VLAN在校園網(wǎng)中的運(yùn)用

1、vlan在校園網(wǎng)中的運(yùn)用題 目：vlan在校園網(wǎng)中的運(yùn)用 學(xué)生姓名： 袁 滿 學(xué)號： 指導(dǎo)教師： 張鋒皓專業(yè)班級： 網(wǎng)1071班 完成時(shí)間： 摘 要自1994年以來，互聯(lián)網(wǎng)在我國取得了飛速發(fā)展，聯(lián)網(wǎng)的計(jì)算機(jī)、上網(wǎng)用戶和網(wǎng)站的數(shù)目逐年倍增。各大專院校相繼建立了自己的校園網(wǎng)。internet技術(shù)和現(xiàn)代教育的快速發(fā)展以及越來越緊密的結(jié)合使得校園網(wǎng)成為學(xué)校教育、教學(xué)和科研的重要平臺。校園局域網(wǎng)與其他企事業(yè)單位的局域網(wǎng)相比，聯(lián)網(wǎng)計(jì)算機(jī)及網(wǎng)絡(luò)用戶的群體更為復(fù)雜。有教師備課機(jī)、學(xué)生機(jī)房、學(xué)生宿舍、圖書館以及人事、財(cái)務(wù)、后勤等行政辦公計(jì)算機(jī)等。不同的用戶對于網(wǎng)絡(luò)有著不同的需求，對于自身信息的安全性要求也不同，

2、據(jù)此可以將校園網(wǎng)劃分為多個(gè)vlan。虛擬局域網(wǎng)vlan（virtual local area network）是在局域網(wǎng)交換機(jī)里采用網(wǎng)絡(luò)管理軟件所構(gòu)建的可跨越不同位置的端到端邏輯網(wǎng)絡(luò)，文章闡述了vlan概念、形成原因、技術(shù)研究及實(shí)現(xiàn)方法。關(guān)鍵字：vlan，校園網(wǎng)，廣播域，mac地址，ip組播abstractsince 1994, the internet in china has made rapid development of computer networking, internet sites and the number of users doubled every year. te

3、rtiary institutions have been set up their own campus network. internet technology and modern education as well as the rapid development of ever closer integration of the campus network allow the school of education, teaching and research as an important platform.campus lan with other enterprises an

4、d institutions of the local area, computer networking and internet user groups is more complicated. there are teachers preparing lessons, students in the engine room, dormitory, library, as well as personnel, finance, logistics and other administrative office computer, and so on. different users hav

5、e different needs of the network for its own information security requirements, which can be divided into a number of campus network vlan.vlan is a logic network of end to end which adopted administrative software to construct and can crossover different location. in the paper explained the importan

6、t concepts of vlan、technique research and the implement method in detail.keyword: vlan, campus network, broadcasting domain, mac address, ip multicast目 錄第一章 緒 論11.1 校園網(wǎng)的概述11.2 校園網(wǎng)的特點(diǎn)及作用2第二章 校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì) 42.1 網(wǎng)絡(luò)拓?fù)湓敿?xì)規(guī)劃42.2 vlan及ip地址規(guī)劃52.3廣播域技術(shù) 6第三章 虛擬局域網(wǎng)的概述 73.1虛擬局域網(wǎng)的概念 73.2 vlan的標(biāo)準(zhǔn) 83.3 vlan的劃分方法 9第四章 v

7、lan在校園網(wǎng)中網(wǎng)絡(luò)中的運(yùn)用124.1校園網(wǎng)中靜態(tài)vlan的配置方法 124.2 vlan在校園網(wǎng)中的配置實(shí)例 14總 結(jié)17致 謝18參考文獻(xiàn) 19第一章 緒 論1.1 校園網(wǎng)的概述首先，校園網(wǎng)是利用先進(jìn)的建筑綜合布線技術(shù)構(gòu)架安全、可靠、便捷的計(jì)算機(jī)信息傳輸線路；其次，校園網(wǎng)的建設(shè)必須考慮到為學(xué)校教學(xué)、教育科研，利用成熟、領(lǐng)先的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)規(guī)劃計(jì)算機(jī)綜合管理系統(tǒng)的網(wǎng)絡(luò)應(yīng)用，提供優(yōu)質(zhì)的網(wǎng)絡(luò)化教學(xué)環(huán)境。因此，校園網(wǎng)應(yīng)當(dāng)是寬帶、具有交互功能和專業(yè)性較強(qiáng)的計(jì)算機(jī)局域網(wǎng)絡(luò)。校園網(wǎng)除了需要有必備的硬件設(shè)備和操作系統(tǒng)平臺外，利用全面的校園網(wǎng)絡(luò)管理軟件、網(wǎng)絡(luò)教學(xué)軟件，實(shí)現(xiàn)學(xué)校多媒體教學(xué)資源、教師備課系統(tǒng)、

