基于VLAN的網(wǎng)絡(luò)應(yīng)用與研究

摘? 要：在二層網(wǎng)絡(luò)里，由于接入終端數(shù)量較大，形成的廣播域也很大，一旦發(fā)生廣播風(fēng)暴，會(huì)造成二層網(wǎng)絡(luò)擁塞、垃圾流量過(guò)多等現(xiàn)象，嚴(yán)重影響全網(wǎng)的終端上網(wǎng)功能。在網(wǎng)絡(luò)規(guī)劃時(shí)使用VLAN技術(shù)控制廣播域的范圍，減少?gòu)V播風(fēng)暴的影響范圍，提高網(wǎng)絡(luò)性能是目前較常用、較規(guī)范的設(shè)計(jì)方法。文章介紹VLAN技術(shù)的相關(guān)內(nèi)容，并將二層接入網(wǎng)絡(luò)增加VLAN設(shè)計(jì)進(jìn)行改造，并結(jié)合DHCP技術(shù)使終端上網(wǎng)方便，且減少了網(wǎng)絡(luò)風(fēng)暴的影響，取得了很好的使用效果。

關(guān)鍵詞：VLAN;標(biāo)簽;單臂路由;DHCP

中圖分類號(hào)：TP393.1? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2096-4706（2020）22-0065-04

Network Application and Research Based on VLAN

WEI Pei

（Anhui Branch of National Computer Network and Information Security Management Center，Hefei? 230031，China）

Abstract：In the layer-2 network，due to the large number of access terminals，the formation of the broadcast domain is also very large. Once a broadcast storm occurs，it will cause the congestion of the layer-2 network，excessive garbage flow and other phenomena，which seriously affect the internet access function of the whole network. Using VLAN technology in network planning to control the scope of the broadcast domain，reduce the scope of influence of broadcast storms，and improve network performance is currently a more common and standardized design method. This paper introduces the related content of VLAN technology，and adds VLAN design to the layer-2 access network for transformation. Combined with DHCP technology，it makes the terminal convenient to access the internet，and reduces the impact of network storm，and achieves good results.

Keywords：VLAN;tag;single arm routing;DHCP

0? 引? 言

網(wǎng)絡(luò)安全與網(wǎng)絡(luò)運(yùn)行維護(hù)是筆者工作的主要任務(wù)，筆者在工作中經(jīng)常遇到部分網(wǎng)絡(luò)早期由于需要聯(lián)網(wǎng)的終端較少，網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)缺少科學(xué)的長(zhǎng)遠(yuǎn)的規(guī)劃，導(dǎo)致接入層缺少VLAN技術(shù)的使用。后期隨著網(wǎng)絡(luò)規(guī)模擴(kuò)大，日常使用的終端設(shè)備種類數(shù)量也隨之增多，導(dǎo)致所有的終端工作在同一個(gè)廣播域內(nèi)。由于廣播域太大，導(dǎo)致經(jīng)常出現(xiàn)廣播風(fēng)暴，網(wǎng)絡(luò)擁塞現(xiàn)象，大大降低了網(wǎng)絡(luò)性能，甚至有的網(wǎng)絡(luò)安全事件頻發(fā)。為此，引入VLAN技術(shù)對(duì)網(wǎng)絡(luò)改造達(dá)到網(wǎng)絡(luò)規(guī)范化建設(shè)是亟待實(shí)施的工作。

1? 相關(guān)技術(shù)簡(jiǎn)介

1.1? 二層交換機(jī)工作原理

二層交換機(jī)內(nèi)部維護(hù)著MAC地址表，交換機(jī)通過(guò)學(xué)習(xí)以太網(wǎng)數(shù)據(jù)幀的源MAC地址維護(hù)MAC地址表，通過(guò)數(shù)據(jù)幀里的目的MAC地址查找MAC地址表決定發(fā)往目的端口。一個(gè)MAC地址僅能出現(xiàn)在一個(gè)端口上。二層交換機(jī)對(duì)數(shù)據(jù)包的處理方式有學(xué)習(xí)、泛洪、轉(zhuǎn)發(fā)、丟棄。泛洪是一個(gè)重要的特性，指收到廣播幀、組播幀、未知單播幀時(shí)會(huì)從除了接收口外的接口轉(zhuǎn)發(fā)出去。MAC地址的記錄一般在交換機(jī)里保存約5分鐘，一旦接口DOWN，MAC地址記錄會(huì)被清空。在華為交換機(jī)內(nèi)可用dis mac-address命令查看當(dāng)前的交換機(jī)MAC地址表。當(dāng)網(wǎng)絡(luò)有級(jí)聯(lián)結(jié)構(gòu)時(shí)，一個(gè)物理接口里會(huì)出現(xiàn)多個(gè)MAC地址。

