VLAN技術(shù)研究及其在校園網(wǎng)中的應(yīng)用

費建英

（浙江省桐鄉(xiāng)市高級技工學(xué)校 浙江 314500）

0 引言

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和 Internet的日益普及，許多學(xué)校都建立了校園網(wǎng)并投入使用，這無疑對實現(xiàn)資源共享、加快信息處理、減輕工作強(qiáng)度及提高辦事效率等諸多方面都起到了巨大的作用，這就必然要求校園網(wǎng)技術(shù)向更安全、更穩(wěn)定、更高效的方向發(fā)展。因此，如何構(gòu)建一個安全、穩(wěn)定、高效、實用、便于管理的校園網(wǎng)，成了網(wǎng)絡(luò)管理員的重要任務(wù)之一。

1 校園網(wǎng)介紹

校園網(wǎng)是指利用網(wǎng)絡(luò)設(shè)備、通信介質(zhì)和適宜的組網(wǎng)技術(shù)與協(xié)議以及各類系統(tǒng)管理軟件和應(yīng)用軟件，將校園網(wǎng)內(nèi)計算機(jī)和各種終端設(shè)備有機(jī)地集合起來構(gòu)成的局域網(wǎng)系統(tǒng)。傳統(tǒng)校園網(wǎng)通常由HUB、網(wǎng)橋、交換機(jī)等網(wǎng)絡(luò)設(shè)備將同一網(wǎng)段的所有節(jié)點連接在一起而形成，各節(jié)點通常按照它們的物理連接被自然地劃分到局域網(wǎng)中，處于同一局域網(wǎng)內(nèi)的網(wǎng)絡(luò)節(jié)點間可以直接通信，而處于不同局域網(wǎng)之間的通信則必須通過路由器才能實現(xiàn)通信。

隨著網(wǎng)絡(luò)的不斷擴(kuò)展，接入設(shè)備逐漸增多，網(wǎng)絡(luò)結(jié)構(gòu)也日趨復(fù)雜，這樣的網(wǎng)絡(luò)模式從效率和安全性的角度來考慮都是有所欠缺的。首先一個廣播域內(nèi)的設(shè)備增加，那么在這個廣播域內(nèi)設(shè)備的廣播頻率便會相對增加。廣播頻率的提高，對設(shè)備的效率會有很大的影響，因為每一個設(shè)備都必須中斷其 CPU 正在處理的業(yè)務(wù)，來處理收到的廣播包，以決定是否需要對包內(nèi)的數(shù)據(jù)作進(jìn)一步處理，這種中斷降低了 CPU 處理正常業(yè)務(wù)的效率，增長了完成這些業(yè)務(wù)的時間，這時廣播不僅消耗了帶寬，而且也降低了用戶工作站的處理效率。信息流很大的時候，就容易形成廣播風(fēng)暴，甚至造成網(wǎng)絡(luò)的癱瘓。其次，按照物理連接將身份、需求各不相同的用戶機(jī)械地劃分到相同的用戶組（廣播域）中，網(wǎng)管很難限制對本地網(wǎng)絡(luò)中一個或多個特別設(shè)備的接入，不僅帶來安全隱患而且限制了網(wǎng)絡(luò)的靈活性。對于網(wǎng)絡(luò)管理者來說，這就需要有一種技術(shù)來解決這些問題，VLAN技術(shù)便應(yīng)運而生。

