VLAN技術在三層交換機中的應用

張利峰 接雪麗

摘要：本文主要介紹了對企業網絡進行VLAN規劃。VLAN技術的應用，為企業各信息點的職能調整與擴展提供了便利。交換機中使用VLAN還可控制企業網絡廣播風暴，防止IP地址盜用，提高企業網絡的安全性能，幫助企業實現節約資源;VLAN技術是目前實現城域網中校園及企業互聯共享最有效、最經濟的解決方案。

關鍵詞：局域網;VLAN技術;交換機

中圖分類號：TP393? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）26-0034-02

開放科學（資源服務）標識碼（OSID）：

大型規模的網絡建設中，以千兆三層交換機為核心的主流網絡模型應用已尤為廣泛。傳統的LAN技術存在弊端：如果有兩臺甚至更多臺計算機同時借助LAN通信總線發送數據，信息之間就會發生沖突，甚至丟失數據。并且，一旦沖突發生，就無法再發送數據。這時候發送者能做的只有等到沖突平息，再嘗試發送已丟失的數據，這勢必會造成時間和資源的極大浪費。為防止沖突被發送給LAN的每一臺機器，人們使用了交換機來隔離沖突。隨著企業和校園內部對于靈活、動態地組建LAN網段的需求日益增多，虛擬局域網（Virtual LAN）技術應運而生。VLAN技術將一個物理LAN合理劃分為不同的虛擬LAN，每一個VLAN又包含一組具有相同需求的計算機工作站，工作站不一定屬于同一個物理LAN網段。除此之外，在劃分VLAN時，路由器只被用于不同的VLAN間承擔通信任務，VLAN技術使用橋接軟件來決定哪臺計算機工作站在哪個VLAN里，實現了網絡管理的靈活性，高效性及安全性。使用VLAN能控制校園網廣播風暴，防止IP地址盜用，提高校園網安全性能，幫助學校實現無線漫游功能。

1? 需求分析

1.1? VLAN需求劃分

VLAN將局域網設備從邏輯上劃分成一個網段，實現了虛擬工作組的新興數據交換技術，主要應用于交換機和路由器中，主流應用還是交換機。常用的劃分方法有：1）基于端口劃分; 2）基于網絡層協議劃分;3）基于MAC地址劃分VLAN。

本網絡采用基于端口劃分VLAN，這種技術根據以太網交換機的交換端口劃分。主要原理是將VLAN交換機的物理端口和內部PVC端口分成若干個組，每組構成一個虛擬網，成為獨立的虛擬VLAN交換機。無形中節省了成本。

1.2 拓撲需求描述

企業中有業務部門，行政部門，人力資源部門，財務部和總經理辦公室，業務部門有一臺PC2;行政部門有一臺PC3;人力資源部門有兩臺PC，分別是PC4和PC5，兩臺PC之間可以互通;財務部門有兩臺PC，PC7和PC8，兩臺PC之間不可互通。總經理辦公室一臺PC6基于IP劃分VLAN。

PC4和PC5可以訪問PC6，不可以訪問其他PC;PC2和PC3不可訪問其他PC;PC7和PC8不互通，均可訪問PC6，不可訪問其他PC。網絡拓撲圖如圖1所示。

2 VLAN介紹

2.1 VLAN

VLAN的中文名為“虛擬局域網”，是一組邏輯上的設備和用戶，不受物理位置限制，將部門功能及應用組織起來，相互間的通信如同在同一網段。VLAN工作在OSI參考模型的第2層和第3層，一個VLAN就是一個廣播域，通信是通過第3層路由器或三層交換機完成。

在劃分vlan前，必須要了解華為交換機的端口類型，以及他們的使用方法，因為端口的類型在實際配置中是必須會用到的。

Access類型端口：執行命令port default vlan vlan-id，將端口加入指定的VLAN中。只能屬于1個VLAN，一般用于連接計算機端口;

Trunk類型端口：Trunk類型端口允許多個VLAN通過;

Hybrid類型端口：選擇執行其中一個步驟配置，可以允許多個VLAN通過，發送和接收多個VLAN 報文。

關于vlan的劃分方法有很多，項目應用中較多的方法就是基于端口劃分vlan、基于mac地址劃分vlan熟悉劃分方法，以便于根據實際項目進行應用。

2.2? vlan的劃分方法

2.2.1 基于端口的vlan劃分方法

企業內交換機連接的有很多用戶，且相同業務的用戶通過不同的設備接入企業的網絡。為了通信安全性，也為了避免廣播報文的泛濫，企業希望業務相同的用戶之間可以相互訪問，業務不同的用戶不能直接去訪問。可以在交換機上配置基于端口劃分VLAN，把業務相同的用戶連接的端口劃分到同一VLAN。也就是不同VLAN的用戶不能直接進行二層通信，同一VLAN內的用戶可以直接互相通信。

配置步驟如下：

步驟1 在核心交換機2創建VLAN 20 、VLAN 30 、VLAN100、VLAN 200、，并將連接用戶的端口分別加入VLAN。SwitchB配置與SwitchA類似，不再贅述。

步驟2 配置SwitchA上與SwitchB連接的端口類型及通過的VLAN。SwitchA配置與SwitchB類似。

2.2.2 基于MAC地址vlan劃分方法

網絡管理者將同一部門的員工劃分到同一VLAN。為了提高部門內的信息安全，要求只有本部門員工的PC才可以訪問公司網絡。PC6為本部門員工的PC，要求這幾臺PC可以通過SwitchD訪問公司網絡，如換成其他PC則不能訪問。可以配置基于MAC地址劃分VLAN，將本部門員工PC的MAC地址與VLAN綁定。

作用：使處于相同子網的vlan實現廣播隔離。

Super-vlan，只建立在三層接口。不包含物理端口，是若干sub-vlan的集合。

Sub-vlan，只包含物理端口，不能創建三層接口，用于隔離廣播域的VLAN，通過Super-VLAN與外部實現三層交換。

通信原理：

1） 使能Sub-VLAN間的ARP Proxy功能，實現Sub-VLAN間互通;

2） Sub-VLAN與外部網絡的二層通信;

3）Sub-VLAN與外部網絡的三層通信。

拓撲PC2和PC3應用super-vlan效果圖如圖3所示：

3 結語

通過分析布局已基本展現了網絡工程硬件設計的全部過程，建設網絡對于企業和學校意義重大，需經過周密論證、謹慎決策、科學的管理。企業的網絡建設必定會對企業的信息化建設起到重要的推動作用，為企業辦公提供有效、便捷的環境，為高效通信帶來便捷。

參考文獻：

[1] 孫廣軍.局域網組建及應用[Z].北京：高等教育出版社，2012.

[2] 張國清，孫麗萍，楊宇.高級路由技術[Z].北京：電子工業出版社，2016.

[3] 胡永波.IP網絡拓撲自動發現的研究與實現[C]. 北京郵電大學，2007.

[4] 華為技術有限公司.HCNA網絡技術試驗指南[Z].北京：人民郵電出版社，2017.

【通聯編輯：光文玲】