VLAN技术在校园网中的应用

./VLAN技术在校园网中的应用大冷蒙古族九年制学校李东方中文摘要VLAN<VirtualLocalAreaNetwork>的中文名为"虚拟局域网"。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。但又不是所有交换机都具有此功能,只有VLAN协议的第三层以上交换机才具有此功能。VLAN在逻辑上等价于广播域。更具体的说,我们可以将VLAN类比成一组最终用户的集合。这些用户可以处在不同的物理LAN上,但他们之间可以象在同一个LAN上那样自由通信而不受物理位置的限制。在这里,网络的定义和划分与物理位置和物理连接是没有任何必然联系的。网络管理员可以根据不同的需要,通过相应的网络软件灵活的建立和配置虚拟网,并为每个虚拟网分配它所需要的带宽。随着校园网的不断发展,规模在不断扩大,用户在不断增加,网络应用也在不断增长,网络变得越来越拥挤,冲突不断产生,管理难度日益加大。学校内部对于灵活、动态地组建LAN网段的要求也越来越多,客观上要求LAN本身的结构可以实现动态组建、调整和管理。为了有效地提高网络管理的灵活性,提高网络效率和网络安全性,充分合理地进行VLAN划分,是必需的。关键词：VLAN；交换机；广播域；配置；规划；管理；局域网；AbstractVLAN<VirtualLocalAreaNetwork>Chinesenamed"virtuallocalareanetwork".VLANisonekinddivideslogicallythelocalareanetworkequipmenteachonewebpage,thusrealizesthehypothesizedworkteam'semergingdataexchangetechnology.Thisemergingtechnologymainlyappliesintheswitchboardandtherouter,butmainstreamapplicationinswitchboard.Butisnotallswitchboardshasthisfunction,onlythentheVLANagreement'sthirdaboveswitchboardonlythenhasthisfunction.VLANistosolveonekindofagreementwhichfastEthernet'sbroadcastquestionandthesecurityproposed,itincreasedtheVLANheadinthefastEthernetframe'sfoundation,withVLANIDtheuserpartingforayoungerworkteam,usertwoexchangevisitsbetweenthelimitdifferentworkteam's,eachworkteamisavirtuallocalareanetwork.Virtuallocalareanetwork'sadvantageismaylimitthebroadcastingarea,andcanformthehypothesizedworkteam,dynamicmanagementnetwork.Alongwiththecampusnet'sunceasingdevelopment,thescaleisexpandingunceasingly,theuserisincreasingunceasingly,thenetworkapplicationunceasinglyisalsogrowing,thenetworkbecomesmoreandmorecrowded,theconflictproducesunceasingly,managesthedifficultytoenlargedaybyday.Theschoolinteriorregardingnimble,dynamicsetsuptheLANwebpagetherequesttobealsogettingmoreandmore,objectivelyrequestsLANstructuretobepossibletorealizedynamicsetsup,theadjustmentandthemanagement.Toenhancethenetworkmanagementeffectivelytheflexibility,raisesthenetworkefficiencyandthenetworksecurity,carriesontheVLANdivisionreasonablyfully,isessential.KeywordsVLAN<VirtualLocalAreaNetwork>；Switch；Broadcastdomain；ConfigurationSetting；Toplan；Ascheme；LAN<theabbreviationofLocalAreaNetwork>；1．绪论从传统的以太网〔10Mb/s〕发展到快速以太网〔100Mb/s〕和千兆以太网〔1000Mb/s〕也不过几年的时间,其迅猛的势头实在令人吃惊。而现在中大型规模网络建设中,以千兆三层交换机为核心的所谓"千兆主干、百兆桌面"的主流网络模型已不胜枚举。