計算機網(wǎng)絡(luò)實驗教學(xué)中VLAN實驗的設(shè)計研究

梁 盛

（廣州商學(xué)院 信息技術(shù)與工程學(xué)院，廣東 廣州 511363)

0 引言

VLAN 的中文名為虛擬局域網(wǎng)，指將一個物理的局域網(wǎng)在邏輯上劃分成多個廣播域，從而可以縮小和隔離廣播域，達(dá)到預(yù)防數(shù)據(jù)流量過大和廣播風(fēng)暴的一種通信技術(shù)[1]。直接將局域網(wǎng)按網(wǎng)絡(luò)號劃分成不同的網(wǎng)段，雖能實現(xiàn)訪問隔離的功能，但是后期維護(hù)不方便，更改訪問控制需要用戶配合。

例如某單位的人事部和財務(wù)部，初始計劃是不能互訪。如果僅使用不同網(wǎng)段進(jìn)行隔離，而不使用VLAN。后期更改為人事部和財務(wù)部能夠互訪，則需用戶配合更改IP為同一網(wǎng)段，這增加了后期維護(hù)的難度。反之，如果初始設(shè)計網(wǎng)絡(luò)時使用了VLAN 技術(shù)，后期訪問需求變更，網(wǎng)絡(luò)的更改維護(hù)只需網(wǎng)絡(luò)管理員在交換機端設(shè)置為VLAN 間路由互訪。此更改過程不需要用戶參與，簡化了網(wǎng)絡(luò)管理。

由于VLAN 的作用可以簡化網(wǎng)絡(luò)管理，控制廣播風(fēng)暴，增強網(wǎng)絡(luò)安全性[2],應(yīng)用比較廣泛，因此VLAN實驗在計算機網(wǎng)絡(luò)的實驗教學(xué)中，是一個比較重要的實驗。在計算機網(wǎng)絡(luò)實驗的教學(xué)中，一般講授完交換機的基礎(chǔ)配置以后，就開始講授VLAN 實驗。該文根據(jù)實驗內(nèi)容的由淺入深，實際應(yīng)用場景由簡單到復(fù)雜的順序，探討VLAN實驗內(nèi)容的設(shè)計。

1 接入層只需一臺交換機，VLAN 的劃分和路由的配置

當(dāng)公司的空間很小，網(wǎng)絡(luò)規(guī)模很小，一臺交換機已能夠供給所有終端設(shè)備接入。此情況可以僅使用一臺三層交換機實現(xiàn)。首先根據(jù)部門的數(shù)量，制定VLAN的劃分計劃表，列出部門名稱、VLAN號、VLAN網(wǎng)段，如表1所示。

表1 VLAN的劃分計劃表

根據(jù)VLAN 的劃分計劃表，繪出網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。由于兩個VLAN 與多個VLAN 的配置方法類似，所以該文VLAN實驗的設(shè)計研究只選用兩個VLAN來舉例子。其中，人事部使用VLAN 10，192.168.10.0 網(wǎng)段；財務(wù)部使用VLAN 20，192.168.20.0 網(wǎng)段。PC1 和PC3 屬于人事部的個人電腦，PC2 和PC4 屬于財務(wù)部的個人電腦。如圖1所示。

圖1 接入層一臺交換機的網(wǎng)絡(luò)拓?fù)鋱D

在交換機上劃分VLAN 的方法有多種，可以基于端口，也可以基于MAC 地址[3]。但應(yīng)用最廣泛、最有效的方法是基于端口的劃分方法，絕大多數(shù)支持VLAN協(xié)議的交換機都提供這種VLAN配置方法。交換機端口出廠默認(rèn)歸屬于VLAN 1。在端口歸屬的配置中，可以一個VLAN 對應(yīng)一個端口，也可以一個VLAN擁有多個端口。由于一臺三層交換機的端口數(shù)量有限，如果某一個VLAN 的終端數(shù)目不多，可以直接連至此交換機；如果某一個VLAN 的終端數(shù)目很多，可以在此端口下，先加入一個非網(wǎng)管型普通交換機，擴充可供終端設(shè)備連接的交換機端口。非網(wǎng)管型交換機屬于即插即用的設(shè)備，不需要作任何配置。

根據(jù)VLAN 的劃分計劃表以及網(wǎng)絡(luò)拓?fù)鋱D，在交換機上需要做以下步驟。首先創(chuàng)建相應(yīng)數(shù)目的VLAN，接著配置端口的屬性，最后將端口歸屬到相應(yīng)的VLAN[4]，配置代碼如下：

