計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)教學(xué)中VLAN實(shí)驗(yàn)的設(shè)計(jì)研究

梁 盛

（廣州商學(xué)院 信息技術(shù)與工程學(xué)院，廣東 廣州 511363)

0 引言

VLAN 的中文名為虛擬局域網(wǎng)，指將一個(gè)物理的局域網(wǎng)在邏輯上劃分成多個(gè)廣播域，從而可以縮小和隔離廣播域，達(dá)到預(yù)防數(shù)據(jù)流量過(guò)大和廣播風(fēng)暴的一種通信技術(shù)[1]。直接將局域網(wǎng)按網(wǎng)絡(luò)號(hào)劃分成不同的網(wǎng)段，雖能實(shí)現(xiàn)訪問(wèn)隔離的功能，但是后期維護(hù)不方便，更改訪問(wèn)控制需要用戶配合。

例如某單位的人事部和財(cái)務(wù)部，初始計(jì)劃是不能互訪。如果僅使用不同網(wǎng)段進(jìn)行隔離，而不使用VLAN。后期更改為人事部和財(cái)務(wù)部能夠互訪，則需用戶配合更改IP為同一網(wǎng)段，這增加了后期維護(hù)的難度。反之，如果初始設(shè)計(jì)網(wǎng)絡(luò)時(shí)使用了VLAN 技術(shù)，后期訪問(wèn)需求變更，網(wǎng)絡(luò)的更改維護(hù)只需網(wǎng)絡(luò)管理員在交換機(jī)端設(shè)置為VLAN 間路由互訪。此更改過(guò)程不需要用戶參與，簡(jiǎn)化了網(wǎng)絡(luò)管理。

由于VLAN 的作用可以簡(jiǎn)化網(wǎng)絡(luò)管理，控制廣播風(fēng)暴，增強(qiáng)網(wǎng)絡(luò)安全性[2],應(yīng)用比較廣泛，因此VLAN實(shí)驗(yàn)在計(jì)算機(jī)網(wǎng)絡(luò)的實(shí)驗(yàn)教學(xué)中，是一個(gè)比較重要的實(shí)驗(yàn)。在計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)的教學(xué)中，一般講授完交換機(jī)的基礎(chǔ)配置以后，就開(kāi)始講授VLAN 實(shí)驗(yàn)。該文根據(jù)實(shí)驗(yàn)內(nèi)容的由淺入深，實(shí)際應(yīng)用場(chǎng)景由簡(jiǎn)單到復(fù)雜的順序，探討VLAN實(shí)驗(yàn)內(nèi)容的設(shè)計(jì)。

1 接入層只需一臺(tái)交換機(jī)，VLAN 的劃分和路由的配置

當(dāng)公司的空間很小，網(wǎng)絡(luò)規(guī)模很小，一臺(tái)交換機(jī)已能夠供給所有終端設(shè)備接入。此情況可以僅使用一臺(tái)三層交換機(jī)實(shí)現(xiàn)。首先根據(jù)部門的數(shù)量，制定VLAN的劃分計(jì)劃表，列出部門名稱、VLAN號(hào)、VLAN網(wǎng)段，如表1所示。

表1 VLAN的劃分計(jì)劃表

根據(jù)VLAN 的劃分計(jì)劃表，繪出網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。由于兩個(gè)VLAN 與多個(gè)VLAN 的配置方法類似，所以該文VLAN實(shí)驗(yàn)的設(shè)計(jì)研究只選用兩個(gè)VLAN來(lái)舉例子。其中，人事部使用VLAN 10，192.168.10.0 網(wǎng)段；財(cái)務(wù)部使用VLAN 20，192.168.20.0 網(wǎng)段。PC1 和PC3 屬于人事部的個(gè)人電腦，PC2 和PC4 屬于財(cái)務(wù)部的個(gè)人電腦。如圖1所示。

