畢業(yè)論文-淺析vlan及其安全性

1、<p><b>　　畢 業(yè) 論 文</b></p><p><b>　　內(nèi) 容 摘 要</b></p><p>　　無線通信和Internet的迅速發(fā)展給人們的生活方式和生活質(zhì)量帶來了巨大變化，大家隨時隨地瀏覽新聞、收發(fā)電子郵件、欣賞多媒體影音、聊天、對戰(zhàn)網(wǎng)絡游戲、不受空間限制[1]的享受生活的樂趣。</p><p&

2、gt;　　本文在設計中，采用了VLAN技術(shù)，通過將局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組[2], 在不改動網(wǎng)絡物理連接的情況下可以任意移動工作站組成新的邏輯工作組或虛擬子網(wǎng)，從而提高了系統(tǒng)的運作性能, 起到了均衡網(wǎng)絡數(shù)據(jù)流量, 合理利用網(wǎng)絡資源的作用。有效利用VLAN 技術(shù)，根據(jù)不同需要實施不同策略，統(tǒng)籌規(guī)劃，科學設計，完全可以建設穩(wěn)定性好、管理性強、安全性高的網(wǎng)絡。</p><p>

3、　　[關(guān)鍵詞]無線通信 VLAN 穩(wěn)定性 </p><p><b>　　目 錄</b></p><p>　　1 VLAN技術(shù)背景1</p><p>　　1.1VLAN技術(shù)產(chǎn)生背景1</p><p>　　1.2VLAN技術(shù)的定義1</p><p>　　1.3VLAN技術(shù)的特

4、征1</p><p>　　1.4VLAN技術(shù)的發(fā)展2</p><p>　　1.5VLAN技術(shù)的應用2</p><p>　　1.6VLAN技術(shù)的優(yōu)點2</p><p>　　1.7VLAN技術(shù)的局限性3</p><p>　　2 本課題的意義3</p><p>　　3 VLAN技術(shù)的討論

5、4</p><p>　　3.1TRUNK鏈路技術(shù)4</p><p>　　3.2VTP協(xié)議5</p><p>　　3.3VLAN之間的通信7</p><p>　　3.4VLAN的劃分方式9</p><p>　　3.5VLAN間通信13</p><p><b>　　注釋16&l

6、t;/b></p><p><b>　　參考文獻17</b></p><p><b>　　致謝18</b></p><p>　　1 VLAN技術(shù)背景</p><p>　　1.1 VLAN技術(shù)產(chǎn)生背景</p><p>　　虛擬網(wǎng)技術(shù)(VLAN，Virtual Loca

7、l Area Network)的誕生主要源于廣播。廣播在網(wǎng)絡中起著非常重要的作用，如發(fā)現(xiàn)新設備、調(diào)整網(wǎng)絡路徑、IP地址租賃等等，許多網(wǎng)絡協(xié)議都要用到廣播，局域網(wǎng)通常被定義為一個單獨的廣播域[3]，主要使用集線器或交換機等網(wǎng)絡設備連接同一網(wǎng)段內(nèi)的所有節(jié)點。然而，隨著網(wǎng)絡內(nèi)計算機數(shù)量的增多，廣播包的數(shù)量也會急劇增加，網(wǎng)絡的傳輸效率將會明顯下降。所以當所有的網(wǎng)絡節(jié)點都處于同一個廣播域內(nèi)，這大大增加了網(wǎng)絡中所有設備之間的數(shù)據(jù)流量。隨著網(wǎng)絡的不斷

8、擴充，很有可能出現(xiàn)廣播風暴，導致整個網(wǎng)絡無法使用。在網(wǎng)絡中的數(shù)據(jù)保密要求和網(wǎng)絡的組織結(jié)構(gòu)上的要求等這些問題都促使了虛擬局域網(wǎng)的誕生。</p><p>　　1.2 VLAN技術(shù)的定義</p><p>　　VLAN ( Virtual Local Area Network)即虛擬局域網(wǎng)， 是一種通過將局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成一個個網(wǎng)段從而實現(xiàn)虛擬工作組的新興技術(shù)。虛擬網(wǎng)絡是在整個

9、網(wǎng)絡中通過網(wǎng)絡交換設備建立的虛擬工作組。虛擬網(wǎng)在邏輯上等于OSI 模型的第三層的廣播域， 與具體的物理網(wǎng)及地理位置無關(guān)， 虛擬工作組可以包含不同位置的部門和工作組， 不必在物理上重新配置任何端口， 真正實現(xiàn)了網(wǎng)絡用戶與它們的物理位置無關(guān)。它以其高速、靈活、管理簡便和擴充容易得到了廣泛應用。一方面， VLAN 建立在局域網(wǎng)交換機的基礎(chǔ)之上;另一個方面， VLAN 是局域交換網(wǎng)的靈魂[4]。VLAN 用戶能方便的在網(wǎng)絡中移動和快捷的組建寬帶

10、網(wǎng)絡， 而無需改變?nèi)魏斡布屯ㄐ啪€路。網(wǎng)絡管理員能從邏輯上對用戶和網(wǎng)絡資源進行分配， 而無需考慮物理連接方式。它與普通局域網(wǎng)從原理上講沒有什么不同， 但它與普通局域網(wǎng)最基本的差異體現(xiàn)在: VLAN 并不局限于某一網(wǎng)絡或物理范圍， VLAN 中的用戶可以位于一個園區(qū)甚至國家的任意位置。IEEE于1999年頒布了用以標準化VLAN實現(xiàn)方案的802. 1Q協(xié)議標準草案[5]</p><p>　　1.3 VLAN技術(shù)的特

