苗小勇

西华师范大学 四川南充 637000

Vlan技术在县域教育信息网中的应用与研究

苗小勇

西华师范大学 四川南充 637000

过去的几年，学校计算机局域网在促进我县信息技术教育和信息技术教育应用的普及方面发挥了重要作用，同时也逐渐显露孤立的校园网，其力量单薄，难以适应信息技术教育和信息技术教育应用的深入发展。我们对其归纳如下：难以形成丰富的教育资源库群，（实际上，许多学校无法建设自身的资源库），必定会衰减网络应用的广度和深度；区域内信息共享、交流与合作困难，必然会导致资源重复建设，校间合作与交流得不到进一步发展；教委部门形成的众多资源，得不到有效查询；区域内难以实现统一办公和管理，不便于工作效率的提高，区域内也难以形成对外形象展示窗口，等等。诸多因素决定，互联各校局域网，构架县域教育信息网，成立教育信息中心已成为必须。

Vlan（Virtual Local Area Network）是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。每一个Vlan都包含一组有着相同需求的计算机工作站,与物理上形成的Vlan有着相同的属性。一个Vlan内部的广播和单播流量都不会转发到其他Vlan中,从而有助于控制流量、提高网络安全性、简化网络管理。下面从几个方面具体来谈谈Vlan技术在校园网中的发挥的突出作用。

一、控制广播风暴

由于不同的Vlan有着各自独立的广播域,而广播只能在本地Vlan内进行,从而大大减少了广播对网络带宽的占用,提高了带宽传输效率,并可以有效地避免广播风暴的产生。

二、增强网络安全性

在交换机上划分Vlan以后,不同的Vlan之间将不能直接通信,Vlan间的通信必须通过三层设备(路由设备)。可以通过路由访问列表和MAC地址分配等Vlan划分原则,控制用户访问权限和逻辑网段大小,将不同用户群划分在不同Vlan中,从而提高校园网的整体性能和安全。

三、网络管理简单、直观

利用Vlan技术可以根据学校的部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段,在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用Vlan技术,可大大减轻网络管理和维护工作的负担,降低网络维护费用。

以三层交换机为核心的千兆网络中，为确保不同职能部门管理的方便性和安全性及整个网络运行的稳定性，可采用Vlan技术进行虚拟网络划分。Vlan子网隔离了广播风暴，对一些重要部门实施了安全保护；且当某一部门物理位置发生变化时，只需对交换机进行设置，就能实现网络的重组，非常方便、快捷，同时节约了成本。

虚拟局域网的组网方式。不同的Vlan组网方法的区别，主要表现在对虚拟局域网成员的定义方法上，通常有以下3种：

1.用交换机端口定义Vlan

虚拟局域网从逻辑上把局域网交换机的端口划分为不同的虚拟子网，各虚拟子网相对独立。虚拟局域网也可以跨越多个交换机。但是它不允许不同的Vlan包含相同的物理网段或交换端口。用端口定义Vlan的缺点是：当用户从一个端口移动到另一人个端口时，网络管理员必须对虚拟局域网成员重新进行配置。

2.用MAC地址定义Vlan

此类Vlan可以视为基于用户的虚拟局域网。其优点是：由于结点的MAC地址是与硬件无关的地址，所以用结点的MAC地址定义的虚拟局域网允许结点移动到网络的其它物理网段。由于结点的MAC地址不变，所以该结点将自动保持原来Vlan成员的地位。

3.用网络层地址定义Vlan

它使用结点的网络地址定义虚拟局域网。其优点是：首先，它允许按照协议类型来组成虚拟局域网。这有利于组成基于服务或应用的Vlan；其次，用户可以随意移动工作站而无须重新配置网络地址，这对于TCP/IP协议的用户是特别有利的。

图1 网络拓扑图

以下我们给予图1说明：防火墙的两个出口分别接省教育资源网和Internet。假设教育资源网服务器的IP为10.10.1O.31，公网IP为202.1.2.3。核心交换机采用神舟数码DCRS-6808，防火墙是神舟数码DCFW-1800S。我们对核心交换机和防火墙的配置予以说明。为了县平台网络管理中心的检测与管理，我们对不同的单位和学校采用统一的I P段，即10.100.XX.XX。另外由于各学校的规模不一样，所需要的I P地址数量是不同的，我们可以对其划分子网。比如，城关小学规模小，I P地址10.100.32.1/22,XX中学则为10.100.4O.1/21。其他学校根据实际情况规划自己网络的大小。

下面给出核心交换机的具体配置：

其他学校的Vlan及接口与城关小学配置类似，再些不再赘述。从以配置中我们可以看出，DCRS-6808核心交换机的Vlan采用IP地址组网。另外我们还需要对核心交换机进行路由配置，具体命令为：

ip route 0.0.0.0/0 10.10.0.1 ! 10.10.0.1为接防火墙的核心交换机E1/1接口地址

下面给出防火墙的具体配置：

从以上配置中可以看出，在防火墙设备上增加专网出口，并单独接一根专网线路，在出口防火墙设备上做路由和双NAT转换。由区县统一互联网出口和专网出口，学校可以同时访问互联网和专网资源。同时，对于一些偏远地区的学校，可以通过电信线路接入互联网，在此基础上再接入基础教育专网。具体方法是：学校局域网内需要接入专网的电脑发起专网拨号认证，建立到基础教育专网VPN隧道，自动获取专网IP地址。采用这种方式接入专网的电脑可实现专网和互联网的同时访问。需要注意的是：用个人名义申请的学校使用的拨号ADSL线路必须更换为以单位名义申请的ADSL专线。在接入电信互联网基础上，学校根据需要访问基础教育专网的主机数量，向当地电信公司申请基础教育专网的拨号认证帐号，需要访问基础教育专网的主机在接通互联网的情况下在自己的操作系统上设置L2TP协议的VPN拨号软件。

我们只给出一个学校的网络拓扑图予以说明，如图2所示。下面我们给出其核心交换机DCRS-6804的主要配置，在些只给出了部分结果。其配置操作步骤与DCRS-6808类似。

图2 城关小学网络拓扑图

从以上我们可以，学校的计算机只要输入I P：10.100.32.2-10.100.32.254，10.100.33.2-10.100.33.254中的任意一个地址，网关分别为：10.100.32.1和10.100.33.1;子网掩码为：255.255.255.0,这样就可以接通网络了。

防火墙的主要配置为：

以上我们主要对县平台防火墙和核心交换机进行了配置，并以城关小学为例，采用Vlan技术来组建校园网。Vlan技术为校园网的建设提供了高度的灵活性和可靠的网络安全管理手段,显示出独特的优点。特别是基于第三层交换的Vlan技术的出现,解决了局域网中网段划分之后,网络中子网间的通讯必须依赖路由器的局面,从而有效的解决了传统路由器数据传输低速造成的网络瓶颈问题,实现了一次路由多次交换,同时第三层交换技术的出现给校园网的建设提供了良好的扩展性。随着Vlan技术和三层交换技术的发展,必将把校园网的发展带入一个新的阶段。新的问题也将随之出现,这就需要我们更多的网络研究和管理等人员投入更多的精力,使Vlan技术为我们的网络建设和管理带来更多的方便。

[1]余明辉,安淑梅.计算机网络构建技术[M].北京：人民邮电出版社,2005

[2]张大陆,宋金刚.虚拟局域网技术探讨及实现[J].计算机工程，1997，12

2010-09-30

苗小勇，在读硕士研究生。