现在,网络业界对"三层交换"和VLAN这两词已经不感到陌生了。在一个传统的LAN中,计算机之间通过集线器〔Hub〕或中继器〔Repeater〕相连接。如果有两台乃至两台以上计算机同时通过LAN的通信总线发送数据时,它们将不可避免地发生冲突,已发送的数据也将丢失。更主要的是,一旦有冲突发生,冲突将通过集线器或中继器被传送到整个网络中,使得暂时谁也无法再发送数据。于是发送者们只好停下来,等到这次冲突平息之后再试着去发送已丢失的数据——这是对时间和资源的很大浪费。从上面的介绍可以看出,在一个网络中如何定义冲突域和广播域取决于其中的各个计算机、集线器〔或中继器〕、网桥〔或交换机〕和路由器在物理空间上是如何分布、如何连接在一起的——这意味着同一个LAN中的所有设备必须位于同一物理空间X围内,比如说同一层楼、同一个办公区域等。另外,LAN的一个主要用户是企业。随着现代企业中跨部门跨职能开发团队出现得越来越多,企业内部对于灵活、动态地组建LAN网段的要求也越来越多,客观上要求LAN本身的结构可以实现动态组建、调整和管理。这时,虚拟局域网〔VirtualLAN〕技术就适时地出现了。2.VLAN技术简介局域网的发展是VLAN产生的基础,所以在介绍VLAN之前,我们先来了解一下局域网的有关知识。局域网〔LAN〕通常是一个单独的广播域,主要由Hub、网桥或交换机等网络设备连接同一网段内的所有节点形成。处于同一个局域网之内的网络节点之间可以直接通信,而处于不同局域网段的设备之间的通信则必须经过路由器才能通信。但这样做存在两个缺陷：首先,随着网络中路由器数量的增多,网络延时逐渐加长,从而导致网络数据传输速度的下降。这主要是因为数据在从一个局域网传递到另一个局域网时,必须经过路由器的路由操作:路由器根据数据包中的相应信息确定数据包的目标地址,然后再选择合适的路径转发出去。其次,用户是按照它们的物理连接被自然地划分到不同的用户组〔广播域〕中。这种分割方式并不是根据工作组中所有用户的共同需要和带宽的需求来进行的。因此,尽管不同的工作组或部门对带宽的需求有很大的差异,但它们却被机械地划分到同一个广播域中争用相同的带宽。2.1VLAN的优点2.1.1提高网络性能应用VLAN技术可以提高网络性能：其一,VLAN技术允许网络管理者将交换机上的端口作逻辑分组,使得从某个VLAN中产生的字节流只能在从属于该VLAN的交换机端口之间流动。其二,相比较网桥和交换机而言,路由器在处理接收到的数据时要慢一些。2.1.2组建虚拟组织如前所述,VLAN技术是随着人们生产活动中越来越多的跨部门跨职能开发团队的出现而提出的。组建虚拟组织、特别是虚拟工作组,是提出VLAN技术的初衷和目标之一。在实际应用时,对于同一个工作组内的成员,在该工作组存在的短时期内,可以把他们的计算机工作站划分在一个VLAN里以便于其进行通信。这样,每个组内成员的计算机工作站既无需搬移到一起、也无需改变各自的设置,只需在网络管理者那里作一些改变就可以了。2.1.3简化网络管理根据DavidJ.Buerger的分析计算,传统的LAN中约有70%的网络花销是因为添加、删除移动、更改网络用户而导致的。每当有一个用户加入局域网,就会引发一系列的端口分配、地址分配、网络设备重新配置等网络管理任务。在使用VLAN技术后,这些任务都可得以简化。举例来说,当某台计算机工作站从一个空间位置移动到另一个空间位置时,不需要为其重新手工配置网络属性,网络自身就能够动态地完成这项任务。这种动态管理网络的方式给网络管理者和使用者都带来了极大的便利。2.1.4提高网络安全在传统的局域网中,不时的会有些敏感数据被有意或无意地广播到网络上,从而有可能造成信息泄密。在这种情况下,确定谁可以访问到这些数据就显得很重要。使用VLAN技术可以将敏感数据的传播限制在安全X围内,只允许已定义的VLAN成员访问相关数据。VLAN还可被用来设立防火墙、限制数据访问以与将网络入侵事件通知给网络管理者等,这些都可以提高网络的安全系数。2.1.5减少设备投资VLAN技术可被用来创建逻辑的广播域,因而可以减少用于购买昂贵的路由器等广播域隔离设备的投资。2.2VLAN的划分方式2.2.1.基于端口划分的VLAN以网络设备的哪个端口属于哪个VLAN的标准来划分VLAN。例如,在一个有8个端口的网桥中,端口1、2、4、7属于VLAN1,而端口3、5、6、8属于VLAN2。则与这些端口相连的设备、这些设备收发的数据帧相应地也分别属于VLAN1、VLAN2。究竟如何配置,由管理员决定。如果有多个网络设备,例如有多个交换机,可以指定交换机1的1~6端口和交换机2的1~4端口为同一VLAN,即同一VLAN可以跨越数个交换机,根据端口划分是目前定义VLAN的最常用的方法,IEEE802.1Q协议标准草案中对如何根据交换机的端口来划分VLAN给出了明确的规定。这种划分方法的优点和缺点都很明显：优点是定义VLAN成员时非常简单,只要将所有的端口都指定一下就可以了；缺点是不允许用户随便移动。如果属于某个VLAN的用户离开了原来的端口,到了一个新的网络设备的某个端口,那么网络管理者就必须重新定义VLAN。2.2.2基于MAC地址划分VLAN以计算机工作站网卡的MAC地址来划分VLAN。