VLAN技術(shù)及其在校園網(wǎng)中的應(yīng)用

VLAN技術(shù)及其在校園網(wǎng)中的應(yīng)用

【摘要】隨著網(wǎng)絡(luò)硬件性能的不斷提高、成本的不斷降低，目前局域網(wǎng)基本上都采用了性能先進(jìn)的硬件設(shè)備。其核心交換機(jī)一般采用三層交換機(jī)，它能很好地支持虛擬局域網(wǎng)(VLAN)技術(shù)。作為一門新興的網(wǎng)絡(luò)技術(shù)，VLAN的出現(xiàn)使得組網(wǎng)更加靈活和安全，減少管理員的工作負(fù)擔(dān)，基于交換機(jī)的虛擬局域網(wǎng)技術(shù)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬等問題。本文主要討論VLAN的概念、主要功能、劃分方法和其在校園網(wǎng)的應(yīng)用。畢業(yè)論文英語論文【關(guān)鍵詞】VLAN；校園網(wǎng)；廣播域；廣播風(fēng)暴當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)迅速發(fā)展，其中以方便、快捷、靈活、高效的組網(wǎng)特點(diǎn)而著稱的虛擬局域網(wǎng)技術(shù)(VLAN)一經(jīng)提出就得到了人們的關(guān)注。VLAN技術(shù)在很大程度上解決了網(wǎng)絡(luò)建設(shè)上遇到的很多實(shí)際問題，其在局域網(wǎng)中的應(yīng)用越來越廣泛。校園網(wǎng)作為園區(qū)網(wǎng)的典型，其規(guī)模正逐漸地由中小型向大中型發(fā)展和過渡，這樣就決定了它的組網(wǎng)在技術(shù)上的多樣性與復(fù)雜性，其不僅要考慮物理上各網(wǎng)段的連接，還要考慮建立在各種網(wǎng)絡(luò)協(xié)議上子網(wǎng)的互聯(lián)。同時(shí)，校園網(wǎng)訪問方式多、用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性高，為了保證校園網(wǎng)的正常運(yùn)行和安全，本文主要針對(duì)校園網(wǎng)的特點(diǎn)和傳統(tǒng)局域網(wǎng)局限，重點(diǎn)介紹了基于VLAN技術(shù)構(gòu)建校園網(wǎng)絡(luò)的應(yīng)用。一、傳統(tǒng)LAN的局限在傳統(tǒng)的局域網(wǎng)(LAN)中，由于各站點(diǎn)共享傳輸信道所造成的信道沖突和發(fā)生在網(wǎng)絡(luò)第三層的廣播風(fēng)暴問題成為影響網(wǎng)絡(luò)性能的重要因素。針對(duì)該問題，交換機(jī)(或網(wǎng)橋)和路由器被廣泛應(yīng)用于局域網(wǎng)中。交換機(jī)(網(wǎng)橋)連接屬于同一邏輯子網(wǎng)的網(wǎng)絡(luò)，再由路由器連接不同的邏輯子網(wǎng)。然而在同一個(gè)邏輯子網(wǎng)中，所有的用戶在同一個(gè)廣播域中，會(huì)引起網(wǎng)絡(luò)性能的下降，浪費(fèi)可貴的帶寬；并且對(duì)廣播風(fēng)暴的控制和網(wǎng)絡(luò)安全只能在第三層的路由器上實(shí)現(xiàn)；由于邏輯子網(wǎng)間的通信必須經(jīng)路由器進(jìn)行，所以這樣會(huì)產(chǎn)生延時(shí)，而且路由器也會(huì)產(chǎn)生瓶頸。在由路由器連接不同的邏輯子網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)中，由集線器、粗、細(xì)纜構(gòu)成的物理網(wǎng)絡(luò)與邏輯子網(wǎng)相對(duì)應(yīng)，通常一個(gè)m子網(wǎng)屬于一個(gè)由物理網(wǎng)絡(luò)來劃分的廣播域。