VLAN技术在校园网中的设计与应用

《VLAN技术在校园网中的设计与应用》由会员分享，可在线阅读，更多相关《VLAN技术在校园网中的设计与应用（39页珍藏版）》请在装配图网上搜索。

1、作者:日期:江西现代职业技术学院毕业设计（论文）题 目 基于VLAN的小型校园网设计姓 名学 院专 业班 级指导教师提交时间论文题目：基于VLAN的小型校园网设计姓名：班级:指导老师：摘要:目前校园网正处于一种高速发展之中，在校园网络中实施VLAN技 术，可以提高网络管理效率、性能、带宽及灵活性，同时还能控制广播风暴，提高校园网安全性能.本文结合高校校园网的特点，从IP规划、 网络架构设计、协议选择、网络设备配置等方面对校园网进行了规划和 设计，并对VLAN技术在校园网中的应用作了较为详细的描述。本文在设计中，采用了 VLAN技术，通过将局域网内的设备逻辑地而 不是物理地划分成一个个网段从而实

2、现虚拟工作组，在不改动网络物理 连接的情况下可以任意移动工作站组成新的逻辑工作组或虚拟子网，从 而提高了系统的运作性能，起到了均衡网络数据流量，合理利用网络资 源的作用。有效利用VLAN技术，根据不同需要实施不同策略，统筹规划, 科学设计，完全可以建设稳定性好、管理性强、安全性高的校园网络。关键词：校园网VLAN 端口目录一、概述 0（一）VLAN技术背景 0（二）本课题的意义 . 3二、VLAN技术的讨论 4（一）TRUNK!路技术 4（二）VTP协议 5（三）VLAN的帧标识 7（四）VLAN之间的通信 9（五）VLAN的划分方式 12（六）VLAN间通信 15三、VLAN技术在校园网中的

3、设计 17（一）网络设备的选择 . 17（二）校园网络的设计 . 18（三）校园网 IP 的规划 . 19（四）VLAN在网络中的划分 19四、VLAN技术在校园网中的测试 22（一）基于RIP协议的测试 23（二）基于OSPf协议的测试 25总结 27参考文献 28致谢 29一、概述(一) VLAN技术背景1。VLAN 技术产生背景虚拟网技术 (VLAN， Virtual Local Area Network) 的诞生主要源于广播。广播在 网络中起着非常重要的作用，如发现新设备、调整网络路径、 IP 地址租赁等等 , 许多 网络协议都要用到广播 , 局域网通常被定义为一个单独的广播域，主要使

4、用集线器或 交换机等网络设备连接同一网段内的所有节点。 然而，随着网络内计算机数量的增多 , 广播包的数量也会急剧增加， 网络的传输效率将会明显下降。 所以当所有的网络节点 都处于同一个广播域内 , 这大大增加了网络中所有设备之间的数据流量。随着网络的 不断扩充 , 很有可能出现广播风暴，导致整个网络无法使用。在网络中的数据保密要 求和网络的组织结构上的要求等这些问题都促使了虚拟局域网的诞生。2。VLAN 技术的定义VLAN ( Virtual Local Area Network )即虚拟局域网， 是一种通过将局域网内 的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

5、虚拟 网络是在整个网络中通过网络交换设备建立的虚拟工作组。 虚拟网在逻辑上等于 OSI 模型的第三层的广播域 , 与具体的物理网及地理位置无关， 虚拟工作组可以包含不 同位置的部门和工作组， 不必在物理上重新配置任何端口， 真正实现了网络用户与 它们的物理位置无关。它以其高速、灵活、管理简便和扩充容易得到了广泛应用。一 方面, VLAN 建立在局域网交换机的基础之上 ;另一个方面， VLAN 是局域交换网的灵 魂。 VLAN 用户能方便的在网络中移动和快捷的组建宽带网络 , 而无需改变任何硬件 和通信线路 . 网络管理员能从逻辑上对用户和网络资源进行分配， 而无需考虑物理连 接方式。它与普通局

6、域网从原理上讲没有什么不同， 但它与普通局域网最基本的差 异体现在: VLAN 并不局限于某一网络或物理范围， VLAN 中的用户可以位于一个园 区甚至国家的任意位置。IEEE于1999年颁布了用以标准化 VLAN实现方案的802。1Q 协议标准草案。3. VLAN技术的特征VLAN 的特性使局域网的通信流量控制和数据保密性方面有了很大的提高 ,VLAN 具有以下一些特征： 同一个VLAN中的所有成员共同拥有一个 VLAN ID,在逻辑上组成一个虚拟局 域网络； 同一个VLAN中的成员均能收到同一个 VLAN中的其他成员发来的广播包，但 收不到其他VLAN中成员发来的广播包。不同的 VLAN处

7、在不同的广播域中； 不同VLAN的成员之间不可相互直接通信，需要通过路由支持才能相互通信， 而同一 VLAN中的成员通过VLAN交换机可以直接通信，不需路由支持。4. VLAN技术的发展随着VLAN技术的逐渐发展，出现了 VLAN中继协议和动态VLAN等技术，现在宽 带网络中实现的VLAN基本上能满足广大网络用户的需求，但其网络中的流量控制和 数据保密性仍然存在很多问题。现在已有的VTP技术、STP技术,基于三层交换的VLAN 技术等在 VLAN使用中存在网络效率的问题，IEEE正在制定和完善IEEE802.1S和 IEEE802.1W来改善VLAN的各种技术.随着各种技术的逐步完善，VLAN

