林凌

摘?要：計算機網(wǎng)絡(luò)影響著現(xiàn)代生活的很多方面，在各大學(xué)校內(nèi)部也都建立起了局域網(wǎng)。本文主要通過分析VLAN技術(shù)的定義、原理及優(yōu)點，闡述了VLAN技術(shù)在管理維護校園網(wǎng)系統(tǒng)中所起的作用以及在校園網(wǎng)中用交換機配置VLAN需要注意的問題，以便實現(xiàn)虛擬局域網(wǎng)的技術(shù)。

關(guān)鍵詞：VLAN?體系結(jié)構(gòu)?校園網(wǎng)?網(wǎng)絡(luò)管理

近些年來，隨著計算機技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)硬件的性能得到提高，成本也逐步降低。目前的校園網(wǎng)基本都采用了性能先進的千兆網(wǎng)技術(shù)，核心交換機采用三層交換機，它能很好地支持虛擬局域網(wǎng)（VLAN）技術(shù)，這對校園網(wǎng)的高速可靠運行起到了非常重要的作用。

同時，隨著校園網(wǎng)內(nèi)計算機、交換機等設(shè)備的大量增加，網(wǎng)絡(luò)數(shù)據(jù)流量驟然增大，特別是 “網(wǎng)絡(luò)風(fēng)暴”和IP的沖突導(dǎo)致校園網(wǎng)絡(luò)癱瘓，極大地影響了校園網(wǎng)的正常運行。校園網(wǎng)有訪問方式多、用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性高的特點。為了保證校園網(wǎng)的正常運行和安全，本文針對校園網(wǎng)的特點和傳統(tǒng)局域網(wǎng)的缺陷，重點剖析了基于VLAN技術(shù)構(gòu)建安全校園網(wǎng)絡(luò)的應(yīng)用。

一、VLAN技術(shù)概述

VLAN(Virtual Local Area Network)也就是虛擬局域網(wǎng)，是一種建立在交換技術(shù)基礎(chǔ)之上的，通過將局域網(wǎng)內(nèi)的機器設(shè)備邏輯地而不是物理地劃分成一個個不同的網(wǎng)段，以軟件方式實現(xiàn)邏輯工作組的劃分與管理的技術(shù)。VLAN的作用是使得同一VLAN中的成員間能夠互相通信，而不同VLAN之間則是相互隔離的，不同的VLAN如果要通信需要通過必要的路由設(shè)備。

二、VLAN的優(yōu)點

1.增加了網(wǎng)絡(luò)連接的靈活性

VLAN技術(shù)能將不同地點、不同網(wǎng)絡(luò)、不同用戶組合起來，形成一個虛擬的網(wǎng)絡(luò)環(huán)境，就像使用本地網(wǎng)絡(luò)一樣方便、靈活和有效。采用基于MAC，用戶的實際地址VLAN技術(shù)用戶則可不做任何修改，在網(wǎng)上的任意位置都可上網(wǎng)，因為VLAN成員不是捆綁在某固定工作站上的；反過來，位置不發(fā)生改變卻變更了部門，網(wǎng)絡(luò)管理員也可以通過改變VLAN成員的方式讓用戶與VLAN的邏輯關(guān)系發(fā)生改變。

2.可以控制網(wǎng)絡(luò)上的廣播

VLAN可以提供建立防火墻的機制，防止交換網(wǎng)絡(luò)的過量廣播。使用VLAN，可以將某個交換端口或用戶賦予某一個特定的VLAN，該VLAN中的多臺計算機可以連接在一個交換機上，也可以是跨接在多個交換機上。一個VLAN中的廣播不會被傳送到另一個VLAN中，從而有效地減少了廣播風(fēng)暴對校園網(wǎng)絡(luò)的影響。

3.加強了網(wǎng)絡(luò)的安全性

在局域網(wǎng)中應(yīng)用VLAN技術(shù)可以把互相通信比較頻繁的用戶劃分到同一個VLAN中，這樣在同一個工作組中的信息傳輸只在同一個組內(nèi)廣播，從而減輕了因廣播包被截獲而引起的信息泄露帶來的影響，增強了網(wǎng)絡(luò)的安全性。

