VLAN技術及其應用實例

摘要：本文首先介紹了VLAN技術然后分析了VLAN的優點，接著闡述了在交換機上配置VLAN的幾種常用的方法，最后以我校校園網改造中運用Vlan技術來提高網絡的效率以及網絡穩定性的實例來說明如何基于端口劃分Vlan以及在三層交換機中配置Vlan。

關鍵詞：VLAN 廣播域 VLAN劃分方法 三層交換機

隨著這幾年來的發展，VLAN技術得到廣泛的支持，在大大小小的企業網絡中廣泛應用，已成為當前最為熱門的一種以太局域網技術。本文就要為大家介紹這一最常見的技術應用——VLAN技術，并以實例的方式向大家闡述在中小局域網中VLAN的網絡配置方法。

1 VLAN技術介紹

VLAN（Virtual Local Area Network）即虛擬局域網，是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。使用VLAN技術可以將一個物理局域網邏輯的劃分為多個不同的廣播域（即VLAN），同一個VLAN內的各個工作站或計算機不需要放在同一個物理空間，即他們可以不屬于同一個物理的局域網內，但是他們能夠相互通信。一個VLAN內的廣播和單播數據都不會轉發到其他的VLAN中，這樣就可以實現流量控制、減少設備投資、簡化網絡管理、提高網絡的安全性。

2 VLAN技術的優點

VLAN的組網與傳統的局域網組網類似，區別在于“虛擬”兩個字。VLAN技術的優點如下：

2.1 控制廣播風暴 網絡管理必須解決因大量廣播信息帶來帶寬消耗的問題。VLAN作為一種網絡分段技術，可將廣播風暴限制在一個VLAN內部，避免影響其他網段。與傳統局域網相比，VLAN能夠更加有效地利用帶寬。在VLAN中，網絡被邏輯地分割成廣播域，由VLAN成員所發送的信息幀或數據包僅在VLAN內的成員之間傳送，而不是向網上的所有工作站發送。這樣可減少主干網的流量，提高網絡速度。

2.2 增加網絡的安全性 因為一個VLAN就是一個單獨的廣播域，VLAN之間相互隔離，這大大提高了網絡的利用率，確保了網絡的安全保密性。人們在局域網上經常傳送一些保密的、關鍵性的數據。保密的數據應提供訪問控制等安全手段。一個有效和容易實現的方法是將網絡分段成幾個不同的廣播組，網絡管理員限制了VLAN中用戶的數量，禁止未經允許而訪問VLAN中的應用。

2.3 增強網絡管理 采用VLAN技術，使用VLAN管理程序可對整個網絡進行集中管理，能夠更容易地實現網絡的管理性。VLAN還能減少因網絡成員變化所帶來的開銷。在添加、刪除和移動網絡成員時，不用重新布線，也不用直接對成員進行配置。若采用傳統局域網技術，網絡達到一定規模時，此類開銷往往會成為管理員的沉重負擔。

3 VLAN的劃分方法

VLAN的劃分方式很重要，在設計和建設VLAN，實現VLAN應用時，首先要決定如何劃分VLAN，即依據什么標準來組織VLAN成員。下面介紹四種常見的劃分方式：

3.1 基于端口的VLAN劃分方法 基于端口的VLAN劃分方法是根據交換機的端口來劃分廣播域，可以將交換機的某些端口所連接的主機劃分在一個廣播域內，而將另一些端口連接的主機劃分在另一個廣播域內，VLAN只和交換機端口有關，而和連接到交換機該端口的是哪一臺主機沒有關系。

3.2 基于MAC地址的VLAN劃分方法 基于MAC地址的VLAN 劃分方法是根據連接在交換機上的主機的MAC地址（即48位的網卡地址）來劃分廣播域，即某臺主機屬于哪一個VLAN只和它的MAC地址有關，和該主機所連接的交換機端口以及該主機的IP地址都沒有任何關系。

3.3 基于網絡層劃分VLAN 這種劃分VLAN的方法是根據每個主機的網絡層地址或協議類型（如果支持多協議，如IP協議和IPX協議）來劃分的。雖然這種劃分方法是根據網絡地址（比如IP地址）但它不是路由，與網絡層的路由毫無關系。它雖然查看每個數據包的IP地址，但由于不是路由，所以，沒有RIP，OSPF等路由協議，而是根據生成樹算法進行橋交換。

