赵泽军VLAN技术在校园网中应用

1、VLAN技术在校园网中的应用摘要：虚拟局域网(Virtual Local Area Network)不仅可以提高网络运行的效率，而且有利于网络安全和防止网络风暴，能解决许多其他问题。第三层交换机的普及为VLAN的应用创造了条件。在实现网络构架时，采用VLAN技术可解决网络管理、扩容等问题，并可尽量发挥设备的功能，提高网络稳定性。本文详细探讨了VLAN技术在校园网建设中的应用。关键字：虚拟局域网、校园网、子网、配置、应用Abstract：The virtual local area network(VLAN)can not only increase the efficiency of netw

2、ork running，but also benefit network security and preventing network storms,and solve many other problemsThe overreach of L3 switch creates the condition of VLAN applicationIn network building，using VLAN technique can solve network management，network extending problem，etc，and it can make the most us

3、e of inherence equipment，and increase the stability of the networkThis paper particularly discusses the application of VLAN technique in campus network buildingKey words：virtual local area network(VLAN)、campus network sub-network、deploy、application引言校园网作为园区网的典型，已不再局限于WWW、FTP、E-MIAL和BBS等网络服务，视频传输、语音传

4、输、远程教学和VOD 等多媒体应用正成为校园网应用的又一主流。多媒体的应用对校园网的网络带宽和网络速度提出了更高的要求，传统路由器的吞吐量已不能胜任当今主干校园网上大量的路由任务，而过大的延迟又无法适应多媒体、视频和语音通信的QoS 要求。使用交换机替代路由器实现大容量低延迟的局域网路由在实际中也已得到较广泛的应用。具有二层交换技术的交换机解决了网段间的信息碰撞问题，利用VLAN 技术划分子网实现了管理上的灵活性，具有第3层交换能力的网络交换机可以满足不断增长的子网间的通信需要，同时实现多媒体通信所要求的低延迟量的稳定性。如何有效地集成这些技术是校园网建设中必须考虑的问题。同时，校园网具有教学

5、、科研、管理和通信等功能，其中，教学和管理功能是整个校园网应用的最基本功能，功能的实现要求校园网络必须具备高宽带、可交互等功能，才能实现多媒体课件制作、多媒体教学、多媒体电子图书馆等。校园网作为学校信息化工程建设的基础，肩负着为学校师生提供教学、研究和综合信息等多项服务，要能经受可能会频繁发生的黑客和网络病毒攻击所产生的大流量冲击的考验，并且还要能实现对黑客和网络病毒攻击的灵活控制，从而保证为教育城域网内用户提供安全可靠的互联网访问服务。1.VLAN技术及其优点1.1VLAN技术简介VLAN(Virtual local Area Network)又称虚拟局域网,建立在局域网交换机的基础之上,是

6、采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即逻辑广播域，它可覆盖多个网络设备，允许处于不同地理位置的网络用户加人列一个逻辑子网中，在功能和操作上与传统LAN基本相同,可提供一定范围内终端系统的互联。1.2VLAN技术的优点广播风暴防范：限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机， 在一个VLAN中的广播不

7、会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广 播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。安全：增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。成本降低及性能提高：VLAN技术的使用可以使成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。VLAN技术将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量

8、并提高性能。简化项目管理或应用管理：VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。VLAN 将用户和网络设备聚合到一起，以支持商业需求或地域上的需求。通过职能划分，项目管理或特殊应用的处理都变得十分方便，例如可以轻松管理教师的电子教学开发平台。此外，也很容易确定升级网络服务的影响范围。 增加了网络连接的灵活性。借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境 ，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管 理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低

9、。2.校园网中VLAN的分类2.1根据端口来划分VLAN当前许多VLAN的划分都还是利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8，9，10端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。但是，这种划分模式将虚拟局域网限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员，其配置过程简单明了。因此，从目前来看，这种根据端口来划分VLAN的方式仍然是最常用的一

10、种方式。2.2根据MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。这种划分VLAN方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常

11、更换，这样，VLAN就必须不停地配置。2.3根据网络层划分VLAN这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。这种方法的优点是用户的物理位置改变了，不需要重新配置所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让

12、芯片能检查IP帧头，需要更高的技术，同时也更费时。当然，这与各个厂商的实现方法有关。2.4根据IP组播划分VLANIP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高。2.5基于规则的VLAN也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，能够把相关的用户连成一体，在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则（或属性），那么当一个站点加入网络中时，将会被“感知”，并被自己