8、也将在未来的 网络中发挥出更多的功能 .5. VLAN技术的应用现在VLAN主要应用在以太局域网中，也可以用在 ATM网络中。因为现在很多的 局域网均采用以太网， 所以它适用于现在大部分企业、 学校的局域网中， 它能够隔离 不同工作组的数据，因为一个VLAN内的用户不能和其它VLAN内的用户直接通信，所 以可以保护用户的数据安全 , 减少网络的拥堵情况， 提高网络的传输效率 . 而且同一工 作组的用户也不必局限于某一固定的物理范围， 网络的构建和维护更方便灵活， 这些 种种的优点都使VLAN在局域网中广泛应用。6. VLAN技术的优点 增加了网络连接的灵活性网络管理员对网络工作站可以按业务功能

9、，而不必按地理位置分组。VLAN可以降低移动或变更工作站地理位置的管理费用， 特别是一些业务情况有经常性变动的 公司使用了 VLAN后，这部分管理费用大大降低。 有效地控制网络上的广播风暴VLAN 可以提供建立防火墙的机制， 防止交换网络的过量广播风暴 . 使用 VLAN, 可以将某个交换端口或用户赋于某一个特定的VLAN组.该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播风暴不会送到 VLAN之外。同样,相邻的端口不会收到其他 VLAN产生的广播风暴。这样，可以减少广播流量， 释放带宽给用户应用 , 减少广播风暴的产生 . 增加网络的安全性人们在 LAN 上经常传送一些

10、保密的、 关键性的数据 . 保密的数据应提供访问控制 等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组 , 网络管 理员限制了 VLAN 中用户的数量 , 禁止未经允许而访问 VLAN 中的应用 .交换端口可 以基于应用类型和访问特权来进行分组， 被限制的应用程序和资源一般置于安全性 VLAN 中。 增加了集中化的管理控制通过集中化的VLAN管理程序，网络管理员可以确定 VLAN组，分配特定用户 和交换端口给这些VLAN组，设置安全性等级，限制广播域的大小， 通过冗余链路 负载分担网络流量，跨越交换机配置VLAN通信,监控交通流量和VLAN使用的网络 带宽。这些能力有效地提高

11、了网络管理程序的可控性、 灵活性和监视功能， 减少了管 理的费用。7. VLAN 技术的局限性随着网络的迅速发展 , 用户对于网络数据通信的安全性提出了更高的要求，都要 求保证网络用户通信的相对安全性，要求能防范各种病毒和攻击等 , 现在一般使用的 做法是给每个客户分配一个 VLAN和相关的IP子网，通过使用VLAN每个客户被从 第二层隔离开，可以防止任何恶意的获取资料的行为和以太网数据的信息探听 .但是， 这种分配每个客户单一 VLAN和IP子网的模式造成了巨大的可扩展方面的局限。 这些 局限主要有以下几个方面。 VLAN数目的限制：交换机上固有的对 VLAN数目的限制； 复杂的STP对于每

12、个VLAN每个相关的Spanning Tree的拓扑都需要管理， 造成了交换机的巨大负载 ; IP 地址的紧缺： IP 子网的划分一定会造成一些 IP 地址的浪费，造成资源浪 费； 路由的限制：每个 VLAN 在路由器或者三层交换机上都需要相应的默认的网 关的配置。（二）本课题的意义1. 本课题的意义随着高校信息化建设的不断深入 , 高校网络建设的规模也在不断扩大 , 同时校 园网多媒体教学、数据安全保障以及高速网络交换的大量应用， 使网络数据流量骤 然增大， 各种问题和故障也层出不穷。因此，如何构建高效、稳定、易管理的校园 网， 增强校园网的安全性和可控性，已经成为高等院校网络管理人员面临的

13、重点课 题, 也是提高学校信息化应用水平和整体投资效益的关键 .VLAN 技术在校园网内的应用 , 不但使得校园网络更加的安全， 快速，并且也减轻 了网络管理员的工作，保证了各个部门不同的要求和信息的安全，因此V LAN技术在校园局域网内的应用是明智之举。在本文中主要使用基于端口的 VLAN 技术对校园网进行设计，具体实现了以下几 个方面的作用： 通过VLAN的划分,控制内部各VLAF间的访问范围和权限,从而保障子网通 信安全。 避免了 IP地址使用混乱的情况。随着校园网规模增大，往往会出现IP地址使用混乱和IP地址盗用的状况.通过划分VLAN,各部门的IP地址是固定的一个 地址段 , VLA

14、N 之间不能互相盗用地址， 管理起来条理非常清楚。 充分利用网络带宽 , 防止了广播风暴的产生， 提高了网络传输效率。当然VLA N在校园网的应用有利也有弊，由于它是根据端口逻辑地址进行网络划 分, 管理员无法很清楚地将网络的物理布局与逻辑结构相联系 , 这就要网络管理人 员非常熟悉和了解网络设备的物理连接和逻辑连接 , 只有充分发挥它的长处， 扬长 避短， 才能使校园网畅通无阻， 充分发挥作用 .二、VLAN技术的讨论（一） TRUNK 链路技术Trunk 技术是在两台交换机之间建立一条点到点的链路 , 每台交换机的相应端 口称为中继端口。一条中继链路可以传输多个 VLAN 的数据流， 并允