由于站點(diǎn)被束縛在所處的物理網(wǎng)絡(luò)中，不能根據(jù)需隨意的劃分至相應(yīng)的邏輯子網(wǎng)。當(dāng)網(wǎng)絡(luò)的物理結(jié)構(gòu)發(fā)生變化時(shí)，比如網(wǎng)絡(luò)中的工作站移動(dòng)、增加、改變等會(huì)加重網(wǎng)絡(luò)管理的負(fù)擔(dān)，并導(dǎo)致網(wǎng)絡(luò)的綜合性能下降。同時(shí)，大通信量、低延時(shí)的要求使得網(wǎng)絡(luò)的帶寬越來越不夠。綜上所述，針對(duì)傳統(tǒng)LAN存在的問題，提出了虛擬局域網(wǎng)的概念，能夠很好的解決這些網(wǎng)絡(luò)問題。二、VLAN的概念和原理VLAN(VirtualLocalAreaNetwork)即虛擬局域網(wǎng)，是一種通過邏輯而不是物理地將局域網(wǎng)劃分成一個(gè)個(gè)的網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的一種新興交換技術(shù)。VLAN與普通局域網(wǎng)從原理上講沒有什么不同，但從用戶使用和網(wǎng)絡(luò)管理的角度來看，VLAN與普通局域網(wǎng)最基本的差異體現(xiàn)在：VLAN并不局限于某一網(wǎng)絡(luò)或物理范圍，VLAN中的用戶可以位于一個(gè)局域網(wǎng)中的任何位置。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802．1Q協(xié)議標(biāo)準(zhǔn)草案。三、VLAN技術(shù)的優(yōu)點(diǎn)VLAN的優(yōu)點(diǎn)主要體現(xiàn)在以下三個(gè)方面：(一)控制廣播風(fēng)暴。網(wǎng)絡(luò)管理必須解決因大量廣播信息帶來帶寬消耗的問題。VLAN作為一種網(wǎng)絡(luò)分段技術(shù)可將廣播風(fēng)暴限制在一個(gè)VLAN內(nèi)部，避免影響其他網(wǎng)段。與傳統(tǒng)局域網(wǎng)相比，VLAN能夠更加有效地利用帶寬。在VLAN中，網(wǎng)絡(luò)被邏輯地分割成廣播域，由VLAN成員所發(fā)送的信息幀或數(shù)據(jù)包僅在VLAN內(nèi)的成員之間傳送，而不是向網(wǎng)上的所有工作站發(fā)送。這樣可減少主干網(wǎng)的流量，提高網(wǎng)絡(luò)速度。(二)增強(qiáng)網(wǎng)絡(luò)的安全性。共享式LAN上的廣播必然會(huì)產(chǎn)生安全性問題，因?yàn)榫W(wǎng)絡(luò)上的所有用戶都能監(jiān)測(cè)到流經(jīng)的業(yè)務(wù)，用戶只要插入任一活動(dòng)端口就可訪問網(wǎng)段上的廣播包。采用VLAN提供的安全機(jī)制，可以限制特定用戶的訪問，控制廣播組的大小和位置，甚至鎖定網(wǎng)絡(luò)成員的MAC地址，這樣，就限制了未經(jīng)安全許可的用戶和網(wǎng)絡(luò)成員對(duì)網(wǎng)絡(luò)的使用。(三)增強(qiáng)網(wǎng)絡(luò)管理。采用VLAN技術(shù)，使用VLAN管理程序可對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行集中管理，能夠更容易地實(shí)現(xiàn)網(wǎng)絡(luò)的可管理性。用戶可以根據(jù)業(yè)務(wù)需要快速組建和調(diào)整VLAN。當(dāng)鏈路擁擠時(shí)，利用管理程序能夠重新分配業(yè)務(wù)。管理程序還能夠提供有關(guān)工作組的業(yè)務(wù)量、廣播行為以及統(tǒng)計(jì)特性等的詳盡報(bào)告。對(duì)于網(wǎng)絡(luò)管理員來說，所有這些網(wǎng)絡(luò)配置和管理工作都是透明的。VLAN變動(dòng)時(shí)，用戶無需了解網(wǎng)絡(luò)的接線情況和協(xié)議是如何重新設(shè)置的。