VLAN技術原理及其應用分析

云南師范大學商學院 楊劍寧 藺 坤

當前交換技術的迅速發展，也加快了虛擬子網技術(VLAN—Virtual Local Area Network)的應用速度，特別是在當前校園網上的應用更廣泛。通過將校園網絡劃分為虛擬子網（VLAN），可以強化網絡管理和網絡安全，控制不必要的數據廣播。數據廣播在網絡中起著非常重要的作用，隨著校園網內的計算機數量的增加，VOD視頻點播在課堂教學上的大量應用，廣播包的數量也會急劇增加，當廣播包的數量占到總量的30%時，網絡的傳輸效率將會明顯下降。

分隔廣播域的方式有兩種，一是物理分隔，即將一個完整網絡物理地一分為二或一分為多，然后通過一個能夠隔離廣播的網絡設備將彼此連接起來。二是邏輯分隔，即將一個大的網絡劃分為若干個小的虛擬子網，也就是VLAN，各虛擬子網間通過路由設備連接實現通訊。

一、VLAN實現的途徑

1.基于端口的VLAN

就是將交換機中的若干個端口定義為一個VLAN，同一個VLAN中的計算機具有相同的網絡地址，不同VLAN之間進行通訊需要通過三層路由協議。采用這種方式的VLAN在工作過程中，把一個網絡節點遷移時，如果新舊端口不在一個VLAN內，則用戶必須對該端口重新設置。

2.基于MAC地址的VLAN

這種劃分VLAN的方法是根據每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置他屬于哪個組。這種劃分VLAN的方法的最大優點就是當用戶物理位置移動時，即從一個交換機換到其他的交換機時，VLAN不用重新配置。所以，可以認為這種根據MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點是初始化時，所有的用戶都必須進行配置，如果有幾百個甚至上千個用戶的話，配置是非常累的。

3.基于IP地址的VLAN

這種劃分VLAN的方法是根據每個主機的網絡層地址或協議類型（如果支持多協議）劃分的，雖然這種劃分方法是根據網絡地址，比如IP地址，但它不是路由，與網絡層的路由毫無關系。它雖然查看每個數據包的IP地址，但由于不是路由，所以，沒有RIP，OSPF等路由協議，而是根據生成樹算法進行橋交換，

這種方法的缺點是效率低，因為檢查每一個數據包的網絡層地址是需要消耗處理時間的（相對于前面兩種方法），一般的交換機芯片都可以自動檢查網絡上數據包的以太網幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術，同時也更費時。

二、VLAN的配置

因為對于不同的交換機，VLAN配置都有差異，并不是所有的交換機都支持VLAN和VLAN的三個實現途徑，有的交換機只支持基于端口的VLAN，而不支持基于MAC地址的VLAN等。現結合我校的校園網絡設備，介紹一下VLAN的配置。

我校的校園網共有節點650個，中心交換機采用Huawei 9312，樓層交換機全部采用Huawei 2700口交換機，電信寬帶經CISCO 2621路由器接入校園網。學校按年級、科室共劃分7個VLAN，從而有效地控制了網絡風暴的產生，提高了網絡傳輸的有效率和網絡的安全性。

對于Huawei 9312三層中心交換機和2700交換機的采用基于端口的VLAN劃分是一個很輕松的事情，該交換機支持WEB和命令行（CLI）界面的管理，特別是WEB界面管理，直觀方便，但是不如命令行（CLI）功能強大。由于2700為中心交換機，各樓層間的2700交換機經千兆光纖與9312相連，因此VLAN的劃分一是在9312上直接端口劃分，對與2700交換機連接的光纖端口設置成主干線路，這樣在2交換機上可以同時定義多個VLAN，最后通過在2700上設置三層路由協議實現各VLAN之間的通訊。

1.登陸到2700，進入配置模式設置VLAN：

(1)新建VLAN：set vlan vlan_id name vlan_name

(2)選擇欲配置的接口：interface vlan vlan_id

(3)配置該VLAN的IP地址和子網掩碼：ip address ip_address subsnet_mask

(4)設置三層路由關聯，實現VLAN間的通訊：ip vlan vlan_id

(5)保存設置：copy run config

2.2700與2700相連接的千兆光纖接口設置trunk，以實現交換機之間的互連，2700設置：

(1)綁定ieee-802.1q VLAN間通訊協議：set port trunking-format模塊號/端口號ieee-802.1q

(2)設置主干：set port vlan-bindingmothod模塊號/端口號bingd-to-all

3.同樣對2700相應的與2700互連端口作Trunk，進入配置模式設置：

(1)set port trunking-fromat模塊號/端口號ieee-802.1q

(2)set port vlan-binding-method模塊號/端口號bind-to-all

這樣，交換機互連通訊后，就可以在2700上劃分VLAN了。進入2700的配置模式，用命令行：set port vlan vlan_id模塊號/端口號2700，就可以把端口分到相應的VLAN內。

三、結束語

VLAN技術的應用，使網絡工作組的劃分突破了地理位置的限制，而完全根據管理功能來劃分，這種基于工作流的分組模式很適合校園網的教學部門的劃分。隨著校園網絡的規模不斷擴大和發展，使VLAN技術在校園網上得到更廣泛的應用。

[1]張永.利用ADSL組建基于VLAN遠程辦公網絡的組網方案研究[M].山東:山東大學學報,2005.

[2]朱曄.基于端口的VLAN技術及其配置[M].北京:軟件導報,2008.

[3]張光焱,馮勝勇.交換機中的VLAN技術[J].開封大學學報,2004,02.

[4]李晉平.局域網組建和安全管理的實用技術[J].電腦開發與應用,2002,15(10):33-35.

[5]楊永斌.VLAN技術在校園網建設中的應用[J].計算機科學,2004(12).

[6]孫茂圣,郭振民.基于城域網的超大型校園網的虛擬網構建[J].現代電子技術,2003(13).