虚拟局域网的研究与组建

赵凯鑫

(大庆师范学院 计算机科学与信息技术学院，黑龙江 大庆 163712)



虚拟局域网的研究与组建

赵凯鑫

(大庆师范学院 计算机科学与信息技术学院，黑龙江 大庆 163712)

摘要：虚拟局域网也称作VLAN，技术的核心思想是将传统局域网按照逻辑划分成一个个虚拟的小局域网。IEEE在1999年正式颁布了其技术标准草案，由于技术标准得到了统一且拥有传统局域网所不能比拟的优点，VLAN技术现在已广泛应用于园区网设计中。首先阐述了VLAN的提出原因、技术实现方法以及常见的划分和配置方法，然后用研究与设计了一个园区网的综合实例，说明VLAN在园区网中的应用，为相关工作提供参考。

关键词：局域网；广播：配置

1VLAN概述

1.1VLAN的提出

在最初的以太局域网中，广播风暴和信息安全一直是困扰网络管理员的难题。在这种网络环境中，所有的设备共享同一个广播域，当其中的一台设备向外发送广播报文时，局域网中所有主机都会接收到该广播报文，并去处理该广播报文，当局域网中同时有大量的主机向外发送广播报文时，整个网络就会出现拥挤的状况。与此同时，正因为局域网内所有主机处在一个广播域内，主机与主机间或者主机同外部的通信就有可能被其他的主机监听到，会造成安全信息的泄露等问题，而且ARP等流行的局域网病毒也会在主机间泛滥传播，造成主机无法正常通信，严重影响网内的用户体验。

为解决这些难题，VLAN技术被提出来，VLAN技术的核心思想是把一个物理上真实存在的拥有一个广播域的局域网在逻辑上划分为多个子广播域，这些子广播域间是完全隔离的，如果互相之间想通信，必须借助三层设备进行通信[1]。假设一个大的未划分子广播域的局域网内主机数量不变，当这个大的广播域被划分成一个个小的子广播域时，每个子广播域内的主机数量就会减少，那么主机要处理的无用的广播报文就会减少，这样主机的硬件资源就不会浪费。同时，因为每个子广播域内的主机数量减少了，被监听和被病毒感染的可能性也就减小了。

1.2VLAN的实现

VLAN技术的实现是通过在标准以太网帧中插入VLANTAG标记字段来实现的。如图1所示，整个VLANTAG标记共有4个Byte，插入在源地址字段与类型字段之间，这4个Byte中，前2个Byte是用来做VLAN协议标识的，IEEE规范了VLAN的协议标识号为十六进制的8100，即0x8100。后2个Bytes是被用来做TAG控制信息的，其中有3Bit是用户优先级字段，范围为0～7，当网络发生拥塞时，二层设备将根据此优先级进行队列转发。CFI位占用1个Bit，被用在FDDI网络中。后12Bit是整个插入字段中最重要的，它用来表示一个带有VLAN标记的帧属于哪个VLAN，其范围为0～4096。其中1～1001为标准VLAN范围。1006～4094为扩展VLAN范围。1002、1003、1004、1005用作FDDI和令牌环网络，当启用802.1Q协议后，会自动创建，不能删除[2]。

图1　VLAN TAG字段

2虚拟局域网的配置及应用

2.1虚拟局域网的划分

在进行VLAN设计时，首先要考虑的是采用何种方式对VLAN进行划分，划分方式主要有基于端口划分的VLAN、基于MAC地址划分VLAN、基于网络层划分VLAN、根据IP组播划分VLAN，选择合理的划分方式对提高网络的可用性有着较重要的影响，研究者可以根据需要采用相应的划分方式。

2.2虚拟局域网的配置

假设某小型企业有2个部门，要求这2个部门间不可以通信，部门内可以通信，所以通过划分VLAN的方式来进行通信隔离。部门1的所有成员在VLAN10 内，IP地址为192.168.10.0～192.168.10.255。部门2的所有成员在VLAN20内，IP地址为192.168.20.0～192.168.20.255。由于不在一个楼层，所以两部门内部不同楼层成员通信直接通过2台交换机进行互联，拓扑图如图2。

图2　配置实例拓扑图

2.3虚拟局域网的应用

2.3.1局域网内部的局域网

很多企业都拥有自己的局域网，局域网内的成员可能所属在不同的办公地点，不同的楼层。但是由于工作的原因，可能要求在不同办公地点，不同楼层的成员要同属于一个私有的局域网。这个局域网与外部是相互隔离的，而且与外部私有局域网之间是不能互相访问的。要解决这个问题，可行的方案有很多，最适合的方法可能就是采用虚拟局域网的方法来解决。采用此方法，只需收集各部门人员所在的物理位置和与交换机连接的端口信息等。然后，根据这些数据进行VLAN的划分创建虚拟局域网并将有相同网络资源需求的人加入到同一个VLAN中，交换机之间的互联端口采用TRUNK模式，这样可以有效提高网络可用性，增强网络的健壮性和安全性。

2.3.2共享访问

在网络高速发展的今天，企业办公中对网络已经形成了一种依赖。有些企业没有自己的办公楼，只能依靠租用写字楼来办公。而一般的写字楼或者商服，经常只存在一个大的局域网的网络情况，然后将整个大楼出租给不同的单位。大楼本身组建好了自己的局域网，为新加入的单位和客户提供网络接入，这些单位和客户通过共享整个局域网进行Internet的访问。由于整个大楼是一个共享局域网，这对于大楼内的各个单位和客户的独立性无法做到。面对这种情况，通常采用虚拟局域网的解决方案来为不同的单位和客户创建不同的虚拟局域网来做到企业信息的独立性。然后采用中继技术，将路由器所对应的局域网借口配置成中继模式，实现共享接入。

