淺析網(wǎng)絡時代虛擬局域網(wǎng)技術

摘要：文章對虛擬局域網(wǎng)（Virtual Local Area Network）做出簡單介紹。從現(xiàn)有網(wǎng)絡安全問題入手，介紹了這種常用的網(wǎng)絡管理方式，并詳細介紹了虛擬局域網(wǎng)的優(yōu)點、分類、實現(xiàn)、簡單配置、通訊、管理等多方面的問題。

關鍵詞：網(wǎng)絡安全；虛擬局域網(wǎng)；廣播風暴

中圖分類號：TP393.1 文獻標識碼：A 文章編號：1006—8937（2012）23—0089—02

1 虛擬局域網(wǎng)簡介

虛擬局域網(wǎng)（Virtual Local Area Network）即我們常說的VLAN，是指在局域網(wǎng)交換的基礎上構(gòu)建的可跨越不同網(wǎng)段的邏輯網(wǎng)絡。是通過把局域網(wǎng)中的網(wǎng)絡設備邏輯地劃分成多個不同的網(wǎng)段從而實現(xiàn)多個不同的邏輯工作組的一種技術。一般常用的網(wǎng)絡設備如交換機只能減少網(wǎng)絡中的沖突域，對廣播域則無能為力，隨著計算機的不斷普及以及網(wǎng)絡的飛速發(fā)展，局域網(wǎng)的規(guī)模越來越大，廣播域也就隨之不斷增大，給局域網(wǎng)的性能帶來很大的影響。

虛擬局域網(wǎng)給出了一種讓交換機也來減少廣播通信量的方法。VLAN將物理的局域網(wǎng)邏輯地劃分成不同的廣播域，每一個域中的計算機都有著相同的工作需求，它與物理上形成的局域網(wǎng)有著相同的屬性。一個邏輯廣播域，可以包括多個網(wǎng)絡設備，可以處于不同地理位置。在一個虛擬局域網(wǎng)中廣播和單播流量都不會轉(zhuǎn)發(fā)到其他虛擬局域網(wǎng)中，從而可以強化網(wǎng)絡管理、減少廣播風暴、減少設備投資、提高網(wǎng)絡性能。

2 VLAN的優(yōu)點

①控制網(wǎng)絡的廣播風暴。按照802.1D透明網(wǎng)橋的算法，當一數(shù)據(jù)包找不到路由出口的時候，就會以橋模式的方式轉(zhuǎn)發(fā)出去。即交換機就會將該數(shù)據(jù)包向網(wǎng)段內(nèi)所有其他端口發(fā)送。這樣極大的浪費了帶寬。采用VLAN技術，可將交換機的某個端口劃到某個具體的VLAN中，當一數(shù)據(jù)包找不到路由出口的時候，而交換機只向同屬于這個VLAN內(nèi)的機器端口發(fā)送廣播包而不是所有端口。這樣數(shù)據(jù)包就被限制在一個VLAN內(nèi)。一個VLAN的廣播風暴不會影響其它VLAN的性能。

②確保網(wǎng)絡安全。由于在一般的網(wǎng)絡中，用戶只要能夠接入網(wǎng)絡設備就能訪問網(wǎng)絡。所以我們通常使用的共享式局域網(wǎng)很難保證網(wǎng)絡的安全。而通過劃分VLAN，就可以做到允許指定的用戶并且可以限制個別用戶的訪問，甚至可以限定接入設備的MAC地址，所以通過使用VLAN技術能夠大大增強網(wǎng)絡的安全性和可靠性。VLAN間的數(shù)據(jù)在二層間是不能通信的。這樣，一個VLAN內(nèi)的數(shù)據(jù)包是不能發(fā)送到另一個VLAN內(nèi)。這就確保了一個VLAN內(nèi)的信息不會被其他VLAN上用戶竊聽，實現(xiàn)了信息的保密。

③簡化網(wǎng)絡管理。借助于VLAN技術網(wǎng)絡管理員能輕松管理整個網(wǎng)絡。VLAN的劃分是邏輯的而不是物理的，網(wǎng)絡管理員只需設置幾條命令，就能按照需求建立起VLAN網(wǎng)絡。當用戶的工作位置發(fā)生變動時，或用戶的職責發(fā)生變更時可以非常方便的把用戶移如新的VLAN中，減少了移動和改變的代價。