4.網(wǎng)絡(luò)管理簡單、直觀

在應(yīng)用VLAN技術(shù)后網(wǎng)絡(luò)管理員就可以輕松地管理網(wǎng)絡(luò)，例如學(xué)校的各個部門在物理上并不處在同一個位置，在不同的教學(xué)樓和辦公樓，但是應(yīng)用了VLAN技術(shù)網(wǎng)絡(luò)管理員就可以在應(yīng)用了幾條指令的同時完成設(shè)備在不同物理位置上的相同工作組的配置。

利用VLAN技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護工作的負擔(dān)，降低了網(wǎng)絡(luò)維護成本。在一個交換網(wǎng)絡(luò)中，VLAN提供了很好的網(wǎng)段和機構(gòu)的彈性組合機制。

三、VLAN的劃分方法

根據(jù)VLAN在交換機上的實現(xiàn)方式，VLAN分為靜態(tài)VLAN和動態(tài)VLAN兩類，動態(tài)VLAN又可以分為三種

類型。

1.基于端口的靜態(tài)VLAN

這是最早的VLAN類型，也是最簡單的VLAN，大多數(shù)VLAN協(xié)議的交換機都提供這種VLAN配置方法。這種基于端口的劃分方法的優(yōu)點是定義VLAN成員非常簡單，適合于任何大小的網(wǎng)絡(luò)，它的缺點是VLAN的定義依賴于交換機的物理端口。

2.基于MAC地址的VLAN

這種方法是根據(jù)每個主機的MAC地址來劃分VLAN。這種VLAN劃分方法的最大優(yōu)點就是當(dāng)用戶物理位置變動時，交換機會自動查出該端口，并正確指定端口所屬的VLAN。這種方法的缺點是初始化時，所有的用戶MAC地址都必須進行配置，如果有大量用戶的話，定義和維護VLAN較繁瑣。所以這種劃分方法通常適用于小型局域網(wǎng)。

3.基于網(wǎng)絡(luò)地址的VLAN

基于網(wǎng)絡(luò)地址的VLAN是按照交換機連接的網(wǎng)絡(luò)站點的網(wǎng)絡(luò)層地址劃分VLAN，從而確定交換機端口所屬的廣播域。其主要缺點在于效率要比基于第二層的VLAN差，因為查看三層IP地址比查看MAC地址所消耗的時間多。在校園網(wǎng)中，基于端口的VLAN比較適合于臺式機等固定用戶，而對于使用筆記本電腦的移動用戶（如教師），基于IP子網(wǎng)的VLAN則具備更好的應(yīng)用靈活性和簡便性。

4.基于用戶的VLAN

按用戶定義、非用戶授權(quán)劃分VLAN是為了適應(yīng)特別的VLAN網(wǎng)絡(luò)。這種劃分方法是根據(jù)具體的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認證后才可以加入一個VLAN。

四、VLAN技術(shù)在校園網(wǎng)中的應(yīng)用

1.筆者學(xué)校校園網(wǎng)概況

以筆者學(xué)校為例，在主校區(qū)，校園網(wǎng)以設(shè)在綜合樓的校園網(wǎng)網(wǎng)絡(luò)中心為核心，覆蓋綜合樓辦公室在內(nèi)的其他行政部門，如實習(xí)工廠等。采用CISCO 3560 24PS三層交換機作為核心交換機，在其他樓及需要配置網(wǎng)絡(luò)的場所則配置上二級交換機，以能支持100MBPS、支持VLAN的交換機為主，再連接到各個工作站。核心交換機通過路由連接Internet。從而實現(xiàn)各局域網(wǎng)之間信息的互通，數(shù)據(jù)的共享，教學(xué)上的各種需要以及對外上網(wǎng)。

學(xué)校網(wǎng)絡(luò)的整個范圍限制分為內(nèi)網(wǎng)和外網(wǎng)。從網(wǎng)絡(luò)安全級別的角度考慮又可將內(nèi)網(wǎng)分為兩大部分：第一部分為重點信息安全保護區(qū)，即校園網(wǎng)的重要應(yīng)用服務(wù)器群和重要部門的網(wǎng)絡(luò)設(shè)備和用戶；第二部分為普通信息安全區(qū)，外網(wǎng)即為校園外部網(wǎng)絡(luò)區(qū)域，也就是與校園網(wǎng)相連的各種專線信息網(wǎng)和Internet。

