云南师范大学商学院 杨剑宁 蔺 坤

当前交换技术的迅速发展，也加快了虚拟子网技术(VLAN—Virtual Local Area Network)的应用速度，特别是在当前校园网上的应用更广泛。通过将校园网络划分为虚拟子网（VLAN），可以强化网络管理和网络安全，控制不必要的数据广播。数据广播在网络中起着非常重要的作用，随着校园网内的计算机数量的增加，VOD视频点播在课堂教学上的大量应用，广播包的数量也会急剧增加，当广播包的数量占到总量的30%时，网络的传输效率将会明显下降。

分隔广播域的方式有两种，一是物理分隔，即将一个完整网络物理地一分为二或一分为多，然后通过一个能够隔离广播的网络设备将彼此连接起来。二是逻辑分隔，即将一个大的网络划分为若干个小的虚拟子网，也就是VLAN，各虚拟子网间通过路由设备连接实现通讯。

一、VLAN实现的途径

1.基于端口的VLAN

就是将交换机中的若干个端口定义为一个VLAN，同一个VLAN中的计算机具有相同的网络地址，不同VLAN之间进行通讯需要通过三层路由协议。采用这种方式的VLAN在工作过程中，把一个网络节点迁移时，如果新旧端口不在一个VLAN内，则用户必须对该端口重新设置。

2.基于MAC地址的VLAN

这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置。所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。

3.基于IP地址的VLAN

这种划分VLAN的方法是根据每个主机的网络层地址或协议类型（如果支持多协议）划分的，虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协议，而是根据生成树算法进行桥交换，

这种方法的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗处理时间的（相对于前面两种方法），一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP帧头，需要更高的技术，同时也更费时。

二、VLAN的配置

因为对于不同的交换机，VLAN配置都有差异，并不是所有的交换机都支持VLAN和VLAN的三个实现途径，有的交换机只支持基于端口的VLAN，而不支持基于MAC地址的VLAN等。现结合我校的校园网络设备，介绍一下VLAN的配置。

我校的校园网共有节点650个，中心交换机采用Huawei 9312，楼层交换机全部采用Huawei 2700口交换机，电信宽带经CISCO 2621路由器接入校园网。学校按年级、科室共划分7个VLAN，从而有效地控制了网络风暴的产生，提高了网络传输的有效率和网络的安全性。

对于Huawei 9312三层中心交换机和2700交换机的采用基于端口的VLAN划分是一个很轻松的事情，该交换机支持WEB和命令行（CLI）界面的管理，特别是WEB界面管理，直观方便，但是不如命令行（CLI）功能强大。由于2700为中心交换机，各楼层间的2700交换机经千兆光纤与9312相连，因此VLAN的划分一是在9312上直接端口划分，对与2700交换机连接的光纤端口设置成主干线路，这样在2交换机上可以同时定义多个VLAN，最后通过在2700上设置三层路由协议实现各VLAN之间的通讯。

1.登陆到2700，进入配置模式设置VLAN：

(1)新建VLAN：set vlan vlan_id name vlan_name

(2)选择欲配置的接口：interface vlan vlan_id

(3)配置该VLAN的IP地址和子网掩码：ip address ip_address subsnet_mask

(4)设置三层路由关联，实现VLAN间的通讯：ip vlan vlan_id

(5)保存设置：copy run config

2.2700与2700相连接的千兆光纤接口设置trunk，以实现交换机之间的互连，2700设置：

(1)绑定ieee-802.1q VLAN间通讯协议：set port trunking-format模块号/端口号ieee-802.1q

(2)设置主干：set port vlan-bindingmothod模块号/端口号bingd-to-all

3.同样对2700相应的与2700互连端口作Trunk，进入配置模式设置：

(1)set port trunking-fromat模块号/端口号ieee-802.1q

(2)set port vlan-binding-method模块号/端口号bind-to-all

这样，交换机互连通讯后，就可以在2700上划分VLAN了。进入2700的配置模式，用命令行：set port vlan vlan_id模块号/端口号2700，就可以把端口分到相应的VLAN内。

三、结束语

VLAN技术的应用，使网络工作组的划分突破了地理位置的限制，而完全根据管理功能来划分，这种基于工作流的分组模式很适合校园网的教学部门的划分。随着校园网络的规模不断扩大和发展，使VLAN技术在校园网上得到更广泛的应用。

[1]张永.利用ADSL组建基于VLAN远程办公网络的组网方案研究[M].山东:山东大学学报,2005.

[2]朱晔.基于端口的VLAN技术及其配置[M].北京:软件导报,2008.

[3]张光焱,冯胜勇.交换机中的VLAN技术[J].开封大学学报,2004,02.

[4]李晋平.局域网组建和安全管理的实用技术[J].电脑开发与应用,2002,15(10):33-35.

[5]杨永斌.VLAN技术在校园网建设中的应用[J].计算机科学,2004(12).

[6]孙茂圣,郭振民.基于城域网的超大型校园网的虚拟网构建[J].现代电子技术,2003(13).