15、许用户将 VLAN 的范围从一台交换机扩展到另一台交换机。Trunk 是一种封装技术 , 它是在两台交换机之间的一条点到点链路 , 主要功能就 是仅通过一条链路就可以连接多个交换机，从而扩展已配置的多个 VLAN传输多个 VLAN的数据流。还可以采用通过Trunk技术和上级交换机级连接的方式来扩展端口 的数量,将VLAN的范围从一台交换机扩展到另一台交换机,节省了网络硬件的成本， 从而扩展整个网络。TRUNK可通过的VLAN范围缺省下是11005,可以修改， 但必 须激活Trunk协议。使用Trunk的端口不在任何VLAN中。在校园网建设时， Trunk 绝对是必需的 . 在设置 Trunk

16、后, Trunk 链路不属于任 何一个VLAN. Trunk链路在交换机之间起着 VLAN管道的作用,交换机会将该Trunk 以外及Trunk中的端口处于一个 VLAN中的其他端口的负载自动分配到该 Trunk中的 各个端口 .因为同一个VLAN中的端口之间会相互转发数据，而位于Trunk中的Trunk 端口被当作一个端口来看待， 因此在设置了 Trunk 后，该 Trunk 将自动加入其成员端 口所属的VLAN中，而其成员端口则自动从VLAN中删除。对于Trunk端口来说，其上 允许通过的VLAN范围体现的是一种能力，与系统中是否存在对应的VLAN实体没有关 系。Trunk 技术具有以下优点

17、： 可以在不同的交换机之间连接多个 VLAN可以将VLAN扩展到整个网络中； Trunk 可以捆绑任何相关的端口，也可以随时取消设置，提供了很高的灵活 性； Trunk 可以提供负载均衡能力以及系统容错 . 由于 Trunk 实时平衡各个交换机端口和服务器接口的流量，若某个端口出现故障，它会自动把故障端口从Trunk组中撤消，进而重新分配各个 Trunk端口的流量，从而实现系统容错（二 ）VTP协议VLAN中继协议最早由思科公司提出的。作为思科VLAN技术的重要组成部分，VTP 减少了跨越网络设置VLAN的管理任务，减少了配置的不连续性。VLANF道协议是VLAN 动态协议的一种，它能自动的在

18、网络中传播 VLAN的各种配置信息，因此能保持VLAN 在网络中的连续性和统一性，VTP是一个交换机到交换机，交换机到路由器 VLAN管 理协议。VTP是一种消息协议，它通过一台工作在服务器模式下的交换机，通过使用二层 中继Frame在整个网络中负责管理 VLAN的添加,删除和重命名。从而保证 VLAN在网 络中的传播和统一，VTP负责在VLAN域内同步VLANB息，能传播到每一台工作在客 户机模式下的交换机中，从而简化了网络管理员的配置量，也减少了错误率。图2。1为VTP的报文格式。26Bytes 14ByteS3Bytes 3Bytes Varied Length+* * X、厂 YY、r

19、ISLHeadeEtherm r Headeet LLC r HeadeSNAP r HeadeVTP jr HeaderVTPMessaCRC ge图2.1 VTP报文格式VTP要从Trunk中传输，所以一般VTP报文会封装在ISL或者dot1q中。2。2.1 VTP具有如下的优点： VLAN配置在整个网络中都不变,且都保持一致； 在混合介质的网络中允许一个 VLAN被中继的映射机制，能跨多个交换机; 能对VLAN进行精确的跟踪和控制； 全网范围内增加VLAN的动态报告。为了在网络中管理和建立 VLAN所以必须建立一个VLANf理域.在域中能有相同 的VLAN信息，在交换网络中,多个交换机构

20、成了一个域。VTP管理域由一组共享VTP 域名的互联设备组成，同一 VTP域中所有交换机共享它们的VLAN信息。而且信息均 相同，每个设备只能工作在一个 VTP域，不同域中的交换机不能共享一个域中的 VTP 消息.2。 2。 2 VTP 共有三种操作模式，分为服务器模式、客户机模式和透明模式。 服务器模式 Server当一台未经配置的思科交换机第一次工作的时候， 它的默认配置模式是服务器模 式。VLAN在VTPI服务器上被创建的时候，和其他 VLAN配置信息一起存储在服务器的 NVRA并且当交换机重启的时候,配置信息还是被保留不会消失。服务器模式中维持着该 VTP域中所有VLAN信息列表，可以

21、增加、删除或修改 VLAN,VTP服务器周期性地广播 VTP域名、VLAN配置，提供现行的配置修改号。修改 号是VTP域的一部分,它确保VTP域内的所有交换机有现行的、 正确的VLAN配置信 息。 客户机模式 Client客户交换机在NVRA存储VLAN配置。当客户交换机重启的时候，所有的VLAN配 置信息丢失。交换机启动完成后，需要发送一条 VTP请求消息给VTP服务器，来获 取现行的 VLAN 配置。客户机只能从服务器模式下的交换机接收VLAN的各种信息，它也维护该 VTP域中所有VLAN信息列表，但不能增加、删除或修改 VLAN任何变化的信息必须从 VTP Server发布的通告报文中接

22、收。如果客户交换机要加入一个新的VLAN VLAN必须被添加到VTP服务器上面去。这样新的 VLAN才能传递到所有的客户交换机。当新的 VLAN增加后，客户交换机上的端口会关联到新的VLAN 透明模式 TransparentVTP透明模式和VTP客户模式不同，可以在交换机上手工配置本地的 VLAN它如 果是VTP域的一部分，可以从 VTP服务器接收VLAN配置信息。但是它不参与 VTP 工作，忽略所有接收到的VTP信息，但能够将接收到的VTP报文转发出去它只拥有本 设备上的VLAN言息,它不会通知VTP域本地配置的VLAN所以，客户模式下的交换机 也可以与透明模式下的交换机连接，交换各种 VL

