虚拟局域网（ＶＬＡＮ）技术浅析.docVIP

虚拟局域网（ＶＬＡＮ）技术浅析 　　摘要:VLAN作为控制广播风暴,增强网络安全性的一种技术手段,越来越广泛的应用到了局域网当中。文中简要介绍了VLAN的技术特点并结合两个配置实例着重介绍了目前主要的VLAN技术。 　　关键词:VLAN;网络安全;交换机 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-6871-03 　　 　　Virtual Local Area Network (VLAN) Technology Analysis 　　LIAO Lei 　　(Hunan International Economics University Experimental Center,Changsha 410205,China) 　　Abstract: VLAN as a technology means to control broadcast storms and enhance the network security, more widely used among the LAN. The article outlined the characteristics of VLAN technology and examples of combination of the two configurations are mainly focused on the VLAN technology. 　　Key words: VLAN; Network security; switch 　　 　　VLAN(Virtual Local Area Network,虚拟局域网)技术的出现,主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LAN――VLAN,每个VLAN是一个广播域,VLAN内的主机间通信就和在一个LAN内一样,而VLAN间则不能直接互通,这样,广播报文被限制在一个VLAN内。 　　 　　1 什么是VLAN及其优点 　　 　　虚拟局域网(VLAN――Virtual Local Area Network)逻辑上把网络资源和网络用户按照一定的原则进行划分,把一个物理上实际的网络划分成多个小的逻辑的网络。这些小的逻辑的网络形成各自的广播域,也就是虚拟局域网VLAN。由于VLAN基于逻辑连接而不是物理连接,因此配置十分灵活。VLAN在逻辑上等价于广播域,可以将VLAN类比成一组最终用户的集合。这些用户可以处在不同的物理局域网上,但他们之间可以像在同一个局域网上那样自行通信,而且不受物理位置的限制。网络的定义和划分与物理位置和物理连接是没有任何必然联系的。网络管理员可以根据不同的需要,通过相应的网络软件灵活地建立和配置VLAN,并为每个VLAN分配它所需要的带宽。可以设置成每个VLAN子网的用户不能访问其他子网的资源,从而提高网络的安全性。 　　VLAN的优点在于:其一,它把广播域限制在一个VLAN内,节省了带宽,提高了网络处理能力;其二,报文在不同VLAN内传输时是相互隔离的,也就是说不同VLAN内的用户不能直接通信,这样就增强了局域网的安全性。如要相互通讯则必须增加路由器或三层交换机等三层设备;其三,相同或不同物理范围内的用户用VLAN可以划分到同一组或不同的组,这样构建虚拟工作组也就更灵活,维护更方便。 　　 　　2 VLAN的种类划分 　　 　　目前的VLAN技术主要有三种。 　　2.1 基于交换机端口的VLAN 　　VLAN厂商都利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3端口被定义为虚拟网VL1,同一交换机的6,7,8端口组成虚拟网VL2。这样做允许各端口之间的通讯,并允许共享型网络的升级。但是,这种划分模式将虚拟网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。因此,从目前来看,这种根据端口来划分VLAN的方式虽然稍欠灵活但仍然是最常用的一种方式。下面用一台D-Link DES-3326SR三层交换机为某局域网划分为3个VLAN为例简要说明基于交换机端口的VLAN的配置: 　　我们知道VLAN的划分应与IP规划结合起来,使得一个VLAN 接口IP就是对应的子网段,VLAN接口IP就是一个子网关。VLAN应以一定规则划分,如按部门划分,相同部门的主机IP以VLAN接口IP为依据划归在一个子网范围,同属于一个VLAN。这样不仅在安全上有益,而且更方便网络管理员的管理和监控。注意:各VLAN中的客户机的网关分别对