淺談VLAN技術(shù)在中職學(xué)校網(wǎng)絡(luò)建設(shè)中的有效應(yīng)用

摘要：隨著社會(huì)科學(xué)時(shí)代的發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)越來越能夠?qū)ΜF(xiàn)代社會(huì)生活產(chǎn)生影響，目前在各中職學(xué)校內(nèi)部已經(jīng)建立起了局域網(wǎng)。學(xué)校網(wǎng)絡(luò)作為典型綜合網(wǎng)絡(luò)，VLAN技術(shù)的應(yīng)用是必不可少的。我們應(yīng)充分考慮各種VLAN實(shí)現(xiàn)方式的特點(diǎn)，正確設(shè)計(jì)和配置VLAN可使整個(gè)網(wǎng)絡(luò)的可管理性和安全性得到充分的提高。本文將通過對VLAN技術(shù)的簡單描述，以華為交換機(jī)為模型，結(jié)合中職學(xué)校實(shí)際情況來簡單述敘。

關(guān)鍵詞：VLAN；學(xué)校網(wǎng)絡(luò)；交換機(jī)

中圖分類號：TP393.18 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號：1007-9599（2012）24-0064-02

近年來，中職教育改革發(fā)展深入，隨著中職學(xué)校的規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)的應(yīng)用量也越來越多，網(wǎng)絡(luò)擁堵已經(jīng)不再是新鮮的話題，管理也更加難以控制，為了有效的解決這個(gè)問題，現(xiàn)在絕大部分中職學(xué)校的校園網(wǎng)采用VLAN技術(shù)，VLAN技術(shù)使得計(jì)算機(jī)網(wǎng)絡(luò)在硬件方面的成本急劇降低，但計(jì)算機(jī)性能卻得到了飛速提升及發(fā)展。學(xué)校目前在網(wǎng)絡(luò)上的技術(shù)已經(jīng)能夠達(dá)到千兆技術(shù)，并且進(jìn)一步強(qiáng)化了網(wǎng)絡(luò)管理安全。那么到底什么是VLAN，它在學(xué)校網(wǎng)絡(luò)中又是如何進(jìn)行有效應(yīng)用的？我們將從以下幾個(gè)方面進(jìn)行分析。

1 虛擬局域網(wǎng)

虛擬局域網(wǎng)，又稱作VLAN是Virtual Local Area Network的簡稱，是目前我國引入的一種新型邏輯網(wǎng)絡(luò)軟件，該網(wǎng)絡(luò)管理軟件可以在交換局域網(wǎng)的基礎(chǔ)上，能夠跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中，其作用是能夠讓同一VLAN的成員可以連通，而不同的則是相互隔離；若是不同的VLAN的成員需要通信，就必須通過路由設(shè)備進(jìn)行連接通信。

VLAN技術(shù)根據(jù)在交換機(jī)上實(shí)現(xiàn)的方法不同大致可分為四類：

（1）基于端口的VLAN，該劃分是最直接有效的劃分方式，按照局域網(wǎng)交換機(jī)端口的不同，定義VLAN成員，從邏輯上劃分開來，把終端形同劃分為不同部分，各個(gè)部分相對獨(dú)立，就功能上而言，相當(dāng)于重新建立了一個(gè)傳統(tǒng)的局域網(wǎng)。不同VLAN端口之間進(jìn)行通訊需要通過三層協(xié)議，采用這種方式，在工作過程中，可把一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行遷移時(shí)，用戶則必須對端口重新設(shè)置，并配合MAC地址的端口過濾，可防止非法入侵和保護(hù)IP地址。

（2）基于MAC地址的VLAN，按照終端系統(tǒng)的MAC地址定義VLAN，MAC所指的是網(wǎng)卡標(biāo)識(shí)符，每塊網(wǎng)卡都有一個(gè)唯一的地址。通過這種方式，可以實(shí)現(xiàn)從工作站移動(dòng)到其他網(wǎng)絡(luò)的任意物理網(wǎng)段，并自動(dòng)保持原有的VLAN資格。這種方法比較適用于小規(guī)模網(wǎng)絡(luò)使用。但由于這種方法在初始化時(shí)，需要對局域網(wǎng)內(nèi)的所有設(shè)備進(jìn)行配置，而現(xiàn)在中職學(xué)校網(wǎng)絡(luò)建設(shè)中的用戶多達(dá)幾百個(gè)，在進(jìn)行配置工作時(shí)，就會(huì)顯得非常的繁瑣，再者由于需要對MAC地址進(jìn)行跟蹤，而使得交換機(jī)的執(zhí)行效率不高。

