林凌

摘?要：計(jì)算機(jī)網(wǎng)絡(luò)影響著現(xiàn)代生活的很多方面，在各大學(xué)校內(nèi)部也都建立起了局域網(wǎng)。本文主要通過分析VLAN技術(shù)的定義、原理及優(yōu)點(diǎn)，闡述了VLAN技術(shù)在管理維護(hù)校園網(wǎng)系統(tǒng)中所起的作用以及在校園網(wǎng)中用交換機(jī)配置VLAN需要注意的問題，以便實(shí)現(xiàn)虛擬局域網(wǎng)的技術(shù)。

關(guān)鍵詞：VLAN?體系結(jié)構(gòu)?校園網(wǎng)?網(wǎng)絡(luò)管理

近些年來，隨著計(jì)算機(jī)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)硬件的性能得到提高，成本也逐步降低。目前的校園網(wǎng)基本都采用了性能先進(jìn)的千兆網(wǎng)技術(shù)，核心交換機(jī)采用三層交換機(jī)，它能很好地支持虛擬局域網(wǎng)（VLAN）技術(shù)，這對(duì)校園網(wǎng)的高速可靠運(yùn)行起到了非常重要的作用。

同時(shí)，隨著校園網(wǎng)內(nèi)計(jì)算機(jī)、交換機(jī)等設(shè)備的大量增加，網(wǎng)絡(luò)數(shù)據(jù)流量驟然增大，特別是 “網(wǎng)絡(luò)風(fēng)暴”和IP的沖突導(dǎo)致校園網(wǎng)絡(luò)癱瘓，極大地影響了校園網(wǎng)的正常運(yùn)行。校園網(wǎng)有訪問方式多、用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性高的特點(diǎn)。為了保證校園網(wǎng)的正常運(yùn)行和安全，本文針對(duì)校園網(wǎng)的特點(diǎn)和傳統(tǒng)局域網(wǎng)的缺陷，重點(diǎn)剖析了基于VLAN技術(shù)構(gòu)建安全校園網(wǎng)絡(luò)的應(yīng)用。

一、VLAN技術(shù)概述

VLAN(Virtual Local Area Network)也就是虛擬局域網(wǎng)，是一種建立在交換技術(shù)基礎(chǔ)之上的，通過將局域網(wǎng)內(nèi)的機(jī)器設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)不同的網(wǎng)段，以軟件方式實(shí)現(xiàn)邏輯工作組的劃分與管理的技術(shù)。VLAN的作用是使得同一VLAN中的成員間能夠互相通信，而不同VLAN之間則是相互隔離的，不同的VLAN如果要通信需要通過必要的路由設(shè)備。

二、VLAN的優(yōu)點(diǎn)

1.增加了網(wǎng)絡(luò)連接的靈活性

VLAN技術(shù)能將不同地點(diǎn)、不同網(wǎng)絡(luò)、不同用戶組合起來，形成一個(gè)虛擬的網(wǎng)絡(luò)環(huán)境，就像使用本地網(wǎng)絡(luò)一樣方便、靈活和有效。采用基于MAC，用戶的實(shí)際地址VLAN技術(shù)用戶則可不做任何修改，在網(wǎng)上的任意位置都可上網(wǎng)，因?yàn)閂LAN成員不是捆綁在某固定工作站上的；反過來，位置不發(fā)生改變卻變更了部門，網(wǎng)絡(luò)管理員也可以通過改變VLAN成員的方式讓用戶與VLAN的邏輯關(guān)系發(fā)生改變。

2.可以控制網(wǎng)絡(luò)上的廣播

VLAN可以提供建立防火墻的機(jī)制，防止交換網(wǎng)絡(luò)的過量廣播。使用VLAN，可以將某個(gè)交換端口或用戶賦予某一個(gè)特定的VLAN，該VLAN中的多臺(tái)計(jì)算機(jī)可以連接在一個(gè)交換機(jī)上，也可以是跨接在多個(gè)交換機(jī)上。一個(gè)VLAN中的廣播不會(huì)被傳送到另一個(gè)VLAN中，從而有效地減少了廣播風(fēng)暴對(duì)校園網(wǎng)絡(luò)的影響。

3.加強(qiáng)了網(wǎng)絡(luò)的安全性

在局域網(wǎng)中應(yīng)用VLAN技術(shù)可以把互相通信比較頻繁的用戶劃分到同一個(gè)VLAN中，這樣在同一個(gè)工作組中的信息傳輸只在同一個(gè)組內(nèi)廣播，從而減輕了因廣播包被截獲而引起的信息泄露帶來的影響，增強(qiáng)了網(wǎng)絡(luò)的安全性。

