VLAN技术及其在校园网中的应用

VLAN技术及其在校园网中的应用

【摘要】随着网络硬件性能的不断提高、成本的不断降低，目前局域网基本上都采用了性能先进的硬件设备。其核心交换机一般采用三层交换机，它能很好地支持虚拟局域网(VLAN)技术。作为一门新兴的网络技术，VLAN的出现使得组网更加灵活和安全，减少管理员的工作负担，基于交换机的虚拟局域网技术能够为局域网解决冲突域、广播域、带宽等问题。本文主要讨论VLAN的概念、主要功能、划分方法和其在校园网的应用。毕业论文英语论文【关键词】VLAN；校园网；广播域；广播风暴当前计算机网络技术迅速发展，其中以方便、快捷、灵活、高效的组网特点而著称的虚拟局域网技术(VLAN)一经提出就得到了人们的关注。VLAN技术在很大程度上解决了网络建设上遇到的很多实际问题，其在局域网中的应用越来越广泛。校园网作为园区网的典型，其规模正逐渐地由中小型向大中型发展和过渡，这样就决定了它的组网在技术上的多样性与复杂性，其不仅要考虑物理上各网段的连接，还要考虑建立在各种网络协议上子网的互联。同时，校园网访问方式多、用户群庞大、网络行为突发性高，为了保证校园网的正常运行和安全，本文主要针对校园网的特点和传统局域网局限，重点介绍了基于VLAN技术构建校园网络的应用。一、传统LAN的局限在传统的局域网(LAN)中，由于各站点共享传输信道所造成的信道冲突和发生在网络第三层的广播风暴问题成为影响网络性能的重要因素。针对该问题，交换机(或网桥)和路由器被广泛应用于局域网中。交换机(网桥)连接属于同一逻辑子网的网络，再由路由器连接不同的逻辑子网。然而在同一个逻辑子网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽；并且对广播风暴的控制和网络安全只能在第三层的路由器上实现；由于逻辑子网间的通信必须经路由器进行，所以这样会产生延时，而且路由器也会产生瓶颈。在由路由器连接不同的逻辑子网的网络结构中，由集线器、粗、细缆构成的物理网络与逻辑子网相对应，通常一个m子网属于一个由物理网络来划分的广播域。由于站点被束缚在所处的物理网络中，不能根据需随意的划分至相应的逻辑子网。当网络的物理结构发生变化时，比如网络中的工作站移动、增加、改变等会加重网络管理的负担，并导致网络的综合性能下降。同时，大通信量、低延时的要求使得网络的带宽越来越不够。综上所述，针对传统LAN存在的问题，提出了虚拟局域网的概念，能够很好的解决这些网络问题。二、VLAN的概念和原理VLAN(VirtualLocalAreaNetwork)即虚拟局域网，是一种通过逻辑而不是物理地将局域网划分成一个个的网段，从而实现虚拟工作组的一种新兴交换技术。VLAN与普通局域网从原理上讲没有什么不同，但从用户使用和网络管理的角度来看，VLAN与普通局域网最基本的差异体现在：VLAN并不局限于某一网络或物理范围，VLAN中的用户可以位于一个局域网中的任何位置。IEEE于1999年颁布了用以标准化VLAN实现方案的802．1Q协议标准草案。三、VLAN技术的优点VLAN的优点主要体现在以下三个方面：(一)控制广播风暴。网络管理必须解决因大量广播信息带来带宽消耗的问题。VLAN作为一种网络分段技术可将广播风暴限制在一个VLAN内部，避免影响其他网段。与传统局域网相比，VLAN能够更加有效地利用带宽。在VLAN中，网络被逻辑地分割成广播域，由VLAN成员所发送的信息帧或数据包仅在VLAN内的成员之间传送，而不是向网上的所有工作站发送。这样可减少主干网的流量，提高网络速度。(二)增强网络的安全性。共享式LAN上的广播必然会产生安全性问题，因为网络上的所有用户都能监测到流经的业务，用户只要插入任一活动端口就可访问网段上的广播包。采用VLAN提供的安全机制，可以限制特定用户的访问，控制广播组的大小和位置，甚至锁定网络成员的MAC地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用。