基于VLAN的網絡應用與研究

摘? 要：在二層網絡里，由于接入終端數量較大，形成的廣播域也很大，一旦發生廣播風暴，會造成二層網絡擁塞、垃圾流量過多等現象，嚴重影響全網的終端上網功能。在網絡規劃時使用VLAN技術控制廣播域的范圍，減少廣播風暴的影響范圍，提高網絡性能是目前較常用、較規范的設計方法。文章介紹VLAN技術的相關內容，并將二層接入網絡增加VLAN設計進行改造，并結合DHCP技術使終端上網方便，且減少了網絡風暴的影響，取得了很好的使用效果。

關鍵詞：VLAN;標簽;單臂路由;DHCP

中圖分類號：TP393.1? ? ? ?文獻標識碼：A 文章編號：2096-4706（2020）22-0065-04

Network Application and Research Based on VLAN

WEI Pei

（Anhui Branch of National Computer Network and Information Security Management Center，Hefei? 230031，China）

Abstract：In the layer-2 network，due to the large number of access terminals，the formation of the broadcast domain is also very large. Once a broadcast storm occurs，it will cause the congestion of the layer-2 network，excessive garbage flow and other phenomena，which seriously affect the internet access function of the whole network. Using VLAN technology in network planning to control the scope of the broadcast domain，reduce the scope of influence of broadcast storms，and improve network performance is currently a more common and standardized design method. This paper introduces the related content of VLAN technology，and adds VLAN design to the layer-2 access network for transformation. Combined with DHCP technology，it makes the terminal convenient to access the internet，and reduces the impact of network storm，and achieves good results.

Keywords：VLAN;tag;single arm routing;DHCP

0? 引? 言

網絡安全與網絡運行維護是筆者工作的主要任務，筆者在工作中經常遇到部分網絡早期由于需要聯網的終端較少，網絡結構設計缺少科學的長遠的規劃，導致接入層缺少VLAN技術的使用。后期隨著網絡規模擴大，日常使用的終端設備種類數量也隨之增多，導致所有的終端工作在同一個廣播域內。由于廣播域太大，導致經常出現廣播風暴，網絡擁塞現象，大大降低了網絡性能，甚至有的網絡安全事件頻發。為此，引入VLAN技術對網絡改造達到網絡規范化建設是亟待實施的工作。

1? 相關技術簡介

1.1? 二層交換機工作原理

二層交換機內部維護著MAC地址表，交換機通過學習以太網數據幀的源MAC地址維護MAC地址表，通過數據幀里的目的MAC地址查找MAC地址表決定發往目的端口。一個MAC地址僅能出現在一個端口上。二層交換機對數據包的處理方式有學習、泛洪、轉發、丟棄。泛洪是一個重要的特性，指收到廣播幀、組播幀、未知單播幀時會從除了接收口外的接口轉發出去。MAC地址的記錄一般在交換機里保存約5分鐘，一旦接口DOWN，MAC地址記錄會被清空。在華為交換機內可用dis mac-address命令查看當前的交換機MAC地址表。當網絡有級聯結構時，一個物理接口里會出現多個MAC地址。

1.2? VLAN的分類

VLAN的分類方式有多種，可以按照交換機的接口劃分，適用于接入終端位置相對固定的情況，也適用于一般規模的單位使用，該方式是較為常用的方式;還可以按照終端的MAC地址分類，這種方式適用于終端設備位置經常變動的接入情況，而且在做配置之前需要事先統計終端的MAC信息，一般在安全性要求較高、嚴格限制接入終端的情況下使用;也可以按照IP子網、策略分類。目前使用最多的是按照交換機接口劃分的方式。

