VLAN技術在校園網中的應用

劉紅艷

摘要虛擬局域網(VLAN)技術是目前網絡技木中的一項重要技術。又章王要介紹了VIAN技木原理、優點及其劃分，闡述了VLAN技術在管理維護校園網系統中所起的作用以及在校園網中用交換機配置VLAN的步驟，解決了校園網中存在的廠播風暴和安全性問題。

關鍵詞VLAN，網絡，交換機，校園網

中圖分類號TP3931文獻標志碼A文章編號：1006-8228(2012)01-14-02

0引言

在傳統的以太網絡上，所有的交換機的端口都在同一個廣播域里面，所以當一臺主機發出廣播時，其他的主機都可以收到這個廣播。隨著校園網絡規模不斷擴大，網絡上的主機越來越多，廣播也就越來越多，網絡的傳輸效率將會明顯下降甚至形成廣播風暴，引起網絡堵塞”。針對于此，引用了VLAN技術。

1VLAN技術原理

VLAN(Vtrtual LAN)，即虛擬LAN。VLAN技術將整個交換網絡分為多個廣播域，每一個VLAN是建立在一臺或多臺交換機上的一個廣播域，交換機按照橋接協議為每一個單獨的VLAN進行獨立的橋接工作，也就是說，每一個VLAN都像一臺獨立的網橋一樣在工作。被分配在一個VLAN里的主機通過交換機只能和本VLAN的主機通信。

2VIAN技術優點

2.1增加了網絡的連接靈活性

借助VLAN技術，能將不同地點、不同網絡、不同用戶組合在一起，形成一個虛擬的網絡環境，用戶就像使用本地LAN一樣方便、靈活、有效。VLAN可以大大降低移動或變更工作站地理位置的管理費用。

2.2增強了網絡安全性

在交換機上劃分VLAN以后，不同的VLAN之間將不能直接通信，VLAN間的通信必須通過路由器或三層交換機等三層設備。這在很大程度上確保了網絡的安全保密性。

2.3控制廣播風暴

由于不同的VLAN有著各自獨立的廣播域，而廣播只能在本地VLAN內進行，從而大大減少了廣播對網絡帶寬的占用，提高了帶寬傳輸效率，并可以有效地避免廣播風暴的產生。即使有—個VLAN產生了廣播風暴，也不會影響另外的VLAN。

3.VLAN的分類

VLAN的基本分組方法取決于VLAN的分組策略，而這些策略需要VLAN交換機上管理軟件的支持。目前，以交換式以太網為基礎實現VLAN技術主要有以下幾種方法。

3.1基于端口的VIAN

這種方法是直接在交換機上以命令的方式將交換機上的某一個端口歸屬于某一個VLAN。所以應用這種VLAN時，網絡管理員需要在交換機上一個端口一個端口地配置該端口屬于哪個VLAN。這種分組的優點是簡單、容易實現，缺點是不-夠靈活，當-+終端發生物理位置變化時要重新設置。例如，當有人員變動的時候，員工的計算機可能也要從—個辦公室搬到另外—個辦公室，連接到另外一臺交換機上，如果該交換機上連接這個新來的員工的端口不是他應該進入的VL#JN，就需要到那臺交換機上去手動地修改。

3.2基于MAC地址的VLAN

基于MAC地址的VLAN也叫動態VLAN，它是通過使用網管軟件分配主機的MAC地址的方式建立的。當一臺主機接入網絡時，它會詢問數據庫自己屬于哪個VLAN，而網絡管理軟件會根據主機的MAC地址將它分配到相應的VLAN里。

因此，在使用基于MAC地址的VLAN的交換網絡里，移動辦公的用戶可以把自己的筆記本電腦連接到任何一臺交換機上，而他所屬于的VLAN不變，網絡管理員也不用在任何交換機的端口上作任何改動。這種方式的優點是VLAN的配置方便靈活，允許網絡用戶從一個物理位置移動到另一個物理位置，并自動保留其所屬虛擬網段成員身份。缺點是網絡管理軟件價格比較昂貴，只有在大規模的網絡里才會使用，小規模的網絡還是使用基于端口的VLAN比較好。

3.3基于協議的VLAN

基于協議的VLAN是根據子網的不同劃分VLAN的，工作方式上類似動態VLAN，只不過是基于邏輯地址的。

由于在實施DHCP的網絡里使用該類VLAN有問題，所以基于協議的VLAN已經不再常用。

4VLAN配置在校園網中的應用

4.1網絡構建規劃

現結合某高校的校園網絡設備，介紹一下VLAN的配置。

由于校園網系統內的用戶相對比較固定，并沒有大量的移動，我們根據學校實際情況，確定使用基于端口的VLAN的分組方式。該校的校園網共有節點100多個，有辦公樓、教學樓、兩個機房，為了方便管理，校園網按一幢樓一個VLAN，—個機房一個VLAN的原則來劃分VLAN，所以總共有四個VLAN。中心交換機采用思科6500系列交換機，樓層交換機全部采用思科2950系列交換機，電信寬帶經硬件防火墻接入校園網，各樓層間的交換機經千兆光纖與中心交換機相連。VLAN按樓層交換機上直接端口劃分，對與中心交換機連接的光纖端口設置成主干線路，這樣在樓層交換機上可以同時定義多個VLAN，各VLAN之間的通訊通過在三層中心交換機上設置三層路由協議實現。

不同VLAN之間計算機的通訊，需要把兩臺交換機的級聯端口設置為Trunk端口。這樣，當交換機把數據包從級聯端口發出去的時候，會在數據包中做一個標記(TAG)，以使其它交換機識別該數據包屬于哪一個VLAN。其他交換機收到這樣一個數據包后，只會將該數據包轉發到標記中指定的VLAN，從而完成了跨越交換機的VLAN內部數據傳輸。