23、AN言息。（三）VLAN的帧标识1。IEEE 802。1Q帧标识IEEE802。1Q标准是由IEEE于1999年颁布的用以标准化 VLAN实现方案的草案， 俗称Dot One Q，这个协议在以太网帧的基础上增加了 VLAN头，从而利用VLANID 在逻辑上把不同的用户划分为不同的工作组，把不同工作组限制在了二层，使它们之间不能相互通信。802。1Q标准定义了基于端口的 VLAN莫型,即在标准的以太网帧中源地址后增加 一个四字节的802。1Q帧头。其中包括标签协议标识和标签控制信息。标签协议标识:TPIDTag Protocol Identifier ，它的值是 8100,为两个字节，它表示在帧

24、中添加了 VLAN勺标记。标签控制信息：TCI-Tag Control Information，为两个字节。TCI包含三个域，分别为三个比特的Priority 域来表示表示帧的优先级，一个比特的CFI- Canonical Format Indicator 域，称为规范格式指示符,以及12个比特的VLAN ID域表示一个 VLAN的 ID 号。两个字节的VLAN名用1 32个字符表示,可以是字母和数字。VLANID的数值范 围是 1-4094 0.2 1000 用于 Ethernet VLANs 1002-1005 是预留给 FDDI 和 Token Ring VLANS的, 10254094

25、是扩展的VLAN ID,其他为保留号.目标MAC地址源MAC地址类型数据CRC图2o 2标准以太帧格式目标源标记标签 协议标识标签控制信息MACMAC类型数据CRC地址地址0x8100优先级规范格式 指示符VLAN ID图2.3 IEEE802.1Q 标准帧格式802.1Q协议加入的Tag字段可以根据其携带的VLAN信息，表明该数据帧属于哪 个VLAN，从而确定数据帧的属性。2。ISL帧标识ISL是Cisco设备独有的协议，只能用于 Cisco网络设备之间的互联。虽然它与802。1Q协议所采用的帧格式不同，但是可实现相同的功能。ISL干道是Cisco私 有，即指两交换机或其它设备的一条点对点连

26、接线路。ISL帧标签采用一种低延迟机 制为单个物理路径上的多VLAN流量提供复用技术。它主要用于实现交换机、路由器 以及各节点之间的连接操作。每台连接设备都必须采用ISL配置。配置ISl的路由器支持VLAN内通信服务。非ISL配置的设备，则用于接收由ISL封装的以太帧。ISL作用于OSI模型第2层的数据链路层。但是和 802.1Q所不同的是，ISL通 过协议头和协议尾封装了整个第 2层的以太帧.ISL是一种能在交换机间传送第2层 任何类型的帧或上层协议的独立协议.ISL所封装的帧可以是令牌环或快速以太网或 者其它，它们在发送端和接收端之间维持不变地实现传送.图2.3是ISL的帧格式。40位40

27、位4位48位16位24位24位15位1位16位16位FT1丫FTDATypeUserSALENAAAA03HSAVLANBPDUINDEXRES图2.4 ISL 帧格式各字段含义如下：DA:40位，组播目标地址。Type:4位，描述被圭寸装的帧类型，0000表示Ethernet,0001 表示Token Ring， 0010 表示 FDDI,0011 表示 ATM.User: 4位，此字段是Type字段的扩展定义或以太网优先级的 4位描述符。SA 48位，传送此帧的源交换机 MAC地址。LEN 16位，出了 DA Type、User、SA LEN字段之外的帧长度。AAAA03 24 位，IEE

28、E802.2LLC 头部.HAS 24位，组织唯一标识符 OUI，即MAC地址的前三字节。VLAN 15位。VLAN号，只使用低10位来表示01023个VLANBPDU 1位，标识是网桥协议数据单元 BPDU还是CDP帧.INDEX 16位，传送此帧的端口 ID描述符,用于诊断。RES 16位，保留字段。特征：（1）由ASIC专用集成电路执行，它不干涉客户机站,客户机也不会看到ISL 协议头，它能为路由器和路由器之间、交换机与交换机之间提供很好的工作效率（2）交换机间链路协议ISL用于实现两台交换机之间的 VLAN中继.它是一个信息 包标记协议，在支持ISL接口上发送的帧由一个标准以太网帧及相

29、关的 VLAN信息组 成。（四）VLAN之间的通信1。通过路由器实现VLAN间的通信一个VLAN处在一个广播域中，VLAN之间在二层中是不能通信的，从而提高了网 络的安全性，也解决了网络的广播控制问题。如果想VLAN能通信,必须通过路由器或 者三层交换机实现VLAN的通信。可以利用路由器的多个端口实现 VLAN、可的路由选择。 这是最简单的一种方法，但是也是最浪费资源的一种方法，在现实生活中，路由器的 造价往往很高，通过端口来实现 VLAN路由选择的成本太高。所以这种方法在现实中 应用的很少，图2。5显示的是利用多个端口实现 VLAN的路由选择。PC -；PT PC-PTPC-PT 1*0 P

30、TPC6 PCLOPC2 PC7图2。5利用路由器实现 VLAN通信2。通过三层交换实现VLAN1信三层交换技术使一台交换机具有路由的功能传统的交换机工作在数据链路层， 只能在第二层对数据进行转发，但是三层交换机能工作在网络层，并对数据进行高速 转发，它解决了局域网中划分网段后必须通过路由器实现数据转发，和路由器造价高以及存在的网络瓶颈等问题。三层交换技术的出现为 VLAN勺发展提供了更好的空间三层交换技术的原理是：假设 A和B要通信，A首先向交换机发送一个 ARP青求 包，寻找自己的缺省路由的 MAC然后将数据发送到交换机，若 A和B在同一个子网 中，直接通过二层转发出去，不再经过三层，若