3.4 基于子網的VLAN劃分方法 基于子網的VLAN劃分方法是根據網絡中主機IP地址所在的網絡子網來劃分廣播域，即IP地址屬于同一個子網的主機屬于同一個VLAN，而與主機的其他因素沒有任何關系。

4 應用實例

下面就以我校校園網改造為例說明VLAN的應用。

我校早期校園網絡在初期建設時規模小，但隨著學校的發展，學校的面積和建筑逐漸增多，網絡也越來越大，網絡的管理難度逐漸增大，網絡出現的問題也越來越多，最主要的問題還是來自網絡中的廣播包，所以只要能夠隔離網絡中的廣播包，就能從根本上解決問題。但是通常要想隔離廣播包就要使用路由器，這樣就會影響校園網的整體的速度。所以最好的辦法就是利用VLAN和三層交換機來實現該功能。

改造后網絡拓撲圖如下：

校園網的骨干網用三臺分別位于教學綜合樓、學生宿舍樓、實訓樓的三層交換機連接，并且利用spanning-tree構成一個環路，用于鏈路備份。正常情況下可以均衡負載網絡流量，當網絡中某一鏈路斷開，網絡依然可以工作，很好的保證了網絡穩定性。

與三臺主交換機相連的二級交換機負責與每棟樓中的用戶節點相連接而不再連接更多的下一級交換機來保證網絡的速度。

我將學校的10個科室分為4個子網再加上將學生上網1個子網，三層交換機之間連接，以及他們與路由器連接1個子網總共有6個子網，vlan號依次是：Vlan10、Vlan20、Vlan30、Vlan40、Vlan50、vlan60。其中Vlan50用于學生上網連接，Vlan60用于交換機和路由器之間的連接。

二級交換機的端口1與三層交換機相連，并將該端口設置為Trunk，將每個二級交換機劃分為Vlan10、Vlan20、Vlan30、Vlan40、Vlan50五個網絡，五個網絡的網絡號依次是：192.168.10.0/24、192.168.20.0/24、192.168.30.0/24、192.

168.40.0/24、172.16.0.0/16，網關地址依次為：192.168.10.

254/24、192.168.20.254/24、192.168.30.254/24、192.168.

40.254/24、172.16.254.254/16。同時在二級交換機上面將屬于哪個部門的人員的計算機連接的端口劃到對應的Vlan中即可。

例如將端口f0/0端口劃入vlan100中

配置為：

interface FastEthernet0/0

switchport access vlan 100

將端口f0/24端口設置為Trunk

配置為：

interface FastEthernet0/24

switchport mode trunk

Vlan60中三臺交換機的地址分別為：綜合教學樓為192.168.60.1/24、學生宿舍樓1為192.168.60.2/24、實訓樓為192.168.60.3/24。

下面主要介紹一下三層交換機的配置，以教學綜合樓三層交換機為例，其他兩臺類似。

建立6個vlan：

Switch（vlan）#vlan 10 name vlan10

vlan 20 name vlan20

vlan 30 name vlan30

vlan 40 name vlan40

vlan 50 name vlan50

vlan 60 name vlan60

Vlan60用來連接三臺交換和路由器，為每個網絡設立網關：

Switch（config）#interface vlan 10

ip add 192.168.10.254 255.255.255.0

interface vlan 20

ip add 192.168.20.254 255.255.255.0

interface vlan 30

ip add 192.168.30.254 255.255.255.0

interface vlan 40

ip add 192.168.40.254 255.255.255.0

interface vlan 50

ip add 172.168.254.254 255.255.0.0

interface vlan 60

ip add 192.168.60.1 255.255.255.0

接下來利用三層交換機的路由功能將各個Vlan連接起來，從而起到隔離廣播的作用。配置為：

Switch（config）#ip routing

router rip

version 2

network 192.168.10.0

network 192.168.20.0

network 192.168.30.0

network 192.168.40.0

network 172.16.0.0

network 192.168.60.0

其他兩個三層交換機配置類似，在此不再一一敘述。

參考文獻：

[1]李志球.計算機網絡基礎（第二版）.電子工業出版社，2006.1

[2]謝希仁.計算機網絡（第四版）.電子工業出版社，2003.6.

[3]林錫川，李懷剛，余慎凱.東軟醫保軟件在校園網中跨區使用[J].價值工程.2011（25）.