基于VLAN技術的校園網研究

隨著Internet 技術、網絡技術、信息技術、多媒體技術的迅猛發展，校園網已經成為學校教學、科研、管理、信息獲取的重要手段。但是，校園網訪問方式多、用戶群龐大、網絡行為突發性高，為了保證校園網的正常運行和安全，本文主要針對校園網的特點和傳統局域網的缺陷，重點介紹了基于VLAN技術構建安全校園網絡的應用。

一、傳統LAN環境

傳統LAN通常由HUB、網橋、交換機等網絡設備將同一網段的所有節點連接在一起而形成，各節點通常按照它們的物理連接被自然地劃分到各個廣播域。處于同一LAN內的網絡節點間可以直接通信，而處于不同局域網之間的通信則必須通過路由器才能通信。

當LAN中出現機器網卡損壞、網絡環路或由于病毒等現象引起廣播風暴時，由于LAN的連接設備大多采用集線器、網橋或交換機，都不具備隔離廣播風暴的功能，因此整個網絡的通信就會陷入癱瘓。為了隔離廣播風暴，往往采用將一個大的網絡劃分為若干個小的廣播域，用能隔離廣播風暴的設備路由器將各個小廣播域連接起來。

隨著網絡應用的不斷加強，網絡結構越來越復雜，各LAN之間、各小廣播域之間的通信需要更多的路由器。通信信息經過路由器后，路由器根據數據包中的信息確定數據包的目標地址，然后通過路由表選擇最佳的路徑將信息傳遞到目的地，隨著路由器數目的增多，網絡延時逐漸加長，最終導致網絡數據傳輸速度下降。而且在LAN環境中，每次人員的變動都必須從物理上對其進行變更，須耗費很多的時間和精力。

二、校園網絡特點分析

在發達國家中，校園網的發展已經有很多年的歷史，已成為學校發展的重要基礎設施。我國校園網建設起步較晚，1987年清華大學創建的校園網是我國最早的。校園網對于提高教學和科研質量、加快學校信息化建設、開展多媒體教學與研究、改善教學和科研條件有著十分重要的意義。

校園網網絡大，故障定位復雜，維護難度大。由于教學逐步走向網絡化、多媒體計算機教學越來越普及、學生在線學習、娛樂時間增加，不僅要保證校園網的穩定可靠，還必須提供24小時正常和高效運行，因此網絡的維護只能利用比較空閑、流量較小的時間段。

校園網用戶群密集，網絡安全問題蔓延快、對網絡影響嚴重。某臺計算機由于各種原因出現故障，反過來又會影響整個網絡。而且應用網絡的年輕群體占大部分，好奇心大、敢于嘗試，不考慮網絡的運行環境，在網上大膽嘗試隨意下載學到的或自己創新的技術，不顧及是否有后門或其他風險，對網絡產生破壞和影響。

校園網業務多，開放性強。校園網是教學、科研的特定場所，也是新技術、新知識最先應用的場所，業務項目多，網絡環境相對比較寬松。不能像企業一樣，采取哪一部分影響網絡的運行安全就停止該服務或關閉該端口的措施，因此安全隱患比較大。

校園網管理難度大。計算機購置和配置情況復雜，部分是統一購置，部分是個人購買，其配置程度不一，很難統一管理。沒有相應的安全管理措施，一旦出現安全問題，責任難于到位;還有的學校由于人手不夠或其他原因，甚至出現無人管理的情況。

隨著每個端口以太網和令牌環網的交換機價格下降，為了獲得更高的帶寬，越來越多的學校和組織傾向于給每個用戶分配一個單獨的交換端口。

校園網的使用引起了教學方法、教學手段、教學工具的重大革新，為學校管理者和老師提供了獲取資源、協同工作的有效途徑，是教育信息化發展不可或缺的工具。校園網安全、高效運行是每個校園網信息獲取和教學的保障，在校園網中采用新興技術迫在眉睫。

三、VLAN技術

VLAN技術是在局域網內將工作站邏輯的劃分成一個個網段從而實現虛擬工作組的技術。IEEE于1999年頒布了802.1Q關于VLAN的協議草案，是為了解決以太網廣播問題和安全性而提出的協議。

VLAN并非一種新型的網絡，是包含一組端站點的邏輯上的LAN，其中的站點似乎被同一網線連接在一起，而實際上可能出于LAN的不同物理網段。是一組邏輯上的設備或用戶，它們就好像處于同一個物理LAN中一樣相互通信，不受物理位置的限制。

基于交換網絡的VLAN目前大致可分為4類:基于端口的VLAN、基于MAC地址的VLAN、基于路由的VLAN和基于策略的VLAN。基于端口的VLAN劃分是最簡單、最有效的劃分方法，是基于交換機端口的劃分方法，只需網絡管理員對網絡設備的交換端口進行重新分配，不需考慮該端口所連接的設備，就可將屬于不同交換機端口的不同網段劃分在一個VLAN中;基于MAC地址的VLAN是MAC地址的集合，允許網絡用戶從一個位置移動到另一個物理位置，且自動保留起所屬VLAN的成員身份，是基于網絡用戶的，但由于MAC地址的唯一性，初始化困難，且網卡更換就必須重新配置，另外它不能防止MAC欺騙攻擊，有可能受到假冒MAC地址攻擊的危險。

