如今，有線電視寬帶網的技術日益成熟，它利用現有的有線電視網通過Cable Modem進行高速接入Internet，由于它只占用有線電視網可用頻譜的一部分，在用戶上網時對電視和電話不產生任何影響，對于普通的撥號網和需要二次布線的光纖接入網來說具有得天獨厚的優勢，
已經成為重要的網絡服務提供商（ISP）之一。因此，如何管理好有線電視寬帶網絡成為重中之重，應運而生的虛擬局域網技術以其配置靈活、有效控制網絡廣播風暴、高效安全管理網絡等優點成為解決此管理難題的有效措施。

1 VLAN技術概述
所謂虛擬局域網技術是指處于不同物理位置的節點可以根據需要組成一個邏輯子網，即一個VLAN就是一個邏輯廣播域，它可以擴展到多個網絡設備。VLAN可以將存在于不同物理網段、不同拓撲結構網絡的節點組成一個虛擬局域網絡，由此可以人為地將同一物理網段中的節點在邏輯上相互隔離，也可以將不同物理網段中的節點在邏輯上相互聯系。

2 VLAN技術特點
2.1 有效阻隔網絡廣播，控制廣播風暴

對于網絡廣播風暴的控制主要有物理網絡分段和VLAN的邏輯分段兩種方式，后者更靈活，效率更高。

同一VLAN處于相同的廣播域，即通過VLAN的劃分可以有效地阻隔網絡廣播，從而控制了廣播風暴。同時不同VLAN之間的通信要經過路由的控制，所以規劃設計好各個VLAN的成員，將網絡內頻繁通信的用戶盡可能地集中于同一VLAN內，就可以減少網間流量，如此既有效節約了網絡帶寬，又提高了網絡效率。

2.2 控制網絡內部IP地址的盜用

如今，校園網絡具有終端用戶節點數量多的特點，用戶數量的增多使得網絡IP地址盜用亦相應增加，嚴重影響了網絡的正常使用。在建立VLAN后，該VLAN內任何一臺計算機的IP地址均必須在分配給該VLAN的IP范圍內，否則將無法通過路由器的審核，因而也就不能進行通信，如此就能有效地將IP的盜用控制在本VLAN之內。

2.3 提高網絡的整體安全性

建立VLAN后，同一VLAN內的計算機之間直接通信，不同VLAN間的通信要通過路由器的網關進行路由選徑、傳送，可以隔離基于廣播的信息（如機器名、DHCP信息等），這樣就可以有效阻止非法訪問，大大提高網絡系統的整體安全性。此外，通過路由訪問控制列表、MAC地址分配、屏蔽VLAN路由信息等技術，可以有效控制用戶的訪問權限和網絡資源安全。

2.4 增加網絡管理的靈活性，方便網絡維護

對于交換式以太網，如果對某些用戶進行重新的網段劃分，就需要網絡管理員對該網絡系統的物理結構進行再一次的調整，甚至于需要額外增加網絡設備，給網絡管理帶來了很大的管理量；而對于采用VLAN技術的網絡來說，只需網絡管理人員在網絡中心對該用戶進行VLAN網段的重新劃分即可，在簡化管理的同時方便了網絡的維護，提高了工作效率。

3 VLAN的劃分方式
按照交換機的交換能力，可以將VLAN劃分為兩大類：2層交換和3層交換。2層交換是建立在OSI 7層模型之第二層橋的體系結構上，基于端口的VLAN和基于MAC地址的VLAN就屬于此類；3層交換是基于OSI 7層模型之第3層的協議（IP、IPX等）來劃分的。

3.1 基于端口的VLAN

最有效的VLAN劃分方法，只需針對網絡設備的交換端口進行重新分配組合到不同的邏輯網段中即可，而不用考慮該端口所連接的設備是什么。分配到同一VLAN的各網段上的所有節點都在同一個廣播域中，可以直接通信，不同VLAN節點間的通信則需要通過路由器或3層交換機（就是支持3層路由協議的交換機）進行。