31、A和B不再同一个子网中，需要将数 据转发到三层，在路由表中寻找匹配的条目，找到MAC地址,若存在直接在二层建立连 接，使二层芯片处理数据通过二层转发可大大的节省时间，和提高效率。若在表中无法找到相关项，需三层交换机将目的ip地址和路由表项对比，发送 ARF数据包到目 的主机，得到该主机的MAC地址，然后再二层转发。原理如图 2.6所示.查路由表B ARF 包三层引擎ASIC二层MAC地址表1iARF请求包rB回复MAC数据包数据包 ARF广播包查交换机MAC表A端口 MAC路由表图2.6三层交换原理3. 通过设置单臂路由实现 VLAN间的通信路由器与交换机之间是通过外部线路连接的，这个外部线路

32、只有一条，但是它 在逻辑上是分开的， 需要路由的数据包会通过这个线路到达路由器 ，经过路由后再 通过此线路返回交换机进行转发所以大家给这种拓扑方式起了一个形象的名字 - 单臂路由。采用单臂路由技术可以在使用路由器时， 节约物理端口的使用，通常在路 由器与交换机连接的一个物理端口上定义多个逻辑子端口，一个子端口连接一个VLAN.PC-PTPC-PTPC-PTPC-RPC-PTPGFTPCO PCIPC2 PC?PC4 PC5MIOVLA1TOVIWC图2。7通过设置单臂路由实现 VLAN间的通信这种基于单臂路由的 VLAN通信模型不需要添加或更换路由器，交换机等网络设备；基于原有网络拓扑结构，也

33、不需要重新布线施工。但是，作为中继链路的路 由器端口往往成为限制 VALN之间流量的主要瓶颈，单臂路由作为一种廉价的网络 升级方案只适用于通信质量要求不高的情况，并不能完全取代路由器和三层交换机（五）VLAN的划分方式VLAN的划分方式很重要， 在设计和建设VLAN 实现VLAN应用时，首先要决 定如何划分VLAN即依据什么标准来组织 VLAN成员.下面介绍5种常见的划分方式, 不同的划分方式代表不同的 VLAN实现类型.1。按端口划分VLAN将交换机中的某些端口定义为一个单独的区域，从而形成一个VLAN同一 VLAN中的计算机属于同一个网段，不同VLAN之间进行通信需要通过路由器。 基于端口

34、的 VLAN的优点是配置起来非常方便，只要在交换机上进行相关的设置就可以了，适用于网络环境比较固定的情况。不足之处是不够灵活，当一台计算机需要从一个端口移 动到另一个新的端口，而新端口与旧端口不属于同一个 VLAN时，要修改端口的VLAN 设置，或在用户计算机上重新配置网络地址，这样才能加入到新的VLAN中。否则，这台计算机将无法进行网络通信。基于端口的划分方式是最简单也是最常用的采用这种方式，将属于不同交换机 端口的物理网段分在一个 VLAN中,通过网络管理软件， 根据VLANJ标识符将不同 的端口分到相应的分组（VLAN ）中。例如，一个交换机的1、2、3端口被定义为VLAN1，同一交换机

35、的4、5端口 组成VLAN 2, 如图2.8所示。图2。8按端口划分 VLAN示意图这样划分， 允许各端口之间的通信， 并允许共享型网络的升级 . 遗憾的是，这 种划分模式将虚拟网限制在了一台交换机上 .第二代端口 VLAN 技术允许跨越多个交换机的多个不同端口划分VLAN, 不同交换机上的若干个端口可以组成同一个 VLAN分配到同一个VLAN勺各网段上的所有站 点都在同一个广播域中， 可以直接通信 ; 不同 VLAN 地点间的通信则通过路由器或 三层交换机。按交换机端口来划分 VLAN迄今为止，这仍然是最常用的一种方式，但是这种 方式不允许多个 VLAN 共享一个物理网段或交换机端口。 如果

36、某一个用户从一个端口 所在的VLAN移动到另一个端口所在的 VLAN网络管理员需要重新进行配置，这对于拥有众多移动用户的网络来说是不可想象的。2. 按MAC地址划分 VLAN每块网卡都有一个唯一的硬件物理地址，这个地址就是MAC地址，俗称为 网卡号。MAC地址是连接在网络中的每个设备网卡的物理地址，由IEEE控制。全球找不到两块具有相同MAC地址的网卡。MAC地址属于数据链路层，以此作为划分 VLAN 的依据，能很好地独立于网络层上的各种应用。用此种方式构成的VLAN就是一些MAC 地址的集合， 它解决了网络处理站点的移动问题。对于连接于交换机端口的工作站 来说，在它们初始化时， 相应的交换机

37、要在VLAN的管理信息库中检查MAC地址， 从而动态地匹配该端口到相应的 VLAN 中。按MAC地址划分的VLAN允许网络用户从一个物理位置移动到另一个物理位置， 并且自动保留其所属 VLAN 网段的成员身份。同时 ,这种方式独立于网络的高层协议 （如 TCP / IP 、IP 和 IPX 等）。从某种意义上讲,利用MAC地址定义VLAN可以看成是一种基于用户的网络划 分手段。这种方法的一个缺点是所有的用户必须被明确地分配给一个VLAN.在一个拥有大量节点的大型网络中， 如果要求管理员将每个用户都一一划分到某一个 VLAN， 实在是太困难了。3。基于网络层划分 VLAN可以基于网络层来划分 V

