淺議基于VLAN技術(shù)的校園網(wǎng)規(guī)劃

戚柏江

摘 要：在Internet/intranet飛速發(fā)展的今天，校園網(wǎng)在學(xué)校日常工作中發(fā)揮著很大的作用。但隨著校園網(wǎng)規(guī)模的擴(kuò)大，也出現(xiàn)了各種問題，比如廣播風(fēng)暴、IP地址沖突、網(wǎng)絡(luò)安全等等。本文通過探討VLAN技術(shù)，論述了如何在校園規(guī)劃建設(shè)中運(yùn)用VLAN技術(shù)，簡化校園網(wǎng)的管理及提高網(wǎng)絡(luò)的安全性。

關(guān)鍵詞：VLAN 校園網(wǎng) 網(wǎng)絡(luò)安全 IP地址

在Internet/intranet飛速發(fā)展的今天，網(wǎng)絡(luò)已經(jīng)成為人們快速獲取、發(fā)布和傳遞信息的重要渠道，成為人們生活中不可或缺的一個部分，更在一定程度上改變了學(xué)校的管理模式、教學(xué)模式、學(xué)習(xí)方式和師生的生活方式。面對信息化校園建設(shè)的大趨勢，很多學(xué)校都把校園網(wǎng)作為重點(diǎn)建設(shè)項(xiàng)目。而隨著校園網(wǎng)中計算機(jī)、交換機(jī)等網(wǎng)絡(luò)設(shè)備數(shù)量的大量增加，給網(wǎng)絡(luò)流量帶來壓力的同時，使得互聯(lián)網(wǎng)出現(xiàn)了諸如廣播風(fēng)暴、IP地址的沖突等問題和故障，影響了正常使用。VLAN作為校園網(wǎng)中最常使用的一種技術(shù)，能有效規(guī)避上述風(fēng)險，保護(hù)不同部門之間的信息，提高網(wǎng)絡(luò)性能，增強(qiáng)網(wǎng)絡(luò)安全性。

一、VLAN技術(shù)簡介

1. VLAN的概念

VLAN（Virtual Local Area Network），即“虛擬局域網(wǎng)”，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)治理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。VLAN 與傳統(tǒng)網(wǎng)絡(luò)最本質(zhì)的區(qū)別就在于它可以在一個物理網(wǎng)絡(luò)中，根據(jù)工作組、應(yīng)用等因素從邏輯上將用戶進(jìn)行劃分的局域性網(wǎng)絡(luò)。網(wǎng)絡(luò)用戶就可以打破地域限制，像在一個空間中那樣快速、安全地通信。

2.VLAN的技術(shù)優(yōu)勢

（1）提升網(wǎng)絡(luò)性能。身處局域網(wǎng)絡(luò)時，當(dāng)信道中廣播包的數(shù)量占到總量的30%時，網(wǎng)絡(luò)的傳輸效率將會下降甚至形成廣播風(fēng)暴，引起網(wǎng)絡(luò)堵塞而如果使用VLAN，把經(jīng)常通信的站點(diǎn)劃分到同一VLAN下，那么就可以把廣播限制在一個VLAN內(nèi)，從而提高寬帶的使用率。

（2）提高網(wǎng)絡(luò)整體安全性。在一所學(xué)校內(nèi)，我們常常需要對財務(wù)室和其他部室的計算機(jī)網(wǎng)絡(luò)進(jìn)行不同的安全評估，同時要求將財務(wù)室的網(wǎng)絡(luò)進(jìn)行相應(yīng)隔離，避免數(shù)據(jù)泄露。VLAN 能很好地解決這個問題。如根據(jù)用戶訪問權(quán)限的大小和使用時段的分配，將其劃分在不同VLAN 中，不同VLAN之間就不能直接通信，從而確保網(wǎng)絡(luò)的安全性。

（3）方便網(wǎng)絡(luò)管理。在整個局域網(wǎng)中，VLAN用戶假如移動位置，就不需要重新布線和調(diào)試，只要在交換機(jī)上重新分配相應(yīng)端口到該VLAN就可以了。

3.VLAN的劃分方式

（1）基于端口。這就意味著是以局域網(wǎng)交換機(jī)的端口來作為VLAN的劃分因素。VLAN的管理員必須熟知各個端口的ID，將不同的端口分到對應(yīng)的分組中。這種VLAN方式簡單，容易實(shí)現(xiàn)，也便于直接監(jiān)控，但使用者不能自由移動。

