隨著企業(yè)對于信息安全性重視程度的加強(qiáng)，越來越多的企業(yè)開始考慮，在企業(yè)內(nèi)部部署虛擬局域網(wǎng)，目的就是為了能夠把一些企業(yè)的機(jī)密部門，如研發(fā)部門的網(wǎng)絡(luò)通過虛擬局域網(wǎng)隔離開來，以實(shí)現(xiàn)數(shù)據(jù)的安全性。為此，企業(yè)對于VLAN交換機(jī)的需求也就越來越大。筆者就趁這個(gè)機(jī)會，跟大家談?wù)勅绾稳ミx購VLAN交換機(jī)。

    在選擇VLAN的時(shí)候，除了要考慮交換機(jī)的一般選購標(biāo)準(zhǔn)以外，還需要注意以下內(nèi)容：

一、 VLAN的工作方式的選擇

    VLAN的工作方式，使我們選擇VLAN交換機(jī)的主要標(biāo)準(zhǔn)之一。現(xiàn)在的VLAN交換機(jī)，工作方式主要分為兩種，一種是靜態(tài)的端口配置，也就是說，我們在虛擬局域網(wǎng)管理的時(shí)候，可以把交換機(jī)的某幾個(gè)端口設(shè)置成為一個(gè)局域網(wǎng)，而把另外一個(gè)端口設(shè)置成為另外一個(gè)虛擬局域網(wǎng)。在交換機(jī)設(shè)置完成之后，這些端口屬于哪個(gè)虛擬局域網(wǎng)就是固定了的。這就會產(chǎn)生一個(gè)問題，如研發(fā)部分經(jīng)理原來是屬于研發(fā)部門的網(wǎng)絡(luò)，但是現(xiàn)在他拿著筆記本到會議室開會，他在會議室上網(wǎng)的話，就不是屬于研發(fā)部門的網(wǎng)絡(luò)帶了，因?yàn)樵跁h室上網(wǎng)跟他在辦公室上網(wǎng)的話，所用的交換機(jī)端口是不一樣的。而交換機(jī)則是根據(jù)端口來判斷是屬于哪個(gè)交換機(jī)的。可見，若是靜態(tài)配置虛擬局域網(wǎng)的話，就比較死板，當(dāng)員工位置變化時(shí)，交換機(jī)部能夠智能的進(jìn)行判斷，員工的電腦是屬于哪個(gè)網(wǎng)絡(luò)。所以，對于員工位置經(jīng)常發(fā)生變化，或者有移動辦公需求的企業(yè)來說，采用這種工作方式的交換機(jī)是不怎么合適的。

    另外一種工作方式就是動態(tài)的分配虛擬局域網(wǎng)的端口。這個(gè)工作方式具體又有很多的實(shí)現(xiàn)方式。

    1、可以基于Mac地址進(jìn)行虛擬局域網(wǎng)的劃分。用戶每臺電腦都有一個(gè)唯一的MAC地址，而且一般我們網(wǎng)絡(luò)管理員都可以通過種種手段限制用戶對這個(gè)MAC地址進(jìn)行更改。在具體管理的時(shí)候，我們可以先收集用戶的MAC地址，然后根據(jù)MAC地址在交換中設(shè)置虛擬局域網(wǎng)。當(dāng)用戶連接到交換機(jī)的時(shí)候，交換機(jī)就會根據(jù)用戶電腦MAC地址的不同，選擇對應(yīng)的虛擬局域網(wǎng)。如此的話，明顯當(dāng)研發(fā)部門經(jīng)理把筆記本電腦從研發(fā)部門辦公室搬到會議室的時(shí)候，其還是屬于研發(fā)部門的局域網(wǎng)，因?yàn)殡m然其端口改變了，但是其MAC地址沒有改變，所以，其原有的網(wǎng)絡(luò)性質(zhì)也沒有改變。不過，這個(gè)處理方式也有一個(gè)麻煩，就是每當(dāng)企業(yè)新增一臺主機(jī)或者更換一快網(wǎng)卡的時(shí)候，就可能需要改變虛擬局域網(wǎng)交換機(jī)的配置，這可能會稍微麻煩一點(diǎn)。另外，這種工作方式對于交換機(jī)的效率也會有影響。因?yàn)榻粨Q機(jī)每進(jìn)行一次通信，就需要判斷這個(gè)數(shù)據(jù)包的MAC地址是屬于哪個(gè)虛擬局域網(wǎng)的，能否進(jìn)行轉(zhuǎn)發(fā)等等，所以，采用這種工作方式的交換機(jī)，效率會低一些。