VLAN技術的出現為網絡設計、擴展、更改提供了更大的靈活性，主要體現如下:

1.提高網絡設計的靈活性

處于不同地理位置的站點可劃分到同一個虛擬網中，不受地理位置的限制;可根據功能、項目組、應用的需要來劃分用戶和設備，可根據實際情況增加或減少用戶。

2.方便站點的移動、增加和變化，大大提高管理動態網絡的能力

由于某種原因，用戶工作位置發生變化時，采用傳統局域網技術的用戶需要對站點的IP地址、缺省網關進行修改后才能上網;采用基于MAC地址VLAN技術的用戶則可不作任何修改，在網上的任意位置都可上網，因為VLAN成員不是捆綁在某固定工作站上的;反過來，用戶的實際位置不發生改變卻變更了部門，網絡管理員也可以通過改變VLAN成員的方式讓用戶與VLAN的邏輯關系發生改變。減少了日常管理開銷，提供了更大的配置靈活性。

3.提高網絡安全功能

采用傳統局域網技術的網絡，只要利用一臺PC裝上協議分析軟件，連到集線器上就可攔截該網段上的所有數據，采用基于MAC地址的VLAN技術時就不可能攔截該VLAN的數據;VLAN與VLAN間邏輯上是分開的，VLAN成員的數據包只能在同一VLAN內部傳送，即使處于同一網絡中，不同VLAN間也不能進行直接通信，有效的避免了廣播風暴的傳播;校園網中如財務管理、人事檔案管理及一些不對外公開的科研數據資料庫等應用系統，網絡管理員可采用VLAN技術對廣播域進行邏輯劃分，達到限制用戶非法訪問的目的，從而確保重要部門的數據安全。除非設置了監聽口，信息交換就不可能存在監聽和插入問題，提高了網絡的安全性能;對于內網，采用基于MAC地址的VLAN技術，可有效防止IP地址盜用問題。

4.方便高效

采用VLAN技術的網絡中，每個VLAN內的站點可直接訪問該VLAN內的服務器，提高了網絡的響應速度;同時，同一個VLAN內的站點可以非常方便地進行通信。

5.簡化網絡管理

VLAN是一個在物理網絡上根據用途、工作組、應用等來邏輯劃分的局域網絡，與用戶的物理位置沒有關系。采用VLAN技術，網絡管理員只需設置指令就能為某個項目或任務建立VLAN。

四、VLAN技術在我校校園網中的應用

1.校園網概況

校園網以設在行政樓的校園網網絡中心為核心，覆蓋教學樓、教師公寓、機房等主要區域。采用H3CER5200交換機作為中心交換機，在其他樓配置二級交換機，樓與樓之間采用H3C5016P產品作為交換機。

2.校園網具體情況介紹

入口:學校與電信的網絡接口帶寬為100MB，與教育網的網絡接口帶寬為10MB

域名:zjjdjx.com

電信IP地址:60.191.164.2

中心交換機:H3CER5200

目前校園網覆蓋的樓包括:行政樓、教學樓、機房、教師公寓。

3.學校系統情況

目前學校運行的系統主要為:Web服務器一臺;Ftp服務器一臺;Emqil服務器一臺。

就網絡整體結構而言，我校校園網是一個千兆和百兆以太網鏈路連接的園區網絡。整個網絡根據范圍的限制可分為兩個大的部分:內網和外網。從網絡安全級別的角度考慮又可將內網分為兩大部分:第一部分為重點信息安全保護區，即校園網的重要應用服務器群和重要部門的網絡設備和用戶;第二部分為普通信息安全區，即校園網中普通應用的網絡設備和用戶。外網即為校園外部網絡區域，也就是與校園網相連的教育網和INTERNET。校園網重點考慮網絡內部安全:包括信息訪問安全和物理安全。信息訪問安全即為內部網絡各部門和用戶之間要能相互進行信息交換，又要保護重要部門數據的保密性，同時應禁止外部用戶非法訪問內部數據。

4.校園網系統規劃

安全技術:根據校園網的具體情況，為了達到信息流量的控制，并提供良好的安全性，通過對網絡邏輯結構進行分析和合理劃分，采用基于端口VLAN技術對校園內部網絡不同部門之間進行邏輯隔離，同時抑制廣播風暴。根據學校具體建筑物分布情況，每棟或每單元樓設置為一個VLAN，共設置20個，VLAN2到VLAN21，VLAN1為交換機出廠時設置，不可更改，不可刪除。

拓撲結構:以太網拓撲結構主要有總線型、星型、環型、網狀型、樹型。總線型拓撲所有的站點都鏈接在同一電纜上，很難進行錯誤診斷和網絡隔離，電纜上的一處故障可能會導致整個網絡癱瘓;星型拓撲結構有一個中心控制點，連接簡單，故障檢測和隔離方便，網絡訪問協議簡單，服務方便，成本低、易于管理、容易擴展，我校網絡是以網絡中心作為中心點，向周圍建筑物輻射，所以校園網拓撲結構主體采用星型拓撲，內部網絡拓撲為典型的樹型拓撲結構。具體見校園網絡拓撲結構圖(見圖)。

校園網絡拓撲結構圖

VLAN技術的有效的避免了校園網的廣播風暴產生，方便了網絡的管理，也增強了網絡的安全性和靈活性。因而VLAN技術在校園網中得到了廣泛的應用。

(作者單位:浙江省機電技工學校)