圖1 接入層一臺(tái)交換機(jī)的網(wǎng)絡(luò)拓?fù)鋱D

在交換機(jī)上劃分VLAN 的方法有多種，可以基于端口，也可以基于MAC 地址[3]。但應(yīng)用最廣泛、最有效的方法是基于端口的劃分方法，絕大多數(shù)支持VLAN協(xié)議的交換機(jī)都提供這種VLAN配置方法。交換機(jī)端口出廠默認(rèn)歸屬于VLAN 1。在端口歸屬的配置中，可以一個(gè)VLAN 對(duì)應(yīng)一個(gè)端口，也可以一個(gè)VLAN擁有多個(gè)端口。由于一臺(tái)三層交換機(jī)的端口數(shù)量有限，如果某一個(gè)VLAN 的終端數(shù)目不多，可以直接連至此交換機(jī)；如果某一個(gè)VLAN 的終端數(shù)目很多，可以在此端口下，先加入一個(gè)非網(wǎng)管型普通交換機(jī)，擴(kuò)充可供終端設(shè)備連接的交換機(jī)端口。非網(wǎng)管型交換機(jī)屬于即插即用的設(shè)備，不需要作任何配置。

根據(jù)VLAN 的劃分計(jì)劃表以及網(wǎng)絡(luò)拓?fù)鋱D，在交換機(jī)上需要做以下步驟。首先創(chuàng)建相應(yīng)數(shù)目的VLAN，接著配置端口的屬性，最后將端口歸屬到相應(yīng)的VLAN[4]，配置代碼如下：

[LSW1]vlan 10

[LSW1]vlan 20

[LSW1]interface GigabitEthernet 0/0/1

[LSW1-GigabitEthernet0/0/1]port link-type access

[LSW1-GigabitEthernet0/0/1]port default vlan 10

[LSW1]interface GigabitEthernet 0/0/2

[LSW1-GigabitEthernet0/0/2]port link-type access

[LSW1-GigabitEthernet0/0/2]port default vlan 20

[LSW1]interface GigabitEthernet 0/0/3

[LSW1-GigabitEthernet0/0/3]port link-type access

[LSW1-GigabitEthernet0/0/3]port default vlan 10

[LSW1]interface GigabitEthernet 0/0/4

[LSW1-GigabitEthernet0/0/4]port link-type access

[LSW1-GigabitEthernet0/0/4]port default vlan 20

配置完成后，通過(guò)鍵入display vlan 命令顯示VLAN 的配置情況，總的VLAN 數(shù)目為3 個(gè)，VLAN ID分別為VLAN 1、VLAN 10、VLAN 20。其中端口1 和端口3 屬于VLAN 10，端口2 和端口4 屬于VLAN 20，其余端口處于默認(rèn)狀態(tài)，屬于VLAN 1，如圖2所示。

圖2 Display VLAN命令顯示VLAN的配置情況

配置完VLAN 的劃分后，通過(guò)在PC1 使用Ping 命令進(jìn)行測(cè)試，發(fā)現(xiàn)PC1 能Ping 通PC3，但不能Ping 通PC2 和PC4。因?yàn)镻C1 與PC3 在VLAN 10，PC2 與PC4在VLAN 20。Ping測(cè)試驗(yàn)證了同一個(gè)VLAN的設(shè)備可以互訪，不同VLAN的設(shè)備不能互訪。

如果后期需求更改為不同部門也能互相訪問(wèn)，財(cái)務(wù)部和人事部需要互訪，需要在三層交換機(jī)上配置VLAN間的路由[5]。方法是給每個(gè)VLAN配置一個(gè)IP，此IP 將成為此VLAN 內(nèi)所有終端設(shè)備的網(wǎng)關(guān)。配置方法是通過(guò)interface 命令進(jìn)入某個(gè)VLAN 的接口，給此VLAN設(shè)置一個(gè)IP，配置代碼如下：

[LSW1]interface vlanif 10

[LSW1-Vlanif10]ip address 192.168.10.254 24[LSW1]interface vlanif 20

[LSW1-Vlanif20]ip address 192.168.20.254 24

配置完VLAN 間的路由后，通過(guò)在PC1 使用Ping命令進(jìn)行測(cè)試，發(fā)現(xiàn)PC1不僅能Ping通PC3，也能Ping通PC2和PC4。此Ping測(cè)試的結(jié)果驗(yàn)證了在交換機(jī)上配置VLAN間的路由，能實(shí)現(xiàn)不同VLAN的通信，不同部門的互相訪問(wèn)。