（2）基于MAC 地址。MAC地址是指網(wǎng)卡的“身份證”， 并且是唯一的、固定在網(wǎng)卡上。一般情況下，MAC地址由48位二進(jìn)制數(shù)構(gòu)成，前24位為廠商標(biāo)識，后24位為網(wǎng)卡標(biāo)識。在應(yīng)用中，交換機(jī)可以隨機(jī)讀取MAC地址，把相關(guān)的主機(jī)分配到一個VLAN中。與基于端口不同的是，一旦劃分，用戶可移動使用而不受影響。

（3）基于網(wǎng)絡(luò)層的VLAN劃分。通過每個主機(jī)的網(wǎng)絡(luò)層協(xié)議或IP地址來確定VLAN，這種VLAN定義方式比上述兩種更加靈活。以IP為例，可以設(shè)置192.168.1.X，掩碼255.255.255.0為VLAN1，設(shè)置192.168.2.X，掩碼255.255.255.0為VLAN2。這種方法，同樣擁有用戶物理位置改變而不需重新配置的優(yōu)點(diǎn)。但是相對的，這種方式效率就較低，需要管理耗費(fèi)較多的時間檢查每一個數(shù)據(jù)包的網(wǎng)絡(luò)層地址。

就目前來說，第（1）、（3）種方式是劃分VLAN的主要方式，第（2）種方式為輔助性的方案。

二、校園網(wǎng)實(shí)例分析

1.校園網(wǎng)原狀

筆者學(xué)?，F(xiàn)校舍為1999年新建，在施工時，已將校園網(wǎng)硬件線路鋪設(shè)在內(nèi)。限于當(dāng)時網(wǎng)絡(luò)技術(shù)發(fā)展的狀況，設(shè)計比較簡單，采用雙絞線加普通的交換機(jī)和HUB來聯(lián)通整個網(wǎng)絡(luò)，再用光纖接入到慈溪教育城域網(wǎng)。在當(dāng)時接入節(jié)點(diǎn)少、網(wǎng)絡(luò)應(yīng)用少、網(wǎng)絡(luò)流量小的情況下，一些簡單應(yīng)用基本也能應(yīng)付。但隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)流量和應(yīng)用大增，網(wǎng)絡(luò)負(fù)荷不斷加大，教師和學(xué)生的網(wǎng)絡(luò)應(yīng)用水平也在不斷地提升，出現(xiàn)了各種問題。如學(xué)生上網(wǎng)時會通過網(wǎng)絡(luò)鄰居，查看或者修改教師電腦里的內(nèi)容；部分學(xué)生會因?yàn)樯暇W(wǎng)查看不健康的信息，導(dǎo)致病毒的入侵，影響網(wǎng)絡(luò)運(yùn)作；教師會利用大量的空余時間上網(wǎng)沖浪，在一定程度上影響了教師備課的進(jìn)度。

在這種形勢下，學(xué)校的原校園網(wǎng)明顯已經(jīng)不能適應(yīng)新的時代，而基于VLAN技術(shù)規(guī)劃的網(wǎng)絡(luò)則能比較好地解決前面這些困擾。所以在原網(wǎng)的基礎(chǔ)上，學(xué)校重新規(guī)劃整理并建設(shè)了基于VLAN技術(shù)的校園網(wǎng)。

2.新網(wǎng)整體規(guī)劃

如下圖所示是筆者學(xué)校校園網(wǎng)拓?fù)浣Y(jié)構(gòu)圖。校園網(wǎng)采用千兆級骨干，百兆到桌面的交換式網(wǎng)絡(luò)架構(gòu)。設(shè)計上采用3層結(jié)構(gòu)方式。核心層采用神州數(shù)碼的DCRS-6808準(zhǔn)電信級的核心路由交換機(jī)，提供了強(qiáng)大的數(shù)據(jù)交換處理的能力，保障網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定無故障的工作；骨干匯聚層采用神州數(shù)碼DCS-3900S，可網(wǎng)管的L2交換機(jī)，具有強(qiáng)大的包過濾功能，能夠很好地保護(hù)核心設(shè)備，同時能夠千兆上聯(lián)核心交換機(jī)；用戶接入層采用神州數(shù)碼的DCS-3600系列網(wǎng)管交換機(jī)，實(shí)現(xiàn)100M到桌面，具有強(qiáng)大的穩(wěn)定性和良好性價比。Internet接入則采用教育網(wǎng)專線方式，在接入時采用神州數(shù)碼DCFW-1800E，具有良好的保護(hù)內(nèi)部網(wǎng)絡(luò)，減少非法入侵的作用。同時采用上網(wǎng)行為管理設(shè)備——深信服（SINFOR M5400），實(shí)現(xiàn)內(nèi)部用戶對互聯(lián)網(wǎng)訪問行為和認(rèn)證的全面管理。

