VLAN技術及其在校園網中的應用

摘 要：隨著互聯網技術的高速發展，校園網在高校的科研、教學與管理中發揮著越來越重要的作用，而用戶量大、開放性強、結構復雜的特點加大了網絡管理的難度，網絡安全與帶寬利用率面臨著嚴重的問題。VLAN技術可構建跨越物理范圍的邏輯網絡，文中介紹了VLAN的劃分方法及其優點，并給出了該技術在校園網中的一種應用方案，以防止廣播風暴，提高網絡的運行效率。

關鍵詞：VLAN；交換機；校園網；應用

1 VLAN的定義及優點

VLAN全稱為Virtual Local Area Network，即虛擬局域網，它可按實際應用需求將物理局域網內的主機或網絡設備從邏輯上劃分為不同的廣播域，而不必在物理上分割，各個VLAN內部的單播與廣播流量都不會被轉發到其它VLAN中，可以根據需求將不同物理范圍的主機劃分在一個VLAN內，使其具有類似于LAN的屬性。同一VLAN內的設備可相互訪問，不同VLAN間在二層上互相隔離，只能通過三層路由來通信。

VLAN技術主要有以下優點，（1）限制廣播風暴，不同的VLAN分組作為相互獨立的廣播域，網絡中的廣播流量只能在同一個VLAN內傳播，而不會影響到其它的VLAN，可將廣播風暴控制在一個較小的范圍，減小廣播占用的帶寬，提高網絡傳輸性能。（2）增強網絡安全，不同VLAN間的通信，需通過三層路由設備來實現，可根據MAC地址分配和路由訪問列表等原則，控制邏輯網段的大小和用戶訪問權限，提高網絡的安全性。（3）簡化網絡管理，應用VLAN技術，管理人員只需配置幾條命令即可建立一個邏輯工作組，而其成員不受物理位置的限制，工作站位置改變一般也不需重新配置，極大地減輕了網絡管理與維護人員的工作負擔。

2 VLAN的劃分方法

2.1 按照端口劃分

根據交換機端口來劃分廣播域，是應用最為普遍的一種VLAN劃分方法。目前幾乎所有的交換機都支持以端口來配置VLAN，被設定為同一個VLAN的端口處于同一個廣播域中，并且允許跨越多個交換機對不同端口劃分VLAN，使得不同區域的交換機端口也可以組成一個虛擬網絡。同一個VLAN中各端口上的終端可以相互訪問，而不同VLAN端口上的終端被隔離，必須通過VLAN間的路由來進行通信。這種方法配置非常簡單，易于實現，其缺點是網絡不夠靈活，若某終端位置發生了變化，必須對其新的端口進行重新配置。總體來說，這種方式仍然是最常用的一種VLAN劃分方式。

2.2 按照MAC地址劃分

這種方法是根據各個主機或網絡設備的MAC地址來劃分VLAN，MAC地址決定了其屬于哪個VLAN分組。這種方法最大的優點就是，當用戶物理位置改變，從一個交換機到另一個交換機時，不需要重新配置，便于移動辦公，而且同一用戶可屬于多個VLAN，增強了網絡的靈活性。此方法的缺點是初始配置的工作量較大，必須對所有用戶設備的MAC進行配置，如果用戶數量較多，會比較累人，也會影響交換機的工作效率。另外，用戶更換網卡或者更換電腦也是經常會發生的事情，必須不斷地對VLAN進行配置，所以該方法一般適用于小型的局域網。

2.3 按照網絡層劃分

該方法根據各主機的網絡層地址或者協議類型來劃分VLAN，按網絡層協議可劃分為IP、IPX、AppleTalk等VLAN網絡，同時運行多種協議的網絡適合用此方法來劃分。即使用戶的物理位置發生改變，也不需重新配置其VLAN，這種劃分方法不需要幀標簽來標記VLAN，能有效減輕網絡通信量。該方法需要檢查每個數據包的網絡層地址，需要一定的處理時間，所以效率比較低，在配置上較為靈活，但是對設備要求比較高，一些設備可能不支持該方式。

