ＶＬＡＮ技術(shù)在校園網(wǎng)維護(hù)管理中的應(yīng)用

摘要：隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，VLAN技術(shù)在網(wǎng)絡(luò)中的應(yīng)用越來(lái)越廣泛。該文主要介紹了VLAN技術(shù)的定義，VLAN在校園網(wǎng)中的優(yōu)點(diǎn)，vlan的種類劃分，校園網(wǎng)vlan的配置實(shí)例。

關(guān)鍵詞：VLAN；校園網(wǎng)；廣播風(fēng)暴；三層交換

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2009)04-0819-03

The Application of VLAN Technology in Campus Network Maintenance and Management

CHEN Kai1， HU Peng2

(1.Jiangxi Vocational and Technical Building College，Nanchang 330038，China; 2.Jiangxi Normal University Campus Network Management Center，Nanchang 330022，China)

Abstract: With the development of network technology， VLAN technology in the network more and more widely. This paper introduces the definition of VLAN technology， VLAN in campus network advantages， vlan the type of campus network configuration vlan examples.

Key words: VLAN;campus network; broadcasting storm; the three-tier exchange

1 引言

校園網(wǎng)的普及和發(fā)展大大加快了數(shù)字化校園的建設(shè)步伐，同時(shí)隨著校園網(wǎng)內(nèi)的計(jì)算機(jī)、交換機(jī)等設(shè)備的大量增加，廣播包的數(shù)量也會(huì)急劇增加。當(dāng)廣播包的數(shù)量占到總量的30%時(shí)，網(wǎng)絡(luò)的傳輸效率將會(huì)明顯下降；特別是當(dāng)網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，會(huì)不停地向網(wǎng)絡(luò)發(fā)送廣播，從而導(dǎo)致網(wǎng)絡(luò)風(fēng)暴，使網(wǎng)絡(luò)通信陷于癱瘓。同時(shí)網(wǎng)絡(luò)中的惡意攻擊、數(shù)據(jù)的竊取等問(wèn)題都極大的影響了校園網(wǎng)的正常運(yùn)行。對(duì)于網(wǎng)絡(luò)管理者來(lái)說(shuō)，非常希望有一種相應(yīng)的技術(shù)能解決這些問(wèn)題，這就是現(xiàn)在應(yīng)用比較廣泛的VLAN技術(shù)。

2 VLAN技術(shù)及其優(yōu)點(diǎn)

VLAN是一種通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、提高網(wǎng)絡(luò)安全性、簡(jiǎn)化網(wǎng)絡(luò)管理。下面從幾個(gè)方面具體來(lái)談?wù)刅LAN技術(shù)在校園網(wǎng)中的發(fā)揮的突出作用。

2.1 控制廣播風(fēng)暴

由于不同的VLAN有著各自獨(dú)立的廣播域，而廣播只能在本地VLAN內(nèi)進(jìn)行，從而大大減少了廣播對(duì)網(wǎng)絡(luò)帶寬的占用，提高了帶寬傳輸效率，并可以有效地避免廣播風(fēng)暴的產(chǎn)生。例如在我校就對(duì)每棟學(xué)生宿舍劃分兩個(gè)或兩個(gè)以上VLAN，在這種情況下即使有一棟學(xué)生宿舍的VLAN產(chǎn)生了廣播風(fēng)暴，也不會(huì)對(duì)此VLAN之外的網(wǎng)絡(luò)產(chǎn)生影響。

