韓明

摘 要：以太網(wǎng)是目前企業(yè)園區(qū)網(wǎng)絡(luò)內(nèi)部局域網(wǎng)的主要組網(wǎng)架構(gòu)，具有結(jié)構(gòu)簡單，部署方便，成本低廉等優(yōu)點(diǎn)。由于交換機(jī)在傳遞未知單播幀時往往采用廣播的方式，交換設(shè)備硬件負(fù)載高，數(shù)據(jù)轉(zhuǎn)發(fā)率急劇下降，掉包嚴(yán)重，并且以太網(wǎng)安全性差，無法對企業(yè)網(wǎng)絡(luò)的安全性提供保障。為了解決以太網(wǎng)的這個問題，必須對以太網(wǎng)廣播的范圍進(jìn)行一定的控制和隔離，VLAN技術(shù)的出現(xiàn)為此提出了完美的解決方案。文章對VLAN技術(shù)在以太網(wǎng)中的應(yīng)用進(jìn)行研究。

關(guān)鍵詞：VLAN； Access接口：Trunk接口；Hybrid接口

1 VLAN技術(shù)的基本原理

1.1 VLAN概念

虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）技術(shù)，通過配置VLAN可以將一個物理局域網(wǎng)在邏輯上劃分出多個廣播域，并且只有相同VLAN的二層數(shù)據(jù)才能進(jìn)行通信，不同VLAN范圍的二層通信會被隔離。

1.2 VLAN技術(shù)的主要作用

1.2.1隔離廣播流量

早期的以太網(wǎng)采用總線型，所有的主機(jī)處于同一個沖突范圍，共享10 m帶寬。兩臺主機(jī)同時發(fā)送數(shù)據(jù)時會造成沖突，單臺主機(jī)發(fā)送數(shù)據(jù)時會以廣播的形式發(fā)送，其他的主機(jī)都能收到。隨著交換機(jī)的產(chǎn)生，部分解決了總線型網(wǎng)絡(luò)的以上缺點(diǎn)。但是交換機(jī)同樣是采用的以太網(wǎng)技術(shù)，只不過是將沖突域的范圍進(jìn)行了一定的縮小，在大型網(wǎng)絡(luò)中還是不能完美地對廣播的范圍進(jìn)行更精確的控制。VLAN技術(shù)部署在數(shù)據(jù)鏈路層，能夠?qū)⒁粋€物理的二層網(wǎng)絡(luò)，邏輯上劃分成多個不同的廣播域，并且不同VLAN范圍的主機(jī)不能通信，良好地對廣播流量進(jìn)行了隔離[1]。

1.2.2提升企業(yè)網(wǎng)絡(luò)安全性

在企業(yè)網(wǎng)絡(luò)中往往有多個核心部門，如財務(wù)部、人事部，在以太網(wǎng)中這些部門的計算機(jī)都能夠被其他部門的主機(jī)訪問，不符合企業(yè)網(wǎng)絡(luò)安全的需求。通過部署VLAN技術(shù)可以將這些核心部門劃分到不同的VLAN之中。由于不同VLAN間的通信是被隔離的，這樣可以避免其他部門的主機(jī)對核心部門進(jìn)行訪問，有效地提升了企業(yè)內(nèi)部網(wǎng)絡(luò)安全性。

2 VLAN幀的格式

VLAN的數(shù)據(jù)幀標(biāo)簽長4個字節(jié)，其中包含了Tpid和Tci兩個部分。Tci中又包含Pri，Cfi和VLAN ID 3個字段。Tpid用了2個字節(jié)，取值Ox8100表示這是一個攜帶VLAN標(biāo)簽的802.lq的數(shù)據(jù)幀。Tci是數(shù)據(jù)幀的控制信息，其中pri占用了3個bit，取值范圍0到7，它描述數(shù)據(jù)幀的優(yōu)先級，數(shù)值越大越優(yōu)先，設(shè)備會優(yōu)先發(fā)送級別高的數(shù)據(jù)幀。Cfi字段用一個bit來描述數(shù)據(jù)幀的硬件地址是否是經(jīng)典格式。VLAN ID共占用12個bit，我們在劃分VLAN時的取值范圍是（0-4 095），由于0和4 095這兩個VLAN ID為保留VLAN，所以每臺交換機(jī)能夠合法分配的VLAN ID為l到4 094。由于交換機(jī)和交換機(jī)之間在轉(zhuǎn)發(fā)數(shù)據(jù)幀時都會攜帶VLAN標(biāo)簽，為了網(wǎng)絡(luò)正常通信，每臺交換機(jī)在出廠時都會有一個默認(rèn)VLAN，編號為1，設(shè)備上的所有接口都劃分在這個默認(rèn)VlAN中。

