羅和華

摘要：隨著校園局域網(wǎng)規(guī)模的擴大，大量的廣播信息的出現(xiàn)導致網(wǎng)絡傳輸效率低下，為了解決這個問題，產(chǎn)生了虛擬局域網(wǎng)技術（VLAN）。通過Vlan技術我們把校園網(wǎng)從邏輯上劃分為多個子網(wǎng)，每個Vlan對應一個廣播域，處于不同Vlan 上的主機不能通信，從而避免了校園網(wǎng)廣播風暴的出現(xiàn)，Vlan之間通信傳統(tǒng)上依賴路由器進行，而路由器路由速度較慢、復雜所造成的網(wǎng)絡瓶頸問題，由此產(chǎn)生了三層交換技術。該篇論文立足于具體應用提出了基于虛擬局域網(wǎng)技術和三層交換技術來構建一個合理安全的校園園區(qū)網(wǎng)的實現(xiàn)方案。

關鍵詞：虛擬局域網(wǎng)；VLAN；TRUNK；路由；三層交換機

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2015）03-0038-05

Based on the Layer 3 Exchange Technology and VLAN Technology Set Up Campus Network

LUO He-hua

（Guangzhou Senior Technical School， Guangzhou 510540， China）

Abstract： With the expansion scale of the campus Local Area Network ， a large number of broadcast information leading to lower network transmission efficiency， to solve this problem， resulting in a virtual LAN technology （VLAN）. Through technology of VLAN， we divided the campus network into many subnet mask logically， each Vlan corresponding to Broadcast domain， the host computer can not communicate with others which in different Vlan， thereby can avoid the appear of broadcast storm in campus network， the communication between VLAN traditionally depends on router， because of slower and complicated of routing， leading to bottlenecks problem of network. Therefore， resulting to The Layer 3 exchange technology. This paper based on specific application propose a implement plan for virtual local area network technology and The Layer 3 exchange technology to make a reasonable and safety campus network.

Key words： virtual local area network； VLAN； TRUNK； ROUTER； three layer switches

當今校園網(wǎng)（Campus Network）主要是由以太網(wǎng)組成。由于使用載波偵聽多路訪問/沖突檢測（CSMA/CD）機制，故當網(wǎng)絡上的主機不斷增加時，主機間通訊故障的連鎖影響、網(wǎng)絡沖突嚴重、網(wǎng)絡利用率大為降低、安全性能無法保證，更有甚者，當廣播報文較多的情況下，廣播風暴會造成網(wǎng)絡崩潰。為了解決以太網(wǎng)存在的廣播問題和網(wǎng)絡安全的許多問題，我們目前常采用的組網(wǎng)技術是將園區(qū)網(wǎng)按照邏輯功能進一步劃分為多個虛擬局域網(wǎng)（VirtualLocal Area Network，VLAN），這就是虛擬局域網(wǎng)技術。

1 虛擬局域網(wǎng)（VLAN）概念

VLAN（Virtual Local Area Network，即虛擬局域網(wǎng)）是一種通過將局域網(wǎng)內(nèi)的設備邏輯地而不是物理地劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興技術。VLAN允許處于不同地理位置的網(wǎng)絡用戶加入一個邏輯子網(wǎng)中，共享一個廣播域。

2 VLAN的劃分方法及標準

VLAN在交換機上的實現(xiàn)方法，大致可分成以下幾類：

1）基于端口劃分。這種方法是根據(jù)以太網(wǎng)交換機的交換端口來劃分的，它是將VLAN交換機上的物理端口和VLAN交換機內(nèi)部的PVC端口分成若干個組，每個組構成一個虛擬網(wǎng)。這是一個最常應用的方法，也是最有效的方法。

2）基于MAC地址劃分。這種方法是根據(jù)每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置其屬于哪個組，實現(xiàn)的機制就是每一塊網(wǎng)卡都對應唯一的MAC地址，VLAN交換機跟蹤VLAN的MAC地址。這種方法適應于小型局域網(wǎng)。