8、電子圖書閱覽檢索、多媒體教學(xué)軟件開發(fā)平臺、校園網(wǎng)站和教學(xué)資源網(wǎng)站建設(shè)等功能。為學(xué)校提供教學(xué)、管理和決策三個(gè)不同層次所需要的數(shù)據(jù)、信息和知識的一個(gè)覆蓋全校管理機(jī)構(gòu)和教學(xué)機(jī)構(gòu)的基于internet/intranet技術(shù)的大型網(wǎng)絡(luò)系統(tǒng)。校園網(wǎng)還應(yīng)具有教務(wù)、行政、總務(wù)管理功能，可以進(jìn)行課程管理、學(xué)生成績與學(xué)籍管理、圖書資料管理等教學(xué)教務(wù)管理，也可以進(jìn)行檔案管理（含人事、教師檔案等）、處室管理等行政事務(wù)管理，總務(wù)后勤管理包括財(cái)務(wù)管理、設(shè)備、房產(chǎn)等。校園網(wǎng)應(yīng)該具有較先進(jìn)的水平，體現(xiàn)現(xiàn)代教育思想，要把建設(shè)校園網(wǎng)的規(guī)劃與學(xué)校的長遠(yuǎn)發(fā)展規(guī)劃統(tǒng)一起來，同時(shí)把服務(wù)教學(xué)作為網(wǎng)絡(luò)建設(shè)的著眼點(diǎn)和落腳點(diǎn)。校園網(wǎng)是不以盈利為

9、目的的。校園網(wǎng)上提供大量的免費(fèi)資源，供廣大師生工作學(xué)習(xí)之用，它所涉及的范圍并不局限于校園內(nèi)部。有些人認(rèn)為：校園網(wǎng)就是大學(xué)校園圍墻里面的網(wǎng)，即圍墻里面的就是校園網(wǎng)，圍墻外面的就是公網(wǎng)。這種看法是錯(cuò)誤的。校園網(wǎng)的界限，并不是以用戶終端所處的地理位置范圍來的界定的，而是以校園網(wǎng)提供的接入服務(wù)范圍來界定的。在校園圍墻內(nèi)可以有公網(wǎng)，在校園圍墻外也可以有校園網(wǎng)，應(yīng)滿足對內(nèi)對外的通信功能。某大學(xué)的*大花園就是一個(gè)典型的例子。*大花園處于其大學(xué)校園之外，但可以開通校園網(wǎng)。如下圖1-1就是一個(gè)典型的校園網(wǎng)網(wǎng)絡(luò)分布圖。圖1-1 校園網(wǎng)網(wǎng)絡(luò)分布圖1.2校園網(wǎng)的特點(diǎn)及作用在現(xiàn)今的網(wǎng)絡(luò)建設(shè)中，校園網(wǎng)的建設(shè)走在了其他行業(yè)

10、網(wǎng)絡(luò)建設(shè)的前列。一方面國家全面重視校園網(wǎng)絡(luò)的建設(shè)，在全國建立寬帶教育網(wǎng)，作為教育系統(tǒng)內(nèi)部的寬帶公共網(wǎng)絡(luò)；另一方面各校園網(wǎng)有節(jié)點(diǎn)集中、各節(jié)點(diǎn)或部分節(jié)點(diǎn)獨(dú)自管理的特點(diǎn)，為校園網(wǎng)的建設(shè)提供了很好的先決條件。當(dāng)然校園網(wǎng)內(nèi)部各種不同業(yè)務(wù)的開展是校園網(wǎng)發(fā)展迅速的最主要原因。而校園網(wǎng)的一個(gè)最大特點(diǎn)就是把分布在校園不同地點(diǎn)的多臺電腦連接，按照網(wǎng)絡(luò)協(xié)議相互通信，以共享軟件、硬件和數(shù)據(jù)資源為目標(biāo)的網(wǎng)絡(luò)系統(tǒng)。提供豐富的教育教學(xué)信息和資源是校園網(wǎng)的生命力。校園網(wǎng)絡(luò)具有距離短、延時(shí)少、相對成本低和傳輸速率高等優(yōu)點(diǎn)；它的低層協(xié)議較簡單，控制選擇等問題大大簡化，因而又具有組網(wǎng)簡單、易于實(shí)現(xiàn)的特點(diǎn)。校園網(wǎng)的特點(diǎn)現(xiàn)在清楚了,那

11、么在網(wǎng)絡(luò)中校園網(wǎng)又有什么樣的作用呢? 下面我們就來看看校園網(wǎng)有些什么作用。1.信息傳遞這是校園網(wǎng)絡(luò)最基本的功能之一，用來實(shí)現(xiàn)電腦與電腦之間傳遞各種信息，使分散在校園內(nèi)不同地點(diǎn)的電腦用戶可以進(jìn)行集中的控制管理。在校務(wù)部門建立網(wǎng)絡(luò)服務(wù)器，可以為整個(gè)校園網(wǎng)絡(luò)提供各類教學(xué)資源，并對這些資源進(jìn)行綜合管理。2.資源共享 （1）信息資源共享。通過接入ddn或isdn，很容易將校園網(wǎng)連接到internet,這樣，網(wǎng)絡(luò)內(nèi)的各電腦終端不但可以互通信息資源，而且可以享受網(wǎng)絡(luò)服務(wù)器上的相關(guān)數(shù)據(jù)及internet網(wǎng)上取之不盡，用之不竭的巨大信息資源，校園網(wǎng)在教學(xué)活動(dòng)中的作用也將成倍地增強(qiáng)。（2）硬件資源共享。網(wǎng)絡(luò)中各臺

