交换机VLAN技术在局域网中应用

摘 要：随着在局域网中计算机、交换机等网络设备数量的不断增加，网络流量也随之增大，而网络中的广播风暴、安全性等问题就凸显出来，如果能很好的应用交换机的虚拟局域网（vlan）技术就能很大程度的解决这些问题。本文介绍了vlan的相关知识，以便能给网络管理者以相应的启示。

关键词：交换机 vlan技术 广播风暴 安全性

中图分类号：g4 文献标识码：a 文章编号：1673-9795（2013）04（b）-0169-01

交换机在局域网中占有重要的地位，通常是整个网络的核心。而交换机最重要的作用就是转发数据，保持其高效的数据转发速率，不受到攻击和干扰，如何能对访问和存取网络信息的用户进行区分和权限控制，还能配合其他网络设备，对非授权访问和同网络攻击进行阻止。要实现这些操作就是依赖对交换机实施设置而实现的，其中的vlan（虚拟局域网）划分又是其重要所在。vlan划分是通过软件方法实现，因此，它具有很高的灵活性。 1 先来了解vlan的作用

vlan是一种在局域网内将网络从逻辑上划分成一个个不同的网段工作组，从而实现虚拟工作组的技术。一个vlan就是一个广播域，与用户主机的物理位置没有关系。一个vlan看不到另一个vlan的存在。

vlan技术的出现，使得管理员能按管理、工作、重要性需求，把

原本一个物理局域网内的不同主机从逻辑上划分成不同的广播域（即valn），每一个vlan都包含一组有着相近需求的主机，与原本物理上形成的局域网有着相同的属性。由于它是从逻辑上划分，而不是在物理上划分，所以同一个vlan内的各个主机没有限制在同一个物理范围中，即这些主机有可能在不同物理局域网网段。由vlan的特点可知，一个vlan内部的广播和单播流都不会转发到其他vlan中，从而有效控制网络流量、简化网络管理、提高网络的安全性。它在广播抑制、安全性、动态组网等方面具有原本一个物理lan无法比拟的优越特性。 2 再看vlan技术的特点 2.1 简化网络管理

网管采用vlan技术能进一步管理整个局域网络。例如，网络内部主机用户由于工作调整，人员在部门间调动，需要将要变动的人员的主机归入相应的新的工作组。如果采用了vlan技术，网管只需更改交换机上的设置，就能迅速地建立适应新需要的vlan网络，不用花时间和人力去移动计算机。

2.2 减少网络上不必要的广播，阻止广播风暴

大量的广播在一个lan内出现就可以形成广播风暴，vlan可以提供建立类似防火墙的机制，防止过量广播或控制广播范围。使用vlan技术，可以将某个交换端口或用户赋予某一个特定的vlan组，该vlan组可以在一个交换机中，也可以跨接多个交换机，在一个vlan中的广播不会送到别的vlan。所以就是相邻的端口如果所属

不同vlan，也不会收到其他vlan产生的广播。这样可以减少广播流量，降低交换机通信压力。 2.3 加强网络的安全性

一个vlan是一个单独的广播域，vlan之间相互隔离，确保了网络的安全保密性。人们在局域网上经常传送一些需要保密的关键数据。一个有效和容易实现的方法是将网络分段成几个不同的广播域，网管限制了vlan中主机用户的数量，禁止未经授权而访问网络的用户。交换端口可以按应用类型和访问特权来进行分组，被限制的资源置于安全性较高的vlan中。 2.4 便于监督网络

网络监督和管理，网管可以通过网管软件可以查询vlan间和vlan内通信的数据包的分类信息，以及应用数据包的分类信息。通过划分vlan可以使网络管理变的更加简单、有效。 3 vlan在交换机上实现方法 3.1 按端口划分

按端口划分的vlan也称为静态valn，是实际应用中最常见的一种。一台或都一组交换机可以理解成由很多个交换机端口组成的，我们就可以其中的端口利用vlan方法重新分组来构成一个个虚拟局域网，相当于一个独立lan。

这种按端口的vlan配置简单可行，可以利用一条命令成组的进行操作，有较高的安全性，也便于监控，适合主机相对固定的场所。所以这种方法缺点在于无法自动解决设备移动，不允许用户主机移

动，一旦用户主机移动到一个新的位置（更换交换机端口），网管必须重新配置vlan。

3.2 按主机mac地址划分vlan

按主机mac地址划分vlan，这样又可以理解成每个vlan都是一群mac地址集合。这种方法可以允许一个主机同时属于多个vlan，当主机在网络中移动时（更换交换机端口），vlan能自动识别它所属的vlan，保留其所属vlan的成员身份。

从这种划分的机制可以看出，当用户物理位置移动时，即使从一个交换机换到其他的交换机，都不用重新配置vlan，因为它是基于用户，而不是基于交换机的端口。这种方法的缺点必须查找每一台主机用户的mac再进行单个配置，配置工作量会很大，所以按主机用户mac地址划分vlan通常适用于小型局域网。 3.3 按ip地址划分vlan

按ip地址划分vlan是基于第三层（网络层）ip子网来构造的vlan。划分时交换机将每一台主机的mac地址和它的ip地址对应关联起来，使用主机的ip地址来配置vlan。这种方法的优点是用户主机可以随意移动而不用重新配置ip地址，一个vlan可以扩展到多个交换机端口，也可以用一个端口来对应多个vlan；缺点三层的交换机检查网络层地址要花费时间，而维护地址表也增加管理负担。

3.4 按子网划分vlan

ip地址规定由网络号和主机号两部分组成，网络号表示所在的是

哪一个网络（子网），主机号表示的是具体网络内的哪一台主机。一个子网就是一个ip组播组，这样就可以根据网络中不同子网来划分每个vlan。这种方法灵活，而且也很容易通过路由进行扩展，适合于在不同地理范围的局域网用户组成一个vlan。 3.5 按策略划分vlan。

按策略划分的vlan能实现多种分配方法，包括交换机端口、mac地址、ip地址等，可以把不同方法组合成一种新的策略来划分vlan。当一个策略被指定到一个交换机，该策略就在整个网络上应用。其方法的核心是采用什么样的策略，网管可根据实际情况选择最合适的方式。 4 结论

vlan最大的优点就是在不过多增加网络成本的前提下，增加了网络管理的灵活性，并且降低了广播占用的带宽，维护和操作比较方便。目前，局域网技术发展很快，从传统lan发展到vlan逐渐趋向动态化，局域网技术前进了一大步，并已经得到了广泛的推广和应用。作为网络管理者应紧跟网络技术发展，与时俱进提高网络整体性能。本文从vlan技术作用和使用方法等方面作了简明的阐述，希望能对关于网络研究和管理感兴趣的读者起到一定的帮助和启发作用。 参考文献

[1] 张国清.网络设备配置与调试[m].电子工业出版社，2009. [2] 张选波，王东，等.设备调试与网络优化[m].科学出版社，

2009.

[3] 孙波.计算机网络技术[m].机械工业出版社，2010.