4.2交換機VLAN的配置過程

我們設定中心交換機名稱為A，分支交換機分別為PAl、PA2、PAB，分別通過Port l的光線模塊與中心交換機相連，并且假設VLAN名稱分別為發BGL、JXL、JFl

4.2.1設置VTP DOMAIN

交換VTP更新信息的所有交換機必須配置為相同的管理域。如果所有的交換機都以中繼線相連，那么只要在核心交換機上設置一個管理域，網絡上所有的交換機都加入該域，這樣管理域里所有的交換機就能夠了解彼此的VLAN列表。

A#vlan database進入VLAN配置模式

A(vlan)#vtp domain COM設置VTP管理域名稱COM

A(vlan)#vtp server設置交換機為服務器模式

PAl#vlan database進入VLAN配置模式

PAl(vlan)#vtp domain COM設置VTP管理域名稱COM

PAl(vlan)#vtp Chent設置交換機為客尸端模式

PA2#vlan database 進入VLAN配置模式

PA2(vlan)#vtp domain COM設置VTP管理域名稱COM

PA2(vlan)#vtp Client設置交換機力客戶端模式

4.2.2配置VLAN TTLLl3k端口

干道技術可以在一條物理線路上讓來自多個VLAN數據通過。為了達到這個目的，每一個通過干道傳輸的數據幀都要

標記上VLAN ID，以使接收這個數據幀的交換機知道這個數據幀是由屬于哪個VLAN的主機發送的。

在交換機上有兩種鏈路訪問鏈路(Access Link)和干道鏈路(Trunk Lmk)。訪問鏈路連接的是一般的屬于某個VLAN的終端，干道鏈路連接的是交換機。在中心交換機端配置如下A(conflg)#mtefface0/1 A(config-lf)#swdchport trunk encapsulation IsI指定封裝類型A(config-ff)#sw=tchport mode trunk配置士前端口力Trunk模式A(conflg)#mterface f0/2 A(config-ff)#swetchport trunk encapsulation lsI指定封裝類型A(conflg-ff)#swltchport mode trunk配置當前端口為Tmnk模式A(config)#mterface fo/3 A(config-lf)#swltchport trunk encapsulation IsI指定封裝類型A(config-ff)#swltchport mode trunk配置當前端口力Trunk模式在分支交換機瑞配置如下PAl(config)#mterface fo/241 PAl(config-ff)#swltchport mode trunk PA2(config)#mterface f0/24

4.2.3創建VIAN

在管理域中的任何一臺VTP屬性為Server的交換機上建立VLAN，它就會通過VTP通告整個管理域中的所有的交換機。這里的VLAN是在中心交換機上建立的。

A(vlan)VIan 10 name BGL創建了一個編號為10名字力BGL

的VLAN

A(vlan)#Vlan 20 name JXL創建了一個編號為20名字力JXL的

VLAN

A(vlan)#Vlan 30 name JFl創建了一個編號為30名字為JFl

的VLAN

4.2.4將交換機端口劃入VLAN

例如，要將PAl、PA2、PA3分支交換機的端口l劃入BGLVLAN，端口2劃入JXL VLAN，端口3劃入JFl VLAN

PAl fconfig)#mterface fastEthernet 0/1配置瑞口1

PAl(config-ff)#switchport access vlan 10歸屬BGL VLAN

PAl(config)#mterface fastEthernet O/2配置端口2

PAl(config-ff)#swltchport access vlan 20歸屬JXL VLAN

PAl(config)nterface fastEthernet 0/3配置端口3

PAl(config-if)#swltchpon access vlan 30歸屬JFl VLAN

PA2(config沖nterface fastEthemet 0/1配置端口1

PA2(config-ff)#swrtchpon access vlan 10歸屬BGL VLAN

PA2(config)nterface fastEthernet 0/2配置端口2

4.2.5配置三層交換

VLAN劃分完畢后，為了實現VLAN間的三層(網絡層)交換，就要給各VLAN分配網絡(IP)地址。給VLAN分配IP地址分兩種情況，其一，給VLAN所有的節點分配靜態IP地址，其二，給VLAN所有的節點分配動態IP地址。本文就靜態IP地址的分配為例作一介紹。

VLAN BGL分配的接口Ip地址為192168 1 1/24，網絡地址為

1921681 0

VLAN JXL分配的接口lp地址力19216821/24，網絡地址力

192168 2 0

VLAN JFl分配的接口Ip地址為192168.31/24，網絡地址為

192168 3 0

這種劃分完全滿足目前或將來的應用需要，同時還降低了管理工作量，增強了管理力度。

首先在中心交換機上分別設置各VLAN的接口IP地址。中心交換機將vlan做為一種接口對待。

A(config瑚nterface vlan 10

A(configlp address 192 188 1 1 255 255 255 0 VLANl0接

IP

A(config)#~nterface vlan 20

A(config-d)#=p address 192 168 2 1 255 255 255 0 VLAN20接

JP

再在各接入VLAN的計算機上設置與所屬VLAN的網絡地址—致的IP地址，并且把默認網關設置為該VLAN的接口地址。這樣，所有的VLAN也可以互訪了。

5結束語

VLAN技術的應用，使校園網各項功能得到了優化，大大提高了網絡用戶的工作效率，減少了網絡安全故障的發生。隨著校園網用戶數量的不斷增多，VLAN技術將會得到更加廣泛的應用和發展。