2 接入層有兩臺(tái)或多臺(tái)交換機(jī)，VLAN 的劃分和路由的配置

當(dāng)公司的空間逐漸增大，網(wǎng)絡(luò)規(guī)模也在逐漸增大，一臺(tái)交換機(jī)已無(wú)法方便地提供給所有終端接入，公司放置了兩臺(tái)或者多臺(tái)交換機(jī)，供終端的網(wǎng)絡(luò)接入。從設(shè)備價(jià)格成本考慮，兩層交換機(jī)的價(jià)格比三層交換機(jī)便宜，且兩層交換機(jī)具備劃分VLAN 的功能。因此接入層交換機(jī)一般使用兩層交換機(jī)。公司通過(guò)劃分VLAN 來(lái)隔離廣播域，由于辦公室分散，同一部門的員工通過(guò)不同交換機(jī)接入。VLAN的劃分計(jì)劃表同表1。

由于兩臺(tái)交換機(jī)與多臺(tái)交換機(jī)的配置方法類似，所以該文VLAN 實(shí)驗(yàn)的設(shè)計(jì)研究，只選用兩臺(tái)交換機(jī)來(lái)舉例子。其中人事部使用VLAN 10，192.168.10.0網(wǎng)段；財(cái)務(wù)部使用VLAN 20，192.168.20.0 網(wǎng)段。PC1和PC3 屬于人事部的個(gè)人電腦，PC2 和PC4 屬于財(cái)務(wù)部的個(gè)人電腦。人事部和財(cái)務(wù)部的電腦都存在通過(guò)兩臺(tái)以上交換機(jī)接入的情況。如圖3所示。

圖3 接入層兩臺(tái)交換機(jī)的網(wǎng)絡(luò)拓?fù)鋱D

每一臺(tái)交換機(jī)VLAN 的劃分，同前文接入層只有一臺(tái)交換機(jī)的配置方法。交換機(jī)連接終端設(shè)備的端口，屬性配置為Acess 屬性，從屬于某一VLAN。但是兩臺(tái)交換機(jī)之間的數(shù)據(jù)傳輸一般不局限于某一個(gè)部門某一個(gè)VLAN，而是需要允許多個(gè)部門多個(gè)VLAN的數(shù)據(jù)通過(guò)。因此兩臺(tái)交換機(jī)之間連線的端口，需要將屬性配置為Trunk 屬性，允許某些VLAN 或者全部VLAN通過(guò)。典型的配置為允許全部VLAN通過(guò)。

根據(jù)VLAN 的劃分計(jì)劃表以及網(wǎng)絡(luò)拓?fù)鋱D，在交換機(jī)上需要做以下步驟。首先每臺(tái)交換機(jī)創(chuàng)建相應(yīng)數(shù)目的VLAN，接著配置接入鏈路端口的屬性，將端口歸屬到相應(yīng)的VLAN，最后配置干道鏈路端口的屬性。配置代碼如下：

交換機(jī)的配置代碼如下：

[LSW3]interface GigabitEthernet 0/0/1

[LSW3-GigabitEthernet0/0/1]port link-type access

[LSW3-GigabitEthernet0/0/1]port default vlan 10

[LSW3]interface GigabitEthernet 0/0/2

[LSW3-GigabitEthernet0/0/2]port link-type access

[LSW3-GigabitEthernet0/0/2]port default vlan 20

[LSW3]interface GigabitEthernet 0/0/24

[LSW3-GigabitEthernet0/0/24]port link-type trunk

[LSW3-GigabitEthernet0/0/24]port trunk allowpass vlan all

配置完成后，通過(guò)鍵入display vlan 命令顯示VLAN 的配置情況，總的VLAN 數(shù)目為3 個(gè)，VLAN ID分別為VLAN 1、VLAN 10、VLAN 20。其中兩臺(tái)交換機(jī)的端口1屬于VLAN 10，端口2屬于VLAN 20，端口24 既屬于VLAN 10，也屬于VLAN 20，其余端口處于默認(rèn)狀態(tài)的VLAN 1。

配置完VLAN的劃分后，通過(guò)在PC使用Ping命令進(jìn)行測(cè)試，發(fā)現(xiàn)PC1與PC3能互相Ping通，PC2與PC4能互相Ping通，但兩個(gè)VLAN 間不能Ping通。驗(yàn)證了不同VLAN 的設(shè)備不能互訪，端口配置為Trunk 屬性且允許所有VLAN 通過(guò)的干道鏈路可以通過(guò)所有的VLAN數(shù)據(jù)。

