【摘 要】本文簡(jiǎn)敘述了VLAN技術(shù)的優(yōu)點(diǎn)及使用方式，vlan技術(shù)的普遍應(yīng)用很好的解決網(wǎng)絡(luò)中的廣播風(fēng)暴和通信沖突等問(wèn)題，從而提高了整個(gè)局域網(wǎng)的安全性和穩(wěn)定性。而三層交換機(jī)的普及也為VLAN的應(yīng)用創(chuàng)造了條件。在組建校園網(wǎng)的時(shí)候，利用三層交換和VLAN技術(shù)可解決網(wǎng)絡(luò)管理、IP地址擴(kuò)容等問(wèn)題，并可盡量發(fā)揮網(wǎng)絡(luò)設(shè)備所應(yīng)有的功能，最大程度上提高網(wǎng)絡(luò)穩(wěn)定性組建一個(gè)可伸縮智能化校園網(wǎng)，這種技術(shù)對(duì)提高校園網(wǎng)絡(luò)安全性和校園網(wǎng)絡(luò)管理性能都能起到積極的作用。

【關(guān)鍵詞】校園網(wǎng) VLAN 配置 網(wǎng)絡(luò)子網(wǎng)

高校信息化建設(shè)是利用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、通訊技術(shù)對(duì)學(xué)校與教學(xué)、科研、管理和生活服務(wù)有關(guān)的所有信息資源進(jìn)行全面的數(shù)字化；并用科學(xué)規(guī)范的管理對(duì)這些信息資源進(jìn)行整合和集成，以構(gòu)成統(tǒng)一的用戶管理、統(tǒng)一的資源管理和統(tǒng)一的權(quán)限控制；通過(guò)組織和業(yè)務(wù)流程再造，推動(dòng)學(xué)校進(jìn)行制度創(chuàng)新、管理創(chuàng)新，最終實(shí)現(xiàn)教育信息化、決策科學(xué)化和管理規(guī)范化。而校園網(wǎng)作為學(xué)校數(shù)字化校園的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，必須要保證高可靠性，高轉(zhuǎn)發(fā)性，高安全性，才能為校園網(wǎng)內(nèi)用戶提供安全可靠的互聯(lián)網(wǎng)訪問(wèn)服務(wù)。

一、Vlan技術(shù)概念

虛擬局域網(wǎng)技術(shù)（VLAN）可以很好的解決局域網(wǎng)中的廣播泛濫并且能提升網(wǎng)絡(luò)的安全性，其原理是在以每一個(gè)太網(wǎng)幀上添加了VLAN標(biāo)識(shí)，利用不同的VLAN號(hào)把用戶端劃分為不同的組。限制不同組間之間用戶的二層訪問(wèn)，每個(gè)工作組就是一個(gè)VLAN。

在局域網(wǎng)設(shè)計(jì)中，由于使用載波偵聽(tīng)多路訪問(wèn)/沖突檢測(cè)（CSMA /CD）機(jī)制，當(dāng)網(wǎng)絡(luò)中的主機(jī)數(shù)量不斷增加時(shí)，網(wǎng)絡(luò)沖突數(shù)量就會(huì)增多，尤其是當(dāng)廣播報(bào)文較多時(shí)，廣播風(fēng)暴就會(huì)造成網(wǎng)絡(luò)崩潰。

VLAN的主要特性是：進(jìn)行對(duì)廣播域范圍的限制，通過(guò)限制某個(gè)VLAN上的用戶端數(shù)目，從而可以限制該VLAN上的廣播信息。作為具有網(wǎng)關(guān)功能的VLAN交換機(jī)只允許通過(guò)擁有相關(guān)VLAN分組的數(shù)據(jù)，同時(shí)可對(duì)各個(gè)VLAN按具體情況分別進(jìn)行定義安全策略，提升校園網(wǎng)網(wǎng)絡(luò)的安全性。校園網(wǎng)管理者可以通過(guò)對(duì)交換機(jī)的配置或則相關(guān)的網(wǎng)絡(luò)管理軟件來(lái)管理不同VLAN之間和同一VLAN內(nèi)通信的各種數(shù)據(jù)信息，從而提高了校園網(wǎng)管理的靈活性，降低了網(wǎng)絡(luò)管理者對(duì)校園網(wǎng)管理的難度。通過(guò)劃分VLAN使網(wǎng)絡(luò)管理更加便捷，網(wǎng)絡(luò)性能以及安全性大大提高。

