趙澤軍VLAN技術(shù)在校園網(wǎng)中應(yīng)用

1、VLAN技術(shù)在校園網(wǎng)中的應(yīng)用摘要：虛擬局域網(wǎng)(Virtual Local Area Network)不僅可以提高網(wǎng)絡(luò)運(yùn)行的效率，而且有利于網(wǎng)絡(luò)安全和防止網(wǎng)絡(luò)風(fēng)暴，能解決許多其他問(wèn)題。第三層交換機(jī)的普及為VLAN的應(yīng)用創(chuàng)造了條件。在實(shí)現(xiàn)網(wǎng)絡(luò)構(gòu)架時(shí)，采用VLAN技術(shù)可解決網(wǎng)絡(luò)管理、擴(kuò)容等問(wèn)題，并可盡量發(fā)揮設(shè)備的功能，提高網(wǎng)絡(luò)穩(wěn)定性。本文詳細(xì)探討了VLAN技術(shù)在校園網(wǎng)建設(shè)中的應(yīng)用。關(guān)鍵字：虛擬局域網(wǎng)、校園網(wǎng)、子網(wǎng)、配置、應(yīng)用Abstract：The virtual local area network(VLAN)can not only increase the efficiency of netw

2、ork running，but also benefit network security and preventing network storms,and solve many other problemsThe overreach of L3 switch creates the condition of VLAN applicationIn network building，using VLAN technique can solve network management，network extending problem，etc，and it can make the most us

3、e of inherence equipment，and increase the stability of the networkThis paper particularly discusses the application of VLAN technique in campus network buildingKey words：virtual local area network(VLAN)、campus network sub-network、deploy、application引言校園網(wǎng)作為園區(qū)網(wǎng)的典型，已不再局限于WWW、FTP、E-MIAL和BBS等網(wǎng)絡(luò)服務(wù)，視頻傳輸、語(yǔ)音傳

4、輸、遠(yuǎn)程教學(xué)和VOD 等多媒體應(yīng)用正成為校園網(wǎng)應(yīng)用的又一主流。多媒體的應(yīng)用對(duì)校園網(wǎng)的網(wǎng)絡(luò)帶寬和網(wǎng)絡(luò)速度提出了更高的要求，傳統(tǒng)路由器的吞吐量已不能勝任當(dāng)今主干校園網(wǎng)上大量的路由任務(wù)，而過(guò)大的延遲又無(wú)法適應(yīng)多媒體、視頻和語(yǔ)音通信的QoS 要求。使用交換機(jī)替代路由器實(shí)現(xiàn)大容量低延遲的局域網(wǎng)路由在實(shí)際中也已得到較廣泛的應(yīng)用。具有二層交換技術(shù)的交換機(jī)解決了網(wǎng)段間的信息碰撞問(wèn)題，利用VLAN 技術(shù)劃分子網(wǎng)實(shí)現(xiàn)了管理上的靈活性，具有第3層交換能力的網(wǎng)絡(luò)交換機(jī)可以滿足不斷增長(zhǎng)的子網(wǎng)間的通信需要，同時(shí)實(shí)現(xiàn)多媒體通信所要求的低延遲量的穩(wěn)定性。如何有效地集成這些技術(shù)是校園網(wǎng)建設(shè)中必須考慮的問(wèn)題。同時(shí)，校園網(wǎng)具有教學(xué)

5、、科研、管理和通信等功能，其中，教學(xué)和管理功能是整個(gè)校園網(wǎng)應(yīng)用的最基本功能，功能的實(shí)現(xiàn)要求校園網(wǎng)絡(luò)必須具備高寬帶、可交互等功能，才能實(shí)現(xiàn)多媒體課件制作、多媒體教學(xué)、多媒體電子圖書(shū)館等。校園網(wǎng)作為學(xué)校信息化工程建設(shè)的基礎(chǔ)，肩負(fù)著為學(xué)校師生提供教學(xué)、研究和綜合信息等多項(xiàng)服務(wù)，要能經(jīng)受可能會(huì)頻繁發(fā)生的黑客和網(wǎng)絡(luò)病毒攻擊所產(chǎn)生的大流量沖擊的考驗(yàn)，并且還要能實(shí)現(xiàn)對(duì)黑客和網(wǎng)絡(luò)病毒攻擊的靈活控制，從而保證為教育城域網(wǎng)內(nèi)用戶提供安全可靠的互聯(lián)網(wǎng)訪問(wèn)服務(wù)。1.VLAN技術(shù)及其優(yōu)點(diǎn)1.1VLAN技術(shù)簡(jiǎn)介VLAN(Virtual local Area Network)又稱虛擬局域網(wǎng),建立在局域網(wǎng)交換機(jī)的基礎(chǔ)之上,是