VLAN還能減少因網(wǎng)絡(luò)成員變化所帶來的開銷，在添加、刪除和移動(dòng)網(wǎng)絡(luò)成員時(shí)，不用重新布線，也不用直接對(duì)成員進(jìn)行配置。若采用傳統(tǒng)局域網(wǎng)技術(shù)，那么當(dāng)網(wǎng)絡(luò)達(dá)到一定規(guī)模時(shí)，此類開銷往往會(huì)成為管理員的沉重負(fù)擔(dān)。四、VLAN劃分方式的類型及特點(diǎn)VLAN的劃分方式很重要，在設(shè)計(jì)和建設(shè)VLAN，實(shí)現(xiàn)VLAN應(yīng)用時(shí)，首先要決定如何劃分VLAN，即依據(jù)什么標(biāo)準(zhǔn)來組織VLAN成員。如圖1所示，VLAN的劃分示例。下面介紹4種常見的劃分方式，不同的劃分方式代表不同的VLAN實(shí)現(xiàn)類型：(一)按端口劃分VLAN。這是構(gòu)成VLAN的最簡單的方式。在此方式中，可以將分屬不同交換機(jī)端口的物理網(wǎng)段劃分為同一個(gè)VLAN，這樣一個(gè)VLAN對(duì)應(yīng)交換機(jī)端口的一個(gè)子集合。借助網(wǎng)絡(luò)管理軟件，根據(jù)交換機(jī)端口的標(biāo)識(shí)符，將不同的端口劃分為相應(yīng)組。這種VLAN的優(yōu)點(diǎn)是實(shí)現(xiàn)簡單、容易監(jiān)控，且一個(gè)端口發(fā)出廣播，VLAN內(nèi)的其他端口都能收到，但這種方式缺乏智能及靈活性。比如，不能在給定的端口上支持一個(gè)以上的VLAN。(二)按MAC地址劃分VLAN。這種方式的VLAN就是一些MAC地址的集合，當(dāng)網(wǎng)絡(luò)站點(diǎn)移動(dòng)時(shí)它解決了這樣的問題，要求交換機(jī)對(duì)站點(diǎn)的MAC地址和交換機(jī)端口進(jìn)行跟蹤。初始化時(shí)，對(duì)連接于交換機(jī)端口的工作站，交換機(jī)在VLAN的管理信息庫的MIB中檢查MAC地址，動(dòng)態(tài)的匹配該端口到相應(yīng)的VLAN中，實(shí)現(xiàn)VLAN對(duì)站點(diǎn)的識(shí)別和跟蹤，但所有的站點(diǎn)必須明確的分配給一個(gè)VLAN，只有這種配置工作完成以后，對(duì)站點(diǎn)的自動(dòng)識(shí)別才成為可能。一個(gè)大型網(wǎng)絡(luò)，要求人工配置VLAN的工作量大而煩瑣。(三)基于網(wǎng)絡(luò)層劃分VLAN?？梢曰诰W(wǎng)絡(luò)層來劃分VLAN，有兩種方案，一種按協(xié)議(如果網(wǎng)絡(luò)中存在多種協(xié)議)來劃分；另一種是按網(wǎng)絡(luò)層地址(最常見的是TCP／IP中的子網(wǎng)段地址)來劃分。建立VLAN也可使用與管理路由相同的策，根據(jù)IP子網(wǎng)、IPX網(wǎng)絡(luò)號(hào)及其他協(xié)議劃分VLAN。同一協(xié)議的工作站劃分為一個(gè)VLAN，交換機(jī)檢查廣播幀的以太幀標(biāo)題域，查看其協(xié)議類型，若已存在該協(xié)議的VLAN，則加入源端口，否則，創(chuàng)建一個(gè)新的VLAN。這種方式構(gòu)成的ⅥAN，不但大大減少了人工配置VLAN的工作量，同時(shí)保證了用戶自由地增加、移動(dòng)和修改。不同VLAN網(wǎng)段上的站點(diǎn)可屬于同一VLAN，在不同VLAN上的站點(diǎn)也可在同一物理網(wǎng)段上。利用網(wǎng)絡(luò)層定義VLAN缺點(diǎn)也是有的，與利用MAC地址的形式相比，基于網(wǎng)絡(luò)層的VLAN需要分析各種協(xié)議的地址格式并進(jìn)行相應(yīng)的轉(zhuǎn)換。