12、電腦可以彼此互為后備機(jī)，一旦某臺電腦出現(xiàn)故障，它的任務(wù)就由網(wǎng)絡(luò)中其他電腦代而為之，當(dāng)網(wǎng)絡(luò)中的某臺電腦負(fù)擔(dān)過重時(shí)，網(wǎng)絡(luò)又可將新的任務(wù)轉(zhuǎn)交給網(wǎng)絡(luò)中較空閑的電腦完成。 3網(wǎng)上資源提高教學(xué)質(zhì)量，方便教學(xué)以往傳統(tǒng)的教學(xué)手段已經(jīng)不能夠滿足時(shí)代進(jìn)步的需要，學(xué)生也對粉筆和黑板的教學(xué)逐漸感到厭煩了?，F(xiàn)在的大部份學(xué)生每天都要上七、八節(jié)課，如果整天對著枯燥無味的書本，學(xué)生已經(jīng)沒有什么興趣了。如何把課本里的東西，變得生動(dòng)、形象，在以前是很難的，但現(xiàn)在就不算什么，依靠信息技術(shù)，從互聯(lián)網(wǎng)我們可以找到教學(xué)資源，并可應(yīng)用到教學(xué)中。網(wǎng)絡(luò)可以進(jìn)行圖、文、聲并茂的多媒體教學(xué)，可以取代語言實(shí)驗(yàn)室進(jìn)行更生動(dòng)的語言教學(xué)，也可以利用大量現(xiàn)

13、成的教學(xué)軟件，提供一個(gè)良好的教學(xué)環(huán)境，這些都是以往任何教學(xué)手段所不能達(dá)到的。校園網(wǎng)絡(luò)不但可以在校內(nèi)進(jìn)行網(wǎng)絡(luò)教學(xué)，還很容易同外界大型網(wǎng)絡(luò)連結(jié)，形成更大范圍的網(wǎng)絡(luò)交互學(xué)習(xí)環(huán)境。這樣的教學(xué)方式，大大提高了學(xué)生的學(xué)習(xí)興趣，教學(xué)效果好，老師也就提高了教學(xué)的質(zhì)量，真是一舉二得。第二章 校園網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)2.1 網(wǎng)絡(luò)拓?fù)湓敿?xì)規(guī)劃圖2-1 網(wǎng)絡(luò)拓樸圖校園網(wǎng)拓?fù)鋱D注釋：（1） 服務(wù)器群，其中有ftp、web、wins、dhcp等服務(wù)器。其ip地址為-10；（2） 在大樓1的匯聚層交換機(jī)配置了相關(guān)的ip地址，并對其重要的部門和多媒體教室進(jìn)行了vlan的劃分。其ip地址為-

14、252之間劃分；（3） 在大樓2的匯聚層交換機(jī)配置了相關(guān)的ip地址，并對其重要的部門和多媒體教室進(jìn)行了vlan的劃分。其ip地址為-252之間劃分；（4） 在大樓3的匯聚層交換機(jī)配置了相關(guān)的ip地址，并對其重要的部門和多媒體教室進(jìn)行了vlan的劃分。其ip地址為-252之間劃分；（5）在核心交換上進(jìn)行了靜態(tài)路由協(xié)議的、訪問控制列表的配置。并運(yùn)用單臂路由使有些vlan之間可以相互訪問；（6）這是家屬區(qū)域，配置略；在防火墻上進(jìn)行了基本的防病毒、防攻擊的配置，實(shí)施了入侵檢測系統(tǒng)的設(shè)置，配置了dmz區(qū)域和虛擬服務(wù)器，滿足外網(wǎng)用戶對ftp、web服務(wù)器和其他功

15、能的訪問。2.2 vlan及ip地址規(guī)劃（1）核心交換機(jī)ip地址分配核心交換機(jī)接口ip地址子網(wǎng)掩碼4/1(大樓1)4/2(大樓2)4/3(大樓3)3/0(出口路由)表2.1 核心交換機(jī)ip地址分配表錯(cuò)誤！未找到引用源。大樓1：vlan號/端口網(wǎng)絡(luò)號/ip地址子網(wǎng)掩碼vlan11-6292vlan126-1269

16、2vlan1330-18992vlan1494-25292表2.2大樓1vlan及ip地址分配表錯(cuò)誤！未找到引用源。大樓2：vlan號/端口網(wǎng)絡(luò)號/ip地址子網(wǎng)掩碼vlan21-6292vlan226-12692vlan2330-18992vlan2494-25292表2.3大樓2vlan及ip地址分配表錯(cuò)誤！