11、征</p><p>　　VLAN的特性使局域網(wǎng)的通信流量控制和數(shù)據(jù)保密性方面有了很大的提高，VLAN具有以下一些特征：</p><p>　　同一個VLAN中的所有成員共同擁有一個VLAN ID，在邏輯上組成一個虛擬局域網(wǎng)絡；</p><p>　　同一個VLAN中的成員均能收到同一個VLAN中的其他成員發(fā)來的廣播包，但收不到其他VLAN中成員發(fā)來的廣播包。不同的VLA

12、N處在不同的廣播域中；</p><p>　　不同VLAN的成員之間不可相互直接通信，需要通過路由支持才能相互通信，而同一VLAN中的成員通過VLAN交換機可以直接通信，不需路由支持。</p><p>　　1.4 VLAN技術(shù)的發(fā)展</p><p>　　隨著VLAN技術(shù)的逐漸發(fā)展，出現(xiàn)了VLAN中繼協(xié)議和動態(tài)VLAN等技術(shù)，現(xiàn)在寬帶網(wǎng)絡中實現(xiàn)的VLAN基本上能滿足廣大

13、網(wǎng)絡用戶的需求，但其網(wǎng)絡中的流量控制和數(shù)據(jù)保密性仍然存在很多問題?，F(xiàn)在已有的VTP技術(shù)、STP技術(shù)，基于三層交換的VLAN技術(shù)等在VLAN使用中存在網(wǎng)絡效率的問題， IEEE正在制定和完善IEEE802.1S和IEEE802.1W 來改善VLAN的各種技術(shù)。隨著各種技術(shù)的逐步完善，VLAN也將在未來的網(wǎng)絡中發(fā)揮出更多的功能。</p><p>　　1.5 VLAN技術(shù)的應用</p><p>

14、　　現(xiàn)在VLAN主要應用在以太局域網(wǎng)中，也可以用在ATM網(wǎng)絡中。因為現(xiàn)在很多的局域網(wǎng)均采用以太網(wǎng)，所以它適用于現(xiàn)在大部分企業(yè)、學校的局域網(wǎng)中，它能夠隔離不同工作組的數(shù)據(jù)，因為一個VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，所以可以保護用戶的數(shù)據(jù)安全，減少網(wǎng)絡的擁堵情況，提高網(wǎng)絡的傳輸效率。而且同一工作組的用戶也不必局限于某一固定的物理范圍，網(wǎng)絡的構(gòu)建和維護更方便靈活，這些種種的優(yōu)點都使VLAN在局域網(wǎng)中廣泛應用。</p&g

15、t;<p>　　1.6 VLAN技術(shù)的優(yōu)點</p><p>　　增加了網(wǎng)絡連接的靈活性</p><p>　　網(wǎng)絡管理員對網(wǎng)絡工作站可以按業(yè)務功能, 而不必按地理位置分組。VLAN 可以降低移動或變更工作站地理位置的管理費用, 特別是一些業(yè)務情況有經(jīng)常性變動的公司使用了VLAN 后, 這部分管理費用大大降低。</p><p>　　有效地控制網(wǎng)絡上的廣播風

16、暴</p><p>　　VLAN 可以提供建立防火墻的機制, 防止交換網(wǎng)絡的過量廣播風暴。使用VLAN, 可以將某個交換端口或用戶賦于某一個特定的VLAN 組。該VLAN 組可以在一個交換網(wǎng)中或跨接多個交換機, 在一個VLAN 中的廣播風暴不會送到VLAN 之外。同樣, 相鄰的端口不會收到其他VLAN 產(chǎn)生的廣播風暴。這樣, 可以減少廣播流量, 釋放帶寬給用戶應用, 減少廣播風暴的產(chǎn)生[6]。</p>

17、<p><b>　　增加網(wǎng)絡的安全性</b></p><p>　　人們在LAN 上經(jīng)常傳送一些保密的、關(guān)鍵性的數(shù)據(jù)。保密的數(shù)據(jù)應提供訪問控制等安全手段。一個有效和容易實現(xiàn)的方法是將網(wǎng)絡分段成幾個不同的廣播組, 網(wǎng)絡管理員限制了VLAN 中用戶的數(shù)量, 禁止未經(jīng)允許而訪問VLAN 中的應用。交換端口可以基于應用類型和訪問特權(quán)來進行分組, 被限制的應用程序和資源一般置于安全性VLA

18、N 中。</p><p>　　增加了集中化的管理控制</p><p>　　通過集中化的VLAN 管理程序, 網(wǎng)絡管理員可以確定VLAN 組, 分配特定用戶和交換端口給這些VLAN組, 設置安全性等級, 限制廣播域的大小, 通過冗余鏈路負載分擔網(wǎng)絡流量, 跨越交換機配置VLAN 通信, 監(jiān)控交通流量和VLAN 使用的網(wǎng)絡帶寬。這些能力有效地提高了網(wǎng)絡管理程序的可控性、靈活性和監(jiān)視功能,減少了

19、管理的費用[7]。</p><p>　　1.7 VLAN技術(shù)的局限性</p><p>　　隨著網(wǎng)絡的迅速發(fā)展，用戶對于網(wǎng)絡數(shù)據(jù)通信的安全性提出了更高的要求，都要求保證網(wǎng)絡用戶通信的相對安全性,要求能防范各種病毒和攻擊等，現(xiàn)在一般使用的做法是給每個客戶分配一個VLAN和相關(guān)的IP子網(wǎng)，通過使用VLAN，每個客戶被從第二層隔離開，可以防止任何惡意的獲取資料的行為和以太網(wǎng)數(shù)據(jù)的信息探聽[8]。但

