VLAN技术及其在校园网络中的应用研究
2014-07-31林凌
林凌
摘 要:计算机网络影响着现代生活的很多方面,在各大学校内部也都建立起了局域网。本文主要通过分析VLAN技术的定义、原理及优点,阐述了VLAN技术在管理维护校园网系统中所起的作用以及在校园网中用交换机配置VLAN需要注意的问题,以便实现虚拟局域网的技术。
关键词:VLAN 体系结构 校园网 网络管理
近些年来,随着计算机技术的迅猛发展,网络硬件的性能得到提高,成本也逐步降低。目前的校园网基本都采用了性能先进的千兆网技术,核心交换机采用三层交换机,它能很好地支持虚拟局域网(VLAN)技术,这对校园网的高速可靠运行起到了非常重要的作用。
同时,随着校园网内计算机、交换机等设备的大量增加,网络数据流量骤然增大,特别是 “网络风暴”和IP的冲突导致校园网络瘫痪,极大地影响了校园网的正常运行。校园网有访问方式多、用户群庞大、网络行为突发性高的特点。为了保证校园网的正常运行和安全,本文针对校园网的特点和传统局域网的缺陷,重点剖析了基于VLAN技术构建安全校园网络的应用。
一、VLAN技术概述
VLAN(Virtual Local Area Network)也就是虚拟局域网,是一种建立在交换技术基础之上的,通过将局域网内的机器设备逻辑地而不是物理地划分成一个个不同的网段,以软件方式实现逻辑工作组的划分与管理的技术。VLAN的作用是使得同一VLAN中的成员间能够互相通信,而不同VLAN之间则是相互隔离的,不同的VLAN如果要通信需要通过必要的路由设备。
二、VLAN的优点
1.增加了网络连接的灵活性
VLAN技术能将不同地点、不同网络、不同用户组合起来,形成一个虚拟的网络环境,就像使用本地网络一样方便、灵活和有效。采用基于MAC,用户的实际地址VLAN技术用户则可不做任何修改,在网上的任意位置都可上网,因为VLAN成员不是捆绑在某固定工作站上的;反过来,位置不发生改变却变更了部门,网络管理员也可以通过改变VLAN成员的方式让用户与VLAN的逻辑关系发生改变。
2.可以控制网络上的广播
VLAN可以提供建立防火墙的机制,防止交换网络的过量广播。使用VLAN,可以将某个交换端口或用户赋予某一个特定的VLAN,该VLAN中的多台计算机可以连接在一个交换机上,也可以是跨接在多个交换机上。一个VLAN中的广播不会被传送到另一个VLAN中,从而有效地减少了广播风暴对校园网络的影响。
3.加强了网络的安全性
在局域网中应用VLAN技术可以把互相通信比较频繁的用户划分到同一个VLAN中,这样在同一个工作组中的信息传输只在同一个组内广播,从而减轻了因广播包被截获而引起的信息泄露带来的影响,增强了网络的安全性。
4.网络管理简单、直观
在应用VLAN技术后网络管理员就可以轻松地管理网络,例如学校的各个部门在物理上并不处在同一个位置,在不同的教学楼和办公楼,但是应用了VLAN技术网络管理员就可以在应用了几条指令的同时完成设备在不同物理位置上的相同工作组的配置。
利用VLAN技术,大大减轻了网络管理和维护工作的负担,降低了网络维护成本。在一个交换网络中,VLAN提供了很好的网段和机构的弹性组合机制。
三、VLAN的划分方法
根据VLAN在交换机上的实现方式,VLAN分为静态VLAN和动态VLAN两类,动态VLAN又可以分为三种
类型。
1.基于端口的静态VLAN
这是最早的VLAN类型,也是最简单的VLAN,大多数VLAN协议的交换机都提供这种VLAN配置方法。这种基于端口的划分方法的优点是定义VLAN成员非常简单,适合于任何大小的网络,它的缺点是VLAN的定义依赖于交换机的物理端口。
2.基于MAC地址的VLAN
这种方法是根据每个主机的MAC地址来划分VLAN。这种VLAN划分方法的最大优点就是当用户物理位置变动时,交换机会自动查出该端口,并正确指定端口所属的VLAN。这种方法的缺点是初始化时,所有的用户MAC地址都必须进行配置,如果有大量用户的话,定义和维护VLAN较繁琐。所以这种划分方法通常适用于小型局域网。
3.基于网络地址的VLAN
基于网络地址的VLAN是按照交换机连接的网络站点的网络层地址划分VLAN,从而确定交换机端口所属的广播域。其主要缺点在于效率要比基于第二层的VLAN差,因为查看三层IP地址比查看MAC地址所消耗的时间多。在校园网中,基于端口的VLAN比较适合于台式机等固定用户,而对于使用笔记本电脑的移动用户(如教师),基于IP子网的VLAN则具备更好的应用灵活性和简便性。
