基于VLAN技术的校园局域网建设

《基于VLAN技术的校园局域网建设》由会员分享，可在线阅读，更多相关《基于VLAN技术的校园局域网建设（12页珍藏版）》请在装配图网上搜索。

1、基于VLAN技术的校园局域网建设摘要随着计算机网络的高速发展，大大加快了校园网建设和应用的步伐，在校园网中，网络应用不断增长，网络变得越来越拥挤，冲突不断产生，网络受到的威胁也不断增加，管理难度日益加大。因此，学校对于校园网的组建要求越来越高，客观上要求LAN本身的结构可以实现动态组建、调整和管理，从而加快了虚拟子网技术的应用速度。本文通过对校园网进行VLAN规划，详细的介绍VLAN的相关知识。在校园网建设中使用思科交换机3560、2950和路由器2811配置校园VLAN。在校园网中合理的划分VLAN，可通过端口隔离充分防止冲突的产生，并且可以简化校园网的管理及提高网络的安全性。关键词VLAN

2、；冲突；网络安全；校园网引言 校园网是给学校师生提供教学、信息查询和校园管理的一种宽带网络；是学校信息化教学和实现各项智能管理的基础；是建立远程教育体系的基本保障。随着校园网中计算机，交换机等网络设备数量的不断增加，网络流量也随之增大，使得网络出现了各种问题和故障。最主要的问题是广播风暴和IP和冲突，这两个问题会导致校园网络瘫痪，极大的影响了校园网的使用。对于网络管理者而言，急需一种技术来解决这些问题，这就是现在在交换式网络中广泛应用的虚拟局域网(VLAN)技术。VLAN作为一种新型网络技术，能够为解决网络终端节点的灵活配置和网络安全性等问题提供良好手段。因此，VLAN技术被广泛应用于网络建设

3、中，从而为提高网络的工作效率发挥更大作用。随着校园网络的规模不断扩大和发展，也使得VLAN技术在校园网得更广泛应用。1 VLAN技术简介11 什么是VLAN虚拟局域网(VLAN)，是英文Virtual Local Area Network的缩写，是指在交换式网络中，把物理局域网划分成多个独立的逻辑子网，使网络中的站点不受物理位置的限制，可以根据需要灵活地加入、删除不同的逻辑子网的一种新兴网络技术。 一个VLAN中的站点所发送的广播数据包将仅转发至属于同一VLAN的站点。因此在大型网络中使用VLAN，可以缩小广播域，提高网络的传输效率，从而大致提高网络性能的目的。12 VLAN的实现原理VLAN

4、交换机在接收到一个数据包后，首先会对这个数据包进行检查，将该数据包的目的地址与VLAN配置数据库中的MAC地址（这些MAC地址可以是静态配置的也可以是动态学习而得到的）比较，如果数据包的目的地址在同一VLAN中，那么交换机把一个 VLAN标识加到这个数据包上，再将该数据包转发到相应的目的地；如果数据包的目的地址不在同一VLAN中，VLAN交换机则不更改数据包直接转发。比如交换机的15端口都属于VLAN 2，那么当端口1有一个数据包进来时，交换机自动检测到该数据包有没有8021Q标签头时，若没有则会自动为该数据包添加VLAN 2的标签头，然后再将数据包转交给交换机的数据库查询模块，数据库查询模块

5、会根据数据包的目的地址和所属VLAN对数据包进行路由，之后转交给转发模块，因为实际上发送端口所连的以太网段的计算机是不能识别这种数据包的，所以，当转发模块看到这是一个包含VLAN标签头的数据包时，会自动将数据包进来时交换机添加的VLAN标签头去掉。如果发送端口所连的以太网段的计算机能识别VLAN标签头，那么交换机就不需要添加或删除VLAN标签头了。交换机是否删除VLAN标签头这要看发送端口所连的以太网段的主机是否能识别这类数据包，即交换机的端口是哪种类型的端口。通常用于连接两台交换机的端口都是TagAware端口，这样在交换机之间交换数据包时就无须去掉VLAN标签头。13 校园网中应用VLAN