因此，使用網(wǎng)絡(luò)層信息來定義VLAN的交換機(jī)要比使用數(shù)據(jù)鏈路層信息的交換機(jī)在速度上占劣勢(shì)。(四)基于規(guī)則的VLAN。也稱為基于策略的VLAN。這是最靈活的VLAN劃分方法，具有自動(dòng)配置的能力，能把相關(guān)的用戶連成一體，在邏輯劃分上稱為“關(guān)系網(wǎng)絡(luò)”。網(wǎng)絡(luò)管理員只需在網(wǎng)管軟件中確定劃分VLAN的規(guī)則(或?qū)傩?，那么當(dāng)一個(gè)站點(diǎn)加入網(wǎng)絡(luò)中時(shí)，將會(huì)被“感知”，并被自動(dòng)地包含進(jìn)正確的VLAN中。同時(shí)，對(duì)站點(diǎn)的移動(dòng)和改變也可自動(dòng)識(shí)別和跟蹤。采用這種方式，整個(gè)網(wǎng)絡(luò)可以非常方便地通過路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。五、校園網(wǎng)特點(diǎn)及VLAN劃分(一)校園網(wǎng)的現(xiàn)狀及其存在的問題。筆者結(jié)合自己所在的學(xué)校，說明一些目前校園網(wǎng)的發(fā)展現(xiàn)狀及其特點(diǎn)：隨著學(xué)校自身的發(fā)展及規(guī)模的擴(kuò)大，作為園區(qū)網(wǎng)的典型，校園網(wǎng)正逐漸地由中小型向大中型發(fā)展和過渡，這樣就決定了它的組網(wǎng)在技術(shù)上的多樣性與復(fù)雜性，其不僅要考慮物理上各網(wǎng)段的連接，還要考慮建立在各種網(wǎng)絡(luò)協(xié)議上子網(wǎng)的互聯(lián)。另外，隨著校園網(wǎng)內(nèi)的計(jì)算機(jī)數(shù)量的增加，VOD視頻點(diǎn)播在多媒體課堂教學(xué)上的大量應(yīng)用，網(wǎng)絡(luò)中廣播包的數(shù)量也會(huì)急劇增加，當(dāng)廣播包的數(shù)量占到總量的30％時(shí)，網(wǎng)絡(luò)的傳輸效率將會(huì)明顯下降。特別是當(dāng)某網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，會(huì)不停地向網(wǎng)絡(luò)發(fā)送廣播，從而導(dǎo)致網(wǎng)絡(luò)風(fēng)暴，使網(wǎng)絡(luò)通信陷于癱瘓。當(dāng)校園網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)數(shù)超過200臺(tái)后，就必須采取措施將網(wǎng)絡(luò)分隔開來，將一個(gè)大的廣播域劃分成若干個(gè)小的廣播域。最后是校園網(wǎng)的安全性問題，特別是蠕蟲病毒大規(guī)模的爆發(fā)，會(huì)使整個(gè)校園網(wǎng)處于嚴(yán)重負(fù)荷狀態(tài)，導(dǎo)致整個(gè)網(wǎng)絡(luò)不可用，嚴(yán)重影響校園網(wǎng)的性能。此外，大學(xué)生在校園網(wǎng)中存在兩種攻擊行為：無意識(shí)的和有意的。他們的好奇心比較強(qiáng)，也有一定的理論知識(shí)，喜歡在網(wǎng)上嘗試一些攻擊軟件的使用，很可能造成整個(gè)校園網(wǎng)的癱瘓。如圖2是部分網(wǎng)絡(luò)拓?fù)鋱D：(二)配置策略。由于VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的局域網(wǎng)邏輯地劃分成不同的廣播域(或稱虛擬局域網(wǎng)，即VLAN)，所以每一個(gè)VLAN可以都是按照校園的一個(gè)職能部門來劃分，包含著一組具有相同工作特點(diǎn)的計(jì)算機(jī)。