[LSW1]vlan 10

[LSW1]vlan 20

[LSW1]interface GigabitEthernet 0/0/1

[LSW1-GigabitEthernet0/0/1]port link-type access

[LSW1-GigabitEthernet0/0/1]port default vlan 10

[LSW1]interface GigabitEthernet 0/0/2

[LSW1-GigabitEthernet0/0/2]port link-type access

[LSW1-GigabitEthernet0/0/2]port default vlan 20

[LSW1]interface GigabitEthernet 0/0/3

[LSW1-GigabitEthernet0/0/3]port link-type access

[LSW1-GigabitEthernet0/0/3]port default vlan 10

[LSW1]interface GigabitEthernet 0/0/4

[LSW1-GigabitEthernet0/0/4]port link-type access

[LSW1-GigabitEthernet0/0/4]port default vlan 20

配置完成后，通過鍵入display vlan 命令顯示VLAN 的配置情況，總的VLAN 數(shù)目為3 個，VLAN ID分別為VLAN 1、VLAN 10、VLAN 20。其中端口1 和端口3 屬于VLAN 10，端口2 和端口4 屬于VLAN 20，其余端口處于默認(rèn)狀態(tài)，屬于VLAN 1，如圖2所示。

圖2 Display VLAN命令顯示VLAN的配置情況

配置完VLAN 的劃分后，通過在PC1 使用Ping 命令進(jìn)行測試，發(fā)現(xiàn)PC1 能Ping 通PC3，但不能Ping 通PC2 和PC4。因為PC1 與PC3 在VLAN 10，PC2 與PC4在VLAN 20。Ping測試驗證了同一個VLAN的設(shè)備可以互訪，不同VLAN的設(shè)備不能互訪。

如果后期需求更改為不同部門也能互相訪問，財務(wù)部和人事部需要互訪，需要在三層交換機上配置VLAN間的路由[5]。方法是給每個VLAN配置一個IP，此IP 將成為此VLAN 內(nèi)所有終端設(shè)備的網(wǎng)關(guān)。配置方法是通過interface 命令進(jìn)入某個VLAN 的接口，給此VLAN設(shè)置一個IP，配置代碼如下：

[LSW1]interface vlanif 10

[LSW1-Vlanif10]ip address 192.168.10.254 24[LSW1]interface vlanif 20

[LSW1-Vlanif20]ip address 192.168.20.254 24

配置完VLAN 間的路由后，通過在PC1 使用Ping命令進(jìn)行測試，發(fā)現(xiàn)PC1不僅能Ping通PC3，也能Ping通PC2和PC4。此Ping測試的結(jié)果驗證了在交換機上配置VLAN間的路由，能實現(xiàn)不同VLAN的通信，不同部門的互相訪問。

2 接入層有兩臺或多臺交換機，VLAN 的劃分和路由的配置

當(dāng)公司的空間逐漸增大，網(wǎng)絡(luò)規(guī)模也在逐漸增大，一臺交換機已無法方便地提供給所有終端接入，公司放置了兩臺或者多臺交換機，供終端的網(wǎng)絡(luò)接入。從設(shè)備價格成本考慮，兩層交換機的價格比三層交換機便宜，且兩層交換機具備劃分VLAN 的功能。因此接入層交換機一般使用兩層交換機。公司通過劃分VLAN 來隔離廣播域，由于辦公室分散，同一部門的員工通過不同交換機接入。VLAN的劃分計劃表同表1。

由于兩臺交換機與多臺交換機的配置方法類似，所以該文VLAN 實驗的設(shè)計研究，只選用兩臺交換機來舉例子。其中人事部使用VLAN 10，192.168.10.0網(wǎng)段；財務(wù)部使用VLAN 20，192.168.20.0 網(wǎng)段。PC1和PC3 屬于人事部的個人電腦，PC2 和PC4 屬于財務(wù)部的個人電腦。人事部和財務(wù)部的電腦都存在通過兩臺以上交換機接入的情況。如圖3所示。

圖3 接入層兩臺交換機的網(wǎng)絡(luò)拓?fù)鋱D

每一臺交換機VLAN 的劃分，同前文接入層只有一臺交換機的配置方法。交換機連接終端設(shè)備的端口，屬性配置為Acess 屬性，從屬于某一VLAN。但是兩臺交換機之間的數(shù)據(jù)傳輸一般不局限于某一個部門某一個VLAN，而是需要允許多個部門多個VLAN的數(shù)據(jù)通過。因此兩臺交換機之間連線的端口，需要將屬性配置為Trunk 屬性，允許某些VLAN 或者全部VLAN通過。典型的配置為允許全部VLAN通過。