17、未找到引用源。大樓3：vlan號/端口網(wǎng)絡(luò)號/ip地址子網(wǎng)掩碼vlan31-6292vlan326 -12692vlan3330-18992vlan3494-25292表2.4大樓3vlan及ip地址分配表23 廣播域技術(shù)廣播域技術(shù)（broadcasting domain technique）廣播域是指廣播幀（目標(biāo)mac地址全部為1）所能傳遞到的范圍，即能夠直接通信的范圍。嚴(yán)格來講，廣播幀(broadca

18、sting frame)、多播幀（multicast frame）和目標(biāo)不明的單播幀（unicast frame）都能在同一個(gè)廣播域中暢行無阻，即廣播域是指接收同樣廣播消息的節(jié)點(diǎn)的集合，如：在該集合中的任何一個(gè)節(jié)點(diǎn)傳輸一個(gè)廣播幀，則所有其他能收到這個(gè)幀的節(jié)點(diǎn)都被認(rèn)為是該廣播幀的一部分。交換機(jī)分割沖突域，但是不分割廣播域，即交換機(jī)的所有端口屬于同一個(gè)廣播域。如圖2-4.1所示. . . .廣播域 廣播域沖突域沖突域廣播圖2-4.1 廣播域技術(shù)的傳播如果整個(gè)校園網(wǎng)絡(luò)只有一個(gè)廣播域，那么一旦發(fā)出廣播信息，就會傳遍整個(gè)網(wǎng)絡(luò)，并且對校園網(wǎng)絡(luò)中的主機(jī)帶來額外的負(fù)擔(dān)，這就提出了劃分廣播域的必要。分割廣播域時(shí)

19、，一般都是使用路由器，使用路由器后，可以以路由器上的網(wǎng)絡(luò)接口（lan interface）為單位分割廣播域；但路由器上不會有太多的網(wǎng)絡(luò)接口，其數(shù)目多在14個(gè)左右；而且使用路由器分割廣播域的話，所能分割的個(gè)數(shù)完全取決于路由器的網(wǎng)絡(luò)接口個(gè)數(shù)，使得校園用戶無法自由地根據(jù)實(shí)際需要分割廣播域。 與路由器相比，二層交換機(jī)一般帶有多個(gè)網(wǎng)絡(luò)接口，如果能使用它分割廣播域，無疑運(yùn)用的靈活性會大大提高，用于在二層交換機(jī)上分割廣播域的技術(shù)，就是vlan。通過利用vlan，我們可以自由設(shè)計(jì)廣播域的構(gòu)成，提高校園網(wǎng)絡(luò)設(shè)計(jì)的自由度并使校園網(wǎng)能高效運(yùn)行。這樣，虛擬局域網(wǎng)（vlan）技術(shù)的運(yùn)用成了解決校園網(wǎng)中所面臨的問題關(guān)鍵。

20、下一章我們將要講解的是虛擬局域網(wǎng)（vlan）這一技術(shù)的相關(guān)運(yùn)用。第三章 虛擬局域網(wǎng)的概述3.1 虛擬局域網(wǎng)的概念vlan（virtual local area network）的中文名為虛擬局域網(wǎng)，注意不是vpn（虛擬專用網(wǎng)）。vlan是一種將局域網(wǎng)設(shè)備從邏輯上劃分（注意，不是從物理上劃分）成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一新興技術(shù)主要應(yīng)用于交換機(jī)和路由器中，但主流應(yīng)用還是在交換機(jī)之中。但又不是所有交換機(jī)都具有此功能，只有vlan協(xié)議的第三層以上交換機(jī)才具有此功能，這一點(diǎn)可以查看相應(yīng)交換機(jī)的說明書即可得知。ieee于1999年頒布了用以標(biāo)準(zhǔn)化vlan實(shí)現(xiàn)方案的802.1q

21、協(xié)議標(biāo)準(zhǔn)草案。vlan技術(shù)的出現(xiàn)，使得管理員根據(jù)實(shí)際應(yīng)用需求，把同一物理局域網(wǎng)內(nèi)的不同用戶邏輯地劃分成不同的廣播域，每一個(gè)vlan都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的lan有著相同的屬性。由vlan的特點(diǎn)可知，一個(gè)vlan內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他vlan中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 交換技術(shù)的發(fā)展，也加快了新的交換技術(shù)（vlan）的應(yīng)用速度。通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)vlan網(wǎng)段，可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。在共享網(wǎng)絡(luò)中，一個(gè)物理的網(wǎng)段就是一個(gè)廣播域。而在交換網(wǎng)絡(luò)中，廣播域可以是有一組任意選定的第二層

