基于IP地址VLAN划分的实际应用

高强;葛先雷;权循忠

【摘 要】基于IP地址的VLAN划分是通过所连计算机的IP地址来决定计算机所属VLAN,是动态VLAN划分的一种.其根据每个端口所连的计算机IP地址,随时改变端口所属的VLAN,避免静态VLAN的频繁更改设定的操作.结果表明,基于IP地址的VLAN划分可使得VLAN随计算机IP更改而改变,增加了连接的灵活性,划分到特定VLAN的计算机只能访问属于相同VLAN的服务器,未被划分VLAN的IP地址无法访问服务器,增强了网络的安全性. 【期刊名称】《河池学院学报》 【年(卷),期】2018(038)005 【总页数】6页(P87-92)

【关键词】IP地址;VLAN;灵活性;安全性 【作 者】高强;葛先雷;权循忠

【作者单位】淮南师范学院电子工程学院,安徽淮南 232038;淮南师范学院电子工程学院,安徽淮南 232038;淮南师范学院电子工程学院,安徽淮南 232038 【正文语种】中 文 【中图分类】TN919 0 引言

VLAN是指一种将局域网设备从逻辑上划分为一个个网段，从而实现虚拟工作组的

数据交换技术[1]78-79。基于IP地址的VLAN划分是通过查询交换机端口所连计算机的IP地址来决定端口所属VLAN，可随时改变端口的VLAN值，避免静态VLAN划分频繁更改设定的操作，能够更为简便地改变网络结构[2]149-150，[3]52-53，[4，5]。通过特定IP地址的VLAN绑定，可以避免非法计算机的访问登陆[6]。 1 设计原理

若IP地址“X”被交换机设定为属于VLAN “30”，那么不论IP地址为“X”的计算机连接交换机哪个端口，该计算机都会被划分到VLAN30。计算机连在端口3时，端口3属于VLAN 30，计算机连在端口4时，则是端口4属于VLAN 30，相对于基于端口划分VLAN的静态方式，增加了连接的灵活性。 2 项目设计

组网场景：某企业资产部文件服务器IP地址为192.168.1.133/24，人力资源部文件服务器IP地址为192.168.1.199/24，两服务器连接在交换机上，资产部使用VLAN 30 ，人力资源部使用VLAN 40，为保证部门文件安全，要求只有经过IP地址认证的计算机才能访问本部门的文件服务器，其他部门或未经过IP地址认证的计算机均无法访问本部门文件服务器。网络拓扑结构如图1所示： 图1 网络拓扑图

拓扑图说明： PC2和PC3分别代表两部门文件服务器，PC2连接在交换机20号端口，PC3连接在交换机22号端口，PC1为测试计算机。交换机3～6端口为设置的混合端口，资产部和人力资源部计算机均可连接。 设计步骤(以烽火S5800为例)具体如下： 2.1 按照拓扑图连接各设备

设置各PC的IP地址如下表1所示： 表1 各PC的IP地址设置

PCIP地址子网掩码PC2(资产部文件服务器)192.168.1.133255.255.255.0PC3(人力资源部文件服务器)192.168.1.199255.255.255.0 2.2 在交换机上执行以下命令划分VLAN S5800#config //进入全局配置

S5800(config)#VLAN 30，40 //创建VLAN30和VLAN 40 S5800(config)#interface gigaethernet 1/0/20 //进入20号接口

S5800(config-ge1/0/20)#port link-type access //设置20号接口的类型为access

S5800(config-ge1/0/20)#port default VLAN 30 //设置20号接口的默认VLAN值为30

S5800(config-ge1/0/20)#q //退出

S5800(config)#interface gigaethernet 1/0/22 //进入22号接口

S5800(config-ge1/0/22)#port link-type access //设置22号接口的类型为access

S5800(config-ge1/0/22)#port default VLAN 40 //设置22号接口的默认VLAN值为40

S5800(config-ge1/0/22)#q //退出

2.3 执行以下命令使能接口基于IP地址划分VLAN的功能

S5800(config)#interface gigaethernet 1/0/3 to gigaethernet 1/0/6 //进入3-6号接口

S5800(config-ge1/0/3->ge1/0/6)#ip-subnet-VLAN enable //使能基于IP子网划分VLAN的功能

2.4 执行以下命令配置接口允许VLAN通过

S5800(config-ge1/0/3->ge1/0/6)#port link-type hybrid //设置3-6号端口类

型为hybrid

S5800(config-ge1/0/3->ge1/0/6)#port hybrid VLAN 30，40 untagged //该端口允许VLAN 30，40的信息通过