根據(jù)VLAN 的劃分計劃表以及網(wǎng)絡(luò)拓?fù)鋱D，在交換機上需要做以下步驟。首先每臺交換機創(chuàng)建相應(yīng)數(shù)目的VLAN，接著配置接入鏈路端口的屬性，將端口歸屬到相應(yīng)的VLAN，最后配置干道鏈路端口的屬性。配置代碼如下：

交換機的配置代碼如下：

[LSW3]interface GigabitEthernet 0/0/1

[LSW3-GigabitEthernet0/0/1]port link-type access

[LSW3-GigabitEthernet0/0/1]port default vlan 10

[LSW3]interface GigabitEthernet 0/0/2

[LSW3-GigabitEthernet0/0/2]port link-type access

[LSW3-GigabitEthernet0/0/2]port default vlan 20

[LSW3]interface GigabitEthernet 0/0/24

[LSW3-GigabitEthernet0/0/24]port link-type trunk

[LSW3-GigabitEthernet0/0/24]port trunk allowpass vlan all

配置完成后，通過鍵入display vlan 命令顯示VLAN 的配置情況，總的VLAN 數(shù)目為3 個，VLAN ID分別為VLAN 1、VLAN 10、VLAN 20。其中兩臺交換機的端口1屬于VLAN 10，端口2屬于VLAN 20，端口24 既屬于VLAN 10，也屬于VLAN 20，其余端口處于默認(rèn)狀態(tài)的VLAN 1。

配置完VLAN的劃分后，通過在PC使用Ping命令進(jìn)行測試，發(fā)現(xiàn)PC1與PC3能互相Ping通，PC2與PC4能互相Ping通，但兩個VLAN 間不能Ping通。驗證了不同VLAN 的設(shè)備不能互訪，端口配置為Trunk 屬性且允許所有VLAN 通過的干道鏈路可以通過所有的VLAN數(shù)據(jù)。

如果后期需求更改為不同部門也能互相訪問，財務(wù)部和人事部需要互訪，需要將其中一臺二層交換機更換為三層交換機，在三層交換機上配置VLAN 間的路由。方法同前文接入層只有一臺交換機的情況，給每個VLAN配置一個IP，配置代碼如下：

[LSW1]interface vlanif 10

[LSW1-Vlanif10]ip address 192.168.10.254 24

[LSW1]interface vlanif 20

[LSW1-Vlanif20]ip address 192.168.20.254 24

配置完VLAN 間的路由后，發(fā)現(xiàn)PC1 不僅能Ping通PC3，也能Ping通PC2和PC4，驗證了在交換機上配置VLAN間的路由，能實現(xiàn)不同VLAN的通信，實現(xiàn)不同部門的互相訪問。

隨著網(wǎng)絡(luò)規(guī)模的增大，接入層交換機數(shù)量越來越多，如果網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)依舊保持為一層結(jié)構(gòu)，接入層交換機兩兩連接，那么從一個終端設(shè)備到另一個終端設(shè)備的訪問，經(jīng)過的交換機節(jié)點數(shù)也會越來越多。網(wǎng)絡(luò)的訪問速度將降低，網(wǎng)段內(nèi)的數(shù)據(jù)廣播流量會增多。因此，考慮將網(wǎng)絡(luò)結(jié)構(gòu)從一層結(jié)構(gòu)改為兩層結(jié)構(gòu)，將劃分VLAN 的二層交換機保留在接入層，將配置VLAN 間路由的三層交換機提升一層當(dāng)作核心交換機，不再連接終端設(shè)備。接入層的交換機則不再是兩兩連接，而是全部連接到核心交換機，那么從一個終端設(shè)備到另外一個終端設(shè)備經(jīng)過的交換機數(shù)目為三個，先后為發(fā)送端所連接的接入交換機、核心交換機、接收端所連接的接入交換機。

3 兩層結(jié)構(gòu)下，VLAN的劃分和路由的配置

在企業(yè)或校園網(wǎng)絡(luò)中，一般使用的是分層的結(jié)構(gòu)。根據(jù)網(wǎng)絡(luò)規(guī)模以及需要實現(xiàn)的功能，可以分成兩層結(jié)構(gòu)，核心層和接入層；也可以分成三層結(jié)構(gòu)，核心層、匯聚層、接入層。其中，核心層和匯聚層的交換機，一般放在網(wǎng)絡(luò)中心機房，由網(wǎng)絡(luò)管理員專職管理。接入層的交換機，則根據(jù)終端設(shè)備的所在位置，來決定擺放位置。例如學(xué)校里，會放置接入交換機在教學(xué)樓、實驗樓等位置，供終端設(shè)備接入。

