探析單交換機(jī)VLAN劃分的教學(xué)方法

陰歡歡

摘要：針對廣播信息造成網(wǎng)絡(luò)中的主機(jī)會(huì)收到大量并非以自身為目的地的信息，浪費(fèi)了大量的帶寬資源而造成了嚴(yán)重的安全隱患這一現(xiàn)象，人們在設(shè)計(jì)局域網(wǎng)時(shí)提出了分割廣播域的方法。路由器端口較少且成本較高，可擴(kuò)展性不強(qiáng);二層交換機(jī)一般帶有多個(gè)網(wǎng)絡(luò)接口，用二層交換機(jī)分割廣播域的技術(shù)，就是VLAN。通過利用VLAN，我們可以自由設(shè)計(jì)廣播域的構(gòu)成，提高網(wǎng)絡(luò)設(shè)計(jì)的自由度。

關(guān)鍵詞：分割;廣播域;VLAN;自由度

教學(xué)中學(xué)生學(xué)習(xí)了ARP協(xié)議以及以太網(wǎng)AMC幀格式理論知識(shí)，本次教學(xué)單元希望學(xué)生掌握VLAN的工作原理、VLAN劃分的方法、VLAN通信過程。學(xué)生通過上機(jī)操作學(xué)會(huì)搭建仿真平臺(tái)，掌握交換機(jī)常用命令配置技能，創(chuàng)建和劃分VLAN;使學(xué)生在學(xué)習(xí)中通過分析、思考，增強(qiáng)掌握新知識(shí)的自信，培養(yǎng)學(xué)生處理問題敢于探索和實(shí)踐的精神。

1.VLAN技術(shù)

為了解決ARP協(xié)議通信引發(fā)廣播風(fēng)暴的案例，有哪些方法可以實(shí)現(xiàn)，學(xué)生進(jìn)行討論環(huán)節(jié)。通過對不同解決方案的對比引入了本次課討論的內(nèi)容——VLAN技術(shù)。虛擬局域網(wǎng)VLAN（Virtual Local Access Network）是一組邏輯上的設(shè)備和用戶，這些設(shè)備和用戶并不受物理位置的限制，可以根據(jù)功能、部門及應(yīng)用等因素將它們組織起來，相互之間的通信就好像它們在同一個(gè)網(wǎng)段中一樣[1] 。教學(xué)部分的開展從VLAN的定義、VLAN的作用、VLAN在幀格式中如何設(shè)置等方面進(jìn)行展開，著重搞清楚VLAN到底是什么樣的技術(shù)，如何避免廣播風(fēng)暴的，要想實(shí)現(xiàn)VLAN技術(shù)，對網(wǎng)絡(luò)協(xié)議體系中的數(shù)據(jù)鏈路層和物理層應(yīng)該如何修改。采用802.1q協(xié)議和思科公司專有的ISL如何將VLAN封裝是此處學(xué)習(xí)的主要內(nèi)容。

2.VLAN劃分

接入鏈路可事先設(shè)定，也可根據(jù)所連主機(jī)而動(dòng)態(tài)設(shè)定，前者稱為“靜態(tài)Vlan”;后者稱為“動(dòng)態(tài)Vlan”。兩者區(qū)別主要在于根據(jù)OSI參照模型哪一層的信息決定端口所屬的VLAN。靜態(tài)VLAN配置簡單，當(dāng)主機(jī)離開端口移動(dòng)時(shí)需要重新配置，不適合網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)頻繁改變的網(wǎng)絡(luò);動(dòng)態(tài)VALN分為基于MAC地址的Vlan、基于子網(wǎng)的Vlan、基于用戶的Vlan等，配置過程以主機(jī)相應(yīng)地協(xié)議層次設(shè)置，靈活性較好[2] 。在教學(xué)過程中采用上機(jī)操作的方式，對不同的劃分方法進(jìn)行講解，幫助學(xué)生理解它們之間的區(qū)別，在后續(xù)的網(wǎng)絡(luò)設(shè)計(jì)過程中能夠靈活地選擇劃分方法。

3.VLAN通信

交換機(jī)屬于二層設(shè)備，是數(shù)據(jù)鏈路層的連接設(shè)備，未進(jìn)行VLAN劃分之前連接的主機(jī)屬于同一個(gè)網(wǎng)絡(luò)，相互之間是可以進(jìn)行通信的。通過VLAN劃分將交換機(jī)的端口歸屬不同的VALN中，劃分之后的各個(gè)端口之間是不是也可以進(jìn)行通信呢？教學(xué)環(huán)節(jié)分為同一VLAN內(nèi)主機(jī)的通信和不同VLAN的主機(jī)之間通信過程展開，加深學(xué)生對VLAN技術(shù)的理解，采用了VALN技術(shù)之后通信有何不同。

