局域网中VLAN的部署与应用

摘要：虚拟局域网（即VLAN）是局域网上一组逻辑的接入设备或用户，可以根据功能、部门、应用等因素将这些设备或用户组成群体，从而起到逻辑隔离、访问控制或者性能优化的作用，不用考虑这些设备或者用户所处的物理位置，可以通过管理软件在交换机上对VLAN进行配置。本文简述了VLAN技术、VLAN的特点和部署应用过程；划分和配置VLAN时要点和应注意的事项。

关键词：802.1Q协议 虚拟局域网 子网掩码 网关

中图分类号:TP393文献标识码：A文章编号：1007-9416(2011)09-0115-02

Use vlan technology in lan

GONG Dianqing Han Jie Hu Bin

Northwest Institute of Nuclear Technology,Shanxi Xi’an,China,710024

Abstract：Vlan is virtual local area network.This paper describes how to realize vlan technology in lan.It discusses in detail vlan’s designing and realizing in one enterprise’s lan.It also tells the basic of vlan and the adverting to a problem when opening vlan.

Key words:802.1Q protocol VLAN Subnet mask Gateway

在大型网络中，如果网络节点都处于同一个平面广播域内，广播流量的增加会引起广播风暴，很大程度上会降低了有效网络带宽，为了抑制广播流量，提高有效网络带宽，就需要在局域网内根据VLAN的特点划分、部署、评价、改进VLAN的应用。

1、VLAN技术

VLAN（Virtual Local Area Network）是在OSI参考模型的第二层（数据链路层）上通过数据包VLAN标记对交换机转发端口进行识别、对应转发实现的隔离技术。VLAN能够将广播包控制在一个VLAN内部，由于减少了广播域的节点数，所以，不容易引起广播风暴。

大型网络由于节点多，划分VLAN后使节点的广播域缩小，网络中广播包消耗带宽所占的比例会大大降低，网络的性能得到显著的提高。这种VLAN的划分就相当于隔离一样，将一组（VLAN）为单位的节点之间进行了封闭，阻止了组与组（VLAN与VLAN）节点之间的通讯，这对交换性能和安全的提升是有好处的。如果，VLAN与VLAN之间的节点有互通的需要，就必须采用路由技术来实现，这就是为什么凡大型网络的在汇聚层和核心层均采用三层路由交换机的原因。

2、VLAN的划分和协议

一般交换机的VLAN划分分以下方法：(1)按照网络中交换机端口划分VLAN；(2)按照网络中节点MAC地址划分VLAN；(3)按照节点的IP子网划分VLAN；(4)按照节点通讯使用的协议划分VLAN。

基于交换机端口的VLAN是目前最常用的一种划分方法，以交换机的端口划分VLAN就是把一个或多个交换机上的几个端口划分成一个逻辑组。

此种划分方法的优点是只需要在交换机上按照一个VLAN中所有节点配置同样数量的端口，然后每个端口与节点所处物理位置对应跳线，适用于网络用户比较固定的情况。VLAN的网络配置与节点类型、协议、地址等均无关。缺点是当一个VLAN中的节点由一个交换机移动到另一个交换机所处的接入位置时，需要将这个节点所处的VLAN ID在新交换机的一个端口上配置出来。

基于节点MAC地址的VLAN划分方法，是以节点的MAC地址作为判定VLAN的方法，这就需要首先知道节点的MAC地址，因此在使用这种VLAN之前，网络管理员需要首先收集网络中节点的MAC地址，同时，要将这些MAC地址与实际的节点和VLAN号一一对应。

这种方法比较适合于网络节点经常从一个地方移动到另外一个地方，但网络节点又不是经常更换的情况。否则，收集MAC地址不仅繁琐，而且很多网络用户并不了解MAC地址是做什么用的，管理复杂。但对利用工具改变MAC地址的懂行人来说，又是很危险的。

基于IP子网的划分VLAN方法，是交换机在三层实现的特性。交换机端口接收到数据包以后，要解包到网络层，识别到IP地址和掩码，根据IP地址和子网掩码来定义VLAN。

这种方法对网络的管理要求少，用户只要按照分配的IP地址和掩码配置就能自动划分到需要的VLAN里，但安全性比较低，只要知道整个网络中的子网划分范围，只需要改变自己的客户端的IP地址和掩码就能登录任何一个VLAN中，这是比较危险的。

基于协议的VLAN划分方法，主要是网络内存在两种或多种协议的情况下，如IPX、IP等，这样运行同样协议的客户端组成一个VLAN。

这种方法兼顾到之前使用的NOVELL公司的网络客户端和渐渐一统天下的IP网络的客户端。已经很少使用了。

VLAN协议由IEEE802.1Q协议完全定义。在标准的以太网帧上，增加一个叫Tag的VLAN标记来识别不同的VLAN。

实际上，VLAN划分之后，在交换机和交换机之间是有着VLAN信息的声明和注册传递的，这种信息的传递使用一个协议叫GVRP协议。是GARP通用属性注册协议的一种应用。由于新的交换机默认是打开并接受其他交换机的声明并注册VLAN信息，所以，很多的网络管理员并没与意识到这个协议的存在。比如，我们想在一台交换机上完全屏蔽网络其他部分运行的VLAN信息，就可以通过设定GVRP的类型来做到。