2.3.3交叠虚拟局域网

在没有交叠虚拟局域网的技术之前，交换机的每个端口所在的VLAN是唯一性的。在交叠虚拟局域网的提出后，运行802.1Q的交换机的一个端口可以同时属于多个VLAN。这种技术可以解决一特殊的业务需求，如在企业办公网络环境中，各个部门分数不同的VLAN是互相独立的，而公司的领导部门要求能与各个部门的人员进行通信。为此，只需将领导部门的主机所在的端口划分到各个部门的VLAN中即可[3]。

3虚拟局域网在园区网中的综合应用

通过研究与设计一个园区网的综合实例，从IP划分、VLANID划分以及网络的设计等来展现出VLAN技术在园区网建设中的作用及其所具有的特性。

3.1网络设计[4]

3.1.1网络拓扑的设计

由于是园区网设计，不涉及广域网，所以在设备上大量采用二层设备来进行二层的网络通信数据的交换。园区网中采用Cisco3560用来做核心交换机，进行快速转发，采用Cisco2960做连接用户的交换机。由于该设计中采用了大量的二层设备导致存在广播风暴和用户数据安全的隐患，所以对整个二层网络进行了VLAN划分，用来进行用户数据隔离和防止广播风暴。

3.1.2IP地址的规划

由于园区网络中拥有大量的用户，所以IP地址采用10.0.0.0/8段的IP地址来进行终端网络IP地址的划分，采用192.168.1.0/24的IP地址用来设备间互联地址的划分。

3.1.3VLANID的划分

表1显示的是依据按照端口划分的方法对VLANID的划分。在每个VLAN中都要进行合理的划分，以适应不同的网络变化。

表1　VLAN ID的划分

3.2配置

3.2.1核心交换机的配置

核心层的功能主要是为骨干网络提供高速可靠的数据转发，是一个网络的核心所在。为了提高工作效率，往往很少在其上进行策略配置，而只是进行一些简单的必要的配置，如：设备名字的更改、进入端口和进入端口的路由模式设置、接口IP地址的配置等。

3.2.2汇聚交换机的配置

汇聚层交换机和核心层交换机的作用不同，它们主要起到了汇聚数据的重担。同时，交换机内部内嵌了安全策略，以防止各种网络攻击、网络扫描及对各种硬件ACL的访问权限控制。

3.2.3接入层交换机的配置

关于接入交换机的配置，只需将其与汇聚层交换机连接的端口F0/24设置成trunk模式。然后根据规划要求创建相应的VLAN，最后根据端口划分的方法，将不同的端口划分到不同的VLAN。如将端口1～6加入都VLAN10的命令为：

jieru(config)#interfacerangef0/1-6

jieru(config-if)#switchportaccessvlan10

配置完成后再使用命令showvlanbrief命令查看端口是否配置正确，此处就不赘述。

3.2.4动态路由协议的配置

由于涉及到VLAN间的通信，故需要将核心交换机和汇聚交换机开启三层功能并运行动态路由协议。动态路由协议在此选择OSPF，它是一个链路状态协议，在园区网的建设中被广泛采用。具体配置为：

汇聚层：

jiaoxue_bangong_huiju(config)#iprouting//开启路由功能

jiaoxue_bangong_huiju(config)#routerospf1 //创建OSPF进程

jiaoxue_bangong_huiju(config-router)#network192.168.1.0 0.0.0.255area0//将接口加入OSPF进程

jiaoxue_bangong_huiju(config-router)#network10.0.0.0 0.255.255.255area0

jiaoxue_bangong_huiju(config-router)#

核心层：

sw_hexin(config)#routerospf1

sw_hexin(config-router)#network192.168.1.0 0.0.0.255area0

sw_hexin(config-router)#network10.0.0.0 0.255.255.255area0

sw_hexin(config-router)#passive-interfacef0/5 //将F0/5接口设置为passive模式

路由器配置：

Router(config)#routeospf1

Router(config-router)#network192.168.1.0 0.0.0.255area0

Router(config-router)#exit

Router(config)#iproute0.0.0.0 0.0.0.0f0/0//为出口路由器配置默认路由

配置完成后用showiproute查看动态路由协议是否配置正确。

3.2.5ACL的配置

由于办公楼与教学楼在一个汇聚层，所以在全网做通后，办公楼与办公楼的VLAN可以互相通信，办公楼与教学楼的VLAN不可以互相通信的，为了完成这一目标，应在此汇聚交换机上做标准ACL进行限制，但还要确保它们可以和自己所属VLAN的其他主机所通信。

4结语

首先介绍了VLAN的成因、技术实现方法以及常见的划分和配置方法，然后研究与设计了一个园区网的综合实例，通过使用虚拟局域网技术能够为网络的建设提供高度的灵活性和安全性的保障，为相关工作提供了参考。

[参考文献]

[1]弗鲁姆，西瓦萨布拉玛尼安，弗拉姆．组建cisco多层网络[M].北京：人民邮电出版社，2007.

[2]李宁．虚拟局域网技术的研究[M].北京：中国电脑教育报，2006.

[3]刘晓辉，李利军．局域网组网技术大全[M].北京：人民邮电出版社，2007.

[4]宋成儒．基于Linux嵌入式的视频监控系统设计与应用[D].昆明：昆明理工大学硕士学位论文，2013.

[5]裴纯，龚少卿．园区网络基于核心路由器安全改造浅析[J]. 北京：网络安全技术与应用，2014.

中图分类号：TP393.01

文献标识码：A

文章编号：2095-0063(2015)06-0014-04

收稿日期：2014-06-13

作者简介：赵凯鑫(1981-)，男，黑龙江大庆人，教师，从事计算机网络安全与维护研究。

DOI10.13356/j.cnki.jdnu.2095-0063.2015.06.004