VLAN技術在中職院校中的應用

摘要:隨著網絡技術的發展，全國各大中職院校基本上都有自己的校園網，在校園網建設如火如荼的同時，由于接入設備的越來越多，迫切需要一種技術解決交換機在進行局域網互連時無法限制廣播的問題，因此，如何規劃、設計和管理好校園網絡成為重中之重，VLAN技術以其配量靈活，有效控制網絡廣播風暴，高效安全管理網絡、應用廣泛等特點成為校園網絡環境下的典型應用。

關鍵詞:VLAN;局域網;廣播風暴;網絡管理

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)14-3838-03

VLAN Technology has Application in Secondary Vocational School

LI Chun-yu

(Kunming Medical School Information Center， Kunming 650032， China)

Abstract: With the development of network technology， the country is basically large and medium-level institutions have their own campus network， campus network construction in full swing at the same time， as more and more access to equipment， there is an urgent need for a technical solution switches LAN interconnection in broadcasting can not be restricted， so， how the planning， design and manage the campus network has become the top priority， VLAN technology with the volume of its flexible and effective network broadcast storm control， and efficient network security management， applications become a campus network， such as the characteristics of the typical application environment.

Key words: vlan; lan; broadcast storm; network management

1 VLAN的概念

VLAN(Virtual Local Area Network)即虛擬局域網，是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN，即VLAN)，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的 LAN有著相同的屬性。但由于它是邏輯地而不是物理地劃分，所以同一個VLAN內的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中，即使是兩臺計算機有著同樣的網段，但是它們卻沒有相同的VLAN號，它們各自的廣播流也不會相互轉發，從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。

VLAN是為解決以太網的廣播問題和安全性而提出的，它在以太網幀的基礎上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態管理網絡。既然VLAN隔離了廣播風暴，同時也隔離了各個不同的VLAN之間的通訊，所以不同的VLAN之間的通訊是需要有路由來完成的。

2 VLAN的優點

1)限制廣播域。廣播域被限制在一個VLAN內，節省了帶寬，提高了網絡處理能力。

2)增強局域網的安全性。不同VLAN內的報文在傳輸時是相互隔離的，即一個VLAN內的用戶不能和其它VLAN內的用戶直接通信，如果不同VLAN要進行通信，則需要通過路由器或三層交換機等三層設備。

3)靈活構建虛擬工作組。用VLAN可以劃分不同的用戶到不同的工作組，同一工作組的用戶也不必局限于某一固定的物理范圍，網絡構建和維護更方便靈活。

VLAN是在數據鏈路層的，劃分子網是在網絡層的，所以不同子網之間的VLAN即使是同名也不可以相互通信。

3 組建VLAN的條件

VLAN是建立在物理網絡基礎上的一種邏輯子網，因此建立VLAN需要相應的支持VLAN技術的網絡設備。當網絡中的不同VLAN間進行相互通信時，需要路由的支持，這時就需要增加路由設備——要實現路由功能，既可采用路由器，也可采用三層交換機來完成。

4 VLAN的劃分

根據定義VLAN成員關系的方法的不同，VLAN可以分為7種，從簡到繁依次是:

基于端口的VLAN[Port—Based;基于協議的VLAN(Protocol—Based];基于MAC層分組的VLAN(MAC—Layer Grouping);基于網絡層分組的VLAN(Network:Layer Grouping);基于IP組播分組的VLAN(IP MulticastGrouping);組合的VLAN;基于策略的VLAN(Policy—Based)。不同種類的VLAN適用于不同的場合。下面就對各VLAN劃分作詳細介紹介紹:

4.1 基于端口分組的VLAN

按端口分組是早期定義VLAN成員關系的方法。在這種定義方法中，某個交換機上的端口(例如端口1、3和5)構成VLANA，而該交換機上的其他端口構成VLANB。早期基于端口的VLAN成員只能位于一個交換機中。第二代基于端口的VLAN支持多個交換機，例如交換機x上的端口1和端口2與交換機Y上的端口3和端口4構成一個VLAN。