(三)增强网络管理。采用VLAN技术，使用VLAN管理程序可对整个网络进行集中管理，能够更容易地实现网络的可管理性。用户可以根据业务需要快速组建和调整VLAN。当链路拥挤时，利用管理程序能够重新分配业务。管理程序还能够提供有关工作组的业务量、广播行为以及统计特性等的详尽报告。对于网络管理员来说，所有这些网络配置和管理工作都是透明的。VLAN变动时，用户无需了解网络的接线情况和协议是如何重新设置的。VLAN还能减少因网络成员变化所带来的开销，在添加、删除和移动网络成员时，不用重新布线，也不用直接对成员进行配置。若采用传统局域网技术，那么当网络达到一定规模时，此类开销往往会成为管理员的沉重负担。四、VLAN划分方式的类型及特点VLAN的划分方式很重要，在设计和建设VLAN，实现VLAN应用时，首先要决定如何划分VLAN，即依据什么标准来组织VLAN成员。如图1所示，VLAN的划分示例。下面介绍4种常见的划分方式，不同的划分方式代表不同的VLAN实现类型：(一)按端口划分VLAN。这是构成VLAN的最简单的方式。在此方式中，可以将分属不同交换机端口的物理网段划分为同一个VLAN，这样一个VLAN对应交换机端口的一个子集合。借助网络管理软件，根据交换机端口的标识符，将不同的端口划分为相应组。这种VLAN的优点是实现简单、容易监控，且一个端口发出广播，VLAN内的其他端口都能收到，但这种方式缺乏智能及灵活性。比如，不能在给定的端口上支持一个以上的VLAN。(二)按MAC地址划分VLAN。这种方式的VLAN就是一些MAC地址的集合，当网络站点移动时它解决了这样的问题，要求交换机对站点的MAC地址和交换机端口进行跟踪。初始化时，对连接于交换机端口的工作站，交换机在VLAN的管理信息库的MIB中检查MAC地址，动态的匹配该端口到相应的VLAN中，实现VLAN对站点的识别和跟踪，但所有的站点必须明确的分配给一个VLAN，只有这种配置工作完成以后，对站点的自动识别才成为可能。一个大型网络，要求人工配置VLAN的工作量大而烦琐。(三)基于网络层划分VLAN。可以基于网络层来划分VLAN，有两种方案，一种按协议(如果网络中存在多种协议)来划分；另一种是按网络层地址(最常见的是TCP／IP中的子网段地址)来划分。建立VLAN也可使用与管理路由相同的策，根据IP子网、IPX网络号及其他协议划分VLAN。同一协议的工作站划分为一个VLAN，交换机检查广播帧的以太帧标题域，查看其协议类型，若已存在该协议的VLAN，则加入源端口，否则，创建一个新的VLAN。这种方式构成的ⅥAN，不但大大减少了人工配置VLAN的工作量，同时保证了用户自由地增加、移动和修改。不同VLAN网段上的站点可属于同一VLAN，在不同VLAN上的站点也可在同一物理网段上。利用网络层定义VLAN缺点也是有的，与利用MAC地址的形式相比，基于网络层的VLAN需要分析各种协议的地址格式并进行相应的转换。因此，使用网络层信息来定义VLAN的交换机要比使用数据链路层信息的交换机在速度上占劣势。(四)基于规则的VLAN。也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，能把相关的用户连成一体，在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分VLAN的规则(或属性)，那么当一个站点加入网络中时，将会被“感知”，并被自动地包含进正确的VLAN中。同时，对站点的移动和改变也可自动识别和跟踪。采用这种方式，整个网络可以非常方便地通过路由器扩展网络规模。五、校园网特点及VLAN划分(一)校园网的现状及其存在的问题。