22、網(wǎng)絡(luò)地址（mac地址）組成的虛擬網(wǎng)段。這樣，網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制，而完全根據(jù)管理功能來劃分。這種基于工作流的分組模式，大大提高了網(wǎng)絡(luò)規(guī)劃和重組的管理功能。在同一個(gè)vlan中的工作站，不論它們實(shí)際與哪個(gè)交換機(jī)連接，它們之間的通訊就好象在獨(dú)立的交換機(jī)上一樣。同一個(gè)vlan中的廣播只有vlan中的成員才能聽到，而不會傳輸?shù)狡渌?vlan中去，這樣可以很好的控制不必要的廣播風(fēng)暴的產(chǎn)生。同時(shí)，若沒有路由的話，不同vlan之間不能相互通訊，這樣增加了企業(yè)網(wǎng)絡(luò)中不同部門之間的安全性。網(wǎng)絡(luò)管理員可以通過配置vlan之間的路由來全面管理企業(yè)內(nèi)部不同管理單元之間的信息互訪。交換機(jī)是

23、根據(jù)用戶工作站的mac地址來劃分vlan的。所以，用戶可以自由的在企業(yè)網(wǎng)絡(luò)中移動(dòng)辦公，不論他在何處接入交換網(wǎng)絡(luò)，他都可以與vlan內(nèi)其他用戶自如通訊。 vlan網(wǎng)絡(luò)可以是有混合的網(wǎng)絡(luò)類型設(shè)備組成，比如：10m以太網(wǎng)、100m以太網(wǎng)、令牌網(wǎng)、fddi、cddi等等，可以是工作站、服務(wù)器、集線器、網(wǎng)絡(luò)上行主干等等。 vlan除了能將網(wǎng)絡(luò)劃分為多個(gè)廣播域，從而有效地控制廣播風(fēng)暴的發(fā)生，以及使網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)變得非常靈活的優(yōu)點(diǎn)外，還可以用于控制網(wǎng)絡(luò)中不同部門、不同站點(diǎn)之間的互相訪問。vlan是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎(chǔ)上增加了vlan頭，用vlan id把用戶劃分

24、為更小的工作組，限制不同工作組間的用戶互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。3.2 vlan的標(biāo)準(zhǔn)對vlan的標(biāo)準(zhǔn)，我們只是介紹兩種比較通用的標(biāo)準(zhǔn)，當(dāng)然也有一些公司具有自己的標(biāo)準(zhǔn)，比如cisco公司的isl標(biāo)準(zhǔn)，雖然不是一種大眾化的標(biāo)準(zhǔn)，但是由于cisco catalyst交換機(jī)的大量使用，isl也成為一種不是標(biāo)準(zhǔn)的標(biāo)準(zhǔn)了。(1)802.10vlan標(biāo)準(zhǔn)，802.1q在1995年，cisco公司提倡使用ieee802.10協(xié)議。在此之前，ieee802.10曾經(jīng)在全球范圍內(nèi)作為vlan安全性的同一規(guī)范。cisco公司試圖采用

25、優(yōu)化后的802.10幀格式在網(wǎng)絡(luò)上傳輸framtagging模式中所必須的vlan標(biāo)簽。在1996年3月，ieee802.1internetworking委員會結(jié)束了對vlan初期標(biāo)準(zhǔn)的修訂工作。新出臺的標(biāo)準(zhǔn)進(jìn)一步完善了vlan的體系結(jié)構(gòu)，統(tǒng)一了fram-etagging方式中不同廠商的標(biāo)簽格式，并制定了vlan標(biāo)準(zhǔn)在未來一段時(shí)間內(nèi)的發(fā)展方向，形成的802.1q的標(biāo)準(zhǔn)在業(yè)界獲得了廣泛的推廣。(2) cisco isl 標(biāo)簽isl（inter-switch link)是cisco公司的專有封裝方式，因此只能在cisco的設(shè)備上支持。isl是一個(gè)在交換機(jī)之間、交換機(jī)與路由器之間及交換機(jī)與服務(wù)器之間

26、傳遞多個(gè)vlan信息及vlan數(shù)據(jù)流的協(xié)議，通過在交換機(jī)直接的端口配置isl封裝，即可跨越交換機(jī)進(jìn)行整個(gè)網(wǎng)絡(luò)的vlan分配和配置。3.3 vlan的劃分方法vlan在交換機(jī)上的實(shí)現(xiàn)方法，可以大致劃分為六類:1基于端口劃分的vlan 基于端口的vlan的劃分是最簡單、有效的vlan劃分方法，它按照局域網(wǎng)交換機(jī)端口來定義vlan成員。vlan從邏輯上把局域網(wǎng)交換機(jī)的端口劃分開來，從而把終端系統(tǒng)劃分為不同的部分，各部分相對獨(dú)立，在功能上模擬了傳統(tǒng)的局域網(wǎng)?；诙丝诘膙lan又分為在單交換機(jī)端口和多交換機(jī)端口定義vlan兩種情況?；诙丝诘膙lan的劃分簡單、有效，但其缺點(diǎn)是當(dāng)用戶從一個(gè)端口移動(dòng)到另一

