VLAN技術在校園網(wǎng)中的應用

1、VLAN技術在校園網(wǎng)中的應用大冷蒙古族九年制學校-李東方中文摘要VLAN(Virtual Local Area Network)的中文名為“虛擬局域網(wǎng)”。VLAN是一種將局域網(wǎng)設備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術。這一新興技術主要應用于交換機和路由器中，但主流應用還是在交換機之中。但又不是所有交換機都具有此功能，只有VLAN協(xié)議的第三層以上交換機才具有此功能。VLAN在邏輯上等價于廣播域。更具體的說，我們可以將VLAN類比成一組最終用戶的集合。這些用戶可以處在不同的物理LAN上，但他們之間可以象在同一個LAN上那樣自由通信而不受物理位置的限制。在這里，網(wǎng)絡的定義和

2、劃分與物理位置和物理連接是沒有任何必然聯(lián)系的。網(wǎng)絡管理員可以根據(jù)不同的需要，通過相應的網(wǎng)絡軟件靈活的建立和配置虛擬網(wǎng)，并為每個虛擬網(wǎng)分配它所需要的帶寬。隨著校園網(wǎng)的不斷發(fā)展，規(guī)模在不斷擴大，用戶在不斷增加，網(wǎng)絡應用也在不斷增長，網(wǎng)絡變得越來越擁擠，沖突不斷產(chǎn)生，管理難度日益加大。學校內(nèi)部對于靈活、動態(tài)地組建LAN網(wǎng)段的要求也越來越多，客觀上要求LAN本身的結構可以實現(xiàn)動態(tài)組建、調(diào)整和管理。為了有效地提高網(wǎng)絡管理的靈活性，提高網(wǎng)絡效率和網(wǎng)絡安全性，充分合理地進行VLAN劃分，是必需的。關鍵詞：VLAN；交換機；廣播域；配置；規(guī)劃；管理；局域網(wǎng)；AbstractVLAN (Virtual Loca

3、l Area Network) Chinese named “virtual local area network”. VLAN is one kind divides logically the local area network equipment each one webpage, thus realizes the hypothesized work teams emerging data exchange technology. This emerging technology mainly applies in the switchboard and the router, bu

4、t mainstream application in switchboard. But is not all switchboards has this function, only then the VLAN agreements third above switchboard only then has this function. VLAN is to solve one kind of agreement which fastEthernets broadcast question and the security proposed, it increased the VLAN he

5、ad in the fastEthernet frames foundation, with VLAN ID the user parting for a younger work team, user two exchange visits between the limit different work teams, each work team is a virtual local area network. Virtual local area networks advantage is may limit the broadcasting area, and can form the

6、 hypothesized work team, dynamic management network. Along with the campus nets unceasing development, the scale is expanding unceasingly, the user is increasing unceasingly, the network application unceasingly is also growing, the network becomes more and more crowded, the conflict produces unceasi

7、ngly, manages the difficulty to enlarge day by day. The school interior regarding nimble, dynamic sets up the LAN webpage the request to be also getting more and more, objectively requests LAN structure to be possible to realize dynamic sets up, the adjustment and the management. To enhance the netw

8、ork management effectively the flexibility, raises the network efficiency and the network security, carries on the VLAN division reasonably fully, is essential. Key wordsVLAN (Virtual Local Area Network)；Switch；Broadcast domain；Configuration Setting；To plan；Ascheme；LAN (the abbreviation of Local Are

9、a Network)；1緒論從傳統(tǒng)的以太網(wǎng)（10Mb/s）發(fā)展到快速以太網(wǎng)（100Mb/s）和千兆以太網(wǎng)（1000Mb/s）也不過幾年的時間，其迅猛的勢頭實在令人吃驚。而現(xiàn)在中大型規(guī)模網(wǎng)絡建設中，以千兆三層交換機為核心的所謂“千兆主干、百兆桌面”的主流網(wǎng)絡模型已不勝枚舉?，F(xiàn)在，網(wǎng)絡業(yè)界對“三層交換”和VLAN這兩詞已經(jīng)不感到陌生了。在一個傳統(tǒng)的LAN中，計算機之間通過集線器（Hub）或中繼器（Repeater）相連接。如果有兩臺乃至兩臺以上計算機同時通過LAN的通信總線發(fā)送數(shù)據(jù)時，它們將不可避免地發(fā)生沖突，已發(fā)送的數(shù)據(jù)也將丟失。更主要的是，一旦有沖突發(fā)生，沖突將通過集線器或中繼器被傳送到整個網(wǎng)

