虚拟局域网的组建与应用分析

姜亚军

(辽阳职业技术学院，辽宁 辽阳 111000)

0 引言

在网络带宽不断扩展的背景下，虚拟局域网成为各行各业组建网络的新选择。作为一种摆脱物理条件限制的方式，虚拟局域网可以满足同一内网多设备运行需求，并可将带有隐私数据用户和网络其他部分隔离开来，防控网络机密信息泄露。因此，探究虚拟局域网的组建与应用具有非常突出的现实意义。

1 虚拟局域网的组建优势

1.1 规避广播风暴

广播风暴特指广播数据充斥网络并占用海量网络带宽阻碍正常业务运行的现象。在无线时代，AP设备(无线接入点)的发现与管理操作无时无刻不在产生着广播包，广播风暴现象频繁出现。通过虚拟局域网组建，有望分割广播域，规避广播风暴。

1.2 保障内网安全

虚拟局域网是安全稳定性较为突出的网络，可在隔离带敏感数据用户、网络其他部分的同时，防控机密信息泄露。同时虚拟局域网可以隔离自身与外部局域网报文传输机制，限制无线设备访问内网，保障内网安全[1]。

1.3 提高管理效率

传统局域网环境无法对不同网段进行上网策略、流量控制策略的差异化配置，而虚拟局域网可以根据管理需要，介入功能分类，在不同地域、网络集中客户，为不同部门划分不同网段，提高管理效率。

2 虚拟局域网的组建技术

2.1 DHCP技术

DHCP技术(dynamic host configuration protocol，动态主机配置协议)是一种根据用户需要自动分配IP地址、缺省网管、子网掩码、DNS服务器地址的技术，可以规避大规模、海量客户端网络内IP地址冲突。

在虚拟局域网组建时，DHCP技术除用于内网(或网络服务商)DNS服务器、主机名、IP地址、域名分配外，还可配合其他服务进行集成化管理。常用的IP地址分配方式为自动、动态、手工分配[2]。自动分配即通过DHCP服务器为主机提供一个永久不变更的IP地址；动态分配即通过DHCP服务器为主机提供一个允许变更且限时的IP地址；手工分配即先由网络服务器管理员为客户端指定IP地址，进而由DHCP服务器将指定IP地址向客户端主机分配。

2.2 PAT技术

PAT技术(performance acceleration technology，性能加速技术)是一种促使内部网络主机共享合法外部IP地址并访问外部网络的技术，可在降低IP地址资源损耗的同时，致使内部网络主机隐形化，规避外部对内网攻击。

在虚拟局域网组建时，PAT技术需要利用全局配置命令“ip nat pool xingming kaishi-ip jieshu-ip {netmask |prefix-length prefix-length}”，进行内部全局地址池创建。进而为降低动态NAT(Network Address Translation，网络地址转换)内部网络用户自由度，利用全局配置命令“access-list access-list-shuzi permit source[source-wildcard]”，进行一个访问控制列表创建。同时，利用全局配置指示命令“access-list-shuzi pool xingming overload”，将访问控制列表、全局地址池应用到NAT转换过程。进而利用端口配置命令“ip natinside”和“ip address ip-address mask”，先明确路由器中NAT转换的内部与外部端口，再将IP地址配送给NAT内部、外部端口并同时启用相应端口。

2.3 ACL技术

ACL技术(access control list，访问控制列表)是运用于路由器接口的数据包拒绝、接收规则(或指令列表)。在包过滤理念下，ACL技术可以读取路由器特定层包头信息(目标地址、源地址、源端口、目标端口等)，依据前期定义规则过滤数据包，或按规则顺序匹配数据包，达到控制访问的目的。

在虚拟局域网组建时，ACL技术主要包括标准ACL、扩展ACL两种。标准ACL是以数据包源IP地址发出数据包允许、拒绝指令的方法，多用“access-list-shuzi{permitl deny}source[souce-wildcard]”语法，可以控制1～99的列表；扩展ACL是以数据包源IP地址以及端口、目的IP地址、标准、指定协议发出数据包允许、拒绝指令的方法，常用语法为“access-list-number{permitldeny}kongzhi{source souce-wildcard destination-wildcard[operator operan]”，可以控制100～199的数据列表。

