VLAN技術(shù)在校園網(wǎng)中的應(yīng)用

劉紅艷

摘要虛擬局域網(wǎng)(VLAN)技術(shù)是目前網(wǎng)絡(luò)技木中的一項重要技術(shù)。又章王要介紹了VIAN技木原理、優(yōu)點及其劃分，闡述了VLAN技術(shù)在管理維護校園網(wǎng)系統(tǒng)中所起的作用以及在校園網(wǎng)中用交換機配置VLAN的步驟，解決了校園網(wǎng)中存在的廠播風(fēng)暴和安全性問題。

關(guān)鍵詞VLAN，網(wǎng)絡(luò)，交換機，校園網(wǎng)

中圖分類號TP3931文獻標志碼A文章編號：1006-8228(2012)01-14-02

0引言

在傳統(tǒng)的以太網(wǎng)絡(luò)上，所有的交換機的端口都在同一個廣播域里面，所以當一臺主機發(fā)出廣播時，其他的主機都可以收到這個廣播。隨著校園網(wǎng)絡(luò)規(guī)模不斷擴大，網(wǎng)絡(luò)上的主機越來越多，廣播也就越來越多，網(wǎng)絡(luò)的傳輸效率將會明顯下降甚至形成廣播風(fēng)暴，引起網(wǎng)絡(luò)堵塞”。針對于此，引用了VLAN技術(shù)。

1VLAN技術(shù)原理

VLAN(Vtrtual LAN)，即虛擬LAN。VLAN技術(shù)將整個交換網(wǎng)絡(luò)分為多個廣播域，每一個VLAN是建立在一臺或多臺交換機上的一個廣播域，交換機按照橋接協(xié)議為每一個單獨的VLAN進行獨立的橋接工作，也就是說，每一個VLAN都像一臺獨立的網(wǎng)橋一樣在工作。被分配在一個VLAN里的主機通過交換機只能和本VLAN的主機通信。

2VIAN技術(shù)優(yōu)點

2.1增加了網(wǎng)絡(luò)的連接靈活性

借助VLAN技術(shù)，能將不同地點、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡(luò)環(huán)境，用戶就像使用本地LAN一樣方便、靈活、有效。VLAN可以大大降低移動或變更工作站地理位置的管理費用。

2.2增強了網(wǎng)絡(luò)安全性

在交換機上劃分VLAN以后，不同的VLAN之間將不能直接通信，VLAN間的通信必須通過路由器或三層交換機等三層設(shè)備。這在很大程度上確保了網(wǎng)絡(luò)的安全保密性。

2.3控制廣播風(fēng)暴

由于不同的VLAN有著各自獨立的廣播域，而廣播只能在本地VLAN內(nèi)進行，從而大大減少了廣播對網(wǎng)絡(luò)帶寬的占用，提高了帶寬傳輸效率，并可以有效地避免廣播風(fēng)暴的產(chǎn)生。即使有—個VLAN產(chǎn)生了廣播風(fēng)暴，也不會影響另外的VLAN。

3.VLAN的分類

VLAN的基本分組方法取決于VLAN的分組策略，而這些策略需要VLAN交換機上管理軟件的支持。目前，以交換式以太網(wǎng)為基礎(chǔ)實現(xiàn)VLAN技術(shù)主要有以下幾種方法。

3.1基于端口的VIAN

這種方法是直接在交換機上以命令的方式將交換機上的某一個端口歸屬于某一個VLAN。所以應(yīng)用這種VLAN時，網(wǎng)絡(luò)管理員需要在交換機上一個端口一個端口地配置該端口屬于哪個VLAN。這種分組的優(yōu)點是簡單、容易實現(xiàn)，缺點是不-夠靈活，當-+終端發(fā)生物理位置變化時要重新設(shè)置。例如，當有人員變動的時候，員工的計算機可能也要從—個辦公室搬到另外—個辦公室，連接到另外一臺交換機上，如果該交換機上連接這個新來的員工的端口不是他應(yīng)該進入的VL#JN，就需要到那臺交換機上去手動地修改。

3.2基于MAC地址的VLAN

基于MAC地址的VLAN也叫動態(tài)VLAN，它是通過使用網(wǎng)管軟件分配主機的MAC地址的方式建立的。當一臺主機接入網(wǎng)絡(luò)時，它會詢問數(shù)據(jù)庫自己屬于哪個VLAN，而網(wǎng)絡(luò)管理軟件會根據(jù)主機的MAC地址將它分配到相應(yīng)的VLAN里。

