VLAN項目教學設(shè)計與實現(xiàn)

寇晨艷

（福建衛(wèi)生職業(yè)技術(shù)學院，福建 福州 350101）

VLAN項目教學設(shè)計與實現(xiàn)

寇晨艷

（福建衛(wèi)生職業(yè)技術(shù)學院，福建 福州 350101）

VLAN技術(shù)作為現(xiàn)代網(wǎng)絡(luò)組建中的常用技術(shù)，是計算機網(wǎng)絡(luò)課程的重要內(nèi)容。為了讓學生更好地掌握VLAN技術(shù)，本文設(shè)計了一套由淺入深、結(jié)合實際需要的VLAN項目進行教學。實踐證明該項目教學取得了良好的效果。

VLAN技術(shù)；校園網(wǎng)

1 前言

傳統(tǒng)以共享介質(zhì)為核心的以太網(wǎng)，所有的用戶都在同一個廣播域中，當一臺主機發(fā)出廣播時，其他的主機都可以收到這個廣播。這種情況下網(wǎng)絡(luò)內(nèi)部的計算機安全必然得不到保障；同時由于廣播會引起網(wǎng)絡(luò)性能下降、帶寬浪費等問題，因此，隨著網(wǎng)絡(luò)規(guī)模的不斷擴展，需要找到新的解決方法——VLAN技術(shù)。

2 VLAN技術(shù)基礎(chǔ)

2.1 VLAN概念

VLAN（Virtual Local Area Network）虛擬局域網(wǎng)是一種通過將局域網(wǎng)的設(shè)備邏輯地而不是物理地劃分為一個個網(wǎng)段。這些物理網(wǎng)絡(luò)上劃分出來的邏輯網(wǎng)絡(luò)，能實現(xiàn)物理網(wǎng)段隔離廣播的功能。通過VLAN技術(shù)可以控制網(wǎng)絡(luò)的廣播風暴，確保網(wǎng)絡(luò)的安全。

2.2 VLAN分類

VLAN技術(shù)在交換機上的實現(xiàn)主要有以下幾種方法：（1）基于端口劃分。這種方法是直接在交換機上以命令的方式將交換機上的某一個端口歸屬于某一個VLAN。這是一個最常用的方法。（2）基于MAC地址劃分。這種方法是根據(jù)每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置其屬于哪個組，實現(xiàn)的機制就是每一塊網(wǎng)卡都對應(yīng)唯一的MAC地址，VLAN交換機跟蹤VLAN的MAC地址。這種方法適應(yīng)于小型局域網(wǎng)。（3）按網(wǎng)絡(luò)協(xié)議劃分。VLAN按網(wǎng)絡(luò)層協(xié)議來劃分，可分為IP、IPX、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)。

3 VLAN項目驅(qū)動設(shè)計

本項目以校園網(wǎng)背景為例，設(shè)計了三個由易到難、層層相扣、逐一遞進的案例，讓學生了解和掌握VLAN相關(guān)知識；并根據(jù)具體的需求進行網(wǎng)絡(luò)設(shè)計與配置，讓學生在實踐中發(fā)現(xiàn)問題解決問題，更加有針對性和可操作性。

3.1 單交換機VLAN劃分

任務(wù)描述：校園網(wǎng)絡(luò)中財務(wù)處和教務(wù)處兩個部門共享一臺交換機辦公，為避免辦公網(wǎng)中兩個部門之間的工作干擾，以及保護財務(wù)處信息資源安全的需要，需要把兩個部門的計算機分隔開，形成兩個互不連通、互相不干擾的安全網(wǎng)絡(luò)。

知識準備：采用基于端口的劃分方法在交換機上進行VLAN劃分，隔離不同辦公部門計算機。

步驟1：組網(wǎng)

如圖1所示的網(wǎng)絡(luò)規(guī)劃拓撲，組建財務(wù)處和教務(wù)處共享交換機辦公網(wǎng)絡(luò)場景。使用PC1模擬財務(wù)處計算機，PC2模擬教務(wù)處計算機。