27、個(gè)端口時(shí)，網(wǎng)絡(luò)管理員必須對vlan成員進(jìn)行重新配置。2. 基于mac地址劃分vlan 劃分vlan的方法是根據(jù)每個(gè)主機(jī)的mac地址來劃分，即對每個(gè)mac地址的主機(jī)都配置他屬于哪個(gè)組，它實(shí)現(xiàn)的機(jī)制就是每一塊網(wǎng)卡都對應(yīng)唯一的mac地址，vlan交換機(jī)跟蹤屬于vlan mac的地址。這種方式的vlan允許網(wǎng)絡(luò)用戶從一個(gè)物理位置移動(dòng)到另一個(gè)物理位置時(shí)，自動(dòng)保留其所屬vlan的成員身份。由這種劃分的機(jī)制可以看出，這種vlan的劃分方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，vlan不用重新配置，因?yàn)樗腔谟脩?，而不是基于交換機(jī)的端口。這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶都

28、必須進(jìn)行配置。3. 基于網(wǎng)絡(luò)層協(xié)議劃分vlan vlan按網(wǎng)絡(luò)層協(xié)議來劃分，可分為ip、ipx、decent、appletalk、banyan等vlan網(wǎng)絡(luò)。這種按網(wǎng)絡(luò)層協(xié)議來組成的vlan，可使廣播域跨越多個(gè)vlan交換機(jī)。這對于希望針對具體應(yīng)用和服務(wù)來組織用戶的網(wǎng)絡(luò)管理員來說是非常具有吸引力的。而且，用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動(dòng)，但其vlan成員身份仍然保留不變。4. 根據(jù)ip組播劃分vlan ip 組播實(shí)際上也是一種vlan的定義，即認(rèn)為一個(gè)ip組播組就是一個(gè)vlan。這種劃分的方法將vlan擴(kuò)大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進(jìn)行擴(kuò)展，主要適合于不在同一地

29、理范圍的局域網(wǎng)用戶組成一個(gè)vlan，不適合局域網(wǎng)，主要是效率不高。5. 按用戶定義、非用戶授權(quán)劃分vlan基于用戶定義、非用戶授權(quán)來劃分vlan，是指為了適應(yīng)特別的vlan網(wǎng)絡(luò)，根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計(jì)vlan，而且可以讓非vlan群體用戶訪問vlan，但是需要提供用戶密碼，在得到vlan管理的認(rèn)證后才可以加入一個(gè)vlan。6.基于規(guī)則的vlan也稱為基于策略的vlan?；诓呗缘膙lan的劃分是一種比較有效而直接的方式，主要取決于在vlan的劃分中所采用的策略。劃分vlan是非常靈活的一件事，可以根據(jù)交換機(jī)端口劃分、基于mac地址劃分、基于策略劃分、基于網(wǎng)絡(luò)協(xié)議劃分、按用戶授

30、權(quán)基本劃分等。歸納起來，可以將vlan劃分概括成兩種類型。（1）動(dòng)態(tài)vlan 動(dòng)態(tài)的vlan形成是由端口自己決定它屬于哪個(gè)vlan時(shí)，實(shí)現(xiàn)客戶端動(dòng)態(tài)的vlan歸屬問題。它是一個(gè)簡單的映射，這個(gè)映射取決于工程師創(chuàng)建的客戶端mac地址數(shù)據(jù)庫。如下圖所示：vlan表mac地址所屬vlanmac amac bmac cmac dvlan 10vlan 5vlan 10vlan 5主機(jī)a主機(jī)b主機(jī)c主機(jī)d以太網(wǎng)交換機(jī)mac amac bmac cmac dvmps服務(wù)器當(dāng)主機(jī)發(fā)送數(shù)據(jù)幀，交換機(jī)查看了數(shù)據(jù)幀的源mac地址后，才能判斷主機(jī)屬于哪個(gè)vlan（2）靜態(tài)vlan 形成靜態(tài)vlan過程是將端口強(qiáng)制性

31、地分配給vlan的過程。網(wǎng)絡(luò)管理員一般按照不同的網(wǎng)絡(luò)應(yīng)用和訪問權(quán)限來確定哪些端口屬于哪些特定的vlan，然后將vlan靜態(tài)映射到端口。輸入一些合適的命令，這些命令有可能來自稱為snmp管理工作站的交換機(jī)的cli（命令行接口），也有可能來自將vlan的軟件管理工具cwsi（cisco work switched internet works）。采用這種方法，整個(gè)網(wǎng)絡(luò)可以非常方便地通過路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。有的產(chǎn)品還支持一個(gè)端口上的主機(jī)分別屬于不同的vlan，這在交換機(jī)與共享式hub共存的環(huán)境中顯得尤為重要。自動(dòng)配置vlan時(shí)，交換機(jī)中軟件自動(dòng)檢查進(jìn)入交換機(jī)端口的廣播信息的ip源地址，然后軟件自動(dòng)將