因此，在使用基于MAC地址的VLAN的交換網(wǎng)絡(luò)里，移動辦公的用戶可以把自己的筆記本電腦連接到任何一臺交換機上，而他所屬于的VLAN不變，網(wǎng)絡(luò)管理員也不用在任何交換機的端口上作任何改動。這種方式的優(yōu)點是VLAN的配置方便靈活，允許網(wǎng)絡(luò)用戶從一個物理位置移動到另一個物理位置，并自動保留其所屬虛擬網(wǎng)段成員身份。缺點是網(wǎng)絡(luò)管理軟件價格比較昂貴，只有在大規(guī)模的網(wǎng)絡(luò)里才會使用，小規(guī)模的網(wǎng)絡(luò)還是使用基于端口的VLAN比較好。

3.3基于協(xié)議的VLAN

基于協(xié)議的VLAN是根據(jù)子網(wǎng)的不同劃分VLAN的，工作方式上類似動態(tài)VLAN，只不過是基于邏輯地址的。

由于在實施DHCP的網(wǎng)絡(luò)里使用該類VLAN有問題，所以基于協(xié)議的VLAN已經(jīng)不再常用。

4VLAN配置在校園網(wǎng)中的應(yīng)用

4.1網(wǎng)絡(luò)構(gòu)建規(guī)劃

現(xiàn)結(jié)合某高校的校園網(wǎng)絡(luò)設(shè)備，介紹一下VLAN的配置。

由于校園網(wǎng)系統(tǒng)內(nèi)的用戶相對比較固定，并沒有大量的移動，我們根據(jù)學(xué)校實際情況，確定使用基于端口的VLAN的分組方式。該校的校園網(wǎng)共有節(jié)點100多個，有辦公樓、教學(xué)樓、兩個機房，為了方便管理，校園網(wǎng)按一幢樓一個VLAN，—個機房一個VLAN的原則來劃分VLAN，所以總共有四個VLAN。中心交換機采用思科6500系列交換機，樓層交換機全部采用思科2950系列交換機，電信寬帶經(jīng)硬件防火墻接入校園網(wǎng)，各樓層間的交換機經(jīng)千兆光纖與中心交換機相連。VLAN按樓層交換機上直接端口劃分，對與中心交換機連接的光纖端口設(shè)置成主干線路，這樣在樓層交換機上可以同時定義多個VLAN，各VLAN之間的通訊通過在三層中心交換機上設(shè)置三層路由協(xié)議實現(xiàn)。

不同VLAN之間計算機的通訊，需要把兩臺交換機的級聯(lián)端口設(shè)置為Trunk端口。這樣，當交換機把數(shù)據(jù)包從級聯(lián)端口發(fā)出去的時候，會在數(shù)據(jù)包中做一個標記(TAG)，以使其它交換機識別該數(shù)據(jù)包屬于哪一個VLAN。其他交換機收到這樣一個數(shù)據(jù)包后，只會將該數(shù)據(jù)包轉(zhuǎn)發(fā)到標記中指定的VLAN，從而完成了跨越交換機的VLAN內(nèi)部數(shù)據(jù)傳輸。

4.2交換機VLAN的配置過程

我們設(shè)定中心交換機名稱為A，分支交換機分別為PAl、PA2、PAB，分別通過Port l的光線模塊與中心交換機相連，并且假設(shè)VLAN名稱分別為發(fā)BGL、JXL、JFl

4.2.1設(shè)置VTP DOMAIN

交換VTP更新信息的所有交換機必須配置為相同的管理域。如果所有的交換機都以中繼線相連，那么只要在核心交換機上設(shè)置一個管理域，網(wǎng)絡(luò)上所有的交換機都加入該域，這樣管理域里所有的交換機就能夠了解彼此的VLAN列表。

