VLAN技術及其在校園網絡中的應用研究

林凌

摘?要：計算機網絡影響著現代生活的很多方面，在各大學校內部也都建立起了局域網。本文主要通過分析VLAN技術的定義、原理及優點，闡述了VLAN技術在管理維護校園網系統中所起的作用以及在校園網中用交換機配置VLAN需要注意的問題，以便實現虛擬局域網的技術。

關鍵詞：VLAN?體系結構?校園網?網絡管理

近些年來，隨著計算機技術的迅猛發展，網絡硬件的性能得到提高，成本也逐步降低。目前的校園網基本都采用了性能先進的千兆網技術，核心交換機采用三層交換機，它能很好地支持虛擬局域網（VLAN）技術，這對校園網的高速可靠運行起到了非常重要的作用。

同時，隨著校園網內計算機、交換機等設備的大量增加，網絡數據流量驟然增大，特別是 “網絡風暴”和IP的沖突導致校園網絡癱瘓，極大地影響了校園網的正常運行。校園網有訪問方式多、用戶群龐大、網絡行為突發性高的特點。為了保證校園網的正常運行和安全，本文針對校園網的特點和傳統局域網的缺陷，重點剖析了基于VLAN技術構建安全校園網絡的應用。

一、VLAN技術概述

VLAN(Virtual Local Area Network)也就是虛擬局域網，是一種建立在交換技術基礎之上的，通過將局域網內的機器設備邏輯地而不是物理地劃分成一個個不同的網段，以軟件方式實現邏輯工作組的劃分與管理的技術。VLAN的作用是使得同一VLAN中的成員間能夠互相通信，而不同VLAN之間則是相互隔離的，不同的VLAN如果要通信需要通過必要的路由設備。

二、VLAN的優點

1.增加了網絡連接的靈活性

VLAN技術能將不同地點、不同網絡、不同用戶組合起來，形成一個虛擬的網絡環境，就像使用本地網絡一樣方便、靈活和有效。采用基于MAC，用戶的實際地址VLAN技術用戶則可不做任何修改，在網上的任意位置都可上網，因為VLAN成員不是捆綁在某固定工作站上的；反過來，位置不發生改變卻變更了部門，網絡管理員也可以通過改變VLAN成員的方式讓用戶與VLAN的邏輯關系發生改變。

2.可以控制網絡上的廣播

VLAN可以提供建立防火墻的機制，防止交換網絡的過量廣播。使用VLAN，可以將某個交換端口或用戶賦予某一個特定的VLAN，該VLAN中的多臺計算機可以連接在一個交換機上，也可以是跨接在多個交換機上。一個VLAN中的廣播不會被傳送到另一個VLAN中，從而有效地減少了廣播風暴對校園網絡的影響。

3.加強了網絡的安全性

在局域網中應用VLAN技術可以把互相通信比較頻繁的用戶劃分到同一個VLAN中，這樣在同一個工作組中的信息傳輸只在同一個組內廣播，從而減輕了因廣播包被截獲而引起的信息泄露帶來的影響，增強了網絡的安全性。

4.網絡管理簡單、直觀

在應用VLAN技術后網絡管理員就可以輕松地管理網絡，例如學校的各個部門在物理上并不處在同一個位置，在不同的教學樓和辦公樓，但是應用了VLAN技術網絡管理員就可以在應用了幾條指令的同時完成設備在不同物理位置上的相同工作組的配置。

利用VLAN技術，大大減輕了網絡管理和維護工作的負擔，降低了網絡維護成本。在一個交換網絡中，VLAN提供了很好的網段和機構的彈性組合機制。

三、VLAN的劃分方法

根據VLAN在交換機上的實現方式，VLAN分為靜態VLAN和動態VLAN兩類，動態VLAN又可以分為三種

類型。

1.基于端口的靜態VLAN

這是最早的VLAN類型，也是最簡單的VLAN，大多數VLAN協議的交換機都提供這種VLAN配置方法。這種基于端口的劃分方法的優點是定義VLAN成員非常簡單，適合于任何大小的網絡，它的缺點是VLAN的定義依賴于交換機的物理端口。

2.基于MAC地址的VLAN

這種方法是根據每個主機的MAC地址來劃分VLAN。這種VLAN劃分方法的最大優點就是當用戶物理位置變動時，交換機會自動查出該端口，并正確指定端口所屬的VLAN。這種方法的缺點是初始化時，所有的用戶MAC地址都必須進行配置，如果有大量用戶的話，定義和維護VLAN較繁瑣。所以這種劃分方法通常適用于小型局域網。

