ＶＬＡＮ技術在校園網維護管理中的應用

摘要：隨著網絡技術的發展，VLAN技術在網絡中的應用越來越廣泛。該文主要介紹了VLAN技術的定義，VLAN在校園網中的優點，vlan的種類劃分，校園網vlan的配置實例。

關鍵詞：VLAN；校園網；廣播風暴；三層交換

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2009)04-0819-03

The Application of VLAN Technology in Campus Network Maintenance and Management

CHEN Kai1， HU Peng2

(1.Jiangxi Vocational and Technical Building College，Nanchang 330038，China; 2.Jiangxi Normal University Campus Network Management Center，Nanchang 330022，China)

Abstract: With the development of network technology， VLAN technology in the network more and more widely. This paper introduces the definition of VLAN technology， VLAN in campus network advantages， vlan the type of campus network configuration vlan examples.

Key words: VLAN;campus network; broadcasting storm; the three-tier exchange

1 引言

校園網的普及和發展大大加快了數字化校園的建設步伐，同時隨著校園網內的計算機、交換機等設備的大量增加，廣播包的數量也會急劇增加。當廣播包的數量占到總量的30%時，網絡的傳輸效率將會明顯下降；特別是當網絡設備出現故障后，會不停地向網絡發送廣播，從而導致網絡風暴，使網絡通信陷于癱瘓。同時網絡中的惡意攻擊、數據的竊取等問題都極大的影響了校園網的正常運行。對于網絡管理者來說，非常希望有一種相應的技術能解決這些問題，這就是現在應用比較廣泛的VLAN技術。

2 VLAN技術及其優點

VLAN是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中，從而有助于控制流量、提高網絡安全性、簡化網絡管理。下面從幾個方面具體來談談VLAN技術在校園網中的發揮的突出作用。

2.1 控制廣播風暴

由于不同的VLAN有著各自獨立的廣播域，而廣播只能在本地VLAN內進行，從而大大減少了廣播對網絡帶寬的占用，提高了帶寬傳輸效率，并可以有效地避免廣播風暴的產生。例如在我校就對每棟學生宿舍劃分兩個或兩個以上VLAN，在這種情況下即使有一棟學生宿舍的VLAN產生了廣播風暴，也不會對此VLAN之外的網絡產生影響。

2.2 增強網絡安全性

在交換機上劃分VLAN以后，不同VLAN的之間將不能直接通信，VLAN間的通信必須通過三層設備（路由設備）。我們可以通過路由訪問列表和MAC地址分配等VLAN劃分原則，控制用戶訪問權限和邏輯網段大小，將不同用戶群劃分在不同VLAN中，從而提高了校園網的整體性能和安全性。如果結合相應的網絡技術還可以方便的控制校園網用戶的登陸地點，例如開啟交換機的認證功能，校園網用戶在登陸校園網前首先要進行身份認證，我們可以將認證帳號綁定到具體的VLAN中，這樣只有具備相應VLAN認證帳號的用戶才能在指定的VALN登陸校園網絡。

2.3 網絡管理簡單、直觀

利用VLAN技術可以根據學校的部門職能、對象組或者應用將不同地理位置的網絡用戶劃分為一個邏輯網段，在不改動網絡物理連接的情況下可以任意地將工作站在工作組或子網之間移動。利用VLAN技術，大大減輕了網絡管理和維護工作的負擔，降低了網絡維護費用。

3 VLAN的種類劃分

VLAN的劃分主要有以下幾種：

3.1 基于端口的VLAN

這種劃分是現在比較流行和最早的劃分方式，它的特點是把交換機按照端口進行分組，每一組定義一個VLAN。這些端口分組能夠在一臺交換機上也能夠跨越幾個交換機。一個VLAN的各個端口上的所有終端都在一個廣播域中，不同的VLAN之間不能直接相互訪問，VLAN間的通信需要通過路由來進行。這種VLAN劃分的主要優點是簡單、容易實現；缺點是不夠靈活，當一個終端發生物理位置變化時要重新設置。

3.2 基于MAC地址的VLAN

此種方式的VLAN，交換機對終端的MAC地址和交換機端口進行跟蹤，在新終端入網時根據已經定義的VLAN與MAC地址對應表將其劃分到某一個VLAN。配置完成后不管該終端在網絡中如何移動，因為其MAC地址不變，所以不需要進行VLAN重新配置。這種方式的優點是可以允許網絡用戶變換物理位置，實現移動辦公，且每個用戶可以屬于多個VLAN，增加了靈活性；缺點是初始工作量較大，更換網卡就要重新設置。

3.3 基于網絡層的VLAN劃分

也稱為基于策略的劃分，是這幾種劃分方式中最高級也是最復雜的。基于網絡層的VLAN使用協議（如果網絡中存在多協議的話）或網絡地址（如TCP/IP中的子網段地址）來確定網絡成員。交換機既允許一個端口對應多個子網，也允許一個子網對應多個端口。這種方式的優點是VLAN的配置方便靈活；缺點是對設備的要求高，并不是所有設備都支持這種方式。

4 VLAN的配置

下面我們一起來看一個基于第三層交換技術的vlan的配置過程：

一臺具備三層交換功能的核心交換機接若干臺分支交換機。假設核心交換機名稱為：center(中心)；分支交換機分別為： xsgy-01(學生公寓-01)、xsgy-02．．．．．．分別通過port 1光纖模塊與核心交換機相連（分支交換機的配置以xsgy-01為例，其它的交換機配置類似）。具體步驟分為：1) 設置vtp domain；2) 配置中繼；3) 創建vlan；4) 將交換機端口劃入vlan；5) 配置三層交換。具體分述如下：