38、LAN， 有 2种方案， 一种按协议来划分， 如图 2。 9PCI PC? PC3P 匚理 PC5VIA* 1VTjkN 图2。9按网络协议划分VLAN示意图另一种是按网络层地址（最常见的是 TCP /IP中的子网段地址）来划分,如图2.10所示。PC-PTPC-PTPC-PTpC-ptPC-PTpci pcs pcspc4 prsVLAN 17LAN 2图2.10 按网络层地址划分 VLAN示意图建立VLAN也可使用与管理路由相同的策略.根据IP子网、IPX网络号及其他协 议划分VLAN同一协议的工作站划分为一个 VLAN交换机检查广播帧的以太帧标题 域，查看其协议类型， 若已存在该协议的V

39、LAN则加入源端口，否则，创建一个新的VLAN这种方式构成的 VLAN,不但大大减少了人工配置 VLAN的工作量， 同 时保证了用户自由地增加、移动和修改。不同VLAN网段上的站点可属于同一 VLAN在不同VLAN上的站点也可在同一物理网段上。利用网络层定义VLAN缺点也是有的.与利用MAC地址的形式相比，基于网络层的VLAN需要分析各种协议的地址格式并进行相应的转换。因此，使用网络层信息来 定义VLAN的交换机要比使用数据链路层信息的交换机在速度上处于劣势。4. 基于 IP 广播组划分可将任何属于同一 IP广播组的计算机划分到同一 VLAN当IP包广播到网络上 时， 它将被传送到一组 IP

40、地址的受托者那里 . 该组被明确定义了的广播组是在网络 运行中动态生成的 . 任何一个工作站都有机会成为某一个广播组的成员 , 只要它对该 广播组的广播确认信息给予肯定的回答。 所有加入同一个广播组的工作站被视为同一 个VLAN的成员，他们的这种成员身份可根据实际需求保留一定的时间。因此，利用IP广播域来划分VLAN的方法给用户带来了巨大的灵活性和可延展性。在这种方 式下， 整个网络可以方便地通过路由器扩展网络规模 .5。基于规则的 VLAN基于规则的VLAN也称为基于策略的VLAN这是最灵活的VLAN划分方法,具有 自动配置的能力 , 能够把相关的用户连成一体， 在逻辑划分上称为 关系网络。

41、网络 管理员只需在网管软件中确定划分 VLAN的规则（或属性），那么当一个站点加入 网络中时，将会被感知， 并被自动地包含进正确的VLAN中。同时，对站点的移动 和改变也可自动识别和跟踪。采用这种方式， 整个网络可以非常方便地通过路由器 扩展网络规模 . 有的产品还支持一个端口上的主机分别属于不同的 VLAN, 这在交换 机与共享式 Hub 共存的环境中显得尤为重要 .自动配置 VLAN 时, 交换机中软件自动 检查进入交换机端口的广播信息的 IP 源地址, 然后软件自动将这个端口分配给一个 由 IP 子网映射成的 VLAN.（六）VLAN间通信1. VLAN间通信介绍局域网内的通信 ,是通过

42、数据帧头中指定通信目标的来完成的。而为了获取 MAC 地址，使用地址协议解析通过广播报文的方法来实现获取MAC地址的，如果广播报文无法到达目的地，那么就无从解析MAC地址,亦即无法直接通信.当计算机分属不同的 VLAN时，就意味着分属不同的广播域，自然收不到彼此的广播报文。因此，属于不 同VLAN的计算机之间无法直接互相通信。为了能够在VLAN间通信，需要利用 OSI参照模型中更高一层 -网络层来进行路由。在目前的网络互连设备中能完成的设备主要有路由器和三层以上的交换机 .2. 利用路由器实现VLAN间通信使用路由器实现VLAN间通信时，路由器与交换机的连接方式有两种。第一种通 过路由器的不同

43、物理接口与交换机上的每个 VLAN分别连接。第二种通过路由器的逻 辑子接口与交换机的各个 VLAN1接。 通过路由器的不同物理接口与交换机上的每个VLAN分别连接.这种方式的优点是管理简单，缺点是网络扩展难度大.每增加一个新的VLAN都 需要消耗路由器的端口和交换机上的访问链接，而且还需要重新布设一条网线 .而路 由器,通常不会带有太多LAN接 口的.新建VLAN时，为了对应增加的VLAN所需的端口 , 就必须将成带有多个LAN接口的高端产品，这部分成本、还有重新布线所带来的开销， 都使得这种接线法成为一种不受欢迎的办法。 通过路由器的逻辑子接口与交换机的各个 VLAN连接。这种连接方式要求路

44、由器和交换机的端口都支持汇聚链接， 且双方用于汇聚链路 的协议自然也必须相同。接着在路由器上定义对应各个VLAN的逻辑子接口 E1。1和E1。 2。由于这种方式是靠在一个物理端口上设置多个逻辑子接口的方式实现网络扩 展, 因此网络扩展比较容易且成本较低，只是对要复杂一些。 路由器实现VLAN间通信的局限性路由器实现VLAN间通信的局限性是路由器的技术特性决定的，使其无法具有很 高的信息吞吐量。对此分析如下：路由器在OSI七层网络模型的第三层一一网络层操 作，其对于任何一个运行的数据包均须进行“拆包”和“打包”的操作 ,同时路由器 还要完成数据包过滤和压缩、协议转换、计算路由、甚至防火墙等许多工