6、技术的意义在校园网的建设中应用VLAN技术，主要有以下几方面的积极意义：第一，提高网络性能。对于大型网络，当信道中广播包的数量占到总量的30%时，网络的传输效率将会下降甚至形成广播风暴，引起网络堵塞。为了解决这一问题，可以通过对网络划分多个虚拟局域网，把经常通信的站点划分到同一VLAN下，因为同一VLAN的广播包只在同一VLAN中进行传播，这样可以把广播限制在各个VLAN内，从而减少整个网络范围内广播包的传输。第二，增强网络安全性。在交换机上划分VLAN以后，VLAN与VLAN之间不能直接通信，要想实现VLAN间的通信，必须通过三层交换设备或路由设备来完成。可以通过路由访问列表和端口分配等VL

7、AN划分原则，控制用户访问权限和逻辑网段大小，将不同用户群划分在不同 VLAN 中，从而提高校园网的整体性能和安全性。如果结合相应的网络技术还可以方便地控制校园网用户的登陆地点，例如开启交换机的认证功能 ,校园网用户在登陆校园网前首先要进行身份认证，可以将认证帐号绑定到具体的VLAN中，这样只有具备相应VLAN认证帐号的用户才能在指定的VALN登陆校园网络。第三，网络管理简单、直观。 应用VLAN技术组建的校园网，可以根据各部门职能、对象组，将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用VLAN技术，大大减轻了网络管理员管

8、理和维护网络的工作负担，降低了网络维护费用。实现了网段和机构的弹性组合机制。第四，降低移动和变更的管理成本。在学校里，由于教学人员的变更比较频繁，当把一台计算机从一个子网转移到另一个子网，如果使用了VLAN，迁移的工作只是在交换机上重新定义VLAN即可，尤其是采用网卡的MAC地址来划分VLAN时，交换机能够自动跟踪该终端的MAC地址，并自动将其纳如定义的VLAN中，对于网络管理而言，可以轻松完成变更。假若使用物理手段划分子网，这种迁移所耗费的精力和时间相当可观的。2 VLAN的划分划分VLAN时，可依据不同原则进行VLAN的划分，一般有以下几种划分方法：（1）基于端口的VLAN划分这种划分是现

9、在比较流行也是最早的划分方式，是根据需要把交换机上的端口划分成若干个逻辑组。这些端口分组能够在一台交换机上也能够跨越几个交换机。一个VLAN的各个端口上的所有终端节点都在一个广播域中，不同的VLAN之间不能直接相互访问，VLAN间的通信需要通过路由来实现。这是划分VLAN方法中最简单、最有效的方法，这种方法只需要网络管理员手动将交换机的所有端口根据需求划入不同的VLAN中，而不需考虑端口所连接的设备。其命令的基本格式为：switchport access vlan vlan-id（2）基于MAC地址的VLAN划分MAC地址是网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。此种方式

10、划分的VLAN，交换机对终端节点的 MAC地址和交换机端口进行跟踪，在新终端节点接入网络时根据已经定义的VLAN与MAC地址对应表将其划分到某一个VLAN中即可。这种VLAN一旦划分完成，无论节点在网络上怎样移动，由于MAC地址保持不变，仍然是所属VLAN的成员，不需重新划分。因此适合有较多移动设备的LAN。（3）基于IPIPX的VLAN划分IP地址由两部分组成：网络号和主机号。若网络中的计算机的网络号相同，那么这些计算机就属于同一网段，位于同一网段的计算机并不要求一定要在同一个物理网络中。这样，我们就可以根据IP地址来划分VLAN。这种划分VLAN方式的好处是有利于在VLAN交换机内部实现路

11、由功能；也有利于将动态主机配置（DHCP）技术结合起来，而且，用户可以在移动终端节点后不用重新配置网络地址，便于网络管理者的管理。其主要缺点在于效率要比第二层差，因为查看三层IP地址比查看MAC地址所消耗的时间更多。互联网分组交换协议IPX（Internetwork Packet Exchange protocol)，是一个专用的协议簇；是Novell NetWare网络的网络层协议；是IPX协议簇中的第三层协议。所以基于IPX划分VLAN的方法，就是按照OSI模型的第三层地址设计出来的。（4）基于策略的VLAN划分这是一种灵活性最好的组成VLAN的方法。在网络管理中制定某种策略，使用这种策略

12、向VLAN分配节点设备，适用于所有的LAN交换机，实际上这种方法是根据网络管理模式和本单位的需求灵活使用基于交换机端口、MAC地址、IP地址、网络层协议等划分方法进行VLAN的划分。（5）基于用户定义、非用户授权的VLAN划分这种划分方式是指为了适应特殊的VLAN网络，特殊的网络用户的特别要求来定义和设计VLAN，且可让不属于VLAN群体的用户对VLAN进行访问。访问时需要提供用户名及密码，在得到了VLAN管理的认证后，方可加入一个VLAN中进行访问。（6）基于网络协议的VLAN划分基于网络层协议划分VLAN，可分为DECnet、AppleTalk、Banyan等VLAN网络。根据网络层协议划