1.3? VLAN間的訪問

VLAN間訪問的方式：路由器的物理接口、單臂路由、三層交換機VLAN虛擬接口，其特點如表1所示。

2? VLAN的優勢

以太網隨著廣播域的增大，網絡安全現象與垃圾流量問題隨之增多。二層廣播域帶來很大問題，當出現如ARP數據包時，該包會泛洪至全網中的每一臺設備，其中能做出應答的設備最多有一個，其余的流量均為垃圾流量。該垃圾流量占用帶寬資源，給整個二層網絡帶來嚴重的負擔，影響了網絡性能。泛洪現象如圖1所示，圖中箭頭是泛洪流量，當一臺PC機發出廣播時，數據幀會被交換機傳送至該廣播域的每一臺終端，即使很多主機不需要接收這些數據幀。

VLAN可以將廣播的傳播范圍限制在相關的主機范圍內，進而減少這種影響。VLAN的優點有：將廣播域限制在某一個范圍內，節省了帶寬資源，提高了網絡性能;不同的VLAN間的報文是相互隔離的，提高了局域網的安全性;當網絡出現故障時，故障的影響范圍也會縮小至VLAN內，不會波及更廣的范圍。通常在規劃時VLAN與廣播域和子網相對應。

3? 網絡優化方案介紹

現有網絡結構缺少科學的規劃，網絡結構由一臺接入交換機和一臺路由器組成，接入交換機為二層結構，負責終端設備的接入，路由器0口配置了內網地址：192.168.254.254/ 16作為終端設備的網關，并配置了DHCP地址自動獲取;1口配置了公網IP，并配置了NAT轉換和靜態路由。該網絡可以實現用戶上網功能，但是由于不同部門之間的終端地址在同一個16位的網段內，也就是所有終端均在同一個廣播域內，當發生網絡風暴時，會影響所有的終端設備，任何一臺設備發出ARP等廣播幀，導致廣播流量泛洪至全網，所有的終端都會收到該流量，嚴重影響網絡性能。由于不同部門終端的IP在同一網段內隨機獲取，當發生網絡安全事件或病毒感染事件，不能迅速定位到使用該地址的所屬部門，也會給后期事件處理帶來不便。這個設計在終端設備較少的環境下可以正常工作，但是隨著終端數量增多，網絡規模擴大，其網絡性能下降，不易于管理的弊端越來越明顯。如果該網絡內有一臺主機發起ARP攻擊，會導致整個單位的網絡癱瘓，影響范圍廣，排查恢復困難。未使用VLAN的網絡拓撲如圖2所示。

路由器的部分配置為：

dhcp enable

acl 2000

rule peimit source any

interface g/0/0

ip add 192.168.254.254? 16

dhcp select interface

dhcp server dns-list 114.114.114.114

interface g/0/1

ip add 公網IP 掩碼

nat outbound 2000

ip routing-static 0.0.0.0 0.0.0.0 公網ip

鑒于以上缺點，為了縮小廣播域，合理規劃IP地址的分配，使網絡結構清晰，采用了網絡分層的設計思想，一般網絡是由接入層、匯聚層、核心層以及出口組成。由于本單位網絡規模不是特別大，將匯聚層和核心層混合一體，采用接入層、匯聚層、出口層的分層結構。按照現有的部門數量，將接入終端劃分為4個VLAN，并在匯聚交換機上配置VLAN虛擬口用作每個VLAN終端的網關。在匯聚層交換機上，采用DHCP的方式為終端動態分配IP地址，DNS服務器也是通過配置自動獲取。匯聚交換機的上聯口也是用虛擬VLAN口配置，VLAN的劃分如表2所示，VLAN內使用C類內網IP分配，每個VLAN大小約容納200多個終端，可以滿足每個部門的終端上網需求的發展需求。本次設計在匯聚交換機的VLAN虛擬口和路由器之間運行了OSPF協議，這種動態的路由協議運行靈活，避免了靜態路由的牽一發動全身的缺點。如果后期需要增加部門，僅需在匯聚交換機上新增VLAN相關配置，出口路由器的配置無須改動，這一點確保了網絡規模的擴容，有利于網絡的穩定平滑擴容，減少用戶對網絡變動的感知。