32、這個(gè)端口分配給一個(gè)由ip子網(wǎng)映射成的vlan。第四章 vlan 在校園網(wǎng)中的實(shí)現(xiàn)4.1 校園網(wǎng)中靜態(tài)vlan的配置方法以太網(wǎng)vlan id的取值范圍為11001。其中，vlan 1為系統(tǒng)默認(rèn)vlan，不能被創(chuàng)建，也不能被刪除。在基于ios的交換機(jī)上配置vlan，可以在兩種管理模式下操作：在特權(quán)配置模式下和vlan database模式下創(chuàng)建，其中第2種模式在新型交換機(jī)上會有警告提示，并說明此模式已不被廠商推薦使用。 * 第1種配置方法：在特權(quán)配置模式下配置vlan步驟:1）switch#configure terminal 進(jìn)入全局配置模式2）switch(config)#vlan vlan-

33、id (輸入一個(gè)vlan號, 然后進(jìn)入vlan配置模式，可以輸入一個(gè)新的vlan號或舊的來進(jìn)行修改。如本案例采用的 vlan 1114,vlan 2124,vlan 3134)3）switch(config-vlan)#name vlan-name (輸入一個(gè)vlan名，如果沒有配置vlan名，缺省的名字是vlan號前面用0填滿的4位數(shù)，如vlan0010是vlan10的缺省名字)4）switch(config-vlan)#mtu mtu-size 改變mtu大?。蛇x）5）switch(config-vlan)#end 退出6）switch#show vlan 驗(yàn)證vlan配置結(jié)果。7）sw

34、itch#copy running-config startup config 保存配置* 第2種配置方法：在vlan database模式下創(chuàng)建vlan步驟:1)switch#vlan database 進(jìn)入vlan配置模式2)switch(vlan)#vlan vlan-id name vlan-name 鍵vlan號及vlan名（3,4,5,6步驟同上）可以使用接口配置模式來定義端口模式（接入（access）還是干道（trunk），并向vlan中添加或從中刪除端口。將端口指定到特定的vlan后，就是在處理接入鏈路而非trunk鏈路?？梢允褂胹witchport mode access定義

35、端口成為vlan成員模式，使用此命令的no形式，可以將一個(gè)端口從vlan中去除。接下來，你需要通過接口命令switchport access vlan vlan-id將端口指定到特定的vlan中。使用此命令的no形式，也可以將一個(gè)端口從vlan中去除。在接入模式下，接口僅屬于一個(gè)vlan。步驟:1)switch#configure terminal 進(jìn)入全局配置模式2）switch(config)#interface interface-id 進(jìn)入接口配置模式，進(jìn)入要分配的端口，如本案例中的fastethernet 0/113）switch(config-if)#switchport mode

36、 access 定義交換機(jī)二層接口為接入模式4）switch(config-if)#switchport access vlan vlan-id 把端口分配給某一vlan。5）switch(config-if)#end 退出接口配置模式6）switch#show running-config interface interface-id 驗(yàn)證端口的vlan號7）switch#show interfaces interface-id switchport 驗(yàn)證端口的管理模式和vlan情況8）switch#copy running-config startup-config 保存配置 默認(rèn)情況下交

37、換機(jī)上的所有端口都屬于vlan1中。你不能對vlan1進(jìn)行更改、刪除或重命名，因?yàn)樗悄J(rèn)的vlan。默認(rèn)時(shí)vlan1是所有交換機(jī)的本地vlan，一般廠商都推薦你使用vlan1作為負(fù)責(zé)管理的vlan。本地vlan的功能是指：“沒有特別地分配到不同的數(shù)據(jù)包都將被發(fā)送到本地vlan中?！边@就是交換機(jī)在沒有劃分vlan時(shí)，客戶端能夠通信的原理。若欲將某個(gè)端口從vlan中刪除，可以將該接口恢復(fù)為默認(rèn)值，即可清除該接口的所有配置，使之不再屬于任何vlan。步驟：1）switch#configure terminal 進(jìn)入全局配置模式2）switch(config)#default interface i

38、nterface-id 清除某接口的所有配置3）switch(config)#end 返回特權(quán)配置模式4）switch#copy running-config startup-config 保存對配置的修改刪除vlan管理員在配置vlan過程中，很有可能輸入錯(cuò)誤的vlan名稱，如果要?jiǎng)h除這些vlan可用vlan database 進(jìn)入vlan配置狀態(tài)，用no vlan vlan-id 來刪除，也可以在特權(quán)配置模式下進(jìn)行操作。步驟：1）switch#configure terminal 進(jìn)入全局配置模式2）switch(config)# no vlan vlan-id 刪除某一vlan，如：no

39、 vlan 113）switch(config)# end 返回特權(quán)配置模式4）switch#show vlan brief 驗(yàn)證vlan數(shù)據(jù)庫的結(jié)果5）switch#copy running-config startup config 保存對配置的修改根據(jù)本校園網(wǎng)絡(luò)的vlan劃分，ip地址的劃分等分配，分別在大樓1，大樓2，大樓3等樓群匯聚層的交換機(jī)配置相關(guān)的ip地址，并對其重要的部門和多媒體教室進(jìn)行vlan的劃分。配置步驟相對簡單，每樓群的配置方法也相似。只需將交換機(jī)劃分vlan，將相對應(yīng)的客戶端端口加入到vlan中，并配置中繼（要將交換機(jī)與交換機(jī)之間的連接以及交換機(jī)與路由器之間的連接端口

