VLAN技術研究及其在校園網中的應用

費建英

（浙江省桐鄉市高級技工學校 浙江 314500）

0 引言

隨著網絡技術的不斷發展和 Internet的日益普及，許多學校都建立了校園網并投入使用，這無疑對實現資源共享、加快信息處理、減輕工作強度及提高辦事效率等諸多方面都起到了巨大的作用，這就必然要求校園網技術向更安全、更穩定、更高效的方向發展。因此，如何構建一個安全、穩定、高效、實用、便于管理的校園網，成了網絡管理員的重要任務之一。

1 校園網介紹

校園網是指利用網絡設備、通信介質和適宜的組網技術與協議以及各類系統管理軟件和應用軟件，將校園網內計算機和各種終端設備有機地集合起來構成的局域網系統。傳統校園網通常由HUB、網橋、交換機等網絡設備將同一網段的所有節點連接在一起而形成，各節點通常按照它們的物理連接被自然地劃分到局域網中，處于同一局域網內的網絡節點間可以直接通信，而處于不同局域網之間的通信則必須通過路由器才能實現通信。

隨著網絡的不斷擴展，接入設備逐漸增多，網絡結構也日趨復雜，這樣的網絡模式從效率和安全性的角度來考慮都是有所欠缺的。首先一個廣播域內的設備增加，那么在這個廣播域內設備的廣播頻率便會相對增加。廣播頻率的提高，對設備的效率會有很大的影響，因為每一個設備都必須中斷其 CPU 正在處理的業務，來處理收到的廣播包，以決定是否需要對包內的數據作進一步處理，這種中斷降低了 CPU 處理正常業務的效率，增長了完成這些業務的時間，這時廣播不僅消耗了帶寬，而且也降低了用戶工作站的處理效率。信息流很大的時候，就容易形成廣播風暴，甚至造成網絡的癱瘓。其次，按照物理連接將身份、需求各不相同的用戶機械地劃分到相同的用戶組（廣播域）中，網管很難限制對本地網絡中一個或多個特別設備的接入，不僅帶來安全隱患而且限制了網絡的靈活性。對于網絡管理者來說，這就需要有一種技術來解決這些問題，VLAN技術便應運而生。

2 VLAN的定義及其優勢

VLAN（Virtual Local Area Network）即虛擬局域網是一種迅速發展且被廣泛應用的技術，它是建立在交換技術基礎之上的，以軟件方式實現邏輯工作組的劃分與管理?？梢詫⒉煌乩砦恢玫木W絡用戶劃分為一個邏輯網段，同時，在不改動網絡物理連接的情況下可以任意地將設備在工作組或子網之間移動。VLAN的作用是使得同一VLAN中的成員間能夠互相通信，而不同VLAN之間是相互隔離的，如果需要通信則必須通過路由設備，通?？梢圆捎萌龑咏粨Q機來實現路由功能。每一個VLAN都是一個廣播域，廣播包只能在一個VLAN內進行廣播，VLAN間的數據通信必須經過三層轉發。這樣，既優化了網絡的帶寬，減少了網絡交通量，同時也確保了網絡信息的安全。下面從幾個方面具體談談VLAN技術在校園網中的突出作用：

第一、控制網絡上的廣播風暴

使用 VLAN可以將某個交換端口或用戶賦于某個特定的VLAN組，該VLAN組可以在一個交換網中跨接多個交換機。在一個VLAN中的廣播風暴不會送到VLAN之外，同樣，相鄰的端口不會收到其他VLAN產生的廣播風暴。這樣，可以減少廣播流量，釋放帶寬給用戶應用，從而減少廣播風波的產生。

第二、增強網絡的安全性

VLAN技術可以根據學校各部門的具體安全要求，將各部門用戶劃分到不同的VLAN中（例如：校辦公室、財務室、學生機房等都可以單獨劃分VLAN），同一個VLAN內的設備可以進行二層通信，各VLAN間的設備必須通過三層轉發才能實現通信，如果不建立VLAN間的三層轉發，VLAN間完全不能通信，這就起到了隔離的作用，從而保證了每個VLAN內的數據安全。