3）按網(wǎng)絡協(xié)議劃分。VLAN按網(wǎng)絡層協(xié)議來劃分，可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡。這種方法用戶可以在網(wǎng)絡內(nèi)部自由移動，但其VLAN成員身份仍然保留不變；不足之處按協(xié)義劃分的vlan可使廣播域跨越多個VLAN交換機，容易產(chǎn)生大量的廣播包，使VLAN交換機的效率降低。

3 三層交換機產(chǎn)生的原因

不同VLAN間的通信都要經(jīng)過路由器來完成轉(zhuǎn)發(fā)，隨著網(wǎng)間互訪的不斷增加。單純使用路由器來實現(xiàn)網(wǎng)間訪問，不但由于端口數(shù)量有限，而且路由速度較慢，從而限制了網(wǎng)絡的規(guī)模和訪問速度?；谶@種情況三層交換機便應運而生，三層交換機是為IP設計的，接口類型簡單，擁有很強二層包處理能力，非常適用于大型局域網(wǎng)內(nèi)的數(shù)據(jù)路由與交換，它既可以工作在協(xié)議第三層替代或部分完成傳統(tǒng)路由器的功能，同時又具有幾乎第二層交換的速度，且價格相對便宜些。筆者認為三層交換機是連接子網(wǎng)的最理想設備。

以上是建設虛擬網(wǎng)絡的理論依據(jù)，但要應用到具體網(wǎng)絡中還需要使用很多其它相關知識。下面來介紹綜合運用VLAN、三層交換技術、ACL等技術來建立一個便于管理、安全、可靠的學校園區(qū)網(wǎng)。

4 應用實例

下面以中等規(guī)模校園網(wǎng)絡系統(tǒng)設計方案為例，具體介紹如何利用三層交換技術及VLAN技術組建校園網(wǎng)。

假設校園網(wǎng)約有計算機300多臺，我們假設這個校園分為教務處、多媒體室，電腦室、電子閱覽室、財務處、服務器區(qū)，其中服務器4臺，教務處有20臺計算機，多媒體室約100臺，電腦室共有計算機約100臺，電子閱覽室配有計算機100臺，財務處有20臺計算機。學校申請了一條百兆光纖接入互聯(lián)網(wǎng)，同時申請了3個C的IP地址：

其中一個IP地址：193.1.1.1被分配給了Internet接入路由器的串行接口；另外兩個IP地址：202.206.222.1—202.206.222.2用作NAT。

以下是300個節(jié)點的校園網(wǎng)vlan結構圖：

圖1 300個節(jié)點的校園網(wǎng)vlan結構圖

4.1 校園網(wǎng)設計總體方案

1）網(wǎng)絡設備連接

校園網(wǎng)由三層交換機、千兆交換機、二層交換機有機結合構成，采用三級交換技術，主干網(wǎng)由一臺中心交換機（思科三層交換機3560G）和兩臺千兆交換機（思科2960）連接子網(wǎng)，子網(wǎng)使用二級交換機（思科2950）連接到工作站。

2）網(wǎng)絡硬件設備參考

網(wǎng)絡硬件設備參考如表1所示。

共劃分為6個VLAN：

①VLAN 10：劃分服務器區(qū) （WEB服務器、數(shù)據(jù)庫服務器、FTP服務器、DNS服務器）

②VLAN20：劃分給教務處，約20臺電腦，分配IP地址段：192.168.2.1-20；子網(wǎng)掩碼：255.255.255.0；網(wǎng)關：192.168.2.254；

③VLAN 30：劃分給電子閱覽室，約100臺，考慮以后擴充，分配IP地址段：192.168.3.1-150；子網(wǎng)掩碼：255.255.255.0；網(wǎng)關：192.168.3.254；

④VLAN 40：劃分給電腦室，約100臺電腦，分配IP地址段：192.168.4.1-100；子網(wǎng)掩碼：255.255.255.0；網(wǎng)關：192.168.4.254；指定3560光纖2端口。

⑤VLAN 50： 劃分給多媒體室，約100左右臺電腦，分配IP地址段：192.168.5.1-150；子網(wǎng)掩碼：255.255.255.0；網(wǎng)關：192.168.5.254；

⑥VLAN 60：劃分給財務處，約20臺電腦，分配的IP地址段：192.168.6.1-30；子網(wǎng)掩碼：255.255.255.0 網(wǎng)關：192.168.6.254.

