基于VLAN的网络应用与研究

摘  要：在二层网络里，由于接入终端数量较大，形成的广播域也很大，一旦发生广播风暴，会造成二层网络拥塞、垃圾流量过多等现象，严重影响全网的终端上网功能。在网络规划时使用VLAN技术控制广播域的范围，减少广播风暴的影响范围，提高网络性能是目前较常用、较规范的设计方法。文章介绍VLAN技术的相关内容，并将二层接入网络增加VLAN设计进行改造，并结合DHCP技术使终端上网方便，且减少了网络风暴的影响，取得了很好的使用效果。

关键词：VLAN;标签;单臂路由;DHCP

中图分类号：TP393.1       文献标识码：A 文章编号：2096-4706（2020）22-0065-04

Network Application and Research Based on VLAN

WEI Pei

（Anhui Branch of National Computer Network and Information Security Management Center，Hefei  230031，China）

Abstract：In the layer-2 network，due to the large number of access terminals，the formation of the broadcast domain is also very large. Once a broadcast storm occurs，it will cause the congestion of the layer-2 network，excessive garbage flow and other phenomena，which seriously affect the internet access function of the whole network. Using VLAN technology in network planning to control the scope of the broadcast domain，reduce the scope of influence of broadcast storms，and improve network performance is currently a more common and standardized design method. This paper introduces the related content of VLAN technology，and adds VLAN design to the layer-2 access network for transformation. Combined with DHCP technology，it makes the terminal convenient to access the internet，and reduces the impact of network storm，and achieves good results.

Keywords：VLAN;tag;single arm routing;DHCP

0  引  言

网络安全与网络运行维护是笔者工作的主要任务，笔者在工作中经常遇到部分网络早期由于需要联网的终端较少，网络结构设计缺少科学的长远的规划，导致接入层缺少VLAN技术的使用。后期随着网络规模扩大，日常使用的终端设备种类数量也随之增多，导致所有的终端工作在同一个广播域内。由于广播域太大，导致经常出现广播风暴，网络拥塞现象，大大降低了网络性能，甚至有的网络安全事件频发。为此，引入VLAN技术对网络改造达到网络规范化建设是亟待实施的工作。

1  相关技术简介

1.1  二层交换机工作原理

二层交换机内部维护着MAC地址表，交换机通过学习以太网数据帧的源MAC地址维护MAC地址表，通过数据帧里的目的MAC地址查找MAC地址表决定发往目的端口。一个MAC地址仅能出现在一个端口上。二层交换机对数据包的处理方式有学习、泛洪、转发、丢弃。泛洪是一个重要的特性，指收到广播帧、组播帧、未知单播帧时会从除了接收口外的接口转发出去。MAC地址的记录一般在交换机里保存约5分钟，一旦接口DOWN，MAC地址记录会被清空。在华为交换机内可用dis mac-address命令查看当前的交换机MAC地址表。当网络有级联结构时，一个物理接口里会出现多个MAC地址。

1.2  VLAN的分类

VLAN的分类方式有多种，可以按照交换机的接口划分，适用于接入终端位置相对固定的情况，也适用于一般规模的单位使用，该方式是较为常用的方式;还可以按照终端的MAC地址分类，这种方式适用于终端设备位置经常变动的接入情况，而且在做配置之前需要事先统计终端的MAC信息，一般在安全性要求较高、严格限制接入终端的情况下使用;也可以按照IP子网、策略分类。目前使用最多的是按照交换机接口划分的方式。

1.3  VLAN间的访问

VLAN间访问的方式：路由器的物理接口、单臂路由、三层交换机VLAN虚拟接口，其特点如表1所示。

2  VLAN的优势

以太网随着广播域的增大，网络安全现象与垃圾流量问题随之增多。二层广播域带来很大问题，当出现如ARP数据包时，该包会泛洪至全网中的每一台设备，其中能做出应答的设备最多有一个，其余的流量均为垃圾流量。该垃圾流量占用带宽资源，给整个二层网络带来严重的负担，影响了网络性能。泛洪现象如图1所示，图中箭头是泛洪流量，当一台PC机发出广播时，数据帧会被交换机传送至该广播域的每一台终端，即使很多主机不需要接收这些数據帧。

VLAN可以将广播的传播范围限制在相关的主机范围内，进而减少这种影响。VLAN的优点有：将广播域限制在某一个范围内，节省了带宽资源，提高了网络性能;不同的VLAN间的报文是相互隔离的，提高了局域网的安全性;当网络出现故障时，故障的影响范围也会缩小至VLAN内，不会波及更广的范围。通常在规划时VLAN与广播域和子网相对应。

3  网络优化方案介绍

现有网络结构缺少科学的规划，网络结构由一台接入交换机和一台路由器组成，接入交换机为二层结构，负责终端设备的接入，路由器0口配置了内网地址：192.168.254.254/ 16作为终端设备的网关，并配置了DHCP地址自动获取;1口配置了公网IP，并配置了NAT转换和静态路由。该网络可以实现用户上网功能，但是由于不同部门之间的终端地址在同一个16位的网段内，也就是所有终端均在同一个广播域内，当发生网络风暴时，会影响所有的终端设备，任何一台设备发出ARP等广播帧，导致广播流量泛洪至全网，所有的终端都会收到该流量，严重影响网络性能。由于不同部门终端的IP在同一网段内随机获取，当发生网络安全事件或病毒感染事件，不能迅速定位到使用该地址的所属部门，也会给后期事件处理带来不便。这个设计在终端设备较少的环境下可以正常工作，但是随着终端数量增多，网络规模扩大，其网络性能下降，不易于管理的弊端越来越明显。如果该网络内有一台主机发起ARP攻击，会导致整个单位的网络瘫痪，影响范围广，排查恢复困难。未使用VLAN的网络拓扑如图2所示。

