VLAN技术在三层交换机中的应用

张利峰 接雪丽

摘要：本文主要介绍了对企业网络进行VLAN规划。VLAN技术的应用，为企业各信息点的职能调整与扩展提供了便利。交换机中使用VLAN还可控制企业网络广播风暴，防止IP地址盗用，提高企业网络的安全性能，帮助企业实现节约资源;VLAN技术是目前实现城域网中校园及企业互联共享最有效、最经济的解决方案。

关键词：局域网;VLAN技术;交换机

中图分类号：TP393      文献标识码：A

文章编号：1009-3044（2019）26-0034-02

开放科学（资源服务）标识码（OSID）：

大型规模的网络建设中，以千兆三层交换机为核心的主流网络模型应用已尤为广泛。传统的LAN技术存在弊端：如果有两台甚至更多台计算机同时借助LAN通信总线发送数据，信息之间就会发生冲突，甚至丢失数据。并且，一旦冲突发生，就无法再发送数据。这时候发送者能做的只有等到冲突平息，再尝试发送已丢失的数据，这势必会造成时间和资源的极大浪费。为防止冲突被发送给LAN的每一台机器，人们使用了交换机来隔离冲突。随着企业和校园内部对于灵活、动态地组建LAN网段的需求日益增多，虚拟局域网（Virtual LAN）技术应运而生。VLAN技术将一个物理LAN合理划分为不同的虚拟LAN，每一个VLAN又包含一组具有相同需求的计算机工作站，工作站不一定属于同一个物理LAN网段。除此之外，在划分VLAN时，路由器只被用于不同的VLAN间承担通信任务，VLAN技术使用桥接软件来决定哪台计算机工作站在哪个VLAN里，实现了网络管理的灵活性，高效性及安全性。使用VLAN能控制校园网广播风暴，防止IP地址盗用，提高校园网安全性能，帮助学校实现无线漫游功能。

1  需求分析

1.1  VLAN需求划分

VLAN将局域网设备从逻辑上划分成一个网段，实现了虚拟工作组的新兴数据交换技术，主要应用于交换机和路由器中，主流应用还是交换机。常用的划分方法有：1）基于端口划分; 2）基于网络层协议划分;3）基于MAC地址划分VLAN。

本网络采用基于端口划分VLAN，这种技术根据以太网交换机的交换端口划分。主要原理是将VLAN交换机的物理端口和内部PVC端口分成若干个组，每组构成一个虚拟网，成为独立的虚拟VLAN交换机。无形中节省了成本。

1.2 拓扑需求描述

企业中有业务部门，行政部门，人力资源部门，财务部和总经理办公室，业务部门有一台PC2;行政部门有一台PC3;人力资源部门有两台PC，分别是PC4和PC5，两台PC之间可以互通;财务部门有两台PC，PC7和PC8，两台PC之间不可互通。总经理办公室一台PC6基于IP划分VLAN。

PC4和PC5可以访问PC6，不可以访问其他PC;PC2和PC3不可访问其他PC;PC7和PC8不互通，均可访问PC6，不可访问其他PC。网络拓扑图如图1所示。

2 VLAN介绍

2.1 VLAN

VLAN的中文名为“虚拟局域网”，是一组逻辑上的设备和用户，不受物理位置限制，将部门功能及应用组织起来，相互间的通信如同在同一网段。VLAN工作在OSI参考模型的第2层和第3层，一个VLAN就是一个广播域，通信是通过第3层路由器或三层交换机完成。

在划分vlan前，必须要了解华为交换机的端口类型，以及他们的使用方法，因为端口的类型在实际配置中是必须会用到的。

Access类型端口：执行命令port default vlan vlan-id，将端口加入指定的VLAN中。只能属于1个VLAN，一般用于连接计算机端口;

Trunk类型端口：Trunk类型端口允许多个VLAN通过;

Hybrid类型端口：选择执行其中一个步骤配置，可以允许多个VLAN通过，发送和接收多个VLAN 报文。

关于vlan的划分方法有很多，项目应用中较多的方法就是基于端口划分vlan、基于mac地址划分vlan熟悉划分方法，以便于根据实际项目进行应用。

2.2  vlan的划分方法

2.2.1 基于端口的vlan划分方法

企业内交换机连接的有很多用户，且相同业务的用户通过不同的设备接入企业的网络。为了通信安全性，也为了避免广播报文的泛滥，企业希望业务相同的用户之间可以相互访问，业务不同的用户不能直接去访问。可以在交换机上配置基于端口划分VLAN，把业务相同的用户连接的端口划分到同一VLAN。也就是不同VLAN的用户不能直接进行二层通信，同一VLAN内的用户可以直接互相通信。

配置步骤如下：

步骤1 在核心交换机2创建VLAN 20 、VLAN 30 、VLAN100、VLAN 200、，并将连接用户的端口分别加入VLAN。SwitchB配置与SwitchA类似，不再赘述。

步骤2 配置SwitchA上与SwitchB连接的端口类型及通过的VLAN。SwitchA配置与SwitchB类似。

2.2.2 基于MAC地址vlan划分方法

网络管理者将同一部门的员工划分到同一VLAN。为了提高部门内的信息安全，要求只有本部门员工的PC才可以访问公司网络。PC6为本部门员工的PC，要求这几台PC可以通过SwitchD访问公司网络，如换成其他PC则不能访问。可以配置基于MAC地址划分VLAN，将本部门员工PC的MAC地址与VLAN绑定。

作用：使处于相同子网的vlan实现广播隔离。

Super-vlan，只建立在三层接口。不包含物理端口，是若干sub-vlan的集合。

Sub-vlan，只包含物理端口，不能创建三层接口，用于隔离广播域的VLAN，通过Super-VLAN与外部实现三层交换。

通信原理：

1） 使能Sub-VLAN间的ARP Proxy功能，实现Sub-VLAN间互通;

2） Sub-VLAN与外部网络的二层通信;

3）Sub-VLAN与外部网络的三层通信。

拓扑PC2和PC3应用super-vlan效果图如图3所示：

3 结语

通过分析布局已基本展现了网络工程硬件设计的全部过程，建设网络对于企业和学校意义重大，需经过周密论证、谨慎决策、科学的管理。企业的网络建设必定会对企业的信息化建设起到重要的推动作用，为企业办公提供有效、便捷的环境，为高效通信带来便捷。

参考文献：

[1] 孙广军.局域网组建及应用[Z].北京：高等教育出版社，2012.

[2] 张国清，孙丽萍，杨宇.高级路由技术[Z].北京：电子工业出版社，2016.

[3] 胡永波.IP网络拓扑自动发现的研究与实现[C]. 北京邮电大学，2007.

[4] 华为技术有限公司.HCNA网络技术试验指南[Z].北京：人民邮电出版社，2017.

【通联编辑：光文玲】