2 VLAN的定義及其優(yōu)勢

VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)是一種迅速發(fā)展且被廣泛應(yīng)用的技術(shù)，它是建立在交換技術(shù)基礎(chǔ)之上的，以軟件方式實現(xiàn)邏輯工作組的劃分與管理?？梢詫⒉煌乩砦恢玫木W(wǎng)絡(luò)用戶劃分為一個邏輯網(wǎng)段，同時，在不改動網(wǎng)絡(luò)物理連接的情況下可以任意地將設(shè)備在工作組或子網(wǎng)之間移動。VLAN的作用是使得同一VLAN中的成員間能夠互相通信，而不同VLAN之間是相互隔離的，如果需要通信則必須通過路由設(shè)備，通?？梢圆捎萌龑咏粨Q機(jī)來實現(xiàn)路由功能。每一個VLAN都是一個廣播域，廣播包只能在一個VLAN內(nèi)進(jìn)行廣播，VLAN間的數(shù)據(jù)通信必須經(jīng)過三層轉(zhuǎn)發(fā)。這樣，既優(yōu)化了網(wǎng)絡(luò)的帶寬，減少了網(wǎng)絡(luò)交通量，同時也確保了網(wǎng)絡(luò)信息的安全。下面從幾個方面具體談?wù)刅LAN技術(shù)在校園網(wǎng)中的突出作用：

第一、控制網(wǎng)絡(luò)上的廣播風(fēng)暴

使用 VLAN可以將某個交換端口或用戶賦于某個特定的VLAN組，該VLAN組可以在一個交換網(wǎng)中跨接多個交換機(jī)。在一個VLAN中的廣播風(fēng)暴不會送到VLAN之外，同樣，相鄰的端口不會收到其他VLAN產(chǎn)生的廣播風(fēng)暴。這樣，可以減少廣播流量，釋放帶寬給用戶應(yīng)用，從而減少廣播風(fēng)波的產(chǎn)生。

第二、增強(qiáng)網(wǎng)絡(luò)的安全性

VLAN技術(shù)可以根據(jù)學(xué)校各部門的具體安全要求，將各部門用戶劃分到不同的VLAN中（例如：校辦公室、財務(wù)室、學(xué)生機(jī)房等都可以單獨劃分VLAN），同一個VLAN內(nèi)的設(shè)備可以進(jìn)行二層通信，各VLAN間的設(shè)備必須通過三層轉(zhuǎn)發(fā)才能實現(xiàn)通信，如果不建立VLAN間的三層轉(zhuǎn)發(fā)，VLAN間完全不能通信，這就起到了隔離的作用，從而保證了每個VLAN內(nèi)的數(shù)據(jù)安全。

第三、提高網(wǎng)絡(luò)連接的靈活性

借助VLAN技術(shù)，能將不同地點、不同網(wǎng)絡(luò)、不同用戶組合在一起，形成一個虛擬的網(wǎng)絡(luò)環(huán)境，就像使用本地LAN一樣方便、靈活、有效。當(dāng)用戶物理位置移動時，可以在不添加交換機(jī)的情況下，能讓該用戶接入到校園網(wǎng)（該用戶屬于原先VLAN）。因此，VLAN可以降低移動或變更工作站地理位置的管理費用與工作量。

3 VLAN在校園網(wǎng)中的應(yīng)用

以我校為例，在校生人數(shù)為兩千人左右，聯(lián)網(wǎng)計算機(jī)數(shù)量四百多臺，校園網(wǎng)主要是發(fā)揮三個方面的功能：教學(xué)功能、管理功能、信息功能。聯(lián)網(wǎng)計算機(jī)分布在校園內(nèi)三幢樓：綜合樓、教學(xué)樓、實習(xí)工廠，主要涉及部門有行政辦公室、教師辦公室、學(xué)生機(jī)房和多媒體教室等。校園網(wǎng)采用三層網(wǎng)絡(luò)架構(gòu)設(shè)計，分為核心層、匯聚層、接入層三個層次，主干網(wǎng)技術(shù)選擇千兆以太網(wǎng)技術(shù)，核心交換機(jī)采用三層交換機(jī)，它能很好地支持VLAN（虛擬局域網(wǎng)）技術(shù)。

3.1 VLAN實現(xiàn)途徑

在設(shè)計和建設(shè)VLAN、實現(xiàn)VLAN應(yīng)用時首先要決定如何劃分VLAN，即依據(jù)什么標(biāo)準(zhǔn)來組織VLAN成員。VLAN的劃分方法一般有基于端口的VLAN劃分、基于MAC地址的VLAN劃分和基于網(wǎng)絡(luò)層的VLAN劃分三種方式，不同的劃分方式代表不同的VLAN實現(xiàn)類型：