在基于端口的VLAN中，當用戶從一個端口移到另外的端口時，網絡管理員必須重新配置VLAN成員關系。單純按照端口分組定義VLAN時，不允許多個VLAN包含同一個物理網段〔或交換機端口)。當設備通過端口被分配給VLAN時，它們被物理地連接到端口上，端口分配是靜態的，而且只能由系統管理人員更改。盡管基于端口的VLAN容易構建，但每個端口只能支持一個VLAN。因此，它們只具有對集線器(Hub)和服務器的有限支持。

4.2 基于MAC地址分組的VLAN

在這種定義方法中，若干個NAC地址構成VLAN成員。用戶屬于哪個VLAN由其網卡中的MAC地址決定。由于MAC地址被固化在用戶的網卡中，因此基于MAC地址的VLAN能夠讓網絡管理員將工作站移動到網絡中不同的物理位置，并能保持該工作站的VLAN成員關系，而且上述過程能夠通過軟件自動完成(因為固化在網卡中的MAC地址是全局唯一，且不可改變)。

4.3 基于協議的VLAN

另外一種簡單的VLAN可以根據協議的不同進行分組，例如，所有使用MAC地址的用戶形成一個VLAN，用IP地址分組的用戶形成另外一個VLAN，而使用IPX(Internet Packet exchange，NetWare系統使用的第3層協議)地址的用戶形成第3個VLAN，等等。這種類型的VlaN稱為基于協議的VLAN。 基于協議劃分VLAN使用的分組標準是數據幀中的“協議類型”字段。該類型VLAN一般與基于IP地址分組的VLAN一起使用。

基于協議VLAN具有以下優點:

1)允許用戶同時屬于不同的VLAN。

2)支持多協議網絡環境。

3)允許IPX網絡的加入。

在純IP網絡中，基于協議的VLAN類似基于IP的VLAN。

使用基于協議的VLAN時，網絡中的交換機要具有一定的第3層智能功能，使之能理解數據分組中的地址字段信息。

4.4 基于IP的VLAN

更復雜的第3層VLAN是基于IP地址VLAN或者是基于IPx地址的VLAN，后者比較少見。

基于IP的VLAN以第3層信息為基礎，并使用網絡(IP子網)地址。該類型VLAN在確定成員時也考慮協議類型(如果同時支持多協議)。盡管這種VLAN基于分組中的第3層信息，但并不構造路由，它只是使用交換機中原有的路由表。這種交換機就是第3層交換機，它負責執行路由功能。盡管路由器能在子網間發送分組，并能保持VLAN信息，但它會產生瓶頸，所以應采用第3層交換機。第3層交換機是基于ASIC芯片組的，它比基于CPU的路由器性能好。目前網絡中路由器和第3層交換機還在共存，當網絡徹底實現VLAN時，也就是路由器“退休”之日。盡管交換機為確定VLAN成員關系要檢查IP地址，但并不進行路由計算，像RIP和OSPF這樣的路由協議也不工作。通過這些交換機的幀是根據生成樹算法(Spanning-Tree)被橋接的。所以，從第3層交換機觀點來看，VLAN網絡仍然可以看作是一個平面的、橋安的網絡。

4.5 基于IP組播分組的VLAN

組播的通信量是點到多點或多點到多點的。組播正被期望成為數據網絡的新服務。

組播VLAN是通過偵聽Internet組管理協議(Internet Group Management Protocol)，當用戶打開使用組播的應用時，它們將動態地加入與應用相關的VLAN，而當應用關閉時，它們會斷開與組播VLAN的連接。

組播的設計目標是將VLAN的目標是有區別的。非廣播的組播被認為是MAC工作站(通常是采用廣播的)忽略與己無關的流量的一種方法，因為網絡中某些工作站不能以線速處理分組，需要有一種MAC層的方法使分組在消耗資源(緩存空間和CPU時間)之前就被丟掉。然而被工作站丟棄的組播分組仍然占用了線路的帶寬，而且在傳統的橋接網絡中，所有的分組將不被區別地轉發到所有的端口和網絡。

