基于VLAN技術的多校區網絡架構研究

王彬 和剛

摘 要：文章以VLAN和VPN技術的實現為基礎，研究高校同地多校區的網絡架構，通過PACKET TRACER環境下模擬構建多校區網絡，利用思科（CCNA）語言進行路由器和交換機配置、VLAN、VPN的建立連接來實現高校網絡構建，從而實現了不同校區之間的同一VLAN之間的通信。

關鍵詞：Packet tracer；VPN；VLAN；多校區通信

隨著網絡、科技、教育的快速發展，各地高校的教育規模逐步擴大，很多高校會選擇同地多校區的模式，從而也給各學校帶來了新的挑戰。為此，大多數院校使用了VPN，VLAN技術來解決同地不同校區之間的限制，使同一高校中的同學、教師、行政人員、科研人員等能夠不受地理位置的限制，方便、快捷、安全的辦公和教學。

本文從解決多校區之間的同一校園網問題出發，以VPN，VLAN作為基礎技術，構建統一的、安全的校園網，并給出了解決方案和路由器、交換機等的配置代碼。

1 VLAN技術

VLAN技術是指在局域網內不考慮設備的地理位置，通過邏輯分區以設備或用戶的屬性為主將設備劃分到虛擬的同一網絡下，實現同一網絡下支持通信、不同網絡之間無法通信的一種嶄新技術。這種技術更加穩定、安全、便捷，不同區域之間避免了因管理、工作等效率低下而產生的問題。

VLAN技術實現了同一區域內多臺交換機之間的資源共享，其劃分原理有3種：（1）基于交換機端口的劃分，以端口為主，不同端口之間可以實現不同VLAN的劃分，不同端口之間可以實現同一VLAN劃分。（2）基于MAC地址的劃分，通過連接設備的唯一物理地址來區分設備屬于哪一個VLAN。（3）基于IP地址的劃分，每一個設備連接三層交換機都有一個屬于自己的網絡地址，以地址來區分VLAN。

2 VPN技術

VPN也叫虛擬專用網，它是在正常網絡線路中建立一個虛擬的專用隧道，保證數據在隧道中傳輸安全，并提供一個專享的網絡，使高校能夠透明地通信。VPN能夠讓數據在低成本Internet上保持完整的傳輸，大大解決了網絡的成本。同時，方便了操作和管理，精簡了網絡的設計和構造。

VPN的工作原理是在現有的網絡基礎上，建立一個對數據傳輸進行加密的安全通道，以此通道為通信基準，在登錄VPN之前都需要進行本地的連接，并輸入用戶名和密碼來登錄VPN，這種服務目前很多服務商都能夠提供。

3 網絡架構

某高校有2個校區，分別分布在某市的東西兩邊，2個校區之間分別租用服務商提供的光纖專線相連。在連接網絡時，學校采用的是二層交換機。并通過DHCP獲取網絡地址進行互聯，學校在東校區分別有財務部、機房、人事處。在西校區有財務部、機房、學生處。2個校區都有財務部，并劃分到一個VLAN下，具體的架構如圖1所示。

4 詳細配置

（1）東校區以路由器分別和西校區和ISP連接，在三層交換機的連接下，分別連接了3個二層交換機，分別創建VLAN10，VLAN20，VLAN30，財務部歸屬VLAN10，機房歸屬VLAN20，人事處歸屬VLAN30。

（2）西校區跟東校區相似，也分別創建了3個VLAN，財務部屬于VLAN10，學生處屬VLAN40，機房屬于VLAN20。具體IP地址如下：

東校區：R0：F0/0：192.168.1.1

F0/1：192.168.1.2 S0/1/0：192.168.2.1

S0/1/1：192.168.2.2 S1：F0/1：192.168.1.3

F0/2：192.168.1.4

西校區：R2：F0/0：192.168.2.1F0/1：192.168.2.2

S0/1/0：192.16 8.3.1S0/1/1：192.16 8.3.2 S0：F0/1：192.168.2.3

F0/2：192.168.2.4

東校區部分具體設備配置如下：

Router>en

Router#configure terminal

Router（config）#eee new-model

Router（config）#eee authorization network login tt local group radius local

Router（config）#eee authorization network yy local group radius local

Router（config）#crypto isakmp policy 10

Router（config-isakmp）#authentication pre-share

Router（config-isakmp）#group 2

Router（config-isakmp）#exit

Router（config）#crypto isak mp client configuration group cisco

Router（config-isakmp-group）#key 270

Router（config-isakmp-group）#pool vpn

Router（config）#crypto map bohai client authentication list tt

Router（config）#crypto map bohai client authorization list yy

Router（config）#crypto map bohai client configuration address respond

Router（config）#radius-server host 192.168.1.20 auth-port 1645 key 270

Router（config）#ip local pool vpn 192.168.1.30 192.168.1.100

Router（config）#inter s0/1/1

Router（config-if）#crypto map bohai

以上是東校區部分重要設備的配置命令，其他設備命令均省略。通過這樣的規劃可以實現東校區和西校區達到共處一個校園網的效果，東校區的財務室和西校區的財務室之間可以安全地通信，其他部門之間不屬于同一個區域，不能直接進行通信，保證了各個部門之間的安全性。

5 結語

隨著目前技術的快速發展，網絡的技術給各大高校以及企業的通信提供了基礎，一般核心技術都在服務器上，像各大高校內的財務室，數據特別重要，需要安全穩定的網絡，所以會建立VPN技術以保證安全、可靠，并通過VLAN技術區分不同區域，使不同區域之間不能直接通信。

本文給出了高校同地多校區之間不同通信的網絡架構和命令的配置，所有的內容都是基于Packet tracer軟件進行的模擬，基本涉及網絡架構、路由器和交換機的配置、服務器的配置以及遠程登錄等配置。

[參考文獻]

[1]張梁斌，高昆，梁世斌，等.基于Packet Tracer5.3的集團公司異地網絡架構的仿真實驗教學[J].浙江萬里學院學報，2012（5）：104-110.

[2]王彬，高昆.基于VPN技術的小型企業網絡構建[J].浙江萬里學院學報，2015（4）：85-90.

Study on Multi-campus Network Architecture Based on the VLAN Technology

Wang Bin，He Gang

（Bohai Polytechnic Vocational College， Huanghua 061199， China）

Abstract：Based on the VLAN and the realization of VPN technology， research university with multi-campus network architecture， through the PACKET TRACER environment to simulate the construction of multi-campus network， use the cisco configure routers and switches （CCNA） language， VLAN， VPN connection is established to realize the network construction. Between different campus so as to achieve the communication between the same VLAN.

Key words：Packet tracer； VPN； VLAN； multi-campus communication