根據(jù)我校校園網(wǎng)的具體情況，為了達(dá)到信息流量控制及良好的安全性，采用基于端口的VLAN劃分技術(shù)對網(wǎng)絡(luò)內(nèi)不同部門之間進(jìn)行邏輯隔離，并抑制廣播風(fēng)暴?；诙丝诘膭澐址绞绞亲詈唵我彩亲畛Ｓ玫?，是指由網(wǎng)絡(luò)管理員使用網(wǎng)管軟件或直接設(shè)置交換機(jī)，將某些端口直接地、強(qiáng)制性地分配給某個VLAN，除非網(wǎng)管人員重新設(shè)置，否則，這些端口將一直保持對該VLAN的屬性。它的特點是把交換機(jī)按照端口進(jìn)行分組，每一組定義一個VLAN，這些端口分組能夠在一臺交換機(jī)上也能夠跨越幾個交換機(jī)。一個VLAN的各個端口上的所有終端都在一個廣播域中，不同的VLAN之間不能直接相互訪問，VLAN間的通信需要通過路由來進(jìn)行。這種VLAN劃分的主要優(yōu)點是簡單、容易實現(xiàn)；缺點是不夠靈活，當(dāng)一個終端發(fā)生物理位置變化時要重新設(shè)置。

3.2 VLAN規(guī)劃

學(xué)生機(jī)房主要供學(xué)生使用，有其特殊性，主要表現(xiàn)為：學(xué)生隨意修改IP地址，造成IP地址沖突；由于使用人群的頻繁更換，使用介質(zhì)各異，各種病毒最容易在此泛濫；一些機(jī)房還有使用交互式多媒體教學(xué)系統(tǒng)的特殊需求。鑒于以上原因，一般單獨將學(xué)生機(jī)房和多媒體教室用機(jī)劃分為一個VLAN，將各部門教師用機(jī)、實習(xí)工廠用機(jī)分屬于各部門VLAN，將學(xué)校行政管理（包括人事、財務(wù)以及后勤總務(wù)部門）劃分為一個VLAN。在每個VLAN中人們可以傳送具有保密性的資源，網(wǎng)絡(luò)管理員可以控制每個VLAN中用戶的數(shù)量并綁定它們的IP地址，需要特權(quán)才能進(jìn)入VLAN對其用戶進(jìn)行訪問。內(nèi)部VLAN之間的路由由三層交換機(jī)實現(xiàn)，從而在多個VLAN子網(wǎng)資源共享的同時，又保證了其相互間的安全性。

4 結(jié)束語

VLAN技術(shù)在校園網(wǎng)中的應(yīng)用，有效地限制了廣播風(fēng)暴，同時增加了網(wǎng)絡(luò)連接的靈活性，一定程度上阻斷了ARP病毒在校園網(wǎng)內(nèi)的大面積傳播，減輕了網(wǎng)絡(luò)管理員的工作負(fù)擔(dān)。但在實際計算機(jī)網(wǎng)絡(luò)建設(shè)中，合理地進(jìn)行VLAN劃分，還需要認(rèn)真研究實際情況，考慮網(wǎng)絡(luò)設(shè)備性能、網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)運行、管理、安全和升級等諸方面因素，形成一套合理、適當(dāng)?shù)牡刂贩峙浜蚔LAN規(guī)劃方案，以保障校園網(wǎng)更安全、更穩(wěn)定、更高效地運行。

[1]林維忠.虛擬局域網(wǎng)（VLAN）技術(shù)[M].水利水電出版社，2003

[2]王竹林.校園網(wǎng)組建與管理[M].清華大學(xué)出版社，2002

[3]楊超瑜.VLAN技術(shù)及其在校園網(wǎng)中的應(yīng)用[J].產(chǎn)業(yè)與科技論壇，2009，8（4）：141-143

[4]翟冰.VLAN 技術(shù)探究[J].內(nèi)蒙古科技與經(jīng)濟(jì)，2009，3：96-97