3 虚拟局域网的组建方案

3.1 VLAN标记

VLAN(虚拟局域网)标记内源地址字段、类型字段间Byte的数量为4个，前、后2个Byte功能不同，表示也不同。前2个Byte规范为IEEE规范，表示为十六进制的0×8 100，负责虚拟局域网协议标识制作；后2个Byte表示3Bit+12Bit，均负责TAG信息控制。其中3Bit范围为0～7，特指用户优先级字段，可在网络堵塞时优先排队转发，而12Bit则标识带有虚拟局域网标记帧的归属方，标准局域网范围为1～1 001，扩展局域网范围为1 006～4 094，1 002、1 003、1 004、1 005均为无法删除的令牌环网络，用于802.1Q协议启动。

3.2 VLAN划分

在明确VLAN标识后，须采用基于MAC(物理网卡)地址或基于交换机端口、网络层、IP组播的方式进行虚拟局域网划分。不同的虚拟局域网划分方式，对虚拟局域网可用性具有较大影响。

3.2.1 基于MAC地址的VLAN划分

在基于MAC地址的虚拟局域网划分时，每一块网卡的MAC地址、交换机跟踪的虚拟局域网物理地址一一对应，且具有唯一性，因此，需要根据每一台PC机的网卡或物理地址，将每一台PC机的MAC地址配置到对应的逻辑组，允许用户在保留所属虚拟局域网成员身份的前提下，从一个物理位置节点向另外一个物理位置节点转移。

3.2.2 基于交换机端口的VLAN划分

在基于交换机端口的虚拟局域网划分时，可以将一台交换机局部模式为访问模式的端口或者若干台交换机的局部模式为访问模式的端口换分为一个逻辑组，后续由网络管理员分配交换机端口，并在不考虑端口连接设备的情况下完成端口参数设置，基于交换机端口的VLAN划分如图1所示。

图1 基于交换机端口的VLAN划分

如图1所示，局域网交换机端口1、端口2、端口3、端口7、端口8组成了一个逻辑组VLAN1，局域网交换机端口4、端口5、端口6组成了一个逻辑组VLAN2。

3.2.3 基于网络层的VLAN划分

在基于网络层的虚拟局域网划分时，应根据ISO/OSI体系结构第三层网络侧路，通过协议差异进行若干虚拟局域网划分，即在以太网帧的基础上增设虚拟局域网头部控制信息，经虚拟局域网层级划分将主机划分为更小的网络，通过限制ID存在差异的虚拟局域网主机第三层互相访问权限，隔离不同主机信息交互。比如VLAN1～VLAN5为计算机房网段，VLAN6为服务器机房网段，VLAN7为管理网段。

3.2.4 基于IP组播的VLAN划分

在基于IP组播的虚拟局域网划分时，可以通过根据TCP/IP内IP地址差异，进行若干虚拟局域网划分。比如在某小型企业虚拟局域网组建时，要求现有2个部门之间无信息交互，但部门各自可以进行信息交互，此时，在VLAN10内其中一个部门的IP地址可以分配为192.168.10.0～192.168.10.235，而VLAN20内另外一个部门的IP地址可以分配为192.168.20.0～192.168.20.248。

3.3 VLAN配置

3.3.1 交换机

在虚拟局域网中，交换机包括核心、汇聚、接入层交换机。其中核心交换机负责满足骨干网络数据高速、安全转发需求，不需要策略配置，仅需要进行设备名称修改、进入端口路由模式设置、进入端口选择、接口IP地址选择等简单配置；汇聚交换机负责汇聚数据，需要选择内嵌安全策略的交换机，满足硬件访问权限限制、网络攻击防控、网络扫描限制需求；接入层交换机负责接入设备，其需要先从与汇聚层交换机连接端口着手，将F0/24修改为Trunk模式。进而根据规划要求进行相应虚拟局域网创建，最终将不同的虚拟局域网分配给不同端口，如将VLAN20分配给端口2：insert (config)#interface range F0/2；insert (config-if)#switchport access vlan20。