圖1 單交換機VLAN劃分拓撲圖

步驟2：環(huán)境測試

（1）規(guī)劃財務(wù)處和教務(wù)處計算機IP地址，辦公網(wǎng)中地址規(guī)劃如表1所示：

表1 財務(wù)處和教務(wù)處計算機IP地址規(guī)劃

（2）使用PING命令測試PC1和PC2計算機的連通情況，保證網(wǎng)絡(luò)聯(lián)通。

步驟3：配置交換機VLAN信息

步驟4：VLAN技術(shù)測試

使用PING命令測試計算機PC1和PC2的連通情況。

由于在交換機上實施了VLAN技術(shù)，原來互相連通的網(wǎng)絡(luò)出現(xiàn)了隔離，實現(xiàn)了連接在同一臺交換機上的財務(wù)處和教務(wù)處計算機之間的相互隔離，保證了部門網(wǎng)絡(luò)的安全。

3.2 跨交換機VLAN劃分

任務(wù)描述：校園網(wǎng)中由于教務(wù)處人員眾多，部分教務(wù)處的計算機與財務(wù)處的計算機連接在同一臺交換機上，為了部門內(nèi)信息安全，在交換機上進行配置，實現(xiàn)了兩個部門計算機的隔離。但同時還需要實現(xiàn)整個教務(wù)處計算機之間的相互通信。

知識準備：當同一個VLAN中所有計算機都位于同一臺交換機時，計算機之間通信十分簡單，與未劃分VLAN一樣，從一個端口發(fā)出的數(shù)據(jù)幀，直接轉(zhuǎn)發(fā)到同一VLAN內(nèi)。由于VLAN的劃分通常按照邏輯功能而非物理位置進行，位于同一VLAN中的成員設(shè)備，跨越任意物理位置的多個交換機情況更為常見，在沒有任何技術(shù)支持的情況下，一臺交換機上的VLAN信號，無法跨越交換機傳遞到另一臺交換機的同一VLAN成員中。因此為了實現(xiàn)整個教務(wù)處計算機之間的相互通信，需要采用主干鏈路Trunk技術(shù)，將兩臺交換機連接起來。

步驟1：組網(wǎng)

如圖2所示的網(wǎng)絡(luò)規(guī)劃拓撲，組建財務(wù)處和教務(wù)處辦公網(wǎng)絡(luò)場景。使用PC2模擬財務(wù)處計算機，PC1、PC3模擬教務(wù)處兩臺計算機，連接在兩臺互相連接的交換機上。

圖2 跨交換機VLAN劃分拓撲圖

步驟2：環(huán)境測試

(1)規(guī)劃財務(wù)處和教務(wù)處計算機IP，辦公網(wǎng)中規(guī)劃地址如表2所示：

表2 財務(wù)處和教務(wù)處計算機IP地址規(guī)劃

(2)分別使用PING命令測試PC1、PC2和PC3之間的連通情況。

交換機連接的所有計算機默認情況下屬于同一網(wǎng)絡(luò)，因此PC1、PC2和PC3之間能相互通信。如有未連通情況，及時排除網(wǎng)絡(luò)故障。

步驟3：配置交換機VLAN信息

（1）在交換機SW1上創(chuàng)建VLAN10、VLAN20，并將端口5劃分到VLAN 10，端口10劃分到VLAN 20。

（2）在交換機SW2上創(chuàng)建VLAN10，并將端口F0/5劃分到VLAN 10中。

（3）配置交換機Trunk技術(shù)，將SW1和SW2相連端口定義為Trunk模式

SW1(config)#interface f0/24 //將SW1上端口24設(shè)置為Trunk口

SW2(config)#interface f0/24 //將SW2上端口24設(shè)置為Trunk口

步驟4：交換機Trunk技術(shù)驗證測試

使用PING命令測試PC1、PC2和PC3之間的連通情況

（1）PC1和PC2之間不能相互通信。由于交換機上實施了VLAN技術(shù)，原來互相連通的網(wǎng)絡(luò)實現(xiàn)了隔離。實現(xiàn)了連接在同一臺交換機上的財務(wù)處和教務(wù)處計算機相互隔離的需求。