20、是，這種分配每個客戶單一VLAN和IP子網(wǎng)的模式造成了巨大的可擴展方面的局限。這些局限主要有以下幾個方面。</p><p>　　VLAN數(shù)目的限制：交換機上固有的對VLAN數(shù)目的限制；</p><p>　　復雜的STP：對于每個VLAN，每個相關(guān)的Spanning Tree的拓撲都需要管理，造成了交換機的巨大負載；</p><p>　　IP地址的緊缺：IP子網(wǎng)的劃分

21、一定會造成一些IP地址的浪費，造成資源浪費；</p><p>　　路由的限制：每個VLAN在路由器或者三層交換機上都需要相應的默認的網(wǎng)關(guān)的配置。</p><p><b>　　2本課題的意義</b></p><p>　　隨著高校信息化建設的不斷深入, 高校網(wǎng)絡建設的規(guī)模也在不斷擴大, 同時校園網(wǎng)多媒體教學、數(shù)據(jù)安全保障以及高速網(wǎng)絡交換的大量應用,

22、 使網(wǎng)絡數(shù)據(jù)流量驟然增大, 各種問題和故障也層出不窮[9]。因此,如何構(gòu)建高效、穩(wěn)定、易管理的校園網(wǎng), 增強校園網(wǎng)的安全性和可控性，已經(jīng)成為高等院校網(wǎng)絡管理人員面臨的重點課題, 也是提高學校信息化應用水平和整體投資效益的關(guān)鍵。</p><p>　　VLAN 技術(shù)在校園網(wǎng)內(nèi)的應用，不但使得校園網(wǎng)絡更加的安全，快速，并且也減輕了網(wǎng)絡管理員的工作，保證了各個部門不同的要求和信息的安全，因此VLAN技術(shù)在校園局域網(wǎng)內(nèi)的應

23、用是明智之舉。</p><p>　　在本文中主要使用基于端口的VLAN 技術(shù)對校園網(wǎng)進行設計,具體實現(xiàn)了以下幾個方面的作用:</p><p>　　通過VLAN 的劃分, 控制內(nèi)部各VLAN間的訪問范圍和權(quán)限, 從而保障子網(wǎng)通信安全。</p><p>　　避免了IP 地址使用混亂的情況. 隨著校園網(wǎng)規(guī)模增大, 往往會出現(xiàn)IP 地址使用混亂和IP 地址盜用的狀況. 通過

24、劃分VLAN, 各部門的IP 地址是固定的一個地址段, VLAN 之間不能互相盜用地址, 管理起來條理非常清楚。</p><p>　　充分利用網(wǎng)絡帶寬, 防止了廣播風暴的產(chǎn)生, 提高了網(wǎng)絡傳輸效率。</p><p>　　當然VLAN 在校園網(wǎng)的應用有利也有弊, 由于它是根據(jù)端口邏輯地址進行網(wǎng)絡劃分, 管理員無法很清楚地將網(wǎng)絡的物理布局與邏輯結(jié)構(gòu)相聯(lián)系, 這就要網(wǎng)絡管理人員非常熟悉和了解網(wǎng)絡

25、設備的物理連接和邏輯連接, 只有充分發(fā)揮它的長處, 揚長避短, 才能使校園網(wǎng)暢通無阻, 充分發(fā)揮作用。</p><p>　　3 VLAN技術(shù)的討論</p><p>　　3.1 TRUNK鏈路技術(shù)</p><p>　　Trunk 技術(shù)是在兩臺交換機之間建立一條點到點的鏈路, 每臺交換機的相應端口稱為中繼端口。一條中繼鏈路可以傳輸多個VLAN 的數(shù)據(jù)流, 并允許用戶將V

26、LAN 的范圍從一臺交換機擴展到另一臺交換機[10]。</p><p>　　Trunk是一種封裝技術(shù),它是在兩臺交換機之間的一條點到點鏈路,主要功能就是僅通過一條鏈路就可以連接多個交換機,從而擴展已配置的多個VLAN,傳輸多個VLAN 的數(shù)據(jù)流。還可以采用通過Trunk技術(shù)和上級交換機級連接的方式來擴展端口的數(shù)量,將VLAN的范圍從一臺交換機擴展到另一臺交換機,節(jié)省了網(wǎng)絡硬件的成本,從而擴展整個網(wǎng)絡。TRUNK

27、可通過的VLAN 范圍缺省下是1～1005, 可以修改, 但必須激活Trunk協(xié)議。使用Trunk 的端口不在任何VLAN 中。</p><p>　　在校園網(wǎng)建設時, Trunk絕對是必需的. 在設置Trunk后, Trunk鏈路不屬于任何一個VLAN. Trunk鏈路在交換機之間起著VLAN管道的作用,交換機會將該Trunk以外及Trunk中的端口處于一個VLAN中的其他端口的負載自動分配到該Trunk中的各個

28、端口. 因為同一個VLAN中的端口之間會相互轉(zhuǎn)發(fā)數(shù)據(jù),而位于Trunk中的Trunk端口被當作一個端口來看待,因此在設置了Trunk后,該Trunk將自動加入其成員端口所屬的VLAN中,而其成員端口則自動從VLAN中刪除。對于Trunk端口來說,其上允許通過的VLAN范圍體現(xiàn)的是一種能力,與系統(tǒng)中是否存在對應的VLAN實體沒有關(guān)系。</p><p>　　Trunk技術(shù)具有以下優(yōu)點:</p><

