VLAN技術的研究與應用

摘要:隨著近些年來局域網的飛速發展，VLAN技術得到充分的重視，在各類企業網絡中廣泛應用，已經成為當前非常具有影響力的一種以太局城網技術。本文介紹了虛擬局域網的管理技術，并提出了劃分VLAN的具體方法。

關鍵詞:虛擬局城網 交換機 網絡管理

1 VLAN技術原理與特點

1.1 VLAN技術解析傳統的以太網在進行數據發送時，如果在幀首部中使用了廣播地址，那么在此段網絡上的所有的主機都將收到此廣播幀，假設在改網段中主機數量眾多，則很容易引起所謂的廣播風暴。而沖突和廣播風暴是影響網絡性能的重要因素。虛擬局域網(VLAN)技術正是為了解決這一問題而誕生的。VLAN技術將將局域網的主機和交換設備從邏輯上劃分成為各個獨立的網段，各網段之間相互不會產生干擾。在此基礎上，實現了各個虛擬工作組內部的數據傳輸技術。這一技術可應用于交換機和路由器中。但主要應用還是在交換機之中，并且只有VLAN協議的第二層以上交換機才具有此功能。早在1999年6月份就由IEEE委員正式頒布實施了有關VLAN的技術標準IEEE 802.1。1996年，Cisco公司正式提出了最早的VLAN技術。近些年來，VLAN技術由于需求的飛速增加而得到極大的發展，在許多企業網絡中被廣泛的接受和采用。1.2VLAN的技術特點:①提高了網絡連接的靈活性，能適應各種異構網絡;通過使用虛擬局域網技術，能夠將不同地點、不同用戶和不同網絡組合在一起，組成一個虛擬的網絡環境，將此環境模擬成為本地的局域網，在使用中通局域網一樣便捷、靈活、有效。②對網絡上的廣播幀實施端口控制:在虛擬局域網技術中，防火墻機制得到了充分的重視，以防止在網絡中出現的非正常的大量的廣播幀。虛擬局域網技術可以將某個交換機的端口或在此端口上所連接的某一用戶賦于一個特定的VLAN組。在此VLAN組中進行廣播的用戶不會將他的廣播報文傳到VLAN之外。③增加網絡的安全性:由于一個VLAN具有一個獨立的廣播域，而廣播域的獨立則使得在此域中產生的數據，不論是單播幀還是廣播幀，都不會影響域外用戶，VLAN之間的相互隔離，大大提高了網絡的利用率，確保了網絡的安全保密性。并且可以在此添加訪問控制來增強網絡管理的安全性。同時，為了加強安全機制，可以采用防火墻或三級交換機及其配套的軟硬件技術對各子網間的訪問進行控制和協調。

1.2 劃分VLAN主要出于三種考慮:①基于網絡性能的考慮。目前，許多用戶數量超過1000的大型網絡常用的協議是Windows NetBEUI，這是一種廣播協議，當在某個通信的高峰時刻，網絡中的廣播數據非常多，信息數量在短時間內達到一個峰值，大量的帶寬被占用，可用的資源迅速減少，網性能急劇惡化，甚至形成廣播風暴乃至網絡死鎖。針對此問題，可以通過劃分很多虛擬局域網而減少整個網絡范圍內廣播包的傳輸，可以把廣播限制在各個虛擬局域網的范圍內，從而提高網絡性能。②基于組織結構上考慮。當某一部門的人員所處的物理位置相對分散時，就可以通過虛擬局域網，將這些跨地域的站點通過VPN技術合并在一個網絡中，再通過VLAN技術將這些用戶設定成一個VLAN組，以實現數據安全和共享。③基于安全性的考慮。在大型網絡中，如某集團公司，下屬人事部、市場部和供應部等部門，各個子系統之間的數據是相互保密的，只能通過提供接口數據來滿足子系統之間的通信需求。我們可以利用VLAN技術對不同部門進行隔離。