    2、基于用戶名密碼的虛擬局域網(wǎng)劃分。這主要是根據(jù)用戶登錄網(wǎng)絡(luò)用戶名與密碼來判斷應(yīng)該是屬于哪個(gè)局域網(wǎng)的。不過一般這種處理方式，往往是在特殊的場合中應(yīng)用。如為了信息安全性考慮，把某個(gè)特殊的文件服務(wù)器，如這個(gè)服務(wù)器只允許特定的用戶訪問，就把這個(gè)文件服務(wù)器放在一個(gè)虛擬局域網(wǎng)內(nèi)。如此的話，其他用戶需要訪問這臺服務(wù)器的話，就需要先利用用戶名與密碼，訪問這個(gè)網(wǎng)絡(luò)。若用戶名密碼不對的話，就不能訪問這個(gè)網(wǎng)絡(luò)，更加不能訪問這個(gè)服務(wù)器了。

    3、基于策略的訪問。這種訪問方法是把以上一種方式混合起來，如MAC地址、IP地址、協(xié)議等等，用戶根據(jù)一定的規(guī)則，可以設(shè)置眾多的參數(shù)來進(jìn)行虛擬局域網(wǎng)的劃分。如雖然是同一臺主機(jī)，但是其訪問網(wǎng)絡(luò)的協(xié)議不同，就可以劃分為不同的虛擬局域網(wǎng)。這種處理方式，一般在企業(yè)網(wǎng)絡(luò)中不怎么經(jīng)常用到。因?yàn)檫@種處理方式會大大降低虛擬局域網(wǎng)交換機(jī)的處理性能，而且在實(shí)際應(yīng)用中，一般企業(yè)也不需要這么復(fù)雜的控制。他主要用于對于安全程度要求特別高，如銀行企業(yè)用的比較多。而在一般企業(yè)中，用這種處理方式的話，就有點(diǎn)牛刀小用的感覺。

    筆者以為，一般企業(yè)的網(wǎng)絡(luò)管理員，若需要使用到虛擬局域網(wǎng)的話，在虛擬局域網(wǎng)交換機(jī)采購過程中，主要要關(guān)注的就是使否支持動態(tài)分配端口。因?yàn)殡S著信息化技術(shù)的普及，移動辦公的需求將會越來越普遍。而這就要求局域網(wǎng)交換機(jī)能夠根據(jù)MAC地址或者IP地址來劃分虛擬局域網(wǎng)。若交換機(jī)在虛擬局域網(wǎng)管理中，不能支持這個(gè)功能的話，則我們網(wǎng)路管理員在網(wǎng)絡(luò)管理的過程中，將會非常的吃力。

二、 操作方式的選擇

    一般配置虛擬局域網(wǎng)有兩種方式，一是基于命令行的，二是基于圖形的。這兩種處理方式各有各的優(yōu)點(diǎn)。

    若是通過命令行管理虛擬局域網(wǎng)的，則筆者認(rèn)為，管理效率要比較高，因?yàn)榛诿钚械墓芾砟Ｊ剑涿畹膱?zhí)行效率比較高。所以，一般局域網(wǎng)管理的高手，都喜歡采用命令行，而不會采用圖形界面的管理方式。

    另外一種是基于WEB技術(shù)的圖形管理界面。這種管理方式，很明顯非常的直觀，但是，需要開啟交換機(jī)上的一些服務(wù)。這對于交換機(jī)來說，不怎么安全，容易受到病毒或者木馬的攻擊。所以，若從安全性上考慮，采用這種管理模式是不怎么明智的。不過這種處理方式由于其簡便、直觀，所以，比較受新手的歡迎。

