VLAN技術研究及其在網絡管理中的應用

史穗宗

摘 要：VLAN技術為網絡應用和網絡管理提供了一種有效的解決方案，它不僅優化了網絡的性能，而且還增加了網絡管理的靈活性和網絡的安全性。本文通過對VLAN技術研究，進而探討其在網絡管理中的應用。

關鍵詞：VLAN技術；網絡管理；虛擬局域網；企業網

1 VLAN技術在網絡管理中的優勢

1.控制廣播風暴，提高網絡性能

局域網中廣播通信很多。廣播流量在通過交換機時，將向交換機的各個端口擴散，從而給網絡帶來潛在的流量負擔，并延誤了其它流量的通信，更為嚴重的是，當交換網絡被廣播報文充滿時即形成廣播風暴，用戶就無法正常使用網絡。對于網絡廣播風暴的控制主要有物理網絡分段和邏輯分段兩種方式，前者是利用路由器，后者即使用VLAN技術。后者更靈活，效率更高。

2.簡化網絡管理，有利于控制管理成本

VLAN劃分有利于控制管理成本。對于沒有劃分VLAN的交換式以太網，如果對某些用戶進行新的網段劃分，則需要網絡管理員對該網絡系統的物理結構進行再一次的調整，搬動設備，甚至于需要額外增加網絡設備，從而增加了網絡管理的成本。目前，網管軟件可靈活、方便地劃分VLAN，圖形化界面隱藏了設計、配置和管理VLAN的復雜性，減少了網絡管理帶來的開銷。

3.提高了網絡的整體安全性

建立VLAN后，同一VLAN內的計算機之間直接通信，不同VLAN間的通信要通過路由器的網關進行路由選擇，這樣不僅隔離了基于廣播的信息，網絡管理員還可以通過利用IOS ACL、VLAN ACL等技術實現VLAN之間的訪問控制，訪問控制可以是基于IP地址、協議、端口、甚至是MAC地址的，可以是單向的也可以是雙向的，可以是VLAN之間的也可以是VLAN內部。網絡管理員可以基于應用類型和訪問特權進行邏輯工作組的劃分，被限制的應用程序和資源一般置于安全的VLAN。

4.一定程度上控制了網絡內部IP地址的盜用

目前，園區網絡具有終端用戶節點數量多的特點，用戶數量的增多使得網絡IP地址盜用亦相應增加，嚴重影響了網絡的正常使用。在建立VLAN后，網內任何一臺計算機的IP地址均必須在分配給該VLAN的IP地址范圍內，否則將無法通過路由器的審核，因而也就不能進行通信。如此，就能有效地將IP地址的盜用控制在一個VLAN之內。

2 VLAN的類型及劃分原則

1.基于物理端口的VLAN劃分

基于端口的劃分方式是最簡單也是最常用的，這種劃分是把一個或多個交換機上的幾個端口劃分成一個邏輯組，該方法只需網絡管理員對網絡設備的交換端口進行重新分配即可一，不用考慮該端口所連接的設備，目前絕大多數廠商的交換產品均支持這一功能。

2.基于MAC地址的VLAN劃分

基于MAC地址進行VLAN劃分，突破了地域限制，也可以理解為是基于用戶策略的劃分方法，方便了用戶的移動辦公，即一個用戶從網絡的一個地方移至另一個地方，其計算機設置及整個網絡設置不用任何變化，重新接入網絡即可使用，用戶仍屬于原有的VLAN。這種劃分方法還允許一個用戶即一個MAC地址屬于多個VLAN，增加了網絡邏輯劃分的靈活性。其缺點在于收集用戶MAC地址及利用這些地址進行設置的工作還是非常繁瑣的，用戶需要追加網絡設置。當然，現在交換機廠家一般提供圖形化管理工具。