由于它是按功能劃分而不是按物理地劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無須被放置在同一個(gè)物理空間里，這些工作站不一定屬于同一個(gè)物理局域網(wǎng)網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，因此可以控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。根據(jù)具體應(yīng)用，提出如下校園網(wǎng)VLAN的配置策略：一是以工作站和服務(wù)器的邏輯歸屬劃分VLAN。如按部門、系、處等，盡可能地將同一工作性質(zhì)的用戶集中在一個(gè)VALN中，以減少跨VLAN的訪問，提高網(wǎng)絡(luò)的效率。二是按某項(xiàng)應(yīng)用的覆蓋范圍配置所要求的VLAN。如學(xué)校的選課應(yīng)用，不同地點(diǎn)選課可以將進(jìn)行選課的數(shù)個(gè)機(jī)房所對(duì)應(yīng)的交換機(jī)端口設(shè)為一個(gè)VLAN。選課活動(dòng)在物理上可跨幾個(gè)網(wǎng)段，但在邏輯上屬于一個(gè)子網(wǎng)。根據(jù)校園網(wǎng)的具體情況，為了達(dá)到信息流量的控制，并提供良好的安全性，通過對(duì)網(wǎng)絡(luò)邏輯結(jié)構(gòu)進(jìn)行分析和合理劃分，在高校校園網(wǎng)中應(yīng)用比較廣泛的是基于端口的VLAN，采用基于端口VLAN技術(shù)對(duì)校園內(nèi)部網(wǎng)絡(luò)不同部門之間進(jìn)行邏輯隔離，同時(shí)抑制廣播風(fēng)暴。在接入層交換機(jī)采用基于端口的VLAN劃分和隔離用戶，在匯聚層或核心層通過三層交換機(jī)采用VLAN路由進(jìn)行通訊，達(dá)到靈活通訊和管理控制各網(wǎng)段機(jī)器的目的。本校的校園網(wǎng)采用基于物理端口進(jìn)行VLAN的劃分，來提高校園網(wǎng)絡(luò)的工作效率。如圖3所示：六、VLAN技術(shù)在校園網(wǎng)中的局限性隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，多種技術(shù)之間的競爭非常激烈，沒有～種技術(shù)的發(fā)展是一帆風(fēng)順的，VLAN技術(shù)也不例外，其發(fā)展中也存在著一些局限：比如采用交換結(jié)構(gòu)的局域網(wǎng)通常采用一個(gè)主路由器負(fù)責(zé)VLAN之間的數(shù)據(jù)通信。在大型局域網(wǎng)中，當(dāng)有較大的數(shù)據(jù)流通過各VLAN時(shí)，主路由器的負(fù)荷很重，長此以往，網(wǎng)絡(luò)整體的性能，如穩(wěn)定性會(huì)下降。如果發(fā)生主路由器崩潰或故障時(shí)，各VLAN之間將無法正常通信。另外，校園網(wǎng)用戶的日益增加，用戶對(duì)于網(wǎng)絡(luò)數(shù)據(jù)通信的安全性提出了更高的要求，諸如防范黑客攻擊、控制病毒傳播等，都要求保證網(wǎng)絡(luò)用戶通信的相對(duì)安全性；傳統(tǒng)的解決方法是給每個(gè)用戶分配一個(gè)VLAN和相關(guān)的IP子網(wǎng)，通過使用VLAN，每個(gè)客戶被從第2層隔離開，可以防止任何惡意的行為和Etllemet的信息探聽。然而，這種分配每個(gè)客戶單一VLAN和IP子網(wǎng)的模型造成了巨大的可擴(kuò)展方面的局限。這些局限主要有下述幾方面：(1)VLAN的限制：目前IEEE802．1Q標(biāo)準(zhǔn)中所支持的VLAN數(shù)目最多為4，094個(gè)，用戶數(shù)量受到限制，且不利于網(wǎng)絡(luò)的擴(kuò)展。(2)復(fù)雜的STP：對(duì)于每個(gè)VLAN，每個(gè)相關(guān)的SpanningTree的拓?fù)涠夹枰芾恚?3)IP地址的緊缺：IP子