县级供电企业网络中VLAN技术的应用剖析

摘 要：随着电力企业信息化建设逐渐朝数据共享和业务融合方向发展，信息系统对企业各项业务的开展产生支撑作用。县级供电公司在信息系统中处于末端应用环节，所以公司必须构建一个安全、可靠、高速的网络，使系统稳定运行的需求得到满足。VLAN是在以太网的广播问题及安全性的前提下所形成的一种协议，主要在以太网帧的基础上增加了VLAN头，并通过VLANId划分用户为较小的工作组，限制了不同工作组间的互相访问，也就是每个工作组是一个虚拟局域网，进而将广播范围得到有效限制，实现网络动态管理的作用。

关键词：县级；供电企业；VLAN技术

一、VLAN的定义及优势

VLAN即虚拟局域网，通过虚拟局域网，用户可在网络中快速地组建宽带网络，而无需进行相应的硬件和通信线路的调节和设置。如此，网络管理员即可越过考虑物理连接方式的步骤，而直接从逻辑上对网络资源和用户进行分配，其充分体现了现代网络技术的高速度、高灵活性，以及管理便捷和易扩展的特点，尤其可有效防止某网段PC短时间使用率过高导致的广播风暴，大大提高了网络性能。

二、VLAN的划分形式

1.通过端口划分VLAN

通过端口划分VLAN是很多VLAN厂商的主要划分形式，一般此种划分都通过交换机的端口来实现，起初设定的端口均在同个广播域中，这就将虚拟网捆绑在了一台交换机上，第二代端口VLAN技术则弥补了第一代的不足，可跨越多个交换机进行多个不同端口的VLAN划分，并将不同交换机的多个端口组成同一个虚拟网。当前，这种端口划分VLAN的形式应用最广。

2.通过MAC地址划分VLAN

根据MAC地址即通过每个主机的MAC地址划分VLAN，其优点是当用户发生物理位移时，即从交换机A换到交换机B时，VLAN无需重新配置，简言之，这种形式的划分是从用户角度出发的VLAN。当然，这种方式亦存在一定的缺陷，即需要所有用户进行相应的配置，显然这操作起来十分麻烦，如用户更换网卡即要进行新的配置，此外其还会导致交换机执行效率下降，进而无法对广播包进行有效的控制。此外，还可通过网络层和IP组播划分VLAN，但两者的效率相对较低。

三、VLAN在网络管理中的应用

该公司下属公司多，业务种类多，根据业务发展需要，经过认真规划，将联网后的统一网络划分为30个VLAN。划分原则为：本部以楼层为单位进行VLAN划分，各下属公司以业务的不同来划分VLAN，不同的VLan具有不同的安全级别。其中生产用机及各种服务器所在的VLAN具有的安全级别较高。同时利用Cisco6509自身的访问控制功能，设置访问列表对特定的VLAN用户进行保护，对特定的端口135、445、1434等进行控制，保证了整个网络中各个VLAN用户的安全隔离。VLAN划分的有4种策略：基于端口的VLAN划分、基于MAC地址的VLAN划分、基于路由的VLAN划分、基于策略的VLAN划分。该采用的方式是基于端口的VLAN划分的方式。

基于端口的VLAN划分是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换机端口进行重新分配即可，不用考虑该端口所连接的设备。在交换机投入运行前就把它的物理端口根据需要划分给指定的VLAN并分配给用户。这种划分使网络管理员能够随时掌握网络的负载情况，有利于网络的优化使用，并具有较高的安全性，虽然在一定程度上增加了管理员的工作量。举例来说，下属公司分布在不同城不同的地理位置，但考虑到方便管理，这些公司的OA服务器均使用一个VLAN的IP；对需要其他权限的OA服务器单独分配其他网段的IP，所有这些网络应用的实现均是依靠基于交换机端口VLAN的划分来实现的。另一方面，对静态VLAN技术的应用（即基于端口的VLAN划分）来说，交换机不能分辨出被盗用IP地址的非法接人。一个用户盗用同一子网某特权用户的IP地址后就可以伪装成这个VLAN的特权用户，非法访问网络中的服务器，并造成IP地址的冲突。为了解决这个问题，就利用用户一般不会改变计算机MAC地址的特点，采用了对大部分用户的IP地址和MAC地址与交换机端口绑定的方法，弥补了静态VLAN的这一缺陷，有效地防止了这种情况的发生。满足了对不同VLAN设置不同访问权限，那么VLAN与VLAN之间又是如何实现相互间的访问呢？