二、劃分VLAN的方式

建立VLAN可以根據(jù)校園網(wǎng)內(nèi)的不同需求進(jìn)行多樣的劃分。以在以太網(wǎng)基礎(chǔ)上實(shí)現(xiàn)VLAN的劃分，可以分為以下三種方法：

（一）根據(jù)端口來(lái)劃VLAN

顧名思義這種方式是對(duì)交換機(jī)的端口進(jìn)行劃分VLAN。將不在同一區(qū)域內(nèi)或不同交換機(jī)上的某些端口劃分到同一個(gè)VLAN，這是最簡(jiǎn)單、最有效的劃分方法。該方法只需對(duì)交換機(jī)的端口進(jìn)行重新配置VLAN。不用考慮是哪些終端設(shè)備接入該端口。

這種劃分方式的優(yōu)點(diǎn)是在分配VLAN用戶的時(shí)候十分簡(jiǎn)單，只需把需要加到某一VLAN中的交換機(jī)端口都配置一下即可。它的缺點(diǎn)也十分明顯，如果某個(gè)用戶端更換了接入的交換機(jī)端口，就必須重新配置VLAN，把當(dāng)前用戶端接入的端口也要加入所指定的VLAN中。

（二）根據(jù)終端用戶的MAC地址進(jìn)行VLAN劃分

MAC地址是指各種終端設(shè)備的網(wǎng)絡(luò)標(biāo)識(shí)符，所有用戶端的MAC地址都是在網(wǎng)絡(luò)硬件的芯片上，這些MAC地址都是當(dāng)前設(shè)備所獨(dú)有的。，網(wǎng)絡(luò)管理員可按MAC地址把一些主機(jī)劃分為一個(gè)邏輯子網(wǎng)。

這種方法的缺點(diǎn)是在配置初期，所有的用戶都必須進(jìn)行配置，如果存在大量用戶的話，配置是非常繁瑣的。而且，對(duì)于使用校園網(wǎng)中使用移動(dòng)設(shè)備的用戶來(lái)說(shuō)，他們的MAC地址可能經(jīng)常變更，這樣就會(huì)導(dǎo)致需要對(duì)VLAN進(jìn)行重復(fù)地配置。

（三）根據(jù)網(wǎng)絡(luò)層的VLAN劃分，由于路由協(xié)議是在網(wǎng)絡(luò)層，所以對(duì)應(yīng)的網(wǎng)絡(luò)設(shè)備有路由器和三層交換機(jī)

基于網(wǎng)絡(luò)層的VLAN協(xié)議允許某個(gè)VLAN可以分配在多個(gè)交換機(jī)上，或某個(gè)交換機(jī)的端口同時(shí)并存在多個(gè)VLAN中。在網(wǎng)絡(luò)層中常用的方法：利用子網(wǎng)或則IPX網(wǎng)絡(luò)ID等。

這種方法的缺點(diǎn)是比較耗費(fèi)網(wǎng)絡(luò)資源，因?yàn)榻粨Q機(jī)需要檢查每一個(gè)報(bào)文中的網(wǎng)絡(luò)地址，這樣使得交換機(jī)將消耗大量的處理時(shí)間，并且占用了交換機(jī)CPU的使用率，但一般的交換機(jī)芯片都可以自動(dòng)檢查網(wǎng)絡(luò)上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術(shù)，同時(shí)也更費(fèi)時(shí)。

（四）根據(jù)IP組播劃分VLAN

在劃分VLAN時(shí)把一個(gè)組播劃分到一個(gè)VLAN中。這種方法能夠使得VLAN的范圍能覆蓋整個(gè)校園網(wǎng)，這種方法具有比較好的靈活性，同時(shí)也能通過(guò)三層路由以及交換技術(shù)進(jìn)行擴(kuò)展，但該方法因其效率低下而不適用于校園網(wǎng)。