由于兩個VLAN 與多個VLAN 的配置方法類似，接入層兩臺交換機與多臺交換機的配置方法類似，這里選用兩個VLAN，接入層兩臺交換機作為例子。其中人事部使用VLAN 10，192.168.10.0 網(wǎng)段；財務(wù)部使用VLAN 20，192.168.20.0網(wǎng)段。PC1和PC3屬于人事部的個人電腦，PC2 和PC4 屬于財務(wù)部的個人電腦。人事部和財務(wù)部的電腦都存在通過兩臺以上交換機接入的情況。接入層使用二層交換機，核心層使用三層交換機，如圖4所示。

圖4 兩層結(jié)構(gòu)的網(wǎng)絡(luò)拓?fù)鋱D

接入層每一臺交換機VLAN 的劃分，同前文接入層只有一臺交換機的配置方法。交換機連接終端設(shè)備的端口，屬性配置為Acess 屬性，從屬于某一VLAN。但是兩臺交換機之間的數(shù)據(jù)傳輸，接入層交換機與核心層交換機的級聯(lián)線路作為干道鏈路，需要將屬性配置為Trunk 屬性，允許某些VLAN 或者全部VLAN通過。

根據(jù)VLAN 的劃分計劃表以及網(wǎng)絡(luò)拓?fù)鋱D，在交換機上需要做以下步驟。首先每臺交換機創(chuàng)建相應(yīng)數(shù)目的VLAN，接著配置接入鏈路端口的屬性，將端口歸屬到相應(yīng)的VLAN，最后配置干道鏈路端口的屬性。接入層交換機的配置代碼同前文，核心層交換機的配置代碼如下：

[LSW1]vlan 10

[LSW1]vlan 20

[LSW1]interface GigabitEthernet 0/0/1

[LSW1-GigabitEthernet0/0/1]port link-type trunk

[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all

[LSW1]interface GigabitEthernet 0/0/2

[LSW1-GigabitEthernet0/0/2]port link-type trunk

[LSW1-GigabitEthernet0/0/2]port trunk allow-pass vlan all

配置完成后，通過鍵入display vlan 命令顯示VLAN 的配置情況，總的VLAN 數(shù)目為3 個，VLAN ID分別為VLAN 1、VLAN 10、VLAN 20。其中接入層兩臺交換機的端口1 屬于VLAN 10，端口2 屬于VLAN 20，端口3屬于所有VLAN。核心層交換機的端口1和端口2屬于所有VLAN。

配置完VLAN的劃分后，通過在PC使用Ping命令進(jìn)行測試，發(fā)現(xiàn)PC1與PC3能互相Ping通，PC2與PC4能互相Ping通，但兩個VLAN 間不能Ping通。驗證了不同VLAN 的設(shè)備不能互訪，端口配置為Trunk 屬性且允許所有VLAN 通過的干道鏈路可以通過所有的VLAN數(shù)據(jù)。

如果后期需求更改為不同部門能互訪，不同VLAN 能互相通信，則在核心層交換機上進(jìn)行VLAN間路由的配置。

4 結(jié)束語

在VLAN 實驗內(nèi)容所設(shè)計的三個網(wǎng)絡(luò)應(yīng)用場景中，可發(fā)現(xiàn)接入層的交換機，都需要做VLAN 的劃分和端口的歸屬這兩個步驟，且配置方法是一樣的，VLAN 間路由的配置代碼也是一樣的。區(qū)別在于VLAN 間的路由，選擇在哪臺交換機上進(jìn)行配置。在接入層只有一臺交換機的情況下，只能在此交換機；在接入層有多臺二層交換機的情況下，選擇其中一臺更改為三層交換機，并進(jìn)行VLAN 間路由的配置；在兩層網(wǎng)絡(luò)結(jié)構(gòu)下，選擇核心層交換機進(jìn)行VLAN 間路由的配置。

通過對VLAN 實驗內(nèi)容進(jìn)行由淺入深的設(shè)計，網(wǎng)絡(luò)規(guī)模從一臺交換機，到一層的網(wǎng)絡(luò)結(jié)構(gòu)，再到兩層的網(wǎng)絡(luò)結(jié)構(gòu)。學(xué)生在學(xué)習(xí)中，循序漸進(jìn)地掌握VLAN相關(guān)的知識，學(xué)習(xí)興趣得到提高，實驗教學(xué)質(zhì)量也得到了提升。