淺議基于VLAN技術的校園網規劃

戚柏江

摘 要：在Internet/intranet飛速發展的今天，校園網在學校日常工作中發揮著很大的作用。但隨著校園網規模的擴大，也出現了各種問題，比如廣播風暴、IP地址沖突、網絡安全等等。本文通過探討VLAN技術，論述了如何在校園規劃建設中運用VLAN技術，簡化校園網的管理及提高網絡的安全性。

關鍵詞：VLAN 校園網 網絡安全 IP地址

在Internet/intranet飛速發展的今天，網絡已經成為人們快速獲取、發布和傳遞信息的重要渠道，成為人們生活中不可或缺的一個部分，更在一定程度上改變了學校的管理模式、教學模式、學習方式和師生的生活方式。面對信息化校園建設的大趨勢，很多學校都把校園網作為重點建設項目。而隨著校園網中計算機、交換機等網絡設備數量的大量增加，給網絡流量帶來壓力的同時，使得互聯網出現了諸如廣播風暴、IP地址的沖突等問題和故障，影響了正常使用。VLAN作為校園網中最常使用的一種技術，能有效規避上述風險，保護不同部門之間的信息，提高網絡性能，增強網絡安全性。

一、VLAN技術簡介

1. VLAN的概念

VLAN（Virtual Local Area Network），即“虛擬局域網”，是指在交換局域網的基礎上，采用網絡治理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。VLAN 與傳統網絡最本質的區別就在于它可以在一個物理網絡中，根據工作組、應用等因素從邏輯上將用戶進行劃分的局域性網絡。網絡用戶就可以打破地域限制，像在一個空間中那樣快速、安全地通信。

2.VLAN的技術優勢

（1）提升網絡性能。身處局域網絡時，當信道中廣播包的數量占到總量的30%時，網絡的傳輸效率將會下降甚至形成廣播風暴，引起網絡堵塞而如果使用VLAN，把經常通信的站點劃分到同一VLAN下，那么就可以把廣播限制在一個VLAN內，從而提高寬帶的使用率。

（2）提高網絡整體安全性。在一所學校內，我們常常需要對財務室和其他部室的計算機網絡進行不同的安全評估，同時要求將財務室的網絡進行相應隔離，避免數據泄露。VLAN 能很好地解決這個問題。如根據用戶訪問權限的大小和使用時段的分配，將其劃分在不同VLAN 中，不同VLAN之間就不能直接通信，從而確保網絡的安全性。

（3）方便網絡管理。在整個局域網中，VLAN用戶假如移動位置，就不需要重新布線和調試，只要在交換機上重新分配相應端口到該VLAN就可以了。

3.VLAN的劃分方式

（1）基于端口。這就意味著是以局域網交換機的端口來作為VLAN的劃分因素。VLAN的管理員必須熟知各個端口的ID，將不同的端口分到對應的分組中。這種VLAN方式簡單，容易實現，也便于直接監控，但使用者不能自由移動。

（2）基于MAC 地址。MAC地址是指網卡的“身份證”， 并且是唯一的、固定在網卡上。一般情況下，MAC地址由48位二進制數構成，前24位為廠商標識，后24位為網卡標識。在應用中，交換機可以隨機讀取MAC地址，把相關的主機分配到一個VLAN中。與基于端口不同的是，一旦劃分，用戶可移動使用而不受影響。

（3）基于網絡層的VLAN劃分。通過每個主機的網絡層協議或IP地址來確定VLAN，這種VLAN定義方式比上述兩種更加靈活。以IP為例，可以設置192.168.1.X，掩碼255.255.255.0為VLAN1，設置192.168.2.X，掩碼255.255.255.0為VLAN2。這種方法，同樣擁有用戶物理位置改變而不需重新配置的優點。但是相對的，這種方式效率就較低，需要管理耗費較多的時間檢查每一個數據包的網絡層地址。

就目前來說，第（1）、（3）種方式是劃分VLAN的主要方式，第（2）種方式為輔助性的方案。

二、校園網實例分析

1.校園網原狀

筆者學校現校舍為1999年新建，在施工時，已將校園網硬件線路鋪設在內。限于當時網絡技術發展的狀況，設計比較簡單，采用雙絞線加普通的交換機和HUB來聯通整個網絡，再用光纖接入到慈溪教育城域網。在當時接入節點少、網絡應用少、網絡流量小的情況下，一些簡單應用基本也能應付。但隨著網絡技術的不斷發展，網絡流量和應用大增，網絡負荷不斷加大，教師和學生的網絡應用水平也在不斷地提升，出現了各種問題。如學生上網時會通過網絡鄰居，查看或者修改教師電腦里的內容；部分學生會因為上網查看不健康的信息，導致病毒的入侵，影響網絡運作；教師會利用大量的空余時間上網沖浪，在一定程度上影響了教師備課的進度。

在這種形勢下，學校的原校園網明顯已經不能適應新的時代，而基于VLAN技術規劃的網絡則能比較好地解決前面這些困擾。所以在原網的基礎上，學校重新規劃整理并建設了基于VLAN技術的校園網。

