校園網(wǎng)改造之前在地理分布上有兩個網(wǎng)絡，即網(wǎng)絡中心所在的教學樓網(wǎng)絡和教師的辦公樓網(wǎng)絡。教學樓每個樓層的樓層交換機先直連到本樓的匯聚交換機，然后再接到網(wǎng)絡中心的核心千兆二層交換機上，辦公樓的樓層交換機先匯聚到辦公樓匯聚交換機上，然后通過光纖接到教學樓的核心交換機上（如圖1）。

存在問題

原來的校園網(wǎng)絡拓撲結構存在以下幾個明顯問題：

1.教學樓和辦公樓的兩個物理網(wǎng)絡并沒有在邏輯上分開，雖然上級分配了兩個網(wǎng)段，但因為沒有路由器或三層交換機，所以在校內(nèi)不可能嚴格分開兩個網(wǎng)段，這直接導致了校內(nèi)IP地址沖突問題嚴重。

2.學校的網(wǎng)絡設備較低級，最好的核心千兆以太網(wǎng)交換機僅為非網(wǎng)管的Netcore NSD 1324D二層交換機，不支持VLAN劃分，這就形成了所有的校內(nèi)設備都位于一個廣播域內(nèi)，一旦產(chǎn)生廣播風暴，對整個網(wǎng)絡的性能影響極大。

圖1 原網(wǎng)絡拓撲圖

3.網(wǎng)絡擴展困難，因為沒法細化網(wǎng)段，隨著學校上網(wǎng)節(jié)點的增加，進一步增大了IP地址沖突和網(wǎng)絡風暴問題。

4.機房的控制問題，兩個機房均是教師機和其他學生機都連到機房交換機上，但實際使用中往往會產(chǎn)生兩種需求：一是教師機需要和學生機連到同一個網(wǎng)絡，因為要使用屏幕廣播軟件進行演示教學；二是教師機需要隨時連接因特網(wǎng)，但學生機只有需要的時候才能連接上網(wǎng)。原始的網(wǎng)絡拓撲結構導致了要么教師和學生都能上網(wǎng)，要么都不能上，無法進行按需控制。

改造后情況

后來，學校購置了高性能多層交換機RG-S5750-24GT作為核心交換機，一臺DELL服務器提供WWW和FTP等服務，兩臺流媒體服務器作監(jiān)控用，另外，新翻修了老辦公樓改為實訓樓，需要接入校園網(wǎng)（如圖2）。

圖2 改造后的網(wǎng)絡拓撲圖

改進的地方與解決方案

1.由于升級了交換機，教育局進一步下放了兩個網(wǎng)段的劃分權限。原本設置在教育局的兩個網(wǎng)段的網(wǎng)關，現(xiàn)在轉移到我校自己的核心交換機上，網(wǎng)絡結構更加靈活、便利。

2.利用三層交換機的VLAN劃分及路由功能，根據(jù)實際需要，在核心交換機上，我們主要劃分了七個VLAN。

3.對機房網(wǎng)絡的改進。為實現(xiàn)對學生上網(wǎng)的有效控制，機房1里的教師機改為直接連到匯聚交換機上，而機房1交換機負責學生機的網(wǎng)絡連接，實際使用中，若將機房1交換機與匯聚交換機相連（連接圖2中①處，斷開③處），則實現(xiàn)了局域網(wǎng)的廣播教學，但學生機無法連上因特網(wǎng)，而若將機房1交換機直接與核心交換機相連（連接圖2中③處，斷開①處），則可實現(xiàn)學生機的上網(wǎng)。此方案的配置要點：

1）教師機只有一個網(wǎng)卡，因此要給教師機的網(wǎng)卡配置雙 網(wǎng) 段 地 址（VLAN 10和VLAN 20），就可實現(xiàn)教師機總是可以通過VLAN 10的IP地址上網(wǎng)，同時，當與機房1的交換機連接時，又可通過教師機端程序控制學生機（VLAN 20的IP地址）。

