梁文生

摘要：該文詳細介紹校園機房中二層交換機VLAN的劃分，通過架設Linux服務器做網關，配置NAT規(guī)則，讓多VLAN能同時訪問Internet，并以實例加以說明。給校園機房組網提供一個可行的、穩(wěn)定的組網方法。

關鍵詞： 校園網；Linux；VLAN；網關；NAT

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2014）04-0709-03

目前高職校園計算機實訓室越來越多，計算機數量也越來越多，劃分VLAN成為計算機實訓室局域網中抑制廣播風暴、增強安全性、提高網絡可管理性的首選方案。同時，現(xiàn)在機房一般都要求連接Internet，在此情況下，使用Linux雙網卡搭建NAT網關，實現(xiàn)多VLAN訪問Internet就是其中一個比較良好的方法。

1 某實訓樓機房網絡布局情況簡介

某一實訓樓有4個機房，各個機房屬于不同的VLAN，并各有一條主線連接到一臺劃分有VLAN的二層交換機（Cisco2960）上，網絡環(huán)境如圖1所示。

1）一個帶VLAN功能的二層交換機，用于實現(xiàn)VLAN劃分，并通過Linux網關實現(xiàn)VLAN內主機與外網的通信。

2）一個Linux系統(tǒng)（CentOS5）雙網卡主機做網關，其中eth0網卡連接學校中心網絡，并可以訪問互聯(lián)網，網卡eth1連接二層交換機的Trunk端口，實現(xiàn)路由轉發(fā)功能。

2 Cisco2960交換機上VLAN的配置

本例所用交換機為Cisco2960，劃分4個VLAN，將1號端口設置為trunk模式（中繼線路），將2—6號端口劃分到默認的VLAN 1，將7—12號端口劃分到VLAN12，將13—18號端口劃分到VLAN13，將19—24號端口劃分到VLAN14。VLAN的劃分采用一般的按端口劃分方法。

2.1交換機Cisco2960的配置：

3 Linux網關主機中雙網卡的設置

由環(huán)境可以得知，Linux系統(tǒng)主機主要是實現(xiàn)轉發(fā)功能，讓內網主機可以相互訪問并能成功的訪問外網。因此，首先介紹一下Linux系統(tǒng)主機的配置。Linux主機是可以通過eth1直接連接學校中心網絡上外網的。Eth1的IP地址、網關和DNS都是通過網絡服務中心自動獲取或者是手動分配的。此處Eth1 的IP配置為：192.168.1.1/24，eth0配置為：IP： 192.168.100.250/24、GW： 192.168.100.1、DNS：192.168.100.2。

3.1 確認Linux系統(tǒng)內核是否已經支持VLAN功能

一般來說RH9以后的Linux發(fā)行版本，諸如RHEL4、RHEL5、CentOS4、CentOS5都已經默認支持了VLAN的功能，本例系統(tǒng)使用CentOS5，已經默認支持VLAN功能。

3.2 物理網卡、虛擬VLAN網卡的關系

物理網卡：物理網卡這里指的是服務器上實際的網絡接口設備，本例Linux網關主機上安裝兩個網卡，在系統(tǒng)中看到的2個物理網卡分別對應是eth0和eth1。

虛擬VLAN網卡：虛擬VLAN網卡不是實際上的網絡接口設備，只是通過將物理網卡加入不同的VLAN而生成的VLAN虛擬網卡，并作為網絡接口在系統(tǒng)中出現(xiàn)，但沒有自己的配置文件。如果將一個物理網卡添加到多個VLAN當中去的話，就會有多個VLAN虛擬網卡出現(xiàn)，以eth0.1、eth1.2這種名字形式表示，它們的信息以及相關的VLAN信息都是保存在/proc/net/vlan/config這個臨時文件中的，沒有獨自的配置文件，重啟后會被自動刪除。

3.3 Linux網卡配置

由于在Linux上eth1要被設定為Trunk與Cisco交換機2960中繼連接，因此，網絡中有幾個VLAN的話，那么中繼網卡eth1上也必須要加入對應的VLAN才能支持到（默認的本征vlan 1不需要添加，屬于本征vlan 1的端口設置IP與該物理網卡網段一致，并將網關指向eth1即可）。

3.3.1 將eth1添加到VLAN 2中：

第一次添加VLAN虛擬網卡的時候就一定會出現(xiàn)上面的那句提示，原因是因為默認下/proc/net/vlan/config這個專門用來保存VLAN信息的文件是沒有的。由于第一次添加VLAN網卡，那么這個文件也會被自動建立起來。另外，在/proc/目錄下面的文件都是系統(tǒng)的臨時文件，所以在配置并測試VLAN成功后，需要將相關命令添加到rc.local這個啟動腳本當中去。

按同樣方式將eth1添加到VLAN 3、4中：

4 啟用轉發(fā)功能

以上配置完成后，VLAN內的主機還不可以互相訪問，，因為并未開啟Linux系統(tǒng)主機的轉發(fā)功能。執(zhí)行如下命令：

# echo 1 > /proc/sys/net/ipv4/ip_forward

把ip_forward的值改為1，表示開啟了轉發(fā)功能，使用“service network restart”命令重新啟動網絡服務后，VLAN間的主機即可互相訪問了。

5 配置NAT規(guī)則

經過以上的配置后，VLAN間的主機可以相互訪問，但是內網主機還是無法訪問互聯(lián)網。因此需要把VLAN內的主機IP轉換成Linux系統(tǒng)主機可以上網的IP，本例只需將內網的IP轉換成Linux系統(tǒng)eth0接口的IP即可。配置的NAT為源NAT轉換：

#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE經過以上的配置之后，VLAN內所有主機就可以正常的訪問互聯(lián)網了。但是這些配置信息是寫到系統(tǒng)臨時文件的，系統(tǒng)重啟將會導致配置丟失，因此需要在啟動腳本/etc/rc.local中增加以下語句：

6 結束語

Linux是一個功能強大而且運行非常穩(wěn)定的免費操作系統(tǒng)，本例根據高職院校計算機實訓室的實際情況，使用Linux做網關服務器實現(xiàn)多VLAN網絡的設計，使VLAN內主機可以順利高效訪問Internet，達到對計算機實訓室的有效管理，確保計算機實訓室多VLAN網絡的正常穩(wěn)定運行。

參考文獻：

[1] 郭雅.計算機網絡實驗指導書[M].北京：電子工業(yè)出版社，2012.

[2] 唐燈平.利用Packet Tracer模擬組建大型單核網絡的研究[J].實驗室研究與探索，2011（1）：186-198.

[3] 甘剛.網絡設備配置與管理[M].北京：人民郵電出版社，2011.

[4] 王達.Cisco交換機配置與管理完全手冊[M].北京：中國水利水電出版社，2013.

[5] 余柏山.Linux系統(tǒng)管理與網絡管理[M].北京：清華大學出版社，2010.