10、絡中，使得暫時誰也無法再發(fā)送數(shù)據(jù)。于是發(fā)送者們只好停下來，等到這次沖突平息之后再試著去發(fā)送已丟失的數(shù)據(jù)這是對時間和資源的很大浪費。從上面的介紹可以看出，在一個網(wǎng)絡中如何定義沖突域和廣播域取決于其中的各個計算機、集線器（或中繼器）、網(wǎng)橋（或交換機）和路由器在物理空間上是如何分布、如何連接在一起的這意味著同一個LAN中的所有設備必須位于同一物理空間范圍內(nèi)，比如說同一層樓、同一個辦公區(qū)域等。另外，LAN的一個主要用戶是企業(yè)。隨著現(xiàn)代企業(yè)中跨部門跨職能開發(fā)團隊出現(xiàn)得越來越多，企業(yè)內(nèi)部對于靈活、動態(tài)地組建LAN網(wǎng)段的要求也越來越多，客觀上要求LAN本身的結構可以實現(xiàn)動態(tài)組建、調(diào)整和管理。這時，虛擬局域網(wǎng)

11、（Virtual LAN）技術就適時地出現(xiàn)了。2. VLAN 技術簡介 局域網(wǎng)的發(fā)展是VLAN產(chǎn)生的基礎，所以在介紹VLAN之前，我們先來了解一下局域網(wǎng)的有關知識。 局域網(wǎng)（LAN）通常是一個單獨的廣播域，主要由Hub、網(wǎng)橋或交換機等網(wǎng)絡設備連接同一網(wǎng)段內(nèi)的所有節(jié)點形成。處于同一個局域網(wǎng)之內(nèi)的網(wǎng)絡節(jié)點之間可以直接通信，而處于不同局域網(wǎng)段的設備之間的通信則必須經(jīng)過路由器才能通信。但這樣做存在兩個缺陷： 首先，隨著網(wǎng)絡中路由器數(shù)量的增多，網(wǎng)絡延時逐漸加長，從而導致網(wǎng)絡數(shù)據(jù)傳輸速度的下降。這主要是因為數(shù)據(jù)在從一個局域網(wǎng)傳遞到另一個局域網(wǎng)時，必須經(jīng)過路由器的路由操作: 路由器根據(jù)數(shù)據(jù)包中的相應信息確定

12、數(shù)據(jù)包的目標地址，然后再選擇合適的路徑轉發(fā)出去。 其次，用戶是按照它們的物理連接被自然地劃分到不同的用戶組（廣播域）中。這種分割方式并不是根據(jù)工作組中所有用戶的共同需要和帶寬的需求來進行的。因此，盡管不同的工作組或部門對帶寬的需求有很大的差異，但它們卻被機械地劃分到同一個廣播域中爭用相同的帶寬。2.1VLAN的優(yōu)點2.1.1 提高網(wǎng)絡性能應用VLAN技術可以提高網(wǎng)絡性能：其一，VLAN技術允許網(wǎng)絡管理者將交換機上的端口作邏輯分組，使得從某個VLAN中產(chǎn)生的字節(jié)流只能在從屬于該VLAN的交換機端口之間流動。其二，相比較網(wǎng)橋和交換機而言，路由器在處理接收到的數(shù)據(jù)時要慢一些。2.1.2 組建虛擬組織

13、如前所述，VLAN技術是隨著人們生產(chǎn)活動中越來越多的跨部門跨職能開發(fā)團隊的出現(xiàn)而提出的。組建虛擬組織、特別是虛擬工作組，是提出VLAN技術的初衷和目標之一。在實際應用時，對于同一個工作組內(nèi)的成員，在該工作組存在的短時期內(nèi)，可以把他們的計算機工作站劃分在一個VLAN里以便于其進行通信。這樣，每個組內(nèi)成員的計算機工作站既無需搬移到一起、也無需改變各自的設置，只需在網(wǎng)絡管理者那里作一些改變就可以了。2.1.3 簡化網(wǎng)絡管理根據(jù)David J. Buerger的分析計算，傳統(tǒng)的LAN中約有70%的網(wǎng)絡花銷是因為添加、刪除移動、更改網(wǎng)絡用戶而導致的。每當有一個用戶加入局域網(wǎng)，就會引發(fā)一系列的端口分配、地