1.2? VLAN的分類

VLAN的分類方式有多種，可以按照交換機(jī)的接口劃分，適用于接入終端位置相對(duì)固定的情況，也適用于一般規(guī)模的單位使用，該方式是較為常用的方式;還可以按照終端的MAC地址分類，這種方式適用于終端設(shè)備位置經(jīng)常變動(dòng)的接入情況，而且在做配置之前需要事先統(tǒng)計(jì)終端的MAC信息，一般在安全性要求較高、嚴(yán)格限制接入終端的情況下使用;也可以按照IP子網(wǎng)、策略分類。目前使用最多的是按照交換機(jī)接口劃分的方式。

1.3? VLAN間的訪問(wèn)

VLAN間訪問(wèn)的方式：路由器的物理接口、單臂路由、三層交換機(jī)VLAN虛擬接口，其特點(diǎn)如表1所示。

2? VLAN的優(yōu)勢(shì)

以太網(wǎng)隨著廣播域的增大，網(wǎng)絡(luò)安全現(xiàn)象與垃圾流量問(wèn)題隨之增多。二層廣播域帶來(lái)很大問(wèn)題，當(dāng)出現(xiàn)如ARP數(shù)據(jù)包時(shí)，該包會(huì)泛洪至全網(wǎng)中的每一臺(tái)設(shè)備，其中能做出應(yīng)答的設(shè)備最多有一個(gè)，其余的流量均為垃圾流量。該垃圾流量占用帶寬資源，給整個(gè)二層網(wǎng)絡(luò)帶來(lái)嚴(yán)重的負(fù)擔(dān)，影響了網(wǎng)絡(luò)性能。泛洪現(xiàn)象如圖1所示，圖中箭頭是泛洪流量，當(dāng)一臺(tái)PC機(jī)發(fā)出廣播時(shí)，數(shù)據(jù)幀會(huì)被交換機(jī)傳送至該廣播域的每一臺(tái)終端，即使很多主機(jī)不需要接收這些數(shù)據(jù)幀。

VLAN可以將廣播的傳播范圍限制在相關(guān)的主機(jī)范圍內(nèi)，進(jìn)而減少這種影響。VLAN的優(yōu)點(diǎn)有：將廣播域限制在某一個(gè)范圍內(nèi)，節(jié)省了帶寬資源，提高了網(wǎng)絡(luò)性能;不同的VLAN間的報(bào)文是相互隔離的，提高了局域網(wǎng)的安全性;當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，故障的影響范圍也會(huì)縮小至VLAN內(nèi)，不會(huì)波及更廣的范圍。通常在規(guī)劃時(shí)VLAN與廣播域和子網(wǎng)相對(duì)應(yīng)。

3? 網(wǎng)絡(luò)優(yōu)化方案介紹

現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)缺少科學(xué)的規(guī)劃，網(wǎng)絡(luò)結(jié)構(gòu)由一臺(tái)接入交換機(jī)和一臺(tái)路由器組成，接入交換機(jī)為二層結(jié)構(gòu)，負(fù)責(zé)終端設(shè)備的接入，路由器0口配置了內(nèi)網(wǎng)地址：192.168.254.254/ 16作為終端設(shè)備的網(wǎng)關(guān)，并配置了DHCP地址自動(dòng)獲取;1口配置了公網(wǎng)IP，并配置了NAT轉(zhuǎn)換和靜態(tài)路由。該網(wǎng)絡(luò)可以實(shí)現(xiàn)用戶上網(wǎng)功能，但是由于不同部門之間的終端地址在同一個(gè)16位的網(wǎng)段內(nèi)，也就是所有終端均在同一個(gè)廣播域內(nèi)，當(dāng)發(fā)生網(wǎng)絡(luò)風(fēng)暴時(shí)，會(huì)影響所有的終端設(shè)備，任何一臺(tái)設(shè)備發(fā)出ARP等廣播幀，導(dǎo)致廣播流量泛洪至全網(wǎng)，所有的終端都會(huì)收到該流量，嚴(yán)重影響網(wǎng)絡(luò)性能。由于不同部門終端的IP在同一網(wǎng)段內(nèi)隨機(jī)獲取，當(dāng)發(fā)生網(wǎng)絡(luò)安全事件或病毒感染事件，不能迅速定位到使用該地址的所屬部門，也會(huì)給后期事件處理帶來(lái)不便。這個(gè)設(shè)計(jì)在終端設(shè)備較少的環(huán)境下可以正常工作，但是隨著終端數(shù)量增多，網(wǎng)絡(luò)規(guī)模擴(kuò)大，其網(wǎng)絡(luò)性能下降，不易于管理的弊端越來(lái)越明顯。如果該網(wǎng)絡(luò)內(nèi)有一臺(tái)主機(jī)發(fā)起ARP攻擊，會(huì)導(dǎo)致整個(gè)單位的網(wǎng)絡(luò)癱瘓，影響范圍廣，排查恢復(fù)困難。未使用VLAN的網(wǎng)絡(luò)拓?fù)淙鐖D2所示。