45、作，这占用 于大量的CPU资源.且当流经路由器的流量超过其吞吐能力时，会引起路由器内部拥 塞，持续拥塞会使转发的数据包延误，甚至丢失。以上的原因限制了其吞吐量，且其 价格昂贵，使其成为网络瓶颈 . 因此，路由器存在：数据传输效率低；节点操作的复 杂性无法降低；价格昂贵、结构复杂等局限性。3. 利用三层交换机实现VLAN、可通信三层交换机实现VLAN互相访问的原理是，利用三层交换机的路由功能，通过识 别数据包的 IP 地址，查找路由表进行转发。三层交换机利用直连路可以实现不同的VLAN之间的访问。三层交换机给接口配置IP地址采用SVI (交换虚拟接口)的方式 实现VLAN间互连。只需要为交换机中

46、的VLAN创建虚拟接口，并且配置IP地址。然 后开启三层交换机的IP route功能就可以容易的实现VLAN间的通信。这种方面有效 地解决了利用路由器来实现 VLAN间通信的一系列不足之处，而且配置和管理也十分 的便捷.目前市场上有许多三层以上的交换机，在这些交换机中 , 厂家通过硬件或软件的 方式将路由功能集成到交换机中，交换机主要用于园区网中 , 园区网中的路由比较简 单，但要求数据交换的速度较快， 因此在大型园区网中用交换机代替路由器已是不争 的事实。用交换机代替路由器实现 VLAN间通信的方式也有两种，其一，就是启用交 换机的路由功能 ,这种方式的实现方法可采用以上介绍的路由器方式的任

47、一种.其二,是利用多层交换机所支持的VLAN功能来实现VLAN间的通信。三、VLAN技术在校园网中的设计目前校园网正处于一种高速发展之中,在校园网络中实施 VLAN技术,可以提高网 络管理效率、 性能、带宽及灵活性， 同时还能控制广播风暴， 提高校园网安全性能。 本章结合高校校园网的特点，从 IP 规划、网络架构设计、协议选择、网络设备配置 等方面对校园网进行了规划和设计。( 一)网络设备的选择本次设计采用cisco2960、3560交换机和2811路由器。在出口的路由器选用 Cisco Catalyst 2811, 它是一款高端企业级路由器拥有强 悍的性能，能很好的为网络提供可靠的服务，并提

48、供了安全、可扩展的网络连接，容 纳了多种流量类型,如VPN动态多点VPN (DMVP)等，以及安全话音，满足用户 的使用需求。本次设计的网络核心层主要应用 Cisco Catalyst 3560系列的交换机，它是三层 交换机， Cisco Catalyst 3560系列交换机是一个固定配置、企业级、 IEEE 802。3af和思科预标准以太网供电(PoE)交换机系列，性能完全能满足校园网核心层的工 作需要。 作需要。在汇聚层和接入层主要用Cisco Catalyst 2960系列智能以太网交换机，它是一个全新、独立的固定配置设备系列，主要为小型企业和网络分支而生产的，它也能提供很好的服务,能进

49、行桌面10/100快速以太网和10/100/1000千兆以太网连接，有助 于实现增强LAN服务。（二）校园网络的设计由于本次设计VLAN主要在局域网中，为便于进行实验且网络的规模要适中，所 以选择了规模适中的校园网作为基础，在这个网络中大量采用cisco交换机作为二层 交换设备，由于在网络中大量使用交换设备会出现广播风暴以及存在的数据安全性问 题，所以要进行合适的VLAN划分，减少网络流量的拥堵次数和数据泄漏的问题，保障 网络的正常运行，保护数据的安全。如图3。1所示。图3。1校园网拓扑图口二 G A口口 口宿舍楼汇聚口口口口口 n n n严口（三）校园网IP的规划本次设计共有图书馆、办公楼、

50、理工大楼、教学楼和宿舍楼组成，由于存在大量 的主机，所以采用10。0。0.0。255网段，其地址能够满足校园环境对 ip地址的需求。宿舍楼：10。2。0。0/16其中宿舍楼一为：10。,即10.2。8。110.2.15 。254子网掩码为255。 255。255。0宿舍楼二为：。0/21，即 10。2。24.1 10.2。31。254 子网掩码为 255。 255。255.0图书馆：10.4。0。0/16服务器:10.5。0。0/16教学楼：。0/16（四）VLAN在网络中的划分1。VLAN ID的规划表格3.1显示的是基于端口的对网络的 VLAN划分。在每个VLAN中,都要进行合 适的规划，

51、适应网络中各种变化的需要。表3.1 VLAN配置表位置VLAN ID网络地址子网掩码VLAN接口地址宿舍楼1VLAN 1010.2。8.010.2。8.1宿舍楼2VLAN 3010。2。24.0255.255。255。010。 2。 24。 1办公楼VLAN 2010。3。 0.0255.255。0.010。3.0。1图书馆VLAN 4010。 4。 0。 0255.255。0.010。4.0。1服务器VLAN 5010。255。255.0。010。理工大楼VLAN 6010。6.0。0255。 255。 0。 010。 6。 0。 1教学楼VLAN 7010.7。0。 010。 7。 0。

52、12.基于端口的划分 在汇聚层交换机上配置VLAN1) 创建VLAN进入全局模式Switch # config terminal创建VLAN 10Switch(config ) #vlan 10Switch(config vlan ) #exit2) 将端口加入到vlan 10中Switch(config if ) #switchport access vlan 10或者将一组连续的端口加入到 vlan中Switch (con fig)# in terface range fO/1 5Switch (config-ifrange) #switchport mode accessSwitch(c