2.新網整體規劃

如下圖所示是筆者學校校園網拓撲結構圖。校園網采用千兆級骨干，百兆到桌面的交換式網絡架構。設計上采用3層結構方式。核心層采用神州數碼的DCRS-6808準電信級的核心路由交換機，提供了強大的數據交換處理的能力，保障網絡系統的穩定無故障的工作；骨干匯聚層采用神州數碼DCS-3900S，可網管的L2交換機，具有強大的包過濾功能，能夠很好地保護核心設備，同時能夠千兆上聯核心交換機；用戶接入層采用神州數碼的DCS-3600系列網管交換機，實現100M到桌面，具有強大的穩定性和良好性價比。Internet接入則采用教育網專線方式，在接入時采用神州數碼DCFW-1800E，具有良好的保護內部網絡，減少非法入侵的作用。同時采用上網行為管理設備——深信服（SINFOR M5400），實現內部用戶對互聯網訪問行為和認證的全面管理。

圖 慈溪職業高級中學校園網拓撲圖

3.VLAN劃分endprint

學校劃分VLAN的做法如下。首先，在網絡規劃與網絡配置時確定校園網各VLAN中計算機的IP地址取值范圍，由于要考慮校園網與慈溪教育城域網之間的無縫連接和學校的具體計算機信息點數，以便今后能在慈溪教育城域網范圍內開展一些特殊應用，故學校一開始就向慈溪教育城域網中心申請了10.55.2.0/24和10.55.224.0/20兩個IP地址段。

其次考慮到學校具體情況，把10.55.2.0/24網段劃分為一個VLAN，專用于網絡管理中心的具體幾臺服務器，又在應用中為224、225、226、……239等網段劃分了若干個VLAN，如一個VLAN用于教師辦公室區域的，一個VLAN用于行政組，其他如圖書館管理系統、教學樓一區、教學樓二區、機房、教師宿舍區、財務室、實訓樓等也分別劃分了VLAN。

4.VLAN訪問控制與IP地址分配

在校園網的核心層和匯聚層交換機的接口上建立訪問控制列表（ACL）來實現VLAN之間的訪問控制，決定哪些用戶數據流可以在VLAN之間進行交換，以及最終到達核心層。比如行政組屏蔽其他VLAN的訪問，財務區等一些比較重要的部門，拒絕機房VLAN訪問，以確保整個網絡的安全。

同時，結合學校的實際情況，由于老師們現在都具有一定的網絡基礎知識，比如修改IP地址等。學校將一個辦公室作為一個控制組，在接入層交換機上配置基本訪問控制列表，ACL表中被允許的IP地址段可以訪問網絡，被禁止的IP地址段不可以訪問網絡。將ACL訪問規則運用到連接辦公室的端口上。并將分配的IP地址段下發給各辦公室，讓辦公室用戶根據辦公室IP地址段手動配置IP地址，從而讓IP地址沖突的可能性降到最低。

三、結束語

作為最常用的局域網技術之一，兼具靈活性和可靠性的VLAN技術為校園網的建設提供了有效的助益。不僅為整個校園網的使用和配置帶來了快速、安全，也降低了校園網的維護和管理成本。但是，校園網VLAN技術的使用，還需要結合本校實際，考慮到校園網絡的多樣性、復雜性、效率性、業務性等特殊原則。目前VLAN的使用基本上能滿足校園網絡的需求，相信隨著校園網用戶數量的不斷增多，VLAN技術將會得到更加廣泛的應用和發展。

參考文獻：

[1]張水平.計算機網絡原理[M].北京：清華大學出版社，2005.

[2]王保順.校園網設計與遠程教學系統開發[M].北京：人民郵電出版社，2003.

[3]李曄.VLAN的產生及發展[J].科學之友，2011（10）.

[4]魏麟.VLAN技術在校園網中的應用[J].計算機應用工程技術，2008（2）.

[5]江克宇.淺析劃分VLAN的技巧及應用[J].福建電腦，2010（12）.

（作者單位：慈溪職業高級中學）endprint

學校劃分VLAN的做法如下。首先，在網絡規劃與網絡配置時確定校園網各VLAN中計算機的IP地址取值范圍，由于要考慮校園網與慈溪教育城域網之間的無縫連接和學校的具體計算機信息點數，以便今后能在慈溪教育城域網范圍內開展一些特殊應用，故學校一開始就向慈溪教育城域網中心申請了10.55.2.0/24和10.55.224.0/20兩個IP地址段。

其次考慮到學校具體情況，把10.55.2.0/24網段劃分為一個VLAN，專用于網絡管理中心的具體幾臺服務器，又在應用中為224、225、226、……239等網段劃分了若干個VLAN，如一個VLAN用于教師辦公室區域的，一個VLAN用于行政組，其他如圖書館管理系統、教學樓一區、教學樓二區、機房、教師宿舍區、財務室、實訓樓等也分別劃分了VLAN。

