吳顯衛(wèi)

（廣東省輕工職業(yè)技術(shù)學(xué)校 廣東 廣州 510308）

VLAN技術(shù)在中職校園網(wǎng)建設(shè)中的應(yīng)用

吳顯衛(wèi)

（廣東省輕工職業(yè)技術(shù)學(xué)校 廣東 廣州 510308）

VLAN作為最常使用的局域網(wǎng)技術(shù)之一，已在中小型網(wǎng)絡(luò)設(shè)計(jì)中得到廣泛應(yīng)用。校園網(wǎng)作為典型綜合網(wǎng)絡(luò)，VLAN技術(shù)的應(yīng)用是必不可少的。充分考慮各種VLAN實(shí)現(xiàn)方式的特點(diǎn)，正確設(shè)計(jì)及配置VLAN是使整個(gè)校園網(wǎng)的性能、可管理性、安全性、擴(kuò)充性得到充分提高的保證。

VLAN；中職；校園網(wǎng)建設(shè)；交換機(jī)；VTP

近幾年，隨著中職教育改革的深入，中職學(xué)校在招生規(guī)模及教學(xué)設(shè)備上投入的資金大幅提高。作為現(xiàn)代教育必不可少的教學(xué)環(huán)境，中職校園網(wǎng)絡(luò)的建設(shè)也在不斷更新發(fā)展，規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)應(yīng)用也不斷增多，網(wǎng)絡(luò)變得越來(lái)越擁擠，管理難度日益增大。同時(shí)，學(xué)校內(nèi)部部門區(qū)域性管理也要求網(wǎng)絡(luò)本身的結(jié)構(gòu)可以實(shí)現(xiàn)動(dòng)態(tài)組建、調(diào)整和管理。為了有效提高網(wǎng)絡(luò)管理的靈活性，提高網(wǎng)絡(luò)效率和網(wǎng)絡(luò)安全性，充分合理地對(duì)校園網(wǎng)絡(luò)進(jìn)行設(shè)計(jì)與配置是必須的。作為一種有效解決手段，VLAN在當(dāng)前校園網(wǎng)網(wǎng)絡(luò)建設(shè)中得到了廣泛應(yīng)用。此種技術(shù)是將校園網(wǎng)絡(luò)劃分為幾個(gè)不同的虛擬局域網(wǎng)（VLAN），通過(guò)這種方式強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播，從而使整個(gè)校園網(wǎng)的性能、可管理性、安全性、擴(kuò)充性得到充分保證。下面結(jié)合中職學(xué)校網(wǎng)絡(luò)實(shí)際，探討如何在校園網(wǎng)建設(shè)中合理進(jìn)行VLAN劃分及配置實(shí)現(xiàn)。

VLAN技術(shù)

VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是建立在局域網(wǎng)交換機(jī)的基礎(chǔ)之上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中，在功能和操作上與傳統(tǒng)LAN基本相同，可以提供一定范圍內(nèi)終端系統(tǒng)的互聯(lián)。通過(guò)VLAN，用戶能方便地在網(wǎng)絡(luò)中移動(dòng)和快捷地組建寬帶網(wǎng)絡(luò)，而無(wú)需改變?nèi)魏斡布屯ㄐ啪€路，能從邏輯上對(duì)用戶和網(wǎng)絡(luò)資源進(jìn)行分配，而無(wú)需考慮物理連接方式。采用了VLAN的校園網(wǎng)與普通校園網(wǎng)相比具有以下特點(diǎn)：（1）提高了網(wǎng)絡(luò)的安全性。虛擬局域網(wǎng)創(chuàng)造虛擬邊界，它只能通過(guò)路由器跨越，因此需要時(shí)，基于路由器的標(biāo)準(zhǔn)安全措施可用于限制對(duì)每個(gè)虛擬局域網(wǎng)的訪問(wèn)。（2）控制網(wǎng)絡(luò)廣播。在交換機(jī)上劃分VLAN，那么一個(gè)VLAN內(nèi)的廣播將不會(huì)發(fā)送到其他VLAN，相應(yīng)地提高了帶寬的利用率。（3）方便網(wǎng)絡(luò)管理。在整個(gè)局域網(wǎng)中，VLAN用戶如果移動(dòng)位置，不需要重新布線和調(diào)試，只要在交換機(jī)上重新分配相應(yīng)端口到該VLAN就可以了。

