ＶＬＡＮ技術(shù)在高校校園網(wǎng)中的應(yīng)用

摘 要： 本文簡述了VLAN的特點與分類，對VLAN在網(wǎng)絡(luò)管理中的優(yōu)勢進行了分析，并概述了VLAN的設(shè)計與實現(xiàn)，以及VLAN之間路由的配置實現(xiàn)。

關(guān)鍵詞： VLAN 校園網(wǎng) 網(wǎng)絡(luò)管理

1.VLAN的概述

1.1VLAN的特點

Virtual Local Area NetworkVLAN（虛擬局域網(wǎng)），在邏輯上等同于廣播域，網(wǎng)絡(luò)中的站點按網(wǎng)絡(luò)用戶的性質(zhì)和需要劃分成若干個“邏輯工作組”，每一個“邏輯工作組”就是一個VLAN。分隔廣播域的方式有物理分隔和邏輯分隔兩種，前者使用的是網(wǎng)橋和路由器技術(shù)，后者使用的就是VLAN技術(shù)。這兩種方式功能上完全相同，但是，與前者相比，VLAN技術(shù)擁有諸多優(yōu)點：

1.1.1工作組分隔的靈活性。組員可以處在不同的物理連接位置上，實現(xiàn)了動態(tài)的網(wǎng)絡(luò)組織結(jié)構(gòu)。

1.1.2組員變更的靈活性。變更組員工作組，無需從物理連接上重新布線，只需重新定義VLAN成員即可。

1.1.3有效控制網(wǎng)絡(luò)廣播。VLAN自動地形成廣播域，所有廣播都只能在本VLAN中進行，大大減少了廣播對網(wǎng)絡(luò)帶寬的占用，有效避免了廣播風(fēng)暴的產(chǎn)生。

1.1.4提供額外的安全性。VLAN之間不能直接相互訪問，能從物理上防止某些非授權(quán)用戶訪問敏感數(shù)據(jù)。

1.1.5網(wǎng)絡(luò)監(jiān)督和管理的智能化。網(wǎng)絡(luò)管理員通過網(wǎng)管軟件進行VLAN劃分，檢查VLAN間和VLAN內(nèi)通信數(shù)據(jù)包、應(yīng)用數(shù)據(jù)包的細目分類信息，對于確定路由系統(tǒng)和經(jīng)常被訪問的服務(wù)器的最佳配置十分有用。通過劃分VLAN，網(wǎng)絡(luò)管理變得更簡單、輕松、智能化。

1.2VLAN的分類

以建立VLAN的具體方式來劃分，大致有如下幾種：基于端口的VLAN、基于MAC地址的VLAN、基于第三層協(xié)議的VLAN、基于廣播地址的VLAN、基于策略的VLAN。本文僅對目前應(yīng)用較多的基于端口的VLAN技術(shù)予以簡要說明，這也是我院校園網(wǎng)目前正在使用的一種VLAN技術(shù)。

基于端口的VLAN技術(shù)是通過把同一個交換機的端口分成若干組，每組構(gòu)成一個虛擬網(wǎng)，也就是VLAN。該技術(shù)是目前最簡單、最有效的VLAN劃分方式，得到了所有廠家的支持。優(yōu)點是：使用時相當(dāng)安全，并且容易配置和維護。缺點是：需要對各端口的連接情況非常清楚，初始設(shè)置時工作量較大；當(dāng)某一用戶需要從一個端口所在的虛擬網(wǎng)移動到另一個端口所在的虛擬網(wǎng)時，網(wǎng)管人員需要重新進行設(shè)置，這對于移動用戶量大的網(wǎng)絡(luò)來說不太合適。

除了將同一個交換機的不同端口劃分到同一VLAN外，許多交換機還支持將同一端口劃分至多個VLAN。這種被設(shè)置到多個VLAN中的端口，稱為公共端口，主要用于連接服務(wù)器、網(wǎng)絡(luò)打印機等共享資源。第二代端口VLAN技術(shù)還允許跨交換機劃分VLAN，即將不同的交換機的端口劃分至同一VLAN，從而完全擺脫了物理位置的限制，給VLAN劃分帶來了更大的靈活性。

2.VLAN在網(wǎng)絡(luò)管理中的優(yōu)勢

VLAN是將一組位于不同物理網(wǎng)段上的用戶在邏輯上劃分成邏輯組，在功能上和操作上與傳統(tǒng)的LAN基本相同，但與后者相比具有以下優(yōu)勢：