（3）基于協(xié)議的VLAN是按照網(wǎng)絡(luò)層協(xié)議來進(jìn)行劃分，可分為IP、IPX、Decant、Banyan等VLAN網(wǎng)絡(luò)。這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的協(xié)議類型劃分的。這種方法的優(yōu)點(diǎn)是用戶的物理位置改變了，不需要重新配置所屬的VLAN，這種VLAN劃分在實(shí)際中應(yīng)用非常少。因?yàn)槟壳爸新殞W(xué)校網(wǎng)絡(luò)絕大都數(shù)都是IP協(xié)議的主機(jī)，其他協(xié)議的主機(jī)組件被IP協(xié)議主機(jī)代替，所以它很難將廣播域劃分得更小。

（4）基于子網(wǎng)的VLAN劃分方法是根據(jù)網(wǎng)絡(luò)主機(jī)使用的IP地址所在的網(wǎng)絡(luò)子網(wǎng)劃分廣播域的，一旦離開該VLAN，原IP地址將不能再用，從而防止了非法用戶通過修改IP地址來越權(quán)使用資源。這種方法管理配置靈活，但為了判斷用戶屬性，必須檢查每一個(gè)數(shù)據(jù)包的網(wǎng)絡(luò)層地址，這將耗費(fèi)交換機(jī)的不少資源。

2 學(xué)校網(wǎng)絡(luò)建設(shè)特性

目前在一般中職學(xué)校中，網(wǎng)絡(luò)具有用戶多、業(yè)務(wù)部門繁雜、通信量大、通信種類多樣化的特點(diǎn)，以上特點(diǎn)并不利于學(xué)校內(nèi)部IP地址的分配，如果將這些IP地址全部集中到一個(gè)路由端口上，可能會(huì)因?yàn)樽泳W(wǎng)信息廣播風(fēng)暴影響整個(gè)學(xué)校網(wǎng)絡(luò)的運(yùn)行效率。對于將校園網(wǎng)絡(luò)管理的靈活性有效地提高，讓網(wǎng)絡(luò)更有效率和安全的問題，充分合理的設(shè)計(jì)與配置學(xué)校網(wǎng)絡(luò)是十分有效的。

VLAN技術(shù)可將學(xué)校網(wǎng)絡(luò)劃分為幾個(gè)不同的虛擬局域網(wǎng)（VLAN），首先是采用網(wǎng)絡(luò)管理軟件構(gòu)件的可跨越不同網(wǎng)段不同網(wǎng)絡(luò)的端口邏輯網(wǎng)。用戶在網(wǎng)絡(luò)中可以快捷的組建寬帶網(wǎng)絡(luò)，并進(jìn)行移動(dòng)，無須通過改變其他的硬件和線路來完成。在網(wǎng)絡(luò)上，可從邏輯上對網(wǎng)絡(luò)資源進(jìn)行分配，無須考慮改變物理連接方式?；赩LAN的網(wǎng)絡(luò)相對于其他普通網(wǎng)絡(luò)有以下幾個(gè)優(yōu)點(diǎn)：（1）網(wǎng)絡(luò)分段靈活，小組通信一般只在虛擬的子網(wǎng)中傳遞，使得整個(gè)網(wǎng)絡(luò)的工作效率不會(huì)因?yàn)檫^量通信而使之降低；（2）管理簡單，他不再需要在布線室中調(diào)整節(jié)點(diǎn)的增加與移動(dòng)，所有的變化都能通過管理控制臺(tái)快捷的處理；（3）性能提高，限制網(wǎng)絡(luò)節(jié)點(diǎn)對節(jié)點(diǎn)通信和廣播通信，可以有效的節(jié)約虛擬網(wǎng)絡(luò)的帶寬，降低了成本，提高性能；（4）充分利用服務(wù)器資源，一臺(tái)服務(wù)器可以通過支持虛擬子網(wǎng)的適配器，成為多個(gè)虛擬子網(wǎng)的成員，這將大大的減少服務(wù)器路由通信的需求；（5）網(wǎng)絡(luò)安全性好，虛擬子網(wǎng)通過創(chuàng)建虛擬邊界只通過路由器跨越來實(shí)現(xiàn)訪問，而基于路由器的標(biāo)準(zhǔn)安全措施可以限制所有對虛擬子網(wǎng)的訪問。由此可見，學(xué)校網(wǎng)絡(luò)建設(shè)中VLAN技術(shù)的使用是不可缺少的。