3.基于網絡地址的VLAN

基于網絡地址的VLAN是按照交換機連接的網絡站點的網絡層地址劃分VLAN，從而確定交換機端口所屬的廣播域。其主要缺點在于效率要比基于第二層的VLAN差，因為查看三層IP地址比查看MAC地址所消耗的時間多。在校園網中，基于端口的VLAN比較適合于臺式機等固定用戶，而對于使用筆記本電腦的移動用戶（如教師），基于IP子網的VLAN則具備更好的應用靈活性和簡便性。

4.基于用戶的VLAN

按用戶定義、非用戶授權劃分VLAN是為了適應特別的VLAN網絡。這種劃分方法是根據具體的網絡用戶的特別要求來定義和設計VLAN，而且可以讓非VLAN群體用戶訪問VLAN，但是需要提供用戶密碼，在得到VLAN管理的認證后才可以加入一個VLAN。

四、VLAN技術在校園網中的應用

1.筆者學校校園網概況

以筆者學校為例，在主校區，校園網以設在綜合樓的校園網網絡中心為核心，覆蓋綜合樓辦公室在內的其他行政部門，如實習工廠等。采用CISCO 3560 24PS三層交換機作為核心交換機，在其他樓及需要配置網絡的場所則配置上二級交換機，以能支持100MBPS、支持VLAN的交換機為主，再連接到各個工作站。核心交換機通過路由連接Internet。從而實現各局域網之間信息的互通，數據的共享，教學上的各種需要以及對外上網。

學校網絡的整個范圍限制分為內網和外網。從網絡安全級別的角度考慮又可將內網分為兩大部分：第一部分為重點信息安全保護區，即校園網的重要應用服務器群和重要部門的網絡設備和用戶；第二部分為普通信息安全區，外網即為校園外部網絡區域，也就是與校園網相連的各種專線信息網和Internet。

2.校園網系統規劃

根據校園網的具體情況，考慮到網絡資源的有限性，為了控制處理校園網的所有信息流量以有效地利用校園網的每一份資源，以及提供良好的安全性，必然要對整個校園網絡實現更加方便高效的管理。根據學校具體建筑物分布情況和各部門所處位置，在各棟樓之間都要各自設置最少一個VLAN，以當前情況來看，共需設置5個，VLAN10，……VLAN50，VLAN1為交換機出廠時設置，不可更改，不可刪除，只需配置上適當的網絡地址，就可以讓其他的二級交換機圍繞核心交換機來進行互通。如果以后需要繼續擴大內部網的規模，在硬件能夠拓展的范圍內，只需要繼續設置相應的VLAN即可。

3.VLAN在校園網中的規劃和設置

在整個網絡系統集成之前，分配IP地址是很重要的一個環節。可將設備的管理IP地址分配為所在VLAN中的某個地址，為了便于管理，可將內部各子網的網關地址統一設為X.X.X.1，這樣只要定義好所屬的各網段，就能通過網關連接到核心交換機。

（1）創建VLAN。首先，必須先建立一個VTP管理域，以使它能管理網絡上當前的VLAN。在同一管理域中的交換機共享它們的VLAN信息，并且，一個交換機只能參加到一個VTP管理域，不同域中的交換機不能共享VTP信息。

（2）添加VLAN的端口。在劃分VLAN時，名稱VLAN1為默認，端口也是默認的。所以在交換機劃分VLAN端口時，剩余的端口均默認劃分到VLAN1中。將端口1，8-24劃分為VLAN1，其余端口分別劃給VLAN10-VLAN50。

（3）添加VLAN IP地址。將各VLAN口與相對應的IP地址一一配置好。再在各接入VLAN的計算機上設置與所屬VLAN的網絡地址一致的IP地址，并且把默認網關設置為該VLAN的接口地址。這樣，所有的VLAN也可以互訪了。

五、小結

VLAN技術為局域網的建設提供了高度的靈活性和可靠的網絡安全管理手段，顯示出獨特的優點。隨著VLAN技術和三層交換技術的發展，必將把局域網的發展帶入一個新的階段。由于校園網絡的VLAN劃分是作為一個整體結構來設計的，所以為了保持校園網絡的高速、暢通、安全，應盡量選擇同一個品牌或品牌不同但配合使用起來協調性較好的設備。VLAN技術在校園網內的應用，不但使得校園網絡更加安全、快速，并且也減輕了網絡管理員的工作負擔，保證了各個部門不同的要求和信息的安全，因此，VLAN技術應用在學校局域網內是明智之舉。

參考文獻 ：

[1]王玉慧.VLAN技術的應用[J].中國水運,2004(12).

[2]朱立科.校園網VLAN的劃分與通信[N].青島遠洋船員學院學報,2006:72-74.

[3]廖常武,汪剛.校園網組建[M].北京:清華大學出版社,2005.

[4]王達.網管員必讀——網絡基礎[M].北京:電子工業出版社,2004.

[5]曾明,李建軍.網絡技術精要——建網管網500問[M].北京:電子工業出版社,2003.

（作者單位：汕頭市高級技工學校）

endprint