VLAN技術在中職校園網建設中的應用

吳顯衛

（廣東省輕工職業技術學校 廣東 廣州 510308）

VLAN技術在中職校園網建設中的應用

吳顯衛

（廣東省輕工職業技術學校 廣東 廣州 510308）

VLAN作為最常使用的局域網技術之一，已在中小型網絡設計中得到廣泛應用。校園網作為典型綜合網絡，VLAN技術的應用是必不可少的。充分考慮各種VLAN實現方式的特點，正確設計及配置VLAN是使整個校園網的性能、可管理性、安全性、擴充性得到充分提高的保證。

VLAN；中職；校園網建設；交換機；VTP

近幾年，隨著中職教育改革的深入，中職學校在招生規模及教學設備上投入的資金大幅提高。作為現代教育必不可少的教學環境，中職校園網絡的建設也在不斷更新發展，規模不斷擴大，網絡應用也不斷增多，網絡變得越來越擁擠，管理難度日益增大。同時，學校內部部門區域性管理也要求網絡本身的結構可以實現動態組建、調整和管理。為了有效提高網絡管理的靈活性，提高網絡效率和網絡安全性，充分合理地對校園網絡進行設計與配置是必須的。作為一種有效解決手段，VLAN在當前校園網網絡建設中得到了廣泛應用。此種技術是將校園網絡劃分為幾個不同的虛擬局域網（VLAN），通過這種方式強化網絡管理和網絡安全，控制不必要的數據廣播，從而使整個校園網的性能、可管理性、安全性、擴充性得到充分保證。下面結合中職學校網絡實際，探討如何在校園網建設中合理進行VLAN劃分及配置實現。

VLAN技術

VLAN（Virtual Local Area Network）又稱虛擬局域網，是建立在局域網交換機的基礎之上，采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個VLAN組成一個邏輯子網，即一個邏輯廣播域，它可以覆蓋多個網絡設備，允許處于不同地理位置的網絡用戶加入到一個邏輯子網中，在功能和操作上與傳統LAN基本相同，可以提供一定范圍內終端系統的互聯。通過VLAN，用戶能方便地在網絡中移動和快捷地組建寬帶網絡，而無需改變任何硬件和通信線路，能從邏輯上對用戶和網絡資源進行分配，而無需考慮物理連接方式。采用了VLAN的校園網與普通校園網相比具有以下特點：（1）提高了網絡的安全性。虛擬局域網創造虛擬邊界，它只能通過路由器跨越，因此需要時，基于路由器的標準安全措施可用于限制對每個虛擬局域網的訪問。（2）控制網絡廣播。在交換機上劃分VLAN，那么一個VLAN內的廣播將不會發送到其他VLAN，相應地提高了帶寬的利用率。（3）方便網絡管理。在整個局域網中，VLAN用戶如果移動位置，不需要重新布線和調試，只要在交換機上重新分配相應端口到該VLAN就可以了。

校園網交換模塊拓撲及設計

校園網主要由以下幾部分構成：交換模塊、廣域網接入模塊、遠程訪問模塊、服務器模塊。因VLAN技術主要應用在交換機層面上，屬于交換模塊設計內容，所以在這里以校園網交換模塊配置來說明VLAN技術應用，相應拓撲結構如圖1所示。

為簡化交換網絡設計、提高交換網絡的可擴展性，校園網交換模塊的部署是分層進行的，一般分為三層——接入層、匯聚層、核心層，因此數據交換設備也相應劃分為對應的三個層次。

VLAN劃分

在交換模塊設計時，VLAN的劃分是必不可少的步驟。VLAN劃分要確定VLAN分組、VLAN名稱、VLAN的IP地址網段、VLAN的交換機端口分配。

圖1 交換模塊拓撲結構圖

在劃分VLAN時，由于工作組將與一個VLAN對應，因此應首先確定與VLAN對應的工作組，從而確定應將網絡節點分成多少個工作組。工作組的劃分方法有：（1）根據人員所屬部門劃分。此劃分方法是按職能部門將整個校園網絡劃分為相應的IP子網，將各部門服務器劃分到相應的子網中。（2）根據人員等級劃分。此法根據網絡使用人員所承擔的責任大小來劃分VLAN組。這樣做的一個益處就是同級別的人可劃分在同一個VLAN組，便于給這個組賦予相同的網絡使用權利。（3）根據人員使用網絡的性質劃分。這樣劃分的益處是可使工作性質相同的人員使用相同資源，避免由于相互頻繁通信而導致整個網絡上出現廣播風暴的可能。（4）公共資源單獨成網。將公共服務資源（包括各種公共網絡服務、網絡打印機等）都劃分在同一個VLAN子網中，并賦予相應的本地VLAN訪問權限，從而實現全網的互聯互通和信息共享。當工作組劃分完成后，應分配好各VLAN工作組的IP地址段，基于端口的VLAN劃分還要為各VLAN組分配好交換機端口號。

基于端口、按職能部門劃分VLAN，VLAN劃分的部分情況可以表格形式給出，如表1所示。

表1 VLAN劃分示意表

VLAN配置實現

為減少核心層交換機受到各個VLAN的影響、避免全網癱瘓，VLAN的配置在交換模塊的接入層、匯聚層交換機實現。為便于說明配置過程，本文所涉及的交換機設備皆以Cisco公司24口網絡交換機設備為例，針對jrcS1二層交換機、hjcS1三層交換機進行配置。