2.2 增強(qiáng)網(wǎng)絡(luò)安全性

在交換機(jī)上劃分VLAN以后，不同VLAN的之間將不能直接通信，VLAN間的通信必須通過(guò)三層設(shè)備（路由設(shè)備）。我們可以通過(guò)路由訪問(wèn)列表和MAC地址分配等VLAN劃分原則，控制用戶訪問(wèn)權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN中，從而提高了校園網(wǎng)的整體性能和安全性。如果結(jié)合相應(yīng)的網(wǎng)絡(luò)技術(shù)還可以方便的控制校園網(wǎng)用戶的登陸地點(diǎn)，例如開(kāi)啟交換機(jī)的認(rèn)證功能，校園網(wǎng)用戶在登陸校園網(wǎng)前首先要進(jìn)行身份認(rèn)證，我們可以將認(rèn)證帳號(hào)綁定到具體的VLAN中，這樣只有具備相應(yīng)VLAN認(rèn)證帳號(hào)的用戶才能在指定的VALN登陸校園網(wǎng)絡(luò)。

2.3 網(wǎng)絡(luò)管理簡(jiǎn)單、直觀

利用VLAN技術(shù)可以根據(jù)學(xué)校的部門(mén)職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段，在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。利用VLAN技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費(fèi)用。

3 VLAN的種類劃分

VLAN的劃分主要有以下幾種：

3.1 基于端口的VLAN

這種劃分是現(xiàn)在比較流行和最早的劃分方式，它的特點(diǎn)是把交換機(jī)按照端口進(jìn)行分組，每一組定義一個(gè)VLAN。這些端口分組能夠在一臺(tái)交換機(jī)上也能夠跨越幾個(gè)交換機(jī)。一個(gè)VLAN的各個(gè)端口上的所有終端都在一個(gè)廣播域中，不同的VLAN之間不能直接相互訪問(wèn)，VLAN間的通信需要通過(guò)路由來(lái)進(jìn)行。這種VLAN劃分的主要優(yōu)點(diǎn)是簡(jiǎn)單、容易實(shí)現(xiàn)；缺點(diǎn)是不夠靈活，當(dāng)一個(gè)終端發(fā)生物理位置變化時(shí)要重新設(shè)置。

3.2 基于MAC地址的VLAN

此種方式的VLAN，交換機(jī)對(duì)終端的MAC地址和交換機(jī)端口進(jìn)行跟蹤，在新終端入網(wǎng)時(shí)根據(jù)已經(jīng)定義的VLAN與MAC地址對(duì)應(yīng)表將其劃分到某一個(gè)VLAN。配置完成后不管該終端在網(wǎng)絡(luò)中如何移動(dòng)，因?yàn)槠銶AC地址不變，所以不需要進(jìn)行VLAN重新配置。這種方式的優(yōu)點(diǎn)是可以允許網(wǎng)絡(luò)用戶變換物理位置，實(shí)現(xiàn)移動(dòng)辦公，且每個(gè)用戶可以屬于多個(gè)VLAN，增加了靈活性；缺點(diǎn)是初始工作量較大，更換網(wǎng)卡就要重新設(shè)置。

3.3 基于網(wǎng)絡(luò)層的VLAN劃分

也稱為基于策略的劃分，是這幾種劃分方式中最高級(jí)也是最復(fù)雜的。基于網(wǎng)絡(luò)層的VLAN使用協(xié)議（如果網(wǎng)絡(luò)中存在多協(xié)議的話）或網(wǎng)絡(luò)地址（如TCP/IP中的子網(wǎng)段地址）來(lái)確定網(wǎng)絡(luò)成員。交換機(jī)既允許一個(gè)端口對(duì)應(yīng)多個(gè)子網(wǎng)，也允許一個(gè)子網(wǎng)對(duì)應(yīng)多個(gè)端口。這種方式的優(yōu)點(diǎn)是VLAN的配置方便靈活；缺點(diǎn)是對(duì)設(shè)備的要求高，并不是所有設(shè)備都支持這種方式。

4 VLAN的配置

下面我們一起來(lái)看一個(gè)基于第三層交換技術(shù)的vlan的配置過(guò)程：

一臺(tái)具備三層交換功能的核心交換機(jī)接若干臺(tái)分支交換機(jī)。假設(shè)核心交換機(jī)名稱為：center(中心)；分支交換機(jī)分別為： xsgy-01(學(xué)生公寓-01)、xsgy-02．．．．．．分別通過(guò)port 1光纖模塊與核心交換機(jī)相連（分支交換機(jī)的配置以xsgy-01為例，其它的交換機(jī)配置類似）。具體步驟分為：1) 設(shè)置vtp domain；2) 配置中繼；3) 創(chuàng)建vlan；4) 將交換機(jī)端口劃入vlan；5) 配置三層交換。具體分述如下：

