摘 要：隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，校園網(wǎng)在高校的科研、教學(xué)與管理中發(fā)揮著越來越重要的作用，而用戶量大、開放性強(qiáng)、結(jié)構(gòu)復(fù)雜的特點(diǎn)加大了網(wǎng)絡(luò)管理的難度，網(wǎng)絡(luò)安全與帶寬利用率面臨著嚴(yán)重的問題。VLAN技術(shù)可構(gòu)建跨越物理范圍的邏輯網(wǎng)絡(luò)，文中介紹了VLAN的劃分方法及其優(yōu)點(diǎn)，并給出了該技術(shù)在校園網(wǎng)中的一種應(yīng)用方案，以防止廣播風(fēng)暴，提高網(wǎng)絡(luò)的運(yùn)行效率。

關(guān)鍵詞：VLAN；交換機(jī)；校園網(wǎng)；應(yīng)用

1 VLAN的定義及優(yōu)點(diǎn)

VLAN全稱為Virtual Local Area Network，即虛擬局域網(wǎng)，它可按實際應(yīng)用需求將物理局域網(wǎng)內(nèi)的主機(jī)或網(wǎng)絡(luò)設(shè)備從邏輯上劃分為不同的廣播域，而不必在物理上分割，各個VLAN內(nèi)部的單播與廣播流量都不會被轉(zhuǎn)發(fā)到其它VLAN中，可以根據(jù)需求將不同物理范圍的主機(jī)劃分在一個VLAN內(nèi)，使其具有類似于LAN的屬性。同一VLAN內(nèi)的設(shè)備可相互訪問，不同VLAN間在二層上互相隔離，只能通過三層路由來通信。

VLAN技術(shù)主要有以下優(yōu)點(diǎn)，（1）限制廣播風(fēng)暴，不同的VLAN分組作為相互獨(dú)立的廣播域，網(wǎng)絡(luò)中的廣播流量只能在同一個VLAN內(nèi)傳播，而不會影響到其它的VLAN，可將廣播風(fēng)暴控制在一個較小的范圍，減小廣播占用的帶寬，提高網(wǎng)絡(luò)傳輸性能。（2）增強(qiáng)網(wǎng)絡(luò)安全，不同VLAN間的通信，需通過三層路由設(shè)備來實現(xiàn)，可根據(jù)MAC地址分配和路由訪問列表等原則，控制邏輯網(wǎng)段的大小和用戶訪問權(quán)限，提高網(wǎng)絡(luò)的安全性。（3）簡化網(wǎng)絡(luò)管理，應(yīng)用VLAN技術(shù)，管理人員只需配置幾條命令即可建立一個邏輯工作組，而其成員不受物理位置的限制，工作站位置改變一般也不需重新配置，極大地減輕了網(wǎng)絡(luò)管理與維護(hù)人員的工作負(fù)擔(dān)。

2 VLAN的劃分方法

2.1 按照端口劃分

根據(jù)交換機(jī)端口來劃分廣播域，是應(yīng)用最為普遍的一種VLAN劃分方法。目前幾乎所有的交換機(jī)都支持以端口來配置VLAN，被設(shè)定為同一個VLAN的端口處于同一個廣播域中，并且允許跨越多個交換機(jī)對不同端口劃分VLAN，使得不同區(qū)域的交換機(jī)端口也可以組成一個虛擬網(wǎng)絡(luò)。同一個VLAN中各端口上的終端可以相互訪問，而不同VLAN端口上的終端被隔離，必須通過VLAN間的路由來進(jìn)行通信。這種方法配置非常簡單，易于實現(xiàn)，其缺點(diǎn)是網(wǎng)絡(luò)不夠靈活，若某終端位置發(fā)生了變化，必須對其新的端口進(jìn)行重新配置?？傮w來說，這種方式仍然是最常用的一種VLAN劃分方式。

2.2 按照MAC地址劃分

這種方法是根據(jù)各個主機(jī)或網(wǎng)絡(luò)設(shè)備的MAC地址來劃分VLAN，MAC地址決定了其屬于哪個VLAN分組。這種方法最大的優(yōu)點(diǎn)就是，當(dāng)用戶物理位置改變，從一個交換機(jī)到另一個交換機(jī)時，不需要重新配置，便于移動辦公，而且同一用戶可屬于多個VLAN，增強(qiáng)了網(wǎng)絡(luò)的靈活性。此方法的缺點(diǎn)是初始配置的工作量較大，必須對所有用戶設(shè)備的MAC進(jìn)行配置，如果用戶數(shù)量較多，會比較累人，也會影響交換機(jī)的工作效率。另外，用戶更換網(wǎng)卡或者更換電腦也是經(jīng)常會發(fā)生的事情，必須不斷地對VLAN進(jìn)行配置，所以該方法一般適用于小型的局域網(wǎng)。

2.3 按照網(wǎng)絡(luò)層劃分

該方法根據(jù)各主機(jī)的網(wǎng)絡(luò)層地址或者協(xié)議類型來劃分VLAN，按網(wǎng)絡(luò)層協(xié)議可劃分為IP、IPX、AppleTalk等VLAN網(wǎng)絡(luò)，同時運(yùn)行多種協(xié)議的網(wǎng)絡(luò)適合用此方法來劃分。即使用戶的物理位置發(fā)生改變，也不需重新配置其VLAN，這種劃分方法不需要幀標(biāo)簽來標(biāo)記VLAN，能有效減輕網(wǎng)絡(luò)通信量。該方法需要檢查每個數(shù)據(jù)包的網(wǎng)絡(luò)層地址，需要一定的處理時間，所以效率比較低，在配置上較為靈活，但是對設(shè)備要求比較高，一些設(shè)備可能不支持該方式。