交換機VLAN配置分為以下幾個步驟：（1）創建VLAN并配置默認網關IP地址。（2）將交換機端口劃入相應VLAN。（3）配置Trunk連接，實現VLAN跨交換機通信。（4）啟用三層路由功能。

當網絡中交換機數量很多時，需要分別在每臺交換機上創建很多重復的VLAN。工作量很大、過程很繁瑣，并容易出錯。為了簡化配置操作，在實際工作中常采用VLAN中繼協議（VLAN Trunking Protocol，VTP）來解決這個問題。VTP允許在一臺交換機上創建所有的VLAN，然后，利用交換機之間的相互學習功能，將創建好的VLAN定義傳播到整個網絡中需要此VLAN定義的所有交換機上，同時，有關VLAN的刪除、參數更改操作均可傳播到其他交換機，從而可大大減輕網絡管理人員配置交換機的負擔。以下配置將匯聚層的三層交換機hjcS1設置成VTP服務器，其他交換機設置成VTP客戶機。

1.交換機hjcS1簡要配置命令如下：

配置VTP管理域的域名為“sxq1”：

hjcS1（config）#vtp domain sqx1

配置交換機hjcS1為VTP服務器：

hjcS1（config）#vtp mode server

激活VTP剪裁功能，使交換機自動刪除沒定義的VLAN數據：

hjcS1（config）#vtp pruning

定義各VLAN并起名：

hjcS1（config）#vlan 10

hjcS1（config-vlan）#name JWK

hjcS1（config）#vlan 20

hjcS1（config-vlan）#name XSK

hjcS1（config）#vlan 30

hjcS1（config-vlan）#name CWK

hjcS1（config）#vlan 40

hjcS1（config-vlan）#name ZWK

配置Trunk：

hjcS1（config）#interface range fa0/23-24

hjcS1（config-if-range）#switchport mode trunk

啟用路由功能：

hjcS1（config）#ip routing

為各VLAN配置默認網關IP地址：

hjcS1（config-if）#interface vlan 10

hjcS1（config-if）#ip address 192.168.1.254 255.255.255.0

hjcS1（config-if）#interface vlan 20

hjcS1（config-if）#ip address 192.168.2.254 255.255.255.0

hjcS1（config-if）#interface vlan 30

hjcS1（config-if）#ip address 192.168.3.254 255.255.255.0

hjcS1（config-if）#interface vlan 40

hjcS1（config-if）#ip address 192.168.4.254 255.255.255.0

2.接入層二層交換機jrcS1簡要配置如下：

配置管理IP并激活：

jrcS1（config）#interface vlan 1

jrcS1（config-if）#ip address 192.168.1.1 255.255.255.0

jrcS1（config-if）#no shutdown

設置默認網關地址：

jrcS1（config）#ip default-gateway 192.168.0.254

設置交換機成為VTP客戶機：

jrcS1（config）#VTP mode client

將交換機1-10端口劃入VLAN10：

jrcS1（config）#interface range fa0/1-10

jrcS1（config-if-range）#switchport mode access

jrcS1（config-if-range）#switchport access vlan 10

將交換機11-20端口劃入VLAN20：

jrcS1（config）#interface range fa0/11-20

jrcS1（config-if-range）#switchport mode access

jrcS1（config-if-range）#switchport access vlan 20

配置23、24端口為Trunk端口：

jrcS1（config）#interface range fa0/23-24

jrcS1（config-if-range）#switchport mode trunk

通過以上在交換機的VLAN技術配置，在二層交換機jrcS1上可實現VLAN組之間的隔離。在匯聚層交換機hjcS1上啟用路由功能可實現VLAN組之間通信，但如要限制某些VLAN組能通訊，同時使某些VLAN組不能通訊時，可以應用訪問控制列表技術（ALC）進行控制實現。比如要求VLAN10、VLAN20間不能相互訪問，但他們都能訪問VLAN30這種情況，可以通過在匯聚層交換機hjcS1上建立ALC訪問策略，并將策略應用到相應的VLAN端口來實現VLAN間的靈活訪問控制，具體配置如下：

jrcS1 （config）#access-list101 permitip 192.168.1.0 0.0.0.255

192.168.3.0 0.0.255

jrcS1 （config）#access-list102 permitip 192.168.2.0 0.0.0.255

192.168.3.0 0.0.255

jrcS1（config）#int vlan 10

jrcS1（config-if）ip access-group 101 in

jrcS1（config）#int vlan 20

jrcS1（config-if）ip access-group 102 in

總之，VLAN技術充分體現了現代網絡技術的重要特征：高速、靈活、管理簡便和擴展容易，能有效解決校園網絡設計中的各類功能需求。網絡的虛擬化是未來網絡發展的潮流，VLAN的技術應用值得我們繼續探索與實踐。

[1]謝希仁.計算機網絡（第5版）[M].北京:電子工業出版社，2008.

[2]何文生.企業網搭建及應用[M].北京:電子工業出版社，2010.

[3]（美）Vito Amato.思科網絡技術學院教程[M].北京:人民郵電出版社，2000.

[4]甘剛.網絡設備配置與管理[M].北京:清華大學出版社，2007.

[5]汪雙項，韓立凡.中小型網絡構建與管理（第1冊）[M].北京:高等教育出版社，2006.

（本欄責任編輯：謝良才)

□有話職說

快樂是一個方向，不是一個地方。

—— 哈利斯

G712

A

1672-5727（2012）01-0172-02

吳顯衛（1975—），男，廣東陽江人，廣東省輕工職業技術學校講師，研究方向為中職專業教學模式及教學資源共享、經驗積累與分享應用。