在一般的二层交换机组成的网络中，VLAN实现了网络流量的分割，不同的VLAN间是不能互相通信的。要实现VLAN间的通信必须借助：1）路由器来实现；2）三层交换机。下属公司采用的是使用三层交换机的方式。利用三层交换机实现VLAN间通信，三层交换机是将第二层交换机和第三层路由器两者的优势有机而智能化地结合起来，可在各个层次提供线速性能。三层交换机内，分别设置了交换机模块和路由器模块；而内置的路由模块与交换模块类似，也使用ASIC硬件处理路由。因此，与传统的路由器相比，可以实现高速路由。并且，路由与交换模块是汇聚链接的，由于是内部连接，可以确保相当大的带宽。用三层交换机的路由功能来实现VLAN间的通信。

核心交换机选用Cisco6509三层交换机，接人层交换机选择了Cisco3750和Cisco2950系列交换机，其中Cisco3750交换机为带路由功能的三层交换机，用于数据流量较大的分局，而Cisco2950为二层交换机，主要用于通过千兆光纤与中心交换机的直接连接，通过这样的连接方式，整个局域网就能很好的协同工作。VLAN对于网络使用者来说是完全透明的，用户感觉不到使用中与交换式网络有任何的差别，但对于网络管理人员则有很大的不同，因为这主要取决于VLAN的几点优势。

1.控制广播风暴

网络管理必须解决因大量广播信息带来带宽消耗的问题。VLAN作为一种网络分段技术，可将广播风暴限制在一个VLAN内部，避免影响其他网段。与传统局域网相比，VLAN能够更加有效地利用带宽。在VLAN中，网络被逻辑地分割成广播域，由VLAN成员所发送的信息帧或数据包仅在VLAN内的成员之间传送，而不是向网上的所有工作站发送。这样可减少主干网的流量，提高网络速度。

2.增强网络的安全性

共享式LAN上的广播必然会产生安全性问题，因为网络上的所有用户都能监测到流经的业务，用户只要插入任一活动端口就可访问网段上的广播包。采用VLAN提供的安全机制，可以限制特定用户的访问，控制广播组的大小和位置，甚至锁定网络成员的MAC地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用。

3.增强网络管理

采用VLAN技术，使用VLAN管理程序可对整个网络进行集中管理，能够更容易地实现网络的管理性。用户可以根据业务需要快速组建和调整VLAN。当链路拥挤时，利用管理程序能够重新分配业务。管理程序还能够提供有关工作组的业务量、广播行为以及统计特性等的详尽报告。对于网络管理员来说，所有这些网络配置和管理工作都是透明的。VLAN变动时，用户无需了解网络的接线情况和协议是如何重新设置的。另外在使用VLAN划分后，也较好的解决了客户机随意使用IP地址的问题，因为某台计算机是属于某个特定的VLAN的，如果设置其他VLAN的IP地址，则是不能接人局域网的。

四、结语

总之，在局域网中通过对VLAN划分技术的使用，在安全性和稳定性方面都有了较大的提升，确保各种业务的开展，因此，VLAN技术在公司网络管理中的重要性不可忽视。

参考文献

[1] 周斌. 基于分层分布网络的高速公路供配电监控系统[J]. 中国交通信息产业. 2007（11）.

[2] 赵龙，宋永生，黎海亮. 电力监控系统中通用数据平台的设计和应用[J]. 科学咨询（决策管理）. 2007（05）.