史穗宗

摘 要：VLAN技术为网络应用和网络管理提供了一种有效的解决方案，它不仅优化了网络的性能，而且还增加了网络管理的灵活性和网络的安全性。本文通过对VLAN技术研究，进而探讨其在网络管理中的应用。

关键词：VLAN技术；网络管理；虚拟局域网；企业网

1 VLAN技术在网络管理中的优势

1.控制广播风暴，提高网络性能

局域网中广播通信很多。广播流量在通过交换机时，将向交换机的各个端口扩散，从而给网络带来潜在的流量负担，并延误了其它流量的通信，更为严重的是，当交换网络被广播报文充满时即形成广播风暴，用户就无法正常使用网络。对于网络广播风暴的控制主要有物理网络分段和逻辑分段两种方式，前者是利用路由器，后者即使用VLAN技术。后者更灵活，效率更高。

2.简化网络管理，有利于控制管理成本

VLAN划分有利于控制管理成本。对于没有划分VLAN的交换式以太网，如果对某些用户进行新的网段划分，则需要网络管理员对该网络系统的物理结构进行再一次的调整，搬动设备，甚至于需要额外增加网络设备，从而增加了网络管理的成本。目前，网管软件可灵活、方便地划分VLAN，图形化界面隐藏了设计、配置和管理VLAN的复杂性，减少了网络管理带来的开销。

3.提高了网络的整体安全性

建立VLAN后，同一VLAN内的计算机之间直接通信，不同VLAN间的通信要通过路由器的网关进行路由选择，这样不仅隔离了基于广播的信息，网络管理员还可以通过利用IOS ACL、VLAN ACL等技术实现VLAN之间的访问控制，访问控制可以是基于IP地址、协议、端口、甚至是MAC地址的，可以是单向的也可以是双向的，可以是VLAN之间的也可以是VLAN内部。网络管理员可以基于应用类型和访问特权进行逻辑工作组的划分，被限制的应用程序和资源一般置于安全的VLAN。

4.一定程度上控制了网络内部IP地址的盗用

目前，园区网络具有终端用户节点数量多的特点，用户数量的增多使得网络IP地址盗用亦相应增加，严重影响了网络的正常使用。在建立VLAN后，网内任何一台计算机的IP地址均必须在分配给该VLAN的IP地址范围内，否则将无法通过路由器的审核，因而也就不能进行通信。如此，就能有效地将IP地址的盗用控制在一个VLAN之内。

2 VLAN的类型及划分原则

1.基于物理端口的VLAN划分

基于端口的划分方式是最简单也是最常用的，这种划分是把一个或多个交换机上的几个端口划分成一个逻辑组，该方法只需网络管理员对网络设备的交换端口进行重新分配即可一，不用考虑该端口所连接的设备，目前绝大多数厂商的交换产品均支持这一功能。

2.基于MAC地址的VLAN划分

基于MAC地址进行VLAN划分，突破了地域限制，也可以理解为是基于用户策略的划分方法，方便了用户的移动办公，即一个用户从网络的一个地方移至另一个地方，其计算机设置及整个网络设置不用任何变化，重新接入网络即可使用，用户仍属于原有的VLAN。这种划分方法还允许一个用户即一个MAC地址属于多个VLAN，增加了网络逻辑划分的灵活性。其缺点在于收集用户MAC地址及利用这些地址进行设置的工作还是非常繁琐的，用户需要追加网络设置。当然，现在交换机厂家一般提供图形化管理工具。

3.基于协议的VLAN划分

基于协议的VLAN划分即基于OSI的第三层网络层来划分VLAN。如运行IP协议的用户划分成一个VLAN，运行IPX协议的用户划分成另一个VLAN。支持这种划分策略的交换机必须能读懂数据包的第三层信息，分清楚数据包的协议类型。在某些情况下这种划分方法还是很有用的，如在一个大型网络中，由于历史的因素，有多种网络协议类型存在，将IPX协议用户划分在一个VLAN中，可以将IPX产生的SAP（Service Advertisement Protocol）广播控制在一定范围，提高网络通信的性能。在实际应用中，这种划分方法一般与基于MAC地址、基于IP的划分方法混合使用，使得网络管理更加灵活。

4.基于IP的VLAN划分

更加高级的基于第三层的VLAN划分方法是基于IP的VLAN划分，主要应用在TCP/IP网络中。支持这种划分方法的交换机需要读懂第三层信息即支持第三层交换，如读懂数据包的IP地址，当然交换机并不进行路由，只是判断数据包的目的地址，送到交换机相应端口。IP网络中，通过IP地址及子网掩码可以决定一台计算机所属的逻辑网段，但在二层交换网络中，广播数据并未被控制在逻辑网段内，整个物理网段的计算机都会接收到广播数据包，只不过接收方会简单地丢弃不属于自己的数据包。基于IP地址划分VLAN，可以将广播控制在一定的逻辑网段内。

3 案例应用研究

1.实例

校园网是学校实现数字化校园和现代化教学（如无纸化办公、无纸化考试、远程教学等）的基础。随着各学校的不断发展及计算机技术的普及应用，为了适应时代发展的新需求，学校的网络系统也需要逐步进行升级改造。下面以我校的教学区为例。

1.1 需求分析

目前我校有5个系及其他职能部门，为了将其纳入整个校园网系统进行集中统一规划和管理，需要采用统一的通信协议、路由协议；主干网从高速交换链路连接各子网；各子网内部为交换网络，形成两个层次的平面网络；主干网包括高速交换机、VLAN路由等。

1.2 VLAN规划

根据我校的实际需求情况，目前将整个校园网络划分为8个VLAN。其VLAN划分如表2：

1.3 设备选择

校园网核心交换机采用STAR-S5610，其二级交换机STAR-S2024M，而且STAR-S2024M具有堆叠能力，可以随时扩充工作站容量，并且支持PortVLAN和802.1Q TagVLAN两种VLAN模式，完全满足目前我校对网络的各项需求。

1.4 VLAN设计

根据需求分析按系部和职能部门来划分VLAN，以保证各个部门之间的隔离性和安全性，其拓扑结构如图2所示。设计原则：（1）划分VLAN根据：由于学校各部门的地理位置不同，对网络需求也不尽相同，所以对VLAN的划分采取按部门划分为主，按地理位置划分为辅的方法。对具有相同工作性质的部门，划分在同一VLAN中；（2）灵活性：VLAN根据校园网拓扑结构和应用需求的变化而进行调整；（3）安全性：将有特殊要求的部门划分在特殊的VLAN中。隔离监听，防止广播风暴产生。（4）经济性与可扩充性：在满足学校各需求的前提下，尽量选用性价比高的网络设备和服务器。

4 结束语

本文深入分析了VLAN技术的特点极其在网络管理中的优势，并通过案例应用阐述了VLAN技术在网络管理中的應用。随着企业及学校的不断发展壮大，网络用户也将随之增多，如何对企业及校园网络进行科学有效的管理是每一位网络管理员都要面对的重要课题。VLAN 作为一种新型的网络技术，突破了地域的限制，在网络管理中具有管理便捷性、网络安全性、网络配置灵活、功能易拓展性以及按需划分网段等特点，因此具有巨大的发展空间和良好的应用前景。

参考文献

[1]徐超汗.计算机网络及其解决方案[M].北京：电子工业出版社，1999.

[2]Karen Webb.组建CISCO分层交换网络[M].北京：人民邮电出版社，2000.