虛擬局域網（ＶＬＡＮ）技術淺析

摘要:VLAN作為控制廣播風暴，增強網絡安全性的一種技術手段，越來越廣泛的應用到了局域網當中。文中簡要介紹了VLAN的技術特點并結合兩個配置實例著重介紹了目前主要的VLAN技術。

關鍵詞:VLAN;網絡安全;交換機

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)24-6871-03

Virtual Local Area Network (VLAN) Technology Analysis

LIAO Lei

(Hunan International Economics University Experimental Center，Changsha 410205，China)

Abstract: VLAN as a technology means to control broadcast storms and enhance the network security， more widely used among the LAN. The article outlined the characteristics of VLAN technology and examples of combination of the two configurations are mainly focused on the VLAN technology.

Key words: VLAN; Network security; switch

VLAN(Virtual Local Area Network，虛擬局域網)技術的出現，主要為了解決交換機在進行局域網互連時無法限制廣播的問題。這種技術可以把一個LAN劃分成多個邏輯的LAN——VLAN，每個VLAN是一個廣播域，VLAN內的主機間通信就和在一個LAN內一樣，而VLAN間則不能直接互通，這樣，廣播報文被限制在一個VLAN內。

1 什么是VLAN及其優點

虛擬局域網(VLAN——Virtual Local Area Network)邏輯上把網絡資源和網絡用戶按照一定的原則進行劃分，把一個物理上實際的網絡劃分成多個小的邏輯的網絡。這些小的邏輯的網絡形成各自的廣播域，也就是虛擬局域網VLAN。由于VLAN基于邏輯連接而不是物理連接，因此配置十分靈活。VLAN在邏輯上等價于廣播域，可以將VLAN類比成一組最終用戶的集合。這些用戶可以處在不同的物理局域網上，但他們之間可以像在同一個局域網上那樣自行通信，而且不受物理位置的限制。網絡的定義和劃分與物理位置和物理連接是沒有任何必然聯系的。網絡管理員可以根據不同的需要，通過相應的網絡軟件靈活地建立和配置VLAN，并為每個VLAN分配它所需要的帶寬。可以設置成每個VLAN子網的用戶不能訪問其他子網的資源，從而提高網絡的安全性。

VLAN的優點在于:其一，它把廣播域限制在一個VLAN內，節省了帶寬，提高了網絡處理能力;其二，報文在不同VLAN內傳輸時是相互隔離的，也就是說不同VLAN內的用戶不能直接通信，這樣就增強了局域網的安全性。如要相互通訊則必須增加路由器或三層交換機等三層設備;其三，相同或不同物理范圍內的用戶用VLAN可以劃分到同一組或不同的組，這樣構建虛擬工作組也就更靈活，維護更方便。

2 VLAN的種類劃分

目前的VLAN技術主要有三種。

2.1 基于交換機端口的VLAN

VLAN廠商都利用交換機的端口來劃分VLAN成員。被設定的端口都在同一個廣播域中。例如，一個交換機的1，2，3端口被定義為虛擬網VL1，同一交換機的6，7，8端口組成虛擬網VL2。這樣做允許各端口之間的通訊，并允許共享型網絡的升級。但是，這種劃分模式將虛擬網限制在了一臺交換機上。第二代端口VLAN技術允許跨越多個交換機的多個不同端口劃分VLAN，不同交換機上的若干個端口可以組成同一個虛擬網。以交換機端口來劃分網絡成員，其配置過程簡單明了。因此，從目前來看，這種根據端口來劃分VLAN的方式雖然稍欠靈活但仍然是最常用的一種方式。下面用一臺D-Link DES-3326SR三層交換機為某局域網劃分為3個VLAN為例簡要說明基于交換機端口的VLAN的配置:

我們知道VLAN的劃分應與IP規劃結合起來，使得一個VLAN 接口IP就是對應的子網段，VLAN接口IP就是一個子網關。VLAN應以一定規則劃分，如按部門劃分，相同部門的主機IP以VLAN接口IP為依據劃歸在一個子網范圍，同屬于一個VLAN。這樣不僅在安全上有益，而且更方便網絡管理員的管理和監控。注意:各VLAN中的客戶機的網關分別對應各VLAN的接口IP。

