校園網中三層交換和VLAN技術的應用

摘 要 校園網設計使用虛擬局域網（VLAN）的功能，可以保證全網的良好性能及網絡安全性。VLAN間的路由，用三層交換機來代替路由器，可以加快局域網內部的數據交換，做到一次路由，多次轉發。使用虛擬局域網（VLAN）技術和三層交換技術能較好的滿足校園網的需求。

關鍵詞 三層交換技術 虛擬局域網技術 QoS

中圖分類號：F 224 文獻標識碼：A

一、引言

在校園網的建設中引入虛擬局域網（VLAN）技術可以大大減輕網絡管理員的工作負擔，使地理位置復雜的計算機設備的互聯和管理不再受地理環境和位置的制約，使網絡結構變得靈活、方便，同時又能使網絡資源得到充分的利用。處于同一個局域網中的各個子網的互聯以及局域網中VLAN間的路由，用三層交換機來代替路由器，而只有局域網與公網互聯之間要實現跨地域的網絡訪問時，才通過專業路由器。

二、三層交換技術

（一）三層交換技術的概念。

在局域網中，為了提高網絡安全性和通信效率必須劃分VLAN，而不同VLAN間的通信只有通過路由設備才能實現。如果使用傳統路由器作為VLAN間的路由設備，將由于其吞吐量太小而很難適應大規模、高速率網絡傳輸的需要，這無疑將成為快速以太網或千兆以太網網絡傳輸的瓶頸。于是，專門用于解決VLAN間通信的、集第三層轉發與第二層交換于一身的第三層交換技術產生了。第三層交換技術實際上是使用了集成電路的路由器，但比傳統的路由器提供了更高的速度和更低的成本，也比傳統的路由器更易于管理。

（二）三層交換技術的原理。

傳統的交換技術是在OSI網絡模型中的第二層即數據鏈路層進行操作的，而三層交換技術是在網絡模型中的第三層實現了數據包的高速轉發。應用第三層交換技術即可實現網絡路由的功能，三層交換機就是具有路由功能的交換機，三層交換機的最重要目的是加快大型局域網內部的數據交換，所具有的路由功能也是為這目的服務的，能夠做到一次路由，多次轉發。

三、虛擬局域網技術

（一）虛擬局域網技術的概念。

虛擬局域網（VLAN）技術是通過路由和交換設備，在網絡物理拓撲的基礎上建立一個邏輯網絡。每個VLAN都構成一個獨立的廣播域，處于同一VLAN中的網絡用戶可以不受地理位置的限制互相交換信息。

VLAN必須在交換網絡中實現，每個交換設備均可根據網絡管理人員所定義的VLAN劃分方法對報文進行過濾和轉發，并能將這種劃分信息傳遞到網絡中其他交換設備和路由器中。LAN交換設備在VLAN的劃分及實現低延遲的報文轉發方面起著重要的作用。

在網絡層對網絡進行互聯的路由器，能夠在網絡層對網絡進行隔離，并抑制廣播數據。而VLAN則是一種不采用路由器對廣播數據進行抑制的解決方案。在VLAN中，對廣播數據的抑制由交換機完成。

（二）虛擬局域網技術的功能。

采用VLAN技術后，可使網絡管理開銷大為減少、可以抑制廣播數據的泛濫、提高網絡的安全性。

1、提高管理效率。當網絡中站點出現了移動、增加和移出時，網絡管理員可以十分方便的對VLAN進行重組。

2、抑制廣播數據。VLAN可以有效的抑制廣播數據，某個VLAN中的廣播數據只是被復制到其成員所連接的端口。這實際上是為在交換型網絡中建立起同路由器功能類似的防火墻提供了一種有效的手段。在VLAN中，大部分數據都是通過交換機轉發的，只有VLAN間的數據才需經過路由器轉發，可有效地提高VLAN中大部分數據的傳輸速度。

3、增強網絡安全性。將整個網絡劃分成若干互相獨立的廣播組是一種有效的增強網絡安全性的方法。可以限制某個VLAN中的用戶數量，可以禁止那些沒有得到許可的用戶加入到某個VLAN中。

4、實現虛擬工作組。在整個校園網絡環境下實現VLAN后，同一個部門的所有成員將可以像處于同一個LAN上那樣進行通信。當某人從一個場地遷移到另一個場地時，只要其工作部門不變，就用不著對其機器進行重新配置。

（三）劃分VLAN的方法。

按交換機端口進行劃分。這是最常用，也最簡單和有效的方法。其缺點是，當用戶從一個端口移至另一個端口時，必須對VLAN成員重新配置。

1、按MAC地址劃分。由網管人員指定屬于同一個VLAN中的各用戶站的MAC地址。其優點是：由于MAC地址是固化在網卡中的，當用戶站移至其他位置后，其仍將屬于原VLAN，這樣定義的VLAN可以看成是基于用戶的VLAN。其缺點是：在大型網絡中初始配置工作量很大。

