基于端口的VLAN划分与信息共享的实现

高兰

（西安铁路职业技术学院 陕西 西安 710014）

虚拟局域网VLAN（Virtual Local Area Network）可以解决广播帧的隔离问题[1]，是为解决以太网的广播问题和安全性而提出的。VLAN技术允许网络管理员将一个物理的LAN用VLAN ID把用户逻辑地划分成不同的广播域，每一个VLAN都包含一组有着相同需求的计算机，与物理上形成的LAN有着相同的属性。

出于安全等因素的考虑，为了使同一个部门的计算机可以相互访问、信息共享，不同部门的计算机不能互访，可将每个交换机上连接的同一部门的计算机的端口划分到一个虚拟网（VLAN2）中，将另外部门的计算机的端口划分到另一个虚拟网（VLAN3）中。

1 利用HUAWEI Quidaway S2016交换机进行Vlan划分的配置

H1与H3划分为同一个Vlan2，虚拟局域网的划分如图1所示，现要将同一个部门的H2与H4划分到同一个Vlan3中。

利用RJ－45接口的双绞线将交换机与若干台计算机进行物理连接。并用交换机专用线将交换机A的console口与计算机H1相连接。

程序—附件—通讯—超级终端，如图2，输入连接说明的名称：Switch－确定，在如图3中选择 COM1端口－确定。打开图3 COM1属性窗口，如图4，点击“还原为默认值”—确定[2]。

图1 VLAN划分拓扑图Fig.1 The topology of VLAN divide

进入Switch－超级终端界面。可以看到光标的闪烁，按回车键。出现＜Quidway＞提示符，现在可以对交换机A进行配置。

图2 连接描述窗口Fig.2 The window of link describe

图3 连接选项窗口Fig.3 The window of link option

图4 COM1属性窗口Fig.4 The window of COM1 property

图5 交换机配置操作窗口Fig.5 The window of switch configure

关闭Switch A配置窗口。

同理，用交换机专用线将交换机B的console口与计算机H1相连接，可进行Switch B的配置。要注意干路端口的设置。

2 设置计算机的IP地址

对计算机H1进行IP地址的设置，如将其IP地址设为192.168.2.101。右击桌面上的网上邻居—属性，进入网络连接窗口界面，右击本地连接—属性，进入本地连接属性窗口。选择 Internet协议（Tcp/Ip）—属性，进入 Internet协议（Tcp/Ip）属性窗口[3]。在这里，将IP地址设为192.168.2.101，子网掩码设为255.255.255.0，默认网关设为192.168.2.1。

同理，分别配置其他3台计算机H2、H3、H4的IP地址为：192.168.2.102、192.168.2.103、192.168.2.104。

至此，两个虚拟局域网按要求划分配置完成。

基于端口的VLAN划分的优点是配置相对简单，对交换机转发性能几乎没有影响。其缺点是需要为每个交换机端口配置所属的VLAN，一旦用户移动位置，可能需要网络管理员对交换机相应端口进行重新设置[4]。

3 Vlan的验证与信息的安全共享

3.1 Ping命令测试

Ping命令是一个测试程序，在安装了TCP/IP协议之后，就可以利用ping命令来验证与网络中其他计算机的连接。根据返回信息，就可以推断TCP/IP参数设置是否正确，网络运行是否正常，如果某些ping命令出现运行故障，它也可以提示到任务处去查找问题[5]。

利用计算机H1分别对其他3台计算机进行ping命令测试，同一VLAN中的计算机可以ping成功，不同VLAN的计算机ping不通。H1可以ping通H3，但ping不通H2和H4。

如，在H1计算机上操作[6]：开始—运行—cmd—确定，在光标提示符后输入ping 192.168.2.102—回车，显示为Request time out。但如果输入ping 192.168.2.103—回车，显示可以ping通，说明VLAN划分成功。

在网上邻居中查找计算机，只能看到同一个 VLAN中的计算机，其他的看不到。如，计算机H1在网上邻居中只能看到H3，看不到H2和H4。同理，计算机H2只能在网上邻居中看到H4，看不到H1和H3。

3.2 发送信息

使用net send命令给同一vlan和不同vlan中的计算机发送信息[7]。先对将要进行通信的电脑进入相应设置，因为，多数操作系统的信使服务默认是禁用的。

在“我的电脑”上右击—管理，进入计算机管理界面—双击 “服务和应用程序”—单击 “服务”—在名称列表中找到messenger—双击“messenger”，进入 messenger属性窗口—将启动类型的“已禁用”改为“自动”—应用—启动—确定，启动了信使服务。

单击“开始”菜单，点击“运行”后，在运行对话框中输入“cmd”，确定，在光标提示符后输入net send IP地址 发送共享信息的文字。如，net send 192.168.2.120请上交部门年度财务预算，回车。

可以看到同一VLAN中，对方计算机上出现接收到消息内容窗口。而不同VLAN中的计算机收不到消息，这样就实现了重要信息的定向到达。

3.3 VLAN中的广播

在上述启用messenger服务的状态下，开始—运行—cmd—确定，在光标提示符后输入net send*发送共享信息的文字。如，net send*重要通知：下午2：00在第一会议室召开人事任免会议，回车。

可以看到同一VLAN中，所有计算机上出现接收到消息内容窗口。而不同VLAN中的计算机收不到信息。利用这一操作，可以在同一VLAN中发送的通知信息，而不被其他VLAN的计算机接收，从而实现了信息的安全共享。

3.4 共享文件夹

在某计算机上设置共享文件夹，同一VLAN中的计算机可以打开共享文件夹，不同VLAN计算机看不到共享文件夹。

双击网上邻居—打开相应的工作组，可以看到同一VLAN中的共享文件夹，并可对它进行访问。以上测试，验证了VLAN的划分可以满足实际应用中同一个部门的计算机可以相互访问、信息共享，不同部门的计算机不能互访网络安全的要求。

4 结束语

以上虚拟局域网的划分，可以有效地保证部门间的信息共享与信息安全。网络设备具有"虚拟"的重新配置网络的能力[6]，如果网络用户间的通信关系有所改变，只需要网络管理员通过交换机控制台的操作，对需要重新分配用户关系计算机物理端口间重新建立新的虚拟局域网即可。

[1]高传善，毛迪林，王雪平，等.计算机网络[M].1版.北京：人民邮电出版社，2002：154.

[2]眭碧霞.计算机网络实训[M].1版.北京：机械工业出版社，2005：162-163.

[3]邢彦辰.计算机网络与通信[M].1版.北京：人民邮电出版社，2008：249.

[4]孙秀英.路由交换技术与应用[M].1版.西安：西安电子科技大学出版社，2009：120.

[5]舒云星.计算机网络技术基础[M].1版.武汉：武汉理工大学出版社，2005：89.

[6]江锦祥.计算机网络与应用[M].2版.北京：科学出版社，2009：151.

[7]宋庆大，李冬，徐天野.计算机网络安全问题和对策研究[J].现代电子技术，2009（21）：93-95，98.

SONG Qing-da，LI Dong，XU Tian-ye.Security problems and countermeasure research of computer network[J].Modern Electronics Technique，2009（21）：93-95，98.