路由器的部分配置為：

dhcp enable

acl 2000

rule peimit source any

interface g/0/0

ip add 192.168.254.254? 16

dhcp select interface

dhcp server dns-list 114.114.114.114

interface g/0/1

ip add 公網(wǎng)IP 掩碼

nat outbound 2000

ip routing-static 0.0.0.0 0.0.0.0 公網(wǎng)ip

鑒于以上缺點(diǎn)，為了縮小廣播域，合理規(guī)劃IP地址的分配，使網(wǎng)絡(luò)結(jié)構(gòu)清晰，采用了網(wǎng)絡(luò)分層的設(shè)計(jì)思想，一般網(wǎng)絡(luò)是由接入層、匯聚層、核心層以及出口組成。由于本單位網(wǎng)絡(luò)規(guī)模不是特別大，將匯聚層和核心層混合一體，采用接入層、匯聚層、出口層的分層結(jié)構(gòu)。按照現(xiàn)有的部門數(shù)量，將接入終端劃分為4個(gè)VLAN，并在匯聚交換機(jī)上配置VLAN虛擬口用作每個(gè)VLAN終端的網(wǎng)關(guān)。在匯聚層交換機(jī)上，采用DHCP的方式為終端動(dòng)態(tài)分配IP地址，DNS服務(wù)器也是通過(guò)配置自動(dòng)獲取。匯聚交換機(jī)的上聯(lián)口也是用虛擬VLAN口配置，VLAN的劃分如表2所示，VLAN內(nèi)使用C類內(nèi)網(wǎng)IP分配，每個(gè)VLAN大小約容納200多個(gè)終端，可以滿足每個(gè)部門的終端上網(wǎng)需求的發(fā)展需求。本次設(shè)計(jì)在匯聚交換機(jī)的VLAN虛擬口和路由器之間運(yùn)行了OSPF協(xié)議，這種動(dòng)態(tài)的路由協(xié)議運(yùn)行靈活，避免了靜態(tài)路由的牽一發(fā)動(dòng)全身的缺點(diǎn)。如果后期需要增加部門，僅需在匯聚交換機(jī)上新增VLAN相關(guān)配置，出口路由器的配置無(wú)須改動(dòng)，這一點(diǎn)確保了網(wǎng)絡(luò)規(guī)模的擴(kuò)容，有利于網(wǎng)絡(luò)的穩(wěn)定平滑擴(kuò)容，減少用戶對(duì)網(wǎng)絡(luò)變動(dòng)的感知。