如果后期需求更改為不同部門也能互相訪問(wèn)，財(cái)務(wù)部和人事部需要互訪，需要將其中一臺(tái)二層交換機(jī)更換為三層交換機(jī)，在三層交換機(jī)上配置VLAN 間的路由。方法同前文接入層只有一臺(tái)交換機(jī)的情況，給每個(gè)VLAN配置一個(gè)IP，配置代碼如下：

[LSW1]interface vlanif 10

[LSW1-Vlanif10]ip address 192.168.10.254 24

[LSW1]interface vlanif 20

[LSW1-Vlanif20]ip address 192.168.20.254 24

配置完VLAN 間的路由后，發(fā)現(xiàn)PC1 不僅能Ping通PC3，也能Ping通PC2和PC4，驗(yàn)證了在交換機(jī)上配置VLAN間的路由，能實(shí)現(xiàn)不同VLAN的通信，實(shí)現(xiàn)不同部門的互相訪問(wèn)。

隨著網(wǎng)絡(luò)規(guī)模的增大，接入層交換機(jī)數(shù)量越來(lái)越多，如果網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)依舊保持為一層結(jié)構(gòu)，接入層交換機(jī)兩兩連接，那么從一個(gè)終端設(shè)備到另一個(gè)終端設(shè)備的訪問(wèn)，經(jīng)過(guò)的交換機(jī)節(jié)點(diǎn)數(shù)也會(huì)越來(lái)越多。網(wǎng)絡(luò)的訪問(wèn)速度將降低，網(wǎng)段內(nèi)的數(shù)據(jù)廣播流量會(huì)增多。因此，考慮將網(wǎng)絡(luò)結(jié)構(gòu)從一層結(jié)構(gòu)改為兩層結(jié)構(gòu)，將劃分VLAN 的二層交換機(jī)保留在接入層，將配置VLAN 間路由的三層交換機(jī)提升一層當(dāng)作核心交換機(jī)，不再連接終端設(shè)備。接入層的交換機(jī)則不再是兩兩連接，而是全部連接到核心交換機(jī)，那么從一個(gè)終端設(shè)備到另外一個(gè)終端設(shè)備經(jīng)過(guò)的交換機(jī)數(shù)目為三個(gè)，先后為發(fā)送端所連接的接入交換機(jī)、核心交換機(jī)、接收端所連接的接入交換機(jī)。

3 兩層結(jié)構(gòu)下，VLAN的劃分和路由的配置

在企業(yè)或校園網(wǎng)絡(luò)中，一般使用的是分層的結(jié)構(gòu)。根據(jù)網(wǎng)絡(luò)規(guī)模以及需要實(shí)現(xiàn)的功能，可以分成兩層結(jié)構(gòu)，核心層和接入層；也可以分成三層結(jié)構(gòu)，核心層、匯聚層、接入層。其中，核心層和匯聚層的交換機(jī)，一般放在網(wǎng)絡(luò)中心機(jī)房，由網(wǎng)絡(luò)管理員專職管理。接入層的交換機(jī)，則根據(jù)終端設(shè)備的所在位置，來(lái)決定擺放位置。例如學(xué)校里，會(huì)放置接入交換機(jī)在教學(xué)樓、實(shí)驗(yàn)樓等位置，供終端設(shè)備接入。

由于兩個(gè)VLAN 與多個(gè)VLAN 的配置方法類似，接入層兩臺(tái)交換機(jī)與多臺(tái)交換機(jī)的配置方法類似，這里選用兩個(gè)VLAN，接入層兩臺(tái)交換機(jī)作為例子。其中人事部使用VLAN 10，192.168.10.0 網(wǎng)段；財(cái)務(wù)部使用VLAN 20，192.168.20.0網(wǎng)段。PC1和PC3屬于人事部的個(gè)人電腦，PC2 和PC4 屬于財(cái)務(wù)部的個(gè)人電腦。人事部和財(cái)務(wù)部的電腦都存在通過(guò)兩臺(tái)以上交換機(jī)接入的情況。接入層使用二層交換機(jī)，核心層使用三層交換機(jī)，如圖4所示。