在這個局域網中計劃規劃三個VLAN子網對應著三個VLAN，分別是:

VLAN10——VL1;

VLAN20——VL2;

VLAN30——VL3;

劃分VLAN以后，要為每一個VLAN配一個“虛擬接口IP地址”。

VLAN10——192.168.1.1

VLAN20——192.168.2.1

VLAN30——192.168.3.1

DES-3326SR三層交換機的VLAN的配置過程如下:

1) 創建VLAN

DES-3326SR#Config vlan default delete 1 -24 刪除默認VLAN(default)包含的端口1-24

DES-3326SR#Create vlan vlan10 tag 10創建VLAN名為vlan10，并標記VID為10

DES-3326SR#Create vlan vlan20 tag 20創建VLAN名為vlan20，并標記VID為20

DES-3326SR#Create vlan vlan30 tag 30創建VLAN名為vlan30，并標記VID為30

2) 添加端口到各VLAN

DES-3326SR#Config vlan vlan10 add untag 1-8 把端口1-8添加到VLAN10

DES-3326SR#Config vlan vlan20 add untag 9-16把端口9-16添加到VLAN20

DES-3326SR#Config vlan vlan30 add untag 17-23 把端口17-23添加到VLAN30

注:一般而言，端口24用做與其他交換機等設備連接，擴容LAN端口用。

3) 創建VLAN接口IP

DES-3326SR#Create ipif if10 192.168.1.1/24 VLAN10 state enabled

創建慮擬的接口if10給名為VLAN10的VLAN子網，并且指定該接口的IP為192.168.1.1/24。創建后enabled激活該接口。

同樣方法設置其它的接口IP:

DES-3326SR#Create ipif if20 192.168.2.1/24 VLAN20 state enabled

DES-3326SR#Create ipif if30 192.168.3.1/24 VLAN30 state enabled

4) 路由

當配置三層交換機的三層功能時，如果只是單臺三層交換機，只需要配置各VLAN的虛擬接口就行，不再配路由選擇協議。因為一臺三層交換機上的虛擬接口會在交換機里以直接路由的身份出現，因此不需要靜態路由或動態路由協議的配置。

2.2 基于節點MAC地址的VLAN

這種劃分VLAN的方法是根據每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置它屬于哪個組。這種劃分VLAN方法的最大優點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置，所以，可以認為這種根據MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的。而且這種劃分的方法也導致了交換機執行效率的降低，因為在每一個交換機的端口都可能存在很多個VLAN組的成員，這樣就無法限制廣播包了。另外，對于使用筆記本電腦的用戶來說，他們的網卡可能經常更換，這樣，VLAN就必須不停地配置。下面以NETGEAR GSM7224R交換機為例簡要說明基于節點MAC地址的VLAN配置。

實例中假設:

給甲辦公區分配GSM7224R的3-12端口，屬于VLAN 10，使用192.168.1.0/24網段。

給乙辦公區分配GSM7224R的13-22端口，屬于VLAN 20，使用192.168.2.0/24網段。

GSM7224R的23-24口為上聯口和備用上聯口，同時屬于VLAN 10，20，30并標記了VLAN tagging。

電腦丙不固定在哪個辦公室，但是要連接VLAN 30，使用192.168.3.0/24網段。

假設我們已經在GSM7328S上設置了VLAN路由，并且網絡上有DHCP服務器為各網段分配IP地址。那么我們就可以在GSM7224R上設置VLAN了(假設電腦丙MAC地址為AA:BB:CC:DD:EE:FF):