重新規(guī)劃改造后的拓?fù)浣Y(jié)構(gòu)如圖3所示。

涉及的部分配置為：

（1）出口路由器：

acl 2000

rule peimit soure any

interface g/0/0

ip add 192.168.100.1 24

interface g/0/1

ip add 公網(wǎng)IP 掩碼

nat outbound 2000

ip routing-static 0.0.0.0 0公網(wǎng)ip

ospf 1 route-id 1.1.1.1

area 0

network 192.168.100.1 0.0.0.0

default-route-advertise

（2）接入交換機(jī)的部分配置：

Dhcp enable

vlan bath 10 20 30 40 100

interface g0/0/1

port link-type access

port default vlan 10

interface g0/0/0

port link-type access

port default vlan 100

interface g0/0/2

port link-type access

port default vlan 20

interface g0/0/3

port link-type access

port default vlan 30

interface g0/0/4

port link-type access

port default vlan 40

interface vlanif 10

ip add 192.168.1.254 24

dhcp select interface

dhcp server dns-list 114.114.114.114

interface vlanif 20

ip add 192.168.2.254 24

dhcp select interface

dhcp server dns-list 114.114.114.114

interface vlanif 30

ip add 192.168.3.254 24

dhcp select interface

dhcp server dns-list 114.114.114.114

interface vlanif 40

ip add 192.168.4.254 24

dhcp select interface

dhcp server dns-list 114.114.114.114

interface vlanif 100

ip add 192.168.100.254 24

ospf 1 route-id 2.2.2.2

area 0

network 192.168.0.0 0.0.255.255

之前所有的終端在同一個(gè)廣播域，一旦遇到廣播風(fēng)暴會(huì)波及全網(wǎng)終端?，F(xiàn)在，使用VLAN將部門之間分隔開(kāi)，每個(gè)部門是獨(dú)自的廣播域，當(dāng)廣播風(fēng)暴發(fā)生后，僅會(huì)影響該部門，大大減少了垃圾流量對(duì)全網(wǎng)的影響。比如部門1的某臺(tái)終端發(fā)出廣播幀，由于部門1是一個(gè)廣播域，廣播幀由于VLAN的隔離作用，僅能在部門1所涉及的范圍內(nèi)泛洪，這樣就減少了廣播風(fēng)暴對(duì)全網(wǎng)的影響，之前經(jīng)常發(fā)生的延遲時(shí)間長(zhǎng)、網(wǎng)速慢的現(xiàn)象有所改善?，F(xiàn)在網(wǎng)絡(luò)擴(kuò)展性能有所提升，如果后期需要增加終端，僅需將主機(jī)連接至接入交換機(jī);如果需要擴(kuò)展部門，需要增加VLAN及其相關(guān)接口配置，并在匯聚交換機(jī)里的OSPF配置中宣告該新增的網(wǎng)段?？傊隫LAN技術(shù)的網(wǎng)絡(luò)避免了廣播域規(guī)模大的缺點(diǎn)，減少了廣播風(fēng)暴的影響范圍，后期網(wǎng)絡(luò)可以有規(guī)劃地?cái)U(kuò)展，帶來(lái)了良好的網(wǎng)絡(luò)運(yùn)行效果。

4? 結(jié)? 論

本文利用VLAN技術(shù)將二層網(wǎng)絡(luò)進(jìn)行了調(diào)整和整理，達(dá)到了以VLAN劃分廣播域的目的，使廣播風(fēng)暴僅影響某個(gè)VLAN內(nèi)，減少了網(wǎng)絡(luò)中的垃圾流量以及網(wǎng)絡(luò)風(fēng)暴帶來(lái)的影響，提升了網(wǎng)絡(luò)的安全性，也改善了網(wǎng)絡(luò)性能。VLAN技術(shù)在較大型網(wǎng)絡(luò)中起到隔離廣播域的作用，是網(wǎng)絡(luò)規(guī)劃常用的技術(shù)。后期還可以從增加安全性和高可用性考慮，引入VRRP技術(shù)，達(dá)到網(wǎng)關(guān)保護(hù)的目的;還可以使用捆綁技術(shù)，有效地避免網(wǎng)絡(luò)的單點(diǎn)故障。VLAN技術(shù)是目前局域網(wǎng)里較成熟的技術(shù)，可有效完善網(wǎng)絡(luò)結(jié)構(gòu)，相信該技術(shù)后續(xù)會(huì)有更廣泛的應(yīng)用。

參考文獻(xiàn)：

[1] 謝哲天，徐磊.VLAN技術(shù)及其在工業(yè)互聯(lián)網(wǎng)中的應(yīng)用 [J].自動(dòng)化應(yīng)用，2020（7）：69-71.

[2] 程永青.論VLAN技術(shù)的具體應(yīng)用 [J].電腦知識(shí)與技術(shù)：學(xué)術(shù)交流，2016（11Z）：17-19.

[3] 曹園青.基于VLAN技術(shù)的高校網(wǎng)絡(luò)安全加固策略初探 [J].電子制作，2020（22）：39-41+35.

[4] 馬良鴻.網(wǎng)絡(luò)工程中VLAN技術(shù)的應(yīng)用研究 [J].信息與電腦（理論版），2018（2）：150-151+156.

[5] 劉中艷，劉曉.試析VLAN技術(shù)在網(wǎng)絡(luò)工程中的應(yīng)用 [J].數(shù)字技術(shù)與應(yīng)用，2017（1）：29+31.

[6] 李子豪.VLAN技術(shù)在當(dāng)前網(wǎng)絡(luò)工程中的應(yīng)用分析 [J].信息技術(shù)與信息化，2020（8）：147-148.

作者簡(jiǎn)介：魏培（1985—），女，漢族，江蘇沛縣人，中級(jí)工程師，碩士，研究方向：計(jì)算機(jī)應(yīng)用、計(jì)算機(jī)網(wǎng)絡(luò)、網(wǎng)絡(luò)安全。