13、分出来的VLAN网络，可使得广播域能够跨越若干个VLAN交换机，这种划分方法有利于针对有具体应用和服务来组织用户的网络管理员来进行VLAN的规划，并且，各VLAN的用户可以在网络中自由移动终端结点，其VLAN成员身份保持不变。因为广播域可域跨越多个VLAN交换机，所以容易使得一些VLAN中的终端结点数量较多，产生大量广播包，使VLAN交换机的效率降低。因此这种划分方法只在有特殊情况时才会使用。3 VLAN交换机的互联方式（1）接入链路。接入链路（Access Link）是将非VLAN标识的结点或者非VLAN成员的VLAN设备接入一个VLAN交换机端口的一个LAN网段上。它不能承载标记数据。（2

14、）中继链路。中继链路（Trunk Link）是承载标记数据（即具有VLAN ID的数据包）的干道链路，它可以承载多个VLAN并且只能支持那些能够识别VLAN帧格式和VLAN成员资格的VLAN设备。中继链路经常用在两个VLAN交换机的连接链路上。4 VLAN间的路由在局域网中对VLAN的合理划分可缩小网络中的广播域，提高网络的传输速度，由于属于不同VLAN中的计算机之间不能直接通信，从而使网络安全性能得到了很大提高，但在实际的很多网络中是要求处于不同VLAN中的之间能够相互通信。如果要实现不同VLAN中计算机的相互通信，必须借助网络层的路由功能来完成。路由功能即由路由器或带有路由功能的三层交换机

15、提供。41 路由器实现VLAN间的通信通过路由器来实现VLAN间通信时，路由器与交换机有两种连接方式：第一种方式，通过路由器的各个物理接口分别与交换机上的每个VLAN相连；第二种方式，通过路由器的逻辑子接口与交换机上的每个VLAN相连。（1）通过路由器的各个物理接口分别与交换机上的每个VLAN相连此种连接方式的好处是对VLAN的管理简单，缺点则是使网络很难扩展。因为每当增加一个新的VLAN，都要消耗路由器的一个端口和交换机上的一个端口，并且还需重新布设一条网线。由于路由器通常不会带有太多LAN接口。在新建VLAN时，为了应对新增的VLAN所需的端口，就必须将路由器升级成带有多个LAN接口的高端

16、产品，而且还要重新布线，这些无形中会增加一大部分开销，从而使得这种连接方法成为一种不实用的办法。（2）通过路由器的逻辑子接口与交换机上的每个VLAN相连这种连接方式只需要路由器一个以太网接口和交换机连接，交换机与路由器连接的这个接口设置为Trunk接口即可。接着在路由器上创建对应各个VLAN的逻辑子接口，如F0/0.1和F0/0.2。42 用三层交换机代替路由器实现VLAN间的通信目前有很多三层以上的交换机，都是厂家通过硬件或软件的方式将路由功能添加到交换机上。由于园区网中的路由比较简单，但又对数据交换的速率要求较高，所以交换机主要应用在园区网中。因此在大中型园区网中通常使用交换机来代替路由器

17、。用交换机代替路由器实现VLAN间的相互通信也有两种方法：第一种方法，就是使用ip routing命令启用交换机的路由功能，然后配置各VLAN的管理地址和一条通信Internet的默认路由。第二种方法，是利用一些高端的交换机，这些交换机支持专用VLAN功能，管理员可使用这种功能来实现VLAN间的通信，但这种方法花销太大，不适合实际的需求。5 校园网VLAN及IP地址规划虚拟局域网(VLAN)将广播域控制在单个VLAN内，从而减少了各个VLAN间主机的广播通信对其他VLAN的影响。在各VLAN间需要相互通信时，可以使用VLAN间的路由来实现。在日益增大的校园网中，VLAN的的合理划分显得尤为重要

18、。划分后的校园网各个部门将位于不同VLAN中，各自独立确保网络安全及网络高效运行，其中各个VLAN具体对应的机构设置及IP地址段见表5-1。表5-1 校园网内部VLAN和IP地址Vlan号Vlan名IP段默认网关备注VLAN 1192.168.1.0/24192.168.1.254管理VLANVLAN 11xzbg192.168.11.0/24192.168.11.254行政办公VLAN 22tsg192.168.22.0/24192.168.22.254图 书 馆VLAN 33wljs192.168.33.0/24192.168.33.254网络教室VLAN 44xsgy192.168.44