校園網(wǎng)交換模塊拓?fù)浼霸O(shè)計(jì)

校園網(wǎng)主要由以下幾部分構(gòu)成：交換模塊、廣域網(wǎng)接入模塊、遠(yuǎn)程訪問(wèn)模塊、服務(wù)器模塊。因VLAN技術(shù)主要應(yīng)用在交換機(jī)層面上，屬于交換模塊設(shè)計(jì)內(nèi)容，所以在這里以校園網(wǎng)交換模塊配置來(lái)說(shuō)明VLAN技術(shù)應(yīng)用，相應(yīng)拓?fù)浣Y(jié)構(gòu)如圖1所示。

為簡(jiǎn)化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，校園網(wǎng)交換模塊的部署是分層進(jìn)行的，一般分為三層——接入層、匯聚層、核心層，因此數(shù)據(jù)交換設(shè)備也相應(yīng)劃分為對(duì)應(yīng)的三個(gè)層次。

VLAN劃分

在交換模塊設(shè)計(jì)時(shí)，VLAN的劃分是必不可少的步驟。VLAN劃分要確定VLAN分組、VLAN名稱、VLAN的IP地址網(wǎng)段、VLAN的交換機(jī)端口分配。

圖1 交換模塊拓?fù)浣Y(jié)構(gòu)圖

在劃分VLAN時(shí)，由于工作組將與一個(gè)VLAN對(duì)應(yīng)，因此應(yīng)首先確定與VLAN對(duì)應(yīng)的工作組，從而確定應(yīng)將網(wǎng)絡(luò)節(jié)點(diǎn)分成多少個(gè)工作組。工作組的劃分方法有：（1）根據(jù)人員所屬部門劃分。此劃分方法是按職能部門將整個(gè)校園網(wǎng)絡(luò)劃分為相應(yīng)的IP子網(wǎng)，將各部門服務(wù)器劃分到相應(yīng)的子網(wǎng)中。（2）根據(jù)人員等級(jí)劃分。此法根據(jù)網(wǎng)絡(luò)使用人員所承擔(dān)的責(zé)任大小來(lái)劃分VLAN組。這樣做的一個(gè)益處就是同級(jí)別的人可劃分在同一個(gè)VLAN組，便于給這個(gè)組賦予相同的網(wǎng)絡(luò)使用權(quán)利。（3）根據(jù)人員使用網(wǎng)絡(luò)的性質(zhì)劃分。這樣劃分的益處是可使工作性質(zhì)相同的人員使用相同資源，避免由于相互頻繁通信而導(dǎo)致整個(gè)網(wǎng)絡(luò)上出現(xiàn)廣播風(fēng)暴的可能。（4）公共資源單獨(dú)成網(wǎng)。將公共服務(wù)資源（包括各種公共網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)打印機(jī)等）都劃分在同一個(gè)VLAN子網(wǎng)中，并賦予相應(yīng)的本地VLAN訪問(wèn)權(quán)限，從而實(shí)現(xiàn)全網(wǎng)的互聯(lián)互通和信息共享。當(dāng)工作組劃分完成后，應(yīng)分配好各VLAN工作組的IP地址段，基于端口的VLAN劃分還要為各VLAN組分配好交換機(jī)端口號(hào)。

基于端口、按職能部門劃分VLAN，VLAN劃分的部分情況可以表格形式給出，如表1所示。

表1 VLAN劃分示意表

VLAN配置實(shí)現(xiàn)