4.1 設置vtp domain（vtp domain 稱為管理域）

VTP（VLAN Trunk Protocol，VLAN干道協議）是用來使VLAN配置信息在交換網內其它交換機上進行動態注冊的一種二層協議。在一臺VTP Server上配置一個新的VLAN信息，則該信息將自動傳播到本域內的所有交換機，這樣管理域里所有的交換機就能夠了解彼此的VLAN列表，從而減少在多臺設備上配置同一信息的工作量，且方便了管理。

核心交換機端配置如下：

center#vlan database 進入vlan配置模式

center(vlan)#vtp domain center 設置vtp管理域名稱 center

center(vlan)#vtp server 設置交換機為服務器模式

分支交換機端配置如下：

xsgy-01#vlan database 進入vlan配置模式

xsgy-01(vlan)#vtp domain center 設置vtp管理域名稱center

xsgy-01(vlan)#vtp client 設置交換機為客戶端模式

注意：這里設置核心交換機為server模式是指允許在該交換機上創建、修改、刪除vlan及其他一些對整個vtp域的配置參數，同步本vtp域中其他交換機傳遞來的最新的vlan信息；client模式是指本交換機不能創建、刪除、修改vlan配置，也不能在nvram中存儲vlan配置，但可同步由本vtp域中其他交換機傳遞來的vlan信息。

4.2 配置中繼是為了保證管理域能夠覆蓋所有的分支交換機，必須配置中繼

cisco交換機能夠支持任何介質作為中繼線，為了實現中繼可使用其特有的isl標簽。isl（inter－switch link）是一個在交換機之間、交換機與路由器之間及交換機與服務器之間傳遞多個vlan信息及vlan數據流的協議，通過在交換機直接相連的端口配置isl封裝，即可跨越交換機進行整個網絡的vlan分配和進行配置。

核心交換機端配置如下：

center(config)#interface gigabitethernet 2/1

center(config-if)#switchport

center(config-if)#switchport trunk encapsulation isl 配置中繼協議

center(config-if)#switchport mode trunk

分支交換機端配置如下：

xsgy-01(config)#interface gigabitethernet 0/1

xsgy-01(config-if)#switchport mode trunk

至此，管理域設置完畢。

4.3 創建vlan

center(vlan)#vlan 10 name xsgy//創建一個編號為10 名字為xsgy(學生公寓)的vlan

注意，這里的vlan是在核心交換機上建立的，其實，只要是在管理域中的任何一臺vtp 屬性為server的交換機上建立vlan，它就會通過vtp通告整個管理域中的所有的交換機；但如果要將具體的交換機端口劃入某個vlan，就必須在該端口所屬的交換機上進行設置。

4.4 將交換機端口劃入vlan

例如：將xsgy-01分支交換機的端口1至端口n劃入xsgy vlan

xsgy-01(config)#interface range fastethernet 0/1–n//配置端口1-n

xsgy-01(config-if)#switchport access vlan 10 //歸屬xsgy vlan

4.5 配置三層交換

vlan劃分完成以后還需要給各vlan分配網絡（ip）地址。給vlan分配ip地址分兩種情況：1) 給vlan所有的節點分配靜態ip地址；2) 給vlan所有的節點分配動態ip地址。下面就這兩種情況分別介紹，假設給vlan 10分配的接口ip地址為172.17.10.1，網絡地址為：172.17.10.0。

4.5.1 給vlan10所有的節點分配靜態ip地址

首先在核心交換機上設置vlan10的接口ip地址。核心交換機將vlan視為一種接口。

center(config)#interface vlan 10

center(config-if)#ip address 172.17.10.1 255.255.255.0 // 配置vlan10的接口ip

在vlan10中的計算機只要設置與vlan10的網絡地址一致的ip地址，并且把默認網關設置為vlan10的接口地址172.17.10.1 就可以了。

4.5.2 如果要實現動態分配ip地址，則只需在分配靜態ip地址的基礎上加上如下配置

center(config-if)#ip helper-address 172.16.9.1 dhcp server ip//指定dhcp服務器的ip地址

此時vlan10中的計算機設置為自動獲得ip地址的方式就可以了。

5 結束語

VLAN技術為校園網的建設提供了高度的靈活性和可靠的網絡安全管理手段，顯示出獨特的優點。特別是基于第三層交換的vlan技術的出現，解決了局地網中網段劃分之后，網絡中子網間的通訊必須依賴路器的局面，從而有效的解決了傳統路由器數據傳輸低速造成的網絡瓶頸問題，實現了一次路由多次交換，同時第三層交換技術的出現給校園網的建設提供了良好的擴展性。隨著VLAN技術和三層交換技術的發展，必將把校園網的發展帶入一個新的階段。新的問題也將隨之出現，這就需要我們更多的網絡研究和管理等人員投入更多的精力，使VLAN技術為我們的網絡建設和管理帶來更多的方便。

參考文獻：

[1] 孫建華.網絡互連技術教程[M].北京:人民郵電出版社，2005.

[2] 來賓.計算機網絡原理與應用[M].北京:冶金工業出版社，2003.

[3] 吳功宜.計算機網絡[M].北京:清華大學出版社，2003.

陳凱（1982-）男，江西師范大學軟件工程專業本科畢業，獲工學學士，現任職江西建設職業技術學院信息系。