各VLAN組對應的網(wǎng)段如表2所示：

4）交換機命名

核心三層交換機命名為3SW，接入服務器區(qū)的交換機為SW1，接入網(wǎng)絡中心（多媒體室、電腦室、電子閱覽室）的交換機為SW2，財務處交換機為sw1，多媒體室交換機為sw2，電腦室交換機為sw3，電子閱覽室為sw4，教務處交換機為sw5.

4.2 交換機的配置

4.2.1 思科交換機配置界面

1）將PC計算機的串口通過標準的S232電纜和交換機的console端口連接。

2）運行超級終端程序，建立新連接（圖2）。

3）設置通訊參數(shù)：9600波特率、8位數(shù)據(jù)位、1位停止位、無校驗、無流控（圖3）。

圖2

圖3

4）進入交換機命令行提示符，系統(tǒng)默認switch> ，這時可以對交換機進行配置了。

4.2.2 對核心交換機、千兆交換機、二層交換機進行配置工作

1）設置VTP Domain（核心、分支交換機都進行設置）

核心交換機（三層交換機）上：

Switch>enable //進入特權模式

Switch#configure terminal //進入配置模式

Switch（config）#service password-encryption //對密碼進行加密

Switch（config）#Hostname 3SW //對核心交換機進行命名

3SW（config）#enable password 123456 //設置enable password為123456

3SW（config）#enable secret 654321 //設置enable secret 為654321

3SW（config）#ip routing //啟用三層交換機上的路由模塊

3SW（config）#exit //退出

3SW#vlan database //進入Vlan的配置子模式

3SW（vlan）#vtp server //設置本交換機為Server模式

Device mode already VTP SERVER.

3SW（vlan）#vtp domain school （設置域名）

Changing VTP domain name from NULL to school

3SW（vlan）#vtp pruning //啟用修剪功能

接入服務器區(qū)的千兆交換機SW1的配置：

Switch>enable //進入特權模式

Switch#configure terminal //進入配置子模式

Enter configuration commands， one per line. End with CNTL/Z.

Switch（config）#service password-encryption //對密碼進行加密

Switch（config）#hostname SW //對千兆交換機進行命名

SW（config）#enable password 123456 //設置enable password為123456

SW（config）#enable secret 654321 //設置enable secret為123456

SW（config）#exit //退出

%SYS-5-CONFIG_I： Configured from console by console

SW#vlan database //進入vlan的配置子模式

SW（vlan）#vtp domain school //設置域名，必須和Server交換機的域名相同

Changing VTP domain name from NULL to school

SW（vlan）#vtp client //設置此交換機的模式為client

Setting device to VTP CLIENT mode.