29、p>　　可以在不同的交換機之間連接多個VLAN,可以將VLAN擴展到整個網(wǎng)絡中; </p><p>　　Trunk可以捆綁任何相關(guān)的端口,也可以隨時取消設置,提供了很高的靈活性; </p><p>　　Trunk可以提供負載均衡能力以及系統(tǒng)容錯. 由于Trunk實時平衡各個交換機端口和服務器接口的流量,若某個端口出現(xiàn)故障,它會自動把故障端口從Trunk組中撤消,進而重新分配各個Tru

30、nk端口的流量,從而實現(xiàn)系統(tǒng)容錯。</p><p><b>　　3.2 VTP協(xié)議</b></p><p>　　VLAN中繼協(xié)議最早由思科公司提出的[11]。作為思科VLAN技術(shù)的重要組成部分，VTP減少了跨越網(wǎng)絡設置VLAN的管理任務，減少了配置的不連續(xù)性。VLAN干道協(xié)議是VLAN動態(tài)協(xié)議的一種，它能自動的在網(wǎng)絡中傳播VLAN的各種配置信息，因此能保持VLAN在網(wǎng)

31、絡中的連續(xù)性和統(tǒng)一性， VTP是一個交換機到交換機，交換機到路由器VLAN管理協(xié)議。</p><p>　　VTP是一種消息協(xié)議，它通過一臺工作在服務器模式下的交換機，通過使用二層中繼Frame在整個網(wǎng)絡中負責管理VLAN的添加，刪除和重命名。從而保證VLAN在網(wǎng)絡中的傳播和統(tǒng)一，VTP負責在VLAN域內(nèi)同步VLAN信息，能傳播到每一臺工作在客戶機模式下的交換機中，從而簡化了網(wǎng)絡管理員的配置量，也減少了錯誤率。圖2

32、.1為VTP的報文格式。</p><p>　　圖2.1 VTP報文格式</p><p>　　VTP要從Trunk中傳輸，所以一般VTP報文會封裝在ISL或者dot1q中。</p><p>　　2.2.1 VTP具有如下的優(yōu)點：</p><p>　　VLAN配置在整個網(wǎng)絡中都不變，且都保持一致；</p><p>　　在混

33、合介質(zhì)的網(wǎng)絡中允許一個VLAN被中繼的映射機制，能跨多個交換機；</p><p>　　能對VLAN進行精確的跟蹤和控制；</p><p>　　全網(wǎng)范圍內(nèi)增加VLAN的動態(tài)報告。</p><p>　　為了在網(wǎng)絡中管理和建立VLAN，所以必須建立一個VLAN管理域。在域中能有相同的VLAN信息，在交換網(wǎng)絡中，多個交換機構(gòu)成了一個域。VTP管理域由一組共享VTP域名的互聯(lián)

34、設備組成，同一VTP域中所有交換機共享它們的VLAN信息。而且信息均相同，每個設備只能工作在一個VTP域，不同域中的交換機不能共享一個域中的VTP消息。</p><p>　　2.2.2 VTP共有三種操作模式，分為服務器模式、客戶機模式和透明模式。</p><p>　　服務器模式Server</p><p>　　當一臺未經(jīng)配置的思科交換機第一次工作的時候，它的默認配

35、置模式是服務器模式。VLAN在VTP服務器上被創(chuàng)建的時候，和其他VLAN配置信息一起存儲在服務器的NVRAM并且當交換機重啟的時候，配置信息還是被保留不會消失。</p><p>　　服務器模式中維持著該VTP域中所有VLAN信息列表，可以增加、刪除或修改VLAN，VTP服務器周期性地廣播VTP域名、VLAN配置，提供現(xiàn)行的配置修改號。修改號是VTP 域的一部分，它確保VTP 域內(nèi)的所有交換機有現(xiàn)行的、正確的VLA

36、N 配置信息。</p><p>　　客戶機模式Client</p><p>　　客戶交換機在NVRAM存儲VLAN配置。當客戶交換機重啟的時候，所有的VLAN 配置信息丟失。交換機啟動完成后，需要發(fā)送一條VTP 請求消息給VTP服務器，來獲取現(xiàn)行的VLAN 配置。</p><p>　　客戶機只能從服務器模式下的交換機接收VLAN的各種信息，它也維護該VTP域中所有V

37、LAN信息列表，但不能增加、刪除或修改VLAN，任何變化的信息必須從VTP Server發(fā)布的通告報文中接收。如果客戶交換機要加入一個新的VLAN，VLAN必須被添加到VTP 服務器上面去。這樣新的VLAN 才能傳遞到所有的客戶交換機。當新的VLAN 增加后，客戶交換機上的端口會關(guān)聯(lián)到新的VLAN。</p><p>　　透明模式Transparent</p><p>　　VTP透明模式和V

38、TP客戶模式不同，可以在交換機上手工配置本地的VLAN。它如果是VTP 域的一部分，可以從VTP 服務器接收VLAN 配置信息。但是它不參與VTP工作，忽略所有接收到的VTP信息，但能夠?qū)⒔邮盏降腣TP報文轉(zhuǎn)發(fā)出去。它只擁有本設備上的VLAN信息，它不會通知VTP 域本地配置的VLAN[12]。所以，客戶模式下的交換機也可以與透明模式下的交換機連接，交換各種VLAN信息。</p><p>　　3.3 VLAN之間

