云南師范大學(xué)商學(xué)院 楊劍寧 藺 坤

當(dāng)前交換技術(shù)的迅速發(fā)展，也加快了虛擬子網(wǎng)技術(shù)(VLAN—Virtual Local Area Network)的應(yīng)用速度，特別是在當(dāng)前校園網(wǎng)上的應(yīng)用更廣泛。通過將校園網(wǎng)絡(luò)劃分為虛擬子網(wǎng)（VLAN），可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。數(shù)據(jù)廣播在網(wǎng)絡(luò)中起著非常重要的作用，隨著校園網(wǎng)內(nèi)的計(jì)算機(jī)數(shù)量的增加，VOD視頻點(diǎn)播在課堂教學(xué)上的大量應(yīng)用，廣播包的數(shù)量也會(huì)急劇增加，當(dāng)廣播包的數(shù)量占到總量的30%時(shí)，網(wǎng)絡(luò)的傳輸效率將會(huì)明顯下降。

分隔廣播域的方式有兩種，一是物理分隔，即將一個(gè)完整網(wǎng)絡(luò)物理地一分為二或一分為多，然后通過一個(gè)能夠隔離廣播的網(wǎng)絡(luò)設(shè)備將彼此連接起來。二是邏輯分隔，即將一個(gè)大的網(wǎng)絡(luò)劃分為若干個(gè)小的虛擬子網(wǎng)，也就是VLAN，各虛擬子網(wǎng)間通過路由設(shè)備連接實(shí)現(xiàn)通訊。

一、VLAN實(shí)現(xiàn)的途徑

1.基于端口的VLAN

就是將交換機(jī)中的若干個(gè)端口定義為一個(gè)VLAN，同一個(gè)VLAN中的計(jì)算機(jī)具有相同的網(wǎng)絡(luò)地址，不同VLAN之間進(jìn)行通訊需要通過三層路由協(xié)議。采用這種方式的VLAN在工作過程中，把一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)遷移時(shí)，如果新舊端口不在一個(gè)VLAN內(nèi)，則用戶必須對(duì)該端口重新設(shè)置。

2.基于MAC地址的VLAN

這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來劃分，即對(duì)每個(gè)MAC地址的主機(jī)都配置他屬于哪個(gè)組。這種劃分VLAN的方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí)，即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí)，VLAN不用重新配置。所以，可以認(rèn)為這種根據(jù)MAC地址的劃分方法是基于用戶的VLAN，這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶都必須進(jìn)行配置，如果有幾百個(gè)甚至上千個(gè)用戶的話，配置是非常累的。

3.基于IP地址的VLAN

這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型（如果支持多協(xié)議）劃分的，雖然這種劃分方法是根據(jù)網(wǎng)絡(luò)地址，比如IP地址，但它不是路由，與網(wǎng)絡(luò)層的路由毫無關(guān)系。它雖然查看每個(gè)數(shù)據(jù)包的IP地址，但由于不是路由，所以，沒有RIP，OSPF等路由協(xié)議，而是根據(jù)生成樹算法進(jìn)行橋交換，

這種方法的缺點(diǎn)是效率低，因?yàn)闄z查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址是需要消耗處理時(shí)間的（相對(duì)于前面兩種方法），一般的交換機(jī)芯片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時(shí)也更費(fèi)時(shí)。

二、VLAN的配置

因?yàn)閷?duì)于不同的交換機(jī)，VLAN配置都有差異，并不是所有的交換機(jī)都支持VLAN和VLAN的三個(gè)實(shí)現(xiàn)途徑，有的交換機(jī)只支持基于端口的VLAN，而不支持基于MAC地址的VLAN等。現(xiàn)結(jié)合我校的校園網(wǎng)絡(luò)設(shè)備，介紹一下VLAN的配置。

我校的校園網(wǎng)共有節(jié)點(diǎn)650個(gè)，中心交換機(jī)采用Huawei 9312，樓層交換機(jī)全部采用Huawei 2700口交換機(jī)，電信寬帶經(jīng)CISCO 2621路由器接入校園網(wǎng)。學(xué)校按年級(jí)、科室共劃分7個(gè)VLAN，從而有效地控制了網(wǎng)絡(luò)風(fēng)暴的產(chǎn)生，提高了網(wǎng)絡(luò)傳輸?shù)挠行屎途W(wǎng)絡(luò)的安全性。