第三、提高網絡連接的靈活性

借助VLAN技術，能將不同地點、不同網絡、不同用戶組合在一起，形成一個虛擬的網絡環境，就像使用本地LAN一樣方便、靈活、有效。當用戶物理位置移動時，可以在不添加交換機的情況下，能讓該用戶接入到校園網（該用戶屬于原先VLAN）。因此，VLAN可以降低移動或變更工作站地理位置的管理費用與工作量。

3 VLAN在校園網中的應用

以我校為例，在校生人數為兩千人左右，聯網計算機數量四百多臺，校園網主要是發揮三個方面的功能：教學功能、管理功能、信息功能。聯網計算機分布在校園內三幢樓：綜合樓、教學樓、實習工廠，主要涉及部門有行政辦公室、教師辦公室、學生機房和多媒體教室等。校園網采用三層網絡架構設計，分為核心層、匯聚層、接入層三個層次，主干網技術選擇千兆以太網技術，核心交換機采用三層交換機，它能很好地支持VLAN（虛擬局域網）技術。

3.1 VLAN實現途徑

在設計和建設VLAN、實現VLAN應用時首先要決定如何劃分VLAN，即依據什么標準來組織VLAN成員。VLAN的劃分方法一般有基于端口的VLAN劃分、基于MAC地址的VLAN劃分和基于網絡層的VLAN劃分三種方式，不同的劃分方式代表不同的VLAN實現類型：

根據我校校園網的具體情況，為了達到信息流量控制及良好的安全性，采用基于端口的VLAN劃分技術對網絡內不同部門之間進行邏輯隔離，并抑制廣播風暴?；诙丝诘膭澐址绞绞亲詈唵我彩亲畛Ｓ玫?，是指由網絡管理員使用網管軟件或直接設置交換機，將某些端口直接地、強制性地分配給某個VLAN，除非網管人員重新設置，否則，這些端口將一直保持對該VLAN的屬性。它的特點是把交換機按照端口進行分組，每一組定義一個VLAN，這些端口分組能夠在一臺交換機上也能夠跨越幾個交換機。一個VLAN的各個端口上的所有終端都在一個廣播域中，不同的VLAN之間不能直接相互訪問，VLAN間的通信需要通過路由來進行。這種VLAN劃分的主要優點是簡單、容易實現；缺點是不夠靈活，當一個終端發生物理位置變化時要重新設置。

3.2 VLAN規劃

學生機房主要供學生使用，有其特殊性，主要表現為：學生隨意修改IP地址，造成IP地址沖突；由于使用人群的頻繁更換，使用介質各異，各種病毒最容易在此泛濫；一些機房還有使用交互式多媒體教學系統的特殊需求。鑒于以上原因，一般單獨將學生機房和多媒體教室用機劃分為一個VLAN，將各部門教師用機、實習工廠用機分屬于各部門VLAN，將學校行政管理（包括人事、財務以及后勤總務部門）劃分為一個VLAN。在每個VLAN中人們可以傳送具有保密性的資源，網絡管理員可以控制每個VLAN中用戶的數量并綁定它們的IP地址，需要特權才能進入VLAN對其用戶進行訪問。內部VLAN之間的路由由三層交換機實現，從而在多個VLAN子網資源共享的同時，又保證了其相互間的安全性。

4 結束語

VLAN技術在校園網中的應用，有效地限制了廣播風暴，同時增加了網絡連接的靈活性，一定程度上阻斷了ARP病毒在校園網內的大面積傳播，減輕了網絡管理員的工作負擔。但在實際計算機網絡建設中，合理地進行VLAN劃分，還需要認真研究實際情況，考慮網絡設備性能、網絡規模、網絡運行、管理、安全和升級等諸方面因素，形成一套合理、適當的地址分配和VLAN規劃方案，以保障校園網更安全、更穩定、更高效地運行。

[1]林維忠.虛擬局域網（VLAN）技術[M].水利水電出版社，2003

[2]王竹林.校園網組建與管理[M].清華大學出版社，2002

[3]楊超瑜.VLAN技術及其在校園網中的應用[J].產業與科技論壇，2009，8（4）：141-143

[4]翟冰.VLAN 技術探究[J].內蒙古科技與經濟，2009，3：96-97