A#vlan database進入VLAN配置模式

A(vlan)#vtp domain COM設(shè)置VTP管理域名稱COM

A(vlan)#vtp server設(shè)置交換機為服務(wù)器模式

PAl#vlan database進入VLAN配置模式

PAl(vlan)#vtp domain COM設(shè)置VTP管理域名稱COM

PAl(vlan)#vtp Chent設(shè)置交換機為客尸端模式

PA2#vlan database 進入VLAN配置模式

PA2(vlan)#vtp domain COM設(shè)置VTP管理域名稱COM

PA2(vlan)#vtp Client設(shè)置交換機力客戶端模式

4.2.2配置VLAN TTLLl3k端口

干道技術(shù)可以在一條物理線路上讓來自多個VLAN數(shù)據(jù)通過。為了達到這個目的，每一個通過干道傳輸?shù)臄?shù)據(jù)幀都要

標記上VLAN ID，以使接收這個數(shù)據(jù)幀的交換機知道這個數(shù)據(jù)幀是由屬于哪個VLAN的主機發(fā)送的。

在交換機上有兩種鏈路訪問鏈路(Access Link)和干道鏈路(Trunk Lmk)。訪問鏈路連接的是一般的屬于某個VLAN的終端，干道鏈路連接的是交換機。在中心交換機端配置如下A(conflg)#mtefface0/1 A(config-lf)#swdchport trunk encapsulation IsI指定封裝類型A(config-ff)#sw=tchport mode trunk配置士前端口力Trunk模式A(conflg)#mterface f0/2 A(config-ff)#swetchport trunk encapsulation lsI指定封裝類型A(conflg-ff)#swltchport mode trunk配置當前端口為Tmnk模式A(config)#mterface fo/3 A(config-lf)#swltchport trunk encapsulation IsI指定封裝類型A(config-ff)#swltchport mode trunk配置當前端口力Trunk模式在分支交換機瑞配置如下PAl(config)#mterface fo/241 PAl(config-ff)#swltchport mode trunk PA2(config)#mterface f0/24

4.2.3創(chuàng)建VIAN

在管理域中的任何一臺VTP屬性為Server的交換機上建立VLAN，它就會通過VTP通告整個管理域中的所有的交換機。這里的VLAN是在中心交換機上建立的。

A(vlan)VIan 10 name BGL創(chuàng)建了一個編號為10名字力BGL

的VLAN

A(vlan)#Vlan 20 name JXL創(chuàng)建了一個編號為20名字力JXL的

VLAN

A(vlan)#Vlan 30 name JFl創(chuàng)建了一個編號為30名字為JFl

的VLAN

4.2.4將交換機端口劃入VLAN

例如，要將PAl、PA2、PA3分支交換機的端口l劃入BGLVLAN，端口2劃入JXL VLAN，端口3劃入JFl VLAN

PAl fconfig)#mterface fastEthernet 0/1配置瑞口1

PAl(config-ff)#switchport access vlan 10歸屬BGL VLAN

PAl(config)#mterface fastEthernet O/2配置端口2

PAl(config-ff)#swltchport access vlan 20歸屬JXL VLAN

PAl(config)nterface fastEthernet 0/3配置端口3

PAl(config-if)#swltchpon access vlan 30歸屬JFl VLAN

PA2(config沖nterface fastEthemet 0/1配置端口1

PA2(config-ff)#swrtchpon access vlan 10歸屬BGL VLAN

PA2(config)nterface fastEthernet 0/2配置端口2

4.2.5配置三層交換

VLAN劃分完畢后，為了實現(xiàn)VLAN間的三層(網(wǎng)絡(luò)層)交換，就要給各VLAN分配網(wǎng)絡(luò)(IP)地址。給VLAN分配IP地址分兩種情況，其一，給VLAN所有的節(jié)點分配靜態(tài)IP地址，其二，給VLAN所有的節(jié)點分配動態(tài)IP地址。本文就靜態(tài)IP地址的分配為例作一介紹。

VLAN BGL分配的接口Ip地址為192168 1 1/24，網(wǎng)絡(luò)地址為

1921681 0

VLAN JXL分配的接口lp地址力19216821/24，網(wǎng)絡(luò)地址力

192168 2 0

VLAN JFl分配的接口Ip地址為192168.31/24，網(wǎng)絡(luò)地址為

192168 3 0

這種劃分完全滿足目前或?qū)淼膽?yīng)用需要，同時還降低了管理工作量，增強了管理力度。

首先在中心交換機上分別設(shè)置各VLAN的接口IP地址。中心交換機將vlan做為一種接口對待。

A(config瑚nterface vlan 10

A(configlp address 192 188 1 1 255 255 255 0 VLANl0接

IP

A(config)#~nterface vlan 20

A(config-d)#=p address 192 168 2 1 255 255 255 0 VLAN20接

JP

再在各接入VLAN的計算機上設(shè)置與所屬VLAN的網(wǎng)絡(luò)地址—致的IP地址，并且把默認網(wǎng)關(guān)設(shè)置為該VLAN的接口地址。這樣，所有的VLAN也可以互訪了。

5結(jié)束語

VLAN技術(shù)的應(yīng)用，使校園網(wǎng)各項功能得到了優(yōu)化，大大提高了網(wǎng)絡(luò)用戶的工作效率，減少了網(wǎng)絡(luò)安全故障的發(fā)生。隨著校園網(wǎng)用戶數(shù)量的不斷增多，VLAN技術(shù)將會得到更加廣泛的應(yīng)用和發(fā)展。