2.4 按照策略劃分

基于策略來劃分VLAN，是一種非常靈活的VLAN劃分方法，實現了VLAN配置的自動化，這種劃分被稱為關系網絡，可以把符合一定條件的相關用戶連為一體。配置時只需設置好VLAN劃分的規則，當設備加入到網絡時，系統會自動識別，并根據預設規則將其添加到相應的VLAN中，系統還能對站點的移動進行識別與跟蹤，站點位置可在網絡中靈活變動而不需重新設置。采用此方法，可通過路由器很方便地擴展網絡規模。

3 VLAN技術在校園網中的應用

校園網主要是為學校的教學、科研、管理等工作來服務，經過不斷地發展，學校一般都建立了眾多的業務系統，常見的有：辦公系統、精品課程、科研、人事、財務系統等等，各部門及院系也都有自己的網站或應用系統。學生宿舍區網絡用戶量較為龐大，眾多的樓宇和機構設置決定了校園網結構的復雜性及高負荷。網絡的開放性使得安全問題尤為顯著，單個計算機的故障可能影響到整個網絡，故障定位極其復雜，網絡及設備的管理維護較為困難。通過分析網絡的邏輯結構和應用需求，并利用VLAN技術進行合理的劃分，對不同部門或網絡群體進行邏輯隔離，可以很好地克服以上問題。

現在結合某高校的網絡實際情況來介紹下VLAN的配置。由于校園網用戶位置相對比較固定，一般不會有大的變動，而網絡規模又比較大，所以采用基于端口的VLAN劃分方法。該校的網絡主要有辦公區、家屬區。為方便進行管理，我們總體上按照樓宇位置進行劃分，比如一棟樓劃為一個VLAN，具體可根據實際作出調整，機房等計算機較為集中的地方也應單獨來劃分。學校采用多出口鏈路經防火墻接入校園網，采用H3C 105系列作為核心交換機，匯聚層為兩臺華為S5700交換機分別連接辦公區和家屬區，接入層以H3C二層交換機為主。

VLAN的劃分在兩臺匯聚交換機上進行設置，設辦公區和家屬區對應交換機分別為A和B，辦公區主要包括行政樓和1～4號教學樓，分別劃分VLAN100～104，家屬區包含1～4號家屬樓，劃分為VLAN111～114，兩臺交換機配置相似，以下為辦公區匯聚交換機VLAN配置的相關命令：

vlan batch 100 to 104

interface Vlanif100

ip address 10.125.100.1 255.255.255.0

interface Vlanif101

ip address 10.125.101.1 255.255.255.0

interface Vlanif102

ip address 10.125.102.1 255.255.255.0

interface Vlanif103

ip address 10.125.103.1 255.255.255.0

interface Vlanif104

ip address 10.125.104.1 255.255.255.0

interface GigabitEthernet0/0/1

port link-type access

port default vlan 100

……………………

VLAN技術在校園網建設和發展中的廣泛應用，增強了網絡管理的靈活性，提高了網絡安全性及網絡帶寬利用率，而不斷擴大的校園網規模，也將促使VLAN技術的進一步發展。在今后的網絡管理與研究方面我們需付出更多的努力，使VLAN技術更好地服務于校園網的建設與管理。

參考文獻

[1]趙正紅，李紅.計算機網絡技術[M].北京：科學出版社，2010.

[2]王淞.VLAN技術在局域網建設中的應用探究[J].計算機光盤軟件與應用，2013（01）.

[3]劉華.VLAN技術在校園網中的應用[J].計算機光盤軟件與應用，2012（20）.

[4]丁偉東.Vlan在單位網絡管理中的應用分析[J].計算機光盤軟件與應用，2011（22）.

[5]葉松濤.淺談VLAN在交換式局域網中的應用[J].計算機光盤軟件與應用，2013（15）.