19、.0/24192.168.44.254学生公寓VLAN 55jsgy192.168.55.0/24192.168.55.254教师公寓VLAN 66hqgl192.168.66.0/24192.168.66.254后勤管理VLAN 100zxjf192.168.100.0/24192.168.100.254中心机房6 VLAN技术在校园网中的实现VLAN划分在路由器和三层交换机中都可实现，但路由器是基于软件的路由选择操作，效率较低，随着需要路由的数据量增大，传统的路由器将不堪重负，容易成为网络通信瓶颈。三层交换技术是指在二层以太网交换设备基础上，增加了基于第三层地址的包交换后，形成的一种以太网

20、交换技术。应用此技术的交换机我们通常称其为三层交换机。因此在大中型局域网中，以采用三层交换机为主。以某高校校园网为例，采用三层交换技术和VLAN技术相结合对校园网进行组网划分。为了简化校园网的设计、增加校园网的可扩展性，本校园网的组建拟采用分层的试设计的网络，一般分为接入层、汇聚层及核心层三层模型。接入层连接不同的VLAN，服务器群直接与汇聚层相连，核心层主要为汇聚层的网络提供高速分组转发，为整个校园网提供一个高速、安全与具有QoS保障能力的数据传输环境。从而构建安全校园网络，抵制广播风暴。核心层交换机采用Cisco 3560三层交换机，具备路由转发功能。汇聚层交换机也采用Cisco 3650

21、，接入层交换机采用Cisco 2950，由Cisco 2811路由器与Internet连接。结合网络功能模块和网络规模，可将学校按需要划分为7个VLAN。划分后的校园网络拓扑图如图6-1所示。图6-1 网络拓扑图7 VLAN的配置过程及验证71 VLAN的配置过程本方案采用端口划分方式配置VLAN。首先要在汇聚层交换机上设置一个VTP管理域（VLAN Trunking Protocol Domain），并将局域网内所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的VLAN列表。当校园网不断的扩大，网络中的交换机会增多，从而交换机之间链路也会随之增加，交换网络的复杂性也随之增大，这

22、样很可能会造成交换环路问题，这时就需要通过在各交换机上运行生成树协议（STP）来解决这些问题。本网络将核心交换机命名为Core；汇聚层交换机命名为S3560_1、S3560_2，并设置为Server模式，以便在该交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数；分支交换机分别命名为AccessS_1、AccessS_2、AccessS_3、AccessS_N。汇聚层交换机的配置过程如下：S3560_1(config) #vtp mode serverS3560_1(config) #vtp domain school /配置vtp 管理域名分支交换机的配置过程如下：Acces

23、sS_1(config) #vtp mode clientAccessS_1(config) #vtp domain school /将AccessS_1加入管理域为了保证管理域能够覆盖所有的分支交换机，要为交换机的接口配置中继链路。配置中继有两种常见的帧标记技术：ISL和802.1Q。ISL是CISCO特有的技术，不能在CISCO交换机和非CISCO交换之间使用，而802.1Q技术在原有帧的源MAC地址字段后插入标记字段，同时用新的FCS字段代替了原有的FCS字段，该技术是国际标准，得到所有大家的支持。为了方便校园网以后扩充网络设备时可能会用到其他厂商的网络设备，本设计中中继协议采用802.

24、1Q封装协议。汇聚层交换机S3560_1配置过程如下：S3560_1 (config) #int g0/1S3560_1 (config - if) #switchport trunk encapsulation dot1q /配置802.1Q封装协议S3560_1 (config - if) #switchport mode trunk交换机AccessS_1配置过程如下：AccessS_1 (config) #int f0/23AccessS_1 (config - if) #switchport mode trunk注：本设计的接入层交换机采用的是2950交换机。因为2950只能封装do

25、t1q,因此接入层换机和汇聚层交换机相连的端口都无需执行命令switchport trunk encapsulation dot1q。管理域设置完成后，开始创建VLAN，先在汇聚层交换机上进行配置：S3560_1 (config) #vlan 11S3560_1(config-vlan) #name xzbg.S3560_1 (config-vlan) #vlan 100S3560_1 (config-vlan) #name xzjfVLAN创建完成后，分别配置分支交换机的访问链接（Access Link）端口，将交换机端口划入相应vlan中，并把各端口设置成快速端口（PortFast）。以交