3 VLAN的分類

通常而言，VLAN的分類簡單來說有以下幾種：

①基于端口的VLAN。基于端口的劃分VLAN的方法是在日常工作中劃分虛擬局域網(wǎng)最常用、最有效的方法。最初的虛擬局域網(wǎng)的實現(xiàn)就是按照交換機的端口來確定VLAN內(nèi)的成員。這樣一個VLAN內(nèi)的所有成員實際上也就是符合某種條件的所有交換機端口的集合。在行進網(wǎng)絡管理中，我們只需要在交換機上規(guī)劃好端口的用途，從而配置好交換機的端口。并不用在意這些交換機端口連接什么設備、下面的設備走的什么路由。這種配置方法是目前最常用的方法，而且配置起來也非常的簡單。它的不足和局限性是當配置好的接入用戶當工作屬性發(fā)生變化需要更改所屬VLAN時，需要在本身的交換機端口上重新配置此端口的虛擬局域網(wǎng)屬性。

②基于MAC地址的VLAN。由于MAC地址具有唯一性，每個網(wǎng)卡有固定且唯一的MAC地址。因此按不同的MAC地址來劃分VLAN也是常用的劃分VLAN的方法。這種劃分方式本質(zhì)上就是將具體的服務器、工作站甚至終端用戶通過固定的網(wǎng)卡劃分到具體的某個VLAN中。按照這種虛擬局域網(wǎng)劃分的方法，VLAN中就是有著特定需求的用戶的MAC地址的集合。當用戶設備在網(wǎng)絡中位置發(fā)生變化時，該網(wǎng)絡設備能夠自動保持它原有的虛擬局域網(wǎng)成員的資格。基于MAC地址的VLAN劃分方式可以被看作是基于用戶的虛擬局域網(wǎng)。這種劃分方式的缺點是要求在配置在某個虛擬局域網(wǎng)中，所有的網(wǎng)絡接入用戶都必須行進初始配置。在初始配置生效之后，用戶的虛擬局域網(wǎng)自動跟蹤才能夠?qū)崿F(xiàn)。顯而易見，在網(wǎng)絡規(guī)模不斷增長、用戶數(shù)量不斷增加的今天，這種配置方式會給網(wǎng)絡管理帶來很大的難度，對網(wǎng)絡的擴展性支持的不是很好。

③基于第3層的VLAN。基于第3層的VLAN配置方式通常是采用在路由器中常用的方法。在確定虛擬局域網(wǎng)成員時考慮協(xié)議類型或網(wǎng)絡層地址。但這并不是一種路由功能，任何給定虛擬局域網(wǎng)范圍內(nèi)的聯(lián)接被視為平行的橋接拓撲結(jié)構(gòu)。在此，局域網(wǎng)交換機允許把它的一個子網(wǎng)擴展到多個局域網(wǎng)交換端口，甚至允許一個端口對應于多個子網(wǎng)。不過這種方法與基于端口的VLAN和基于MAC地址的VLAN相比性能上有明顯的不足，數(shù)據(jù)包中的地址在OSI7層網(wǎng)絡結(jié)構(gòu)中屬于第三層，MAC地址屬于OSI中的第二層，檢查數(shù)據(jù)包第三層地址要耗時更多，速度更慢。

④基于策略的VLAN?；诓呗缘腣LAN是一種靈活有效的VLAN劃分方法。該方法的基本知道思想是根據(jù)用戶的需要來決定具體采用什么樣的策略?？梢园凑沼脩鬒P地址、MAC地址、網(wǎng)絡協(xié)議、不同的網(wǎng)絡的應用等來確定策略。隨著網(wǎng)絡技術的發(fā)展，設備配置的不斷更新和提高，新的策略也不斷的產(chǎn)生和應用在當今的網(wǎng)絡中。

4 VLAN的實現(xiàn)

VLAN的實現(xiàn)方式簡單來分有以下有兩種：靜態(tài)VLAN和動態(tài)VLAN。

VLAN的靜態(tài)實現(xiàn)是指管理員將某個交換機具體的端口分配給固定VLAN，這種方法就是剛才提及的基于端口的VLAN，這種方法最為常用。它配置簡單而且安全可靠、擴展性強。