笔者结合自己所在的学校，说明一些目前校园网的发展现状及其特点：随着学校自身的发展及规模的扩大，作为园区网的典型，校园网正逐渐地由中小型向大中型发展和过渡，这样就决定了它的组网在技术上的多样性与复杂性，其不仅要考虑物理上各网段的连接，还要考虑建立在各种网络协议上子网的互联。另外，随着校园网内的计算机数量的增加，VOD视频点播在多媒体课堂教学上的大量应用，网络中广播包的数量也会急剧增加，当广播包的数量占到总量的30％时，网络的传输效率将会明显下降。特别是当某网络设备出现故障后，会不停地向网络发送广播，从而导致网络风暴，使网络通信陷于瘫痪。当校园网络内计算机数超过200台后，就必须采取措施将网络分隔开来，将一个大的广播域划分成若干个小的广播域。最后是校园网的安全性问题，特别是蠕虫病毒大规模的爆发，会使整个校园网处于严重负荷状态，导致整个网络不可用，严重影响校园网的性能。此外，大学生在校园网中存在两种攻击行为：无意识的和有意的。他们的好奇心比较强，也有一定的理论知识，喜欢在网上尝试一些攻击软件的使用，很可能造成整个校园网的瘫痪。如图2是部分网络拓扑图：(二)配置策略。由于VLAN技术允许网络管理者将一个物理的局域网逻辑地划分成不同的广播域(或称虚拟局域网，即VLAN)，所以每一个VLAN可以都是按照校园的一个职能部门来划分，包含着一组具有相同工作特点的计算机。由于它是按功能划分而不是按物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，这些工作站不一定属于同一个物理局域网网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，因此可以控制流量、减少设备投资、简化网络管理、提高网络的安全性。根据具体应用，提出如下校园网VLAN的配置策略：一是以工作站和服务器的逻辑归属划分VLAN。如按部门、系、处等，尽可能地将同一工作性质的用户集中在一个VALN中，以减少跨VLAN的访问，提高网络的效率。二是按某项应用的覆盖范围配置所要求的VLAN。如学校的选课应用，不同地点选课可以将进行选课的数个机房所对应的交换机端口设为一个VLAN。选课活动在物理上可跨几个网段，但在逻辑上属于一个子网。根据校园网的具体情况，为了达到信息流量的控制，并提供良好的安全性，通过对网络逻辑结构进行分析和合理划分，在高校校园网中应用比较广泛的是基于端口的VLAN，采用基于端口VLAN技术对校园内部网络不同部门之间进行逻辑隔离，同时抑制广播风暴。在接入层交换机采用基于端口的VLAN划分和隔离用户，在汇聚层或核心层通过三层交换机采用VLAN路由进行通讯，达到灵活通讯和管理控制各网段机器的目的。本校的校园网采用基于物理端口进行VLAN的划分，来提高校园网络的工作效率。如图3所示：六、VLAN技术在校园网中的局限性随着计算机网络技术的迅速发展，多种技术之间的竞争非常激烈，没有～种技术的发展是一帆风顺的，VLAN技术也不例外，其发展中也存在着一些局限：比如采用交换结构的局域网通常采用一个主路由器负责VLAN之间的数据通信。在大型局域网中，当有较大的数据流通过各VLAN时，主路由器的负荷很重，长此以往，网络整体的性能，如稳定性会下降。如果发生主路由器崩溃或故障时，各VLAN之间将无法正常通信。另外，校园网用户的日益增加，用户对于网络数据通信的安全性提出了更高的要求，诸如防范黑客攻击、控制病毒传播等，都要求保证网络用户通信的相对安全性；传统的解决方法是给每个用户分配一个VLAN和相关的IP子网，通过使用VLAN，每个客户被从第2层隔离开，可以防止任何恶意的行为和Etllemet的信息探听。然而，这种分配每个客户单一VLAN和IP子网的模型造成了巨大的可扩展方面的局限。这些局限主要有下述几方面：(1)VLAN的限制：目前IEEE802．1Q标准中所支持的VLAN数目最多为4，094个，用户数量受到限制，且不利于网络的扩展。(2)复杂的STP：对于每个VLAN，每个相关的SpanningTree的拓扑都需要管理；(3)IP地址的紧缺：IP子