26、换机AccessS_1为例，将端口110划入vlan 11。配置命令如下：AccessS_1(config) #int range f0/1-11AccessS_1(config - if) #switchport mode access /把交换机端口设置为access模式，说明该端口是用于连接计算机的，而不是用于trunk。AccessS_1(config - if) #switchport access vlan 11AccessS_1(config - if) #spanning-tree portfast /将端口f0/1到f0/22设置成快速端口由于处于不同VLAN的计算机之间要相

27、互通信，需要通过三层路由交换机来实现，所以需要给各VLAN分配IP地址。给VLAN分配IP地址有两种方法：一种方法是给VLAN所有的节点分配静态IP地址；另一种是给VLAN所有的节点分配动态IP地址。本设计中VLAN间的路由功能由汇聚层的三层交换机S3560_1、S3560_2来完成，采用静态分配IP地址的方法。配置时首先使用ip routing命令启用3层交换机的路由功能，然后为每个VLAN配置默认网关；最后还需要配置内网用户通往外网的默认路由，该默认路由的下一跳地址为路由器R2811的f0/0的IP地址。具体配置如下所示：S3560_1(config) #ip routing S3560_

28、1(config - if) #int vlan 11S3560_1(config - if) #no shutS3560_1(config - if) #ip add 192.168.11.254 255.255.255.0.S3560_1(config) #ip route 0.0.0.0 0.0.0.0 192.168.1.254最后把各个接入VLAN计算机的IP地址设置成所属VLAN的网络地址的子网地址，并且把所属VLAN的管理地址设置为自己的默认网关。这样，VLAN划分就完成了。为了使网络管理员可以在不同的子网中远程登录到交换机并且对交换机进行配置，我们还必须为交换机设置一个管理用I

29、P地址和设置默认网关地址。给交换机设置管理用IP地址只能在交换机的VLAN 1，即本征VLAN中进行设置。按照表1所示，管理VLAN所在的子网是192.168.1.0/24。以接入层交换机AccessS_1为例，AccessS_1的管理IP地址设置为192.168.1.4，默认网关地址为192.168.1.254，则激活本征VLAN的配置过程如下：AccessS_1(config) #int vlan 1AccessS_1(config - if) #ip add 192.168.1.4 255.255.255.0AccessS_1(config - if) #no shutAccessS_1

30、(config - i f) #ip default-gateway 192.168.1.254其他交换机的配置命令相似，这里就不再赘述。为了保证网络中交换机和路由器的安全及正常使用，只有VLAN 100中的计算机能够远程登录到各交换上对其进行相关操作。具体配置为在各交换机及路由器上设置ACL访问控制列表，并把ACL应用到远程登录接口VTY上，对各VLAN远程登录交换机进行限制。ACL命令为：access-list 10 permit 192.168.100.0 0.0.0.25572 实验结果验证实验配置完成后，可以在各交换机上使用show vlan命令查看VLAN的划分情况（如图7-1所示

31、），在PC机上使用ping、telnet命令查看网络中vlan间的通信是否正常和查看是否只有VLAN 100内的PC机可以远程登录到交换机和路由器（如图7-2，图7-3，图7-4所示）。图7-1 在交换机AccessS_1上查看VLAN的划分情况图7-2 在pc1上测试与pc2和pc3的通信是否正常图7-3 在pc1上telnet交换机S3560_1图7-4 在pc9上telnet交换机S3560_18 总结本设计通过使用三层交换技术和VLAN技术的结合来进行基于VLAN技术的校园局域网的设计和配置。在设计过程中使我对大学四年的理论知识有了更系统更全面的掌握；对计算机网络知识有了更进一步的认识和了解，特别是在实际网络设备的配置方面有很大的提高。在网络建设中，对VLAN的规划有了进一步的认识，让我了解到理论联系实际的重要性。通过对校园网的IP地址的分配和VLAN规划，使我深刻的认识到，在计算机网络建设中，一定要根据IP地址分配和VLAN划分原理来进行网络规划。并且，还需考虑到实际情况，如网络设备性能、网络规模、网络运行管理、网络安全和网络升级等方面的因素，形成一套合理的、适当的IP地址分配方案和VLAN规划方案。这将大大提高网络的整体性能，给网络管理带来许多便利。