以相同的方法配置sw1，sw2，sw3，sw4，sw5，SW2

……

2）對核心交換機、千兆交換機、二層交換機上配置中繼

核心交換機3SW上：

3SW（config）#interface gigabitEthernet 0/1 //進入0/1接口

3SW（config-if）#switchport trunk encapsulation dot1q //封裝中繼協(xié)議

3SW（config-if）#switchport mode trunk //配置trunk模式

3SW（config-if）#switchport trunk allowed vlan all //配置讓所有的vlan通過

3SW（config-if）#no shutdown //激活端口

以相同的方法進入0/2、0/3、0/4、0/5、0/6接口、封裝中繼協(xié)議、配置trunk模式、讓所有的vlan通過、激活端口。

……

其中0/3、0/4、0/5接口，要將其相對應端口3、4、5放到以太網(wǎng)通道組1中，配置語句如下（在配置讓所有vlan通過和激活端口之間加入以下語句）：

3SW（config-if）#channel-group 1 mode on //把這個端口3、4、5放到以太網(wǎng)通道組1中

分支交換機上：

服務器區(qū)接入千兆交換機SW1：

SW1（config）#interface gigabitEthernet 1/1

SW1（config-if）#switchport mode trunk

SW1（config-if）#switchport trunk allowed vlan all

SW1（config-if）#no shutdown //激活端口

多媒體室、電腦室、電子閱覽室接入千兆交換機SW2：

SW2（config）#interface gigabitEthernet 1/1

SW2（config-if）#switchport mode trunk

SW2（config-if）#switchport trunk allowed vlan all

SW2（config-if）#channel-group 1 mode on //把千兆口1放入以太通道組1中

SW2（config-if）#no shutdown //激活端口

SW2（config）#interface gigabitEthernet 1/2

SW2（config-if）#switchport mode trunk

SW2（config-if）#switchport trunk allowed vlan all

SW2（config-if）#channel-group 1 mode on //把千兆口2放入以太通道組1中

SW2（config-if）#no shutdown //激活端口

教務處二層交換機：

sw5（config）#interface fastEthernet 0/1

sw5（config-if）#switchport mode trunk

sw5（config-if）#switchport trunk allowed vlan all

sw5（config-if）#no shutdown //激活端口

財務處、多媒體室、電腦室、電子閱覽室分支二層交換機配置方法如教務處。

……

3）創(chuàng)建VLAN：

在核心交換機上設置

3SW#vlan database //進入vlan配置模式

3SW（vlan）#vlan 10 name vlan10 //定義vlan并取名為vlan10

VLAN 10 added：

Name： vlan10

并以相同的方法創(chuàng)建vlan20、vlan30、vlan40、vlan50、vlan60

……

4）將分支交換機端口劃分至具體的vlan中：

服務器區(qū)接入交換機SW1：

SW1（config）#interface range FastEthernet 0/1 - 24 //選擇F0/1至F0/24口

SW1（config-if-range）#switchport mode access //配置F0/1至F0/24為訪問模式

SW1（config-if-range）#switchport access vlan 10 //將F0/1至F0/24劃分至vlan 10中

SW1（config-if-range）#no shutdown //激活端口

SW1（config）#interface gigabitEthernet 1/2 //選擇G1/2口

SW1（config-if）#switchport access vlan 10 //將G1/2劃分至vlan10中

SW1（config-if）#no shutdown

SW1（config-if）#end

%SYS-5-CONFIG_I： Configured from console by console

SW1#copy running-config startup-config //保存配置

多媒體室、電腦室、電子閱覽室接入千兆交換機SW2配置方法與服務器區(qū)接入交換機SW1相同。

……

5）核心交換機的其他配置：

3SW（config）#interface vlan 10

3SW（config-if）#ip address 192.168.1.254 255.255.255.0 //vlan 10接口

3SW（config-if）#no shutdown //激活端口

以相同的方法進入相應的vlan20、vlan30、vlan40、vlan50、vlan60接口，激活相應的端口。

3SW（config-if）#interface gigabitEthernet 0/1 //進入端口1配置模式

3SW（config-if）#spanning-tree vlan 10 port-priority 10 //將vlan10的端口權值設為10，則vlan10走核心交換機端口的g0/1通過

以相同的方法配置端口2、3、4、5，將vlan20、vlan30、vlan40、vlan50、vlan60走相應核心交換機端口g0/2、g0/3、g0/4、g0/5、通過。

……

3SW（config）#interface vlan 60 //進入財務部vlan60的邏輯接口

3SW（config-if）#ip access-group 101 in //在入方向上使用擴展的訪問控制列表101

3SW（config-if）#access-list 101 deny ip any 192.168.2.0 0.0.0.255 //禁止教務處訪問規(guī)則加入訪問控制列表101

相同的方法禁止電子閱覽室、電腦室、多媒體室訪問規(guī)則加入訪問控制列表101

……

3SW（config-if）#access-list 101 permit ip any any //允許其他

3SW（config-if）#exit

3SW（config）#line con 0 //控制臺端口設置

3SW（config-line）#line vty 0 4 //telnet線路0-4

3SW（config-line）#password 12345678 //telnet密碼

3SW（config-line）#login

3SW（config-line）#end //返回全局模式

3SW#copy running-config startup-config //保存配置

6）連接互聯(lián)網(wǎng)路由：

i：在核心交換機上配置相關路由（rip協(xié)議）

3SW（config）#interface gigabitEthernet 0/24 //F0/24與路由器相連

3SW（config-if）#no switchport //把此端口設置成路由口

3SW（config-if）#exit

3SW（config）#interface gigabitEthernet 0/24 //F0/24與路由器相連

3SW（config-if）#ip address 192.168.100.1 255.255.255.0 //設端口IP

3SW（config-if）#no shutdown //激活端口

3SW（config-if）#exit

3SW（config）#router rip //啟用路由協(xié)議rip

3SW（config）#network 192.168.1.0 //與核心交換機直連的網(wǎng)段

類似方法192.168.2.0/3.0/4.0/5.0/6.0

……

3SW（config）#ip route 0.0.0.0 0.0.0.0 192.168.100.2 //缺省路由，所有在路由表中無法匹配的數(shù)據(jù)包，都發(fā)向下一跳地址為192.168.100.2 這個路由器

