論VLAN技術在校園網中的應用

籍成章　楊久河　欒志福

1 前言

在發達國家中,校園網的發展已經有近30年的歷史,已成為學校發展的重要基礎設施。麻省理工大學是美國最早建立校園網的學校之一,目前主干網采用FDDI,子網選用以太網。我國校園網建設起步較晚,1987年清華大學創建的校園網是我國最早的,采用100 M的FDDI主干網,子網選用以太網。

校園網對于提高教學和科研質量,加快學校信息化建設,開展多媒體教學與研究,改善教學和科研條件有著十分重要的意義。

2 校園網的特點

2.1 校園網網絡大,故障定位復雜,維護難度大由于教學逐步走向網絡化,多媒體計算機教學越來越普及,學生在線學習、娛樂時間增加,不僅要保證校園網的穩定可靠,還必須提供長時間的正常和高效運行,因此網絡的維護只能利用比較空閑、相對流量較小的時間段。

2.2 校園網用戶群密集,網絡安全問題蔓延快,對網絡影響嚴重某臺計算機由于各種原因出現故障,反過來又會影響整個網絡。而且應用網絡的年輕群體占大部分,他們好奇心大,敢于嘗試,不考慮網絡的運行環境,在網上大膽嘗試隨意下載的、學到的或自己創新的技術,不顧及是否有后門或其他風險,容易對網絡產生破壞和影響。

2.3 校園網業務多,開放性強校園網是教學、科研的特定場所,也是新技術、新知識最先應用的場所,業務項目多,網絡環境相對比較寬松。不能像企業中一樣,采取哪一部分影響網絡的運行安全就停止該服務或關閉該端口的措施,因此安全隱患比較大。

2.4 校園網管理難度大計算機購置和配置情況復雜,部分是統一購置,部分是個人購買,其配置程度不一,不可能進行統一管理;沒有相應的安全管理措施,一旦出現安全問題,責任難于到位;還有的學校由于人手不夠或其他原因,甚至出現無人管理校園網絡的情況。

3 VLAN校園網技術

隨著每個端口以太網和令牌環網的交換機價格下降,為了獲得更高的帶寬,越來越多的學校和組織傾向于給每個用戶分配一個單獨的交換端口。

校園網的使用引起教學方法、教學手段、教學工具的重大革新,為學校管理者和教師提供了獲取資源、協同工作的有效途徑,是教育信息化發展不可或缺的工具。校園網安全、高效運行是每個校園網信息獲取和教學的保障,在校園網中采用新興技術迫在眉睫。

VLAN并非一種新型的網絡,是包含一組端站點的邏輯上的LAN,其中的站點好像被同一網線連接在一起,而實際上可能出于LAN的不同物理網,是一組邏輯上的設備或用戶。它們就好像處于同一個物理LAN中一樣相互通信,不受物理位置的限制。

VLAN技術的出現為網絡設計、擴展、更改提供了更大的靈活性。

1)提高網絡設計的靈活性。處于不同地理位置的站點可劃分到同一個虛擬網中,不受地理位置的限制;可根據功能、項目組、應用的需要來劃分用戶和設備,可根據實際情況增加和減少用戶。

2)方便站點的移動、增加和變化,大大提高管理動態網絡的能力。由于某種原因,用戶工作位置發生變化時,采用傳統局域網技術的用戶需要對站點的IP地址、缺省網關進行修改后才能上網;采用基于MAC地址VLAN技術的用戶則可不作任何修改,在網上的任意位置都可上網,因為VLAN成員不是捆綁在某固定工作站上的;反過來,用戶的實際位置不發生改變卻變更部門,網絡管理員也可以通過改變VLAN成員的方式讓用戶與VLAN的邏輯關系發生改變。這樣就減少日常管理開銷,提供更大的配置靈活性。

3)提高網絡安全功能。采用傳統局域網技術的網絡,只要利用一臺PC裝上協議分析軟件,連到集線器上就可攔截該網段上的所有數據,采用基于MAC地址的VLAN技術時就不可能攔截該VLAN的數據。VLAN與VLAN間邏輯上是分開的,VLAN成員的數據包只能在同一VLAN內部傳送,即使處于同一網絡中,不同VLAN間也不能進行直接通信,有效地避免廣播風暴的傳播。校園網中如財務管理、人事檔案管理及一些不對外公開的科研數據資料庫等應用系統,網絡管理員可采用VLAN技術對廣播域進行邏輯劃分,達到限制用戶非法訪問的目的,從而確保重要部門的數據安全。除非設置監聽口,信息交換就不可能存在監聽和插入問題,提高網絡的安全性能。對于內網,采用基于MAC地址的VLAN技術,可有效防止IP地址盜用問題。

4)采用VLAN技術的網絡中,每個VLAN內的站點可直接訪問該VLAN內的服務器,提高網絡的響應速度。同時,同一個VLAN內的站點可以非常方便地進行通信。

(作者單位:中國海洋大學信息科學與工程學院;山東省濰坊科技學院)