ＶＬＡＮ技術在大連氣象局局域網中的應用

摘要：Vlan是虛擬局域網（Virtual Local Area Network）的簡稱，是在一個物理網絡上劃分出來的邏輯網絡，在局域網中應用Vlan技術優化了網絡性能、增加了網絡管理的靈活性增強了網絡的安全性。

關鍵詞：Vlan技術 ；以太網；載波幀聽多路訪問；沖突域

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)27-1955-03

Applications of VLAN in Networks of Dalian Meteorological Bureau

XU Xiao-bo1，HOU Guo-cheng2， Wang Hui-pin1

(1.Dalian Meteorological Administration，Information Network Center，Dalian 116000，China; 2.Dalian Meteorological Administration， Services， Dalian 116000，China)

Abstract: VLAN (virtual local area network) is a virtual port within a switch that serves a group of end stations that share the same IP subnet . Therefore ，each VLAN is a logical broadcast domain. Practice in Dalian Meteorological Bureauhas shown this solution can enhance the network performance and security.

Key words: VLAN; ethernet switch; exchange technology; carrier sense multi-access; collision

1 引言

大連氣象局局域網（以下簡稱局域網）建成于2003年，已實現了千兆三層交換機為核心的“千兆主干跑、百兆到桌面”的千兆以太網絡，但傳統以太網絡采用帶沖突檢測的載波幀聽多路訪問（CSMA/CD）機制，各終端共享傳輸信道所造成的信道沖突和廣播風暴是影響網絡性能的重要因素。當同一網段中節點的數量越多，產生沖突的可能性就越大，將嚴重影響局域網絡性能。近年來，隨著我局氣象業務的不斷拓展，市局及各縣局各類服務器、計算機終端等數量大增，僅市局計算機終端近200臺，各縣局終端數量也進百臺。同時增加了市縣間及國家局、省局到市局的可視會商系統，所有的設備同處一個網段已經嚴重限制了千兆網絡性能的發揮，同時不利于網絡的管理也為病毒、木馬等不安全因素在全網絡傳播提供了條件。而Vlan（Virtual Local Area Network）技術是通過將局域網內的設備邏輯地劃分成一個個網段從而實現虛擬工作組的技術，可以有效解決傳統以太網絡的弊端。

2 以太網工作原理及網絡改造的必要性。

以太網采用帶沖突檢測的載波幀聽多路訪問（CSMA/CD）機制[2]。以太網中所有節點都可以收到在網絡中發送的所有信息，因此，以太網是一種廣播網絡。當以太網中的一臺主機要傳輸數據時它將：

1） 偵聽信道上是否有信號在傳輸。如果有的話，表明信道處于忙狀態，將繼續偵聽，直到信道空閑為止；

2） 若沒有偵聽到任何信號，將傳輸數據；

3） 傳輸的時候繼續偵聽，如發現沖突則執行退避算法，隨機等待一段時間后，重新執行步驟1（當沖突發生時，涉及沖突的計算機會發送一個擁塞序列，以警告所有的節點）；

4） 若未發現沖突則發送成功，計算機會返回到偵聽信道狀態。

在以太網中，當兩個數據幀同時被發送到物理傳輸介質上，并完全或部分重疊時，就發生了數據沖突。當沖突發生時，物理網段上的數據都不再有效。產生沖突的原因有很多，如同一沖突域中節點的數量越多，產生沖突的可能性就越大。因此，當以太網的規模擴大時，就必須采取措施來控制沖突的擴散。有效的方法是物理網絡分段和邏輯分段兩種，在網絡改造中市局與縣局之間采用了路由器代替原有的協議轉換器，將各縣局劃分到不同的物理網段；而市局各處室間采用Vlan技術將一個物理網絡邏輯的劃分成不同的廣播域，將一個大的沖突域劃分為若干小沖突域，從而提高網絡效率。同時利用了原有邊緣交換機支持Vlan技術的功能，提高了網絡改造的性價比。網絡改造后拓撲圖如圖1。

3 VLAN技術的優勢[3]

1） 控制廣播風暴，提高網絡性能。局域網中廣播通信很多。例如，在一臺主機需要與其他主機通信時要發送ARP 廣播;當客戶機請求DHCP 服務器分配IP 地址時，必須發出DHCP 廣播。除了TCP/ IP 協議，Net2BEUI、IPX 和Apple Talk 等協議也經常需要用到廣播。廣播流量在通過交換機時，將向交換機的各個端口擴散，從而給網絡帶來潛在的流量負擔，并延誤了其它流量的通信，更為嚴重的是，當交換網絡被廣播報文充滿時即形成廣播風暴，用戶就無法正常使用網絡。VLAN 技術通過在第二層上邏輯的劃分廣播域，將網絡中的廣播信息限制在同一VLAN 內，而非全網廣播，因此從根本上消除了“廣播風暴”，節約了網絡帶寬，提高全網性能。同時，不同VLAN 之間的通信要經過路由的控制，所以將網絡內頻繁通信的用戶盡可能地集中于同一VLAN 內，就可以減少網間流量，如此既有效節約了網絡帶寬，又提高了網絡效率。

