黄培炎
摘要:目前网络信息通信频繁,同时通信的安全性也有了较高的要求,有时同一局域网内不同部门之间信息需要进行信息隔离,保障信息的通信。另外不同部门之间的信息定向接收可以降低网络通信间的信息传递压力,提高网络中的信息传输效率。为了实现这一目的,可以采用网络的虚拟局域网划分实现网络通信中的信息隔离,提高网络通信的安全性和准确性。
关键词:虚拟局域网划分;隔离;安全
中图分类号:TP311 文献标识码:A
文章编号:1009-3044(2021)17-0046-02
开放科学(资源服务)标识码(OSID):
1定义与作用
VLAN(Virtual Local Area Network)的中文名为“虚拟局域网”。虚拟局域网的含义是一组逻辑上的数据通信设备,这些设备可以直接通信,像在同一个网段一样,但不受物理條件的局限。
这里的逻辑上数据通信是指,在物理连接的局域网中通过VLAN技术,将原本可以通信的局域网内的设备进行逻辑划分;实现信息的隔离。通过设置后同一个VLAN内的计算机可以接收到相互之间的信息,不同VLAN的计算机之间信息不可以直接通信。
2 VLAN技术的优点
优点:
(1)限制广播域
广播是一种信息传播的方式,信息网络当中传播该网络中连接的设备如果都能够接收到该信息,那么这种传播的方式即为广播传递。在现实计算机网络工作过程当中,有些信息需要以广播的形式在固定的局域网内传递,但是局域网内的部分用户又不需要接收到该信息。所以,为了降低无用信息接收带来的干扰,就需要以划分虚拟局域网的形式来进行广播域信息的隔离限制,这样可以降低网络间设备的工作压力,也可以提高网络的工作效率和工作的安全性。
(2)灵活划分网络
在计算机网络通信当中由于网络信息安全的需要,常常进行局域网的分离来保证信息之间的通信安全在VLAN划分的定义中,相同的VLAN是可以进行直接通信的;不同的VLAN不能进行直接通信。这种划分特性可以方便地帮助网络管理员进行网络调整,将网络当中的用户计算机进行虚拟局域网转换,减少了物理线路的调整,方便了管理员的控制,减轻了管理员的工作量。
3 VLAN技术的划分方法
VLAN的划分常应用于二层交换机内,VLAN的划分一般针对交换机的端口,常见的划分方法是将端口通过指令配置划入到相应的虚拟局域网内,然后通过不同的端口进行信息隔离。
划分形式:
3.1单交换机VLAN划分
单交换机VLAN划分是指网络管理员通过对交换机进行指令配置将交换机的端口划入相应的虚拟局域网中。但是需要注意的是,在进行虚拟局域网配置的时候,每一个端口只能划分入一个虚拟局域网内,不能够直接划分入两个局域网。具体的拓扑图如1。
如图我们可以看到PC1和PC2分别连接两个不同的端口,此时我们将两台计算机分别进行IP地址的配置:PC0 192.168.1.PC2 192.168.1.2。通过以前的学习我们可以知道,IP地址是计算机在网络当中进行通信的必要条件,相同网段的IP地址可以直接通信。因此,我们可以此时知道PC0和PC1的IP地址处于同一个网段。
知识点补充:IP地址网段的划分和IP地址网络号有关,网络号相同两个IP地址可以直接通信,网络号不同两个IP地址不能直接通信。
此时为了保证信息通信的安全,需要保证PC0和PC2两个计算机之间不能直接通信,此时可以通过进行局域网划分的方法来进行实现。具体方法如下:
(1) 通过计算机进入交换机进行配置,计算机接入Telent接口进行配置信息;
(2) 计算机创建两个不同的虚拟局域网vlan10 ,vlan20;
(3) 将两个计算机连接的端口归入到在路由器中划分出来的虚拟局域网内;
(4) 测试可得两个计算机之间不能直接通信。
重要配置指令:
SW(config)#vlan 10
SW(config-vlan)#vlan 20
SW(config-vlan)#end
SW# config terminal
SW(config)#int fa0/1
SW(config-if)#switchport access vlan 10
相同步骤将f0/2放入到vlan20当中。
3.2跨交换机VLAN划分
VLAN跨交换机划分主要应用在大型计算机网络当中,这种情况下接入局域网的计算机数量较多,单独依靠一个交换机无法实现现实中的网络排布要求,这时候就需要使用跨交换机VLAN划分技术来实现网络中虚拟局域网的划分。