4.VLAN訪問控制與IP地址分配

在校園網的核心層和匯聚層交換機的接口上建立訪問控制列表（ACL）來實現VLAN之間的訪問控制，決定哪些用戶數據流可以在VLAN之間進行交換，以及最終到達核心層。比如行政組屏蔽其他VLAN的訪問，財務區等一些比較重要的部門，拒絕機房VLAN訪問，以確保整個網絡的安全。

同時，結合學校的實際情況，由于老師們現在都具有一定的網絡基礎知識，比如修改IP地址等。學校將一個辦公室作為一個控制組，在接入層交換機上配置基本訪問控制列表，ACL表中被允許的IP地址段可以訪問網絡，被禁止的IP地址段不可以訪問網絡。將ACL訪問規則運用到連接辦公室的端口上。并將分配的IP地址段下發給各辦公室，讓辦公室用戶根據辦公室IP地址段手動配置IP地址，從而讓IP地址沖突的可能性降到最低。

三、結束語

作為最常用的局域網技術之一，兼具靈活性和可靠性的VLAN技術為校園網的建設提供了有效的助益。不僅為整個校園網的使用和配置帶來了快速、安全，也降低了校園網的維護和管理成本。但是，校園網VLAN技術的使用，還需要結合本校實際，考慮到校園網絡的多樣性、復雜性、效率性、業務性等特殊原則。目前VLAN的使用基本上能滿足校園網絡的需求，相信隨著校園網用戶數量的不斷增多，VLAN技術將會得到更加廣泛的應用和發展。

參考文獻：

[1]張水平.計算機網絡原理[M].北京：清華大學出版社，2005.

[2]王保順.校園網設計與遠程教學系統開發[M].北京：人民郵電出版社，2003.

[3]李曄.VLAN的產生及發展[J].科學之友，2011（10）.

[4]魏麟.VLAN技術在校園網中的應用[J].計算機應用工程技術，2008（2）.

[5]江克宇.淺析劃分VLAN的技巧及應用[J].福建電腦，2010（12）.

（作者單位：慈溪職業高級中學）endprint

學校劃分VLAN的做法如下。首先，在網絡規劃與網絡配置時確定校園網各VLAN中計算機的IP地址取值范圍，由于要考慮校園網與慈溪教育城域網之間的無縫連接和學校的具體計算機信息點數，以便今后能在慈溪教育城域網范圍內開展一些特殊應用，故學校一開始就向慈溪教育城域網中心申請了10.55.2.0/24和10.55.224.0/20兩個IP地址段。

其次考慮到學校具體情況，把10.55.2.0/24網段劃分為一個VLAN，專用于網絡管理中心的具體幾臺服務器，又在應用中為224、225、226、……239等網段劃分了若干個VLAN，如一個VLAN用于教師辦公室區域的，一個VLAN用于行政組，其他如圖書館管理系統、教學樓一區、教學樓二區、機房、教師宿舍區、財務室、實訓樓等也分別劃分了VLAN。

4.VLAN訪問控制與IP地址分配

在校園網的核心層和匯聚層交換機的接口上建立訪問控制列表（ACL）來實現VLAN之間的訪問控制，決定哪些用戶數據流可以在VLAN之間進行交換，以及最終到達核心層。比如行政組屏蔽其他VLAN的訪問，財務區等一些比較重要的部門，拒絕機房VLAN訪問，以確保整個網絡的安全。

同時，結合學校的實際情況，由于老師們現在都具有一定的網絡基礎知識，比如修改IP地址等。學校將一個辦公室作為一個控制組，在接入層交換機上配置基本訪問控制列表，ACL表中被允許的IP地址段可以訪問網絡，被禁止的IP地址段不可以訪問網絡。將ACL訪問規則運用到連接辦公室的端口上。并將分配的IP地址段下發給各辦公室，讓辦公室用戶根據辦公室IP地址段手動配置IP地址，從而讓IP地址沖突的可能性降到最低。

三、結束語

作為最常用的局域網技術之一，兼具靈活性和可靠性的VLAN技術為校園網的建設提供了有效的助益。不僅為整個校園網的使用和配置帶來了快速、安全，也降低了校園網的維護和管理成本。但是，校園網VLAN技術的使用，還需要結合本校實際，考慮到校園網絡的多樣性、復雜性、效率性、業務性等特殊原則。目前VLAN的使用基本上能滿足校園網絡的需求，相信隨著校園網用戶數量的不斷增多，VLAN技術將會得到更加廣泛的應用和發展。

參考文獻：

[1]張水平.計算機網絡原理[M].北京：清華大學出版社，2005.

[2]王保順.校園網設計與遠程教學系統開發[M].北京：人民郵電出版社，2003.

[3]李曄.VLAN的產生及發展[J].科學之友，2011（10）.

[4]魏麟.VLAN技術在校園網中的應用[J].計算機應用工程技術，2008（2）.

[5]江克宇.淺析劃分VLAN的技巧及應用[J].福建電腦，2010（12）.

（作者單位：慈溪職業高級中學）endprint