圖4 兩層結(jié)構(gòu)的網(wǎng)絡(luò)拓?fù)鋱D

接入層每一臺(tái)交換機(jī)VLAN 的劃分，同前文接入層只有一臺(tái)交換機(jī)的配置方法。交換機(jī)連接終端設(shè)備的端口，屬性配置為Acess 屬性，從屬于某一VLAN。但是兩臺(tái)交換機(jī)之間的數(shù)據(jù)傳輸，接入層交換機(jī)與核心層交換機(jī)的級(jí)聯(lián)線路作為干道鏈路，需要將屬性配置為Trunk 屬性，允許某些VLAN 或者全部VLAN通過(guò)。

根據(jù)VLAN 的劃分計(jì)劃表以及網(wǎng)絡(luò)拓?fù)鋱D，在交換機(jī)上需要做以下步驟。首先每臺(tái)交換機(jī)創(chuàng)建相應(yīng)數(shù)目的VLAN，接著配置接入鏈路端口的屬性，將端口歸屬到相應(yīng)的VLAN，最后配置干道鏈路端口的屬性。接入層交換機(jī)的配置代碼同前文，核心層交換機(jī)的配置代碼如下：

[LSW1]vlan 10

[LSW1]vlan 20

[LSW1]interface GigabitEthernet 0/0/1

[LSW1-GigabitEthernet0/0/1]port link-type trunk

[LSW1-GigabitEthernet0/0/1]port trunk allow-pass vlan all

[LSW1]interface GigabitEthernet 0/0/2

[LSW1-GigabitEthernet0/0/2]port link-type trunk

[LSW1-GigabitEthernet0/0/2]port trunk allow-pass vlan all

配置完成后，通過(guò)鍵入display vlan 命令顯示VLAN 的配置情況，總的VLAN 數(shù)目為3 個(gè)，VLAN ID分別為VLAN 1、VLAN 10、VLAN 20。其中接入層兩臺(tái)交換機(jī)的端口1 屬于VLAN 10，端口2 屬于VLAN 20，端口3屬于所有VLAN。核心層交換機(jī)的端口1和端口2屬于所有VLAN。

配置完VLAN的劃分后，通過(guò)在PC使用Ping命令進(jìn)行測(cè)試，發(fā)現(xiàn)PC1與PC3能互相Ping通，PC2與PC4能互相Ping通，但兩個(gè)VLAN 間不能Ping通。驗(yàn)證了不同VLAN 的設(shè)備不能互訪，端口配置為Trunk 屬性且允許所有VLAN 通過(guò)的干道鏈路可以通過(guò)所有的VLAN數(shù)據(jù)。

如果后期需求更改為不同部門能互訪，不同VLAN 能互相通信，則在核心層交換機(jī)上進(jìn)行VLAN間路由的配置。

4 結(jié)束語(yǔ)

在VLAN 實(shí)驗(yàn)內(nèi)容所設(shè)計(jì)的三個(gè)網(wǎng)絡(luò)應(yīng)用場(chǎng)景中，可發(fā)現(xiàn)接入層的交換機(jī)，都需要做VLAN 的劃分和端口的歸屬這兩個(gè)步驟，且配置方法是一樣的，VLAN 間路由的配置代碼也是一樣的。區(qū)別在于VLAN 間的路由，選擇在哪臺(tái)交換機(jī)上進(jìn)行配置。在接入層只有一臺(tái)交換機(jī)的情況下，只能在此交換機(jī)；在接入層有多臺(tái)二層交換機(jī)的情況下，選擇其中一臺(tái)更改為三層交換機(jī)，并進(jìn)行VLAN 間路由的配置；在兩層網(wǎng)絡(luò)結(jié)構(gòu)下，選擇核心層交換機(jī)進(jìn)行VLAN 間路由的配置。

通過(guò)對(duì)VLAN 實(shí)驗(yàn)內(nèi)容進(jìn)行由淺入深的設(shè)計(jì)，網(wǎng)絡(luò)規(guī)模從一臺(tái)交換機(jī)，到一層的網(wǎng)絡(luò)結(jié)構(gòu)，再到兩層的網(wǎng)絡(luò)結(jié)構(gòu)。學(xué)生在學(xué)習(xí)中，循序漸進(jìn)地掌握VLAN相關(guān)的知識(shí)，學(xué)習(xí)興趣得到提高，實(shí)驗(yàn)教學(xué)質(zhì)量也得到了提升。