VLAN技术在校园网中的应用

2012-04-29刘红艳

计算机时代 2012年1期

刘红艳

摘要虚拟局域网(VLAN)技术是目前网络技木中的一项重要技术。又章王要介绍了VIAN技木原理、优点及其划分，阐述了VLAN技术在管理维护校园网系统中所起的作用以及在校园网中用交换机配置VLAN的步骤，解决了校园网中存在的厂播风暴和安全性问题。

关键词VLAN，网络，交换机，校园网

中图分类号TP3931文献标志码A文章编号：1006-8228(2012)01-14-02

0引言

在传统的以太网络上，所有的交换机的端口都在同一个广播域里面，所以当一台主机发出广播时，其他的主机都可以收到这个广播。随着校园网络规模不断扩大，网络上的主机越来越多，广播也就越来越多，网络的传输效率将会明显下降甚至形成广播风暴，引起网络堵塞”。针对于此，引用了VLAN技术。

1VLAN技术原理

VLAN(Vtrtual LAN)，即虚拟LAN。VLAN技术将整个交换网络分为多个广播域，每一个VLAN是建立在一台或多台交换机上的一个广播域，交换机按照桥接协议为每一个单独的VLAN进行独立的桥接工作，也就是说，每一个VLAN都像一台独立的网桥一样在工作。被分配在一个VLAN里的主机通过交换机只能和本VLAN的主机通信。

2VIAN技术优点

2.1增加了网络的连接灵活性

借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，用户就像使用本地LAN一样方便、灵活、有效。VLAN可以大大降低移动或变更工作站地理位置的管理费用。

2.2增强了网络安全性

在交换机上划分VLAN以后，不同的VLAN之间将不能直接通信，VLAN间的通信必须通过路由器或三层交换机等三层设备。这在很大程度上确保了网络的安全保密性。

2.3控制广播风暴

由于不同的VLAN有着各自独立的广播域，而广播只能在本地VLAN内进行，从而大大减少了广播对网络带宽的占用，提高了带宽传输效率，并可以有效地避免广播风暴的产生。即使有—个VLAN产生了广播风暴，也不会影响另外的VLAN。

3.VLAN的分类

VLAN的基本分组方法取决于VLAN的分组策略，而这些策略需要VLAN交换机上管理软件的支持。目前，以交换式以太网为基础实现VLAN技术主要有以下几种方法。

3.1基于端口的VIAN

这种方法是直接在交换机上以命令的方式将交换机上的某一个端口归属于某一个VLAN。所以应用这种VLAN时，网络管理员需要在交换机上一个端口一个端口地配置该端口属于哪个VLAN。这种分组的优点是简单、容易实现，缺点是不-够灵活，当-+终端发生物理位置变化时要重新设置。例如，当有人员变动的时候，员工的计算机可能也要从—个办公室搬到另外—个办公室，连接到另外一台交换机上，如果该交换机上连接这个新来的员工的端口不是他应该进入的VL#JN，就需要到那台交换机上去手动地修改。

3.2基于MAC地址的VLAN

基于MAC地址的VLAN也叫动态VLAN，它是通过使用网管软件分配主机的MAC地址的方式建立的。当一台主机接入网络时，它会询问数据库自己属于哪个VLAN，而网络管理软件会根据主机的MAC地址将它分配到相应的VLAN里。

因此，在使用基于MAC地址的VLAN的交换网络里，移动办公的用户可以把自己的笔记本电脑连接到任何一台交换机上，而他所属于的VLAN不变，网络管理员也不用在任何交换机的端口上作任何改动。这种方式的优点是VLAN的配置方便灵活，允许网络用户从一个物理位置移动到另一个物理位置，并自动保留其所属虚拟网段成员身份。缺点是网络管理软件价格比较昂贵，只有在大规模的网络里才会使用，小规模的网络还是使用基于端口的VLAN比较好。