39、的通信</p><p>　　1. 通過路由器實現(xiàn)VLAN間的通信</p><p>　　一個VLAN處在一個廣播域中，VLAN之間在二層中是不能通信的，從而提高了網(wǎng)絡的安全性，也解決了網(wǎng)絡的廣播控制問題。如果想VLAN能通信，必須通過路由器或者三層交換機實現(xiàn)VLAN的通信?？梢岳寐酚善鞯亩鄠€端口實現(xiàn)VLAN間的路由選擇。這是最簡單的一種方法，但是也是最浪費資源的一種方法，在現(xiàn)實生活中，路由

40、器的造價往往很高，通過端口來實現(xiàn)VLAN路由選擇的成本太高。所以這種方法在現(xiàn)實中應用的很少，圖2.5顯示的是利用多個端口實現(xiàn)VLAN的路由選擇。</p><p>　　圖2.5 利用路由器實現(xiàn)VLAN通信</p><p>　　2.通過三層交換實現(xiàn)VLAN通信</p><p>　　三層交換技術(shù)使一臺交換機具有路由的功能。傳統(tǒng)的交換機工作在數(shù)據(jù)鏈路層，只能在第二層對數(shù)據(jù)進

41、行轉(zhuǎn)發(fā)，但是三層交換機能工作在網(wǎng)絡層，并對數(shù)據(jù)進行高速轉(zhuǎn)發(fā)，它解決了局域網(wǎng)中劃分網(wǎng)段后必須通過路由器實現(xiàn)數(shù)據(jù)轉(zhuǎn)發(fā)，和路由器造價高以及存在的網(wǎng)絡瓶頸等問題。三層交換技術(shù)的出現(xiàn)為VLAN的發(fā)展提供了更好的空間。</p><p>　　三層交換技術(shù)的原理是：假設A和B要通信，A首先向交換機發(fā)送一個ARP請求包，尋找自己的缺省路由的MAC，然后將數(shù)據(jù)發(fā)送到交換機，若A和B在同一個子網(wǎng)中，直接通過二層轉(zhuǎn)發(fā)出去，不再經(jīng)過三層，

42、若A和B不再同一個子網(wǎng)中，需要將數(shù)據(jù)轉(zhuǎn)發(fā)到三層，在路由表中尋找匹配的條目，找到MAC地址，若存在直接在二層建立連接，使二層芯片處理數(shù)據(jù)通過二層轉(zhuǎn)發(fā)可大大的節(jié)省時間，和提高效率。若在表中無法找到相關(guān)項，需三層交換機將目的ip地址和路由表項對比，發(fā)送ARP數(shù)據(jù)包到目的主機，得到該主機的MAC地址，然后再二層轉(zhuǎn)發(fā)。原理如圖2.6所示。</p><p>　　圖2.6 三層交換原理</p><p>

43、　　3. 通過設置單臂路由實現(xiàn)VLAN間的通信</p><p>　　路由器與交換機之間是通過外部線路連接的, 這個外部線路只有一條, 但是它在邏輯上是分開的, 需要路由的數(shù)據(jù)包會通過這個線路到達路由器, 經(jīng)過路由后再通過此線路返回交換機進行轉(zhuǎn)發(fā)[13]。所以大家給這種拓撲方式起了一個形象的名字——單臂路由。采用單臂路由技術(shù)可以在使用路由器時，節(jié)約物理端口的使用，通常在路由器與交換機連接的一個物理端口上定義多個邏輯

44、子端口，一個子端口連接一個VLAN。</p><p>　　圖2.7通過設置單臂路由實現(xiàn)VLAN間的通信</p><p>　　這種基于單臂路由的VLAN 通信模型不需要添加或更換路由器, 交換機等網(wǎng)絡設備; 基于原有網(wǎng)絡拓撲結(jié)構(gòu), 也不需要重新布線施工。但是, 作為中繼鏈路的路由器端口往往成為限制VALN 之間流量的主要瓶頸, 單臂路由作為一種廉價的網(wǎng)絡升級方案只適用于通信質(zhì)量要求不高的情況

45、, 并不能完全取代路由器和三層交換機。</p><p>　　3.4 VLAN的劃分方式</p><p>　　VLAN 的劃分方式很重要， 在設計和建設VLAN， 實現(xiàn)VLAN 應用時， 首先要決定如何劃分VLAN， 即依據(jù)什么標準來組織VLAN 成員。下面介紹5種常見的劃分方式， 不同的劃分方式代表不同的VLAN 實現(xiàn)類型。</p><p>　　1.按端口劃分VLA

46、N</p><p>　　將交換機中的某些端口定義為一個單獨的區(qū)域， 從而形成一個VLAN。同一VLAN 中的計算機屬于同一個網(wǎng)段， 不同VLAN 之間進行通信需要通過路由器。基于端口的VLAN 的優(yōu)點是配置起來非常方便， 只要在交換機上進行相關(guān)的設置就可以了，適用于網(wǎng)絡環(huán)境比較固定的情況[14]。不足之處是不夠靈活， 當一臺計算機需要從一個端口移動到另一個新的端口， 而新端口與舊端口不屬于同一個VLAN時， 要修

47、改端口的VLAN 設置， 或在用戶計算機上重新配置網(wǎng)絡地址， 這樣才能加入到新的VLAN 中。否則， 這臺計算機將無法進行網(wǎng)絡通信。</p><p>　　基于端口的劃分方式是最簡單也是最常用的。采用這種方式， 將屬于不同交換機端口的物理網(wǎng)段分在一個VLAN 中， 通過網(wǎng)絡管理軟件， 根據(jù)VLAN__標識符將不同的端口分到相應的分組( VLAN )中。</p><p>　　例如， 一個交換機

