VLAN技术在实际应用的方案设计探讨

1、vlan技术在实际应用的方案设计探讨孙英伟(宇波大红鹰职业技术学院，浙江 宁波315175)摘要：随着计算机网络应用的普及，网络技术的选择和设计的合理性成为网络能够稳定运行的重要因素。本文主要讨论虚拟局域朋 (vlan)技术在实际的应用中，关于方案设汁的合理性方而进行说明，并针对划分vlan时出现跨越网络的核心的问题进行说明 釆用网络的分层结构设计方法来解决跨越网络核心的问题，提高网络性能和网络的稳定性。关键词：vlan;交换机；网络分层设计中图分类号：tp393文献标识码：a文章编号：1009- 3044(2008) 14- 2083102vlan technology in the pra

2、ctical application of the dcsign of the programmesun ying- wei(n ingbo daliongying vocational technical college, n ingbo 315175, china)abstract: with the popularity of computer network applications,network technology selection and design of the reasonable ness of the network can become an import lin

3、t factor for stability operations. this paper mainly discusses virtual local area n etwork (vlan ) technology in the practical application of the programme on the design aspects of the reasonableness of the explanation and vlan against division occurs when the core network beyond the issues that the

4、 hierarchical structure of a network designed to solve beyond the core network, improve network performance and network stability.key words: vlan; switch; network layering design1引言随着计算机网络的发展和计算机网络技术应用的普及，在越来越多的企业中针对计算机网络的结构设计也更加亟视起来，其 中vlan技术的应用相对较多，但大多缺少对于vlan设计的合理性，这样极大的影响了网络的性能和稳定性。如何更好的合理的 利用vl

5、an技术成为其中的关键所在。2虚拟局域网(vlan)概述vlan( virtual lan),即 能拟局域网”。是将局域网内的设备逻辑地而不是物理的划分成一个个网段的技术.vlan相当于os1 参考模型的第二层的广播域，能够将广播风暴控制在一个vlan内部，网络性能得到显著提高.能够有效的控制广播风暴影响的区 域，増加网络的安全性，简化网络管理提高网络组建的灵活性。vlan之间的通信可以采用三层交换机或者是路由器來实现.其中以 三层交换机方法较为普遍，本文以采用三层交换技术实现vlan之间的互访。3 vlan的标准在1996年3民 制定了 ieee802(2的vlan标准。图1802.1q数据

6、帧格式4 vlan设计和应用随着vlan技术的广泛应用，同时也出现了一些设计方面的问题，下面就在vlan网络的设计过程中容易出现的情况进行论述。 4.1 vlan+h互受影响根据vlan的定义和技术规范.vlan不是由独享的物理设备和物理链路搭建的物理子网或网段，vlan与实际的物理子网的 本质区別在于，vlan z间要共享物理设备和物理链路，因此，vlan间就会通过所共享的设备和链路相互彫响。vlan是通过将一 个物理拓扑屮的两个或多个节点通过逻辑组合而形成的，但真正提供vlan功能的是这些设备内部的软件。vlan所构造的子网 (广播域)是软件实现的，而不是rti网络拓扑所决定的。网络拓扑仅

7、对rh软件所建立的vlan冇所限制。收稿日期:2008- ()1- 3()作者简介：孙英伟(1979)，男，黑龙江望奎县人.硕士研究生在读.现就职于浙江省宁波人红晦职业技术学院电子信息分院。网络通讯及安全本栏目责任编辑:冯蕾知道了 vlan的工作原理、就不难解解vlan间的影响了，同一交换机上的不同vlan要共享交换机、要争夺交换机的cpu 和背板资源。vlan对交换机和链路的共享可分为两种类型：-种是'广播共序”，即vlan划定的广播域贯穿共享设备和链路（如图 2所示），换句话说广播共学是二层的共享。另一种称之为路由共孚”，也可以说是三层共享:，在这种类型的共学中，不同vlan的数