4.1 設(shè)置vtp domain（vtp domain 稱為管理域）

VTP（VLAN Trunk Protocol，VLAN干道協(xié)議）是用來(lái)使VLAN配置信息在交換網(wǎng)內(nèi)其它交換機(jī)上進(jìn)行動(dòng)態(tài)注冊(cè)的一種二層協(xié)議。在一臺(tái)VTP Server上配置一個(gè)新的VLAN信息，則該信息將自動(dòng)傳播到本域內(nèi)的所有交換機(jī)，這樣管理域里所有的交換機(jī)就能夠了解彼此的VLAN列表，從而減少在多臺(tái)設(shè)備上配置同一信息的工作量，且方便了管理。

核心交換機(jī)端配置如下：

center#vlan database 進(jìn)入vlan配置模式

center(vlan)#vtp domain center 設(shè)置vtp管理域名稱 center

center(vlan)#vtp server 設(shè)置交換機(jī)為服務(wù)器模式

分支交換機(jī)端配置如下：

xsgy-01#vlan database 進(jìn)入vlan配置模式

xsgy-01(vlan)#vtp domain center 設(shè)置vtp管理域名稱center

xsgy-01(vlan)#vtp client 設(shè)置交換機(jī)為客戶端模式

注意：這里設(shè)置核心交換機(jī)為server模式是指允許在該交換機(jī)上創(chuàng)建、修改、刪除vlan及其他一些對(duì)整個(gè)vtp域的配置參數(shù)，同步本vtp域中其他交換機(jī)傳遞來(lái)的最新的vlan信息；client模式是指本交換機(jī)不能創(chuàng)建、刪除、修改vlan配置，也不能在nvram中存儲(chǔ)vlan配置，但可同步由本vtp域中其他交換機(jī)傳遞來(lái)的vlan信息。

4.2 配置中繼是為了保證管理域能夠覆蓋所有的分支交換機(jī)，必須配置中繼

cisco交換機(jī)能夠支持任何介質(zhì)作為中繼線，為了實(shí)現(xiàn)中繼可使用其特有的isl標(biāo)簽。isl（inter－switch link）是一個(gè)在交換機(jī)之間、交換機(jī)與路由器之間及交換機(jī)與服務(wù)器之間傳遞多個(gè)vlan信息及vlan數(shù)據(jù)流的協(xié)議，通過(guò)在交換機(jī)直接相連的端口配置isl封裝，即可跨越交換機(jī)進(jìn)行整個(gè)網(wǎng)絡(luò)的vlan分配和進(jìn)行配置。

核心交換機(jī)端配置如下：

center(config)#interface gigabitethernet 2/1

center(config-if)#switchport

center(config-if)#switchport trunk encapsulation isl 配置中繼協(xié)議

center(config-if)#switchport mode trunk

分支交換機(jī)端配置如下：

xsgy-01(config)#interface gigabitethernet 0/1

xsgy-01(config-if)#switchport mode trunk

至此，管理域設(shè)置完畢。

4.3 創(chuàng)建vlan

center(vlan)#vlan 10 name xsgy//創(chuàng)建一個(gè)編號(hào)為10 名字為xsgy(學(xué)生公寓)的vlan

注意，這里的vlan是在核心交換機(jī)上建立的，其實(shí)，只要是在管理域中的任何一臺(tái)vtp 屬性為server的交換機(jī)上建立vlan，它就會(huì)通過(guò)vtp通告整個(gè)管理域中的所有的交換機(jī)；但如果要將具體的交換機(jī)端口劃入某個(gè)vlan，就必須在該端口所屬的交換機(jī)上進(jìn)行設(shè)置。