14、址分配、網(wǎng)絡設備重新配置等網(wǎng)絡管理任務。在使用VLAN技術后，這些任務都可得以簡化。舉例來說，當某臺計算機工作站從一個空間位置移動到另一個空間位置時，不需要為其重新手工配置網(wǎng)絡屬性，網(wǎng)絡自身就能夠動態(tài)地完成這項任務。這種動態(tài)管理網(wǎng)絡的方式給網(wǎng)絡管理者和使用者都帶來了極大的便利。2.1.4 提高網(wǎng)絡安全在傳統(tǒng)的局域網(wǎng)中，不時的會有些敏感數(shù)據(jù)被有意或無意地廣播到網(wǎng)絡上，從而有可能造成信息泄密。在這種情況下，確定誰可以訪問到這些數(shù)據(jù)就顯得很重要。使用VLAN技術可以將敏感數(shù)據(jù)的傳播限制在安全范圍內(nèi)，只允許已定義的VLAN成員訪問相關數(shù)據(jù)。VLAN還可被用來設立防火墻、限制數(shù)據(jù)訪問以及將網(wǎng)絡入侵事件通

15、知給網(wǎng)絡管理者等，這些都可以提高網(wǎng)絡的安全系數(shù)。2.1.5減少設備投資VLAN技術可被用來創(chuàng)建邏輯的廣播域，因而可以減少用于購買昂貴的路由器等廣播域隔離設備的投資。2.2VLAN 的劃分方式2.2.1. 基于端口劃分的VLAN以網(wǎng)絡設備的哪個端口屬于哪個VLAN的標準來劃分VLAN。例如，在一個有8個端口的網(wǎng)橋中，端口1、2、4、7屬于VLAN1，而端口3、5、6、8屬于VLAN2。則與這些端口相連的設備、這些設備收發(fā)的數(shù)據(jù)幀相應地也分別屬于VLAN1、VLAN2。究竟如何配置，由管理員決定。如果有多個網(wǎng)絡設備，例如有多個交換機，可以指定交換機1的16端口和交換機2的14端口為同一VLAN，即

16、同一VLAN可以跨越數(shù)個交換機，根據(jù)端口劃分是目前定義VLAN的最常用的方法，IEEE 802.1Q協(xié)議標準草案中對如何根據(jù)交換機的端口來劃分VLAN給出了明確的規(guī)定。這種劃分方法的優(yōu)點和缺點都很明顯：優(yōu)點是定義VLAN成員時非常簡單，只要將所有的端口都指定一下就可以了；缺點是不允許用戶隨便移動。如果屬于某個VLAN的用戶離開了原來的端口，到了一個新的網(wǎng)絡設備的某個端口，那么網(wǎng)絡管理者就必須重新定義VLAN。2.2.2 基于MAC地址劃分VLAN以計算機工作站網(wǎng)卡的MAC地址來劃分VLAN。這種劃分方法的最大優(yōu)點就是由于一個MAC地址唯一對應一塊計算機網(wǎng)卡，故此當某個計算機工作站物理位置改變時

17、、即從一臺交換機轉移到另一臺交換機時，不需要重新配置VLAN；而缺點是所有的VLAN成員必須事先定義，這在有數(shù)以百計乃至千計用戶的網(wǎng)絡中，這并不是一件輕松的事。而且這種劃分方法也導致了交換機執(zhí)行效率的降低，因為交換機的每一個端口都可能連接許多不同VLAN組的成員，這樣就無法限制廣播報文了。另外，對于使用筆記本電腦的用戶來說，他們的網(wǎng)卡可能經(jīng)常更換，VLAN就必須不停的配置。2.2.3.基于網(wǎng)絡層協(xié)議類型劃分VLAN如果網(wǎng)絡支持多網(wǎng)絡層協(xié)議，那么根據(jù)數(shù)據(jù)幀頭中的網(wǎng)絡層協(xié)議類型字段也可以劃分VLAN。這對網(wǎng)絡管理者來說很重要，同時，這種方法不需要附加的幀標簽來識別VLAN，可以減少網(wǎng)絡的通信量。2

18、.2.4 基于網(wǎng)絡層子網(wǎng)地址劃分VLAN根據(jù)數(shù)據(jù)報文頭中的網(wǎng)絡層子網(wǎng)地址也可以劃分VLAN。雖然這種劃分方法根據(jù)的是第3層信息即網(wǎng)絡地址（比如IP地址），但它與網(wǎng)絡層的路由功能一點關系也沒有。它只是查看每個數(shù)據(jù)報文的網(wǎng)絡層地址，并根據(jù)過濾數(shù)據(jù)庫中事先定義好的信息決定其歸屬于哪個VLAN，然后再根據(jù)生成樹算法進行橋交換，并不牽涉任何路由操作22.2.5 基于網(wǎng)絡層組播地址劃分VLAN網(wǎng)絡層組播實際上是一種VLAN。即認為一個組播組就是一個VLAN，這種劃分方法實際將VLAN擴大到了WAN。該方法的應用程序的類型乃至兩者的綜合來劃分VLAN也是有可能的。例如，規(guī)定所有的FTP應用在一個VLAN里運