3.3.2 动态协议

在虚拟局域网之间信息交互时，除配置核心、汇聚交换机外，还需要进行动态路由协议的配置。在选择链路状态协议OSPF后，可以进行汇聚层配置，具体配置如下。

do office work_assemble(config)#ip routing//开始路由功能

do office work_assemble(config)#router ospf 1//创建OSPF进程

do office work_assemble(config-router)#wangluo 192.168.1.00.0.0.255bendi0//接入OSPF进程

do office work_assemble(config-router)#wangluo10.0.0.00.255.255.255bendi0

do office work_assemble(config-router)#。

在汇聚层配置动态协议后，可以进行核心层动态协议配置，即：

sw_core(config)#router ospf1

sw_core(config-router)#wangluo192.168.1.00.0.0.255bendi0

sw_core(config-router)#wangluo10.0.0.00.255.255.255bendi0

sw_core(config-router)#jieru-zhuanhuanfo/5//。

4 虚拟局域网的实际应用

4.1 分布式监控

基于虚拟局域网的分布式监控包括上位机(工控机、网络通信部件)、下位机(工控机、网络通信部件、信号采集部件)、监控终端(办公用计算机)几个部分，上位机负责数据监控，下位机负责现场监控，监控终端负责管理分析。在网络配置模式下，需要在同一网段设置若干区域若干下位机外网IP地址、上位机IP地址，形成虚拟局域网。

在虚拟局域网中，下位机可经端子排与驱动程序连接，读取仪表设置参数并将参数转换为可显示的数值，如压力、温度等。同时经ADSL MODEM将现场采集数据向INT网络发送。INT网络可以经路由器、光纤收发器、交换机向上位机输送数据，上位机可将数据传输给监控终端，并将监控终端分析后的指令发送给下位机，实现分布式监控。监控终端可以随时查看现场、历史运行数据以及各类图表，及时发现现场故障问题，根据数据趋势提出解决方案。

4.2 过程层管理

智能网络架构包括站控、间隔、过程层3个层级，涉及站控、过程层网络，其中过程层网络汇聚了智能终端、合并单元，降低了回路长度，可以经光线媒介与间隔层设备进行信息交互。在过程层网络中，SV(采样值信息)是主要传输信息，要求发送速率达到4 000帧/s，发送量较大，极易引发广播风暴。基于此，可以利用IEEE802.1Q附加的虚拟局域网信息标识，进行虚拟局域网划分，过滤报文，规避广播风暴。报文中的虚拟局域网信息标识为目标MAC地址、发生源MAC地址、TPID、TCP、类型、数据部分、CRC，其中目标MAC地址为6 bit/s；发生源MAC地址为6 bit/s；TPID(0×8 100)为2 bit/s；TCP(内含12 bit/s的VLAN信息标识)为2 bit/s，包括User priority(3 bit/s)、CFI(1 bit/s)、VLAN ID(12 bit/s)；类型为1 bit/s；数据部分为46～15 006 bit/s；CRC为4 bit/s。

为顺利过滤报文，可以设置若干交换机VLAN ID仅对应1个Port-base VLAN ID，以便在收到一个untaged数据包时自动“粘贴”VLAN标签，经交换机untaged端口接收数据包或发送去标签数据包。此时，在动态查询报文信息未增加的情况下，交换机不负责二层组播管理协议，也不会动态变更网络划分，网络报文流量显著降低。

5 结语

在标准以太网帧内插入VLAN TAG标记字段后，可以实现虚拟局域网的搭建。从本质上而言，虚拟局域网是从逻辑层面将一个物理空间真实广播域局域网划分为若干完全隔离的子广播域的技术，可以在降低主机硬件资源损耗量的同时，防止安全信息泄露并降低病毒泛滥传播风险，为用户提供良好的体验。因此，相应技术人员可以根据虚拟局域网应用需求，利用ACL、PAT、DHCP技术，进行子广播域的逻辑划分与隔离，为各行各业发展提供安全的网络环境。