交換機VLAN技術在局域網中的應用

摘 要：隨著在局域網中計算機、交換機等網絡設備數量的不斷增加，網絡流量也隨之增大，而網絡中的廣播風暴、安全性等問題就凸顯出來，如果能很好的應用交換機的虛擬局域網（VLAN）技術就能很大程度的解決這些問題。本文介紹了VLAN的相關知識，以便能給網絡管理者以相應的啟示。

關鍵詞：交換機 VLAN技術 廣播風暴 安全性

中圖分類號：G4 文獻標識碼：A 文章編號：1673-9795（2013）04（b）-0169-01

交換機在局域網中占有重要的地位，通常是整個網絡的核心。而交換機最重要的作用就是轉發數據，保持其高效的數據轉發速率，不受到攻擊和干擾，如何能對訪問和存取網絡信息的用戶進行區分和權限控制，還能配合其他網絡設備，對非授權訪問和同網絡攻擊進行阻止。要實現這些操作就是依賴對交換機實施設置而實現的，其中的VLAN（虛擬局域網）劃分又是其重要所在。VLAN劃分是通過軟件方法實現，因此，它具有很高的靈活性。

1 先來了解VLAN的作用

VLAN是一種在局域網內將網絡從邏輯上劃分成一個個不同的網段工作組，從而實現虛擬工作組的技術。一個VLAN就是一個廣播域，與用戶主機的物理位置沒有關系。一個VLAN看不到另一個VLAN的存在。

VLAN技術的出現，使得管理員能按管理、工作、重要性需求，把原本一個物理局域網內的不同主機從邏輯上劃分成不同的廣播域（即VALN），每一個VLAN都包含一組有著相近需求的主機，與原本物理上形成的局域網有著相同的屬性。由于它是從邏輯上劃分，而不是在物理上劃分，所以同一個VLAN內的各個主機沒有限制在同一個物理范圍中，即這些主機有可能在不同物理局域網網段。由VLAN的特點可知，一個VLAN內部的廣播和單播流都不會轉發到其他VLAN中，從而有效控制網絡流量、簡化網絡管理、提高網絡的安全性。它在廣播抑制、安全性、動態組網等方面具有原本一個物理LAN無法比擬的優越特性。

2 再看VLAN技術的特點

2.1 簡化網絡管理

網管采用VLAN技術能進一步管理整個局域網絡。例如，網絡內部主機用戶由于工作調整，人員在部門間調動，需要將要變動的人員的主機歸入相應的新的工作組。如果采用了VLAN技術，網管只需更改交換機上的設置，就能迅速地建立適應新需要的VLAN網絡，不用花時間和人力去移動計算機。

2.2 減少網絡上不必要的廣播，阻止廣播風暴

大量的廣播在一個LAN內出現就可以形成廣播風暴，VLAN可以提供建立類似防火墻的機制，防止過量廣播或控制廣播范圍。使用VLAN技術，可以將某個交換端口或用戶賦予某一個特定的VLAN組，該VLAN組可以在一個交換機中，也可以跨接多個交換機，在一個VLAN中的廣播不會送到別的VLAN。所以就是相鄰的端口如果所屬不同VLAN，也不會收到其他VLAN產生的廣播。這樣可以減少廣播流量，降低交換機通信壓力。

2.3 加強網絡的安全性

一個VLAN是一個單獨的廣播域，VLAN之間相互隔離，確保了網絡的安全保密性。人們在局域網上經常傳送一些需要保密的關鍵數據。一個有效和容易實現的方法是將網絡分段成幾個不同的廣播域，網管限制了VLAN中主機用戶的數量，禁止未經授權而訪問網絡的用戶。交換端口可以按應用類型和訪問特權來進行分組，被限制的資源置于安全性較高的VLAN中。

2.4 便于監督網絡

網絡監督和管理，網管可以通過網管軟件可以查詢VLAN間和VLAN內通信的數據包的分類信息，以及應用數據包的分類信息。通過劃分VLAN可以使網絡管理變的更加簡單、有效。

3 VLAN在交換機上實現方法

3.1 按端口劃分

按端口劃分的VLAN也稱為靜態VALN，是實際應用中最常見的一種。一臺或都一組交換機可以理解成由很多個交換機端口組成的，我們就可以其中的端口利用VLAN方法重新分組來構成一個個虛擬局域網，相當于一個獨立LAN。

這種按端口的VLAN配置簡單可行，可以利用一條命令成組的進行操作，有較高的安全性，也便于監控，適合主機相對固定的場所。所以這種方法缺點在于無法自動解決設備移動，不允許用戶主機移動，一旦用戶主機移動到一個新的位置（更換交換機端口），網管必須重新配置VLAN。

3.2 按主機MAC地址劃分VLAN

按主機MAC地址劃分VLAN，這樣又可以理解成每個VLAN都是一群MAC地址集合。這種方法可以允許一個主機同時屬于多個VLAN，當主機在網絡中移動時（更換交換機端口），VLAN能自動識別它所屬的VLAN，保留其所屬VLAN的成員身份。

從這種劃分的機制可以看出，當用戶物理位置移動時，即使從一個交換機換到其他的交換機，都不用重新配置VLAN，因為它是基于用戶，而不是基于交換機的端口。這種方法的缺點必須查找每一臺主機用戶的MAC再進行單個配置，配置工作量會很大，所以按主機用戶MAC地址劃分VLAN通常適用于小型局域網。

3.3 按IP地址劃分VLAN

按IP地址劃分VLAN是基于第三層（網絡層）IP子網來構造的VLAN。劃分時交換機將每一臺主機的MAC地址和它的IP地址對應關聯起來，使用主機的IP地址來配置VLAN。這種方法的優點是用戶主機可以隨意移動而不用重新配置IP地址，一個VLAN可以擴展到多個交換機端口，也可以用一個端口來對應多個VLAN；缺點三層的交換機檢查網絡層地址要花費時間，而維護地址表也增加管理負擔。

3.4 按子網劃分VLAN

IP地址規定由網絡號和主機號兩部分組成，網絡號表示所在的是哪一個網絡（子網），主機號表示的是具體網絡內的哪一臺主機。一個子網就是一個IP組播組，這樣就可以根據網絡中不同子網來劃分每個VLAN。這種方法靈活，而且也很容易通過路由進行擴展，適合于在不同地理范圍的局域網用戶組成一個VLAN。

3.5 按策略劃分VLAN。

按策略劃分的VLAN能實現多種分配方法，包括交換機端口、MAC地址、IP地址等，可以把不同方法組合成一種新的策略來劃分VLAN。當一個策略被指定到一個交換機，該策略就在整個網絡上應用。其方法的核心是采用什么樣的策略，網管可根據實際情況選擇最合適的方式。

4 結論

VLAN最大的優點就是在不過多增加網絡成本的前提下，增加了網絡管理的靈活性，并且降低了廣播占用的帶寬，維護和操作比較方便。目前，局域網技術發展很快，從傳統LAN發展到VLAN逐漸趨向動態化，局域網技術前進了一大步，并已經得到了廣泛的推廣和應用。作為網絡管理者應緊跟網絡技術發展，與時俱進提高網絡整體性能。本文從VLAN技術作用和使用方法等方面作了簡明的闡述，希望能對關于網絡研究和管理感興趣的讀者起到一定的幫助和啟發作用。

參考文獻

[1]張國清.網絡設備配置與調試[M].電子工業出版社，2009.

[2]張選波，王東，等.設備調試與網絡優化[M].科學出版社，2009.

[3]孫波.計算機網絡技術[M].機械工業出版社，2010.