淺談VLAN技術在校園網建設中的應用

摘 要：現今是計算機網絡大發展時期，校園網建設也進入普及階段。利用校園網可以實現網絡辦公、學生管理、學校教學等綜合信息服務。VLAN技術是校園網建設中不可或缺的內容。VLAN技術最主要的功能就是減少廣播、優化鏈路。本文將討論在校園網建設中VLAN的具體實施方案。

關鍵詞：校園網；VLAN技術；虛擬局域網

中圖分類號：TP393.18 文獻標識碼：A 文章編號：2096-4706（2018）11-0110-03

Analysis of the Application of VLAN Technology in Campus Network Construction

MA Rongping

（Bohai Shipbuilding Vocational College，Huludao 125105，China）

Abstract：Nowadays is the period of great development of computer network，campus construction also entered and stage. The campus network can be used to achieve comprehensive information services such as network office，student management and school teaching. VLAN technology is an indispensable content in campus network construction. The most important function of VLAN technology is to reduce broadcasting and optimize links. This paper will discuss the concrete implementation plan of VLAN in campus network construction.

Keywords：campus network；VLAN technology；virtual LAN

1 VLAN的功能及分類

VLAN又稱為虛擬局域網，其功能是對連接到二層交換設備上的用戶進行邏輯分段，它可以不受用戶地理位置的限制，根據用戶具體的網絡需要進行邏輯分段。同一個VLAN的用戶可以是連在同一臺交換機上的用戶，也可以是連接在不同交換機上的用戶。基于交換機的VLAN技術主要功能就是減少廣播、優化鏈路。一方面，在同一個VLAN中的用戶即使物理位置不在一起也可以進行數據通信；另一方面，不在同一個VLAN上的用戶即使被連接在同一交換機上也不能進行數據通信。兩臺主機想要進行數據通信，發送方必須知道接收方的IP地址和MAC地址，可目地MAC地址是通過發送方廣播ARP請示幀來獲取的。在教學樓中的所有用戶設置VLAN及彼此通信之前，ARP請求幀將在整個教學樓內廣播泛洪。在劃分了VLAN之后，ARP請示幀將只在自身VLAN范圍內進行廣播，從而實現減少廣播的目的。

同時，VLAN有很多類型，比如說數據VLAN、語音VLAN、無線AP VLAN、無線用戶VLAN等。VLAN用在不同的位置會有不同的屬性。例如，超級VLAN、私用VLAN、本地VLAN等主要用于VLAN的流量控制，而無線AP VLAN、無線用戶VLAN、數據VLAN等主要用于分離廣播和區分流量。在華為設備上進行VLAN流量控制的是主次VLAN，在銳捷設備上就叫超級VLAN，它們功能是一樣的，只是名字不相同。

2 虛擬局域網的劃分方法

從技術方面來講，劃分虛擬局域網的方法有六種：基于交換機端口進行的VLAN劃分；基于主機MAC地址進行的VLAN劃分；基于IP地址進行的VLAN劃分；基于策略進行的VLAN劃分；基于用戶定義進行的VLAN劃分；基于非用戶授權進行的VLAN劃分；基于網絡協議進行的VLAN劃分等。每種方法都有其優點和缺點。從企業應用方面來講，基本都會使用基于交換機端口進行的VLAN劃分。如果只是想隔離網段，也可以通過劃分不同IP網段來實現網段隔離。基于IP地址的網段隔離，雖然也能實現這個功能，但是因為主機是連接在二層交換機上，交換機根本不能識別IP地址，所以在二層交換機上的ARP請求依然會進行廣播泛洪。所以基于IP地址的網段隔離根本不能減少廣播的產生。

3 局域網的拓撲結構及特點

局域網的主要拓撲結構有五種：總線型、環型、星型、樹型和網狀。總線型網絡拓撲結構是最常見的一種。總線型網絡又稱以太網，顧名思義，連接在總線型網絡拓撲結構中的結點都是通過鏈接同一電纜線進行數據通信。這種拓撲結構的最大缺點就是故障的診斷和隔離存在困難，總線上的任意一處故障都有可能導致網絡癱瘓；星型網絡拓撲結構中的所有結點都要連接到一個中央控制結點上，特點是結構簡單、易于故障的診斷和隔離、方便管理和擴充。所以，多數的校園網多采用星型拓撲，而內部網絡多采用樹型結構。

4 校園網VLAN設計方案分析

根據網絡的結構和校園網絡的特點，可以把整個校園網分為內部局域網和外部資源共享網。內部局域網主要為校園內的老師和學生提供資源共享服務。外部資源共享網主要為內部局域網提供與Internet連接的接口。[1]為了使教學樓、辦公樓、實驗室、機房能夠更好地進行通信，最好的方法就是劃分VLAN。VLAN的劃分不但可以隔離通信，而且能更有效地隔離病毒和防范外來侵犯。VLAN的設計方案會在一定程度上影響校園網的整體功能。下面我們利用圖1所示的校園網拓撲結構圖來說明VLAN設計的思路。

在設計校園網時，一定要減少二層廣播、優化鏈路。二層廣播有很多，但在網絡中主要是指ARP請求。因為交換機對ARP請求沒有抑制能力，只能全網泛洪，那么網絡中的主機越多，廣播的影響越大。因為ARP請求對于主機來說不是一次性的，而是周期性發送。