3.2 基于MAC地址的VLAN

基于MAC地址的VLAN劃分其實就是基于工作站、服務器的MAC地址的集合，它解決了網絡節點的變更問題，對于連接于交換機的工作站來說，在它們初始化時，相應的交換機要在VLAN的管理信息庫MIB中檢查MAC地址，從而動態地匹配該端口到相應的VLAN中。這在網絡規模較小時不失為一個好的方法，但隨著網絡規模的擴大，網絡設備、用戶的增加，就會在很大程度上加大網絡管理的難度。

3.3 基于第3層路由協議的VLAN

路由協議工作在OSI 7層協議的第3層——網絡層，即基于IP和IPX協議的轉發。根據IP子網、IPX網絡號及其他一些協議來劃分VLAN，同一協議的工作站劃分為一個VLAN，該方式容許一個VLAN跨越多個交換機，不但大大減少人工配置VLAN的工作量，而且可以保證用戶自由地增加、移動和修改。

3.4 基于策略的VLAN

基于策略的VLAN劃分是最靈活有效的VLAN劃分方式，具有自動配置的能力，在邏輯劃分上稱為“關系網絡”，自動配置VLAN時，交換機自動檢查進入它端口的廣播信息的IP源地址，然后自動將此端口分配給一個由IP子網映射成的VLAN，這主要取決于在VLAN的劃分中所采用的策略。

4 VLAN的關鍵技術
4.1 ISL標簽

ISL（Inter Switch Link）是一個在交換機之間、交換機和路由器之間以及交換機與服務器之間傳遞多個VLAN信息及VLAN數據流的協議，用于實現交換機間的VLAN中繼。它是一個信息包標記協議，在支持ISL接口上發送的幀由一個標準以太網幀和相關的VLAN信息組成，通過在交換機直連的端口配置ISL封裝，就可以跨越交換機進行整個網絡的VLAN分配和配置。VLAN封裝的國際標準為IEEE802.1Q，在支持ISL的接口上可以傳送來自不同VLAN的數據。

4.2 VTP協議

VTP（VLAN Trunk Protocol）是一個在交換機之間同步及傳遞VLAN配置信息的協議，VTP通過減少手工配置而支持大規模的網絡。它有以下3種模式：Server模式（可以創建、修改、刪除VLAN，同步整個VTP域中交換機傳遞的VLAN信息）、Client模式（不可以創建、修改、刪除VLAN配置）和Transparent模式（可以創建、修改、刪除VLAN配置，但并不參與本VTP域的同步）。

5 VLAN在有線電視寬帶網絡中的應用研究
5.1 某縣有線電視寬帶網絡現狀

現有一縣級有線電視寬帶網絡，中心交換機為支持1 000 M接入的3層路由交換機Cisco Catalyst 6509，其上帶有12個100 M光口模塊，供其下的小區網絡接入匯聚。小區網絡D中使用1臺Catalyst WS-C3550作2級交換機，小區網絡C中使用1臺Catalyst WS-C2950C作2級交換機，小區網絡A和B中各使用1臺Catalyst WS-C2924C作2級交換機，它們均以100 M光口接入中心3層交換機。

5.2 VLAN的設計和IP地址劃分

結合該縣有線電視寬帶網絡的實際需求情況，我們選擇基于交換機端口的VLAN劃分方式，進行如下的VLAN設計，如表1所示。

    表1VLAN和IP地址劃分表
VLAN IDVLAN NAME子網信息說明
1Guanli192.168.0.1/255.255.255.0交換設備管理VLAN
2Xiaoqu-A192.168.1.1/255.255.255.0A小區VLAN
3Xiaoqu-B192.168.2.1/255.255.255.0B小區VLAN
4Xiaoqu-C192.168.3.1/255.255.255.0C小區VLAN
5Xiaoqu-D192.168.4.1/255.255.255.0D小區VLAN
6Jifei192.168.5.1/255.255.255.248計費系統VLAN
………………………………

①網絡公共設備，例如WWW服務器、交換機等，單獨劃分一個VLAN；

②各小區網絡以小區為單位各自劃分VLAN；

③需要跨越小區網絡進行通信的，如分布式計費系統，則以應用類型為單位進行VLAN劃分。

5.3 Catalyst6509 2層交換模塊配置

①在6509 2層交換模塊配置VTP信息

Catalyst6509>(enable)set vtp domain SFXY(設置VLAN的VTP Domain Name為SFXY)