53、o nfig-if-ra nge)#switchport access vla n 10Switch(config if range) # exit3) 指定端口成为trunkSwitch(co nfig ) # in terface fO/24Switch(config-if) # switchport mode trunk4) 检查VLAN端口分配情况Switch # show vlan brief1dEa.ul3activeF= ：.- Id.Fa0/7p Fa0/3r Fa0/3IWU.FaQAS-FaC/23Fa0/l4.tFaa/if,FaC/17FaO/Lfi.Pra.3/2Cr

54、FaC/21Fa0/S2,Gigl；2faJ/24rG1C1/1s-ct.Fa0/41002Eidi-d&Eau lxa-etive1DC3taker-rinc-defaultactive1QC4fdd r t-di*f auI tAft iveid asL . tie L二1La-Liti.V-eVUINS-ta-tucPart b图3.2 VLAN端口分配情况通过命令显示可以看出fO/1 - 5已经在VLAN10中了，其它的端口全默认在VLAN1 中。 以此类推，逐步创建 VLAN20、VLAN30、 VLAN40、VLAN50、VLAN60、VLAN70。并逐步把端口划分到各个 VLAN

55、中,配置trunk 口. 在核心交换机Cisco Catalyst 3650 上配置VLAN虚拟接口实现通信在Cisco Catalyst 3650 上创建各个 VLAN的虚拟接口 ,并配置IP地址。1) 配置 vlan 10 的虚拟接口 ip 地址。Switch (config) vlan 10Switch (config vlan )#exitSwitch (config )interface vlan 10Switch(config-if )LINK5CHANGED: Interface Vlan10 ， changed state to upSwitch (config if) ip

56、address 10 。 2.8.1 255 。 255.255。 0Switch (config-if )#2) 配置 vlan 20 虚拟接口 ip 地址Switch(config )#vlan 20Switch (config-vlan) exitSwitch (config)#interface vlan 20Switch(config if )#%LINK5CHANGED: Interface Vlan20, changed state to upSwitch(config-if )ip address 10 。 3.0.1 255 。 255.0。 0Switch (config-

57、if)#然后按照表 1 依次配置 valn 30 、vlan 40 、 vlan 50 、vlan 60 、 vlan 70 。 在三层交换机上启用路由功能Switch(config )ip routing或者配置RIP动态路由Switch(config)#router ripSwitch (config router ) version 2Switch ( config router )# network 10.0.0 。0如上命令即可实现VLANS信。 配置访问控制表在核心交换机上配置访问控制列表可以控制各个 VLAN之间的通信。1) 创建 10列表，只同意 10.1。 0。 0和 10.

58、2.0.0 网段的数据，拒绝其他的网段 的Switch(config )#ip access-list standard 10Switch ( config-std-nacl ) #permit ip 10 。 1。 0.0 0.0 。 255.255Switch ( config std-nacl ) permit ip 10.2 。 0。 0 0.0.255 。 255Switch ( config std-nacl) deny ip any anySwitch ( config std nacl) exit2) 在 VLAN 10中引用列表 10.Switch(config )#inte

59、rface vlan 10Switch ( config-if ) ip access-group 10 in四、VLAN支术在校园网中的测试Cisco Packet Trace 是由思科公司发布的一款模拟思科系列的各种交换机和路 由器的软件，它能很好模拟现实的各种环境，通过它可以进行各种网络知识的学习， 并了解路由器和交换机的工作原理， 也能对思科的命令和设备进行了解， 是初步学习 路由交换的很好的工具。本章是在 Cisco Packet Trace 中进行测试 , 由于软件本身的限制，以及其他方法 的实现有不同的复杂性 , 因此此次测试主要针对利用端口进行划分的方法进行 ,并分 为利用RI

60、P和OSPFI勺路由协议的两种方法,基于端口的划分方法有易于实现、成本很 低的优点，所以在很多网络中都有使用，而且其技术已经成熟 , 在不同厂家的设备中 实现的原理都一样，所以在测试中可以很好的利用 Cisco Packet Trace 进行测试。 根据以上设计的网络， 和不同部分之间的功能， 所以制定了一下的访问规则， 其中在 测试中的要求如表格 4.1.表格4。1访问要求VLAN 号10(PC?)20CPCLPC7)30(PC0)40(PC4)50(StrverO)60(PC8PC5)61(PC5)70(PC6)1(PC3)不通通不通通不通不通20(PC1PC7)不通不通不通通不通不通不通

61、30(PC0)通不通不通通不通不通通40(PC4)不通不通不通通不通不通不通50(Ser%jerO)通通通通不通不通通6O(PC8PCS)不通不通不通不通不通不通不通1 PC9)不通不通不通不通不通不適不通7O(PC6)通不通通不過通不通不通在下面得测试中的网络只是简单的模拟了校园网， 每个楼层的主机也只用一台或 两台主机进行代替。通过测试可以查看网络的各种状况， 所以挑出一些代表性的主机 进行测试。（一）基于RIP协议的测试根据以上表格，在 Cisco Packet Trace模拟器中进行模拟，模拟图如图4。1所示的是根据RIP动态路由协议的一种方式图4.1测试图4.1 VLAN 20 与VLAN 50 VLAN 10之间的连通性测试10. &3=1&ya -o 1口匸口二ReplyHit ply 127Kepiv rcn 丄口. E