校園網管理中VLAN 技術的有效應用

楊紹文

（大理白族自治州財貿學校 云南 大理 671003）

0 引言

伴隨著教育教學信息化要求不斷提高，學校教職員工和學生在工作學習中對于網絡需求不斷增強。為了提高學校的信息化水平，校園局域網系統的建設和使用成為所有學校信息化工作的重中之重。相比于通常意義上的局域網，校園局域網有其特殊性，除滿足辦公需求外，還需滿足教學研究、科研交流以及師生學習和社交的需求，這就對網絡的管理和維護提出了更高的要求。VLAN 技術的應用能夠為網絡規劃和建設提供巨大助力，不僅能夠加強校園網管理和維護，還能在網絡性能提高和網絡安全保障上發揮重要作用，能夠為校園網建設、升級改造和擴大應用提供可行并且有效的解決方案。

1 校園網絡結構特點

校園網指的是遵循符合標準化要求的網絡協議，在特定的組網技術條件下，通過網絡設備、通信介質將校園內計算機及其他終端設備連接起來，并且利用相關管理軟件和應用軟件對系統進行維護和管理的能夠為學校教學、科研提供信息化環境的局域網系統。

早期校園網一般利用集線器、交換機等網絡設備將終端連接在一起，根據物理連接形成處于相同網段的局域網，終端設備間能夠直接通信，不同網段之間的通信則通過路由器來實現。在這一階段，網絡中終端設備數量少，網絡結構簡單，管理和維護工作比較容易，能夠實現對于網絡運行效率的要求。

但現在的學校環境中，終端數量急劇增加、網絡規模日益擴大，網絡結構也更加復雜，傳統的校園網結構已經不能滿足高效安全的運行要求。校園網設計、建設和管理迫切需要一種簡單有效的技術，而虛擬局域網（VLAN）技術的應用能夠很好地解決這些問題。

2 虛擬局域網（VLAN）技術

虛擬局域網技術即VLAN（Virtual Local Area Network）技術，它的原理就是忽略網絡中終端在物理位置上的分布情況，根據終端的功能、部門以及應用等因素對終端進行分組集合，在邏輯上將不同終端連接在一起形成局域網，其核心內容是對整個網絡進行分段。在同一個VLAN 中的終端可以實現互相通信，不同VLAN 中的終端則需要經過交換機或者路由器的轉發才能完成相互間的通信。在技術上，不同VLAN 可以根據需要賦予不同的網絡訪問權限，實現網絡訪問控制，便于網絡管理和維護。在具體實現上現在有6 種劃分方式可以選擇，包括基于端口的VLAN、基于MAC 地址的VLAN、基于IP 地址的VLAN、基于IP 組播的VLAN、基于規則的VLAN 和基于用戶授權的VLAN。在實際應用中普遍采用基于端口的VLAN 技術，實現起來簡單高效[1]。利用端口進行VLAN 劃分時，管理人員可以將處于不同空間位置的交換機端口進行定義，使其處于同一個VLAN 中，然后根據VLAN 的規模進行地址分配和后續管理。另外，基于MAC 地址的VLAN 技術也經常用來進行網絡中具體設備的管理，其將終端設備的MAC 地址存儲在交換機中，當設備在不同位置使用不同地址加入網絡時能夠自動識別，當終端位置發生變化時，管理員和交換機都不需要任何操作，這種方式更適合移動辦公需求較大的網絡環境。

VLAN 技術簡單易行，所有的二層交換機都可以通過簡單命令完成VLAN 的劃分，而VLAN 間的通信可以通過三層交換機或者路由器來完成，不會增加網絡設備的種類和數量。