圖 慈溪職業(yè)高級中學(xué)校園網(wǎng)拓?fù)鋱D

3.VLAN劃分endprint

學(xué)校劃分VLAN的做法如下。首先，在網(wǎng)絡(luò)規(guī)劃與網(wǎng)絡(luò)配置時確定校園網(wǎng)各VLAN中計算機(jī)的IP地址取值范圍，由于要考慮校園網(wǎng)與慈溪教育城域網(wǎng)之間的無縫連接和學(xué)校的具體計算機(jī)信息點(diǎn)數(shù)，以便今后能在慈溪教育城域網(wǎng)范圍內(nèi)開展一些特殊應(yīng)用，故學(xué)校一開始就向慈溪教育城域網(wǎng)中心申請了10.55.2.0/24和10.55.224.0/20兩個IP地址段。

其次考慮到學(xué)校具體情況，把10.55.2.0/24網(wǎng)段劃分為一個VLAN，專用于網(wǎng)絡(luò)管理中心的具體幾臺服務(wù)器，又在應(yīng)用中為224、225、226、……239等網(wǎng)段劃分了若干個VLAN，如一個VLAN用于教師辦公室區(qū)域的，一個VLAN用于行政組，其他如圖書館管理系統(tǒng)、教學(xué)樓一區(qū)、教學(xué)樓二區(qū)、機(jī)房、教師宿舍區(qū)、財務(wù)室、實(shí)訓(xùn)樓等也分別劃分了VLAN。

4.VLAN訪問控制與IP地址分配

在校園網(wǎng)的核心層和匯聚層交換機(jī)的接口上建立訪問控制列表（ACL）來實(shí)現(xiàn)VLAN之間的訪問控制，決定哪些用戶數(shù)據(jù)流可以在VLAN之間進(jìn)行交換，以及最終到達(dá)核心層。比如行政組屏蔽其他VLAN的訪問，財務(wù)區(qū)等一些比較重要的部門，拒絕機(jī)房VLAN訪問，以確保整個網(wǎng)絡(luò)的安全。

同時，結(jié)合學(xué)校的實(shí)際情況，由于老師們現(xiàn)在都具有一定的網(wǎng)絡(luò)基礎(chǔ)知識，比如修改IP地址等。學(xué)校將一個辦公室作為一個控制組，在接入層交換機(jī)上配置基本訪問控制列表，ACL表中被允許的IP地址段可以訪問網(wǎng)絡(luò)，被禁止的IP地址段不可以訪問網(wǎng)絡(luò)。將ACL訪問規(guī)則運(yùn)用到連接辦公室的端口上。并將分配的IP地址段下發(fā)給各辦公室，讓辦公室用戶根據(jù)辦公室IP地址段手動配置IP地址，從而讓IP地址沖突的可能性降到最低。

三、結(jié)束語

作為最常用的局域網(wǎng)技術(shù)之一，兼具靈活性和可靠性的VLAN技術(shù)為校園網(wǎng)的建設(shè)提供了有效的助益。不僅為整個校園網(wǎng)的使用和配置帶來了快速、安全，也降低了校園網(wǎng)的維護(hù)和管理成本。但是，校園網(wǎng)VLAN技術(shù)的使用，還需要結(jié)合本校實(shí)際，考慮到校園網(wǎng)絡(luò)的多樣性、復(fù)雜性、效率性、業(yè)務(wù)性等特殊原則。目前VLAN的使用基本上能滿足校園網(wǎng)絡(luò)的需求，相信隨著校園網(wǎng)用戶數(shù)量的不斷增多，VLAN技術(shù)將會得到更加廣泛的應(yīng)用和發(fā)展。

參考文獻(xiàn)：

[1]張水平.計算機(jī)網(wǎng)絡(luò)原理[M].北京：清華大學(xué)出版社，2005.

[2]王保順.校園網(wǎng)設(shè)計與遠(yuǎn)程教學(xué)系統(tǒng)開發(fā)[M].北京：人民郵電出版社，2003.

[3]李曄.VLAN的產(chǎn)生及發(fā)展[J].科學(xué)之友，2011（10）.

