VLAN技术探究及其在网络管理中应用.doc

VLAN技术探究及其在网络管理中应用 　　摘 要：VLAN技术为网络应用和网络管理提供了一种有效的解决方案，它不仅优化了网络的性能，而且还增加了网络管理的灵活性和网络的安全性。本文通过对VLAN技术研究，进而探讨其在网络管理中的应用 关键词：VLAN技术；网络管理；虚拟局域网；企业网 1 VLAN技术在网络管理中的优势 1.控制广播风暴，提高网络性能 局域网中广播通信很多。广播流量在通过交换机时，将向交换机的各个端口扩散，从而给网络带来潜在的流量负担，并延误了其它流量的通信，更为严重的是，当交换网络被广播报文充满时即形成广播风暴，用户就无法正常使用网络。对于网络广播风暴的控制主要有物理网络分段和逻辑分段两种方式，前者是利用路由器，后者即使用VLAN技术。后者更灵活，效率更高 2.简化网络管理，有利于控制管理成本 VLAN划分有利于控制管理成本。对于没有划分VLAN的交换式以太网，如果对某些用户进行新的网段划分，则需要网络管理员对该网络系统的物理结构进行再一次的调整，搬动设备，甚至于需要额外增加网络设备，从而增加了网络管理的成本。目前，网管软件可灵活、方便地划分VLAN，图形化界面隐藏了设计、配置和管理VLAN的复杂性，减少了网络管理带来的开销 3.提高了网络的整体安全性 建立VLAN后，同一VLAN内的计算机之间直接通信，不同VLAN间的通信要通过路由器的网关进行路由选择，这样不仅隔离了基于广播的信息，网络管理员还可以通过利用IOS ACL、VLAN ACL等技术实现VLAN之间的访问控制，访问控制可以是基于IP地址、协议、端口、甚至是MAC地址的，可以是单向的也可以是双向的，可以是VLAN之间的也可以是VLAN内部。网络管理员可以基于应用类型和访问特权进行逻辑工作组的划分，被限制的应用程序和资源一般置于安全的VLAN 4.一定程度上控制了网络内部IP地址的盗用 目前，园区网络具有终端用户节点数量多的特点，用户数量的增多使得网络IP地址盗用亦相应增加，严重影响了网络的正常使用。在建立VLAN后，网内任何一台计算机的IP地址均必须在分配给该VLAN的IP地址范围内，否则将无法通过路由器的审核，因而也就不能进行通信。如此，就能有效地将IP地址的盗用控制在一个VLAN之内 2 VLAN的类型及划分原则 1.基于物理端口的VLAN划分 基于端口的划分方式是最简单也是最常用的，这种划分是把一个或多个交换机上的几个端口划分成一个逻辑组，该方法只需网络管理员对网络设备的交换端口进行重新分配即可一，不用考虑该端口所连接的设备，目前绝大多数厂商的交换产品均支持这一功能 2.基于MAC地址的VLAN划分 基于MAC地址进行VLAN划分，突破了地域限制，也可以理解为是基于用户策略的划分方法，方便了用户的移动办公，即一个用户从网络的一个地方移至另一个地方，其计算机设置及整个网络设置不用任何变化，重新接入网络即可使用，用户仍属于原有的VLAN。这种划分方法还允许一个用户即一个MAC地址属于多个VLAN，增加了网络逻辑划分的灵活性。其缺点在于收集用户MAC地址及利用这些地址进行设置的工作还是非常繁琐的，用户需要追加网络设置。当然，现在交换机厂家一般提供图形化管理工具 3.基于协议的VLAN划分 基于协议的VLAN划分即基于OSI的第三层网络层来划分VLAN。如运行IP协议的用户划分成一个VLAN，运行IPX协议的用户划分成另一个VLAN。支持这种划分策略的交换机必须能读懂数据包的第三层信息，分清楚数据包的协议类型。在某些情况下这种划分方法还是很有用的，如在一个大型网络中，由于历史的因素，有多种网络协议类型存在，将IPX协议用户划分在一个VLAN中，可以将IPX产生的SAP（Service Advertisement Protocol）广播控制在一定范围，提高网络通信的性能。在实际应用中，这种划分方法一般与基于MAC地址、基于IP的划分方法混合使用，使得网络管理更加灵活 4.基于IP的VLAN划分 更加高级的基于第三层的VLAN划分方法是基于IP的VLAN划分，主要应用在TCP/IP网络中。支持这种划分方法的交换机需要读懂第三层信息即支持第三层交换，如读懂数据包的IP地址，当然交换机并不进行路由，只是判断数据包的目的地址，送到交换机相应端口。IP网络中，通过IP地址及子网掩码可以决定一台计算机所属的逻辑网段，但在二层交换网络中，广播数据并未被控制在逻辑网段内，整个物理网段的计算机都会接收到广播数据包，只不过接收方会简单地丢弃不属于自己的数据包。基于IP地址划分VLAN，可以将广播控制在一定的逻辑网段内 3 案例应用研究 1.实例 校园网是学校实