3 VLAN的接口鏈路類型

3.1 Access鏈路接口

Access（接入鏈路）是VLAN當(dāng)中的一種鏈路接口類型，該接口主要用于連接終端設(shè)備，如交換機(jī)與計算機(jī)和服務(wù)器的連接。交換機(jī)與交換機(jī)之間發(fā)送的數(shù)據(jù)幀都是攜帶VLAN標(biāo)簽的數(shù)據(jù)幀，而交換機(jī)與終端計算機(jī)之間通信時如果將攜帶VLAN標(biāo)簽的數(shù)據(jù)幀發(fā)給計算機(jī)，計算機(jī)接收到數(shù)據(jù)幀時并不能夠讀懂?dāng)?shù)據(jù)幀的含義。所以Access鏈路接口需要將交換機(jī)發(fā)送過來的數(shù)據(jù)幀的標(biāo)簽剝離，這個過程叫作untag，

3.2 Trunk鏈路接口

Trunk接口類型主要用于交換機(jī)與交換機(jī)之間的連接。Trunk鏈路允許攜帶多個VLAN標(biāo)記的數(shù)據(jù)幀通過。如果交換機(jī)與交換機(jī)之間級聯(lián)的鏈路設(shè)置為Access接口類型，就會造成網(wǎng)絡(luò)通信故障，因為Access接口在發(fā)送數(shù)據(jù)時會將VLAN的標(biāo)簽剝離。當(dāng)交換機(jī)與交換機(jī)之間通信時必須將接口類型設(shè)置為Trunk，否則會造成跨交換機(jī)的相同VLAN通信失敗。當(dāng)我們將交換機(jī)的端口設(shè)置為Trunk鏈路時，設(shè)備在通信時有以下幾種情況。

3.2.1接收數(shù)據(jù)

當(dāng)此端口收到不含VLAN標(biāo)簽的數(shù)據(jù)幀時，它將會以自己端口的pvid來對數(shù)據(jù)幀進(jìn)行處理，會對原始數(shù)據(jù)幀添加自己的pvid，同時會檢查VLAN安全規(guī)則列表是否己授權(quán)此VLAN通過，如果匹配就接受此數(shù)據(jù)，不匹配則過濾丟棄。如果此端口接收到已經(jīng)攜帶相應(yīng)VLAN標(biāo)簽的數(shù)據(jù)幀，同樣會檢查會檢查VLAN安全規(guī)則列表是否己授權(quán)此VLAN通過，如果匹配就接受此數(shù)據(jù)，不匹配則過濾丟棄。

3.2.2發(fā)送數(shù)據(jù)

交換機(jī)在發(fā)送數(shù)據(jù)時檢查原始數(shù)據(jù)幀的VLAN ID，如果和交換機(jī)的端口VLAN ID-致，則進(jìn)行下一步安全性檢查，檢查VLAN安全規(guī)則列表是否己授權(quán)此VLAN通過，如果匹配就將標(biāo)簽剝離后發(fā)送。如果原始數(shù)據(jù)幀的VLAN標(biāo)記和交換機(jī)發(fā)送端口的端口VLAN ID不一致時，先進(jìn)行安全性檢查，匹配后不更改原始數(shù)據(jù)幀的VLAN標(biāo)簽發(fā)送。

3.3 Hybrid端口

Hybrid端口是華為公司專有的技術(shù)專利，這種鏈路類型的端口既可以對數(shù)據(jù)幀剝離VLAN標(biāo)簽，又可以對數(shù)據(jù)幀加上標(biāo)簽。所以華為的Hybrid端口既可以連接計算機(jī)，又可以連接交換機(jī)，華為交換機(jī)的端口默認(rèn)鏈路模式為Hybrid類型。這種鏈路類型部署時非常靈活，補(bǔ)全了Access接口和Trunk接口再應(yīng)用是不夠靈活的缺點(diǎn)[2]。

4 劃分VLAN的主要方法

4.1基于端口

目前是企業(yè)內(nèi)部部署VLAN時采用的主流方案，部署簡單，維護(hù)方便。基于端口的VLAN劃分通過將交換機(jī)的不同端口加入到VLAN中實(shí)現(xiàn)。此種方法會為不同的交換機(jī)端口打上相應(yīng)的pvid號。交換機(jī)的默認(rèn)VLANI包含了所有端口?；诙丝趤韺?shí)現(xiàn)VLAN劃分的缺點(diǎn)是靈活性較差。如企業(yè)部門更換辦公地點(diǎn)時，需重新對該主機(jī)連接的交換機(jī)端口進(jìn)行配置，將交換機(jī)現(xiàn)在的連接端口加入到相應(yīng)的VLAN中。

