\t淺析VLAN及其實現

摘 要:本文闡述了VLAN技術的概念、優點，述了VLAN的基本分類，給出了實現VLAN的簡單實例。

關鍵詞：VLAN；虛擬網絡；網絡安全；網絡管理

中圖分類號：TP3文獻標識碼：A文章編號：1006-4117（2011）08-0328-02

一、引言

傳統局域網主要使用交換機、Hub、網橋等使用具有沖突檢測功能的載波監聽多路訪問即“CSMA/CD”的方法。如果這個網段存在大量終端，廣播風暴就比較容易發生。而廣播風暴會直接影響到整個網絡性能（速度、效率）。為了解決廣播風暴的問題，引入“虛擬局域網——VLAN（Virtual Local Area Network）”這個方法。

這里的VLAN，是指以邏輯地而非物理的方法把局域網內的眾多設備劃分成若干個網段，從而實現虛擬局域網的方法。VLAN是一種協議，是為解決網絡廣播風暴和安全性等問題而提出的一種解決方案：每一個工作組實際上就是一個虛擬的局域網。它是在以太網絡“幀”的基礎上通過增加VLAN頭，用ID把用戶劃分成更小的Vlan組，來限制不同工作組之間的用戶的二層互訪。Vlan的優點是可以控制網絡廣播的范圍，并且形成虛擬工作組，并通過它動態的管理網絡。

二、VLAN的優點

（一）用以控制網絡風暴：使用VLAN技術，可以將某個交換端口劃到相應VLAN中，而一個VLAN的廣播風暴不會影響到別的VLAN的性能，避免了整個網絡的大范圍災難性廣播風暴。

（二）可以確保網絡安全：VLAN能夠限制個別用戶的訪問，控制廣播組的大小、位置，能鎖定某臺設備的MAC地址。所以，VLAN可以確保網絡的安全性。

（三）可以簡化網絡的管理 ：VLAN技術能使網絡管理員更輕松的管理整個網絡。網絡管理員能很輕松的建立某一項目的VLAN，其成員使用VLAN網絡，和本地使用局域網一樣。

三、VLAN的分類

以VLAN的實現方法，可以劃分為3種：

（一）以端口劃分：以端口劃分是目前VLAN的最常用的方法，這種方法的優點：定義VLAN成員時很簡單。缺點：一旦某個VLAN用戶離開了原來所在的端口，到了一個新的端口位置，那么就必須得重新定義。

（二）以MAC地址劃分：優點：該方案可使添加、移動、和更改等操作自動進行。缺點：所有的用戶必須被明確地分配給一個VLAN。

（三）以網絡層劃分：這種劃分，是根據每個主機的網絡層地址或協議類型劃分的。優點：用戶的物理位置改變了，不需要重新配置VLAN。缺點：這種方法效率低。

四、VLAN的實現

把VLAN定義在交換機的某個端口（所有連接到這個端口的終端都是虛擬網的一部分，并且整個網絡可以支持多個VLAN）。用建立網絡防火墻的方法可以使網絡數據流量減至最小，隔離不同VLAN之間的傳輸以及可能出現的問題。

下面通過配置一個vlan實例，了解一下在交換機上實現VLAN的具體方法。（本實例是在交換機Catalyst 1900上配置靜態VLAN），設置好超級終端（參照Catalyst 1900用戶手冊），連接1900交換機后，進入主配置界面：

主配置菜單共3個選項，分別是：

(M) Menus---------------------------主菜單

(K) Command Line-------------------命令行

(I) IP Configuration-----------------分別配置IP、子網掩碼、網關

選擇 (K) Command Line行 ，進入命令行配置

Enter Selection:K（在這里輸入“K”， 回車）

“CLI session with the switch is open.”

“To end the CLI session，enter [Exit ].”

在普通用戶模式下，(>后面)輸入”enable”，進入特權模式：

“>enable”

“#config t”

“Enter configuration commands，one per line.End with CNTL/Z”

“（config）#”

給這個交換機起個名字，并且設置登陸密碼。

（config）#hostname 1900Switch

1900Switch（config）# enable password level 15 goodwork

1900Switch（config）#

這里請注意：密碼必須是4到8位字符。Level 1是進入命令行界面的密碼，而level 15是輸入了enable命令后特權模式密碼。

VLAN的設置分以下2步：

1、首先設置VLAN名稱

使用“vlan vlan號 name vlan名稱”，在特權配置模式下進行：

1900Switch(config)#vlan 2 name accounting(vlan2的名稱)

1900Switch (config)#vlan 3 name marketing(vlan3的名稱)

（這里注意：在默認情況下，所有的端口都是放在VLAN 1上，所以新的配置要從VLAN 2開始。）

2、然后應用到端口

配置好VLAN名稱后，需要進入每一端口進行設置VLan。使用 “interface Ethernet”命令：

“1900Switch（config）#interface ethernet 0/2”

“1900Switch（config-if）#vlan-membership static “2

……（重復以上步驟）

“1900Switch（config-if）# interface ethernet 0/5”

“1900Switch（config-if）#vlan-membership static 2”

（上面2-5端口配置給vlan2）

接著用相同的方法把17-22端口配置給vlan3

最后，在特權模式下使用 show vlan命令驗證一下配置結果：

“1900Switch(config)#show vlan”

“VLAN Name Status Ports”

“1 default Enabled 1，6-16，22-24，AUI，A，B”

“2 acconting Enabled 2-5”

“3 marketing Enabled 17-22”

“1002 fddi-default Suspended”

“1003 token-ring-defau Suspended”

“1004 fddinet-default Suspended”

“1005 trnet-default Suspended”

驗證結果，可以看出：這臺交換機是一個24口的，并帶有AUI和兩個100M端口（A和B）。可以看出，前面的設置已經工作正常了。（另外，可以使用 “show vlan vlan號” 的命令查看某個VLAN，也可使用“show vlan-membership” 命令查看每一個端口的靜態或動態的屬于某個VLAN.）

上面是給交換機配置靜態VLAN的過程。因為動態V L A N 的致命的缺點：創建數據庫是一項非常繁瑣、非常艱苦而且的工作，所以不經常使用。因此，這里就不做研究了。

實現VLAN另外一部分不容忽視的工作，就是對網絡的前期規劃：哪些機器在同一個VLAN中，每臺機器各自的IP地址、子網掩碼的分配，以及不同VLAN之間互相通訊。這些問題在設計時就要進行充分規劃，這樣能就夠在配置和以后的使用維護過程中事半功倍。

作者單位：陜西財經職業技術學院