6、采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即邏輯廣播域，它可覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加人列一個(gè)邏輯子網(wǎng)中，在功能和操作上與傳統(tǒng)LAN基本相同,可提供一定范圍內(nèi)終端系統(tǒng)的互聯(lián)。1.2VLAN技術(shù)的優(yōu)點(diǎn)廣播風(fēng)暴防范：限制網(wǎng)絡(luò)上的廣播，將網(wǎng)絡(luò)劃分為多個(gè)VLAN可減少參與廣播風(fēng)暴的設(shè)備數(shù)量。LAN分段可以防止廣播風(fēng)暴波及整個(gè)網(wǎng)絡(luò)。VLAN可以提供建立防火墻的機(jī)制，防止交換網(wǎng)絡(luò)的過(guò)量廣播。使用VLAN，可以將某個(gè)交換端口或用戶賦于某一個(gè)特定的VLAN組，該VLAN組可以在一個(gè)交換網(wǎng)中或跨接多個(gè)交換機(jī)， 在一個(gè)VLAN中的廣播不

7、會(huì)送到VLAN之外。同樣，相鄰的端口不會(huì)收到其他VLAN產(chǎn)生的廣 播。這樣可以減少?gòu)V播流量，釋放帶寬給用戶應(yīng)用，減少?gòu)V播的產(chǎn)生。安全：增強(qiáng)局域網(wǎng)的安全性，含有敏感數(shù)據(jù)的用戶組可與網(wǎng)絡(luò)的其余部分隔離，從而降低泄露機(jī)密信息的可能性。不同VLAN內(nèi)的報(bào)文在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，如果不同VLAN要進(jìn)行通信，則需要通過(guò)路由器或三層交換機(jī)等三層設(shè)備。成本降低及性能提高：VLAN技術(shù)的使用可以使成本高昂的網(wǎng)絡(luò)升級(jí)需求減少，現(xiàn)有帶寬和上行鏈路的利用率更高，因此可節(jié)約成本。VLAN技術(shù)將第二層平面網(wǎng)絡(luò)劃分為多個(gè)邏輯工作組（廣播域）可以減少網(wǎng)絡(luò)上不必要的流量

8、并提高性能。簡(jiǎn)化項(xiàng)目管理或應(yīng)用管理：VLAN為網(wǎng)絡(luò)管理帶來(lái)了方便，因?yàn)橛邢嗨凭W(wǎng)絡(luò)需求的用戶將共享同一個(gè)VLAN。VLAN 將用戶和網(wǎng)絡(luò)設(shè)備聚合到一起，以支持商業(yè)需求或地域上的需求。通過(guò)職能劃分，項(xiàng)目管理或特殊應(yīng)用的處理都變得十分方便，例如可以輕松管理教師的電子教學(xué)開(kāi)發(fā)平臺(tái)。此外，也很容易確定升級(jí)網(wǎng)絡(luò)服務(wù)的影響范圍。 增加了網(wǎng)絡(luò)連接的靈活性。借助VLAN技術(shù)，能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境 ，就像使用本地LAN一樣方便、靈活、有效。VLAN可以降低移動(dòng)或變更工作站地理位置的管 理費(fèi)用，特別是一些業(yè)務(wù)情況有經(jīng)常性變動(dòng)的公司使用了VLAN后，這部分管理費(fèi)用大大降低

9、。2.校園網(wǎng)中VLAN的分類2.1根據(jù)端口來(lái)劃分VLAN當(dāng)前許多VLAN的劃分都還是利用交換機(jī)的端口來(lái)劃分VLAN成員。被設(shè)定的端口都在同一個(gè)廣播域中。例如，一個(gè)交換機(jī)的1，2，3，4，5端口被定義為虛擬網(wǎng)AAA，同一交換機(jī)的6，7，8，9，10端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通訊，并允許共享型網(wǎng)絡(luò)的升級(jí)。但是，這種劃分模式將虛擬局域網(wǎng)限制在了一臺(tái)交換機(jī)上。第二代端口VLAN技術(shù)允許跨越多個(gè)交換機(jī)的多個(gè)不同端口劃分VLAN，不同交換機(jī)上的若干個(gè)端口可以組成同一個(gè)虛擬網(wǎng)。以交換機(jī)端口來(lái)劃分網(wǎng)絡(luò)成員，其配置過(guò)程簡(jiǎn)單明了。因此，從目前來(lái)看，這種根據(jù)端口來(lái)劃分VLAN的方式仍然是最常用的一