在具體的網絡設計和管理中采用VLAN 具有很多明顯的優勢。（1）解決了域內廣播風暴的問題。VLAN 可以將終端設備在邏輯上根據需要進行任意分組，減少廣播數量，并且廣播只在組內傳播不會影響其他的VLAN[2]。另外，還可以在VLAN 中通過建立防火墻等機制限制廣播數量，最大限度降低廣播對帶寬和設備處理能力的占用。（2）有利于實現網絡安全?？蓪⒋鎯π枰Ｃ芑蛘呦拗圃L問數據的終端設備劃分到特定的VLAN 中，并與其他VLAN 進行隔離，根據需要在三層交換機或者路由器制定訪問策略靈活控制其他VLAN 對其的訪問。（3）降低網絡成本，提高網絡性能，主要體現在經濟成本和性能成本上。在經濟上通過VLAN 劃分并利用交換機的端口，在進行網絡規模擴充或者改造時減少新交換機的購置；在性能上VLAN 通過廣播的減少節省了帶寬和設備性能占用，對工作組業務進行過濾，有效地分割通信量，因而能更好地利用帶寬，提高網絡總的吞吐量，最大化地利用現有設備性能。（4）簡化管理，提高效率[3]。通過VLAN 把需求相同或者類似的終端劃分在同一個組中，實現分類的精準管理。另外，VLAN 跨越了空間位置的限制，可以把不同位置的終端實現邏輯上的整合，在維護和管理過程中不必到終端現場進行作業處理。（5）增加網絡靈活性，VLAN 只需要邏輯上將終端連接在一起組成一個域，不需要考慮終端的位置、型號等實際問題，能夠在終端位置發生變化或者網絡規模發生變化時進行VLAN 調整。

3 校園網管理中VLAN技術的應用

3.1 網絡構建規劃

下面將結合具體的校園網絡環境介紹在實際應用中如何進行VLAN 劃分和配置。

3.1.1 校園網結構介紹

該學校校園網采用的是H3C 交換機，接入層為H3C360048 口系列，核心交換機采用H3C550024 口系列，所有交換機都支持IEEE 802.1Q，能夠實現端口隔離。路由器為H3C6606。

校園網終端節點包括教學辦公用節點98 個，學生用節點將近300 個。建筑物包括綜合行政樓（包括辦公區、教學區）、宿舍樓、實訓機房。

外網鏈路經過硬件防火墻接入校園局域網。校園網內所有交換機通過光纖與中心交換機連接，保證主干帶寬達到萬兆水平。

3.1.2 VLAN 規劃

考慮到學校內用戶數量及物理位置基本固定，移動辦公需求較少，因此決定采用基于端口的VLAN 劃分技術來進行組網。為了盡量減小廣播域，建議VLAN 終結在匯聚層的S5500 三層交換機上，每個VLAN 內的終端數量原則上不要超過250 臺，建議每個VLAN 內的PC 機數量控制在

100 臺以內。

VLAN 劃分根據業務需求和使用性質來進行劃分。具體劃分方案如下：（1）建立管理VLAN，用來對校園網內的交換機及路由器等設備進行管理；（2）將教學辦公用節點劃分同一VLAN；（3）將學生用節點劃分為3 個VLAN；（4）機房劃分為兩個VLAN。另外，為學校的服務器單獨劃分一個VLAN 使用。最終全校網絡內共設置8個VLAN[4-5]。

在具體實現時為了實現用戶隔離和節省VLAN 資源，使用了P-VLAN（primary-vlan）技術。如圖1 所示：其中端口1 為上聯口，端口2、3、4 為接入端口。

Vlan 1：包含端口：1，2，3，4，5

Vlan 2：包含端口：1，2

Vlan 3：包含端口：1，3，4

Vlan 4：包含端口：1，5

3.2 交換機VLAN 的配置過程

配置前先假定核心交換機名稱為M，其他交換機分別命名為B1、B2……B10。交換機之間統一通過光口連接，接入交換機的光口統一使用49 口。VLAN 的ID 從1 ～8排列，VLAN1 為管理VLAN，2 ～8 分別對應教學辦公、宿舍和機房。

3.2.1 配置VTP DOMAIM

為了實現VTP 更新信息的交換，需要把所有交換機配置在一個管理域當中。需要首先在核心交換機建立管理域假設其名稱為system，然后把其他交換機加入到system 域中，配置完成后就能夠實現VLAN 列表的共享和同步。

[M]vtp domain system //配置VTP 管理域名稱為system

[M]vtp server //將交換機設置為服務器模式

[B1]vtp domain system //將B1 交換機加入到system 域中

[B1]vtp client //設置交換機為客戶端模式

[B2]vtp domain system //將B2 交換機加入到system 域中

[B2]vtp client //設置交換機為客戶端模式

[B3]vtp domain system //將B3 交換機加入到system 域中

[B3]vtp client //設置交換機為客戶端模式

[B4]vtp domain system //將B4 交換機加入到system 域中

[B4]vtp client //設置交換機為客戶端模式

[B5]vtp domain system //將B5 交換機加入到system 域中

[B5]vtp client //設置交換機為客戶端模式

……

3.2.2 配置VLAN 的Trunk 端口

首先配置交換機端口為Trunk 模式，局域網內所有VLAN 的數據都能夠通過該端口傳輸，交換機之間互相連接的端口配置為Trunk 口。它可以通過數據幀當中的VLAN ID 來區分數據來源。