2.1提高了性能

一個VLAN就是一個小的廣播域，同一個VLAN成員都在由所屬VLAN確定的廣播域內(nèi)，隔離了廣播，縮小了廣播范圍，可以控制廣播風(fēng)暴的產(chǎn)生。因此，廣播域的分段有利于提高網(wǎng)絡(luò)的整體性能。

2.2提高了管理效率

采用VLAN技術(shù)來管理網(wǎng)絡(luò)，可以根據(jù)部門職能、對象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護工作的負擔(dān)，降低了網(wǎng)絡(luò)維護費用，減少了站點移動和改變的代價。

2.3增強了網(wǎng)絡(luò)的安全性

將不同用戶群劃分在不同VLAN，不在同一VLAN的用戶要訪問VLAN中的主機就必須通過路由，再通過路由訪問列表和MAC地址分配等。VLAN可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。

3.VLAN的設(shè)計與實現(xiàn)

3.1設(shè)置VTP管理域

VTP（VLAN Trunk Protocol）協(xié)議主要用于多臺局域網(wǎng)交換機互聯(lián)情況下有效管理VLAN的配置。VTP Domain也叫VLAN的管理域，它由具有相同管理域名稱的交換機組成，每個交換機只能位于一個VTP域中。只要在核心交換機上設(shè)置一個管理域，網(wǎng)絡(luò)上所有的交換機都自動加入該域，這樣管理域里所有的交換機就能夠了解彼此的VLAN列表。

3.2創(chuàng)建VLAN

可以在管理域中的任何一臺VTP屬性為Server的交換機上建立VLAN，它就會通過VTP通告整個管理域中的所有的交換機。但是如果要將交換機的端口劃入某個VLAN，就必須在該端口所屬的交換機上進行設(shè)置。

3.3配置管道（Trunk）

應(yīng)用管道技術(shù)可以使得多個VLAN在一條鏈路上被復(fù)用。管道為端口屬于同一個VLAN的交換機之間提供VLAN間的連接。為了保證VLAN的完整性，必須應(yīng)用標(biāo)簽技術(shù)，Cisco采用兩種方法，其中ISL是Cisco的專有VLAN標(biāo)簽協(xié)議，而IEEE802.1Q則是國際標(biāo)準(zhǔn)。

4.VLAN之間路由的配置實現(xiàn)

由于VLAN相當(dāng)于子網(wǎng)（Subnet）的概念，所以不同VLAN之間的通信需要用到第三層的路由器。我們在交換機上采用路由交換模塊的方式來實現(xiàn)。VLAN間要實現(xiàn)三層（網(wǎng)絡(luò)層）交換，必須給各VLAN分配IP地址。給VLAN分配IP地址分兩種情況，其一，給VLAN所有的節(jié)點分配靜態(tài)IP地址；其二，給VLAN所有的節(jié)點分配動態(tài)IP地址。

VLAN配置完成，可以在三層交換模塊上用ping命令測試VLAN配置是否成功，再在各接入VLAN的計算機上設(shè)置與所屬VLAN的網(wǎng)絡(luò)地址一致的IP地址，并且把默認網(wǎng)關(guān)設(shè)置為該VLAN的接口地址。這樣，所有的VLAN就可以實現(xiàn)通信了。

5.結(jié)語

第三層交換技術(shù)是目前校園網(wǎng)建設(shè)的主流方案，并且在未來仍將是園區(qū)網(wǎng)應(yīng)用的首選方案，該方案具有良好的性價比和較好的可管理性。以第三層交換機作為校園網(wǎng)的核心交換機，通過配置合適的VLAN，可以靈活地管理校園網(wǎng)上的用戶和子網(wǎng)，并實現(xiàn)子網(wǎng)間第三層協(xié)議的線速路由。在我校校園網(wǎng)絡(luò)VLAN的規(guī)劃與實施中，我們根據(jù)校園網(wǎng)絡(luò)的結(jié)構(gòu)與應(yīng)用，結(jié)合三層交換機的特點，保證了校園網(wǎng)的靈活性、可管理性及性能。

參考文獻：

［1］徐超汗.計算機網(wǎng)絡(luò)及其解決方案［M］.北京：電子工業(yè)出版社，1999.

［2］Karen Webb.組建CISCO分層交換網(wǎng)絡(luò)［M］.北京：人民郵電出版社，2000.

［3］Louis R S.CISCO Catalyst局域網(wǎng)交換技術(shù)［M］.北京：機械工業(yè)出版社，2000.

［4］張國祥.校園網(wǎng)VLAN的研究與實現(xiàn)［J］.湖北師范學(xué)院學(xué)報（自然科學(xué)版），2004.