4.網(wǎng)絡(luò)管理簡單、直觀

在應(yīng)用VLAN技術(shù)后網(wǎng)絡(luò)管理員就可以輕松地管理網(wǎng)絡(luò)，例如學(xué)校的各個(gè)部門在物理上并不處在同一個(gè)位置，在不同的教學(xué)樓和辦公樓，但是應(yīng)用了VLAN技術(shù)網(wǎng)絡(luò)管理員就可以在應(yīng)用了幾條指令的同時(shí)完成設(shè)備在不同物理位置上的相同工作組的配置。

利用VLAN技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)成本。在一個(gè)交換網(wǎng)絡(luò)中，VLAN提供了很好的網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。

三、VLAN的劃分方法

根據(jù)VLAN在交換機(jī)上的實(shí)現(xiàn)方式，VLAN分為靜態(tài)VLAN和動(dòng)態(tài)VLAN兩類，動(dòng)態(tài)VLAN又可以分為三種

類型。

1.基于端口的靜態(tài)VLAN

這是最早的VLAN類型，也是最簡單的VLAN，大多數(shù)VLAN協(xié)議的交換機(jī)都提供這種VLAN配置方法。這種基于端口的劃分方法的優(yōu)點(diǎn)是定義VLAN成員非常簡單，適合于任何大小的網(wǎng)絡(luò)，它的缺點(diǎn)是VLAN的定義依賴于交換機(jī)的物理端口。

2.基于MAC地址的VLAN

這種方法是根據(jù)每個(gè)主機(jī)的MAC地址來劃分VLAN。這種VLAN劃分方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置變動(dòng)時(shí)，交換機(jī)會(huì)自動(dòng)查出該端口，并正確指定端口所屬的VLAN。這種方法的缺點(diǎn)是初始化時(shí)，所有的用戶MAC地址都必須進(jìn)行配置，如果有大量用戶的話，定義和維護(hù)VLAN較繁瑣。所以這種劃分方法通常適用于小型局域網(wǎng)。

3.基于網(wǎng)絡(luò)地址的VLAN

基于網(wǎng)絡(luò)地址的VLAN是按照交換機(jī)連接的網(wǎng)絡(luò)站點(diǎn)的網(wǎng)絡(luò)層地址劃分VLAN，從而確定交換機(jī)端口所屬的廣播域。其主要缺點(diǎn)在于效率要比基于第二層的VLAN差，因?yàn)椴榭慈龑覫P地址比查看MAC地址所消耗的時(shí)間多。在校園網(wǎng)中，基于端口的VLAN比較適合于臺(tái)式機(jī)等固定用戶，而對(duì)于使用筆記本電腦的移動(dòng)用戶（如教師），基于IP子網(wǎng)的VLAN則具備更好的應(yīng)用靈活性和簡便性。

4.基于用戶的VLAN

按用戶定義、非用戶授權(quán)劃分VLAN是為了適應(yīng)特別的VLAN網(wǎng)絡(luò)。這種劃分方法是根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計(jì)VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認(rèn)證后才可以加入一個(gè)VLAN。

四、VLAN技術(shù)在校園網(wǎng)中的應(yīng)用

1.筆者學(xué)校校園網(wǎng)概況

以筆者學(xué)校為例，在主校區(qū)，校園網(wǎng)以設(shè)在綜合樓的校園網(wǎng)網(wǎng)絡(luò)中心為核心，覆蓋綜合樓辦公室在內(nèi)的其他行政部門，如實(shí)習(xí)工廠等。采用CISCO 3560 24PS三層交換機(jī)作為核心交換機(jī)，在其他樓及需要配置網(wǎng)絡(luò)的場(chǎng)所則配置上二級(jí)交換機(jī)，以能支持100MBPS、支持VLAN的交換機(jī)為主，再連接到各個(gè)工作站。核心交換機(jī)通過路由連接Internet。從而實(shí)現(xiàn)各局域網(wǎng)之間信息的互通，數(shù)據(jù)的共享，教學(xué)上的各種需要以及對(duì)外上網(wǎng)。

學(xué)校網(wǎng)絡(luò)的整個(gè)范圍限制分為內(nèi)網(wǎng)和外網(wǎng)。從網(wǎng)絡(luò)安全級(jí)別的角度考慮又可將內(nèi)網(wǎng)分為兩大部分：第一部分為重點(diǎn)信息安全保護(hù)區(qū)，即校園網(wǎng)的重要應(yīng)用服務(wù)器群和重要部門的網(wǎng)絡(luò)設(shè)備和用戶；第二部分為普通信息安全區(qū)，外網(wǎng)即為校園外部網(wǎng)絡(luò)區(qū)域，也就是與校園網(wǎng)相連的各種專線信息網(wǎng)和Internet。