3SW（config）#exit

3SW#copy running-config startup-config //保存配置

ii.設置路由器至核心交換機的回程路由

Router>enable //進入特權模式

Router#configure terminal //進入全局配置模式

Enter configuration commands， one per line. End with CNTL/Z.

Router（config）#interface fa 0/0 //進入F0/0端口

Router（config-if）#ip address 192.168.100.2 255.255.255.0 //設置路由器內(nèi)網(wǎng)IP

Router（config-if）#no shutdown //激活端口

Router（config-if）#exit //返回配置模式

Router（config）#ip route 192.168.1.0 255.255.255.0 192.168.100.1 //內(nèi)網(wǎng)的路由

相同的方法配置192.168.2.0/3.0/4.0/5.0/6.0

……

Router（config）#exit

Router#copy running-config startup-config //保存配置

7）配置各計算機：

在各接入vlan的計算機上設置與所屬vlan的同一網(wǎng)段的IP地址，并把默認網(wǎng)關設置為該vlan的接口IP地址。通過這樣設置所有的vlan也都可以互訪，但設置了訪問控制的財務處與教務處、多媒體室、電腦室、電子閱覽室是不可以互訪的。

8）服務器區(qū)：

服務器區(qū)主要用來對校園網(wǎng)的接入用戶提供各種服務。在校園網(wǎng)絡設計中，我們將所有的服務器被集中到VLAN 10 構成服務器群并通過分別千兆交換機的端口fastethernet 1～24 接入校園網(wǎng)。

常見的校園網(wǎng)服務（服務器）包括：WEB 服務器：提供www學校網(wǎng)站服務；DNS服務器：提供域名解析服務；FTP文件服務器：提供教學資源、共享服務；數(shù)據(jù)庫服務器：提供各種數(shù)據(jù)庫服務。

對于各種服務器的安裝、配置步驟以及運行維護方法，請有興趣的可以參看有關參考書進行配置。

5 總結

在校園網(wǎng)的建設中，我們應該依據(jù)實際情況對VLAN進行劃分，例如對于移動用戶，我們可采用基于用戶來劃分VLAN，注意當交換機之間有冗余連接時，我們應該在交換機上配置生成樹STP協(xié)議來避免網(wǎng)絡環(huán)路，同時注意交換機哪些端口應該配置為Trunk模式/access模式，哪些端口要端口聚合，哪些網(wǎng)絡要配置訪問控制規(guī)則（ACL）等，在這個過程中我們還要考慮設備的性能、網(wǎng)絡的用途、網(wǎng)絡的規(guī)模、網(wǎng)絡安全、管理等因素以及形成一套合理的、安全、可靠的校園網(wǎng)方案。有條件的學校，可以考慮主干網(wǎng)采用雙星結構，同時采用最新的鏈路聚合技術，這樣可以大大提高校園網(wǎng)的整體性能以及穩(wěn)定性。充分體現(xiàn)現(xiàn)代網(wǎng)絡技術的重要特征：高速、安全、便于管理和可擴充性。

參考文獻：

[1] 林維忠-虛擬局域網(wǎng)（VLAN）技術[J].西部廣播電視，2003（4）.

[2] 柴爭義.VLAN技術及其在校園網(wǎng)中的應用[J].鄭州工業(yè)高等專科學校學報，2003（6）.

[3] 張文虹.VLAN問路由的配置實現(xiàn)[J].中國金融電腦，2003（5）.

[4] 田均.企業(yè)網(wǎng)絡中VLAN設計與管理[J].電腦與電信，2004（6）.

[5] VitoAmato.思科網(wǎng)絡技術學院教程（下冊）[M].北京：人民郵電出版社，2000.