VLAN技术研究及其在锦采办公网络中的应用

摘要：随着锦采园区网的不断发展，规模在不断扩大，用户在不断增加，网络应用也在不增长，网络变得越来越拥挤，冲突不断产生，管理难度日益加大。单位内部对于灵活、动态地组建LAN网段的要求也越来越多，客观上要求LAN本身的结构可以实现动态组建、调整和管理。本文通过对锦采园区网进行VLAN规划，详细的介绍了VLAN的相关知识。

关键词：IPVLAN冲突规划三层交换技术

锦采共有联网主机和联网设备1000台（套），采用的是交换式以太网连接。共有IP地址网段10个。由于ARP病毒入侵局域网和网络风暴问题导致网络运行效率大幅下降，ARP病毒爆发时，严重影响网络的正常使用，为保证网络的正常使用，研究并应用了VLAN技术，经过实践效果很好。

一、网络体系结构

国际标准化组织ISO于1977年研究并与1983年OSI模型，按照OSI (Open Systems Interconnection Reference Model 开放系统互联参考模型) 的观点，可将网络系统划分为7层结构，每一个层次上运行着不同的协议和服务，并且上下层之间互相配合，完成网络数据交换的功能。

然而，OSI的模型仅仅是一个参考模型，并不是实际网络中应用的模型。实际上应用最广泛的商用网络模型即TCP/IP体系模型，将网络划分为四层。由于实践先于理论开展，所以为了理解方便，一般用五层体系结构说明，如图2所示。每一个层次上也运行着不同的协议和服务，括号里的字母表示运行在该层上的协议。

二、 广播风暴

1、单播帧

单播帧也称“点对点”通信。此时帧的接收和传递只在两个节点之间进行，帧的目的MAC地址就是对方的MAC地址，网络设备（指交换机和路由器）根据帧中的目的MAC地址，将帧转发出去。

2、多播帧

多播帧可以理解为一个人向多个人（但不是在场的所有人）说话，这样能够提高通话的效率。多播占网络中的比重并不多，主要应用于网络设备内部通信、网上视频会议、网上视频点播等。

3、广播帧

在广播帧中，帧头中的目的MAC地址是“FF.FF.FF.FF.FF.FF”，代表网络上所有主机网卡的MAC地址，信息一下子就可以传递到全体。广播帧在网络中是必不可少的。

当网络上的设备越来越多，广播所占用的时间也会越来越多，多到一定程度时，就会对网络上的正常信息传递产生影响，轻则造成传送信息延时，重则造成网络设备从网络上断开，甚至造成整个网络的堵塞、瘫痪，形成广播风暴。因此网络上的设备数量与广播风暴的产生密切相关。据一些统计资料表明，网络上的设备数量在150~200台时，网络运行正常，且可以达到很高的利用率；当设备数量大于400台后，网络效率将急速下降，容易形成广播风暴。 我们可以通过观察交换机的端口上广播包数及与其他信息包的比率来确定广播信息是否已对网络的通讯构成危害。

三、 ARP协议简介

ARP全称为Address Resolution Protocol，地址解析协议。所谓“地址解析”就是主机在发送数据包前将目标主机IP地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。ARP协议是建立在对局域网中电脑全部信任的基础上的，也就是说它的假设前提是：无论局域网中哪台电脑，其发送的ARP数据包都是正确的。那么这样就很危险了！因为局域网中并非所有的电脑都安分守己，往往有非法者的存在。

四、VLAN技术研究

VLAN（虚拟局域网）工作在OSI参考模型的第二层数据链路层，能够将广播风暴控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。 随着VLAN技术的日益完善，VLAN技术越来越多的应用在交换以太网中，成为网络灵活分段和提高网络安全的方法。

（一）、VLAN的划分方式

VLAN的划分方式很重要，在设计和建设VLAN，实现VLAN应用时，首先要决定如何划分VLAN，即依据什么标准来组织VLAN成员。不同的划分方式代表不同的VLAN实现类型，这里只介绍用到的方法：按端口划分VLAN

将交换机中的某些端口定义为一个单独的区域，从而形成一个VLAN。同一VLAN中的计算机属于同一个网段，不同VLAN之间进行通信需要通过路由器。基于端口的VLAN的优点是配置起来非常方便，只要在交换机上进行相关的设置就可以了，适用于网络环境比较固定的情况。

第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个VLAN。分配到同一个VLAN的各网段上的所有站点都在同一个广播域中，可以直接通信；不同VLAN地点间的通信则通过路由器或三层交换机。

交换机端口来划分VLAN，其配置过程简单明了。迄今为止，这仍然是最常用的一种方式，但是这种方式不允许多个VLAN共享一个物理网段或交换机端口。

（二）、划分VLAN之后的效果

划分VLAN之后，ARP病毒再未对正常办公造成严重影响，IP地址管理规范，有效的避免了IP地址冲突和盗用IP地址的问题，使得网络管理水平得到了很大提高。

作者简介：赵伟，男，1976年8月2日生，1999年7月1日毕业于中国石油大学（北京）石油工程专业，学士学位，现在辽河油田锦州采油厂从事网络管理工作，工程师。辽宁省锦州市锦州采油厂厂机关。