基于VLAN技術的校園網應用管理

◆馬 煜

基于VLAN技術的校園網應用管理

◆馬 煜

（陜西中醫藥大學信息化建設管理處 陜西 712046）

校園網已經成為高校教學、科研、辦公等工作的重要工具，針對校園網的結構特點，網絡安全與用戶管理是校園網絡部門的工作重點，本文闡釋了基于VLAN技術規劃與實現校園網的管理可以極大提高網絡運行的靈活性與安全性。

校園網；VLAN技術；網絡安全

0 前言

計算機網絡已經逐步影響著現代人的生活方式，而校園網的建設是高校科研、教學、人才培養的穩固支柱。為了完善網絡穩定性與提供新的服務，在長期的校園網絡改造升級中網絡連接設備越來越多，加上用戶網絡行為的多樣性，使得網絡結構愈發復雜，從而導致校園網內部安全性降低。因此，如何使用VLAN技術構造一種針對校園網絡特點的安全管理體系，對于有效提升網絡運行安全并極大提高工作效率起到關鍵作用。

1 校園網結構特點

隨著校園網絡基礎設施不斷完善，在網絡傳輸、網絡承載等方面有了極大提高，從而基于校園網的業務數量增多，教務、人事、財務等管理系統的正常運行也是依靠校園網絡穩定保障。正因為校園網絡結構如此復雜，同時連接用戶基數龐大，出現網絡故障的定位工作也變得復雜多樣。

網絡安全問題不容忽視，如果連接在校園網中的某個用戶受木馬、病毒侵入，有可能蔓延至全網用戶的上網設備，嚴重影響了整個校園網的安全。此外，由于教學、生活需要，校園網全面覆蓋教學、辦公、生活區域，所以網絡內部環境管理相對寬松，這也為校園網內部用戶可能造成的不良行為留下了安全隱患。校園網絡安全高效地運行是高校辦公教學、獲取信息的重要保障，采取一定的網絡安全技術來管理校園網內用戶的網絡行為也成為了迫在眉睫的任務。

2 VLAN技術

VLAN（Virtual Local Area Network）即虛擬局域網，是一種利用工作組來邏輯劃分局域網的技術，核心是網絡分段[1]。在VLAN中的用戶無法直接聯系，需要通過交換機互相通信，根據安全策略可以將網絡分段及隔離，從技術上實現相互訪問控制，這樣可以設置用戶訪問權限以便增強內部管理。目前VLAN技術可以分為基于端口的VLAN劃分、基于MAC地址的VLAN劃分、基于路由的VLAN劃分以及基于策略的VLAN劃分[2]。其中基于端口的VLAN劃分是最為方便有效的VLAN劃分方法，管理員只需要對以太網交換機所有端口進行定義，就可將不同地理位置的交換機端口上的不同網段設置在一個VLAN中。另外一種基于MAC地址的VLAN劃分也是較為常用的方法，通過以太網交換機將添加過某VLAN的接入設備MAC地址進行保存并跟蹤，若該接入設備在新物理地址登錄，只要MAC地址不變就不用再次配置。

在具體的工作中，VLAN可以把廣播域控制在本VLAN內部，只有在相同VLAN的內部設備才能接收到廣播，因廣播占用資源過多造成癱瘓形成的廣播風暴會影響正常網絡使用，而VLAN技術通過網絡分段縮小了廣播的廣播域，一個VLAN中發生的風暴不會對其他VLAN造成影響，有效地降低了廣播風暴對全網的影響；其次，利用VLAN技術將相互通信較頻繁的用戶劃分在同一個VLAN中，這些通信傳輸只在該VLAN下廣播，因此可以減少廣播包被截獲而引起信息泄露的可能性，從而增加了網絡安全；此外，VLAN技術的應用大大增加了網絡連接的靈活性，它能將不同物理位置的不同網段用戶劃分在一個VLAN中，形成的虛擬局域網避免了組建局域網的資源浪費。

3 VLAN在校園網中的應用

3.1 校園網VLAN應用分析

為保障校園網通信的安全性，通過對校園各區域以太網交換機物理端口的VLAN劃分，將教學樓區、行政辦公區、學生公寓區、教職工家屬區的網絡從邏輯上劃分到各自的VLAN中，由于不同VLAN間的用戶不能直接通信，大大降低了因廣播風暴造成網絡癱瘓的可能。

教務處、人事處、科技處等部門擁有不對外公開的管理系統，在設置VLAN時需要獨立劃分，杜絕內網的其他用戶非法訪問，可以有效地保證重要數據的安全。對于安全性要求高的財務部門需要設置防火墻或者關閉所處網段網關，使工作站與服務器處于封閉運行狀態。一些需要跨VLAN訪問的管理部門，在支持三層網絡的交換機上配置相應的訪問控制列表，可以有效控制來源地是某個IP段的用戶進入目的VLAN，通過功能上的技術支持可以保障各個部門在使用本組內資源的同時，又可以安全地跨VLAN訪問目的主機。

3.2 校園網VLAN實現

陜中醫在校園物理網絡建設中在主干上采用兩臺H3C萬兆交換機作為核心交換機，通過連接實現兩臺并行、邏輯統一的管理方式，在校園各主要區域配置多臺二層交換機作為匯聚層交換機，具體到用戶接入設備時采用多臺交換機作為接入交換機，通過星狀拓撲構建一個三層全交換的網絡結構。

利用VLAN技術將各層交換機的端口劃分，通過802.1Q協議實現了跨交換機的全交換方式，這樣可以方便地實現全校范圍的跨區域VLAN相結合，能夠滿足各類型的網絡需要。通過H3C核心交換機的高性能路由功能，采用訪問列表技術可以有效地設置內部各VLAN的互相訪問，從而控制了不同VLAN間的訪問范圍與用戶權限。

4 結束語

VLAN技術目前被廣泛應用在校園網絡管理中，能夠為用戶網絡行為管理、網絡安全防護、接入設備維護等日常工作提供可靠保障，尤其在網絡工作組的劃分突破了地理位置的限制，實現了管理功能劃分[3]。校園網絡的規模不斷擴大，通過網絡管理部門合理進行VLAN劃分，保障了網絡運行的穩定性與有效性，極大地提高了高校基于校園網的各項教學、科研、辦公等工作的順利進行。

[1]李維峰.基于VLAN技術的局域網絡建設[J].計算機與網絡，2014.

[2]盛劍.VLAN技術在校園網建設中的應用[J].電子技術與軟件工程，2014.

[3]楚書來，劉若華.VLAN技術在校園網建設中的應用研究[J].電腦知識與技術，2011.