3 VLAN技術(shù)在學(xué)校網(wǎng)絡(luò)建設(shè)中的有效應(yīng)用

3.1 增強(qiáng)網(wǎng)絡(luò)的安全性

麻雀雖小五臟俱全，中職學(xué)校規(guī)模不大，但處室一個(gè)不少，往往是混在一起的，這樣就很容易造成數(shù)據(jù)的泄漏。在不使用VLAN技術(shù)的情況下，使用獨(dú)立的兩個(gè)交換機(jī)連接兩個(gè)網(wǎng)絡(luò)是十分浪費(fèi)的。而VLAN技術(shù)的引入就很好的解決了這個(gè)問題。使用時(shí)，只需要在一臺(tái)交換機(jī)上劃分2個(gè)VLAN成員，這樣，不同的VLAN成員之間又不能直接通信，通信流量也會(huì)在VLAN中被控制，即使是要VLAN之間相互通信也必須通過三層路由器或者其他設(shè)備。所以，只要在路由器上設(shè)置訪問控制，就可以我有效地提高網(wǎng)絡(luò)的安全性了。

現(xiàn)在以華為S3026為例，某學(xué)校內(nèi)的一幢樓內(nèi)有多個(gè)部門，例如有兩個(gè)實(shí)訓(xùn)部，一個(gè)是汽修實(shí)訓(xùn)部，下設(shè)汽修實(shí)訓(xùn)中心（管理教學(xué)）、汽修學(xué)生科（管理德育），另一個(gè)是輕紡實(shí)訓(xùn)部，下設(shè)輕紡實(shí)訓(xùn)中心（管理教學(xué)）、輕紡學(xué)生科（管理德育），為了實(shí)現(xiàn)同一實(shí)訓(xùn)部能互通，不同實(shí)訓(xùn)部之間不能互通這一目的，設(shè)計(jì)方案如下：