48、的1、2、3端口被定義為VLAN 1， 同一交換機的4、5端口組成VLAN 2， 如圖2.8所示。</p><p>　　圖2.8 按端口劃分VLAN示意圖</p><p>　　這樣劃分， 允許各端口之間的通信， 并允許共享型網(wǎng)絡的升級。遺憾的是，這種劃分模式將虛擬網(wǎng)限制在了一臺交換機上。</p><p>　　第二代端口VLAN 技術(shù)允許跨越多個交換機的多個不同端口劃

49、分VLAN， 不同交換機上的若干個端口可以組成同一個VLAN。分配到同一個VLAN的各網(wǎng)段上的所有站點都在同一個廣播域中， 可以直接通信; 不同VLAN 地點間的通信則通過路由器或三層交換機。</p><p>　　按交換機端口來劃分VLAN，迄今為止， 這仍然是最常用的一種方式， 但是這種方式不允許多個VLAN 共享一個物理網(wǎng)段或交換機端口。如果某一個用戶從一個端口所在的VLAN 移動到另一個端口所在的VLAN，

50、 網(wǎng)絡管理員需要重新進行配置， 這對于擁有眾多移動用戶的網(wǎng)絡來說是不可想象的。</p><p>　　2.按MAC地址劃分VLAN</p><p>　　每塊網(wǎng)卡都有一個唯一的硬件物理地址， 這個地址就是MAC 地址， 俗稱為 網(wǎng)卡號。MAC地址是連接在網(wǎng)絡中的每個設備網(wǎng)卡的物理地址，由IEEE 控制。全球找不到兩塊具有相同MAC 地址的網(wǎng)卡。MAC 地址屬于數(shù)據(jù)鏈路層，以此作為劃分VLAN

51、的依據(jù)，能很好地獨立于網(wǎng)絡層上的各種應用。用此種方式構(gòu)成的VLAN 就是一些MAC地址的集合， 它解決了網(wǎng)絡處理站點的移動問題。對于連接于交換機端口的工作站來說， 在它們初始化時， 相應的交換機要在VLAN 的管理信息庫中檢查MAC 地址， 從而動態(tài)地匹配該端口到相應的VLAN 中。</p><p>　　按MAC 地址劃分的VLAN 允許網(wǎng)絡用戶從一個物理位置移動到另一個物理位置，并且自動保留其所屬VLAN 網(wǎng)段

52、的成員身份。同時，這種方式獨立于網(wǎng)絡的高層協(xié)議(如TCP / IP、IP 和IPX 等)。</p><p>　　從某種意義上講， 利用MAC 地址定義VLAN 可以看成是一種基于用戶的網(wǎng)絡劃分手段。這種方法的一個缺點是所有的用戶必須被明確地分配給一個VLAN。。在一個擁有大量節(jié)點的大型網(wǎng)絡中， 如果要求管理員將每個用戶都一一劃分到某一個VLAN， 實在是太困難了。</p><p>　　3.

53、基于網(wǎng)絡層劃分VLAN</p><p>　　可以基于網(wǎng)絡層來劃分VLAN， 有2種方案， 一種按協(xié)議來劃分， 如圖2.9</p><p>　　圖2.9 按網(wǎng)絡協(xié)議劃分VLAN 示意圖</p><p>　　另一種是按網(wǎng)絡層地址(最常見的是TCP / IP中的子網(wǎng)段地址)來劃分， 如圖2.10所示。</p><p>　　圖2.10 按網(wǎng)絡層地

54、址劃分VLAN示意圖</p><p>　　建立VLAN 也可使用與管理路由相同的策略。根據(jù)IP 子網(wǎng)、IPX 網(wǎng)絡號及其他協(xié)議劃分VLAN。同一協(xié)議的工作站劃分為一個VLAN， 交換機檢查廣播幀的以太幀標題域， 查看其協(xié)議類型， 若已存在該協(xié)議的VLAN， 則加入源端口， 否則， 創(chuàng)建一個新的VLAN。這種方式構(gòu)成的VLAN， 不但大大減少了人工配置VLAN 的工作量， 同時保證了用戶自由地增加、移動和修改。不同

55、VLAN 網(wǎng)段上的站點可屬于同一VLAN， 在不同VLAN 上的站點也可在同一物理網(wǎng)段上。</p><p>　　利用網(wǎng)絡層定義VLAN 缺點也是有的。與利用MAC地址的形式相比， 基于網(wǎng)絡層的VLAN 需要分析各種協(xié)議的地址格式并進行相應的轉(zhuǎn)換。因此，使用網(wǎng)絡層信息來定義VLAN 的交換機要比使用數(shù)據(jù)鏈路層信息的交換機在速度上處于劣勢。</p><p>　　4.基于IP廣播組劃分</

56、p><p>　　可將任何屬于同一IP 廣播組的計算機劃分到同一VLAN。當IP包廣播到網(wǎng)絡上時, 它將被傳送到一組IP地址的受托者那里。該組被明確定義了的廣播組是在網(wǎng)絡運行中動態(tài)生成的。任何一個工作站都有機會成為某一個廣播組的成員, 只要它對該廣播組的廣播確認信息給予肯定的回答。所有加入同一個廣播組的工作站被視為同一個VLAN 的成員, 他們的這種成員身份可根據(jù)實際需求保留一定的時間。因此, 利用IP廣播域來劃分VL