8、据包是以路由（三层交换）方式穿过交换机的（如图3屮虎线所示），通过的包基本上不含冇一般的广播包（dhcp和特殊协议的广播 除外）。vlan在 广播共宁”网络资源时的相互影响要比 路由共享”时更大。图2 vlan基本机构从图2可清楚地看出所共享的网络资源（交换机和链路）。在正常情况下，vlan间的这种影响不被我们所注意，原因是共享的 交换机有足够的交换能力，链路不是很拥挤，但在某一 vlan出现异常时（如感染病毒或出现环路）诸况就不同了。这时被感辣 vlan （如vlan10）中的人量数据帧将挤占该vlan所及的所有交换机的cpu资源、背板带宽，并长时间占用物理链路，其他 vlan（如vlan2

9、0）屮的设备尽管 暂”不到出现异常vlan中的数据帧，但其所依赖的网络资源已被用尽，因此，vlan10所覆盖的 网络区域就会出现界常。如杲故障点发生在核心交换机附近，那么整个网络就有可能瘫痪。这在各网络拓扑层交换机的性能相差不 多的情况下尤为严重。4.2路由共享由vlan的特性所决定.完全消除vlan间的链路和设备的共享在理论上是不可能的。只能尽量减少相互影响的范围、降低朴 互影响的程度°能够达到此目标，可以采用如下原则：1）应尽量避免在同一交换机中配置多个vlan; 2）不同物理位置上的交换村1 上的端口尽鈕不要划归到同一个vlan。前者较容易实现，我们重点讨论后者，即如何做到vl

10、an不跨越核心交换机和拓扑结构m '层从图2可以看出.由于vlan10（ vlan20也是这样）的范围跨越了整个网络，如果把所有vlan的覆盖面都限定在核心交执 机的同一侧，这些资源被共享的程度就可以减轻。按此想法我们可以将图2所示的网络改变为图3所示的结构。由于在这种结构中不存在跨越核心交换机的處拟网，因此各vlan的广播包就不会穿过核心交换机，但这些广播包却均能至! 达核心交换机，很显然，这时的核心交换机既阻挡了各vlan的广播包，乂转发了 vlan间的正常数据流，其被共享的形式由'广捋 式”变成了昭由式”，受vlan影响的程度变小。vlan20图3 植心交换机为路由式共享

11、交换机上图存在一个问题，就是把核心交换机从二层提到了三层，性能会下降。但这点性能的降低对于当今的三层交换机所能提供的 性能来说影响不是很大。从图3还可以看出，尽管受单个vlan影响的程度和范用均变小，但共亨链路的长度和强度并没冇本质的 变化。4.3网络分成结构设计通常网络拓扑的分层结构包插三个层次，即核心层、分布层和接入层。分层拓扑结构的优点是:流就从接入层流向核心层时，袖 收敛在高速的链接上；流戢从核心层流向接入层时，被发散到低速链接上。分层拓扑结构固有的缺点是在物理层内隐含（或导致）羊 个故障点，即某个设备或某个失效的链接会导致网络遭到严重的损坏。在图3所示网络中的vlan没有体现vlan

12、技术的原始目的不同物理位置上的计算机能像在同-物理网中一样相互访 问。这个问题正是针对规划.部署vlan捉出的新观点：在网络中，特别是较人型网络.不要企图利用vlan去实现不同物理位置上 计算机的互联互通.互通性耍由路由策略去实现。这在以往会有些问题，但网络技术发展到今天，交换机与路由器间的差别变得越 来越小原来用二层实现的方法很女都能够用三层技术所代替。用三层技术代替二层的功能有很多优点，主耍表现在：结构更加淸 晰.控制更加丰富、扩展更加灵活、网络更加稳定、实现更加容易。那么图3中所存在的问题不难看出，尽管核心交换机被共享的形 式改变了，但仍存在受到各vlan出现异常情况的矽响。要想避免核心

13、交换机受到各个vlan的彤响、减小彬响范圉、避免全网瘫 痪的发生，很容易想到在核心交换机和划冇vlan的交换机之间加上一层，以隔离核心交换机和各个vlan。这时就形成了目前较 （下转第845页）832电脑知识与技术网络通讯及安全本栏目责任编辑:冯蕾（3）hkey_local_machinesoftwarcmicrosoftwindowscurrcntvcrsionrunscrviccs hkey_l£）cal_machinesoftwuremicrosoftwindowicunentversion runservicesonce hkey_current_usersoft盹remic

