VLAN和VLSM技术在内部局域网的应用

摘 要：VLAN和VLSM技术对于网络管理员管理好内部局域网，防止内部网络攻击、数据阻塞、相互隔离网络是非常有效的。

关键词：VLAN；VLSM；应用方法

中图分类号：TP393.18

随着计算机网络的飞速发展，因为工作需要，越来越多的单位建立了内部局域网，实现了部门之间信息资源的共享，数据传递越来越高效。但随之而来的网络管理也越来越重要，如何充分利用VLAN和VLSM技术来提高网络管理的效率，是网络管理员优先考虑的课题。

1 VLAN的特点

VLAN（Virtual Local Area Network）即虚拟局域网，VLAN划分主要用在网络交换机上，属于二层网络协议范畴的技术。它可以将处于不同地理位置上的用户划在一个VLAN里，变成同一个逻辑组。VLAN创建了不限于物理段的单一广播域，从某种意义上讲，可以将它像一个子网一样对待。通过VLAN隔离技术，可以把一个网络系统中众多的网络设备分成若干个虚拟的工作组，组和组之间的网络设备在二层上相互隔离，形成不同的广播域，将广播流量限制在不同的广播域。由于VLAN技术是基于二层和三层之间的隔离，可以将不同的网络用户与网络资源进行分组并通过支持VLAN技术的交换机隔离不同组内网络设备间的数据交换来达到网络安全的目的。该方式允许同一VLAN上的用户互相通信，而处于不同VLAN的用户之间在数据链路层上是断开的，其它VLAN（虚拟局域网）的成员收不到这些信息或广播帧，只能通过三层VLAN才能访问。由于它是逻辑地址而不是物理地址划分，同一个VLAN内的各个工作站无须放置在同一个物理空间里，这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量不会转发到其他VLAN中，即使是两台计算机有一样的网段，却没有相同的VLAN号，它们各自的广播流也不会相互转发，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。

2 vlan的划分方法及优缺点

2.1 基于端口划分VLAN

以交换机端口来划分网络成员，其配置过程简单明了。这是最经常用的一种VLAN划分方法，操作简单，维护方便，也最有效，目前市面上几乎所有的交换机都提供这种VLAN配置方法，被设定的端口都在同一广播域中。按VLAN交换机上的物理端口和内部的PVC（永久虚电路）端口来划分.例如，一个交换机的1，3，5端口被定义为虚拟网C，同一交换机的2，4，6端口组成虚拟网D。各端口之间的通讯可以共享网络升级。但这种划分模式将虚拟网限制在一台交换机上。二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。

这种划分方法的优点是定义VLAN成员时非常简单，只要将所有的端口都定义为相应的VLAN组即可，适合任何大小的网络。它的缺点是如果某用户离开了原来的端口，到了一个新的交换机的某个端口，必须重新定义。如果新端口与旧端口不属于同一个VLAN，则用户必须对该站点重新进行网络地址配置，否则，该站点将无法进行网络通信。

2.2 基于MAC地址划分VLAN。

这种分类是根据每个用户主机的MAC地址来划分，MAC VLAN的主机地址的主机的MAC地址配置，实施机制是卡对应于一个独特的MAC地址，网络交换机跟踪属于VLAN的MAC地址。在这种方式中的VLAN允许网络用户从一个位置移动到另一个物理位置，自动保留其成员的VLAN。

对于分割机制可以看出，VLAN的划分时，最大的优势是用户的物理位置切换到另一个开关，而不需要重新配置VLAN，因为它是基于用户的，而不是基于交换机端口。这种方法的缺点是，初始化，所有的用户必须配置，如果有大量的用户，配置很累，工作量比较大，所以这种方法通常适用于小型局域网。但效率的开关，本司还LED执行，因为在交换机的每个端口可以多个VLAN中的成员，节省用户的MAC地址，查询。此外，笔记本电脑用户的使用，他们的信用卡可能会经常发生变化，所以经常有配置VLAN。

配置相当累，工作量也相对较大，所以这种划分方法通常适用于小型局域网。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，保存了许多用户的MAC地址，查询起来相当麻烦。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样VLAN就必须经常配置。

2.3 基于网络层协议划分VLAN

VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk等VLAN网络。组成的VLAN，可使广播域跨越多个VLAN交换机。同时，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。优点是如果用户物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说非常重要，因为这种方法不需要附加的帧标签来识别VLAN，并且可以减少网络的通信量。缺点是效率低下，原因是检查网络数据包的网络层地址是需要消耗交换的处理时间，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时，这种划分适用于需要同时运行多协议的网络。

2.4 根据IP组播划分VLAN

IP组播实际上也是一种VLAN的定义，即一个IP组播组相当于一个VLAN。这样可以将VLAN扩大到了广域网，因此这种方法灵活性和自由度更大，而且也容易通过路由器进行扩展，主要适合于不在同一地理范围的局域网用户组成一个VLAN，不适合局域网，主要是效率不高。

3 （VLSM）划分子网的方法

子网的划分，实际上就是划分子网掩码的过程。子网掩码的作用用来区分IP地址中的网络号和主机号。子网掩码是由4个十进制数组成的数值"中间用"."分隔，如255.255.252.0。若将它写成二进制的形式为：11111111.11111111.11111110.00000000，其中为"1"的位分离出网络ID，为"0"的位分离出主机ID，也就是通过将IP地址与子网掩码进行"与"逻辑操作，得出网络号。

例如，假设IP地址为192.168.1.1，子网掩码为255.255.255.0，则网络ID为192.168.1.0，主机ID为0.0.0.1。计算机网络号不同，说明他们不在同一个物理子网内，需通过路由器转发才能进行数据交换。

IP地址具有默认的子网掩码：A类为255.0.0.0，B类为255.255.0.0，C类为255.255.255.0。除了使用上述的表示方法之外，还有使用于网掩码中"1"的位数来表示的，在默认情况下，A类地址为8位，B类地址为16位，C类地址为24位。例如，A类的某个地址为10.10.10.1/8，这里的最后一个"8"说明该地址的子网掩码为8位，而200.201.21.0/28表示网络200.201.21.0的子网掩码位数有28位。

如果希望在一个网络中建立子网，就要在这个默认的于网掩码中加入一些位，它减少了用于主机地址的位数。加入到掩码中的位数决定了可以配置的于网。因而，在一个划分了子网的网络中，每个地址包含一个网络地址、一个子网位数和一个主机地址。

子网划分是VLAN技术在网络管理中重要的一个补充，两种方法可以同时使用，有利于提高管理效率。

参考文献：

[1]唐年庆，陈晓燕.VLAN技术在企业网络安全中的应用[J].计算机光盘软件与应用，2013（21）：147-148.

[2]王淞.VLAN技术在局域网建设中的应用探究[J].计算机光盘软件与应用，2013（01）：119+140.

[2]金红旭.IP子网技术与VLAN技术的不同应用[J].计算机光盘软件与应用，2013（05）：142+144.

作者单位：中国人民解放军69029部队，乌鲁木齐 830000

推荐访问： 局域网 在内部 技术 VLAN VLSM

---