10、種方式。2.2根據(jù)MAC地址劃分VLAN這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來(lái)劃分，即對(duì)每個(gè)MAC地址的主機(jī)都配置它屬于哪個(gè)組。這種劃分VLAN方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN不用重新配置，所以，可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行配置，如果有幾百個(gè)甚至上千個(gè)用戶的話，配置是非常累的。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低，因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN組的成員，這樣就無(wú)法限制廣播包了。另外，對(duì)于使用筆記本電腦的用戶來(lái)說(shuō)，他們的網(wǎng)卡可能經(jīng)常

11、更換，這樣，VLAN就必須不停地配置。2.3根據(jù)網(wǎng)絡(luò)層劃分VLAN這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型(如果支持多協(xié)議)劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無(wú)關(guān)系。這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來(lái)劃分VLAN，這對(duì)網(wǎng)絡(luò)管理者來(lái)說(shuō)很重要，還有，這種方法不需要附加的幀標(biāo)簽來(lái)識(shí)別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的(相對(duì)于前面兩種方法)，一般的交換機(jī)芯片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓

12、芯片能檢查IP幀頭，需要更高的技術(shù)，同時(shí)也更費(fèi)時(shí)。當(dāng)然，這與各個(gè)廠商的實(shí)現(xiàn)方法有關(guān)。2.4根據(jù)IP組播劃分VLANIP 組播實(shí)際上也是一種VLAN的定義，即認(rèn)為一個(gè)組播組就是一個(gè)VLAN，這種劃分的方法將VLAN擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過(guò)路由器進(jìn)行擴(kuò)展，當(dāng)然這種方法不適合局域網(wǎng)，主要是效率不高。2.5基于規(guī)則的VLAN也稱為基于策略的VLAN。這是最靈活的VLAN劃分方法，具有自動(dòng)配置的能力，能夠把相關(guān)的用戶連成一體，在邏輯劃分上稱為“關(guān)系網(wǎng)絡(luò)”。網(wǎng)絡(luò)管理員只需在網(wǎng)管軟件中確定劃分VLAN的規(guī)則（或?qū)傩裕?，那么?dāng)一個(gè)站點(diǎn)加入網(wǎng)絡(luò)中時(shí)，將會(huì)被“感知”，并被自己

13、地包含進(jìn)正確的VLAN中。同時(shí)，對(duì)站點(diǎn)的移動(dòng)和改變也可自動(dòng)識(shí)別和跟蹤。采用這種方法，整個(gè)網(wǎng)絡(luò)可以非常方便地通過(guò)路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。有的產(chǎn)品還支持一個(gè)端口上的主機(jī)分別屬于不同的VLAN，這在交換機(jī)與共享式Hub共存的環(huán)境中顯得尤為重要。自動(dòng)配置VLAN時(shí)，交換機(jī)中軟件自動(dòng)檢查進(jìn)入交換機(jī)端口的廣播信息的IP源地址，然后軟件自動(dòng)將這個(gè)端口分配給一個(gè)IP子網(wǎng)映射成的VLAN。3.VLAN技術(shù)在校園網(wǎng)中典型配置與應(yīng)用現(xiàn)在VLAN的劃分一種最經(jīng)常使用的配置方式是網(wǎng)絡(luò)管理員將交換機(jī)端口分配給某一VLAN，它容易實(shí)現(xiàn)和監(jiān)視，而且比較安全。另一種方法是管理員建立一個(gè)數(shù)據(jù)庫(kù)，例如輸入要連接的網(wǎng)絡(luò)設(shè)備的MAC地址及