19、行而所有的Telnet應用在另一個VLAN里運行。這些方法的缺點在于它們都很費時，都要求更高的處理技術和更快的處理速度，目前的實現(xiàn)尚無法令人們滿意。2.2.6 基于網(wǎng)絡層以上協(xié)議乃至應用程序的類型劃分VLAN根據(jù)網(wǎng)絡層以上協(xié)議的類型、可以自動檢查數(shù)據(jù)幀的幀頭，但檢查數(shù)據(jù)報文的報文頭，則需要更高的技術（設備設計制造成本也會相應增加），同時也更費時。當然，這跟各個廠商的實現(xiàn)方法有關。2.4VLAN的標準2.4.1IEEE802.1QIEEE802.1Q，俗稱“Dot One Q”，是經(jīng)過IEEE認證的對數(shù)據(jù)幀附加VLAN識別信息的協(xié)議。在此，請大家先回憶一下以太網(wǎng)數(shù)據(jù)幀的標準格式。IEEE802.

20、1Q所附加的VLAN識別信息，位于數(shù)據(jù)幀中“發(fā)送源MAC地址”與“類別域（Type Field）”之間。具體內(nèi)容為2字節(jié)的TPID和2字節(jié)的TCI，共計4字節(jié)。2.4.2 Cisco ISLISL，是Cisco產(chǎn)品支持的一種與IEEE802.1Q類似的、用于在匯聚鏈路上附加VLAN信息的協(xié)議。使用ISL后，每個數(shù)據(jù)幀頭部都會被附加26字節(jié)的“ISL包頭（ISL Header）”，并且在幀尾帶上通過對包括ISL包頭在內(nèi)的整個數(shù)據(jù)幀進行計算后得到的4字節(jié)CRC值。換而言之，就是總共增加了30字節(jié)的信息。在使用ISL的環(huán)境下，當數(shù)據(jù)幀離開匯聚鏈路時，只要簡單地去除ISL包頭和新CRC就可以了。由于原

21、先的數(shù)據(jù)幀及其CRC都被完整保留，因此無需重新計算CRC。3VLAN在校園網(wǎng)中的應用實例3.1校園網(wǎng)絡特點分析就網(wǎng)絡整體結構而言，校園網(wǎng)是一個千兆和百兆以太網(wǎng)鏈路連接的園區(qū)網(wǎng)絡。整個網(wǎng)絡根據(jù)范圍的限制可分為兩個大的部分：內(nèi)網(wǎng)和外網(wǎng)。從網(wǎng)絡安全級別的角度考慮又可將內(nèi)網(wǎng)分為兩大部分：第一部分為重點信息安全保護區(qū)，即校園網(wǎng)的重要應用服務器群和重要部門的網(wǎng)絡設備和用戶；第二部分為普通信息安全區(qū)，即校園網(wǎng)中普通應用的網(wǎng)絡設備和用戶。外網(wǎng)即為校園外部網(wǎng)絡區(qū)域，也就是與校園網(wǎng)相連的教育網(wǎng)和INTERNET。校園網(wǎng)重點考慮網(wǎng)絡內(nèi)部安全：包括信息訪問安全和物理安全。信息訪問安全即為內(nèi)部網(wǎng)絡各部門和用戶之間要能相

22、互進行信息交換，又要保護重要部門數(shù)據(jù)的保密性，同時應禁止外部用戶非法訪問內(nèi)部數(shù)據(jù) 。3.2某校園網(wǎng)VLAN劃分3.2.1規(guī)劃VLAN某校有8個班級，4個專業(yè)，三個辦公室和一個機房。把同一專業(yè)劃分為一個VLAN，4個專業(yè)劃分為4個VLAN三個辦公室劃分為一個VLAN。機房為一個單獨的VLAN。所以劃分為6個VLAN。VLAN號VLAN名端口號1VLAN1switch0/12zhongwenswitch0/23yingyuswitch0/34shuxueswitch0/45bangongshiswitch0/5VLAN1的中名字為VLAN1它的名字不能被改變。任何沒有專有的靜態(tài)端口被認為是VLAN