3.3基于协议的VLAN

基于协议的VLAN是根据子网的不同划分VLAN的，工作方式上类似动态VLAN，只不过是基于逻辑地址的。

由于在实施DHCP的网络里使用该类VLAN有问题，所以基于协议的VLAN已经不再常用。

4VLAN配置在校园网中的应用

4.1网络构建规划

现结合某高校的校园网络设备，介绍一下VLAN的配置。

由于校园网系统内的用户相对比较固定，并没有大量的移动，我们根据学校实际情况，确定使用基于端口的VLAN的分组方式。该校的校园网共有节点100多个，有办公楼、教学楼、两个机房，为了方便管理，校园网按一幢楼一个VLAN，—个机房一个VLAN的原则来划分VLAN，所以总共有四个VLAN。中心交换机采用思科6500系列交换机，楼层交换机全部采用思科2950系列交换机，电信宽带经硬件防火墙接入校园网，各楼层间的交换机经千兆光纤与中心交换机相连。VLAN按楼层交换机上直接端口划分，对与中心交换机连接的光纤端口设置成主干线路，这样在楼层交换机上可以同时定义多个VLAN，各VLAN之间的通讯通过在三层中心交换机上设置三层路由协议实现。

不同VLAN之间计算机的通讯，需要把两台交换机的级联端口设置为Trunk端口。这样，当交换机把数据包从级联端口发出去的时候，会在数据包中做一个标记(TAG)，以使其它交换机识别该数据包属于哪一个VLAN。其他交换机收到这样一个数据包后，只会将该数据包转发到标记中指定的VLAN，从而完成了跨越交换机的VLAN内部数据传输。

4.2交换机VLAN的配置过程

我们设定中心交换机名称为A，分支交换机分别为PAl、PA2、PAB，分别通过Port l的光线模块与中心交换机相连，并且假设VLAN名称分别为发BGL、JXL、JFl

4.2.1设置VTP DOMAIN

交换VTP更新信息的所有交换机必须配置为相同的管理域。如果所有的交换机都以中继线相连，那么只要在核心交换机上设置一个管理域，网络上所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的VLAN列表。

A#vlan database进入VLAN配置模式

A(vlan)#vtp domain COM设置VTP管理域名称COM

A(vlan)#vtp server设置交换机为服务器模式

PAl#vlan database进入VLAN配置模式

PAl(vlan)#vtp domain COM设置VTP管理域名称COM

PAl(vlan)#vtp Chent设置交换机为客尸端模式

PA2#vlan database 进入VLAN配置模式

PA2(vlan)#vtp domain COM设置VTP管理域名称COM

PA2(vlan)#vtp Client设置交换机力客户端模式

4.2.2配置VLAN TTLLl3k端口

干道技术可以在一条物理线路上让来自多个VLAN数据通过。为了达到这个目的，每一个通过干道传输的数据帧都要

标记上VLAN ID，以使接收这个数据帧的交换机知道这个数据帧是由属于哪个VLAN的主机发送的。

在交换机上有两种链路访问链路(Access Link)和干道链路(Trunk Lmk)。访问链路连接的是一般的属于某个VLAN的终端，干道链路连接的是交换机。在中心交换机端配置如下A(conflg)#mtefface0/1 A(config-lf)#swdchport trunk encapsulation IsI指定封装类型A(config-ff)#sw=tchport mode trunk配置士前端口力Trunk模式A(conflg)#mterface f0/2 A(config-ff)#swetchport trunk encapsulation lsI指定封装类型A(conflg-ff)#swltchport mode trunk配置当前端口为Tmnk模式A(config)#mterface fo/3 A(config-lf)#swltchport trunk encapsulation IsI指定封装类型A(config-ff)#swltchport mode trunk配置当前端口力Trunk模式在分支交换机瑞配置如下PAl(config)#mterface fo/241 PAl(config-ff)#swltchport mode trunk PA2(config)#mterface f0/24

4.2.3创建VIAN

在管理域中的任何一台VTP属性为Server的交换机上建立VLAN，它就会通过VTP通告整个管理域中的所有的交换机。这里的VLAN是在中心交换机上建立的。

A(vlan)VIan 10 name BGL创建了一个编号为10名字力BGL

的VLAN

A(vlan)#Vlan 20 name JXL创建了一个编号为20名字力JXL的

VLAN

A(vlan)#Vlan 30 name JFl创建了一个编号为30名字为JFl

的VLAN

4.2.4将交换机端口划入VLAN

例如，要将PAl、PA2、PA3分支交换机的端口l划入BGLVLAN，端口2划入JXL VLAN，端口3划入JFl VLAN

PAl fconfig)#mterface fastEthernet 0/1配置瑞口1

PAl(config-ff)#switchport access vlan 10归属BGL VLAN