VLAN的動態(tài)實現(xiàn)是指管理員先建立一個相對較為復雜的數(shù)據(jù)庫，當網(wǎng)絡接入設備接到網(wǎng)絡交換機端口時交換機會依據(jù)事先設計好的這個數(shù)據(jù)庫自動把接入的網(wǎng)絡設備所連接的端口分配給相應的VLAN。VLAN的動態(tài)配置可以基于網(wǎng)絡設備的MAC地址、IP地址、或者所使用的網(wǎng)絡協(xié)議。動態(tài)VLAN的實現(xiàn)一般使用管理軟件來進行。這種VLAN的配置管理方式優(yōu)點是管理員只需維護相應的管理數(shù)據(jù)庫，而無需關心用戶具體使用哪一個交換機端口。但是缺點是每次有新用戶加入時需要做相對復雜的手工配置。

5 VLAN的簡單配置

VLAN的命令非常簡單，比較常用的方式是TELNET到交換機上或者串口連接到交換機上進行配置，常用的命令如下所示：

增加VLAN

Switch# vlan database

Switch（vlan）# vlan vlan—id name vlan—name

Switch# show vlan name vlan—name

Switch（vlan）# no vlan vlan—id //刪除VLAN

將端口加入VLAN

Switch# configure terminal

Switch（config）# interface interface

Switch（config—if）# switchport mode access

Switch（config—if）# switchport access vlan vlan—id

Switch（config—if）# show interface interface—id switchport

配置trunk 端口

Switch# configure terminal

Switch（config）# interface interface

Switch（config—if）# switchport mode trunk

Switch（config—if）# switchport trunk encapsulation isl

Switch（config—if）# end

Switch# show interface interface switchport

6 VLAN間通訊

如前文所述，VLAN間的數(shù)據(jù)在二層間是不能通信的，在不同VLAN之間，數(shù)據(jù)的傳輸是通過第三層也就是OSI中的網(wǎng)絡層的路由來實現(xiàn)。在許多局域網(wǎng)中，基于為了提高網(wǎng)絡性能、增強網(wǎng)絡的安全性等等原因的考慮都使用了VLAN，但各個VLAN之間還都需要相互通訊，這樣如何使VLAN間通訊的問題就擺在我們面前。

早期VLAN間的通訊是用路由器來完成的，由于路由器的作用主要是聯(lián)接廣域網(wǎng)，內(nèi)部交換的性能不是很強，所以通訊的延遲比較長，通訊性能不是很好。而且路由器的造價昂貴，因此這種方法并沒有得到廣泛的應用。

隨著網(wǎng)絡技術的發(fā)展，具有三層交換功能的交換機的產(chǎn)生。VLAN間的通訊變的簡單易行起來。交換機內(nèi)部集成了路由功能，可以在第三層線速轉(zhuǎn)發(fā)數(shù)據(jù)包。用這種方法首先解決了VLAN能否通訊的問題，而且通訊的延遲非常小，效果非常好?，F(xiàn)今VLAN間的通訊大都是用三層交換機的方法來解決。

7 管理VLAN

VLAN的管理一般是通過軟件而不是硬件來實現(xiàn)。常用的管理軟件有VLANVIEW、TRAFFICVIEW等。

VLANVIEW是一種通過圖形界面來管理VLAN的VLAN管理軟件。它以圖形的方式自動畫出交換機在網(wǎng)絡上的拓撲位置，并提供交換機每個端口的狀態(tài)，且允許用戶通過拖放的方式將端口配給VLAN。這種方法簡單易行，配置清晰明了。它還有一些擴展的功能，比如可以通過發(fā)現(xiàn)主機的IP地址或者M AC地址動態(tài)的配置VLAN，和基于應用層、網(wǎng)絡層協(xié)議對VLAN進行動態(tài)分組。

TRAFFICVIEW是基于RMON的流量監(jiān)聽與分析應用，可以提供流量分析和發(fā)現(xiàn)網(wǎng)絡的變化。可以提供給端口和每個局域網(wǎng)段的流量控制。

以上這兩個軟件都是基于SNMP協(xié)議，并且對于常用的網(wǎng)絡管理軟件如NETVIEW、OPENVIEW、SUNNET MANAGER等等支持性非常好。

8 結(jié) 語

隨著網(wǎng)絡技術的不斷發(fā)展，VLAN技術也隨之日益完善，VLAN技術越來越多的應用在局域網(wǎng)中，成為增強網(wǎng)絡性能提高網(wǎng)絡安全的好方法。虛擬局域網(wǎng)技術在網(wǎng)絡中的重要性也越來越大。

參考文獻：

[1] 盧加元.計算機組網(wǎng)技術與配置[M].北京：清華大學出版社，2008.