这种划分方法的最大优点就是由于一个MAC地址唯一对应一块计算机网卡,故此当某个计算机工作站物理位置改变时、即从一台交换机转移到另一台交换机时,不需要重新配置VLAN；而缺点是所有的VLAN成员必须事先定义,这在有数以百计乃至千计用户的网络中,这并不是一件轻松的事。而且这种划分方法也导致了交换机执行效率的降低,因为交换机的每一个端口都可能连接许多不同VLAN组的成员,这样就无法限制广播报文了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,VLAN就必须不停的配置。2.2.3.基于网络层协议类型划分VLAN如果网络支持多网络层协议,那么根据数据帧头中的网络层协议类型字段也可以划分VLAN。这对网络管理者来说很重要,同时,这种方法不需要附加的帧标签来识别VLAN,可以减少网络的通信量。2.2.4基于网络层子网地址划分VLAN根据数据报文头中的网络层子网地址也可以划分VLAN。虽然这种划分方法根据的是第3层信息即网络地址〔比如IP地址〕,但它与网络层的路由功能一点关系也没有。它只是查看每个数据报文的网络层地址,并根据过滤数据库中事先定义好的信息决定其归属于哪个VLAN,然后再根据生成树算法进行桥交换,并不牵涉任何路由操作22.2.5基于网络层组播地址划分VLAN网络层组播实际上是一种VLAN。即认为一个组播组就是一个VLAN,这种划分方法实际将VLAN扩大到了WAN。该方法的应用程序的类型乃至两者的综合来划分VLAN也是有可能的。例如,规定所有的FTP应用在一个VLAN里运行而所有的Telnet应用在另一个VLAN里运行。这些方法的缺点在于它们都很费时,都要求更高的处理技术和更快的处理速度,目前的实现尚无法令人们满意。2.2.6基于网络层以上协议乃至应用程序的类型划分VLAN根据网络层以上协议的类型、可以自动检查数据帧的帧头,但检查数据报文的报文头,则需要更高的技术〔设备设计制造成本也会相应增加〕,同时也更费时。当然,这跟各个厂商的实现方法有关。2.4VLAN的标准IEEE802.1QIEEE802.1Q,俗称"DotOneQ",是经过IEEE认证的对数据帧附加VLAN识别信息的协议。在此,请大家先回忆一下以太网数据帧的标准格式。IEEE802.1Q所附加的VLAN识别信息,位于数据帧中"发送源MAC地址"与"类别域〔TypeField〕"之间。具体内容为2字节的TPID和2字节的TCI,共计4字节。CiscoISLISL,是Cisco产品支持的一种与IEEE802.1Q类似的、用于在汇聚链路上附加VLAN信息的协议。使用ISL后,每个数据帧头部都会被附加26字节的"ISLXX〔ISLHeader〕",并且在帧尾带上通过对包括ISLXX在内的整个数据帧进行计算后得到的4字节CRC值。换而言之,就是总共增加了30字节的信息。在使用ISL的环境下,当数据帧离开汇聚链路时,只要简单地去除ISLXX和新CRC就可以了。由于原先的数据帧与其CRC都被完整保留,因此无需重新计算CRC。3．VLAN在校园网中的应用实例3.1校园网络特点分析就网络整体结构而言,校园网是一个千兆和百兆以太网链路连接的园区网络。整个网络根据X围的限制可分为两个大的部分：内网和外网。从网络安全级别的角度考虑又可将内网分为两大部分：第一部分为重点信息安全保护区,即校园网的重要应用服务器群和重要部门的网络设备和用户；第二部分为普通信息安全区,即校园网中普通应用的网络设备和用户。外网即为校园外部网络区域,也就是与校园网相连的教育网和INTERNET。校园网重点考虑网络内部安全：包括信息访问安全和物理安全。信息访问安全即为内部网络各部门和用户之间要能相互进行信息交换,又要保护重要部门数据的XX性,同时应禁止外部用户非法访问内部数据。3.2某校园网VLAN划分3.2.1规划VLAN某校有8个班级,4个专业,三个办公室和一个机房。把同一专业划分为一个VLAN,4个专业划分为4个VLAN三个办公室划分为一个VLAN。机房为一个单独的VLAN。所以划分为6个VLAN。VLAN号VLAN名端口号1VLAN1switch0/12zhongwenswitch0/23yingyuswitch0/34shuxueswitch0/45bangongshiswitch0/5VLAN1的中名字为VLAN1它的名字不能被改变。任何没有专有的静态端口被认为是VLAN1中。3.2.2配置VLAN1．连接交换机连接交换机可以有两种方式：通过控制端口连接和远程登陆。〔1〕控制端口〔CONSOLE〕连接〔2〕Telnet登陆在"运行"窗口直接输入：telnet34<交换机地址>,回车。如果连接正确就会出现如下图所示的登陆窗口,键入正确的用户名和密码。2、配置中继单击"K"按键,选择主界面菜单中"[K]CommandLine"选项,进入如下命令行配置界面：CLIsessionwiththeswitchisopen.ToendtheCLIsession,enter[Exit].>此时我们进入了交换机的普通用户模式,就象路由器一样,这种模式只能查看现在的配置,不能更改配置,并且能够使用的命令很有限。所以我们必须进入"特权模式"。因为只有中心交换机需要创建和修改VLAN所以将中心交换机设置VTP为服务器模式,其它交换机设置为客户端模式。