S5800(config-ge1/0/3->ge1/0/6)#quit //退出 2.5 执行以下命令将特定的IP地址与VLAN相关联并查看

S5800(config)#ip-subnet-VLAN 192.168.1.33 255.255.255.255 30 //划分该IP地址属于VLAN 30

S5800(config)#ip-subnet-VLAN 192.168.1.66 255.255.255.255 40 //划分该IP地址属于VLAN 40

S5800(config)#show ip-subnet-VLAN //查看VLAN划分情况 IP-Addr Mask-Addr VID Pri 192.168.1.33 255.255.255.255 30 0 192.168.1.66 255.255.255.255 40 0

//IP地址为192.168.1.33/24已被划分到VLAN 30 // IP地址为192.168.1.66/24已被划分到VLAN 40 3 测试结果

测试使用Ping命令来检测网络的连通性。

3.1 PC1使用属于VLAN 30的IP地址，分别连接接口3和接口4的测试结果 设置PC1的IP地址为192.168.1.33，通过接口3分别访问PC2和PC3，测试结果如图2所示。图2表明，测试计算机可以访问PC2，不能访问PC3，因PC2的IP地址为192.168.1.133，属于VLAN 30，而PC3的为192.168.1.199，属于VLAN 40，根据配置，192.168.1.33划分的VLAN 30。

(a)设置PC1的IP地址为192.168.1.33 (b)连接接口3的测试结果图2 PC1连接口3的测试结果

PC1连接到接口4再次访问PC2和PC3，测试结果如图3所示。图3表明，即使PC1更换到接口4，访问结果仍然相同，也就是PC1仍然被划分到VLAN 30，并没有随接口的变更而改变。这一结果证明了配置是正确的。

(a)设置PC1的IP地址为192.168.1.33 (b)连接接口4的测试结果图3 PC1连接口4的测试结果

3.2 PC1使用属于VLAN 40的IP地址，分别连接到接口5和接口6的测试结果 更改PC1的IP地址为192.168.1.66通过接口5分别访问PC2和PC3，结果如图4所示。更换到接口6，结果如图5所示。图4和图5表明，测试计算机能访问PC3，不能访问PC2，由于192.168.1.66被划分到VLAN 40，因此测试结果与3.1的结果相反。

(a)设置PC1的IP地址为192.168.1.66 (b)连接接口5的测试结果图4 PC1连接口5的测试结果

(a)设置PC1的IP地址为192.168.1.66 (b)连接接口6的测试结果图5 PC1连接口6的测试结果

3.3 PC1使用未被划分VLAN的IP地址，连接接口6的测试结果

使用未被划分VLAN的IP地址(即更改PC1的IP地址为192.168.2.99/24)分别访问PC2和PC3，结果如图6所示。图6表明，使用未划分VLAN的IP地址配置计算机时，PC2和PC3都不能访问。

(a)设置PC1的IP地址为192.168.1.99 (b)连接接口6的测试结果图6 使用未划分VLAN的IP地址连接口6测试结果 4 结语

结果表明，基于IP地址的VLAN划分通过查询端口所连计算机的IP地址来决定端口所属VLAN，可随时改变端口所属VLAN值，避免静态VLAN划分频繁更改设定的操作，能够更为简便地改变网络结构，增加了连接的灵活性。划分到特定

VLAN的计算机只能访问属于相同VLAN的服务器，未被划分VLAN的IP地址无法访问服务器，增强了计算机网络的安全性。 参考文献：

【相关文献】

[1]李丙春.路由与交换技术[M].北京：电子工业出版社.2016 [2]谢希仁.计算机网络[M].北京： 电子工业出版社，2013.

[3]吕小刚，马武彪，程勇兵.网络设备配置与管理[M].北京：航空工业出版社，2015. [4]常森.动态VLAN系统分配模块的设计与实现[D].北京：北京邮电大学， 2012. [5]左悦.一个SSID下实现动态VLAN划分[J].网络安全和信息化， 2017(3)：39-41. [6]田源.企业网路由交换网络优化[D].南京：南京邮电大学， 2016.