（2）PC1和PC3之間能夠相互通信。由于跨交換機上實施了VLAN中Trunk技術(shù)，使原來由于跨交換機，互相不連通的教務(wù)處計算機實現(xiàn)了連通。

3.3 三層交換機實現(xiàn)不同VLAN通信

任務(wù)描述：校園網(wǎng)中由于教務(wù)處人員眾多，部分員工的計算機不得不連接在財務(wù)處交換機端口上。由于兩個部門共享一臺交換機辦公，為避免辦公網(wǎng)中兩個部門之間的工作干擾，保護財務(wù)處信息的安全性，需要把兩個部門的計算機分隔開，形成兩個互不連通、互不干擾的獨立網(wǎng)絡(luò)?，F(xiàn)在希望使用三層交換機的SVI技術(shù)，實現(xiàn)兩個不同VLAN間的連通，確保部門之間的安全通信。

知識準備：每個VLAN都是獨立的廣播域，所以在默認情況下，不同VLAN中的計算機之間無法通信，需要通過三層設(shè)備對數(shù)據(jù)進行路由轉(zhuǎn)發(fā)才可以實現(xiàn)。三層交換機本質(zhì)上就是“帶路由功能的二層交換機”。因此通過在三層交換機上為各VLAN配置SVI接口，可以實現(xiàn)VLAN間的安全通信。

步驟1：組網(wǎng)

如圖3所示的網(wǎng)絡(luò)規(guī)劃拓撲，組建財務(wù)處和教務(wù)處辦公網(wǎng)絡(luò)場景。使用PC1模擬財務(wù)處計算機，PC2模擬教務(wù)處兩臺計算機。

步驟2：IP地址規(guī)劃，如表3所示：

圖3 三層交換機SVI實現(xiàn)不同VLAN連通

表3 辦公網(wǎng)內(nèi)部IP規(guī)劃

步驟3：配置交換機

（1）在二層交換機S2126上創(chuàng)建VLAN，并交換機上聯(lián)口F0/24端口設(shè)置為Trunk口

（2）在三層交換機S3550上開啟路由功能，并配置SVI及 Trunk口

步驟4：網(wǎng)絡(luò)連通測試

通過三層交換機SVI技術(shù)，實現(xiàn)不同部門VLAN之間的連通。PC1和PC2可以相互通信。

4 結(jié)束語

VLAN技術(shù)作為現(xiàn)代網(wǎng)絡(luò)組建中的常用技術(shù)，是計算機網(wǎng)絡(luò)課程教學的重要內(nèi)容。本文采用循序漸進的方式設(shè)計了一系列VLAN技術(shù)相關(guān)的案例，并使用真實設(shè)備讓學生自己動手組建網(wǎng)絡(luò)，在整個過程中積極思考并排查故障，實踐證明該項目教學取得了良好的效果。 參考文獻：

[1]汪雙頂，張選波．局域網(wǎng)構(gòu)建與管理項目教程[M]．北京：機械工業(yè)出版社，2013．

The Design and Implementation of the teaching of VLAN project

Kou Chenyan
(Fujian Health College,Fuzhou 350101,Fujian)

VLAN technology is a basic technology in current network construction,which is also an important content in the network course.In order to make students better master the VLAN technology,this article designs a suit of VLAN project which is from shallow to deep,and combined with the practice.Results show that the teaching of this project achieves good results.

VLAN technology;campus network

TP393.1-4

A

1008-6609(2016)08-0079-03

寇晨艷，女，福建福州人，碩士，講師，研究方向：計算機網(wǎng)絡(luò)。