广播风暴系列专题(三)广播风暴:解决-VLAN技术

sunyke

网络内计算机数超过一定数量后，就必须采取措施将网络分隔开来，将一个大的广播域划分成若干个小的广播域。

分隔广播域的方式有两种，一是物理分隔，即将一个完整网络物理地一分为二或更多，然后通过一个能够隔离广播的网络设备将彼此连接起来。另一个是逻辑分隔，即将一个大的网络划分为若干个小的虚拟子网(Virtual Local Area Network，VLAN)，各虚拟子网间通过路由设备连接实现通信。比较起来，后一种方式更灵活，因为VLAN技术具有如下优点：

1．降低移动和变更的管理成本

由于学校教学人员的变动比较频繁，如果使用了VLAN，当把一台计算机从一个子网转移到另一个子网，迁移的工作只是在交换机上重新定义VLAN即可，尤其是采用网卡的MAC地址来划分VLAN时，交换机能够自动跟踪该终端的MAC地址，并自动将其纳如定义的VLAN中。对于网络管理而言，可以轻松完成变更。假若使用物理手段划分子网，这种迁移将耗费很多精力和时间。

2．控制广播

由于不同的VLAN都是一个独立的广播域，而广播只能在本地VLAN内进行，从而大大减少了广播对网络带宽的占用，提高了带宽传输效率，并可以有效地避免广播风暴的产生。

3．增强网络的安全性

由于交换机只能在同一VLAN内的端口之间交换数据，不同VLAN的端口不能直接访问，因此，通过划分VLAN可以提高网络的安全性。

4．网络监督和管理的自动化

网络管理员通过网管软件可以查询VLAN间和VLAN内通信数据包的分类信息，以及应用数据包的分类信息，这些信息对确定路由系统和经常访问的服务器的最佳配置十分有用。通过划分VLAN可以使网络管理变得更加简单、有效。

实现VLAN有三种不同的方式：

1．基于端口的VLAN。即将交换机中的若干个端口定义为一个VLAN，同一个VLAN中的计算机具有相同的网络地址，不同VLAN之间通过三层路由协议进行通信。采用这种VLAN实现方式后，把一个网络节点迁移时，如果新旧端口不在一个VLAN内，则用户必须对该端口重新设置。对于不同年级、科室互相访问时，可以通过路由器转发，并配合MAC地址的端口过滤，这样就可以防止非法入侵和IP地址的盗用问题。

2．基于MAC地址的VLAN。这种VLAN一旦划分完成，无论节点在网络上怎样移动，由于MAC地址保持不变，因此不需要重新配置。但是如果新增加节点的话，需要对交换机进行复杂的配置，以确定该节点属于哪一个VLAN。

3．基于IP地址的VLAN。采用这种方式的VLAN，在新增加节点时，无需进行太多配置，交换机会自动根据IP地址将其划分到不同的VLAN。这个VLAN智能化最高，实现最复杂。一旦离开该VLAN，原IP地址将不可用，从而防止了非法用户通过修改IP地址来越权使用资源。

要真正使用VLAN，需要对交换机进行配置。这里对具体的配置方法不再赘述，只是要提醒读者注意，对于不同的交换机，VLAN配置是有差异的，而且也并不是所有的交换机都支持VLAN和VLAN的三个实现途径，有的交换机只支持基于端口的VLAN，而不支持基于MAC地址的VLAN等。在实际工作中，应该结合地理位置、部门的划分和具体的管理需求来选择最合适的实现方式。