為減少核心層交換機(jī)受到各個(gè)VLAN的影響、避免全網(wǎng)癱瘓，VLAN的配置在交換模塊的接入層、匯聚層交換機(jī)實(shí)現(xiàn)。為便于說(shuō)明配置過(guò)程，本文所涉及的交換機(jī)設(shè)備皆以Cisco公司24口網(wǎng)絡(luò)交換機(jī)設(shè)備為例，針對(duì)jrcS1二層交換機(jī)、hjcS1三層交換機(jī)進(jìn)行配置。

交換機(jī)VLAN配置分為以下幾個(gè)步驟：（1）創(chuàng)建VLAN并配置默認(rèn)網(wǎng)關(guān)IP地址。（2）將交換機(jī)端口劃入相應(yīng)VLAN。（3）配置Trunk連接，實(shí)現(xiàn)VLAN跨交換機(jī)通信。（4）啟用三層路由功能。

當(dāng)網(wǎng)絡(luò)中交換機(jī)數(shù)量很多時(shí)，需要分別在每臺(tái)交換機(jī)上創(chuàng)建很多重復(fù)的VLAN。工作量很大、過(guò)程很繁瑣，并容易出錯(cuò)。為了簡(jiǎn)化配置操作，在實(shí)際工作中常采用VLAN中繼協(xié)議（VLAN Trunking Protocol，VTP）來(lái)解決這個(gè)問(wèn)題。VTP允許在一臺(tái)交換機(jī)上創(chuàng)建所有的VLAN，然后，利用交換機(jī)之間的相互學(xué)習(xí)功能，將創(chuàng)建好的VLAN定義傳播到整個(gè)網(wǎng)絡(luò)中需要此VLAN定義的所有交換機(jī)上，同時(shí)，有關(guān)VLAN的刪除、參數(shù)更改操作均可傳播到其他交換機(jī)，從而可大大減輕網(wǎng)絡(luò)管理人員配置交換機(jī)的負(fù)擔(dān)。以下配置將匯聚層的三層交換機(jī)hjcS1設(shè)置成VTP服務(wù)器，其他交換機(jī)設(shè)置成VTP客戶機(jī)。