2.校園網(wǎng)系統(tǒng)規(guī)劃

根據(jù)校園網(wǎng)的具體情況，考慮到網(wǎng)絡(luò)資源的有限性，為了控制處理校園網(wǎng)的所有信息流量以有效地利用校園網(wǎng)的每一份資源，以及提供良好的安全性，必然要對(duì)整個(gè)校園網(wǎng)絡(luò)實(shí)現(xiàn)更加方便高效的管理。根據(jù)學(xué)校具體建筑物分布情況和各部門所處位置，在各棟樓之間都要各自設(shè)置最少一個(gè)VLAN，以當(dāng)前情況來看，共需設(shè)置5個(gè)，VLAN10，……VLAN50，VLAN1為交換機(jī)出廠時(shí)設(shè)置，不可更改，不可刪除，只需配置上適當(dāng)?shù)木W(wǎng)絡(luò)地址，就可以讓其他的二級(jí)交換機(jī)圍繞核心交換機(jī)來進(jìn)行互通。如果以后需要繼續(xù)擴(kuò)大內(nèi)部網(wǎng)的規(guī)模，在硬件能夠拓展的范圍內(nèi)，只需要繼續(xù)設(shè)置相應(yīng)的VLAN即可。

3.VLAN在校園網(wǎng)中的規(guī)劃和設(shè)置

在整個(gè)網(wǎng)絡(luò)系統(tǒng)集成之前，分配IP地址是很重要的一個(gè)環(huán)節(jié)?？蓪⒃O(shè)備的管理IP地址分配為所在VLAN中的某個(gè)地址，為了便于管理，可將內(nèi)部各子網(wǎng)的網(wǎng)關(guān)地址統(tǒng)一設(shè)為X.X.X.1，這樣只要定義好所屬的各網(wǎng)段，就能通過網(wǎng)關(guān)連接到核心交換機(jī)。

（1）創(chuàng)建VLAN。首先，必須先建立一個(gè)VTP管理域，以使它能管理網(wǎng)絡(luò)上當(dāng)前的VLAN。在同一管理域中的交換機(jī)共享它們的VLAN信息，并且，一個(gè)交換機(jī)只能參加到一個(gè)VTP管理域，不同域中的交換機(jī)不能共享VTP信息。

（2）添加VLAN的端口。在劃分VLAN時(shí)，名稱VLAN1為默認(rèn)，端口也是默認(rèn)的。所以在交換機(jī)劃分VLAN端口時(shí)，剩余的端口均默認(rèn)劃分到VLAN1中。將端口1，8-24劃分為VLAN1，其余端口分別劃給VLAN10-VLAN50。

（3）添加VLAN IP地址。將各VLAN口與相對(duì)應(yīng)的IP地址一一配置好。再在各接入VLAN的計(jì)算機(jī)上設(shè)置與所屬VLAN的網(wǎng)絡(luò)地址一致的IP地址，并且把默認(rèn)網(wǎng)關(guān)設(shè)置為該VLAN的接口地址。這樣，所有的VLAN也可以互訪了。

五、小結(jié)

VLAN技術(shù)為局域網(wǎng)的建設(shè)提供了高度的靈活性和可靠的網(wǎng)絡(luò)安全管理手段，顯示出獨(dú)特的優(yōu)點(diǎn)。隨著VLAN技術(shù)和三層交換技術(shù)的發(fā)展，必將把局域網(wǎng)的發(fā)展帶入一個(gè)新的階段。由于校園網(wǎng)絡(luò)的VLAN劃分是作為一個(gè)整體結(jié)構(gòu)來設(shè)計(jì)的，所以為了保持校園網(wǎng)絡(luò)的高速、暢通、安全，應(yīng)盡量選擇同一個(gè)品牌或品牌不同但配合使用起來協(xié)調(diào)性較好的設(shè)備。VLAN技術(shù)在校園網(wǎng)內(nèi)的應(yīng)用，不但使得校園網(wǎng)絡(luò)更加安全、快速，并且也減輕了網(wǎng)絡(luò)管理員的工作負(fù)擔(dān)，保證了各個(gè)部門不同的要求和信息的安全，因此，VLAN技術(shù)應(yīng)用在學(xué)校局域網(wǎng)內(nèi)是明智之舉。

參考文獻(xiàn) ：

[1]王玉慧.VLAN技術(shù)的應(yīng)用[J].中國水運(yùn),2004(12).

[2]朱立科.校園網(wǎng)VLAN的劃分與通信[N].青島遠(yuǎn)洋船員學(xué)院學(xué)報(bào),2006:72-74.

[3]廖常武,汪剛.校園網(wǎng)組建[M].北京:清華大學(xué)出版社,2005.

[4]王達(dá).網(wǎng)管員必讀——網(wǎng)絡(luò)基礎(chǔ)[M].北京:電子工業(yè)出版社,2004.

[5]曾明,李建軍.網(wǎng)絡(luò)技術(shù)精要——建網(wǎng)管網(wǎng)500問[M].北京:電子工業(yè)出版社,2003.

（作者單位：汕頭市高級(jí)技工學(xué)校）

endprint