對(duì)于Huawei 9312三層中心交換機(jī)和2700交換機(jī)的采用基于端口的VLAN劃分是一個(gè)很輕松的事情，該交換機(jī)支持WEB和命令行（CLI）界面的管理，特別是WEB界面管理，直觀方便，但是不如命令行（CLI）功能強(qiáng)大。由于2700為中心交換機(jī)，各樓層間的2700交換機(jī)經(jīng)千兆光纖與9312相連，因此VLAN的劃分一是在9312上直接端口劃分，對(duì)與2700交換機(jī)連接的光纖端口設(shè)置成主干線路，這樣在2交換機(jī)上可以同時(shí)定義多個(gè)VLAN，最后通過在2700上設(shè)置三層路由協(xié)議實(shí)現(xiàn)各VLAN之間的通訊。

1.登陸到2700，進(jìn)入配置模式設(shè)置VLAN：

(1)新建VLAN：set vlan vlan_id name vlan_name

(2)選擇欲配置的接口：interface vlan vlan_id

(3)配置該VLAN的IP地址和子網(wǎng)掩碼：ip address ip_address subsnet_mask

(4)設(shè)置三層路由關(guān)聯(lián)，實(shí)現(xiàn)VLAN間的通訊：ip vlan vlan_id

(5)保存設(shè)置：copy run config

2.2700與2700相連接的千兆光纖接口設(shè)置trunk，以實(shí)現(xiàn)交換機(jī)之間的互連，2700設(shè)置：

(1)綁定ieee-802.1q VLAN間通訊協(xié)議：set port trunking-format模塊號(hào)/端口號(hào)ieee-802.1q

(2)設(shè)置主干：set port vlan-bindingmothod模塊號(hào)/端口號(hào)bingd-to-all

3.同樣對(duì)2700相應(yīng)的與2700互連端口作Trunk，進(jìn)入配置模式設(shè)置：

(1)set port trunking-fromat模塊號(hào)/端口號(hào)ieee-802.1q

(2)set port vlan-binding-method模塊號(hào)/端口號(hào)bind-to-all

這樣，交換機(jī)互連通訊后，就可以在2700上劃分VLAN了。進(jìn)入2700的配置模式，用命令行：set port vlan vlan_id模塊號(hào)/端口號(hào)2700，就可以把端口分到相應(yīng)的VLAN內(nèi)。

三、結(jié)束語

VLAN技術(shù)的應(yīng)用，使網(wǎng)絡(luò)工作組的劃分突破了地理位置的限制，而完全根據(jù)管理功能來劃分，這種基于工作流的分組模式很適合校園網(wǎng)的教學(xué)部門的劃分。隨著校園網(wǎng)絡(luò)的規(guī)模不斷擴(kuò)大和發(fā)展，使VLAN技術(shù)在校園網(wǎng)上得到更廣泛的應(yīng)用。

[1]張永.利用ADSL組建基于VLAN遠(yuǎn)程辦公網(wǎng)絡(luò)的組網(wǎng)方案研究[M].山東:山東大學(xué)學(xué)報(bào),2005.

[2]朱曄.基于端口的VLAN技術(shù)及其配置[M].北京:軟件導(dǎo)報(bào),2008.

[3]張光焱,馮勝勇.交換機(jī)中的VLAN技術(shù)[J].開封大學(xué)學(xué)報(bào),2004,02.

[4]李晉平.局域網(wǎng)組建和安全管理的實(shí)用技術(shù)[J].電腦開發(fā)與應(yīng)用,2002,15(10):33-35.

[5]楊永斌.VLAN技術(shù)在校園網(wǎng)建設(shè)中的應(yīng)用[J].計(jì)算機(jī)科學(xué),2004(12).

[6]孫茂圣,郭振民.基于城域網(wǎng)的超大型校園網(wǎng)的虛擬網(wǎng)構(gòu)建[J].現(xiàn)代電子技術(shù),2003(13).