Catalyst6509>(enable)set vtp mode server(設置VLAN的VTP模式為Server模式)

②配置VLAN名稱

Catalyst6509>(enable)set vlan 1 name guanli(設置VLAN1名稱為guanli，此VLAN為路由交換設備使用)。

VLAN2、VLAN3等依次分別進行配置……

③在6509交換機各下連端口起trunk

Catalyst6509>(enable)set trunk 2/1 on isl（2/1口下連A小區WS-C2924C交換機）

Catalyst6509>(enable)set trunk 2/2 on isl（2/2口下連B小區WS-C2924C交換機）

Catalyst6509>(enable)set trunk 2/3 on dot1q（2/3口下連C小區WS-C2950C交換機）

其他依次進行配置（注意新推出的WS-C2950C和WS-C3550等系列交換機的TRUNK封裝類型為支持IEEE801.1Q標準的dot1q協議）。

5.4 Catalyst6509 3層路由模塊

①配置內部路由

Catalyst6509>(enable)set interface sc0 1 192.168.0.1 255.255.255.0 192.168.0.255（配置Catalyst 6509 2層交換模塊的管理地址）

Catalyst6509>(enable)set ip route 0.0.0.0 0.0.0.0 192.168.0.2（配置靜態路由指向3層路由模塊）

②配置VLAN路由信息

C6509 Router#(config) interface Vlan1

ip address 192.168.0.1 255.255.255.0

interface Vlan2

ip address 192.168.1.1 255.255.255.0

……

5.5 A小區2級WS-C2924C端口相同VLAN的配置

①配置VTP模式

XiaoQu-A 2924C(config)# vtp domain name sfxy

XiaoQu-A 2924C(config)# vtp client

②在交換機上連端口起trunk（本例為24口）

XiaoQu-A 2924C(config)#interface FastEthernet 0/24（進入第24快速以太網口）

XiaoQu-A 2924C(config-if)#switchport mode trunk（啟用該端口的trunk）

XiaoQu-A 2924C(config-if)#switchport trunk encapsulation isl（trunk封裝設為isl）

③在相應交換機端口配置VLAN

XiaoQu-A 2924C(config)#interface FastEthernet 0/1

XiaoQu-A 2924C(config-if)#switchport access vlan 2（將該端口設為靜態VLAN3）

其他端口依次進行配置。

5.6 D小區WS-C3550端口不同VLAN的配置

①在上連交換機端口起trunk（注意WS-C3550系列交換機的trunk封裝類型為Dot1q）

XiaoQu-D C3550(config)#interface FastEthernet 0/24（進入24口快速以太網端口）

XiaoQu-D C3550 (config-if)#switchport mode trunk

XiaoQu-D C3550 (config-if)#switchport trunk encapsulation dot1q

②在交換機端口進行相應VLAN的配置（本例為1口屬于VLAN5，2口屬于VLAN6）

XiaoQu-D C3550 (config)#interface FastEthernet 0/1

XiaoQu-D C3550 (config-if)#switchport access vlan 5

XiaoQu-D C3550 (config)#interface FastEthernet 0/2

XiaoQu-D C3550 (config-if)#switchport access vlan 6

如此就可以進行各交換機的相應VLAN配置，由于Cisco交換機品種較多，各種類型版本的配置命令和格式也不盡相同，不過只要領會了配置原理，相應的變化自然也會觸類旁通。其實，Cisco交換路由設備的配置亦有好多技巧，比如可以利用文本文件將VLAN配置信息一次改動到位后執行“拷貝”操作，進入配置模式后利用“粘貼”命令即可將配置全部刷進設備。

6 結束語
通過在某縣的有線電視寬帶網絡中進行如上的VLAN技術應用后，增加了網絡維護的靈活性，滿足了用戶端靈活的邏輯組合，隔離了不同用戶性質的分組，阻止了廣播包的肆意傳播，有效地控制了廣播風暴的產生，在一定程度上控制了IP地址的盜用，還可以對不同VLAN網段根據需要設定不同的訪問權限，以增加網絡的整體安全性。