基于VLAN技術的校園網(wǎng)應用管理

◆馬 煜

基于VLAN技術的校園網(wǎng)應用管理

◆馬 煜

（陜西中醫(yī)藥大學信息化建設管理處 陜西 712046）

校園網(wǎng)已經(jīng)成為高校教學、科研、辦公等工作的重要工具，針對校園網(wǎng)的結構特點，網(wǎng)絡安全與用戶管理是校園網(wǎng)絡部門的工作重點，本文闡釋了基于VLAN技術規(guī)劃與實現(xiàn)校園網(wǎng)的管理可以極大提高網(wǎng)絡運行的靈活性與安全性。

校園網(wǎng)；VLAN技術；網(wǎng)絡安全

0 前言

計算機網(wǎng)絡已經(jīng)逐步影響著現(xiàn)代人的生活方式，而校園網(wǎng)的建設是高?？蒲?、教學、人才培養(yǎng)的穩(wěn)固支柱。為了完善網(wǎng)絡穩(wěn)定性與提供新的服務，在長期的校園網(wǎng)絡改造升級中網(wǎng)絡連接設備越來越多，加上用戶網(wǎng)絡行為的多樣性，使得網(wǎng)絡結構愈發(fā)復雜，從而導致校園網(wǎng)內(nèi)部安全性降低。因此，如何使用VLAN技術構造一種針對校園網(wǎng)絡特點的安全管理體系，對于有效提升網(wǎng)絡運行安全并極大提高工作效率起到關鍵作用。

1 校園網(wǎng)結構特點

隨著校園網(wǎng)絡基礎設施不斷完善，在網(wǎng)絡傳輸、網(wǎng)絡承載等方面有了極大提高，從而基于校園網(wǎng)的業(yè)務數(shù)量增多，教務、人事、財務等管理系統(tǒng)的正常運行也是依靠校園網(wǎng)絡穩(wěn)定保障。正因為校園網(wǎng)絡結構如此復雜，同時連接用戶基數(shù)龐大，出現(xiàn)網(wǎng)絡故障的定位工作也變得復雜多樣。

網(wǎng)絡安全問題不容忽視，如果連接在校園網(wǎng)中的某個用戶受木馬、病毒侵入，有可能蔓延至全網(wǎng)用戶的上網(wǎng)設備，嚴重影響了整個校園網(wǎng)的安全。此外，由于教學、生活需要，校園網(wǎng)全面覆蓋教學、辦公、生活區(qū)域，所以網(wǎng)絡內(nèi)部環(huán)境管理相對寬松，這也為校園網(wǎng)內(nèi)部用戶可能造成的不良行為留下了安全隱患。校園網(wǎng)絡安全高效地運行是高校辦公教學、獲取信息的重要保障，采取一定的網(wǎng)絡安全技術來管理校園網(wǎng)內(nèi)用戶的網(wǎng)絡行為也成為了迫在眉睫的任務。

2 VLAN技術

VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種利用工作組來邏輯劃分局域網(wǎng)的技術，核心是網(wǎng)絡分段[1]。在VLAN中的用戶無法直接聯(lián)系，需要通過交換機互相通信，根據(jù)安全策略可以將網(wǎng)絡分段及隔離，從技術上實現(xiàn)相互訪問控制，這樣可以設置用戶訪問權限以便增強內(nèi)部管理。目前VLAN技術可以分為基于端口的VLAN劃分、基于MAC地址的VLAN劃分、基于路由的VLAN劃分以及基于策略的VLAN劃分[2]。其中基于端口的VLAN劃分是最為方便有效的VLAN劃分方法，管理員只需要對以太網(wǎng)交換機所有端口進行定義，就可將不同地理位置的交換機端口上的不同網(wǎng)段設置在一個VLAN中。另外一種基于MAC地址的VLAN劃分也是較為常用的方法，通過以太網(wǎng)交換機將添加過某VLAN的接入設備MAC地址進行保存并跟蹤，若該接入設備在新物理地址登錄，只要MAC地址不變就不用再次配置。

