基于三层交换虚拟局域网技术在校园网中应用

1、基于三层交换虚拟局域网技术在校园网中应用摘要：文章主要分析了校园网中使用vlan技术进行网段的划分，使网络结构变得更具灵活性和适应性，各 部门处在不同的网段中，从而信息得到了隔离，并解决了校 园网中冲突域和广播域等问题。文章详细介绍了虚拟局域网 技术，三层交换技术，vlan的划分。最后，在实际应用中， 给出了三层交换的虚拟局域网技术在校园网中的应用。关键词：虚拟局域网；三层交换技术；vlan划分；校网中图分类号：tp393. 18文献标识码：a文章编号:1006-8937 (2013) 05-0065-03当前互联网技术迅速发展，各种网络应用越来越广泛,人们对网络安全使用性能的要求也越来越高。

2、但在早期的网 络中，当计算机的规模不断地扩大，就会经常引起信道冲突以及广播风暴的产生等危害,这势必会影响这个网络的性能。为了解决局域网互联时无法限制广播等问题，vlan技术 就随之产生。它的出现打破了传统网络的许多固有观念，使 网络的结构变得灵活、方便、随心所欲。vlan技术是把一个物理局域网划分成多个虚拟局域网vlan,每个vlan就是一个广播域，可以隔离广播，vlan内的主机之间的通信就和在一个局域网内一样不会受到影响，而不同vlan之间的主机则不能直接通信。在校网中应用这种技术不仅可以使网络结构变得更具灵活性和适应 性，也大大减少网络管理员的工作量。1 vlan与三层交换技术 1. 1

3、vlan技术原理及优点 1. 1. 1 vlan技术的原理在交换式以太网中，交换机中的各个端口都同属于一个 广播域内，如果一台主机发出一个广播帧，那么整个局域网 中所有的主机都能够接受得到，这样就使局域网中有限的带 宽被这台主机所发出的广播帧所占用，无形地浪费了网络资 源。为了能减小广播域的范围，提高网络的性能，降低网络 运行的费用，虽然路由器可以解决这个问题，但是，其成本 要比交换机高；另外，大部分传统路由器采用软件转发，其 自身低速、复杂等局限性，很容易成为网络的瓶颈使以太网 的优势难以发挥，第三层交换技术克服了传统路由的缺点。 为此提出了虚拟局域网。vlan技术的原理，是把不同物理位置的

4、站点，按照其功能和应用划分为多个不同的逻辑子网，每个子网就是一个广 播域，广播信息只发给同一子网内的站点，不同vlan间的 通信只能通过路由器等三层设备才能互相通信。它是一种实 现虚拟工作组的新兴技术。1. 1.2 vlan技术的优点vlan的划分不受地理位置的限制，一个交换机中可以划 分多个vlan, 个vlan可以在不同的交换机上。这就使vlan 具有以下几个主要优点： 灵活构建虚拟工作组。使用vlan可以把不同地理位 置的用户划分到同一工作组；此外，还可以对处在不同地理 位置的设备进行统一的管理。网络构建及维护更为灵活方 便。 增强网络的安全性。不同vlan之间是相互隔离的， 所以，不同

5、vlan之间的用户是不能直接通信的。这样就可 以把用户涉及到保密的信息与普通用户相隔离。 有效地控制广播域的范围。交换机划分vlan后，一 台主机所发送的广播帧仅在其所处的vlan中传播，广播域 就被限制在一个vlan内。1.2三层交换技术的原理三层交换技术是根据osi参考模型中第三层网络层的ip 地址完成端到端数据交换的。当某一信息源的第一个数据流 进行第三层交换后，其中的路由系统将会产生一个mac地址 与ip地址的映射表，并将该表存储起来，当同一信息源的 后续数据流再次进入交换环境时，交换机将根据第一次产生 并保存的地址映射表，直接从第二层由源地址传输到目的地 址，不再经过第三层路由系统处

6、理，从而消除了路由选择时 造成的网络延迟，提高了数据包的转发效率，解决了网间传 输信息时路由产生的速率瓶颈。简单的说，第三层交换技术 就是将第二层交换技术和第三层转发技术的有机结合，不仅 使二层与三层相互关联起来，而且还提供流量优先化处理、 安全访问机制以及多种其他的灵活功能。1. 3 vlan的划分 基于端口的划分。基于端口的vlan是最简单、最有 效的vlan划分方法。它根据设备的端口来指定其所属vlan, 而不用考虑端口所处位置。端口配置后，可以转发指定vlan 的数据帧。但是所连设备更换端口后，就必须重新配置vlan 对应的端口。 基于mac地址的划分。这种划分vlan的方法是根据 每