1.交換機(jī)hjcS1簡(jiǎn)要配置命令如下：

配置VTP管理域的域名為“sxq1”：

hjcS1（config）#vtp domain sqx1

配置交換機(jī)hjcS1為VTP服務(wù)器：

hjcS1（config）#vtp mode server

激活VTP剪裁功能，使交換機(jī)自動(dòng)刪除沒(méi)定義的VLAN數(shù)據(jù)：

hjcS1（config）#vtp pruning

定義各VLAN并起名：

hjcS1（config）#vlan 10

hjcS1（config-vlan）#name JWK

hjcS1（config）#vlan 20

hjcS1（config-vlan）#name XSK

hjcS1（config）#vlan 30

hjcS1（config-vlan）#name CWK

hjcS1（config）#vlan 40

hjcS1（config-vlan）#name ZWK

配置Trunk：

hjcS1（config）#interface range fa0/23-24

hjcS1（config-if-range）#switchport mode trunk

啟用路由功能：

hjcS1（config）#ip routing

為各VLAN配置默認(rèn)網(wǎng)關(guān)IP地址：

hjcS1（config-if）#interface vlan 10

hjcS1（config-if）#ip address 192.168.1.254 255.255.255.0

hjcS1（config-if）#interface vlan 20

hjcS1（config-if）#ip address 192.168.2.254 255.255.255.0

hjcS1（config-if）#interface vlan 30

hjcS1（config-if）#ip address 192.168.3.254 255.255.255.0

hjcS1（config-if）#interface vlan 40

hjcS1（config-if）#ip address 192.168.4.254 255.255.255.0

2.接入層二層交換機(jī)jrcS1簡(jiǎn)要配置如下：

配置管理IP并激活：

jrcS1（config）#interface vlan 1

jrcS1（config-if）#ip address 192.168.1.1 255.255.255.0

jrcS1（config-if）#no shutdown

設(shè)置默認(rèn)網(wǎng)關(guān)地址：

jrcS1（config）#ip default-gateway 192.168.0.254

設(shè)置交換機(jī)成為VTP客戶機(jī)：

jrcS1（config）#VTP mode client

將交換機(jī)1-10端口劃入VLAN10：

jrcS1（config）#interface range fa0/1-10

jrcS1（config-if-range）#switchport mode access

jrcS1（config-if-range）#switchport access vlan 10

將交換機(jī)11-20端口劃入VLAN20：

jrcS1（config）#interface range fa0/11-20

jrcS1（config-if-range）#switchport mode access

jrcS1（config-if-range）#switchport access vlan 20

配置23、24端口為Trunk端口：

jrcS1（config）#interface range fa0/23-24

jrcS1（config-if-range）#switchport mode trunk

通過(guò)以上在交換機(jī)的VLAN技術(shù)配置，在二層交換機(jī)jrcS1上可實(shí)現(xiàn)VLAN組之間的隔離。在匯聚層交換機(jī)hjcS1上啟用路由功能可實(shí)現(xiàn)VLAN組之間通信，但如要限制某些VLAN組能通訊，同時(shí)使某些VLAN組不能通訊時(shí)，可以應(yīng)用訪問(wèn)控制列表技術(shù)（ALC）進(jìn)行控制實(shí)現(xiàn)。比如要求VLAN10、VLAN20間不能相互訪問(wèn)，但他們都能訪問(wèn)VLAN30這種情況，可以通過(guò)在匯聚層交換機(jī)hjcS1上建立ALC訪問(wèn)策略，并將策略應(yīng)用到相應(yīng)的VLAN端口來(lái)實(shí)現(xiàn)VLAN間的靈活訪問(wèn)控制，具體配置如下：

jrcS1 （config）#access-list101 permitip 192.168.1.0 0.0.0.255

192.168.3.0 0.0.255

jrcS1 （config）#access-list102 permitip 192.168.2.0 0.0.0.255

192.168.3.0 0.0.255

jrcS1（config）#int vlan 10

jrcS1（config-if）ip access-group 101 in

jrcS1（config）#int vlan 20

jrcS1（config-if）ip access-group 102 in

總之，VLAN技術(shù)充分體現(xiàn)了現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征：高速、靈活、管理簡(jiǎn)便和擴(kuò)展容易，能有效解決校園網(wǎng)絡(luò)設(shè)計(jì)中的各類功能需求。網(wǎng)絡(luò)的虛擬化是未來(lái)網(wǎng)絡(luò)發(fā)展的潮流，VLAN的技術(shù)應(yīng)用值得我們繼續(xù)探索與實(shí)踐。

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第5版）[M].北京:電子工業(yè)出版社，2008.

[2]何文生.企業(yè)網(wǎng)搭建及應(yīng)用[M].北京:電子工業(yè)出版社，2010.

[3]（美）Vito Amato.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程[M].北京:人民郵電出版社，2000.

[4]甘剛.網(wǎng)絡(luò)設(shè)備配置與管理[M].北京:清華大學(xué)出版社，2007.

[5]汪雙項(xiàng)，韓立凡.中小型網(wǎng)絡(luò)構(gòu)建與管理（第1冊(cè)）[M].北京:高等教育出版社，2006.

（本欄責(zé)任編輯：謝良才)

□有話職說(shuō)

快樂(lè)是一個(gè)方向，不是一個(gè)地方。

—— 哈利斯

G712

A

1672-5727（2012）01-0172-02

吳顯衛(wèi)（1975—），男，廣東陽(yáng)江人，廣東省輕工職業(yè)技術(shù)學(xué)校講師，研究方向?yàn)橹新殞I(yè)教學(xué)模式及教學(xué)資源共享、經(jīng)驗(yàn)積累與分享應(yīng)用。