通過命令行進行配置

首先進入VLAN配置模式，創建相應的VLAN。

(GSM7224R) #vlan database

(GSM7224R)(Vlan)#vlan 10

(GSM7224R)(Vlan)#vlan 20

(GSM7224R)(Vlan)#vlan 30

為電腦丙的MAC地址設置與VLAN 30的映射。

(GSM7224R)(Vlan)#vlan association mac aa:bb:cc:dd:ee:ff 30

(GSM7224R)(Vlan)#exit

(GSM7224R)#configure

設置3-12端口的VLAN和PVID屬于VLAN 10

(GSM7224R)(Config)#interface range 0/3-0/12

(GSM7224R)(conf-if-range-0/3-0/12)#vlan participation include 10

(GSM7224R)(conf-if-range-0/3-0/12)#vlan pvid 10

(GSM7224R)(conf-if-range-0/3-0/12)#exit

設置13-22端口的VLAN和PVID屬于VLAN 20

(GSM7224R)(Config)#interface range 0/13-0/22

(GSM7224R)(conf-if-range-0/13-0/22)#vlan participation include 20

(GSM7224R)(conf-if-range-0/13-0/22)#vlan pvid 20

(GSM7224R)(conf-if-range-0/13-0/22)#exit

設置上聯用的23-24端口的VLAN屬于VLAN 10，VLAN 20，VLAN 30;標記VLANtagging

(GSM7224R)(Config)#interface range 0/23-0/24

(GSM7224R)(conf-if-range-0/23-0/24)#vlan participation include 10

(GSM7224R)(conf-if-range-0/23-0/24)#vlan participation include 20

(GSM7224R)(conf-if-range-0/23-0/24)#vlan participation include 30

(GSM7224R)(conf-if-range-0/23-0/24)#vlan tagging 1

(GSM7224R)(conf-if-range-0/23-0/24)#vlan tagging 10

(GSM7224R)(conf-if-range-0/23-0/24)#vlan tagging 20

(GSM7224R)(conf-if-range-0/23-0/24)#vlan tagging 30

(GSM7224R)(conf-if-range-0/23-0/24)#exit

設置所有1-24端口的都屬于VLAN 30。

(GSM7224R)(Config)#interface range 0/1-0/24

(GSM7224R)(conf-if-range-0/1-0/24)#vlan participation include 30

(GSM7224R)(conf-if-range-0/1-0/24)#exit

(GSM7224R)(Config)#exit

保存配置。

(GSM7224R)#save

This operation may take a few minutes.

Management interfaces will not be available during this time。

Are you sure you want to save?(y/n) y

Configuration Saved!

至此全部配置完成，電腦丙無論接在GSM7224R上的哪一個端口上，均以VLAN 30的用戶身份與網絡進行通信(例如獲取IP地址等)。

2.3 基于應用協議的VLAN

這種劃分VLAN的方法是根據每個主機的網絡層地址或協議類型(如果支持多協議)劃分的，雖然這種劃分方法是根據網絡地址，比如IP地址，但它不是路由，與網絡層的路由毫無關系。這種方法的優點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據協議類型來劃分VLAN，這對網絡管理者來說很重要，還有，這種方法不需要附加的幀標簽來識別VLAN，這樣可以減少網絡的通信量。這種方法的缺點是效率低，因為檢查每一個數據包的網絡層地址是需要消耗處理時間的(相對于前面兩種方法)，一般的交換機芯片都可以自動檢查網絡上數據包的以太網幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術，同時也更費時。當然，這與各個廠商的實現方法有關。在此就不再舉具體實例了。

3 結論

一個局域網劃分成多個VLAN的其優點是很明顯的，它既控制了廣播風暴對整個LAN的影響，提高了網絡處理能力，又能在很大程度上消除對重要信息的監聽，提高了網絡的安全性，同時也提高了網絡管理員對網絡管理的效率，減輕了管理負擔。所以VLAN技術越來越廣泛的應用到了局域網之中。

參考文獻:

[1] 王維江，鐘小平.網絡應用方案與實例精講[M].北京:人民郵電出版社，2003:3-5.

[2] 白濤.網絡工程實施技術與方案大全[M].北京:電子工業出版社，2008:114-116.

[3] 王海峰.局域網與廣域網應用技術[M].北京:機械工業出版社，2006.