3、局域网VLAN实现

3.1 交换机的端口类型

以H3C的交换机为例，其交换机的端口有三种链路类型：Access Link、Trunk Link和 Hybrid Link。

Access link：端口只能允许某一个VLAN的untagged数据流通过。一般的节点（如PC）均配置成这种类型。

Trunk link：端口允许多个VLAN的tagged数据流和某一个VLAN的untagged数据流通过。一般用于交换机与交换机之间的互联使用，上联和下联都可以。

Hybrid link：端口允许多个VLAN的tagged数据流和多个VLAN的untagged数据流通过。用于资源共享的链路和H3C定义的Isolate-user-VLAN。

Tagged指的是802.11Q协议的标记。

默认情况下，交换机的端口都是Acccess Link状态，全部都在VLAN1中。

3.2 在交换机上配置VLAN

连接交换机后进入主配置界面。

system-view/进入特权模式。

3.2.1 创建VLAN

[Switch] interface vlan-interface x /进入管理VLAN x接口配置界面。

3.2.2 配置VLAN的IP

[Switch-vlan-interface x] ip address 117.112.150.254 255.255.255.0

/定义VLAN 1 IP地址和子网掩码。

3.2.3 给VLAN命名

[Switch-vlan x] name cwb /定义VLAN x的名字为cwb。

3.2.4 输入描述信息

[Switch-vlan x] description caiwubu /定义VLAN描述信息为caiwubu。

… … /按以上步骤创建其他用户VLAN。

3.2.5 给VLAN增加成员端口

[Switch-vlan x] port 0/1 ，0/4，0/7 /按照交换机端口号加入VLAN中，端口序号由槽号/端口号的二元组或者单元号/槽位号/端口号的三元组组成

3.2.6 设置互联端口

[Switch] interface GigabitEthernet 1/0/2

[Switch] interface GigabitEthernet 1/0/2] port link-type trunk

/将端口连接类型设置成trunk模式。

[Switch-interface GigabitEthernet1/0/1] port trunk permit vlan all

/将端口设置成允许所有VLAN通过。

以上每个命令前加上“undo”即为删除该命令定义的各参数。

4、VLAN配置要点

4.1 交换机的配置管理

所有交换机之间的互联端口必须配置成Trunk Link类型；

多级级联交换机配置VLAN时，除了最底层交换机上建立VLAN并将其上行端口设置成Trunk Link（或tagged）模式，还需要在与其上行级联的所有交换机上建立相应的VLAN，将将其下行端口设置成Trunk Link（或tagged）模式，并允许所设的VLAN通过。

交换机端口设置成Access Link（或untagged）模式，就可以接PC，也可连集线器后再连多台PC。

对于不支持802.1Q协议的交换机，可以连接到交换机的Access Link端口作集线器使用。

某些型号交换机配置VLAN或IP后需要设置为非关闭（no shutdown）状态才可生效，需要额外设置。

有些类型的交换机需要重新启动交换机后才能使当前设置信息生效，重启交换机前应保存当前配置，防止配置信息重启后丢失。

配置好交换机的VLAN之后，为方便远程管理，还应配置交换机的网络属性：IP地址、子网掩码和网关，这三者要与定义的管理VLAN一致。同时设置远程交换机的虚拟登录用户名和密码，只有这样，才能进行远程管理。

4.2 故障排查

网络中VLAN的划分应分层次一台一台的进行，如果发现某些PC或者终端设备不能联通服务器，在确保物理连接没有故障的前提下，应该检查VLAN的配置。

另外，不属于同一个VLAN的设备要通过网关才能访问，所以，首先要检查网关的连通性，同时也要在PC或者终端上配置网关地址等。

5、结语

本文描述了一般VLAN的划分策略，同时，给出了H3C交换机配置VLAN的一些概念、步骤和过程，对遇到的问题和注意事项进行了总结。不同品牌交换机都有自己的操作系统和配置命令，但步骤和过程相同，命令和格式大同小异，操作时要认真阅读厂家提供的操作手册。在大型网络中部署应用VLAN，既适应了单位内部不同部门的行政管理，又能达到安全使用网络的目的。从专业的角度，VLAN的划分提高了网络的性能，满足网络安全的要求，在三层交换机的支持下又不影响大范围的相互通讯，已成为网络中的最常用配置。

参考文献

[1]王文寿,王珂.网络管理员必备宝典－网络应用.北京:清华大学出版社,2006.

[2]David Passmore,John Freeman.虚拟局域网技术.3com网站,2002.

[3]韩文智,蒋文彬.VLAN间的通信方式.,2005(9).

[4]双木.网络管理.中国电脑教育报,2003(4).

[5]务实.VLAN技术在企业网络中应用.天极网,2005(6).

[6]刘郁恒.通过简单的实验深入透析子网掩码.网关与ARP协议的作用.中国IT实验室,2002(11).

作者简介

宫殿庆（1965－），男，北京，学士学位，高级工程师，主要研究领域为计算机系统管理及网络应用开发。