14、rosonwindomcurremversionrun hkey_current_usersofhvarcmicrosoftwindowscurrcrnvcrsionrimoncc（7） hkey_current_usersoftwaren?1icrosoftwindowscurrentversionrunoiiceup hkey_users.defaultsoftvvarelvdcrosoftwind（）uscurrentversionrun hkey_users.defhulsoftwaremcrosoftwindowscuiren（versionrunonce（10） hkey_lix：

15、al_niachinesoftwarencrosoftwindows nlacuitentversi（）nwink）g（）n（凡是木马，必须要石动，所以这些简单的启动项目还是应该好好看一下的。）检查服务，放简单的吧，服务列表太长，我估计你也不一定能全部记住。说一个简单的，运行msconfig,单击服务”选项，勾选 愴藏所有mcwsoit服务”，然后就看到了不是系统自带的服务，要看消楚啊。现在一般杀毒软件都要添加服务，我艮实讨厌杀得添 加服务，不过好像是为了反病毒。进程，这里只说明两点：打开任务管理器，单击泄程”选项,选择笛看”菜单中'选项列”命令，勾选pid”，这样可以看到pid, 所

16、谓pid.简单理解为就是进程的身份证，这样便于很多相关的处理；（2）点一个进程的时候右键有一个选项，'打开所在目录”，有很 多人忽略了这点，很明显通过这个操作可以看到进程文件所在的文件夹，便于诊断。cmd下会使用netstat-ano命令，可以脊看协议端口连接和远程ip。删除注册表（f935dc22- 1cf0- 11d0- adb9- 00c04fd58a0b和0d43fe01- f093- 11cf 8940- 00a0c9054228两个项冃，搜索到 以后，你就会看到这两个与脚本有关，备份以后删除，主要是防止网上的恶意代码（如果对脚木感兴趣，口己准备学习相关知识并且 测试的朋友不

17、要删除）3举一个简单的清除例子（1）对象是包含在一个流行bt绿色软件里面的木马，杀毒软件可以查出，但是错误地判断为灰鸽子”。以下说的是不用任何工 具的判断和淸除，当然包括不使用杀毒软件。（2）中毒判断：使用时候，忽然硬盘灯无故猛烈闪烁；系统有短暂速度变慢；有程序不正常的反映。（3）检查：服务发现多了 一个不明服务，文件指向c:program filesunternet explorer下面的server,很明显这不是系统自带的文 件，命令行下查看端口，有一个平常没有的端口连接，发现不明进程，启动项目添加server,确定是木马。（4）淸除：打开注册表，关闭进程，删除启动项目，注册表搜索相关服务

18、名字，删除，删除源文件。同时检査temp文件夹，发现有一 个新的文件夹，里面有一个免杀”文件，删除，清理缓存。当然最好是安全模式下进行。（5）对照原来备份的system32下面的dll列表，发现可疑dll文件，删除，也可以在查看选择选择详细信息”选择上创建日 期”（这个系统默认是没有添加的），然后查看详细信息，按创建日期显示，可以发现新创建的文件。这个木马比较简单，没有修改文 件日期。（这是-个简单的病痔，时间长了，记不住具体病毒开启的服务的名字和开启的端口了，只是说明一下思路。提醒的就是一定不 要忘记了清理缓存，因为很多文件安装或者下载的时候是存在那里的,有时候忘记了淸理，病毒如果关联在这个文件上,删除后进 会出现的。）（上接第832页）菲其事交棚i为流行的三层拓扑结构的网络，如图4所示。在三层网络结构中，汇聚层与核心层之间的区域不 再有vlan,汇聚层交换机的vlan也仅限于部分端口， 这时汇聚层交换机成为被路由共厚”的交换机，而且这 种 齡由共亨”比图3的情况更弱。如果使汇聚层交换机 的性能远高于接入层的交换机，那么由vlan的