路由器的部分配置为：

dhcp enable

acl 2000

rule peimit source any

interface g/0/0

ip add 192.168.254.254  16

dhcp select interface

dhcp server dns-list 114.114.114.114

interface g/0/1

ip add 公网IP 掩码

nat outbound 2000

ip routing-static 0.0.0.0 0.0.0.0 公网ip

鉴于以上缺点，为了缩小广播域，合理规划IP地址的分配，使网络结构清晰，采用了网络分层的设计思想，一般网络是由接入层、汇聚层、核心层以及出口组成。由于本单位网络规模不是特别大，将汇聚层和核心层混合一体，采用接入层、匯聚层、出口层的分层结构。按照现有的部门数量，将接入终端划分为4个VLAN，并在汇聚交换机上配置VLAN虚拟口用作每个VLAN终端的网关。在汇聚层交换机上，采用DHCP的方式为终端动态分配IP地址，DNS服务器也是通过配置自动获取。汇聚交换机的上联口也是用虚拟VLAN口配置，VLAN的划分如表2所示，VLAN内使用C类内网IP分配，每个VLAN大小约容纳200多个终端，可以满足每个部门的终端上网需求的发展需求。本次设计在汇聚交换机的VLAN虚拟口和路由器之间运行了OSPF协议，这种动态的路由协议运行灵活，避免了静态路由的牵一发动全身的缺点。如果后期需要增加部门，仅需在汇聚交换机上新增VLAN相关配置，出口路由器的配置无须改动，这一点确保了网络规模的扩容，有利于网络的稳定平滑扩容，减少用户对网络变动的感知。

重新规划改造后的拓扑结构如图3所示。

涉及的部分配置为：

（1）出口路由器：

acl 2000

rule peimit soure any

interface g/0/0

ip add 192.168.100.1 24

interface g/0/1

ip add 公网IP 掩码

nat outbound 2000

ip routing-static 0.0.0.0 0公网ip

ospf 1 route-id 1.1.1.1

area 0

network 192.168.100.1 0.0.0.0

default-route-advertise

（2）接入交换机的部分配置：

Dhcp enable

vlan bath 10 20 30 40 100

interface g0/0/1

port link-type access

port default vlan 10

interface g0/0/0

port link-type access

port default vlan 100

interface g0/0/2

port link-type access

port default vlan 20

interface g0/0/3

port link-type access

port default vlan 30

interface g0/0/4

port link-type access

port default vlan 40

interface vlanif 10

ip add 192.168.1.254 24

dhcp select interface

dhcp server dns-list 114.114.114.114

interface vlanif 20

ip add 192.168.2.254 24

dhcp select interface

dhcp server dns-list 114.114.114.114

interface vlanif 30

ip add 192.168.3.254 24

dhcp select interface

dhcp server dns-list 114.114.114.114

interface vlanif 40

ip add 192.168.4.254 24

dhcp select interface

dhcp server dns-list 114.114.114.114

interface vlanif 100

ip add 192.168.100.254 24

ospf 1 route-id 2.2.2.2

area 0

network 192.168.0.0 0.0.255.255

之前所有的终端在同一个广播域，一旦遇到广播风暴会波及全网终端。现在，使用VLAN将部门之间分隔开，每个部门是独自的广播域，当广播风暴发生后，仅会影响该部门，大大减少了垃圾流量对全网的影响。比如部门1的某台终端发出广播帧，由于部门1是一个广播域，广播帧由于VLAN的隔离作用，仅能在部门1所涉及的范围内泛洪，这样就减少了广播风暴对全网的影响，之前经常发生的延迟时间长、网速慢的现象有所改善。现在网络扩展性能有所提升，如果后期需要增加终端，仅需将主机连接至接入交换机;如果需要扩展部门，需要增加VLAN及其相关接口配置，并在汇聚交换机里的OSPF配置中宣告该新增的网段。总之，引入VLAN技术的网络避免了广播域规模大的缺点，减少了广播风暴的影响范围，后期网络可以有规划地擴展，带来了良好的网络运行效果。

4  结  论

本文利用VLAN技术将二层网络进行了调整和整理，达到了以VLAN划分广播域的目的，使广播风暴仅影响某个VLAN内，减少了网络中的垃圾流量以及网络风暴带来的影响，提升了网络的安全性，也改善了网络性能。VLAN技术在较大型网络中起到隔离广播域的作用，是网络规划常用的技术。后期还可以从增加安全性和高可用性考虑，引入VRRP技术，达到网关保护的目的;还可以使用捆绑技术，有效地避免网络的单点故障。VLAN技术是目前局域网里较成熟的技术，可有效完善网络结构，相信该技术后续会有更广泛的应用。

参考文献：

[1] 谢哲天，徐磊.VLAN技术及其在工业互联网中的应用 [J].自动化应用，2020（7）：69-71.

[2] 程永青.论VLAN技术的具体应用 [J].电脑知识与技术：学术交流，2016（11Z）：17-19.

[3] 曹园青.基于VLAN技术的高校网络安全加固策略初探 [J].电子制作，2020（22）：39-41+35.

[4] 马良鸿.网络工程中VLAN技术的应用研究 [J].信息与电脑（理论版），2018（2）：150-151+156.

[5] 刘中艳，刘晓.试析VLAN技术在网络工程中的应用 [J].数字技术与应用，2017（1）：29+31.

[6] 李子豪.VLAN技术在当前网络工程中的应用分析 [J].信息技术与信息化，2020（8）：147-148.

作者简介：魏培（1985—），女，汉族，江苏沛县人，中级工程师，硕士，研究方向：计算机应用、计算机网络、网络安全。