ＶＬＡＮ技術在高校校園網中的應用

摘 要： 本文簡述了VLAN的特點與分類，對VLAN在網絡管理中的優勢進行了分析，并概述了VLAN的設計與實現，以及VLAN之間路由的配置實現。

關鍵詞： VLAN 校園網 網絡管理

1.VLAN的概述

1.1VLAN的特點

Virtual Local Area NetworkVLAN（虛擬局域網），在邏輯上等同于廣播域，網絡中的站點按網絡用戶的性質和需要劃分成若干個“邏輯工作組”，每一個“邏輯工作組”就是一個VLAN。分隔廣播域的方式有物理分隔和邏輯分隔兩種，前者使用的是網橋和路由器技術，后者使用的就是VLAN技術。這兩種方式功能上完全相同，但是，與前者相比，VLAN技術擁有諸多優點：

1.1.1工作組分隔的靈活性。組員可以處在不同的物理連接位置上，實現了動態的網絡組織結構。

1.1.2組員變更的靈活性。變更組員工作組，無需從物理連接上重新布線，只需重新定義VLAN成員即可。

1.1.3有效控制網絡廣播。VLAN自動地形成廣播域，所有廣播都只能在本VLAN中進行，大大減少了廣播對網絡帶寬的占用，有效避免了廣播風暴的產生。

1.1.4提供額外的安全性。VLAN之間不能直接相互訪問，能從物理上防止某些非授權用戶訪問敏感數據。

1.1.5網絡監督和管理的智能化。網絡管理員通過網管軟件進行VLAN劃分，檢查VLAN間和VLAN內通信數據包、應用數據包的細目分類信息，對于確定路由系統和經常被訪問的服務器的最佳配置十分有用。通過劃分VLAN，網絡管理變得更簡單、輕松、智能化。

1.2VLAN的分類

以建立VLAN的具體方式來劃分，大致有如下幾種：基于端口的VLAN、基于MAC地址的VLAN、基于第三層協議的VLAN、基于廣播地址的VLAN、基于策略的VLAN。本文僅對目前應用較多的基于端口的VLAN技術予以簡要說明，這也是我院校園網目前正在使用的一種VLAN技術。

基于端口的VLAN技術是通過把同一個交換機的端口分成若干組，每組構成一個虛擬網，也就是VLAN。該技術是目前最簡單、最有效的VLAN劃分方式，得到了所有廠家的支持。優點是：使用時相當安全，并且容易配置和維護。缺點是：需要對各端口的連接情況非常清楚，初始設置時工作量較大；當某一用戶需要從一個端口所在的虛擬網移動到另一個端口所在的虛擬網時，網管人員需要重新進行設置，這對于移動用戶量大的網絡來說不太合適。

除了將同一個交換機的不同端口劃分到同一VLAN外，許多交換機還支持將同一端口劃分至多個VLAN。這種被設置到多個VLAN中的端口，稱為公共端口，主要用于連接服務器、網絡打印機等共享資源。第二代端口VLAN技術還允許跨交換機劃分VLAN，即將不同的交換機的端口劃分至同一VLAN，從而完全擺脫了物理位置的限制，給VLAN劃分帶來了更大的靈活性。

2.VLAN在網絡管理中的優勢

VLAN是將一組位于不同物理網段上的用戶在邏輯上劃分成邏輯組，在功能上和操作上與傳統的LAN基本相同，但與后者相比具有以下優勢：

2.1提高了性能

一個VLAN就是一個小的廣播域，同一個VLAN成員都在由所屬VLAN確定的廣播域內，隔離了廣播，縮小了廣播范圍，可以控制廣播風暴的產生。因此，廣播域的分段有利于提高網絡的整體性能。

2.2提高了管理效率

采用VLAN技術來管理網絡，可以根據部門職能、對象組或者應用將不同地理位置的網絡用戶劃分為一個邏輯網段。在不改動網絡物理連接的情況下可以任意地將工作站在工作組或子網之間移動。利用虛擬網絡技術，大大減輕了網絡管理和維護工作的負擔，降低了網絡維護費用，減少了站點移動和改變的代價。

2.3增強了網絡的安全性

將不同用戶群劃分在不同VLAN，不在同一VLAN的用戶要訪問VLAN中的主機就必須通過路由，再通過路由訪問列表和MAC地址分配等。VLAN可以控制用戶訪問權限和邏輯網段大小，從而提高交換式網絡的整體性能和安全性。

3.VLAN的設計與實現

3.1設置VTP管理域

VTP（VLAN Trunk Protocol）協議主要用于多臺局域網交換機互聯情況下有效管理VLAN的配置。VTP Domain也叫VLAN的管理域，它由具有相同管理域名稱的交換機組成，每個交換機只能位于一個VTP域中。只要在核心交換機上設置一個管理域，網絡上所有的交換機都自動加入該域，這樣管理域里所有的交換機就能夠了解彼此的VLAN列表。

3.2創建VLAN

可以在管理域中的任何一臺VTP屬性為Server的交換機上建立VLAN，它就會通過VTP通告整個管理域中的所有的交換機。但是如果要將交換機的端口劃入某個VLAN，就必須在該端口所屬的交換機上進行設置。

3.3配置管道（Trunk）

應用管道技術可以使得多個VLAN在一條鏈路上被復用。管道為端口屬于同一個VLAN的交換機之間提供VLAN間的連接。為了保證VLAN的完整性，必須應用標簽技術，Cisco采用兩種方法，其中ISL是Cisco的專有VLAN標簽協議，而IEEE802.1Q則是國際標準。

4.VLAN之間路由的配置實現

由于VLAN相當于子網（Subnet）的概念，所以不同VLAN之間的通信需要用到第三層的路由器。我們在交換機上采用路由交換模塊的方式來實現。VLAN間要實現三層（網絡層）交換，必須給各VLAN分配IP地址。給VLAN分配IP地址分兩種情況，其一，給VLAN所有的節點分配靜態IP地址；其二，給VLAN所有的節點分配動態IP地址。

VLAN配置完成，可以在三層交換模塊上用ping命令測試VLAN配置是否成功，再在各接入VLAN的計算機上設置與所屬VLAN的網絡地址一致的IP地址，并且把默認網關設置為該VLAN的接口地址。這樣，所有的VLAN就可以實現通信了。

5.結語

第三層交換技術是目前校園網建設的主流方案，并且在未來仍將是園區網應用的首選方案，該方案具有良好的性價比和較好的可管理性。以第三層交換機作為校園網的核心交換機，通過配置合適的VLAN，可以靈活地管理校園網上的用戶和子網，并實現子網間第三層協議的線速路由。在我校校園網絡VLAN的規劃與實施中，我們根據校園網絡的結構與應用，結合三層交換機的特點，保證了校園網的靈活性、可管理性及性能。

參考文獻：

［1］徐超汗.計算機網絡及其解決方案［M］.北京：電子工業出版社，1999.

［2］Karen Webb.組建CISCO分層交換網絡［M］.北京：人民郵電出版社，2000.

［3］Louis R S.CISCO Catalyst局域網交換技術［M］.北京：機械工業出版社，2000.

［4］張國祥.校園網VLAN的研究與實現［J］.湖北師范學院學報（自然科學版），2004.