校園網(wǎng)中三層交換和VLAN技術(shù)的應(yīng)用

摘 要 校園網(wǎng)設(shè)計(jì)使用虛擬局域網(wǎng)（VLAN）的功能，可以保證全網(wǎng)的良好性能及網(wǎng)絡(luò)安全性。VLAN間的路由，用三層交換機(jī)來代替路由器，可以加快局域網(wǎng)內(nèi)部的數(shù)據(jù)交換，做到一次路由，多次轉(zhuǎn)發(fā)。使用虛擬局域網(wǎng)（VLAN）技術(shù)和三層交換技術(shù)能較好的滿足校園網(wǎng)的需求。

關(guān)鍵詞 三層交換技術(shù) 虛擬局域網(wǎng)技術(shù) QoS

中圖分類號：F 224 文獻(xiàn)標(biāo)識碼：A

一、引言

在校園網(wǎng)的建設(shè)中引入虛擬局域網(wǎng)（VLAN）技術(shù)可以大大減輕網(wǎng)絡(luò)管理員的工作負(fù)擔(dān)，使地理位置復(fù)雜的計(jì)算機(jī)設(shè)備的互聯(lián)和管理不再受地理環(huán)境和位置的制約，使網(wǎng)絡(luò)結(jié)構(gòu)變得靈活、方便，同時(shí)又能使網(wǎng)絡(luò)資源得到充分的利用。處于同一個局域網(wǎng)中的各個子網(wǎng)的互聯(lián)以及局域網(wǎng)中VLAN間的路由，用三層交換機(jī)來代替路由器，而只有局域網(wǎng)與公網(wǎng)互聯(lián)之間要實(shí)現(xiàn)跨地域的網(wǎng)絡(luò)訪問時(shí)，才通過專業(yè)路由器。

二、三層交換技術(shù)

（一）三層交換技術(shù)的概念。

在局域網(wǎng)中，為了提高網(wǎng)絡(luò)安全性和通信效率必須劃分VLAN，而不同VLAN間的通信只有通過路由設(shè)備才能實(shí)現(xiàn)。如果使用傳統(tǒng)路由器作為VLAN間的路由設(shè)備，將由于其吞吐量太小而很難適應(yīng)大規(guī)模、高速率網(wǎng)絡(luò)傳輸?shù)男枰@無疑將成為快速以太網(wǎng)或千兆以太網(wǎng)網(wǎng)絡(luò)傳輸?shù)钠款i。于是，專門用于解決VLAN間通信的、集第三層轉(zhuǎn)發(fā)與第二層交換于一身的第三層交換技術(shù)產(chǎn)生了。第三層交換技術(shù)實(shí)際上是使用了集成電路的路由器，但比傳統(tǒng)的路由器提供了更高的速度和更低的成本，也比傳統(tǒng)的路由器更易于管理。

（二）三層交換技術(shù)的原理。

傳統(tǒng)的交換技術(shù)是在OSI網(wǎng)絡(luò)模型中的第二層即數(shù)據(jù)鏈路層進(jìn)行操作的，而三層交換技術(shù)是在網(wǎng)絡(luò)模型中的第三層實(shí)現(xiàn)了數(shù)據(jù)包的高速轉(zhuǎn)發(fā)。應(yīng)用第三層交換技術(shù)即可實(shí)現(xiàn)網(wǎng)絡(luò)路由的功能，三層交換機(jī)就是具有路由功能的交換機(jī)，三層交換機(jī)的最重要目的是加快大型局域網(wǎng)內(nèi)部的數(shù)據(jù)交換，所具有的路由功能也是為這目的服務(wù)的，能夠做到一次路由，多次轉(zhuǎn)發(fā)。

三、虛擬局域網(wǎng)技術(shù)