57、AN 的方法給用戶帶來了巨大的靈活性和可延展性。在這種方式下, 整個網(wǎng)絡可以方便地通過路由器擴展網(wǎng)絡規(guī)模。</p><p>　　5.基于規(guī)則的VLAN</p><p>　　基于規(guī)則的VLAN也稱為基于策略的VLAN。這是最靈活的VLAN 劃分方法, 具有自動配置的能力, 能夠把相關(guān)的用戶連成一體, 在邏輯劃分上稱為 關(guān)系網(wǎng)絡。網(wǎng)絡管理員只需在網(wǎng)管軟件中確定劃分VLAN 的規(guī)則(或?qū)傩? ,

58、 那么當一個站點加入網(wǎng)絡中時, 將會被感知, 并被自動地包含進正確的VLAN 中。同時, 對站點的移動和改變也可自動識別和跟蹤。采用這種方式, 整個網(wǎng)絡可以非常方便地通過路由器擴展網(wǎng)絡規(guī)模。有的產(chǎn)品還支持一個端口上的主機分別屬于不同的VLAN, 這在交換機與共享式Hub 共存的環(huán)境中顯得尤為重要。自動配置VLAN 時, 交換機中軟件自動檢查進入交換機端口的廣播信息的IP源地址, 然后軟件自動將這個端口分配給一個由IP子網(wǎng)映射成的VLAN

59、[14]。</p><p>　　3.5 VLAN間通信</p><p>　　1.VLAN間通信介紹</p><p>　　局域網(wǎng)內(nèi)的通信，是通過數(shù)據(jù)幀頭中指定通信目標的來完成的。而為了獲取MAC地址，使用地址協(xié)議解析通過廣播報文的方法來實現(xiàn)獲取MAC地址的，如果廣播報文無法到達目的地，那么就無從解析MAC地址，亦即無法直接通信。當計算機分屬不同的VLAN時，就意味著分

60、屬不同的廣播域，自然收不到彼此的廣播報文。因此，屬于不同VLAN的計算機之間無法直接互相通信。為了能夠在VLAN間通信，需要利用OSI參照模型中更高一層——網(wǎng)絡層來進行路由。在目前的網(wǎng)絡互連設備中能完成的設備主要有路由器和三層以上的交換機。</p><p>　　2.利用路由器實現(xiàn)VLAN間通信</p><p>　　使用路由器實現(xiàn)VLAN間通信時，路由器與交換機的連接方式有兩種。第一種通過路

61、由器的不同物理接口與交換機上的每個VLAN分別連接。第二種通過路由器的邏輯子接口與交換機的各個VLAN連接。</p><p>　　通過路由器的不同物理接口與交換機上的每個VLAN分別連接。</p><p>　　這種方式的優(yōu)點是管理簡單，缺點是網(wǎng)絡擴展難度大。每增加一個新的VLAN，都需要消耗路由器的端口和交換機上的訪問鏈接，而且還需要重新布設一條網(wǎng)線。而路由器，通常不會帶有太多LAN接口的

62、。新建VLAN時，為了對應增加的VLAN所需的端口，就必須將成帶有多個LAN接口的高端產(chǎn)品，這部分成本、還有重新布線所帶來的開銷，都使得這種接線法成為一種不受歡迎的辦法。</p><p>　　通過路由器的邏輯子接口與交換機的各個VLAN連接。</p><p>　　這種連接方式要求路由器和交換機的端口都支持匯聚鏈接，且雙方用于匯聚鏈路的協(xié)議自然也必須相同。接著在路由器上定義對應各個VLAN的

63、邏輯子接口E1.1和E1.2。由于這種方式是靠在一個物理端口上設置多個邏輯子接口的方式實現(xiàn)網(wǎng)絡擴展，因此網(wǎng)絡擴展比較容易且成本較低，只是對要復雜一些。</p><p>　　路由器實現(xiàn)VLAN間通信的局限性</p><p>　　路由器實現(xiàn)VLAN間通信的局限性是路由器的技術(shù)特性決定的，使其無法具有很高的信息吞吐量。對此分析如下：路由器在OSI七層網(wǎng)絡模型的第三層——網(wǎng)絡層操作，其對于任何一個

64、運行的數(shù)據(jù)包均須進行“拆包”和“打包”的操作，同時路由器還要完成數(shù)據(jù)包過濾和壓縮、協(xié)議轉(zhuǎn)換、計算路由、甚至防火墻等許多工作，這占用于大量的CPU資源。且當流經(jīng)路由器的流量超過其吞吐能力時，會引起路由器內(nèi)部擁塞，持續(xù)擁塞會使轉(zhuǎn)發(fā)的數(shù)據(jù)包延誤，甚至丟失。以上的原因限制了其吞吐量，且其價格昂貴，使其成為網(wǎng)絡瓶頸。因此，路由器存在：數(shù)據(jù)傳輸效率低；節(jié)點操作的復雜性無法降低；價格昂貴、結(jié)構(gòu)復雜等局限性。</p><p>　

65、　3.利用三層交換機實現(xiàn)VLAN間通信</p><p>　　三層交換機實現(xiàn)VLAN 互相訪問的原理是，利用三層交換機的路由功能，通過識別數(shù)據(jù)包的IP地址，查找路由表進行轉(zhuǎn)發(fā)。三層交換機利用直連路可以實現(xiàn)不同的VLAN 之間的訪問。三層交換機給接口配置IP地址采用SVI（交換虛擬接口）的方式實現(xiàn)VLAN 間互連。只需要為交換機中的VLAN 創(chuàng)建虛擬接口，并且配置IP地址。然后開啟三層交換機的IP route功能就可