4.2基于終端設(shè)備網(wǎng)絡(luò)硬件地址

對于經(jīng)常移動辦公的終端設(shè)備，基于端口的配置方法不夠靈活。我們可以采用基于設(shè)備網(wǎng)卡硬件地址的劃分方法。在設(shè)備上我們需要將終端計算機(jī)網(wǎng)卡的硬件地址和VLAN的ID建立相應(yīng)的關(guān)聯(lián)關(guān)系。當(dāng)設(shè)備發(fā)送數(shù)據(jù)時交換機(jī)會基于這種關(guān)聯(lián)映射來對數(shù)據(jù)幀進(jìn)行標(biāo)記處理，將VLAN ID加入數(shù)據(jù)幀，這樣終端設(shè)備即使頻繁地移動改變地理位置，也能和相同VLAN的主機(jī)進(jìn)行通信。

4.3基于IP地址

這種劃分方法同樣比較靈活，在設(shè)備上需要將終端主機(jī)的IP地址和VLAN ID進(jìn)行關(guān)聯(lián)。當(dāng)終端主機(jī)發(fā)送數(shù)據(jù)時，交換機(jī)會檢查數(shù)據(jù)幀中的源IP地址，對數(shù)據(jù)幀加上相應(yīng)的VLAN ID后進(jìn)行發(fā)送。

5 不同VLAN間通信的方法

5.1路由器單臂路由

我們可以通過路由器來實(shí)現(xiàn)不同VLAN之間的流量轉(zhuǎn)發(fā)。（1）路由器配置子接口，給子接口配置不同網(wǎng)段的IP地址。（2）路由器的子接口封裝dotlq，并聲明子接口對應(yīng)的VLAN id。（3）交換機(jī)和路由器相連的接口配置為Trunk鏈路，并允許相應(yīng)的VLAN流量通過。（4）不同VLAN的計算機(jī)將自己的網(wǎng)關(guān)設(shè)置為路由器相應(yīng)子接口的IP。（5）如果是華為的3層交換機(jī)，要注意的是華為的3層交換機(jī)默認(rèn)禁止了子接口的arp廣播。必須在設(shè)備的子接口上開啟arp協(xié)議的廣播功能。由于路由器一般沒有高速硬件轉(zhuǎn)發(fā)芯片，主要是基于軟件來進(jìn)行路由，所以轉(zhuǎn)發(fā)效率低，不推薦此種方案。

5.2基于3層交換機(jī)vLANif接口高速轉(zhuǎn)發(fā)

此種VLAN間路由的方式又稱SVI虛接口路由，通過對3層交換機(jī)的VLAN接口配置IP，同時不同VLAN的計算機(jī)將自己的網(wǎng)關(guān)設(shè)置為交換機(jī)相應(yīng)VLANif接口的IP來實(shí)現(xiàn)VLANl間路由。此種方式配置簡單，同時在3層交換機(jī)中具有高速轉(zhuǎn)發(fā)硬件芯片，所以轉(zhuǎn)發(fā)效率高，推薦此種方案。

6 華為交換機(jī)基于端口的VLAN配置實(shí)例

華為交換機(jī)基于端口的VLAN配置實(shí)例有以下3種。

（1）在設(shè)備上創(chuàng)建VLAN并給VLAN命名。

[sw31]VLAN batch 10 20 30

[sw31-VLANifl0]descrIPtion sale

（2）將sl交換機(jī)的e/0/1端口加入VI.AN 10中。

[sw31-EthernetO/O/lO]port link-type Access [sw31-EthernetO/O/lOlport default VLAN 10

（3）糌交換機(jī)和交換機(jī)之間級聯(lián)的端口設(shè)置為Trunk鏈路，并允許全部的VLAN通過。

[sw31-GigabitEthernetO/O/l]port link-type Trunk

[sw31一GigabitEthernet O/O/l]port Trunkallow-passVLAN all

7結(jié)語

VLAN技術(shù)的出現(xiàn)，比較完美地解決了以太網(wǎng)當(dāng)中廣播流量控制的問題，讓企業(yè)能夠?qū)V播流量的范圍進(jìn)行靈活的管控。同時可以通過給不同的部門劃分不同的VLAN來進(jìn)行訪問限制，提升了企業(yè)網(wǎng)絡(luò)的安全性。

[參考文獻(xiàn)]

[1]張海.淺談VLAN技術(shù)[J]科技信息，2008 （13）：391-392

[2]劉智能.淺談VLAN的實(shí)現(xiàn)方法[J].電腦知識與技術(shù)，2011 （12x）：9359-9360