（一）虛擬局域網(wǎng)技術(shù)的概念。

虛擬局域網(wǎng)（VLAN）技術(shù)是通過路由和交換設(shè)備，在網(wǎng)絡(luò)物理拓?fù)涞幕A(chǔ)上建立一個邏輯網(wǎng)絡(luò)。每個VLAN都構(gòu)成一個獨(dú)立的廣播域，處于同一VLAN中的網(wǎng)絡(luò)用戶可以不受地理位置的限制互相交換信息。

VLAN必須在交換網(wǎng)絡(luò)中實(shí)現(xiàn)，每個交換設(shè)備均可根據(jù)網(wǎng)絡(luò)管理人員所定義的VLAN劃分方法對報(bào)文進(jìn)行過濾和轉(zhuǎn)發(fā)，并能將這種劃分信息傳遞到網(wǎng)絡(luò)中其他交換設(shè)備和路由器中。LAN交換設(shè)備在VLAN的劃分及實(shí)現(xiàn)低延遲的報(bào)文轉(zhuǎn)發(fā)方面起著重要的作用。

在網(wǎng)絡(luò)層對網(wǎng)絡(luò)進(jìn)行互聯(lián)的路由器，能夠在網(wǎng)絡(luò)層對網(wǎng)絡(luò)進(jìn)行隔離，并抑制廣播數(shù)據(jù)。而VLAN則是一種不采用路由器對廣播數(shù)據(jù)進(jìn)行抑制的解決方案。在VLAN中，對廣播數(shù)據(jù)的抑制由交換機(jī)完成。

（二）虛擬局域網(wǎng)技術(shù)的功能。

采用VLAN技術(shù)后，可使網(wǎng)絡(luò)管理開銷大為減少、可以抑制廣播數(shù)據(jù)的泛濫、提高網(wǎng)絡(luò)的安全性。

1、提高管理效率。當(dāng)網(wǎng)絡(luò)中站點(diǎn)出現(xiàn)了移動、增加和移出時(shí)，網(wǎng)絡(luò)管理員可以十分方便的對VLAN進(jìn)行重組。

2、抑制廣播數(shù)據(jù)。VLAN可以有效的抑制廣播數(shù)據(jù)，某個VLAN中的廣播數(shù)據(jù)只是被復(fù)制到其成員所連接的端口。這實(shí)際上是為在交換型網(wǎng)絡(luò)中建立起同路由器功能類似的防火墻提供了一種有效的手段。在VLAN中，大部分?jǐn)?shù)據(jù)都是通過交換機(jī)轉(zhuǎn)發(fā)的，只有VLAN間的數(shù)據(jù)才需經(jīng)過路由器轉(zhuǎn)發(fā)，可有效地提高VLAN中大部分?jǐn)?shù)據(jù)的傳輸速度。

3、增強(qiáng)網(wǎng)絡(luò)安全性。將整個網(wǎng)絡(luò)劃分成若干互相獨(dú)立的廣播組是一種有效的增強(qiáng)網(wǎng)絡(luò)安全性的方法?？梢韵拗颇硞€VLAN中的用戶數(shù)量，可以禁止那些沒有得到許可的用戶加入到某個VLAN中。

4、實(shí)現(xiàn)虛擬工作組。在整個校園網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)VLAN后，同一個部門的所有成員將可以像處于同一個LAN上那樣進(jìn)行通信。當(dāng)某人從一個場地遷移到另一個場地時(shí)，只要其工作部門不變，就用不著對其機(jī)器進(jìn)行重新配置。

（三）劃分VLAN的方法。

按交換機(jī)端口進(jìn)行劃分。這是最常用，也最簡單和有效的方法。其缺點(diǎn)是，當(dāng)用戶從一個端口移至另一個端口時(shí)，必須對VLAN成員重新配置。