中心交换机配置为Switch<config>#vtpdomainciscoSwitch<config>#vtpserver其它交换机配置为Switch1<config>#vtpdomainciscoSwitch1<config#vtpclintSwitch2<config>#vtpdomainciscoSwitch2<config#vtpclintSwitch3<config>#vtpdomainciscoSwitch3<config#vtpclintSwitch4<config>#vtpdomainciscoSwitch4<config#vtpclintSwitch5<config>#vtpdomainciscoSwitch5<config#vtpclintSwitch6<config>#vtpdomainciscoSwitch6<config#vtpclint为了保证管理域能够覆盖所有的分支交换机,必须配置中继。Cisco交换机能够支持任何介质作为中继线,为了实现中继可使用其特有的ISL标签。ISL〔Inter－Switch

Link〕是一个在交换机之间、交换机与路由器之间与交换机与服务器之间传递多个VLAN信息与VLAN数据流的协议,通过在交换机直接相连的端口配置ISL封装,即可跨越交换机进行整个网络的VLAN分配和进行配置。Switch<config>interfaccfastEthernet0/1Switch<config-if>switchportSwitch<config-if>#switchporttrunkencapsulationislSwitch<config-if>#switchportmodetrunkSwitch<config>interfaccfastEthernet0/2Switch<config-if>switchportSwitch<config-if>#switchporttrunkencapsulationislSwitch<config-if>#switchportmodetrunkSwitch<config>interfaccfastEthernet0/3Switch<config-if>switchportSwitch<config-if>#switchporttrunkencapsulationislSwitch<config-if>#switchportmodetrunkSwitch<config>interfaccfastEthernet0/4Switch<config-if>switchportSwitch<config-if>#switchporttrunkencapsulationislSwitch<config-if>#switchportmodetrunkSwitch<config>interfaccfastEthernet0/5Switch<config-if>switchportSwitch<config-if>#switchporttrunkencapsulationislSwitch<config-if>#switchportmodetrunk在分支交换机端配置如下Switch1<config>#interfacefastEthernet0/1Switch1<config-if>SwitchportmodetrunkSwitch2<config>#interfacefastEthernet0/1Switch2<config-if>SwitchportmodetrunkSwitch3<config>#interfacefastEthernet0/1Switch3<config-if>SwitchportmodetrunkSwitch4<config>#interfacefastEthernet0/1Switch4<config-if>SwitchportmodetrunkSwitch5<config>#interfacefastEthernet0/1Switch5<config-if>SwitchportmodetrunkSwitch6上的端口1、2、3设置为trunk口。Switch6<config>interfaccfastEthernet0/1Switch6<config-if>#switchportmodetrunkSwitch6<config>interfaccfastEthernet0/2Switch6<config-if>#switchportmodetrunkSwitch6<config>interfaccfastEthernet0/3Switch6<config-if>#switchportmodetrunk3、添加VLANVLAN可以在需要时进行添加。添加VLAN之后,可以使用"showvlan"再次查看交换机上的VLAN配置,确认新的VLAN已经添加成功。Switch>Seitch#vlandatabaseSwitch<vlan>#vlan2namezhongwenSwitch<vlan>#vlan3nameyingyuSwitch<vlan>#vlan4nameshuxueSwitch<vlan>#vlan5namebangongshi4、为VLAN分配端口以太网交换机通过把某些端口分配给一个特定的VLAN来建立静态虚拟网。将一个或一组端口分配给某一个VLAN要使用"vlan-membershipstatic/d