相同VLAN內(nèi)的主機(jī)通信的原理：ARP廣播之前發(fā)送主機(jī)先檢查目的主機(jī)的IP地址，發(fā)現(xiàn)處于同一網(wǎng)絡(luò)，也就是在一個(gè)廣播域內(nèi)，廣播幀傳輸?shù)姆秶驮诮粨Q機(jī)的此VLAN內(nèi)，其他的VLAN不會(huì)收到此廣播幀，同一VLAN內(nèi)的通信、處理均在交換機(jī)內(nèi)完成[3] 。講解完理論知識(shí)，在電腦上打開思科軟件Cisco Packet Tracer，搭建網(wǎng)絡(luò)模型，包括一臺(tái)交換機(jī)、多臺(tái)主機(jī)以及將設(shè)備連接在一起的接口線，對交換機(jī)進(jìn)行基本的配置以及相應(yīng)的端口設(shè)置，主機(jī)設(shè)置IP地址及子網(wǎng)掩碼、網(wǎng)關(guān)等基本設(shè)置。用ping指令去測試未劃分的計(jì)算機(jī)的連通性，測試結(jié)果可拼通;端口設(shè)置相應(yīng)的VLAN，此時(shí)用ping指令測試，測試結(jié)果顯示相同VLAN內(nèi)的主機(jī)之間可拼通，不同VLAN之間的主機(jī)之間是不能連通的。

兩臺(tái)計(jì)算機(jī)即使連接在同一臺(tái)交換機(jī)上，所屬的VLAN不同，即處于不同的廣播域，等效于兩個(gè)獨(dú)立的交換機(jī)，相互之間就無法直接通信。為了能夠在VLAN間通信，需要利用OSI參照模型中更高一層——網(wǎng)絡(luò)層的信息（IP地址）來進(jìn)行路由，實(shí)現(xiàn)不同網(wǎng)絡(luò)通信。

使用路由器進(jìn)行Vlan間路由時(shí)，最先想到的是用多個(gè)路由器端口分別與每個(gè)Vlan相連接。而路由器上通常LAN接口有限，這無疑帶來擴(kuò)展性問題。另一種思路是路由器某個(gè)接口與交換機(jī)的Trunk端口相連，使多個(gè)Vlan共享同一條物理連接到路由器。將用于連接路由器的交換機(jī)端口設(shè)為匯聚端口，支持多個(gè)VLAN通過;而路由器上的端口也必須支持匯聚鏈路，該端口在理論上可分割為多個(gè)虛擬子端口，對于到來的VLAN數(shù)據(jù)幀路由器通過路由表找到目的主機(jī)所屬VLAN，通過相應(yīng)地子端口轉(zhuǎn)發(fā)出去。此處教學(xué)內(nèi)容會(huì)通過動(dòng)畫的形式向?qū)W生展示工作過程，使學(xué)生理解單臂路由的原理。Vlan間通信時(shí)，即使雙方都連接在同一臺(tái)交換機(jī)上，也必須經(jīng)過“發(fā)送方→交換機(jī)→路由器→交換機(jī)→接收方”這樣一個(gè)流程。在進(jìn)行三層路由轉(zhuǎn)發(fā)時(shí)，數(shù)據(jù)包IP地址保持不變，MAC地址則在每個(gè)節(jié)點(diǎn)都會(huì)改變。

4.總結(jié)

通過本次課程的學(xué)習(xí)，學(xué)生能夠掌握VLAN技術(shù)，VALN作用以及VLAN工作原理;基于此認(rèn)識(shí)，如何在交換機(jī)上進(jìn)行VALN的劃分，不同的劃分方法有何優(yōu)缺點(diǎn)，適用于什么場合;劃分了VALN之后，主機(jī)之間如何通信——相同VLAN、不同VALN。掌握了單交換機(jī)下VALN劃分方法，設(shè)計(jì)不同VLAN通信時(shí)，不同的VLAN能否處于同一網(wǎng)段，為什么？不同VLAN通信有其他方法實(shí)現(xiàn)嗎，如三層交換機(jī)？多交換機(jī)VALN間該如何通信？

參考文獻(xiàn)：

[1] 陸魁軍.基于Cisco路由器和交換機(jī)[M].北京：清華大學(xué)出版社，2007.

[2] 王達(dá)，Cisco/H3c交換機(jī)配置與管理完全手冊[M].北京：中國水利水電出版社，2012.

[3] 方巍，劉鋼.淺談VLAN技術(shù)的工作原理[J].企業(yè)科技與發(fā)展，2014，24：21-26.

（作者單位：武漢晴川學(xué)院）