66、以容易的實現(xiàn)VLAN間的通信。這種方面有效地解決了利用路由器來實現(xiàn)VLAN間通信的一系列不足之處，而且配置和管理也十分的便捷。</p><p>　　目前市場上有許多三層以上的交換機，在這些交換機中，廠家通過硬件或軟件的方式將路由功能集成到交換機中，交換機主要用于園區(qū)網(wǎng)中，園區(qū)網(wǎng)中的路由比較簡單，但要求數(shù)據(jù)交換的速度較快，因此在大型園區(qū)網(wǎng)中用交換機代替路由器已是不爭的事實[15]。用交換機代替路由器實現(xiàn)VLAN間通

67、信的方式也有兩種，其一，就是啟用交換機的路由功能，這種方式的實現(xiàn)方法可采用以上介紹的路由器方式的任一種。其二，是利用多層交換機所支持的VLAN功能來實現(xiàn)VLAN間的通信。</p><p><b>　　注釋</b></p><p>　　[1]雷震甲. 網(wǎng)絡工程師教程.第二版[M].北京:清華大學出版社,2004</p><p>　　[2]Cisc

68、o Systems 公司. 思科網(wǎng)絡技術(shù)學院教程CCNP 3 多層交換[M].北京:人民郵電出版社,2006</p><p>　　[3] 王維江,鐘小平.網(wǎng)絡應用方案與實例精講[M].北京:人民郵電出版社,2003</p><p>　　[4] 李寧.虛擬局域網(wǎng)技術(shù)的研究[M].北京：中國電腦教育報，2006</p><p>　　[5]李明.網(wǎng)絡維護基礎(chǔ)教程[M].北

69、京: 電子工業(yè)出版社, 2004</p><p>　　[6]楊尚森.網(wǎng)絡管理與維護技術(shù)[M].北京: 電子工業(yè)出版社, 2004</p><p>　　[7]楊永斌. VLAN 技術(shù)在校園網(wǎng)建設中的應用. 計算機科學. 2004</p><p>　　[8] 馮昊, 黃治虎, 伍技祥.交換機/ 路由器配置與管理[M].北京:清華大學出版社,2005 </p>

70、<p>　　[9]謝希仁.計算機網(wǎng)絡教程[M]. 北京：人民郵電出版社，2002</p><p>　　[10] 曾強.網(wǎng)絡管理與維護技術(shù)[M].北京: 化學工業(yè)出版社, 2005</p><p>　　[11]張寶通、李偉紅. 網(wǎng)絡互連技術(shù)—路由、交換與遠程訪問[M]. 北京：中國水利水電出版社，2008</p><p>　　[12]劉曉輝、李利軍.局域

71、網(wǎng)組網(wǎng)技術(shù)大全[M]. 北京：人民郵電出版社 2007</p><p>　　[13]石碩.交換機/路由器及其配置[M]. 北京：電子工業(yè)出版社，2009</p><p>　　[14]竇清.VLAN在大學校園網(wǎng)中的應用[J].廣西民族學院學報,2002</p><p>　　[15]夏齡,周德容.第三層交換與校園網(wǎng)VLAN 的建設[J].計算機應用,2001</p

72、><p><b>　　參考文獻</b></p><p>　　雷震甲. 網(wǎng)絡工程師教程.第二版[M].北京:清華大學出版社,2004</p><p>　　Cisco Systems 公司. 思科網(wǎng)絡技術(shù)學院教程CCNP 3 多層交換[M].北京:人民郵電出版社,2006</p><p>　　馮昊, 黃治虎, 伍技祥.交換機/

73、路由器配置與管理[M].北京:清華大學出版社,2005</p><p>　　曾強.網(wǎng)絡管理與維護技術(shù)[M].北京: 化學工業(yè)出版社, 2005</p><p>　　李明.網(wǎng)絡維護基礎(chǔ)教程[M].北京: 電子工業(yè)出版社, 2004</p><p>　　楊尚森.網(wǎng)絡管理與維護技術(shù)[M].北京: 電子工業(yè)出版社, 2004</p><p>　　楊永

74、斌. VLAN 技術(shù)在校園網(wǎng)建設中的應用. 計算機科學. 2004</p><p>　　王維江,鐘小平.網(wǎng)絡應用方案與實例精講[M].北京:人民郵電出版社,2003</p><p>　　謝希仁.計算機網(wǎng)絡教程[M]. 北京：人民郵電出版社，2002</p><p>　　李寧.虛擬局域網(wǎng)技術(shù)的研究[M].北京：中國電腦教育報，2006</p><p

75、>　　張寶通、李偉紅. 網(wǎng)絡互連技術(shù)—路由、交換與遠程訪問[M]. 北京：中國水利水電出版社，2008</p><p>　　劉曉輝、李利軍.局域網(wǎng)組網(wǎng)技術(shù)大全[M]. 北京：人民郵電出版社 2007</p><p>　　石碩.交換機/路由器及其配置[M]. 北京：電子工業(yè)出版社，2009</p><p>　　竇清.VLAN在大學校園網(wǎng)中的應用[J].廣西民族學

76、院學報,2002</p><p>　　夏齡,周德容.第三層交換與校園網(wǎng)VLAN 的建設[J].計算機應用,2001</p><p><b>　　致謝</b></p><p>　　首先，感謝學院錄取我，給我一個深造的機會，也對指導教師的指導表示感謝，在這次的寫作中給予了細致的指導，提出了很多寶貴的意見與建議，使我順利的完成這次論文和設計。再次，感