7、台主机的mac地址来划分的。mac地址是网卡的一个唯一 标识，一个mac地址对应一台主机。在交换机上有一张vlan 映射表，该表记录了 mac地址和vlan的对应关系。这种划 分方式最大的优点就是，当主机物理位置移动时，vlan不用 重新配置。但是，当新的主机加入时，就要收集该主机的mac 地址，对它进行配置。如果新加入的主机量大时，配置的工 作量也就很大。 基于协议的划分。基于协议的vlan是根据端口接收 到的报文所属的协议类型来划分不同的vlan。该方式主要应 用于将网络中提供的协议类型与vlan相绑定，方便网络管 理员维护和管理。 基于子网的划分。基于ip子网的vlan是根据报文的 源i

8、p地址和子网掩码作为依据来进行划分的。当设备的端 口接收到报文后，根据报文的源ip地址，找到与现有vlan 的对应关系，然后自动划分到指定的vlan中进行转发。2 vlan技术在校园网中的应用2.1校园网络拓扑结构设计当今世界已经进入了信息时代，学校原来分散的局域网 及多媒体教学已远远不能满足教学与科研的需求。为了提高 学校办公自动化与教育现代化的水平，根据学校各楼宇的位 置及信息点的分布，把校园网络建设成一个具有较高标准、 经济适用的网络。随着网络硬件性能不断提高，成本不断降低，目前的校 园网基本上都采用了性能先进的千兆网技术，核心交换机采 用三层交换机，它能很好地支持虚拟局域网(vlan)

9、技术， 这对方便校园网的高速可靠运行起到了非常重要的作用。现 在，我校校园网络的核心层采用的是具有三层交换的核心交 换机(华为s8505),它采用具有高速路由查找功能的asic 芯片，并通过crossbar技术进行高速报文交换，从而大大 地提升了路由交换机的转发性能。它能够满足各类数据高速 传输和安全性的要求，并且提供可扩充性端口，能适应今后 网络规模扩大的需要。通过核心交换机连接到教学楼、实验楼、图书馆、培训中心、教师宿舍、学生公寓等楼宇的汇聚 层交换机，在汇聚层交换机中下连教师宿舍和计算机机房的 接入层交换机（如图1）。2.2 vlan的划分在此网络中，用户分布在不同的楼宇和办公室中，有些

10、 用户拥有自己的服务器和应用系统，而这一切都由同一个数 据通信网络提供服务。如何将属于同一个办公室的用户群所 组成的逻辑组与他们所在的物理位置关系上区分开来，从而 能够达到限定不同逻辑组之间的通信流量以提高安全性和 系统的系能。为了能合理地解决这个问题，就必须采用vlan 技术，对各组用户进行相互隔离。该网络中vlan的划分采用基于端口和子网相结合的方 式来划分，它把具有相同职能的用户划分到同一个vlan中。 在办公大楼中，领导办公室、各处室、财务科、图书馆分别 划分到vlan2、vlan3、vlan4、vlan5；对实验楼、教学楼、 教师生活区、培训中心分别划分到vlan6、vlan7、vl

11、an8、 vlan9 （其中培训中心设置为自动获取ip）;把服务器组划分 到vlan 100中，把网管机划分到vlan200中。其中在办公大 楼中还有两个会议室，它们也采用自动获取ip的形式上网， 所以把它们划分到vlan9中。2.3 ip地址的分配ip地址用来识别网络或主机。ip地址的合理分配可避 免各主机之间地址相互冲突。由于学校网络是一个内部网， 主机数量达300台左右，ip地址资源较为丰富，所以ip地 址的分配我们采用以能识别主机及避免主机之间地址冲突 为原则进行的。ip地址的分配与网络拓扑结构、网络组织有着密切的关 系，对网络的可用性、可靠性与有效性有显著的影响。因此, ip地址的分

12、配应满足各种用户接入方式的要求，根据网络组 织的大小分配地址段。所以，我们根据vlan中id标记来确 定某个网络组织属于哪个地址段，比如：领导办公室属于 vlan2中，我们就把领导办公室的主机ip地址设在 192. 168.2.*子网段中。2.4 vlan的配置2.4. 1 创建 vlan2. 4.2为vlan指定以太网端口2.4.3创建vlan接口，并指定ip地址及掩码2. 4.4配置端口允许vlan通过连接在核心交换机中的网管机，它对整个校园网进行内 网安全监视、内网安全管理、远程管理控制等操作，实现了 网络安全、网络管理、网络维护三位一体的立体化管理，使 网络管理人员对每一台网络设备及主

13、机的运行状况都了如 指掌。所以经过连接网管机的交换机端口的数据包允许所有 vlan通过，即对它进行port access vlan all配置。办公 大楼中的交换机连接着领导办公室、各处室、财务科和图书馆的交换机，核心交换机连接到办公大楼中的交换机的端口 允许 vlan2、vlan3. vlan4、vlan5、vlan9 和 vlan200,所 以，对该端 口进行 port trunk permit vlan 2 to 5 9 200 配置。对核心交换机中的其它端口，配置成只允许自身所属vlan及vlan200的通过。2.5为主机设置默认网关根据主机连接的核心交换机端口号以及该端口号配置 的vlan接