2VLAN技術的實現方法

VLAN技術在以太網中的實現主要通過三種途徑:基于端口的VLAN、基于MAC地址的VLAN和基于網絡層協議的VLAN。

2.1 基于端口的VLAN:這是一種在OSI的第二層設定訪問鏈接的辦法。基于端口的VLAN是最實用的虛擬局域網，它采納了最常用的虛擬局域網成員的定義方法，在局域網中的各個不同的主機具有相同的網絡地址和掩碼，而路由器或是三層交換機則負責在各虛擬局域網之間進行數據轉發。采用這種方式的VLAN其不足之處是靈活性不好。例如，當一個網絡站點或主機從某一個交換機的端口移動到另外一個交換機的端口時，如果這兩臺交換機所屬的端口不在同一個VLAN內，則用戶必須對該站點重新進行網絡地址配置以適應新的網絡環境，否則，該站點將無法使用VLAN進行通信。

2.2 基于MAC地址的VLAN:在基于物理地址的虛擬局域網VLAN中，交換機會監聽并檢索各個站點的物理地址地址以及對應的交換機端口，在一臺新主機接入網絡時，根據網絡通信狀況以及用戶的需求將其分配至某個VLAN，即使該站點將來在網絡中更改了位置，只要該站點沒有更換網卡，則其物理地址不會改變，因此用戶不需要重新配置其網絡地址。這種VLAN技術的不足之處是在初始化時，所有的站點都必須配置完畢才能啟用，對于大型網絡而言，這種工作量無疑是非常巨大的。并且該方法會不可避免的降低交換機執行效率，因為在交換機的每個端口都可能并存多個VLAN組成員，這樣就很難對廣播數據進行限制。另外，如果某些計算機更換了網卡，必須要重新更改設定。

2.3 基于網絡層協議劃分的虛擬局域網即依據網絡層IP地址作為劃分VLAN的規則。按IP地址劃分VLAN，有利于業務及應用，在此VLAN中，用戶可隨意移動工作站而無需更改IP地址，并可減少交換機之間交換VLAN成員的信息量，并且新站點主機在并入網絡時無需進行太多配置，交換機會根據各站點網絡地址和掩碼自動將其歸屬到各個VALN中。但是，基于IP地址的虛擬局域網智能化程度最高，實現起來最為復雜。

3 利用虛擬局域網技術實現服務器之間的邏輯隔離

3.1 控制原理通過VLAN技術將網絡劃分為虛擬網絡，可以強化網絡管理和網絡安全，控制不必要的數據廣播。在共享網絡中，一個物理的網段就擁有屬于自己的一個獨立的廣播域。而在交換機網絡中，廣播域可以是由一組任意選定的第二層MAC地址組成的虛擬網段。網絡管理員可以通過配置VLAN之間的路由或者訪問控制來強化管理不同VLAN之間的數據傳輸.從而實現服務器之間的邏輯隔離。這樣大大增加了網絡中不同服務器之間的安全性。

3.2 硬件支持首先交換機至少具備第一類按端口劃分的功能，以便將來能夠通過交換機的不同端口來劃分VLAN。防火墻端口要支持子接口劃分，實現三層(網絡層)交換功能。因為服務器之間的通信是要依靠VLAN之間的路由來實現。其次，防火墻或交換機要能夠支持訪問控制列表。以方便細化服務器之間的訪問。

4 總結

VLAN技術的應用可以有效控制廣播風暴，保證網絡性能，具有極大的靈活性與擴展性。它能有效的提高網絡的傳輸效率和安全性，增強企業各部門間的保密與合作，通過合理劃分VLAN可以在一定程度上防止病毒的傳播，大大提高網絡的生存性。

參考文獻:

[1]毅明，雷軍環，孟益民.虛擬局域網VLAN劃分及路由[J].信息技術.2003.27(3):38-40.

[2]付海濤，彭雷震，喬華.VLAN技術在提高網絡傳輸中的應用[J].計算機工程.2000.26(s1):92-94.

[3]郭鵬.淺析VLAN網絡管理.信息科技.2007.