    就拿筆者來說吧。筆者自己在學(xué)校中剛開始接觸到虛擬局域網(wǎng)的時(shí)候，就是通過圖形界面來進(jìn)行管理的。等到對虛擬局域網(wǎng)的管理與設(shè)置有一個(gè)感性的認(rèn)識后，現(xiàn)在基本上都是通過命令行來進(jìn)行管理，覺得利用圖形界面管理的話，不怎么方面，而且，速度也比較慢。

    有些交換機(jī)的話，支持多種管理方式，如國內(nèi)的一些品牌，基本上都是支持這命令行管理與圖形界面管理兩種處理方式的。但是，國外的一些品牌，有時(shí)候只支持命令行的處理方式，因?yàn)樗麄冋J(rèn)為命令行的管理方式比圖形化的管理方式要安全、效率要高，所以，他們就屏蔽了圖形化的管理界面，以提高交換機(jī)的安全性與性能。#p#分頁標(biāo)題#e#

    所以，在虛擬局域網(wǎng)交換機(jī)采購之前，用戶需要先捫心自問，自己喜歡哪種處理方式。這個(gè)管理方式雖然不會影響虛擬局域網(wǎng)的運(yùn)作，但是，會影響我們網(wǎng)絡(luò)管理員的管理效率。可能命令行的方式對于大部分精通這方面管理的網(wǎng)絡(luò)管理人員來說是一種效率比較高的管理方式;但是，對于剛?cè)腴T的網(wǎng)絡(luò)管理員來說，相反他們對于命令不熟悉，反而用這個(gè)命令行進(jìn)行管理的話，若此出錯，效率也不高。

    故，筆者認(rèn)為，在選購虛擬局域網(wǎng)交換機(jī)的時(shí)候，網(wǎng)絡(luò)管理員要根據(jù)自己的實(shí)際情況，選擇合適的處理方式，并選購那些支持這種處理方式的交換機(jī)，以免到時(shí)會搬起石頭砸了自己的腳。

三、 虛擬局域網(wǎng)的通信問題

    有時(shí)候，我們可能不只在一個(gè)交換機(jī)上實(shí)現(xiàn)虛擬局域網(wǎng)的管理，而可能在三個(gè)交換機(jī)、甚至更多的交換機(jī)環(huán)境下，實(shí)現(xiàn)虛擬局域網(wǎng)的管理。也就是說，當(dāng)用戶數(shù)量多的時(shí)候，我們可能同一個(gè)虛擬局域網(wǎng)分布在多個(gè)局域網(wǎng)交換機(jī)上。如行政部門連接在交換機(jī)A上;而生產(chǎn)部門則連接在交換機(jī)B上，但是，行政部門與生產(chǎn)部門屬于同一個(gè)虛擬局域網(wǎng)，這該如何呢?所以，我們在選購交換機(jī)的時(shí)候，若需要在交換機(jī)上實(shí)現(xiàn)虛擬局域網(wǎng)的管理，就需要考慮是否存在這種情況。若確實(shí)有這種需求的話，則就要考慮，交換機(jī)是否支持這種跨越交換機(jī)的虛擬局域網(wǎng)管理?

    另外，有時(shí)會不同的虛擬局域網(wǎng)也需要進(jìn)行通信。如研發(fā)部門雖然獨(dú)立的屬于一個(gè)局域網(wǎng)，但是，有時(shí)候，其也需要訪問行政部門電腦上的人事通知等等，這該如何管理?因?yàn)檫@要注意，這是單向的訪問。也就是說，行政部門不能夠訪問研發(fā)部門的網(wǎng)絡(luò)，而研發(fā)部門則需要訪問行政部門的網(wǎng)絡(luò)。若兩者之間隨意訪問的話，則直接可以通過路由器進(jìn)行相連就可以解決問題了。但是，現(xiàn)在是需要實(shí)現(xiàn)有限制的訪問。所以，這就給虛擬局域網(wǎng)的管理提出了一個(gè)新的挑戰(zhàn)。一般來說，我們可以通過路由器的訪問控制列表來實(shí)現(xiàn)這個(gè)需求。或者，我們還可以通過網(wǎng)絡(luò)設(shè)計(jì)，巧妙防止電腦的位置從而實(shí)現(xiàn)這個(gè)需求。具體的實(shí)現(xiàn)方法，在后續(xù)的文章中筆者會詳細(xì)給大家講述，大家可以關(guān)注我后續(xù)的文章。