13、地包含进正确的VLAN中。同时，对站点的移动和改变也可自动识别和跟踪。采用这种方法，整个网络可以非常方便地通过路由器扩展网络规模。有的产品还支持一个端口上的主机分别属于不同的VLAN，这在交换机与共享式Hub共存的环境中显得尤为重要。自动配置VLAN时，交换机中软件自动检查进入交换机端口的广播信息的IP源地址，然后软件自动将这个端口分配给一个IP子网映射成的VLAN。3.VLAN技术在校园网中典型配置与应用现在VLAN的划分一种最经常使用的配置方式是网络管理员将交换机端口分配给某一VLAN，它容易实现和监视，而且比较安全。另一种方法是管理员建立一个数据库，例如输入要连接的网络设备的MAC地址及

14、相应的VLAN号，这样当网络设备接到交换机端口时交换机自动把这个网络设备所连接的端口分配给相应的VLAN。动态VLAN的配置可以基于网络设备的MAC地址、IP地址、应用或者所使用的协议。实现动态VLAN时一般情况下使用管理软件来进行管理。这种配置的优点是网络管理员维护管理相应的数据库而不用关心用户使用哪一个端口，但是每次新用户加入时需要做较复杂的手工配置。基于lP地址的动态配置中，交换机通过查阅网络层的地址自动将用户分配到不同的虚拟局域网中。校园网中的典型拓扑结构如图1和图2所示（基于端口划分VLAN），要求在三台交换机中上分别创建一个VLAN，VLAN ID分别为2、3、4，名称为offic

15、e、schools、students。将每台交换机1中的120号端口划入office VLAN，将交换机2中的120号端口划入teacher VLAN，将交换机3中的120号端口划入student VLAN。我们以目前最为流行的Cisco交换机为例，说明VLAN在局域网中的基本配置方法。VLAN按照交换机的端口来划分，并不局限于每台交换机只能创建一个VLAN,并把其上的端口划分到此VLAN之中。也可以在不同的交换机上创建相同的VLAN，然后再把各个交换机的一些端口划分到此VLAN中。现对这两种情况的配置分别做出介绍。图1 VLAN技术在校园网中的实际应用在端口所在的交换机进行配置，首先选择相应

16、的端口，然后再进入接口配置模式，详细配置命令如下：交换机1的配置：Switch#config tSwitch(config)# vlan 2Switch(config-vlan)#name officeSwitch(config-vlan)#exitSwitch(config)#interface range f01-20Switch(config-if-range)#switchport access vlan 2Switch(contlg-if-range)#exit交换机2的配置：Switch#config tSwitch(config)# vlan 3Switch(config-vla

17、n)#name schoolSwitch(config-vlan)#exitSwitch(config)#interface range f01-20Switch(config-if-range)#switchport access vlan 3Switch(config-if-range)#exit交换机3的配置：Switch#config tSwitch(config)# vlan 4Switch(config-vlan)#name studentSwitch(config-vlan)#exitSwitch(config)#interface range f01-20Switch(conf

18、ig-if-range)#switchport access vlan 4Switch(config-if-range)#exit图2 VLAN技术在校园网中的实际应用在此种情况下还需要对每个交换机配置一定数量的trunk端口。交换机1的配置：Switch#config tSwitch(config)# vlan 2Switch(config-vlan)#name officeSwitch(config-vlan)#exitSwitch(config)#interface range f01-20Switch(config-if-range)#switchport access vlan 2S

19、witch(contlg-if-range)#exitSwitch(config)#interface range f021-24Switch(contlg-if-range)#switchport mode trunkSwitch(contlg-if-range)#exit交换机2的配置：Switch#config tSwitch(config)# vlan 2Switch(config-vlan)#name officeSwitch(config-vlan)#exitSwitch(config)#interface range f01-6Switch(config-if-range)#sw

20、itchport access vlan 2Switch(contlg-if-range)#exitSwitch(config)# vlan 3Switch(config-vlan)#name schoolSwitch(config-vlan)#exitSwitch(config)#interface range f07-12Switch(config-if-range)#switchport access vlan 3Switch(config-if-range)#exitSwitch(config)# vlan 4Switch(config-vlan)#name studentSwitch

21、(config-vlan)#exitSwitch(config)#interface range f013-20Switch(config-if-range)#switchport access vlan 4Switch(config-if-range)#exitSwitch(config)#interface range f021-24Switch(contlg-if-range)#switchport mode trunkSwitch(contlg-if-range)#exit交换机3的配置：Switch#config tSwitch(config)# vlan 4Switch(config-vlan)#name studentSwitch(config-vlan)#exitSwitch(config)#interface range f01-20Switch(config-if-range)#switchport access vl