40、設(shè)為主干模式 trunk）。同時(shí)需要配置單臂路由使有些vlan之間可以相互訪問。另外，我們之前對vlan的添加、變更和刪除都會寫入交換機(jī)iso系統(tǒng)中的vlan.dat文件。你在特權(quán)模式下利用show vlan的輸出結(jié)果就是顯示該文件的內(nèi)容。vlan.dat文件存儲在nvram中。你可以刪除這個(gè)文件，但要清楚后果：刪除vlan.dat文件很可能破壞不同交換機(jī)vlan數(shù)據(jù)庫中的一致性。如果你想改變vlan的配置，最好的做法是使用vlan配置模式下的命令。 4.2 vlan在校園網(wǎng)中的配置實(shí)例根據(jù)上一章節(jié)所講述的vlan的劃分方法,我們根據(jù)校園網(wǎng)絡(luò)中所采用的設(shè)備、劃分策略、路由技術(shù)等方面來劃分不同的

41、vlan，劃分vlan大致分為以下幾個(gè)步驟：1規(guī)劃 vlan根據(jù)學(xué)校的各個(gè)部門之間通信和安全的需要，如行政辦公網(wǎng)，教師備課網(wǎng)，公共學(xué)生網(wǎng)，專業(yè)學(xué)生網(wǎng)等劃分出不同的vlan。2在交換機(jī)上創(chuàng)建 valn如：switch#vlan databaseswitch(vlan)#vlan11 name teacher 創(chuàng)建一個(gè)名為teacher的vlan switch(vlan)#vlan12 name gongxuesheng 創(chuàng)建一個(gè)名為gongxuesheng 的vlanswitch(vlan)#vlan13 name zhuangxuesheng 創(chuàng)建一個(gè)名為zhuangxuesheng的vlan

42、switch(vlan)#vlan14 name xingzhen 創(chuàng)建一個(gè)名為xingzhen的vlan或者使用交換機(jī)廠商提供的配置軟件在可視化條件下創(chuàng)建一個(gè)vlan3給vlan 靜態(tài)分配交換機(jī)端口，在大樓1的匯聚層上實(shí)現(xiàn)如：switch#configure terminalswitch (config)#interface fastethernet02switch (config-if)#switchport mode accessswitch (config-if)#switchport access teacher 把交換機(jī)的端口2 分配給teacherswitch (config-i

43、f)#endswitch#configure terminalswitch (config)#interface fastethernet03switch (config-if)#switchport mode accessswitch (config-if)#switchport access gongxuesheng 把交換機(jī)的端口3 分配給gongxueshengswitch (config-if)#endswitch#configure terminalswitch (config)#interface fastethernet04switch (config-if)#switchpo

44、rt mode accessswitch (config-if)#switchport access zhuangxuesheng 把交換機(jī)的端口4 分配給zhuangxueshengswitch (config-if)#endswitch#configure terminalswitch (config)#interface fastethernet05switch (config-if)#switchport mode accessswitch (config-if)#switchport access xingzhen 把交換機(jī)的端口5 分配給xingzhen4.連接接入層交換機(jī) 用交叉

45、雙絞線的一端連接匯聚層的fastethernet02，另一端連接接入層的fastethernet01端口，從而接入層的所有端口都屬于vlanteacher用交叉雙絞線的一端連接匯聚層的fastethernet03，另一端連接接入層的fastethernet01端口，從而接入層的所有端口都屬于vlangongxuesheng 用交叉雙絞線的一端連接匯聚層的fastethernet04，另一端連接接入層的fastethernet01端口，從而接入層的所有端口都屬于vlanzhuangxuesheng 用交叉雙絞線的一端連接匯聚層的fastethernet05，另一端連接接入層的fastethern

46、et01端口，從而接入層的所有端口都屬于vlanxingzhen5配置中繼需要將交換機(jī)與交換機(jī)之間的連接以及交換機(jī)與路由器之間的連接端口設(shè)為主干模式 trunk， 把大樓1的匯聚層交換機(jī)的端口fastetherne01設(shè)為trunk, fastethernet01與fastethernet4/1連接如：switch(config)#interface fastetherne01switch (config-if)#switchport mode trunk6配置路由器和實(shí)現(xiàn)vlan 之間的路由如 ：route (config)#interface fastethernet4/1.1route

47、(config-subif)#encapsulation dot1q 11route (config-subif)# ip address 92route (config-subif)#no shutdownroute (config-subif)#exitroute (config)#interface fastethernet4/1.2route (config-subif)#encapsulation dot1q 12route (config-subif)#ip address 5 92r

48、oute (config-subif)#no shutdownroute (config-subif)#exitroute (config)#interface fastethernet4/1.3route (config-subif)#encapsulation dot1q 13route (config-subif)#ip address 29 92route (config-subif)#no shutdownroute (config-subif)#exitroute (config)#interface fastethernet4/1.4route (config-subif)#encapsulation dot1q 14route (config-subif)#ip address 93 255.255