2、按第三層協議劃分。當按網絡層地址劃分VLAN時，要將子網地址映射到VLAN，交換機則根據子網地址將各機器的MAC地址同VLAN聯系起來。其優點是：根據第三層協議劃分VLAN，當用戶的機器移動位置后，不必重新配置網絡地址。其缺點是：對報文中的網絡地址進行檢查比對幀中MAC地址檢查所需要的開銷大，使交換設備轉發速率下降。

3、基于策略的VLAN。允許網絡管理員使用前述的任何一種劃分VLAN的方法，也可以把不同方法組合成一種新的策略來劃分VLAN，當一個策略被指定到一個交換機時，該策略就可以在整個網絡上應用。

四、校園網中三層交換和VLAN技術的應用

在構建校園網時，如果采用分層設計，網絡更容易管理和擴展，排除故障也更迅速。分層網絡設計的每層提供特定的功能，這些功能界定了該層在整個網絡中扮演的角色。典型的分層設計模型可分為三層：接入層、匯聚層和核心層。

接入層負責連接終端設備，其主要目的是將設備連接到網絡并控制允許網絡上的哪些設備進行通信。匯聚層先匯聚接入層交換機發送的數據，再將其傳輸到核心層，最后發送到最終目的地。匯聚層控制網絡的通信流并實現VLAN之間的路由。核心層是網絡的高速主干，是匯聚層設備之間互聯的關鍵，匯聚所有匯聚層設備發送的流量，因此核心層需要保持高可用性、高冗余性，并且能夠快速轉發大量的數據。

（一）核心層設計。

核心層是網絡的高速主干，需要轉發龐大的流量。核心層交換機需要支持鏈路聚合功能，以確保為匯聚層交換機發送到核心層交換機的流量提供足夠的帶寬。核心層的可用性也很關鍵，應盡可能提供較多的冗余，冗余功能在硬件出現故障時的收斂速度更快。核心層交換機應該提供QoS服務，在核心層和網絡層邊緣，任務關鍵型和時間敏感型流量應優先獲得更高的 QoS 保證。

（二）匯聚層設計。

匯聚層交換機收集所有接入層交換機發來的數據并將其轉發到核心層交換機。VLAN 間路由通常在匯聚層交換機上執行。匯聚層交換機可以分擔核心層交換機處理龐大流量轉發的工作壓力。由于 VLAN 間路由在匯聚層執行，該層的交換機需要支持第 3 層功能。匯聚層交換機還需要支持 QoS 來維護來自實施了 QoS 的接入層交換機的流量優先級。優先級策略確保有足夠的帶寬保證語音和視頻通信使之保持可接受的服務質量。匯聚層交換機支持冗余功能，為確保可用性，匯聚層交換機通常成對使用。匯聚層交換機需要支持鏈路聚合功能。通常，接入層交換機使用多條鏈路連接到匯聚層交換機來確保為接入層上產生的流量提供足夠的帶寬，同時在某條鏈路斷開時提供容錯功能。由于匯聚層交換機要接受多個接入層交換機發送的流量，并且需要盡快將所有流量轉發到核心層交換機上，因此，匯聚層交換機還需要回連核心層交換機的高帶寬聚合鏈路。

（三）接入層設計。

接入層交換機支持將終端節點設備連接到網絡。因此需要支持端口安全功能、VLAN、快速以太網/千兆以太網、PoE 和鏈路聚合等功能。端口安全功能允許交換機決定允許多少設備或哪些設備連接到交換機，端口安全功能是保護網絡的第一道重要防線。接入層交換機為網絡上的終端設備設置 VLAN。在選擇接入層交換機時還需考慮的一個因素是端口速度。根據網絡的性能需求，必須在快速以太網和千兆以太網交換機端口之間作出選擇。某些接入層交換機需要具備是 PoE功能。一般在需要語音或使用無線接入點時并且要在需要的位置供電有困難或成本過高時才應考慮 PoE。鏈路聚合是大多數接入層交換機所共有的功能。鏈路聚合允許交換機同時使用多條鏈路。接入層交換機通過鏈路聚合至多可獲得與匯聚層交換機相同的帶寬。

五、結束語

本文介紹了三層交換技術和虛擬局域網技術的原理、功能和實現。給出了校園網的層次設計方法，以及在設計中應該選用的技術及其相應的設備。

（作者：1994年畢業于武漢理工大學計算機方向專業，現就職于武漢職業技術學院計算機技術與軟件工程學院，研究方向：計算機網絡）

參考文獻：

[1]馬立新.局域網組建、管理與維護.北京：機械工業出版社，2010年.

[2]趙海峰.局域網組網實訓.北京：電子工業出版社，2007年

[3]（美）Michael Salvagno、任崢、丁青等譯. Cisco網絡設計手冊[M]，北京：北京電子工業出版社，2000年.