核心交換機配置如下：

system //改變交換機運行模式

[M]interface GigabitEthernet1/0/1 //選定要配置的端口編號1

[M-GigabitEthernet1/0/1] port link-type trunk

//配置GigabitEthernet1/0/1 端口為Trunk

[M-GigabitEthernet1/0/1] port trunk permit vlan all

//允許所有VLAN 的數據通過該端口

[M]interface GigabitEthernet1/0/2 //配置端口2

[M-GigabitEthernet1/0/2] port link-type trunk

//配置GigabitEthernet1/0/2 端口為Trunk

[M-GigabitEthernet1/0/2] port trunk permit vlan all

//允許所有VLAN 的數據通過該端口

接入交換機Trunk 口配置：

B1 交換機配置：

system //改變交換機運行模式

[B1]interface ethernet1/0/49 //指定要配置的端口編號

[B1-ethernet1/0/49] port link-type trunk

//配置Ethernet1/0/49 端口為Trunk

[B1-ethernet1/0/49] port trunk permit vlan all

//允許所有VLAN 的數據通過該端口

B2 交換機配置：

system //改變交換機運行模式

[B2]interface ethernet1/0/49 //指定要配置的端口編號

[B2-ethernet1/0/49] port link-type trunk

//配置Ethernet1/0/49 端口為Trunk

[B2-ethernet1/0/49] port trunk permit vlan all

//允許所有VLAN 的數據通過該端口

……

3.2.3 創建VLAN

在配置了VYP 管理域后，在網絡中的核心交換機上建立VLAN 后就能夠通過VTP 讓所有交換機都能夠獲取相應信息。核心交換機創建VLAN 的命令如下：

sys

[M] vlan 2 to 8 //建立vlan2 到vlan8

Please wait…done

[M] dis vlan //顯示系統中存在的vlan 信息

Total 8 VLAN exist(s).

The following VLANs exist：

1(default)，2-8

3.2.4 為VLAN 指定交換機端口

所有交換機端口在默認狀態下都屬于VLAN 1，如果要分配給其他VLAN，需要用命令特別指定。具體配置命令如下：

[B1]interface ethernet1/0/1

[B2-ethernet1/0/1] display this // 顯 示ethernet1/0/1 當前配置

#

interface Ethernet1/0/1

#

Return

[B2-ethernet1/0/1]

[B2-ethernet1/0/1] port access vlan 2 //將Ethernet1/0/1 分配給VLAN2

[B2-ethernet1/0/1] display this

# //端口配置內容開始顯示

Interface Ethernet1/0/1

port access vlan 2

#

Return //端口配置內容開始結束

[B2-ethernet1/0/1]

3.2.5 VLAN 地址分配

VLAN 建立并分配端口后，需要為VLAN 分配IP 地址以實現互相之間的訪問，地址分配的配置是在核心交換機上完成的。本文為教學辦公分配的地址段為192.168.2.0/24；宿舍分配的地址段為192.168.3.0/24到192.168.5.0/24。則配置命令如下：

[M]interface vlan 2

[M-Vlan-interface2]ip address 192.168.2.1 255.255.255.0 //VLAN2 的接口IP 地址，192.168.2.1 為網關地址

[M]interface vlan 3

[M-Vlan-interface3]ip address 192.168.3.1 255.255.255.0 //VLAN3 的接口IP 地址，192.168.3.1 為網關地址

[M]interface vlan 4

[M-Vlan-interface4]ip address 192.168.4.1 255.255.255.0 //VLAN4 的接口IP 地址，192.168.4.1 為網關地址

……

在各交換機上將對應VLAN 的網絡地址設置為相同配置，并設置默認網關后就可以實現VLAN 互訪。

4 結語

在校園網建設和管理過程中應用VLAN 技術能夠簡化網絡維護工作，加強網絡的整體安全性，能夠極大地提高校園網的性能和維護工作的效率，特別是隨著校園網規模的不斷擴張，VLAN 技術必將得到更加深入和廣泛的應用。