浅谈VLAN技术的应用

浅谈ＶＬＡＮ技术的应用

巩义市第二职业中专孙建垒

【摘要】虚拟局域网（VLAN）技术是目前局域网中的一项常用技术；VLAN技术是在不改变局域网上节点物理位置的基础上，按照功能、部门、应用等因素划分为若干“逻辑工作组”；VLAN技术有效避免了广播风暴，增强了局域网的安全性。本文介绍了VLAN的概念、原理、优点以及其分类，并实现了VLAN在企业局域网上的配置和验证方法。

【关键词】VLAN 广播风暴虚拟局域网交换机

在企业局域网中，数据通信通常满足20/80模式，即其中20%的流量属于远程用户，80%的流量属于本地用户，同时本地用户又隶属于不同的部门，如财务部、人事部及销售部等，怎样保证同部门内和部门间的资源安全，协调各部门工作则是十分重要的。那么VLAN技术会成为其中不可缺少的技术之一。

1 VLAN的优势简介

VLAN（Virtual Local Area Network）的中文名为“虚拟局域网”。是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用在有VLAN协议的第三层以上交换机之中。

VLAN技术允许网络管理者将一个物理的局域网逻辑地划分成不同的广播域，每一个VLAN都是按照企业的一个职能部门来划分，包含着一组具有相同工作特点的计算机。它是按功能划分而不是按物理划分，同一个VLAN内的各个工作站无须被放置在同一个物理空间里，这些工作站可以不属于同一个物理局域网网段，一个VLAN内部的广播和单播流量都不会转发到其他VLAN中。因此使用VLAN技术可以控制流量，减少设备投资，简化网络管理，提高网络的安全性。

2 使用VLAN的优点

2.1减少网络管理开销

网络管理员采用VLAN技术轻松管理整个企业局域网络。例如，企业内部由于业务调整，人员部门间相互调动，需要将变动的人员的计算机归入相应的新的工作组。如果局域网内采用了VLAN技术，网管员只需更改交换机上的几条设置，就能迅速地建立适应新需要的VLAN网络，不用花时间和人力去搬动电脑。

2.2 控制网络上的广播

大量的广播可以形成广播风暴，VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋予某一个特定的VLAN组，该VLAN 组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。

2.3 增加网络的安全性

VLAN就是一个单独的广播域之间相互隔离，这大大提高了网络的利用率，确保了网络的安全保密性。人们在VLAN上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组，网络管理员限制了VLAN中用户的数量，禁止未经允许而访问VLAN中的应用。交换端口可以

基于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置于安全訴LAN中。

3 VLAN的分类

3.1 基于端口划分的VLAN

基于端口划分VLAN是最常应用的一种VLAN划分方法，应用也最为广泛有效，目前绝大多数VLAN协议的交换机都提供这种VLAN配置方法。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC端口分成若干个组，每个组构成一个虚拟网，相当于一个独立的VLAN交换机。

对于不同部门需要互访时，可通过路由器转发，并配合基于MAC地址的端口过滤。对某站点的访问路径上最靠近该站点的交换机、路由交换机或路由器的相应端口上，设定可通过的MAC地址集。这样就可以防止非法入侵者从内部盗用IP地址从其他可接入点入侵的可能。

3.2 基于MAC地址划分VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组，它实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪属于VLAN MAC的地址。这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份。

3.3 基于网络层协议划分VLAN

VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN 网络。这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。

3.4 根据IP组播划分VLAN

IP组播实际上也是一种VLAN的定义，即认为一个IP组播组就是一个VLAN。这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主要是效率不高。

3.5 按策略划分VLAN

基于策略组成的VLAN能实现多种分配方法，包括VLAN交换机端口、MAC地址、IP 地址、网络层协议等。网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN。

3.6按用户定义、非用户授权划分VLAN

基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。

4 VLAN在企业局域网中的配置和验证方法

现将以企业中的几个部门为例，进行VLAN进行配置，拓扑机构如图1所示。

为了相应部分网络资源的安全性需要，特别是对于像财务部、人事处这样的敏感部门，其网络上的信息不想让太多人可以随便进出，于是采用了VLAN的方法来解决以上问题。通过VLAN的划分，各VLAN组所对应的网段如表1所示。

VLAN的配置过程其实非常简单，只需如下列举两步，我们以目前最为流行的Cisco 交换机为例，说明VLAN在局域网中的基本配置方法。

（1）为各VLAN组命名，在VLAN数据库配置模式下，开始创建VLAN，具体的配置指令如下：

Switch1>enable

Switch1#vlan database

Switch1 (config)#vlan 2 name CW

其他交换机的类似：

Switch2 (config)#vlan 3 name RS

Switch2 (config)#vlan 3 name YW1

Switch3 (config)#vlan 4 name YW1

Switch4(config)#vlan 5 name YW2

（2）把相应的VLAN对应到相应的交换机端口

Switch1>enable

Switch1#config