23、1中。3.2.2配置VLAN1連接交換機連接交換機可以有兩種方式：通過控制端口連接和遠程登陸。（1）控制端口（CONSOLE）連接 （2）Telnet登陸在“運行”窗口直接輸入：telnet 34(交換機地址)，回車。如果連接正確就會出現(xiàn)如下圖所示的登陸窗口，鍵入正確的用戶名和密碼。2、配置中繼單擊K按鍵，選擇主界面菜單中K Command Line選項 ，進入如下命令行配置界面：CLI session with the switch is open.To end the CLI session,enter Exit .此時我們進入了交換機的普通用戶模式，就象路由器一樣，

24、這種模式只能查看現(xiàn)在的配置，不能更改配置，并且能夠使用的命令很有限。所以我們必須進入“特權模式”。因為只有中心交換機需要創(chuàng)建和修改VLAN所以將中心交換機設置VTP為服務器模式，其它交換機設置為客戶端模式。中心交換機配置為Switch(config)#vtp domain ciscoSwitch(config)#vtp server其它交換機配置為Switch1(config)#vtp domain ciscoSwitch1(config#vtp clintSwitch2(config)#vtp domain ciscoSwitch2(config#vtp clintSwitch3(confi

25、g)#vtp domain ciscoSwitch3(config#vtp clintSwitch4(config)#vtp domain ciscoSwitch4(config#vtp clintSwitch5(config)#vtp domain ciscoSwitch5(config#vtp clintSwitch6(config)#vtp domain ciscoSwitch6(config#vtp clint為了保證管理域能夠覆蓋所有的分支交換機，必須配置中繼。Cisco交換機能夠支持任何介質作為中繼線，為了實現(xiàn)中繼可使用其特有的ISL標簽。ISL（InterSwitchLink）是

26、一個在交換機之間、交換機與路由器之間及交換機與服務器之間傳遞多個VLAN信息及VLAN數(shù)據(jù)流的協(xié)議，通過在交換機直接相連的端口配置ISL封裝，即可跨越交換機進行整個網(wǎng)絡的VLAN分配和進行配置。Switch(config)interfacc fastEthernet 0/1Switch(config-if)switchportSwitch(config-if)#switchport trunk encapsulation islSwitch(config-if)#switchport mode trunkSwitch(config)interfacc fastEthernet 0/2Switc

27、h(config-if)switchportSwitch(config-if)#switchport trunk encapsulation islSwitch(config-if)#switchport mode trunkSwitch(config)interfacc fastEthernet 0/3Switch(config-if)switchportSwitch(config-if)#switchport trunk encapsulation islSwitch(config-if)#switchport mode trunkSwitch(config)interfacc fastE

28、thernet 0/4Switch(config-if)switchportSwitch(config-if)#switchport trunk encapsulation islSwitch(config-if)#switchport mode trunkSwitch(config)interfacc fastEthernet 0/5Switch(config-if)switchportSwitch(config-if)#switchport trunk encapsulation islSwitch(config-if)#switchport mode trunk在分支交換機端配置如下Sw

29、itch1(config)#interface fastEthernet 0/1Switch1(config-if)Switchport mode trunkSwitch2(config)#interface fastEthernet 0/1Switch2(config-if)Switchport mode trunkSwitch3(config)#interface fastEthernet 0/1Switch3(config-if)Switchport mode trunkSwitch4(config)#interface fastEthernet 0/1Switch4(config-if

30、)Switchport mode trunkSwitch5(config)#interface fastEthernet 0/1Switch5(config-if)Switchport mode trunkSwitch6上的端口1、2、3設置為trunk口。Switch6(config)interfacc fastEthernet 0/1Switch6(config-if)#switchport mode trunkSwitch6(config)interfacc fastEthernet 0/2Switch6(config-if)#switchport mode trunkSwitch6(c

31、onfig)interfacc fastEthernet 0/3Switch6(config-if)#switchport mode trunk3、添加VLANVLAN可以在需要時進行添加。添加VLAN之后，可以使用“show vlan”再次查看交換機上的VLAN配置，確認新的VLAN已經(jīng)添加成功。SwitchSeitch#vlan databaseSwitch(vlan)#vlan 2 name zhongwenSwitch(vlan)#vlan 3 name yingyuSwitch(vlan)#vlan 4 name shuxueSwitch(vlan)#vlan 5 name bangongshi4、為VLAN分配端口以太網(wǎng)交換機通過把某些端口分配給一個特定的VLAN來建立靜態(tài)虛擬網(wǎng)。將一個或一組端口分配給某一個VLAN要使用vlan-membership static/dynamic VLAN號Switchen