[4]魏麟.VLAN技術(shù)在校園網(wǎng)中的應(yīng)用[J].計算機(jī)應(yīng)用工程技術(shù)，2008（2）.

[5]江克宇.淺析劃分VLAN的技巧及應(yīng)用[J].福建電腦，2010（12）.

（作者單位：慈溪職業(yè)高級中學(xué)）endprint

學(xué)校劃分VLAN的做法如下。首先，在網(wǎng)絡(luò)規(guī)劃與網(wǎng)絡(luò)配置時確定校園網(wǎng)各VLAN中計算機(jī)的IP地址取值范圍，由于要考慮校園網(wǎng)與慈溪教育城域網(wǎng)之間的無縫連接和學(xué)校的具體計算機(jī)信息點(diǎn)數(shù)，以便今后能在慈溪教育城域網(wǎng)范圍內(nèi)開展一些特殊應(yīng)用，故學(xué)校一開始就向慈溪教育城域網(wǎng)中心申請了10.55.2.0/24和10.55.224.0/20兩個IP地址段。

其次考慮到學(xué)校具體情況，把10.55.2.0/24網(wǎng)段劃分為一個VLAN，專用于網(wǎng)絡(luò)管理中心的具體幾臺服務(wù)器，又在應(yīng)用中為224、225、226、……239等網(wǎng)段劃分了若干個VLAN，如一個VLAN用于教師辦公室區(qū)域的，一個VLAN用于行政組，其他如圖書館管理系統(tǒng)、教學(xué)樓一區(qū)、教學(xué)樓二區(qū)、機(jī)房、教師宿舍區(qū)、財務(wù)室、實(shí)訓(xùn)樓等也分別劃分了VLAN。

4.VLAN訪問控制與IP地址分配

在校園網(wǎng)的核心層和匯聚層交換機(jī)的接口上建立訪問控制列表（ACL）來實(shí)現(xiàn)VLAN之間的訪問控制，決定哪些用戶數(shù)據(jù)流可以在VLAN之間進(jìn)行交換，以及最終到達(dá)核心層。比如行政組屏蔽其他VLAN的訪問，財務(wù)區(qū)等一些比較重要的部門，拒絕機(jī)房VLAN訪問，以確保整個網(wǎng)絡(luò)的安全。

同時，結(jié)合學(xué)校的實(shí)際情況，由于老師們現(xiàn)在都具有一定的網(wǎng)絡(luò)基礎(chǔ)知識，比如修改IP地址等。學(xué)校將一個辦公室作為一個控制組，在接入層交換機(jī)上配置基本訪問控制列表，ACL表中被允許的IP地址段可以訪問網(wǎng)絡(luò)，被禁止的IP地址段不可以訪問網(wǎng)絡(luò)。將ACL訪問規(guī)則運(yùn)用到連接辦公室的端口上。并將分配的IP地址段下發(fā)給各辦公室，讓辦公室用戶根據(jù)辦公室IP地址段手動配置IP地址，從而讓IP地址沖突的可能性降到最低。

三、結(jié)束語

作為最常用的局域網(wǎng)技術(shù)之一，兼具靈活性和可靠性的VLAN技術(shù)為校園網(wǎng)的建設(shè)提供了有效的助益。不僅為整個校園網(wǎng)的使用和配置帶來了快速、安全，也降低了校園網(wǎng)的維護(hù)和管理成本。但是，校園網(wǎng)VLAN技術(shù)的使用，還需要結(jié)合本校實(shí)際，考慮到校園網(wǎng)絡(luò)的多樣性、復(fù)雜性、效率性、業(yè)務(wù)性等特殊原則。目前VLAN的使用基本上能滿足校園網(wǎng)絡(luò)的需求，相信隨著校園網(wǎng)用戶數(shù)量的不斷增多，VLAN技術(shù)將會得到更加廣泛的應(yīng)用和發(fā)展。

參考文獻(xiàn)：

[1]張水平.計算機(jī)網(wǎng)絡(luò)原理[M].北京：清華大學(xué)出版社，2005.

[2]王保順.校園網(wǎng)設(shè)計與遠(yuǎn)程教學(xué)系統(tǒng)開發(fā)[M].北京：人民郵電出版社，2003.

[3]李曄.VLAN的產(chǎn)生及發(fā)展[J].科學(xué)之友，2011（10）.

[4]魏麟.VLAN技術(shù)在校園網(wǎng)中的應(yīng)用[J].計算機(jī)應(yīng)用工程技術(shù)，2008（2）.