重新規劃改造后的拓撲結構如圖3所示。

涉及的部分配置為：

（1）出口路由器：

acl 2000

rule peimit soure any

interface g/0/0

ip add 192.168.100.1 24

interface g/0/1

ip add 公網IP 掩碼

nat outbound 2000

ip routing-static 0.0.0.0 0公網ip

ospf 1 route-id 1.1.1.1

area 0

network 192.168.100.1 0.0.0.0

default-route-advertise

（2）接入交換機的部分配置：

Dhcp enable

vlan bath 10 20 30 40 100

interface g0/0/1

port link-type access

port default vlan 10

interface g0/0/0

port link-type access

port default vlan 100

interface g0/0/2

port link-type access

port default vlan 20

interface g0/0/3

port link-type access

port default vlan 30

interface g0/0/4

port link-type access

port default vlan 40

interface vlanif 10

ip add 192.168.1.254 24

dhcp select interface

dhcp server dns-list 114.114.114.114

interface vlanif 20

ip add 192.168.2.254 24

dhcp select interface

dhcp server dns-list 114.114.114.114

interface vlanif 30

ip add 192.168.3.254 24

dhcp select interface

dhcp server dns-list 114.114.114.114

interface vlanif 40

ip add 192.168.4.254 24

dhcp select interface

dhcp server dns-list 114.114.114.114

interface vlanif 100

ip add 192.168.100.254 24

ospf 1 route-id 2.2.2.2

area 0

network 192.168.0.0 0.0.255.255

之前所有的終端在同一個廣播域，一旦遇到廣播風暴會波及全網終端?，F在，使用VLAN將部門之間分隔開，每個部門是獨自的廣播域，當廣播風暴發生后，僅會影響該部門，大大減少了垃圾流量對全網的影響。比如部門1的某臺終端發出廣播幀，由于部門1是一個廣播域，廣播幀由于VLAN的隔離作用，僅能在部門1所涉及的范圍內泛洪，這樣就減少了廣播風暴對全網的影響，之前經常發生的延遲時間長、網速慢的現象有所改善?，F在網絡擴展性能有所提升，如果后期需要增加終端，僅需將主機連接至接入交換機;如果需要擴展部門，需要增加VLAN及其相關接口配置，并在匯聚交換機里的OSPF配置中宣告該新增的網段。總之，引入VLAN技術的網絡避免了廣播域規模大的缺點，減少了廣播風暴的影響范圍，后期網絡可以有規劃地擴展，帶來了良好的網絡運行效果。

4? 結? 論

本文利用VLAN技術將二層網絡進行了調整和整理，達到了以VLAN劃分廣播域的目的，使廣播風暴僅影響某個VLAN內，減少了網絡中的垃圾流量以及網絡風暴帶來的影響，提升了網絡的安全性，也改善了網絡性能。VLAN技術在較大型網絡中起到隔離廣播域的作用，是網絡規劃常用的技術。后期還可以從增加安全性和高可用性考慮，引入VRRP技術，達到網關保護的目的;還可以使用捆綁技術，有效地避免網絡的單點故障。VLAN技術是目前局域網里較成熟的技術，可有效完善網絡結構，相信該技術后續會有更廣泛的應用。

參考文獻：

[1] 謝哲天，徐磊.VLAN技術及其在工業互聯網中的應用 [J].自動化應用，2020（7）：69-71.

[2] 程永青.論VLAN技術的具體應用 [J].電腦知識與技術：學術交流，2016（11Z）：17-19.

[3] 曹園青.基于VLAN技術的高校網絡安全加固策略初探 [J].電子制作，2020（22）：39-41+35.

[4] 馬良鴻.網絡工程中VLAN技術的應用研究 [J].信息與電腦（理論版），2018（2）：150-151+156.

[5] 劉中艷，劉曉.試析VLAN技術在網絡工程中的應用 [J].數字技術與應用，2017（1）：29+31.

[6] 李子豪.VLAN技術在當前網絡工程中的應用分析 [J].信息技術與信息化，2020（8）：147-148.

作者簡介：魏培（1985—），女，漢族，江蘇沛縣人，中級工程師，碩士，研究方向：計算機應用、計算機網絡、網絡安全。