1、按MAC地址劃分。由網(wǎng)管人員指定屬于同一個VLAN中的各用戶站的MAC地址。其優(yōu)點(diǎn)是：由于MAC地址是固化在網(wǎng)卡中的，當(dāng)用戶站移至其他位置后，其仍將屬于原VLAN，這樣定義的VLAN可以看成是基于用戶的VLAN。其缺點(diǎn)是：在大型網(wǎng)絡(luò)中初始配置工作量很大。

2、按第三層協(xié)議劃分。當(dāng)按網(wǎng)絡(luò)層地址劃分VLAN時(shí)，要將子網(wǎng)地址映射到VLAN，交換機(jī)則根據(jù)子網(wǎng)地址將各機(jī)器的MAC地址同VLAN聯(lián)系起來。其優(yōu)點(diǎn)是：根據(jù)第三層協(xié)議劃分VLAN，當(dāng)用戶的機(jī)器移動位置后，不必重新配置網(wǎng)絡(luò)地址。其缺點(diǎn)是：對報(bào)文中的網(wǎng)絡(luò)地址進(jìn)行檢查比對幀中MAC地址檢查所需要的開銷大，使交換設(shè)備轉(zhuǎn)發(fā)速率下降。

3、基于策略的VLAN。允許網(wǎng)絡(luò)管理員使用前述的任何一種劃分VLAN的方法，也可以把不同方法組合成一種新的策略來劃分VLAN，當(dāng)一個策略被指定到一個交換機(jī)時(shí)，該策略就可以在整個網(wǎng)絡(luò)上應(yīng)用。

四、校園網(wǎng)中三層交換和VLAN技術(shù)的應(yīng)用

在構(gòu)建校園網(wǎng)時(shí)，如果采用分層設(shè)計(jì)，網(wǎng)絡(luò)更容易管理和擴(kuò)展，排除故障也更迅速。分層網(wǎng)絡(luò)設(shè)計(jì)的每層提供特定的功能，這些功能界定了該層在整個網(wǎng)絡(luò)中扮演的角色。典型的分層設(shè)計(jì)模型可分為三層：接入層、匯聚層和核心層。

接入層負(fù)責(zé)連接終端設(shè)備，其主要目的是將設(shè)備連接到網(wǎng)絡(luò)并控制允許網(wǎng)絡(luò)上的哪些設(shè)備進(jìn)行通信。匯聚層先匯聚接入層交換機(jī)發(fā)送的數(shù)據(jù)，再將其傳輸?shù)胶诵膶樱詈蟀l(fā)送到最終目的地。匯聚層控制網(wǎng)絡(luò)的通信流并實(shí)現(xiàn)VLAN之間的路由。核心層是網(wǎng)絡(luò)的高速主干，是匯聚層設(shè)備之間互聯(lián)的關(guān)鍵，匯聚所有匯聚層設(shè)備發(fā)送的流量，因此核心層需要保持高可用性、高冗余性，并且能夠快速轉(zhuǎn)發(fā)大量的數(shù)據(jù)。

（一）核心層設(shè)計(jì)。

核心層是網(wǎng)絡(luò)的高速主干，需要轉(zhuǎn)發(fā)龐大的流量。核心層交換機(jī)需要支持鏈路聚合功能，以確保為匯聚層交換機(jī)發(fā)送到核心層交換機(jī)的流量提供足夠的帶寬。核心層的可用性也很關(guān)鍵，應(yīng)盡可能提供較多的冗余，冗余功能在硬件出現(xiàn)故障時(shí)的收斂速度更快。核心層交換機(jī)應(yīng)該提供QoS服務(wù)，在核心層和網(wǎng)絡(luò)層邊緣，任務(wù)關(guān)鍵型和時(shí)間敏感型流量應(yīng)優(yōu)先獲得更高的 QoS 保證。