14、相應(yīng)的VLAN號(hào)，這樣當(dāng)網(wǎng)絡(luò)設(shè)備接到交換機(jī)端口時(shí)交換機(jī)自動(dòng)把這個(gè)網(wǎng)絡(luò)設(shè)備所連接的端口分配給相應(yīng)的VLAN。動(dòng)態(tài)VLAN的配置可以基于網(wǎng)絡(luò)設(shè)備的MAC地址、IP地址、應(yīng)用或者所使用的協(xié)議。實(shí)現(xiàn)動(dòng)態(tài)VLAN時(shí)一般情況下使用管理軟件來(lái)進(jìn)行管理。這種配置的優(yōu)點(diǎn)是網(wǎng)絡(luò)管理員維護(hù)管理相應(yīng)的數(shù)據(jù)庫(kù)而不用關(guān)心用戶使用哪一個(gè)端口，但是每次新用戶加入時(shí)需要做較復(fù)雜的手工配置。基于lP地址的動(dòng)態(tài)配置中，交換機(jī)通過(guò)查閱網(wǎng)絡(luò)層的地址自動(dòng)將用戶分配到不同的虛擬局域網(wǎng)中。校園網(wǎng)中的典型拓?fù)浣Y(jié)構(gòu)如圖1和圖2所示（基于端口劃分VLAN），要求在三臺(tái)交換機(jī)中上分別創(chuàng)建一個(gè)VLAN，VLAN ID分別為2、3、4，名稱為offic

15、e、schools、students。將每臺(tái)交換機(jī)1中的120號(hào)端口劃入office VLAN，將交換機(jī)2中的120號(hào)端口劃入teacher VLAN，將交換機(jī)3中的120號(hào)端口劃入student VLAN。我們以目前最為流行的Cisco交換機(jī)為例，說(shuō)明VLAN在局域網(wǎng)中的基本配置方法。VLAN按照交換機(jī)的端口來(lái)劃分，并不局限于每臺(tái)交換機(jī)只能創(chuàng)建一個(gè)VLAN,并把其上的端口劃分到此VLAN之中。也可以在不同的交換機(jī)上創(chuàng)建相同的VLAN，然后再把各個(gè)交換機(jī)的一些端口劃分到此VLAN中?，F(xiàn)對(duì)這兩種情況的配置分別做出介紹。圖1 VLAN技術(shù)在校園網(wǎng)中的實(shí)際應(yīng)用在端口所在的交換機(jī)進(jìn)行配置，首先選擇相應(yīng)

16、的端口，然后再進(jìn)入接口配置模式，詳細(xì)配置命令如下：交換機(jī)1的配置：Switch#config tSwitch(config)# vlan 2Switch(config-vlan)#name officeSwitch(config-vlan)#exitSwitch(config)#interface range f01-20Switch(config-if-range)#switchport access vlan 2Switch(contlg-if-range)#exit交換機(jī)2的配置：Switch#config tSwitch(config)# vlan 3Switch(config-vla

17、n)#name schoolSwitch(config-vlan)#exitSwitch(config)#interface range f01-20Switch(config-if-range)#switchport access vlan 3Switch(config-if-range)#exit交換機(jī)3的配置：Switch#config tSwitch(config)# vlan 4Switch(config-vlan)#name studentSwitch(config-vlan)#exitSwitch(config)#interface range f01-20Switch(conf

18、ig-if-range)#switchport access vlan 4Switch(config-if-range)#exit圖2 VLAN技術(shù)在校園網(wǎng)中的實(shí)際應(yīng)用在此種情況下還需要對(duì)每個(gè)交換機(jī)配置一定數(shù)量的trunk端口。交換機(jī)1的配置：Switch#config tSwitch(config)# vlan 2Switch(config-vlan)#name officeSwitch(config-vlan)#exitSwitch(config)#interface range f01-20Switch(config-if-range)#switchport access vlan 2S

19、witch(contlg-if-range)#exitSwitch(config)#interface range f021-24Switch(contlg-if-range)#switchport mode trunkSwitch(contlg-if-range)#exit交換機(jī)2的配置：Switch#config tSwitch(config)# vlan 2Switch(config-vlan)#name officeSwitch(config-vlan)#exitSwitch(config)#interface range f01-6Switch(config-if-range)#sw

20、itchport access vlan 2Switch(contlg-if-range)#exitSwitch(config)# vlan 3Switch(config-vlan)#name schoolSwitch(config-vlan)#exitSwitch(config)#interface range f07-12Switch(config-if-range)#switchport access vlan 3Switch(config-if-range)#exitSwitch(config)# vlan 4Switch(config-vlan)#name studentSwitch

21、(config-vlan)#exitSwitch(config)#interface range f013-20Switch(config-if-range)#switchport access vlan 4Switch(config-if-range)#exitSwitch(config)#interface range f021-24Switch(contlg-if-range)#switchport mode trunkSwitch(contlg-if-range)#exit交換機(jī)3的配置：Switch#config tSwitch(config)# vlan 4Switch(config-vlan)#name studentSwitch(config-vlan)#exitSwitch(config)#interface range f01-20Switch(config-if-range)#switchport access vl