费建英

（浙江省桐乡市高级技工学校 浙江 314500）

0 引言

随着网络技术的不断发展和 Internet的日益普及，许多学校都建立了校园网并投入使用，这无疑对实现资源共享、加快信息处理、减轻工作强度及提高办事效率等诸多方面都起到了巨大的作用，这就必然要求校园网技术向更安全、更稳定、更高效的方向发展。因此，如何构建一个安全、稳定、高效、实用、便于管理的校园网，成了网络管理员的重要任务之一。

1 校园网介绍

校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件，将校园网内计算机和各种终端设备有机地集合起来构成的局域网系统。传统校园网通常由HUB、网桥、交换机等网络设备将同一网段的所有节点连接在一起而形成，各节点通常按照它们的物理连接被自然地划分到局域网中，处于同一局域网内的网络节点间可以直接通信，而处于不同局域网之间的通信则必须通过路由器才能实现通信。

随着网络的不断扩展，接入设备逐渐增多，网络结构也日趋复杂，这样的网络模式从效率和安全性的角度来考虑都是有所欠缺的。首先一个广播域内的设备增加，那么在这个广播域内设备的广播频率便会相对增加。广播频率的提高，对设备的效率会有很大的影响，因为每一个设备都必须中断其 CPU 正在处理的业务，来处理收到的广播包，以决定是否需要对包内的数据作进一步处理，这种中断降低了 CPU 处理正常业务的效率，增长了完成这些业务的时间，这时广播不仅消耗了带宽，而且也降低了用户工作站的处理效率。信息流很大的时候，就容易形成广播风暴，甚至造成网络的瘫痪。其次，按照物理连接将身份、需求各不相同的用户机械地划分到相同的用户组（广播域）中，网管很难限制对本地网络中一个或多个特别设备的接入，不仅带来安全隐患而且限制了网络的灵活性。对于网络管理者来说，这就需要有一种技术来解决这些问题，VLAN技术便应运而生。

2 VLAN的定义及其优势

VLAN（Virtual Local Area Network）即虚拟局域网是一种迅速发展且被广泛应用的技术，它是建立在交换技术基础之上的，以软件方式实现逻辑工作组的划分与管理。可以将不同地理位置的网络用户划分为一个逻辑网段，同时，在不改动网络物理连接的情况下可以任意地将设备在工作组或子网之间移动。VLAN的作用是使得同一VLAN中的成员间能够互相通信，而不同VLAN之间是相互隔离的，如果需要通信则必须通过路由设备，通常可以采用三层交换机来实现路由功能。每一个VLAN都是一个广播域，广播包只能在一个VLAN内进行广播，VLAN间的数据通信必须经过三层转发。这样，既优化了网络的带宽，减少了网络交通量，同时也确保了网络信息的安全。下面从几个方面具体谈谈VLAN技术在校园网中的突出作用：

第一、控制网络上的广播风暴

使用 VLAN可以将某个交换端口或用户赋于某个特定的VLAN组，该VLAN组可以在一个交换网中跨接多个交换机。在一个VLAN中的广播风暴不会送到VLAN之外，同样，相邻的端口不会收到其他VLAN产生的广播风暴。这样，可以减少广播流量，释放带宽给用户应用，从而减少广播风波的产生。

第二、增强网络的安全性

VLAN技术可以根据学校各部门的具体安全要求，将各部门用户划分到不同的VLAN中（例如：校办公室、财务室、学生机房等都可以单独划分VLAN），同一个VLAN内的设备可以进行二层通信，各VLAN间的设备必须通过三层转发才能实现通信，如果不建立VLAN间的三层转发，VLAN间完全不能通信，这就起到了隔离的作用，从而保证了每个VLAN内的数据安全。

第三、提高网络连接的灵活性

借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。当用户物理位置移动时，可以在不添加交换机的情况下，能让该用户接入到校园网（该用户属于原先VLAN）。因此，VLAN可以降低移动或变更工作站地理位置的管理费用与工作量。

3 VLAN在校园网中的应用

以我校为例，在校生人数为两千人左右，联网计算机数量四百多台，校园网主要是发挥三个方面的功能：教学功能、管理功能、信息功能。联网计算机分布在校园内三幢楼：综合楼、教学楼、实习工厂，主要涉及部门有行政办公室、教师办公室、学生机房和多媒体教室等。校园网采用三层网络架构设计，分为核心层、汇聚层、接入层三个层次，主干网技术选择千兆以太网技术，核心交换机采用三层交换机，它能很好地支持VLAN（虚拟局域网）技术。

3.1 VLAN实现途径

在设计和建设VLAN、实现VLAN应用时首先要决定如何划分VLAN，即依据什么标准来组织VLAN成员。VLAN的划分方法一般有基于端口的VLAN划分、基于MAC地址的VLAN划分和基于网络层的VLAN划分三种方式，不同的划分方式代表不同的VLAN实现类型：

根据我校校园网的具体情况，为了达到信息流量控制及良好的安全性，采用基于端口的VLAN划分技术对网络内不同部门之间进行逻辑隔离，并抑制广播风暴。基于端口的划分方式是最简单也是最常用的，是指由网络管理员使用网管软件或直接设置交换机，将某些端口直接地、强制性地分配给某个VLAN，除非网管人员重新设置，否则，这些端口将一直保持对该VLAN的属性。它的特点是把交换机按照端口进行分组，每一组定义一个VLAN，这些端口分组能够在一台交换机上也能够跨越几个交换机。一个VLAN的各个端口上的所有终端都在一个广播域中，不同的VLAN之间不能直接相互访问，VLAN间的通信需要通过路由来进行。这种VLAN划分的主要优点是简单、容易实现；缺点是不够灵活，当一个终端发生物理位置变化时要重新设置。

3.2 VLAN规划

学生机房主要供学生使用，有其特殊性，主要表现为：学生随意修改IP地址，造成IP地址冲突；由于使用人群的频繁更换，使用介质各异，各种病毒最容易在此泛滥；一些机房还有使用交互式多媒体教学系统的特殊需求。鉴于以上原因，一般单独将学生机房和多媒体教室用机划分为一个VLAN，将各部门教师用机、实习工厂用机分属于各部门VLAN，将学校行政管理（包括人事、财务以及后勤总务部门）划分为一个VLAN。在每个VLAN中人们可以传送具有保密性的资源，网络管理员可以控制每个VLAN中用户的数量并绑定它们的IP地址，需要特权才能进入VLAN对其用户进行访问。内部VLAN之间的路由由三层交换机实现，从而在多个VLAN子网资源共享的同时，又保证了其相互间的安全性。

4 结束语

VLAN技术在校园网中的应用，有效地限制了广播风暴，同时增加了网络连接的灵活性，一定程度上阻断了ARP病毒在校园网内的大面积传播，减轻了网络管理员的工作负担。但在实际计算机网络建设中，合理地进行VLAN划分，还需要认真研究实际情况，考虑网络设备性能、网络规模、网络运行、管理、安全和升级等诸方面因素，形成一套合理、适当的地址分配和VLAN规划方案，以保障校园网更安全、更稳定、更高效地运行。

[1]林维忠.虚拟局域网（VLAN）技术[M].水利水电出版社，2003

[2]王竹林.校园网组建与管理[M].清华大学出版社，2002

[3]杨超瑜.VLAN技术及其在校园网中的应用[J].产业与科技论坛，2009，8（4）：141-143

[4]翟冰.VLAN 技术探究[J].内蒙古科技与经济，2009，3：96-97