在具體的工作中，VLAN可以把廣播域控制在本VLAN內(nèi)部，只有在相同VLAN的內(nèi)部設備才能接收到廣播，因廣播占用資源過多造成癱瘓形成的廣播風暴會影響正常網(wǎng)絡使用，而VLAN技術通過網(wǎng)絡分段縮小了廣播的廣播域，一個VLAN中發(fā)生的風暴不會對其他VLAN造成影響，有效地降低了廣播風暴對全網(wǎng)的影響；其次，利用VLAN技術將相互通信較頻繁的用戶劃分在同一個VLAN中，這些通信傳輸只在該VLAN下廣播，因此可以減少廣播包被截獲而引起信息泄露的可能性，從而增加了網(wǎng)絡安全；此外，VLAN技術的應用大大增加了網(wǎng)絡連接的靈活性，它能將不同物理位置的不同網(wǎng)段用戶劃分在一個VLAN中，形成的虛擬局域網(wǎng)避免了組建局域網(wǎng)的資源浪費。

3 VLAN在校園網(wǎng)中的應用

3.1 校園網(wǎng)VLAN應用分析

為保障校園網(wǎng)通信的安全性，通過對校園各區(qū)域以太網(wǎng)交換機物理端口的VLAN劃分，將教學樓區(qū)、行政辦公區(qū)、學生公寓區(qū)、教職工家屬區(qū)的網(wǎng)絡從邏輯上劃分到各自的VLAN中，由于不同VLAN間的用戶不能直接通信，大大降低了因廣播風暴造成網(wǎng)絡癱瘓的可能。

教務處、人事處、科技處等部門擁有不對外公開的管理系統(tǒng)，在設置VLAN時需要獨立劃分，杜絕內(nèi)網(wǎng)的其他用戶非法訪問，可以有效地保證重要數(shù)據(jù)的安全。對于安全性要求高的財務部門需要設置防火墻或者關閉所處網(wǎng)段網(wǎng)關，使工作站與服務器處于封閉運行狀態(tài)。一些需要跨VLAN訪問的管理部門，在支持三層網(wǎng)絡的交換機上配置相應的訪問控制列表，可以有效控制來源地是某個IP段的用戶進入目的VLAN，通過功能上的技術支持可以保障各個部門在使用本組內(nèi)資源的同時，又可以安全地跨VLAN訪問目的主機。

3.2 校園網(wǎng)VLAN實現(xiàn)

陜中醫(yī)在校園物理網(wǎng)絡建設中在主干上采用兩臺H3C萬兆交換機作為核心交換機，通過連接實現(xiàn)兩臺并行、邏輯統(tǒng)一的管理方式，在校園各主要區(qū)域配置多臺二層交換機作為匯聚層交換機，具體到用戶接入設備時采用多臺交換機作為接入交換機，通過星狀拓撲構建一個三層全交換的網(wǎng)絡結構。

利用VLAN技術將各層交換機的端口劃分，通過802.1Q協(xié)議實現(xiàn)了跨交換機的全交換方式，這樣可以方便地實現(xiàn)全校范圍的跨區(qū)域VLAN相結合，能夠滿足各類型的網(wǎng)絡需要。通過H3C核心交換機的高性能路由功能，采用訪問列表技術可以有效地設置內(nèi)部各VLAN的互相訪問，從而控制了不同VLAN間的訪問范圍與用戶權限。

4 結束語

VLAN技術目前被廣泛應用在校園網(wǎng)絡管理中，能夠為用戶網(wǎng)絡行為管理、網(wǎng)絡安全防護、接入設備維護等日常工作提供可靠保障，尤其在網(wǎng)絡工作組的劃分突破了地理位置的限制，實現(xiàn)了管理功能劃分[3]。校園網(wǎng)絡的規(guī)模不斷擴大，通過網(wǎng)絡管理部門合理進行VLAN劃分，保障了網(wǎng)絡運行的穩(wěn)定性與有效性，極大地提高了高?；谛@網(wǎng)的各項教學、科研、辦公等工作的順利進行。

[1]李維峰.基于VLAN技術的局域網(wǎng)絡建設[J].計算機與網(wǎng)絡，2014.

[2]盛劍.VLAN技術在校園網(wǎng)建設中的應用[J].電子技術與軟件工程，2014.

[3]楚書來，劉若華.VLAN技術在校園網(wǎng)建設中的應用研究[J].電腦知識與技術，2011.