高強 葛先雷 權(quán)循忠

摘要：基于MAC地址的VLAN是通過查詢并記錄端口所連計算機上網(wǎng)卡的MAC地址來決定端口的所屬。其可以根據(jù)每個端口所連的計算機，隨時改變端口所屬的VLAN，避免靜態(tài)VLAN的頻繁更改設(shè)定的操作，且由于計算機上網(wǎng)卡的MAC地址是全球唯一的，可以避免非法計算機的入侵登陸。結(jié)果表明，基于MAC地址劃分的VLAN使得計算機不會因連接端口變化導(dǎo)致VLAN變化，增加了連接的靈活性；劃分到特定VLAN的計算機只能訪問相同VLAN的服務(wù)器，未被綁定MAC地址的計算機無法訪問服務(wù)器，增強了計算機網(wǎng)絡(luò)的安全性。

關(guān)鍵詞：交換機；MAC地址：VLAN；安全

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2018）28-0015-02

1 引言

VLAN是指一種將局域網(wǎng)設(shè)備從邏輯上劃分為一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的數(shù)據(jù)交換技術(shù)。[1] 基于MAC地址的VLAN是通過查詢并記錄端口所連計算機上網(wǎng)卡的MAC地址來決定端口的所屬，其可以根據(jù)每個端口所連的計算機，隨時改變端口所屬的VLAN，避免靜態(tài)VLAN的頻繁更改設(shè)定的操作。[2]由于計算機上網(wǎng)卡的MAC地址是全球唯一的，這樣就可以避免非法計算機的入侵登陸。

2 設(shè)計原理

假定MAC地址“A”被交換機設(shè)定為屬于VLAN “10”，那么不論MAC地址為“A”的這臺計算機連在交換機哪個端口，該計算機都會被劃分到VLAN 10。計算機連在端口1時，端口1屬于VLAN 10；而計算機連在端口2時，則是端口2屬于VLAN 10，相對于基于端口劃分VLAN的靜態(tài)方式，增加了連接的靈活性，而未被劃分VLAN的MAC地址計算機是無法登陸訪問的。

3 項目設(shè)計

組網(wǎng)場景：某公司財務(wù)部文件服務(wù)器IP地址為192.168.1.133/24，技術(shù)部文件服務(wù)器IP地址為192.168.1.199/24，兩服務(wù)器連接在交換機上，財務(wù)部使用VLAN 10，技術(shù)部使用VLAN 20，為保證部門文件安全，要求只有經(jīng)過MAC地址認(rèn)證的計算機才能訪問本部門的文件服務(wù)器，其他部門或未經(jīng)過MAC地址認(rèn)證的計算機均無法訪問本部門文件服務(wù)器。（以烽火S5800交換機為例）。組網(wǎng)拓?fù)鋱D如圖1所示。

如圖1所示，交換機1到10端口設(shè)置為混合端口，財務(wù)部和技術(shù)部計算機均可以連接，PC1為財務(wù)部計算機，PC2為技術(shù)部計算機，PC3為未劃分VLAN的外來計算機。PC4為財務(wù)部文件服務(wù)器，PC5為技術(shù)部門文件服務(wù)器，PC4連接在22端口，PC5連接在24端口。

（1） 按照拓?fù)鋱D連接各設(shè)備，設(shè)置各PC的IP地址、子網(wǎng)掩碼如表1所示。

4 測試結(jié)果

測試使用Ping命令來檢測網(wǎng)絡(luò)的連通性。

（1）使用MAC地址為74：D0：2B：17：FF：C3的計算機即PC1，設(shè)置IP地址和子網(wǎng)掩碼，通過2端口分別訪問PC4和PC5，結(jié)果如圖2所示。PC1連接到4端口再次訪問PC4和PC5，結(jié)果如圖3所示。

圖2和圖3表明，無論PC1連接到端口2或者端口4，擁有此MAC地址的計算機都會被交換機自動劃分到VLAN 10，因此可以訪問財務(wù)文件服務(wù)器PC4，不能訪問技術(shù)文件服務(wù)器PC5。

（2）使用MAC地址38：2C：4A：03：85：60的計算機即PC2，設(shè)置IP地址和子網(wǎng)掩碼，通過6端口分別訪問PC4和PC5，結(jié)果如圖4所示。PC2連接到8端口再次訪問PC4和PC5，結(jié)果如圖5所示。

圖4和圖5表明，無論PC2連接到端口6或者端口8，擁有此MAC地址的計算機會被交換機自動劃分到VLAN 20，因此可以訪問技術(shù)部文件服務(wù)器PC5，不能訪問財務(wù)部文件服務(wù)器PC4。

（3）使用未綁定MAC地址的計算機即PC3，設(shè)置IP地址和子網(wǎng)掩碼，通過端口5分別訪問PC4和PC5，測試結(jié)果如圖6所示。 （下轉(zhuǎn)第25頁）

圖6表明，PC3既不能訪問財務(wù)文件服務(wù)器PC4，也不能訪問技術(shù)文件服務(wù)器PC5。

測試結(jié)果表明，基于MAC地址的劃分VLAN使得計算機不會因連接端口變化導(dǎo)致VLAN變化，增加了連接的靈活性，劃分到特定VLAN的計算機只能訪問屬于相同VLAN的服務(wù)器，未被綁定MAC地址的計算機無法訪問服務(wù)器，增加了計算機網(wǎng)絡(luò)的安全性。

參考文獻：

[1] 鄧秀慧，袁宗福.路由與交換技術(shù)[M].北京：電子工業(yè)出版社，2012：78-79.

[2] 楊姝. VLAN 技術(shù)實驗的設(shè)計與仿真實現(xiàn)研究[J]. 實驗技術(shù)與管理， 2014：114-117.

【通聯(lián)編輯：代影】