3.基于協議的VLAN劃分

基于協議的VLAN劃分即基于OSI的第三層網絡層來劃分VLAN。如運行IP協議的用戶劃分成一個VLAN，運行IPX協議的用戶劃分成另一個VLAN。支持這種劃分策略的交換機必須能讀懂數據包的第三層信息，分清楚數據包的協議類型。在某些情況下這種劃分方法還是很有用的，如在一個大型網絡中，由于歷史的因素，有多種網絡協議類型存在，將IPX協議用戶劃分在一個VLAN中，可以將IPX產生的SAP（Service Advertisement Protocol）廣播控制在一定范圍，提高網絡通信的性能。在實際應用中，這種劃分方法一般與基于MAC地址、基于IP的劃分方法混合使用，使得網絡管理更加靈活。

4.基于IP的VLAN劃分

更加高級的基于第三層的VLAN劃分方法是基于IP的VLAN劃分，主要應用在TCP/IP網絡中。支持這種劃分方法的交換機需要讀懂第三層信息即支持第三層交換，如讀懂數據包的IP地址，當然交換機并不進行路由，只是判斷數據包的目的地址，送到交換機相應端口。IP網絡中，通過IP地址及子網掩碼可以決定一臺計算機所屬的邏輯網段，但在二層交換網絡中，廣播數據并未被控制在邏輯網段內，整個物理網段的計算機都會接收到廣播數據包，只不過接收方會簡單地丟棄不屬于自己的數據包。基于IP地址劃分VLAN，可以將廣播控制在一定的邏輯網段內。

3 案例應用研究

1.實例

校園網是學校實現數字化校園和現代化教學（如無紙化辦公、無紙化考試、遠程教學等）的基礎。隨著各學校的不斷發展及計算機技術的普及應用，為了適應時代發展的新需求，學校的網絡系統也需要逐步進行升級改造。下面以我校的教學區為例。

1.1 需求分析

目前我校有5個系及其他職能部門，為了將其納入整個校園網系統進行集中統一規劃和管理，需要采用統一的通信協議、路由協議；主干網從高速交換鏈路連接各子網；各子網內部為交換網絡，形成兩個層次的平面網絡；主干網包括高速交換機、VLAN路由等。

1.2 VLAN規劃

根據我校的實際需求情況，目前將整個校園網絡劃分為8個VLAN。其VLAN劃分如表2：

1.3 設備選擇

校園網核心交換機采用STAR-S5610，其二級交換機STAR-S2024M，而且STAR-S2024M具有堆疊能力，可以隨時擴充工作站容量，并且支持PortVLAN和802.1Q TagVLAN兩種VLAN模式，完全滿足目前我校對網絡的各項需求。

1.4 VLAN設計

根據需求分析按系部和職能部門來劃分VLAN，以保證各個部門之間的隔離性和安全性，其拓撲結構如圖2所示。設計原則：（1）劃分VLAN根據：由于學校各部門的地理位置不同，對網絡需求也不盡相同，所以對VLAN的劃分采取按部門劃分為主，按地理位置劃分為輔的方法。對具有相同工作性質的部門，劃分在同一VLAN中；（2）靈活性：VLAN根據校園網拓撲結構和應用需求的變化而進行調整；（3）安全性：將有特殊要求的部門劃分在特殊的VLAN中。隔離監聽，防止廣播風暴產生。（4）經濟性與可擴充性：在滿足學校各需求的前提下，盡量選用性價比高的網絡設備和服務器。

4 結束語

本文深入分析了VLAN技術的特點極其在網絡管理中的優勢，并通過案例應用闡述了VLAN技術在網絡管理中的應用。隨著企業及學校的不斷發展壯大，網絡用戶也將隨之增多，如何對企業及校園網絡進行科學有效的管理是每一位網絡管理員都要面對的重要課題。VLAN 作為一種新型的網絡技術，突破了地域的限制，在網絡管理中具有管理便捷性、網絡安全性、網絡配置靈活、功能易拓展性以及按需劃分網段等特點，因此具有巨大的發展空間和良好的應用前景。

參考文獻

[1]徐超汗.計算機網絡及其解決方案[M].北京：電子工業出版社，1999.

[2]Karen Webb.組建CISCO分層交換網絡[M].北京：人民郵電出版社，2000.