4.6 VLAN的組合

實際上，網絡管理員針對特定的網絡環境采用更加靈活的方法來定義VLAN成員關系，以獲得更好的成員分組。例如，對于混合使用IP和NetBIOS的網絡，由于NetBIOS的不可路由性，因此采用單純第3層的方法顯然對NetBIOS工作站不適用，那么可以按照IP子網定義基于IP的VLAN，按照MAC地址分組NetBIOS工作站。

VLAN組合最常見的情形是2/3層VLAN。

使用2/3層VLAN的虛擬網絡技術融合了某些傳統路由技術和面向連接技術的特質。網絡技術能夠比路由器提供更好的可靠性、安全性和高效性。

對端用戶來說，虛擬網絡像是一個第3層交換網絡，而從路由器的角度來看，它又像一個單一的VLAN。

虛擬網絡或VLAN就是獨立的用戶組，要想相互通信，用戶組的用戶必須處在同一個子網或在同一個網絡地址范圍內。要想在VLAN之間通信，就需要更多的輔助措施。

在VLAN之間進行交換是不可能的，因為那樣就必須將所有的VLAN拆分到一個單一的廣播域，即拆分重組一個單一的VLAN。因此，為保持原有的獨立廣播域，就需要路由器或路由功能，同時，允許不同子網的和同一子網的用戶在第3層進行通信。

在虛擬網絡中，既可以使用傳統的路由器，也可以不使用。

4.7 基于策略的VLAN

策略源于網絡管理，主要是指網絡管理行為所遵守的規則。這些規則涉及網絡管理員和軟硬件系統的禁止、允許和授權等行為，尤其是當網絡產生報警信息時，網絡和網絡管理員應該采取的措施。

基于策略的VLAN是指為實現管理策略而定義的邏輯用戶組。它使用上述VLAN種類定義的方法，NAC地址、第3層地址和協議類型字段等。它還可以將不同的策暗組合到一起以滿足網絡管理員的特殊需要。

根據策略建立的VLAN仍然是一個廣播域，但是域中的成員關系更加粒狀(granular)，即成員分組可以基于任何標準或數據幀中的指標，并且每個交換機端口可以支持多個VLAN。

基于策略的VLAN提供了更大的靈活性，但可能導致更復雜、更多的管理成本。從技術上看，基于策略的VLAN是幀過濾器(frame—filter)在廣播域應用的產物?；诓呗缘腣VLAN允許對通信量實施更加拉狀的控制，這意味著廣播域中的VLAN交換機必須支持多個VLAN共存一個交換機。

基于策略的VLAN比其他VLAN更依賴于特定的網絡管理。

校園網中常用的VLAN是基于端口的VLAN、基于MAC地址的VLAN和基于IP地址的VLAN。

5 VLAN在我校校園中的應用

5.1 我校校園網情況

校園網以學校網絡中心為核心，覆蓋辦公樓、教學樓、實驗樓、主校區辦公樓、電子閱覽室、圖書館等主要大樓。采用化為7506R交換機作為中心交換機，在其他樓配置二級交換機，中心交換機與防火墻相連，各服務器都連到7506R三層交換機上，防火墻連接INTERNET。

5.2 校園網絡規劃

根據校園網的具體情況，為了達到信息流量的控制，并提供良好的安全性，由于點位超過200個，特劃分了九個VLAN網段，以避免因局域網內的計算機過多而引起網絡堵塞或廣播風暴，影響到用戶正常的辦公及上網。

通過對網絡邏輯結構進行分析和合理劃分，采用基于端口VLAN技術對校園內部網絡不同部門之間進行邏輯隔離，同時抑制廣播風暴。

參考文獻:

[1] 王保順.校園網絡設計與遠程教學系統開發[M].北京:人民郵電出版社，2003.1.

[2] 蔣建軍，等.局域網組網技術與工程[M].上海:上海交通大學出版社，2003.5.