根據(jù)校園網(wǎng)的特性，用戶多、管理復(fù)雜的情況。所以校園網(wǎng)中一般劃分VLAN的方法是將端口和IP地址結(jié)合來(lái)劃分VLAN某幾個(gè)端口為一個(gè)VLAN，并為該VLAN配置IP地址，那么該VLAN中的計(jì)算機(jī)就以這個(gè)地址為網(wǎng)關(guān)，其它VLAN則不能與該VLAN處于同一子網(wǎng)。

三、VLAN 技術(shù)在校園網(wǎng)中的應(yīng)用

現(xiàn)階段校園網(wǎng)在用于校園辦公、日常管理之外，主要目的是為了服務(wù)日常教學(xué)和科研工作。根據(jù)我?，F(xiàn)在實(shí)際情況，已經(jīng)圍繞校園網(wǎng)展開(kāi)的業(yè)務(wù)有：數(shù)字校園一卡通系統(tǒng)、網(wǎng)上教學(xué)系統(tǒng)、網(wǎng)上辦公系統(tǒng)、國(guó)家精品課程、校園數(shù)字視頻點(diǎn)播以及數(shù)字視頻監(jiān)控等。我校校園網(wǎng)存在以下特點(diǎn)：校園網(wǎng)負(fù)荷大、用戶數(shù)量多、網(wǎng)絡(luò)日常管理及網(wǎng)絡(luò)設(shè)備的維護(hù)量大。在校園網(wǎng)方案設(shè)計(jì)之初就應(yīng)該針對(duì)不同的應(yīng)用需求，分別構(gòu)造不同的應(yīng)用子網(wǎng)，采用高性能的網(wǎng)絡(luò)設(shè)備，使用不同的網(wǎng)絡(luò)接入技術(shù)和網(wǎng)絡(luò)訪問(wèn)策略，并且對(duì)校園網(wǎng)采用VLAN技術(shù)和三層數(shù)據(jù)交換技術(shù)，以使整個(gè)網(wǎng)絡(luò)更加靈活高效。

（一）校園網(wǎng)中交換機(jī)的選用

現(xiàn)階段在校園網(wǎng)網(wǎng)絡(luò)平臺(tái)中使用的交換機(jī)基本上能夠支持VLAN技術(shù)。其中一類(lèi)是二層交換機(jī)：工作在OSI的數(shù)據(jù)鏈路層上，能夠根據(jù)交換機(jī)的MAC或端口來(lái)劃分VLAN；另一類(lèi)是三層交換機(jī)，三層交換機(jī)具有網(wǎng)絡(luò)層的屬性，三層交換機(jī)能夠支持二層數(shù)據(jù)交換以及的三層路由功能，能夠根據(jù)第三層網(wǎng)絡(luò)協(xié)議來(lái)劃分VLAN，在校園網(wǎng)中選用核心交換機(jī)時(shí)應(yīng)當(dāng)首選第三層交換機(jī)。

在校園網(wǎng)組建的時(shí)候推薦使用三層路由交換機(jī)作為的核心交換機(jī)，匯聚層以及接入層交換機(jī)可以使用二層或則三層交換機(jī)。所選用的交換機(jī)必須支持VLAN技術(shù)，這樣才能夠支持跨交換機(jī)劃分VLAN。二層交換機(jī)負(fù)責(zé)劃分本地主機(jī)的VLAN，第三層交換機(jī)負(fù)責(zé)將在不同地區(qū)的終端用戶劃分入同一VLAN中，同時(shí)還要負(fù)責(zé)各個(gè)不同交換機(jī)以及終端用戶的路由選擇以及VLAN之間的通訊。