（二）匯聚層設(shè)計(jì)。

匯聚層交換機(jī)收集所有接入層交換機(jī)發(fā)來的數(shù)據(jù)并將其轉(zhuǎn)發(fā)到核心層交換機(jī)。VLAN 間路由通常在匯聚層交換機(jī)上執(zhí)行。匯聚層交換機(jī)可以分擔(dān)核心層交換機(jī)處理龐大流量轉(zhuǎn)發(fā)的工作壓力。由于 VLAN 間路由在匯聚層執(zhí)行，該層的交換機(jī)需要支持第 3 層功能。匯聚層交換機(jī)還需要支持 QoS 來維護(hù)來自實(shí)施了 QoS 的接入層交換機(jī)的流量優(yōu)先級。優(yōu)先級策略確保有足夠的帶寬保證語音和視頻通信使之保持可接受的服務(wù)質(zhì)量。匯聚層交換機(jī)支持冗余功能，為確保可用性，匯聚層交換機(jī)通常成對使用。匯聚層交換機(jī)需要支持鏈路聚合功能。通常，接入層交換機(jī)使用多條鏈路連接到匯聚層交換機(jī)來確保為接入層上產(chǎn)生的流量提供足夠的帶寬，同時(shí)在某條鏈路斷開時(shí)提供容錯功能。由于匯聚層交換機(jī)要接受多個接入層交換機(jī)發(fā)送的流量，并且需要盡快將所有流量轉(zhuǎn)發(fā)到核心層交換機(jī)上，因此，匯聚層交換機(jī)還需要回連核心層交換機(jī)的高帶寬聚合鏈路。

（三）接入層設(shè)計(jì)。

接入層交換機(jī)支持將終端節(jié)點(diǎn)設(shè)備連接到網(wǎng)絡(luò)。因此需要支持端口安全功能、VLAN、快速以太網(wǎng)/千兆以太網(wǎng)、PoE 和鏈路聚合等功能。端口安全功能允許交換機(jī)決定允許多少設(shè)備或哪些設(shè)備連接到交換機(jī)，端口安全功能是保護(hù)網(wǎng)絡(luò)的第一道重要防線。接入層交換機(jī)為網(wǎng)絡(luò)上的終端設(shè)備設(shè)置 VLAN。在選擇接入層交換機(jī)時(shí)還需考慮的一個因素是端口速度。根據(jù)網(wǎng)絡(luò)的性能需求，必須在快速以太網(wǎng)和千兆以太網(wǎng)交換機(jī)端口之間作出選擇。某些接入層交換機(jī)需要具備是 PoE功能。一般在需要語音或使用無線接入點(diǎn)時(shí)并且要在需要的位置供電有困難或成本過高時(shí)才應(yīng)考慮 PoE。鏈路聚合是大多數(shù)接入層交換機(jī)所共有的功能。鏈路聚合允許交換機(jī)同時(shí)使用多條鏈路。接入層交換機(jī)通過鏈路聚合至多可獲得與匯聚層交換機(jī)相同的帶寬。

五、結(jié)束語

本文介紹了三層交換技術(shù)和虛擬局域網(wǎng)技術(shù)的原理、功能和實(shí)現(xiàn)。給出了校園網(wǎng)的層次設(shè)計(jì)方法，以及在設(shè)計(jì)中應(yīng)該選用的技術(shù)及其相應(yīng)的設(shè)備。

（作者：1994年畢業(yè)于武漢理工大學(xué)計(jì)算機(jī)方向?qū)I(yè)，現(xiàn)就職于武漢職業(yè)技術(shù)學(xué)院計(jì)算機(jī)技術(shù)與軟件工程學(xué)院，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)）

參考文獻(xiàn)：

[1]馬立新.局域網(wǎng)組建、管理與維護(hù).北京：機(jī)械工業(yè)出版社，2010年.

[2]趙海峰.局域網(wǎng)組網(wǎng)實(shí)訓(xùn).北京：電子工業(yè)出版社，2007年

[3]（美）Michael Salvagno、任崢、丁青等譯. Cisco網(wǎng)絡(luò)設(shè)計(jì)手冊[M]，北京：北京電子工業(yè)出版社，2000年.