4.基于用户的VLAN
按用户定义、非用户授权划分VLAN是为了适应特别的VLAN网络。这种划分方法是根据具体的网络用户的特别要求来定义和设计VLAN,而且可以让非VLAN群体用户访问VLAN,但是需要提供用户密码,在得到VLAN管理的认证后才可以加入一个VLAN。
四、VLAN技术在校园网中的应用
1.笔者学校校园网概况
以笔者学校为例,在主校区,校园网以设在综合楼的校园网网络中心为核心,覆盖综合楼办公室在内的其他行政部门,如实习工厂等。采用CISCO 3560 24PS三层交换机作为核心交换机,在其他楼及需要配置网络的场所则配置上二级交换机,以能支持100MBPS、支持VLAN的交换机为主,再连接到各个工作站。核心交换机通过路由连接Internet。从而实现各局域网之间信息的互通,数据的共享,教学上的各种需要以及对外上网。
学校网络的整个范围限制分为内网和外网。从网络安全级别的角度考虑又可将内网分为两大部分:第一部分为重点信息安全保护区,即校园网的重要应用服务器群和重要部门的网络设备和用户;第二部分为普通信息安全区,外网即为校园外部网络区域,也就是与校园网相连的各种专线信息网和Internet。
2.校园网系统规划
根据校园网的具体情况,考虑到网络资源的有限性,为了控制处理校园网的所有信息流量以有效地利用校园网的每一份资源,以及提供良好的安全性,必然要对整个校园网络实现更加方便高效的管理。根据学校具体建筑物分布情况和各部门所处位置,在各栋楼之间都要各自设置最少一个VLAN,以当前情况来看,共需设置5个,VLAN10,……VLAN50,VLAN1为交换机出厂时设置,不可更改,不可删除,只需配置上适当的网络地址,就可以让其他的二级交换机围绕核心交换机来进行互通。如果以后需要继续扩大内部网的规模,在硬件能够拓展的范围内,只需要继续设置相应的VLAN即可。
3.VLAN在校园网中的规划和设置
在整个网络系统集成之前,分配IP地址是很重要的一个环节。可将设备的管理IP地址分配为所在VLAN中的某个地址,为了便于管理,可将内部各子网的网关地址统一设为X.X.X.1,这样只要定义好所属的各网段,就能通过网关连接到核心交换机。
(1)创建VLAN。首先,必须先建立一个VTP管理域,以使它能管理网络上当前的VLAN。在同一管理域中的交换机共享它们的VLAN信息,并且,一个交换机只能参加到一个VTP管理域,不同域中的交换机不能共享VTP信息。
(2)添加VLAN的端口。在划分VLAN时,名称VLAN1为默认,端口也是默认的。所以在交换机划分VLAN端口时,剩余的端口均默认划分到VLAN1中。将端口1,8-24划分为VLAN1,其余端口分别划给VLAN10-VLAN50。
(3)添加VLAN IP地址。将各VLAN口与相对应的IP地址一一配置好。再在各接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址,并且把默认网关设置为该VLAN的接口地址。这样,所有的VLAN也可以互访了。
五、小结
VLAN技术为局域网的建设提供了高度的灵活性和可靠的网络安全管理手段,显示出独特的优点。随着VLAN技术和三层交换技术的发展,必将把局域网的发展带入一个新的阶段。由于校园网络的VLAN划分是作为一个整体结构来设计的,所以为了保持校园网络的高速、畅通、安全,应尽量选择同一个品牌或品牌不同但配合使用起来协调性较好的设备。VLAN技术在校园网内的应用,不但使得校园网络更加安全、快速,并且也减轻了网络管理员的工作负担,保证了各个部门不同的要求和信息的安全,因此,VLAN技术应用在学校局域网内是明智之举。
参考文献 :
[1]王玉慧.VLAN技术的应用[J].中国水运,2004(12).
[2]朱立科.校园网VLAN的划分与通信[N].青岛远洋船员学院学报,2006:72-74.
[3]廖常武,汪刚.校园网组建[M].北京:清华大学出版社,2005.
[4]王达.网管员必读——网络基础[M].北京:电子工业出版社,2004.
[5]曾明,李建军.网络技术精要——建网管网500问[M].北京:电子工业出版社,2003.
(作者单位:汕头市高级技工学校)
endprint