（二）在校園網(wǎng)使用 VLAN技術(shù)的方法

一般來(lái)說(shuō)在校園中各個(gè)建筑群的分布都比較分散、院系和各個(gè)行政部門(mén)較多。而在VLAN的劃分的時(shí)候一定要以方便管理，提升網(wǎng)絡(luò)性能為VLAN的設(shè)計(jì)原則，以我校為例，一般的在校園網(wǎng)中可以采用按不同部門(mén)成員來(lái)劃分VLAN的方式。所以在進(jìn)行網(wǎng)絡(luò)平臺(tái)建設(shè)的時(shí)候，把同一個(gè)部門(mén)的用戶首先劃分到同一個(gè)IP子網(wǎng)中，從而隔離不同部門(mén)以及用戶端以防止地址盜用和數(shù)據(jù)流被非法截取，增加網(wǎng)絡(luò)的安全性。把不同業(yè)務(wù)的服務(wù)器、網(wǎng)絡(luò)站點(diǎn)劃分到同的VLAN，便于管理。

（三）配置VLAN

1. 根據(jù)校園網(wǎng)內(nèi)用戶端更換不頻繁的特點(diǎn)。在校園網(wǎng)中進(jìn)行VLAN配置的時(shí)候推薦采用靜態(tài)VLAN，首先是對(duì)交換機(jī)進(jìn)行設(shè)定，給交換機(jī)的某些端口確定固定的網(wǎng)段，然后把這些端口一一劃分到同一VLAN中。用靜態(tài)VLAN的方式的優(yōu)點(diǎn)在于能夠?qū)γ總€(gè)端口VLAN下的用戶的信息進(jìn)行收集，從而進(jìn)行控制，安全性比較高。

2.創(chuàng)建VLAN，默認(rèn)情況下交換機(jī)只有VLAN 1，可以設(shè)置為當(dāng)前交換機(jī)的管理VLAN，給該VLAN配置上IP地址后可以遠(yuǎn)程對(duì)交換機(jī)進(jìn)行管理。然后根據(jù)校網(wǎng)絡(luò)用戶的需求添加更多的VLAN。并且把不同的部門(mén)劃分到不同的VLAN中，以保證校園網(wǎng)內(nèi)的業(yè)務(wù)、數(shù)據(jù)安全。

3.建立 VTP（VLAN Trunking Protocol）VTP協(xié)議可以在交換機(jī)之間同步及傳遞各個(gè)VLAN的配置信息。當(dāng)VTP 服務(wù)器端收集到了各個(gè)不同的VLAN信息的時(shí)候，將會(huì)把這些VLAN的信息以及配置傳遞給當(dāng)前網(wǎng)絡(luò)中的所有交換機(jī)，VTP的建立能大大的減少對(duì)交換機(jī)的手工配置，比較適合像校園網(wǎng)這種網(wǎng)絡(luò)規(guī)模大，VLAN比較多的網(wǎng)絡(luò)。

四、結(jié)束語(yǔ)

現(xiàn)階段校園網(wǎng)網(wǎng)絡(luò)平臺(tái)的建設(shè)必須具有高度的組網(wǎng)靈活性和便捷、可靠的網(wǎng)絡(luò)安全管理手段。利用三層交換機(jī)，解決了局域網(wǎng)中不同網(wǎng)段之間的通訊必須依賴(lài)路由器的局面，實(shí)現(xiàn)了一次路由多次交換，同時(shí)第三層交換技術(shù)的出現(xiàn)給校園網(wǎng)的建設(shè)提供了良好的擴(kuò)展性。隨著虛擬局域網(wǎng)技術(shù)技術(shù)和三層交換技術(shù)的不斷發(fā)展，將會(huì)把校園網(wǎng)網(wǎng)絡(luò)發(fā)展提升至一個(gè)新的臺(tái)階。

參考文獻(xiàn)：

[1]楚書(shū)來(lái)，VLAN技術(shù)在校園網(wǎng)建設(shè)中的應(yīng)用研究[J]. 電腦知識(shí)與技術(shù)出版社 2011

[2]羅來(lái)俊. VLAN技術(shù)在校園網(wǎng)中的應(yīng)用與研究[J]. 南昌高專(zhuān)學(xué)報(bào) 2006

[3]劉文杰. VLAN技術(shù)在校園網(wǎng)實(shí)驗(yàn)中的應(yīng)用[J]. 實(shí)驗(yàn)技術(shù)與管理 2009