假設如上圖，一個園區內有三棟樓，每個樓內都有相同的部門，如教學部、辦公室、實驗室、教室等。接下來我們要把它們連在一起，最常見的方法是采用交換機來實現園區網絡框架的連接。園區網連接時，每個樓層都有一個接入層交換機，最后都要連接到每個樓的匯聚交換機上，通過匯聚交換機來控制和轉發該樓層之間的流量，最終達到統一管理的目的。三個樓的匯聚交換機最終都要連到園區的核心交換機上，最終實現園區通信。

其中有一個最重要的問題是鏈路資源的占用，也就是我們常說的垃圾流，而垃圾流中最常見的就是廣播。就像項目描述中介紹的，每個樓都有相同的部門，那么此時，我們不劃分VLAN。假設教學樓A中一層的兩臺主機A和B想進行通信，則主機A需要知道主機B的IP地址，如果主機A不知道主機B的MAC地址，則主機A將發出ARP請求。而這個請求通過端口進入交換機會泛洪，不僅會泛洪給主機B，而且會泛洪給交換機上的所有成員。而且交換機也會把請求泛洪給匯聚交換機，而匯聚交換機接收之后會繼續泛洪，最終泛洪到全園區范圍。一個主機這樣，所有主機都會這樣。在有正常的業務之前，全網上已經充斥了這樣的垃圾流。所以在這種情況下，我們必須減少廣播。這就需要劃分VLAN。VLAN在交換機上能真正的隔離二層廣播。

VLAN劃分的設計方案有很多且不固定。根據項目中的描述，假設我們按部門來進行VLAN的劃分。教學部設為VLAN2、辦公室設為VLAN3、實驗室設為VLAN4、教室設為VLAN5。如果每個樓層都有這些部門，那么每層都要劃分VLAN2、VLAN3、VLAN4、VLAN5。這種VLAN的劃分方案簡單、直觀、便于管理。下面我們分析一下這種劃分方案是否能做到廣播抑制。在這種劃分方案中，每臺交換機之間都是trunk連接，從二層到匯聚到核心。因為相同VLAN之間進行通信，所有交換機上都是兩層數據，在匯聚和核心交換機上的trunk端口屬于本地所有VLAN成員。當教學樓A中同層VLAN的兩臺教學部主機1和2進行通信時，ARP請求在VLAN2中進行泛洪。同時，二層交換機也會通過trunk端口泛洪給匯聚交換機，而匯聚交換機通過trunk端口廣播泛洪給全部園區內的VLAN成員，這種VLAN劃分方案可以隔離VLAN2、VLAN3、VLAN4、VLAN5之間的廣播泛洪，但VLAN廣播依然可以泛洪到全部園區，這種VLAN劃分沒有達到隔離廣播、優化鏈路的目標。

下面我們來討論另一種VLAN劃分設計方案——按樓層劃分VLAN。例如一個樓層劃分一個VLAN。教學樓A為VLAN2、VLAN3、VLAN4；教學樓B為VLAN5、VLAN6、VLAN7；教學樓C為VLAN8、VLAN9、VLAN 10。以教學樓A為例討論廣播泛洪。假設一層樓中的兩臺主機通信，廣播泛洪整個樓層。同時通過trunk端口廣播到教學樓A的匯聚交換機上，匯聚交換機通過trunk端口廣播到各樓層二層交換機上。因為VLAN不同，廣播到此為止。為了使其不在匯聚交換機上廣播，我們要在trunk端口上做VLAN修剪，讓廣播局限于本地，讓一臺主機的ARP請求只在同一層進行廣播，而不會泛洪到其它樓層。

在這種VLAN劃分方案中，每個樓層劃分成一個VLAN。這里還存在一個問題。因為每個樓層都有教學部、辦公室、實驗室、教室等。為了能讓不同樓層的相同部門進行通信，我們需要在每棟樓的匯聚端口上做VLAN間通信。而VLAN間通信就是單播而不是廣播了。如果之后做訪問控制列表，則還可以控制哪些樓層可以相互通信。匯聚交換機連接核心交換機的端口選擇使用路由，通過路由完全隔離廣播，避免二層環路。通過這種方式構建的網絡框架，能真正達到減少廣播、優化鏈路的目的。

5 結 論

總之，在校園網中如果不劃分VLAN，則會產生廣播泛洪。如果想減少泛洪，則可以通過劃分VLAN和IP地址段來實現。可后一種方法不能解決二層泛洪的問題。為了減少廣播，在對VLAN進行劃分后，還要做適當的VLAN修剪。在VLAN安全方面可以采用ACL來實現，例如讓在同一個VLAN，相同IP地址段中的主機之間也不能進行通信。綜上所述，適當的IP地址規劃和VLAN劃分方案，可以在一定程度上提高網絡的整體性能，給網絡管理帶來諸多便利。

參考文獻：

[1] 段紅凱.VLAN在校園網安全體系構建中的應用研究 [J].計算機光盤軟件與應用，2011（15）：13.

[2] 周靈，伍曉平.芻議校園計算機常見網絡安全問題及其解決方法 [J].現代信息科技，2018，2（3）：150-151.

作者簡介：馬蓉平（1976-），女，漢族，云南昆明人，副教授，本科。研究方向：計算機網絡。