2.校園網(wǎng)系統(tǒng)規(guī)劃

根據(jù)校園網(wǎng)的具體情況，考慮到網(wǎng)絡(luò)資源的有限性，為了控制處理校園網(wǎng)的所有信息流量以有效地利用校園網(wǎng)的每一份資源，以及提供良好的安全性，必然要對整個校園網(wǎng)絡(luò)實現(xiàn)更加方便高效的管理。根據(jù)學(xué)校具體建筑物分布情況和各部門所處位置，在各棟樓之間都要各自設(shè)置最少一個VLAN，以當(dāng)前情況來看，共需設(shè)置5個，VLAN10，……VLAN50，VLAN1為交換機出廠時設(shè)置，不可更改，不可刪除，只需配置上適當(dāng)?shù)木W(wǎng)絡(luò)地址，就可以讓其他的二級交換機圍繞核心交換機來進行互通。如果以后需要繼續(xù)擴大內(nèi)部網(wǎng)的規(guī)模，在硬件能夠拓展的范圍內(nèi)，只需要繼續(xù)設(shè)置相應(yīng)的VLAN即可。

3.VLAN在校園網(wǎng)中的規(guī)劃和設(shè)置

在整個網(wǎng)絡(luò)系統(tǒng)集成之前，分配IP地址是很重要的一個環(huán)節(jié)。可將設(shè)備的管理IP地址分配為所在VLAN中的某個地址，為了便于管理，可將內(nèi)部各子網(wǎng)的網(wǎng)關(guān)地址統(tǒng)一設(shè)為X.X.X.1，這樣只要定義好所屬的各網(wǎng)段，就能通過網(wǎng)關(guān)連接到核心交換機。

（1）創(chuàng)建VLAN。首先，必須先建立一個VTP管理域，以使它能管理網(wǎng)絡(luò)上當(dāng)前的VLAN。在同一管理域中的交換機共享它們的VLAN信息，并且，一個交換機只能參加到一個VTP管理域，不同域中的交換機不能共享VTP信息。

（2）添加VLAN的端口。在劃分VLAN時，名稱VLAN1為默認，端口也是默認的。所以在交換機劃分VLAN端口時，剩余的端口均默認劃分到VLAN1中。將端口1，8-24劃分為VLAN1，其余端口分別劃給VLAN10-VLAN50。

（3）添加VLAN IP地址。將各VLAN口與相對應(yīng)的IP地址一一配置好。再在各接入VLAN的計算機上設(shè)置與所屬VLAN的網(wǎng)絡(luò)地址一致的IP地址，并且把默認網(wǎng)關(guān)設(shè)置為該VLAN的接口地址。這樣，所有的VLAN也可以互訪了。

五、小結(jié)

VLAN技術(shù)為局域網(wǎng)的建設(shè)提供了高度的靈活性和可靠的網(wǎng)絡(luò)安全管理手段，顯示出獨特的優(yōu)點。隨著VLAN技術(shù)和三層交換技術(shù)的發(fā)展，必將把局域網(wǎng)的發(fā)展帶入一個新的階段。由于校園網(wǎng)絡(luò)的VLAN劃分是作為一個整體結(jié)構(gòu)來設(shè)計的，所以為了保持校園網(wǎng)絡(luò)的高速、暢通、安全，應(yīng)盡量選擇同一個品牌或品牌不同但配合使用起來協(xié)調(diào)性較好的設(shè)備。VLAN技術(shù)在校園網(wǎng)內(nèi)的應(yīng)用，不但使得校園網(wǎng)絡(luò)更加安全、快速，并且也減輕了網(wǎng)絡(luò)管理員的工作負擔(dān)，保證了各個部門不同的要求和信息的安全，因此，VLAN技術(shù)應(yīng)用在學(xué)校局域網(wǎng)內(nèi)是明智之舉。

參考文獻 ：

[1]王玉慧.VLAN技術(shù)的應(yīng)用[J].中國水運,2004(12).

[2]朱立科.校園網(wǎng)VLAN的劃分與通信[N].青島遠洋船員學(xué)院學(xué)報,2006:72-74.

[3]廖常武,汪剛.校園網(wǎng)組建[M].北京:清華大學(xué)出版社,2005.

[4]王達.網(wǎng)管員必讀——網(wǎng)絡(luò)基礎(chǔ)[M].北京:電子工業(yè)出版社,2004.

[5]曾明,李建軍.網(wǎng)絡(luò)技術(shù)精要——建網(wǎng)管網(wǎng)500問[M].北京:電子工業(yè)出版社,2003.

（作者單位：汕頭市高級技工學(xué)校）

endprint