2） 增加網絡的靈活性，有利于控制管理成本。借助VLAN 技術，能將不同地點、不同網絡、不同用戶組合在一起，形成一個虛擬的網絡環境 ，與使用本地LAN 一樣方便、靈活、有效。VLAN可以降低移動或變更工作站地理位置的管理費用，特別是在業務變動，不同處室需要交換辦公場所的情況下，使用了VLAN 后，這部分管理費用大大降低。

3)提高了網絡的整體安全性。建立VLAN 后，同一VLAN 內的計算機之間直接通信，不同VLAN 間的通信要通過路由表進行路由選擇，這樣不僅隔離了基于廣播的信息，網絡管理員還可以通過利用IOSACL 、VLAN ACL 等技術實現VLAN 之間的訪問控制，訪問控制可以是基于IP 地址、協議、端口、甚至是MAC 地址的，可以是單向的也可以是雙向的，可以是VLAN 之間的也可以是VLAN 內部。網絡管理員可以基于應用類型和訪問特權進行邏輯工作組的劃分，被限制的應用程序和資源一般置于安全的VLAN。

4） 一定程度上控制了網絡內部IP 地址的盜用目前，局域網具有終端用戶節點數量不斷增加的特點，用戶數量的增多使得網絡IP 地址盜用亦相應增加，嚴重影響了網絡的正常使用。在建立VLAN 后，網內任何一臺計算機的IP 地址均必須在分配給該VLAN 的IP地址范圍內，否則將無法通過路由器的審核，因而也就不能進行通信。如此，就能有效地將IP 地址的盜用控制在一個VLAN 之內。

4 大連氣象局VLAN 的劃分方法

4.1 Vlan的規劃

在VLAN劃分中，根據局內各個部門之間通信和安全的需要，將各業務單位、局機關、網絡核心設備、網絡服務器等劃分到不同的VLAN，采用了中國氣象局《全國氣象部門網絡系統IP地址規劃方案》中為大連局分配的IP地址段為各部門分配了不同的網段地址，地址分配如表1所示。

4.2 VLAN的劃分

交換式以太網劃分VLAN[1]主要有3種方法：基于端口、基于MAC 地址和基于網絡地址。我們采用了基于端口的VLAN 劃分方法，是以交換機端口為單位，一個VLAN 對應于交換機的一組端口。VLAN 內的通信在這組指定端口范圍內進行，并限制與其它端口的連通。其優點是配置簡單，技術比較成熱，在實際應用中效果顯著。

1） 在核心交換機BD6806交換機上設置Vlan，指定該vlan的網關地址：

6806#vlan 17

6806#description wangluopc

6806#interface vlan 17

6806_config_vlan17#ip address 10.90.17.250 255.255.255.0

2） 在邊緣交換機上為VLAN分配交換機端口：

邊緣交換機為圖形化配置方式，設置VLAN后將級聯端口設為tagged 端口其余端口設為untagged端口，并根據不同端口連接的終端設備所在的VLAN將該端口劃分到指定的VLAN中。

VLAN劃分如圖2所示。

4.3 配置中繼(trunk)

鏈路聚合是一種封裝技術，它是一條點到點的鏈路，鏈路的兩端可以都是交換機，也可以是交換機和路由器，Trunk的主要功能就是僅通過一條鏈路就可以連接多個VLAN 。交換機就必須對通過Trunk 傳輸的每一個數據幀進行標識，將交換機與交換機之間的連接以及交換機與路由器之間的連接端口設為主干模式Trunk：

6808_config# interface GigaEtherface G2/0

6808_config # switchport mode trunk

4.4 配置路由實現VLAN 之間的路由

為限制非業務通信的產生，根據網絡拓撲結構及通信業務需求，在核心交換機上設置靜態路由：

6808_config #ip route 100.100.100.107 10.90.17.252

5 結束語

劃分VLAN 后，由于廣播域的縮小，網絡中廣播包消耗帶寬所占的比例大大降低，網絡的性能得到顯著的提高。另外，在VLAN 間采用訪問控制策略，增加了網絡的整體安全性。

參考文獻

[1] 林生.計算機通訊與網絡教程[M].北京：清華大學出版社，2001.

[2] 楊義先.計算機網絡[M].北京：北京郵電出版社，2000.

[3] lenis W.CCNP 思科網絡技術學院教程(第七學期)多層交換[M].韋新，譯. 北京:人民郵電出版社，2003.