VLAN技术应用

VLAN技术应用
VLAN技术应用
摘要:针对网络工程中VLAN技术应用存在的一些模糊认识,根据VLAN技术特点及用户的局域网建设需求,通过实例讨论了VLAN技术的隔离应用以及与三层交换、ACL 等技术结合应用的具体方法。

关键词:局域网技术应用;VLAN技术;三层交换;ACL
随着计算机技术的高速发展和广泛应用,社会对运用网络技术组建局域网的需求越来越多。

VLAN技术是局域网技术中最重要的技术之一,从事网络建设相关技术人员必须熟练掌握其应用。

由于组建局域网的需求多种多样,很多技术人员在应用VLAN技术时存在许多模糊的认识,如为什么网络中用户隔离后又需要连接,连接后又需要隔离等。

本文将根据VLAN技术的特点论述VLAN技术的基本运用方法,帮助网络技术人员更好地理解VLAN技术。

1 VLAN与三层交换技术
VLAN(Virtual LAN),虚拟局域网,是一种通过将局域网的交换机端口逻辑划分成多个相当于物理隔离的虚拟工作组网段的技术,这些虚拟工作组与地理位置无关。

VLAN技术
具有方便性、安全性和可扩展性等特点。

VLAN本身仍然是LAN(局域网),不同VLAN用户之间不能访问,相同VLAN用户可以访问。

目前,VLAN技术被广泛用于局域网中,为网段的划分提供了方便,也为局域网的扩展提供了有效的解决方案。

VLAN技术与三层交换技术结合用于组建大中型LAN。

三层交换技术是一种在三层交换机中运用软件和硬件技术
实现数据包线速转发的技术。

交换机原本是网络二层的设备,通过内置集成的路由器功能模块及专用集成电路,使二层交
换机具备三层路由器的部分功能,实现数据在网络二层和三
层的高速转发,这种交换机称为三层交换机。

路由器在转发数据包时,每次都需要检查每一个IP数据包的目的地址,称为“次次路由”,无法实现高速转发;而三层交换机只在转发第一个IP数据包时以路由器的
形式检查,从下一个数据包开始直接使用二层的交换方式转发,称为“一次路由、多次交换”。

2 通过VLAN技术隔离用户
在用户集中连接情况下,利用VLAN技术实现用户隔离可以节约端口成本。

传统的隔离用户方法是采用两个或多个互不连接的交换机,分别连接需要隔离的不同组用户,如果每组用户较少则会浪费剩余端口成本。

例如,有4组用户需要隔
离,每组用户不超过6人,只需要一台支持VLAN技术的24口以太网交换机,通过定义VLAN号和分配端口实现。

对于由多个交换机连接组成的局域网,需要跨交换机实
现VLAN,需要在交换机Trunk(干线)端口上封装VLAN帧标签,标准的封装协议为IEEE802.1Q。

当数据帧从Trunk端口转发出去时被封装一个VLAN标签,标识属于哪一个VLAN;当该数据帧到达另一端交换机的Trunk端口时,读取该VLAN 标签,然后解封还原为原始数据帧并转发到相应的VLAN里。

这样,相同的VLAN用户就可以跨交换机连通,而不同的VLAN用户仍然互相隔离。

例如,有多个公司用户使用某大厦写字楼统一提供的网络系统服务,为了避免信息泄露,需要隔离各公司用户。

由于大厦的网络系统是由多台交换机互联的,需要跨交换机实现不同VLAN用户的隔离。

另外,跨交换机实现VLAN还可以用于在一个内部局域网中建立一个与外
部直接连接的隔离通道。

例如,某企业内部局域网约有二千用户,通过NAT技术连接外部网Internet,其中有一组用户需要直接连接外部网,可以通过专门为这组用户开设一个VLAN实现。

3 VLAN与三层交换技术结合实现不同VLAN用户之间的连接
由二层交换机连接的每个LAN都可以看作是一个广播域,广播域是指网络中接收同样的广播消息的节点集合,能够描述某个LAN的大小尺寸。

在一个广播域中,过多的LAN节点会产生大量的数据流量,工程经验是超过500个主机则容易导致LAN的间歇性瘫痪,建议不超过250个以便于规划IP 地址。

大中型LAN的主机数多达几千至几万个,组建这样的LAN需要解决两个问题:一通过VLAN分割广播域,二是再将这
些分割后的VLAN通过高速的链路连接起来组成一个较大的LAN。

路由器也可以连接VLAN,但是路由器需要“多次路由”,不能提供局域网的高速传输性能,而VLAN与三层交换技术结合则可以满足要求。

例如,可以将一个约2000个用户的网络划分为8个VLAN,每个VLAN约250个用户,然后将这8个VLAN通过三层交换机设备连接起来。

配置三层交换机连接VLAN时,通常只需在三层交换机中设置各VLAN端口的IP 地址,并将该地址分别用于相应VLAN用户的网关。

4 通过ACL实现不同VLAN用户连接后的访问控制
在大中型LAN中,有时需要控制某些不同VLAN用户之间的访问,需要结合ACL(访问控制列表)技术实现。

例如,某大厦写字楼的网络系统共划分了200个VLAN,各公司用户组分
别被分配在其中的一个VLAN中,各VLAN通过三层交换机连接,使用私有IP地址块172.16.0.0/16,采用防火墙(连接在VLAN1,IP地址为172.16.1.5/24)通过NAT转换共同访问Internet。

由于所有用户都能互相连通,存在公司信息泄露的安全问题,需要再次隔离用户但不能影响通过VLAN1访问Internet。

以核心交换机为思科的Catelyst6509为例,ACL的配置如下,除了VLAN1端口外,其他VLAN端口均绑定该ACL。

!ACL号为10,只允许访问网段172.
16.1.0/24,限制对其他网段的访问
access-list 10 permit 172.16.1.0 0.0.
0.255
access-list 10 deny 172.16.0.0 0.0.2
55.255
access-list 10 permit any
5 结束语
应用VLAN技术的关键是要掌握其不受地理位置限制
的隔离特性,同时还需要掌握与其他技术结合以满足用户需求,如结合三层交换技术实现大中型局域网多个VLAN用户的连接,结合ACL技术实现不同VLAN用户连接后的访问控
制等。

VLAN技术在网络工程中的应用还有很多形式,需要网络技术人员不断地思考和实践。

参考文献
[1]黄要武.计算机网络教程.大连:大连理工大学出版社,2009.
[2]Richard Froom.组建Cisco多层交换网络(BCMSN)(第4版).北京:人民邮电出版社,2007.
―――――――――――
作者简介:黄要武(1966-),男,副教授,资深网络工程师,学士,研究方向为网络工程。