在交换机中我们已经介绍过了,如果要进行虚拟局域网的划分,需要将端口划分进入虚拟局域网当中。但是,根据交换机端口的特点,交换机的端口分成Access端口和Trunk端口。Access端口接收和发送的信息不带IEEE 802.1Q标签。即端口只能划分进入一个固定的虚拟局域网当中,如果要在两个不同的交换机之间进行虚拟局域网划分,即两个交换机都具有划分到相同虚拟局域网的端口。此时,如果直接使用线路连接两个交换机的连接端口需要和对应的虚拟局域网划分一样才能传递信息。并且每一个连线只能传递一个固定的虚拟局域网的信息。这样的连接配置方式会造成交换机端口的极大浪费。
为了解决这个问题,我们可以把交换机的端口类型修改成为Trunk端口类型。Trunk接口用于交换机和交换机之间的连接,通过这个接口可以实现不同交换机相同vlan间的数据传递。一个Trunk接口,在默认情况下属于本交换机所有vlan。因此,我们在进行不同交换机VLAN配置的时候,可以将两个不同交换机之间的连线端口类型设置成trunk端口,这样的话就会在物理连接上节约很多端口。物理连接方式如图2所示。
如图我们可以看到四台计算机通过两个交换机连接成为一个网络。现在要求PC0和PC6属于同一个虚拟局域网VLAN1 ,PC4和PC5属于同一个虚拟局域网VLAN2,并且这4台电脑的IP地址都属于同一个网段。
要满足以上的要求,需要进行以下操作。
(1) 连接入交换机,在两个交换机内分别创建vlan10和vlan20。
(2) 将两个交换机连接计算机的端口分别转入vlan10,vlan20。注意,需要进行跨交换机通信的计算机,端口归入相同的虚拟局域网内。
(3) 将连接两台交换机的导线,两端对应的端口改为trunk端口。
配置指令如下,两台交换机分别命名为SW1和SW2。
SW1重要配置指令:
SW1(config)#vlan 10
SW1(config-vlan)#vlan 20
SW1(config-vlan)#end 备注:以上指令为在sw1中创建两个虚拟局域网。
SW1# config terminal
SW1(config)#int fa0/1
SW1(config-if)#switchport access vlan 10
同理进入f0/3后可以将端口放入vlan20 内
SW1(config-if)#exit
SW1(config)#int f0/2
SW1(config-if)# switchport mode trunk备注:将sw1的f0/2端口改为trunk模式。
同理我们可以写出SW2的配置指令
在sw2中创建两个虚拟局域网与在SW1中创建虚拟局域网步骤一致。
SW2(config)#int fa0/3
SW2(config-if)#switchport access vlan 10备注:指令作用将端口放入对应vlan中。
同理,通过指令可将对应的端口放入到vlan20当中。
SW2(config-if)#exit
SW2(config)#int f0/1
SW2(config-if)# switchport mode trunk备注:将sw2的f0/1端口改为trunk模式。
SW2(config-if)#end
通过以上配置我们可以实现通过一根线路连接两个不同交换机的相同虚拟局域网。这种配置方式极大地节约了网络线路的铺设成本,同时也可以实现虚拟局域网范围的增加和减少,降低了网络管理员的工作量。
3结束语
校园网的创建需要很多技术手段的支持。在进行校园网創建的过程中要注意网络搭建的实用性和便捷性。同时校园网络搭建是一个与时俱进的过程,因此在进行网络功能实现的过程中要注意硬件设备的使用。通过本文的介绍,VLAN技术可以很好地解决在网络搭建过程中遇到的局域网划分问题,方便了局域网的扩展和搭建,节约了路由器的使用,降低了校园网的搭建成本。
参考文献:
[1] 陈卫民.基于QinQ技术的高校校园网研究[J].湖南城市学院学报(自然科学版),2011,20(2):66-68.
[2] 白香芳,程丕坤.用VLAN技术配置校园网实例[J].电脑知识与技术,2005,1(29):39-42.
【通联编辑:闻翔军】