VLAN的分配：

VLAN號IP地址段默認(rèn)網(wǎng)關(guān)交換機(jī)端口號說明

VLAN1192.168.1.0/24192.168.1.254SWA SWBE0/1-10 E0/1-10汽修部

VLAN2192.168.2.0/24192.168.2.254SWA SWBE0/11-20 E0/11-20輕紡部

進(jìn)入配置模式設(shè)置VLAN：

SwitchA

[SwitchA]vlan 1

[SwitchA-vlan1]port e0/1 to e0/10

[SwitchA-vlan1]vlan 2

[SwitchA-vlan2]port e0/11 to e0/20

SwitchB

[SwitchB]vlan 1

[SwitchB-vlan1]port e0/1 to e0/10

[SwitchB-vlan1]vlan 2

[SwitchB-vlan2]port e0/11 to e0/20

配置接口：

[SwitchA]interface e0/24

[SwitchA-Ethernet0/24]port link-type trunk

[SwitchA-Ethernet0/24]port trunk permit valn all

[SwitchB]interface e0/24

[SwitchB-Ethernet0/24]port link-type trunk

[SwitchB-Ethernet0/24]port trunk permit vlan all

設(shè)置主機(jī)IP地址：

PCA login： root

password： linux

[root@PCA root]#ifconfig eth0 192.168.1.1 netmask 255.255.255.0

3.2 提高網(wǎng)絡(luò)的可管理性

現(xiàn)今，絕大部分中職學(xué)校受辦學(xué)條件、辦學(xué)規(guī)模等因素的影響，經(jīng)常需要對用戶進(jìn)行重新網(wǎng)絡(luò)分配，這就大大地增加了網(wǎng)絡(luò)管理員的工作量，其不僅要重新進(jìn)行網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)的調(diào)整，有時(shí)甚至要增加網(wǎng)絡(luò)設(shè)備。現(xiàn)在VLAN的技術(shù)產(chǎn)生后，重新布線和調(diào)試的工作，都可以在交換機(jī)上通過重新分配相應(yīng)端口到VLAN上得以實(shí)現(xiàn)。降低了網(wǎng)絡(luò)維護(hù)費(fèi)用，減少了站點(diǎn)移動(dòng)和改變的代價(jià)。其次，廣播域是VLAN在電腦上進(jìn)行的廣播連接的邏輯區(qū)域，它在網(wǎng)絡(luò)中起著至關(guān)重要的作用，但隨著網(wǎng)絡(luò)中計(jì)算機(jī)數(shù)量的增加，廣播包的數(shù)量也在急劇增長，網(wǎng)絡(luò)的傳輸效率也在明顯的下降，嚴(yán)重的會(huì)造成整個(gè)網(wǎng)絡(luò)信息癱瘓。在采用VLAN技術(shù)后，由于每一個(gè)VLAN都是一個(gè)獨(dú)立的廣播域，在網(wǎng)絡(luò)故障時(shí)，VLAN技術(shù)能夠在很大程度上減少網(wǎng)絡(luò)寬帶的占用，提高了寬帶傳輸效率，可有效的避免網(wǎng)絡(luò)廣播風(fēng)暴的產(chǎn)生及其產(chǎn)生的不良影響。由此可見，VLAN技術(shù)不僅可以減輕網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，還可以提高網(wǎng)絡(luò)的安全性和可管理性。

例如某一中職學(xué)校內(nèi)有不同專業(yè)的多個(gè)教學(xué)樓，若使用傳統(tǒng)方式，將通過物理端口劃分，建立各棟樓之間相互獨(dú)立的局域網(wǎng)，也就是說邏輯地址必須與物理地址相對應(yīng)，這也就限制了各個(gè)樓之間相關(guān)端口計(jì)算機(jī)的聯(lián)系，而只能通過進(jìn)入該專業(yè)大樓的局域網(wǎng)中才得以聯(lián)系。而大樓的局域網(wǎng)本就需要發(fā)送和接受大量的學(xué)生信息數(shù)據(jù)及相應(yīng)的校內(nèi)通知，在這個(gè)過程中往往就回導(dǎo)致局域網(wǎng)產(chǎn)生網(wǎng)絡(luò)廣播風(fēng)暴，甚至是是信息丟失等不安全的情況發(fā)生。而現(xiàn)在，在各個(gè)專業(yè)大樓的交換機(jī)上建立一個(gè)以IP規(guī)則定義的VLAN，將各樓的計(jì)算機(jī)直接將這些物理地址不一致的邏輯地址，通過跨交換機(jī)的VLAN劃分，便如統(tǒng)一業(yè)務(wù)部門所在的“邏輯工作組”，形成了一個(gè)新的，以一個(gè)邏輯地址為基礎(chǔ)的VLAN中。如若產(chǎn)生了像端口位置偏移的情況，其邏輯地址仍屬于原有的業(yè)務(wù)部門，而不再需要更改VLAN的配置，網(wǎng)絡(luò)會(huì)自動(dòng)保持其緣由的VLAN資格；若想要新調(diào)入一個(gè)端口計(jì)算機(jī)，也只是需要更改一下VLAN的配置即可，而不用像以前一樣，改動(dòng)物理位置；同時(shí)又避免了，因信息限制而造成的信息擴(kuò)散到其他部門的安全隱患。

總而言之，VLAN技術(shù)在中職學(xué)校中的網(wǎng)絡(luò)應(yīng)用使學(xué)校網(wǎng)絡(luò)更加安全快速，保證了各個(gè)部門之間不同的需求以及信息管理的安全，并且大大的提高了網(wǎng)絡(luò)管理員的工作效率，而且網(wǎng)絡(luò)虛擬化也逐漸走向了潮流的大舞臺(tái)之中，VLAN技術(shù)的發(fā)展也會(huì)更加的被人所關(guān)注，我們應(yīng)該繼續(xù)努力的探索和實(shí)踐。

參考文獻(xiàn)：

[1]《華為3COM網(wǎng)絡(luò)學(xué)院教材》，華為3COM技術(shù)有限公司，2010.

[2]《計(jì)算機(jī)網(wǎng)絡(luò)》，電子工業(yè)出版社，2008.