2.4 按照策略劃分

基于策略來劃分VLAN，是一種非常靈活的VLAN劃分方法，實現(xiàn)了VLAN配置的自動化，這種劃分被稱為關(guān)系網(wǎng)絡(luò)，可以把符合一定條件的相關(guān)用戶連為一體。配置時只需設(shè)置好VLAN劃分的規(guī)則，當(dāng)設(shè)備加入到網(wǎng)絡(luò)時，系統(tǒng)會自動識別，并根據(jù)預(yù)設(shè)規(guī)則將其添加到相應(yīng)的VLAN中，系統(tǒng)還能對站點(diǎn)的移動進(jìn)行識別與跟蹤，站點(diǎn)位置可在網(wǎng)絡(luò)中靈活變動而不需重新設(shè)置。采用此方法，可通過路由器很方便地擴(kuò)展網(wǎng)絡(luò)規(guī)模。

3 VLAN技術(shù)在校園網(wǎng)中的應(yīng)用

校園網(wǎng)主要是為學(xué)校的教學(xué)、科研、管理等工作來服務(wù)，經(jīng)過不斷地發(fā)展，學(xué)校一般都建立了眾多的業(yè)務(wù)系統(tǒng)，常見的有：辦公系統(tǒng)、精品課程、科研、人事、財務(wù)系統(tǒng)等等，各部門及院系也都有自己的網(wǎng)站或應(yīng)用系統(tǒng)。學(xué)生宿舍區(qū)網(wǎng)絡(luò)用戶量較為龐大，眾多的樓宇和機(jī)構(gòu)設(shè)置決定了校園網(wǎng)結(jié)構(gòu)的復(fù)雜性及高負(fù)荷。網(wǎng)絡(luò)的開放性使得安全問題尤為顯著，單個計算機(jī)的故障可能影響到整個網(wǎng)絡(luò)，故障定位極其復(fù)雜，網(wǎng)絡(luò)及設(shè)備的管理維護(hù)較為困難。通過分析網(wǎng)絡(luò)的邏輯結(jié)構(gòu)和應(yīng)用需求，并利用VLAN技術(shù)進(jìn)行合理的劃分，對不同部門或網(wǎng)絡(luò)群體進(jìn)行邏輯隔離，可以很好地克服以上問題。

現(xiàn)在結(jié)合某高校的網(wǎng)絡(luò)實際情況來介紹下VLAN的配置。由于校園網(wǎng)用戶位置相對比較固定，一般不會有大的變動，而網(wǎng)絡(luò)規(guī)模又比較大，所以采用基于端口的VLAN劃分方法。該校的網(wǎng)絡(luò)主要有辦公區(qū)、家屬區(qū)。為方便進(jìn)行管理，我們總體上按照樓宇位置進(jìn)行劃分，比如一棟樓劃為一個VLAN，具體可根據(jù)實際作出調(diào)整，機(jī)房等計算機(jī)較為集中的地方也應(yīng)單獨(dú)來劃分。學(xué)校采用多出口鏈路經(jīng)防火墻接入校園網(wǎng)，采用H3C 105系列作為核心交換機(jī)，匯聚層為兩臺華為S5700交換機(jī)分別連接辦公區(qū)和家屬區(qū)，接入層以H3C二層交換機(jī)為主。

VLAN的劃分在兩臺匯聚交換機(jī)上進(jìn)行設(shè)置，設(shè)辦公區(qū)和家屬區(qū)對應(yīng)交換機(jī)分別為A和B，辦公區(qū)主要包括行政樓和1～4號教學(xué)樓，分別劃分VLAN100～104，家屬區(qū)包含1～4號家屬樓，劃分為VLAN111～114，兩臺交換機(jī)配置相似，以下為辦公區(qū)匯聚交換機(jī)VLAN配置的相關(guān)命令：

vlan batch 100 to 104

interface Vlanif100

ip address 10.125.100.1 255.255.255.0

interface Vlanif101

ip address 10.125.101.1 255.255.255.0

interface Vlanif102

ip address 10.125.102.1 255.255.255.0

interface Vlanif103

ip address 10.125.103.1 255.255.255.0

interface Vlanif104

ip address 10.125.104.1 255.255.255.0

interface GigabitEthernet0/0/1

port link-type access

port default vlan 100

……………………

VLAN技術(shù)在校園網(wǎng)建設(shè)和發(fā)展中的廣泛應(yīng)用，增強(qiáng)了網(wǎng)絡(luò)管理的靈活性，提高了網(wǎng)絡(luò)安全性及網(wǎng)絡(luò)帶寬利用率，而不斷擴(kuò)大的校園網(wǎng)規(guī)模，也將促使VLAN技術(shù)的進(jìn)一步發(fā)展。在今后的網(wǎng)絡(luò)管理與研究方面我們需付出更多的努力，使VLAN技術(shù)更好地服務(wù)于校園網(wǎng)的建設(shè)與管理。

參考文獻(xiàn)

[1]趙正紅，李紅.計算機(jī)網(wǎng)絡(luò)技術(shù)[M].北京：科學(xué)出版社，2010.

[2]王淞.VLAN技術(shù)在局域網(wǎng)建設(shè)中的應(yīng)用探究[J].計算機(jī)光盤軟件與應(yīng)用，2013（01）.

[3]劉華.VLAN技術(shù)在校園網(wǎng)中的應(yīng)用[J].計算機(jī)光盤軟件與應(yīng)用，2012（20）.

[4]丁偉東.Vlan在單位網(wǎng)絡(luò)管理中的應(yīng)用分析[J].計算機(jī)光盤軟件與應(yīng)用，2011（22）.

[5]葉松濤.淺談VLAN在交換式局域網(wǎng)中的應(yīng)用[J].計算機(jī)光盤軟件與應(yīng)用，2013（15）.