[5]江克宇.淺析劃分VLAN的技巧及應(yīng)用[J].福建電腦，2010（12）.

（作者單位：慈溪職業(yè)高級中學(xué)）endprint

學(xué)校劃分VLAN的做法如下。首先，在網(wǎng)絡(luò)規(guī)劃與網(wǎng)絡(luò)配置時確定校園網(wǎng)各VLAN中計算機(jī)的IP地址取值范圍，由于要考慮校園網(wǎng)與慈溪教育城域網(wǎng)之間的無縫連接和學(xué)校的具體計算機(jī)信息點(diǎn)數(shù)，以便今后能在慈溪教育城域網(wǎng)范圍內(nèi)開展一些特殊應(yīng)用，故學(xué)校一開始就向慈溪教育城域網(wǎng)中心申請了10.55.2.0/24和10.55.224.0/20兩個IP地址段。

其次考慮到學(xué)校具體情況，把10.55.2.0/24網(wǎng)段劃分為一個VLAN，專用于網(wǎng)絡(luò)管理中心的具體幾臺服務(wù)器，又在應(yīng)用中為224、225、226、……239等網(wǎng)段劃分了若干個VLAN，如一個VLAN用于教師辦公室區(qū)域的，一個VLAN用于行政組，其他如圖書館管理系統(tǒng)、教學(xué)樓一區(qū)、教學(xué)樓二區(qū)、機(jī)房、教師宿舍區(qū)、財務(wù)室、實(shí)訓(xùn)樓等也分別劃分了VLAN。

4.VLAN訪問控制與IP地址分配

在校園網(wǎng)的核心層和匯聚層交換機(jī)的接口上建立訪問控制列表（ACL）來實(shí)現(xiàn)VLAN之間的訪問控制，決定哪些用戶數(shù)據(jù)流可以在VLAN之間進(jìn)行交換，以及最終到達(dá)核心層。比如行政組屏蔽其他VLAN的訪問，財務(wù)區(qū)等一些比較重要的部門，拒絕機(jī)房VLAN訪問，以確保整個網(wǎng)絡(luò)的安全。

同時，結(jié)合學(xué)校的實(shí)際情況，由于老師們現(xiàn)在都具有一定的網(wǎng)絡(luò)基礎(chǔ)知識，比如修改IP地址等。學(xué)校將一個辦公室作為一個控制組，在接入層交換機(jī)上配置基本訪問控制列表，ACL表中被允許的IP地址段可以訪問網(wǎng)絡(luò)，被禁止的IP地址段不可以訪問網(wǎng)絡(luò)。將ACL訪問規(guī)則運(yùn)用到連接辦公室的端口上。并將分配的IP地址段下發(fā)給各辦公室，讓辦公室用戶根據(jù)辦公室IP地址段手動配置IP地址，從而讓IP地址沖突的可能性降到最低。

三、結(jié)束語

作為最常用的局域網(wǎng)技術(shù)之一，兼具靈活性和可靠性的VLAN技術(shù)為校園網(wǎng)的建設(shè)提供了有效的助益。不僅為整個校園網(wǎng)的使用和配置帶來了快速、安全，也降低了校園網(wǎng)的維護(hù)和管理成本。但是，校園網(wǎng)VLAN技術(shù)的使用，還需要結(jié)合本校實(shí)際，考慮到校園網(wǎng)絡(luò)的多樣性、復(fù)雜性、效率性、業(yè)務(wù)性等特殊原則。目前VLAN的使用基本上能滿足校園網(wǎng)絡(luò)的需求，相信隨著校園網(wǎng)用戶數(shù)量的不斷增多，VLAN技術(shù)將會得到更加廣泛的應(yīng)用和發(fā)展。

參考文獻(xiàn)：

[1]張水平.計算機(jī)網(wǎng)絡(luò)原理[M].北京：清華大學(xué)出版社，2005.

[2]王保順.校園網(wǎng)設(shè)計與遠(yuǎn)程教學(xué)系統(tǒng)開發(fā)[M].北京：人民郵電出版社，2003.

[3]李曄.VLAN的產(chǎn)生及發(fā)展[J].科學(xué)之友，2011（10）.

[4]魏麟.VLAN技術(shù)在校園網(wǎng)中的應(yīng)用[J].計算機(jī)應(yīng)用工程技術(shù)，2008（2）.

[5]江克宇.淺析劃分VLAN的技巧及應(yīng)用[J].福建電腦，2010（12）.

（作者單位：慈溪職業(yè)高級中學(xué)）endprint