滇.計算機網(wǎng)絡(luò)技術(shù)與應(yīng)用 [M].北京：科學(xué)出版社，2011.

[2] 楊姝.虛擬局域網(wǎng)技術(shù)的實現(xiàn)[J].實驗科學(xué)與技術(shù)，2009，5（7）：58-60

[3] 于磊.VLAN常規(guī)劃分及應(yīng)用[J].軟件導(dǎo)刊，2014，13（12）：29-30.

[4] 郭振勇，沈昌海.H3C交換機VLAN配置實現(xiàn)[J].科技論壇，2015（6）：156-159.

[5] 張世星.跨交換機VLAN的配置與應(yīng)用[J].武警學(xué)院學(xué)報，2008，24（6）：92-94.

（責(zé)任編輯：杜能鋼）