基于三層交換的校園局域網(wǎng)

隨著現(xiàn)代化教育的快速發(fā)展，校園網(wǎng)絡(luò)建設(shè)的規(guī)模和功能也愈發(fā)擴(kuò)大，這就需要校園網(wǎng)需要具備足夠的數(shù)據(jù)吞吐量并承載更多的低時延多媒體數(shù)據(jù)流。當(dāng)前主流的校園網(wǎng)建設(shè)方式普遍采用兩層網(wǎng)絡(luò)交換技術(shù)，雖然從網(wǎng)絡(luò)的吞吐量上看可以基本滿足要求，但卻無法承載越來越多的低時延多媒體數(shù)據(jù)流。因此如何處理跨IP網(wǎng)絡(luò)的數(shù)據(jù)流就成為問題的核心。本文提出了以三層交換技術(shù)作為核心對于校園網(wǎng)進(jìn)行升級，結(jié)合VLAN技術(shù)進(jìn)行網(wǎng)絡(luò)資源管理方式的改進(jìn)，提高校園網(wǎng)的管理水平，并專門就安全性策略進(jìn)行深入分析，最大程度保證校園網(wǎng)絡(luò)架構(gòu)的可靠性和穩(wěn)定性。

一、當(dāng)前校園網(wǎng)存在的主要問題

近年來，隨著網(wǎng)絡(luò)在校園教學(xué)活動中的普及，木馬病毒泛濫、盜用IP地址、惡意攻擊校園網(wǎng)主頁等現(xiàn)象屢屢頻發(fā)，嚴(yán)重時甚至影響到正常的教學(xué)活動。目前很多學(xué)校使用的校園網(wǎng)采用傳統(tǒng)的不同網(wǎng)段之間的IP轉(zhuǎn)發(fā)依賴傳統(tǒng)路由器來實(shí)現(xiàn)的兩層交換技術(shù)。當(dāng)不同網(wǎng)段間的通信量增長到一定程度時，就會由于路由器的負(fù)載過重導(dǎo)致整個網(wǎng)絡(luò)的通信效率大大降低。這樣的問題如果長期得不到妥善解決，就會使得網(wǎng)絡(luò)使用環(huán)境陷入惡性循環(huán)，最終導(dǎo)致整個網(wǎng)絡(luò)的癱瘓。

二、虛擬局域網(wǎng)（VLAN）和第三層交換

（一） 虛擬局域網(wǎng)(VLAN)

虛擬局域網(wǎng)簡稱（VLAN），是指按照一定的原則將網(wǎng)絡(luò)資源或用戶劃分為多個邏輯上的局域網(wǎng)，每個邏輯局域網(wǎng)形成各自獨(dú)立的廣播域。

VLAN工作在數(shù)據(jù)鏈路層，不同VLAN中的終端相互獨(dú)立，即使物理連在一臺交換機(jī)上，不同邏輯局域網(wǎng)之間也不會有任何通信。通過路由訪問列表和MAC地址分配原則將一個較大物理局域網(wǎng)劃分為若干功能獨(dú)立的規(guī)模較小的邏輯局域網(wǎng)，并且根據(jù)情況分別對各VLAN定義不同級別的安全策略和管理方式，進(jìn)而控制用戶訪問權(quán)限，從而有效避免因網(wǎng)絡(luò)路由器的負(fù)擔(dān)過重造成網(wǎng)絡(luò)癱瘓的現(xiàn)象。通常根據(jù)應(yīng)用不同可將虛擬局域網(wǎng)劃分為基于MAC地址的虛擬局域網(wǎng)、基于端口的虛擬局域網(wǎng)和基于IP地址的虛擬局域網(wǎng)三種類型。

（二） 第三層交換技術(shù)

第三層交換技術(shù)是相對于傳統(tǒng)兩層交換概念而提出的新的交換網(wǎng)絡(luò)信息交互方式，其工作原理是改變傳統(tǒng)路由器數(shù)據(jù)包轉(zhuǎn)發(fā)的技術(shù)，即對大量有規(guī)律的數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)通過硬件高速實(shí)現(xiàn);而一些必要的路由器管理功能，則借助于路由軟件實(shí)現(xiàn)，這樣在一定程度上減輕路由器的承載負(fù)擔(dān)，從而大大提高路由器的性能。使用三層交換技術(shù)可以解決局域網(wǎng)中各個網(wǎng)段之間通信必須信賴路由器進(jìn)行管理的問題，將傳統(tǒng)的二層交換技術(shù)與新技術(shù)完美結(jié)合，通過ASIC技術(shù)達(dá)到高速交換，大幅度提高設(shè)備數(shù)據(jù)的包轉(zhuǎn)發(fā)能力，消除轉(zhuǎn)發(fā)瓶頸。

三、基于三層交換的校園網(wǎng)

基于三層交換的校園網(wǎng)構(gòu)建規(guī)劃的主要內(nèi)容是將第三層交換機(jī)作為校園網(wǎng)核心交換機(jī)，從而取代傳統(tǒng)路由器對于不同網(wǎng)段通信進(jìn)行路由的工作。首先對于二級交換機(jī)和核心交換機(jī)之間直接相連的端口配置進(jìn)行標(biāo)記(Tag)封裝，這樣就可以將整個校園的計(jì)算機(jī)終端設(shè)備在屏蔽交換機(jī)的狀況下進(jìn)行網(wǎng)段劃分。另外在進(jìn)行VLAN設(shè)計(jì)時，盡可能地將工作性質(zhì)相同或相近的終端節(jié)點(diǎn)劃分在同一VLAN網(wǎng)段內(nèi)，目的是將通信盡可能在同一VLAN內(nèi)部，減少跨網(wǎng)段信息交互。在完成VLAN的劃分之后，接下來需要在核心交換機(jī)上配置各VLAN之間通信的路由。通過給各個VLAN配置各自的網(wǎng)關(guān)，就可以在交換機(jī)上創(chuàng)建靜態(tài)路由表，也可以通過核心交換機(jī)支持的RIP和OSPF等標(biāo)準(zhǔn)的路由協(xié)議來配置動態(tài)路由。

基于三層交換的校園網(wǎng)從技術(shù)上根本解決了傳統(tǒng)二層交換網(wǎng)絡(luò)存在的瓶頸問題，但是還需要有完善的安全管理機(jī)制來保證正常的運(yùn)行管理。一般可以通過通過配置交換機(jī)的訪問策略來實(shí)現(xiàn)。定義網(wǎng)管工作站的網(wǎng)絡(luò)地址為可信賴主機(jī)地址，屏蔽其它地址的主機(jī)非法訪問?；谌龑咏粨Q的VLAN技術(shù)目前已成為解決校園網(wǎng)問題的策略，具有較好的可管理性和比較低的成本，是校園網(wǎng)設(shè)置的首選方案。