2）此設計要防止網(wǎng)絡環(huán)路問題，要確保機房1交換機同一時刻只能連接匯聚交換機或者核心交換機，而不能同時相連，即圖2中①和③不能同時相連。

3）為加強對學生機上網(wǎng)的集中控制，可采用在三層交換機上進行MAC地址綁定，從而實現(xiàn)機房1的學生機只能通過VLAN 20接口（即連接圖2的③處）上網(wǎng)，即使學生私自改動IP地址為教師機所在的VLAN 10地址段也不能通過接入VLAN 10網(wǎng)絡上網(wǎng)（圖2的①處）。

4）這種拓撲結構最終控制權回到了網(wǎng)絡中心的核心交換機上（學生機若要上網(wǎng)，只能直連核心交換機），因為學生機并不需要總是連接因特網(wǎng)，實際操作中，可以要求教師在上機前到網(wǎng)絡中心申請學生機連接公網(wǎng)，下課后斷開學生網(wǎng)絡的方式來加強管理與控制，同時也能有效防止環(huán)路。

5）對于機房2的改進（如圖2），與機房1類同，但也要確保圖2中的②和④兩處線路不能同時連接，以防環(huán)路。

4.單獨劃分一個VLAN 40給監(jiān)控網(wǎng)絡，VLAN 50給辦公網(wǎng)絡，VLAN 60給web服務器（配置雙網(wǎng)卡、雙網(wǎng)線連接、雙網(wǎng)段IP，分別對應內(nèi)網(wǎng)網(wǎng)段和外網(wǎng)網(wǎng)段，如圖2），VLAN 70用于向上連接教育局網(wǎng)絡。這樣就實現(xiàn)了幾個相對獨立網(wǎng)絡之間的隔離。

5.由于當初老辦公樓建設時對網(wǎng)絡布線方面考慮不足，各個房間都沒有網(wǎng)絡信息模塊插座，為了美觀與方便，決定采用無線網(wǎng)絡的方式連到校園網(wǎng)中，而新老辦公樓之間的距離較近（100米以內(nèi)），因此直接用雙絞線從新辦公樓的信息插座通過地下線纜敷設連接到了老辦公樓的主無線路由器上，然后在每個樓層放置2臺無線路由器，并進行無線路由器之間的橋接，同時給樓內(nèi)的臺式機配備了USB無線網(wǎng)卡，從而實現(xiàn)了實訓樓低成本、美觀地接入校園網(wǎng)。

核心三層交換機的典型配置

校園網(wǎng)升級后的優(yōu)勢

1.通過VLAN的劃分隔離了廣播域，有效地控制了廣播風暴的發(fā)生，強化了網(wǎng)絡管理和網(wǎng)絡安全，減少了不必要的數(shù)據(jù)廣播，顯著增強了校園網(wǎng)的穩(wěn)定性、安全性與健壯性。

2.使用MAC地址綁定技術，在VLAN中綁定已用IP地址為實際主機MAC地址，同時綁定未用IP地址為MAC地址全0，杜絕了IP地址沖突問題，防止了IP地址盜用和私改IP問題，同時也加強了對上網(wǎng)機器的監(jiān)控。

3.通過劃分子網(wǎng)，更有效地利用了地址空間，減少了浪費，故障定位與隔離更加方便。后期還可通過VLSM (可變長子網(wǎng)掩碼)，靈活分割剩余地址空間，減小網(wǎng)絡規(guī)模，進一步提高利用率。

4.對兩個機房的改造上，通過分別將其劃分到一個單獨的VLAN中，采用內(nèi)外網(wǎng)隔離的方式，結合網(wǎng)絡中心的控制，實現(xiàn)了教師機的全天候上網(wǎng)和對學生機上網(wǎng)的完全控制，避免了網(wǎng)絡環(huán)路問題，加強了學校機房的上網(wǎng)管理。

結語

多層交換機的VLAN技術中，VLAN的劃分與隔離、VLAN間的通信（主要采用SVI接口配置）等是VLAN應用的基礎，由于其配置簡單靈活，現(xiàn)已廣泛應用到了企業(yè)網(wǎng)和單位的局域網(wǎng)建設中，再結合子網(wǎng)的劃分與靈活配置，能盡可能地發(fā)揮網(wǎng)絡的性能，同時可最大程度地減少廣播風暴等不利因素的影響。

因此，如何根據(jù)本單位網(wǎng)絡實際情況，科學合理地規(guī)劃與配置網(wǎng)絡，是每個網(wǎng)絡管理者都應該認真考慮與研究的問題。