4.4 將交換機(jī)端口劃入vlan

例如：將xsgy-01分支交換機(jī)的端口1至端口n劃入xsgy vlan

xsgy-01(config)#interface range fastethernet 0/1–n//配置端口1-n

xsgy-01(config-if)#switchport access vlan 10 //歸屬xsgy vlan

4.5 配置三層交換

vlan劃分完成以后還需要給各vlan分配網(wǎng)絡(luò)（ip）地址。給vlan分配ip地址分兩種情況：1) 給vlan所有的節(jié)點(diǎn)分配靜態(tài)ip地址；2) 給vlan所有的節(jié)點(diǎn)分配動(dòng)態(tài)ip地址。下面就這兩種情況分別介紹，假設(shè)給vlan 10分配的接口ip地址為172.17.10.1，網(wǎng)絡(luò)地址為：172.17.10.0。

4.5.1 給vlan10所有的節(jié)點(diǎn)分配靜態(tài)ip地址

首先在核心交換機(jī)上設(shè)置vlan10的接口ip地址。核心交換機(jī)將vlan視為一種接口。

center(config)#interface vlan 10

center(config-if)#ip address 172.17.10.1 255.255.255.0 // 配置vlan10的接口ip

在vlan10中的計(jì)算機(jī)只要設(shè)置與vlan10的網(wǎng)絡(luò)地址一致的ip地址，并且把默認(rèn)網(wǎng)關(guān)設(shè)置為vlan10的接口地址172.17.10.1 就可以了。

4.5.2 如果要實(shí)現(xiàn)動(dòng)態(tài)分配ip地址，則只需在分配靜態(tài)ip地址的基礎(chǔ)上加上如下配置

center(config-if)#ip helper-address 172.16.9.1 dhcp server ip//指定dhcp服務(wù)器的ip地址

此時(shí)vlan10中的計(jì)算機(jī)設(shè)置為自動(dòng)獲得ip地址的方式就可以了。

5 結(jié)束語(yǔ)

VLAN技術(shù)為校園網(wǎng)的建設(shè)提供了高度的靈活性和可靠的網(wǎng)絡(luò)安全管理手段，顯示出獨(dú)特的優(yōu)點(diǎn)。特別是基于第三層交換的vlan技術(shù)的出現(xiàn)，解決了局地網(wǎng)中網(wǎng)段劃分之后，網(wǎng)絡(luò)中子網(wǎng)間的通訊必須依賴路器的局面，從而有效的解決了傳統(tǒng)路由器數(shù)據(jù)傳輸?shù)退僭斐傻木W(wǎng)絡(luò)瓶頸問(wèn)題，實(shí)現(xiàn)了一次路由多次交換，同時(shí)第三層交換技術(shù)的出現(xiàn)給校園網(wǎng)的建設(shè)提供了良好的擴(kuò)展性。隨著VLAN技術(shù)和三層交換技術(shù)的發(fā)展，必將把校園網(wǎng)的發(fā)展帶入一個(gè)新的階段。新的問(wèn)題也將隨之出現(xiàn)，這就需要我們更多的網(wǎng)絡(luò)研究和管理等人員投入更多的精力，使VLAN技術(shù)為我們的網(wǎng)絡(luò)建設(shè)和管理帶來(lái)更多的方便。

參考文獻(xiàn)：

[1] 孫建華.網(wǎng)絡(luò)互連技術(shù)教程[M].北京:人民郵電出版社，2005.

[2] 來(lái)賓.計(jì)算機(jī)網(wǎng)絡(luò)原理與應(yīng)用[M].北京:冶金工業(yè)出版社，2003.

[3] 吳功宜.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:清華大學(xué)出版社，2003.

陳凱（1982-）男，江西師范大學(xué)軟件工程專業(yè)本科畢業(yè)，獲工學(xué)學(xué)士，現(xiàn)任職江西建設(shè)職業(yè)技術(shù)學(xué)院信息系。