胡元闯 卢利莉 朱汉武

摘 要：本文基于Cisco Packet Tracer仿真模拟软件，以贺州学院为例，主要采用分层网络设计和VLAN技术相结合对校园网进行设计，并在Cisco Packet Tracer上进行模拟仿真验证。主要实现的功能有：采用分层网络设计的方法来设计校园网的拓扑结构，同时在相应的层次进行冗余设计对链路和设备进行冗余；利用VLAN技术对校园网的广播域进行分割以防止广播风暴，采用三层交换技术实现VLAN间的通信。仿真测试结果表明，采用分层网络设计和VLAN技术相结合的方法对校园网进行设计，可以实现网络的冗余设计和网络广播域的分割，能满足校园网高性能、高可靠、高安全的需求。

关键词：校园网；虚拟局域网（VLAN）；分层网络；安全性

传统的共享式网络被交换式网络取代后，网络性能得到了很大提高，但是随着网络的规模不断扩大和交换机的大量应用，也导致了新的难题出现。因为交换机不能隔离广播域，且它对广播帧的处理方式是泛洪即交换机接收到广播帧时，会将该广播帧转发到除了接收端口之外的所有端口。所以随着网络规模的不断扩大和交换机的广泛使用将会导致广播域的范围不断增大，广播帧的数量不断增加，带宽被大量的占据，延时增长，严重时会造成全网堵塞甚至网络停运瘫痪，这种情况被人们称为广播风暴[1]。要解决广播风暴带来的问题就必须想办法隔离广播域。

VALN技术[2]是一种允许一组有共同需求但物理位置不同的网络用户共享一个独立的广播域的技术。VLAN技术可以根据网络用户的位置、功能、职能或者网络用户所使用的应用程序或协议将其划分到不同的VLAN中，同一VLAN中的网络用户通过VLAN协议可以直接进行通信，不同VLAN的网络用户则需要经通过路由器或者第三层交换机进行通信。使用VLAN技术主要有以下优点[3]：1、安全：含有敏感数据或者信息需要保密的用户组可以和网络的其他部分隔离开，从而降低泄露重要信息的风险；2、降低成本：成本昂贵的网络更新或者升级需求减少，原有的上行链路和带宽的利用率增加，因此可节约网络建设所需的投资成本；3、提高网络性能：将第二层平面网络分割成多个广播域来减少网络上多余的流量，有利于网络性能的提高；4、广播风暴的防范：将整个网络划分为多个VALN可以减少参与广播风暴的设备数量，而局域网（LAN）分段能有效防止广播风暴殃及整个网络；5、简化网络管理和维护：由于将有相同需求的网络用户划分到同一个VLAN中，所以当管理员要给某一个VALN添加一台新的交换机时，之前给该VLAN配置的所有规程和策略基本上都可以应用在新交换机指定了该VLAN的端口上。另外，还可以根据VLAN实现的功能，给其设定一个适当的名称，让管理员一看便知该VLAN实现的功能。

一、VLAN技术原理

（一）VLAN的划分方法。VLAN的划分方法有：1、基于端口划分的VLAN：是指将交换机的端口划分到不同的VLAN，它的实现建立在物理层；2、基于MAC地址划分的VLAN：是指根据每个接入网络的主机的MAC地址进行划分的，它的实现建立在数据链路层；3、基于协议划分的VLAN：是指根据每个主机的网络层地址或协议类型进行划分的，它的实现建立在第三层；4、基于IP组播划分的VLAN：是指一个组播组就是一个VLAN，它的实现建立在第三层[4]。

（二）VLAN的实现原理。为实现VLAN在局域网中的应用，就必须使用VLAN中继，VLAN中继的作用是指定VLAN内网络的不同部分之间传送流量，简单的说，就是在单个链路上负责多个VLAN流量的传输。而且VLAN中继不属于具体某个VLAN，而是作为VLAN在交换机上的管道 它存在让VLAN的应用扩展到整个网络上。

VLAN中继是在普通以太网帧中用801.2Q对帧头进行封装，以指出被封装的帧属于哪个VLAN。

封装后的VLAN帧格式如图1所示。

（三）VLAN的标签交换。由于VLAN重新划分了物理局域网成员的逻辑连接关系，所以，原本处于同一个IP子网或者连接在同一个交换机的主机间的通信受到了限制。VLAN成员之间的寻址方式不再简单地按照桥接方式的MAC地址或是路由方式的IP地址进行。VLAN帧在网络互连设备中的转发是根据VLAN标签中的寻址结构VID进行，这就是VLAN标签交换的含义。

VLAN标签交换包含以下三个方面的基本工作：1、网络互联设备要给物理局域网普通帧贴上VLAN标签。该VLAN标签由IEEE 802.1Q标准规定；2、网络互连设备要建立好VID与端口间的关联。VID与端口间的关联由GARP（组地址解析协议）或者VRMP（VLAN成员关系解析协议） 协议实现；3、网络互连设备根据VID与端口间的关联，把携带某个VID的VLAN帧 从与该VID关联的端口转发出去。

图2所示的是目的主机与源主机在同一交换机上时VLAN标签的交换过程，即当数据到达进入端口时，根据进入端口的入口规则决定是否接收此数据；如果接收，则再根据出口规则决定是否应该转发此数据。如果决定转发，就查阅VMIB信息来把数据转发到目的VLAN相对应的端口。在其他情况下，则把数据丢弃。

二、校园网中的VLAN设计

（一）校园网中VLAN的设计原则

校园网是一个较大的局域网，而校园网中的各职能部门和实体（如用于教学的楼宇、宿舍）需要建立二级局域網。对多个二级局域网互连时，出于对实体和各职能部门的安全、管理和整体网络性能的考虑，需要对各二级局域网进行即独立又统一的管理，那么就需要用到VLAN技术，所以VLAN技术非常适合应用在校园网的建设中。

（二）校园网中VLAN的IP规划

结合贺州学院的实际情况，根据学校中的各职能部门和不同实体实现的功能将整个校园网划分为多干个VLAN，每个VLAN都有属于自己的VID和VLAN名称，每个VLAN都有自己的对应的IP地址范围、子网掩码和网管地址。且每个VLAN的前10个IP地址保留下来供路由器接口、服务器、本地打印机、交换机管理和默认网关使用除服务器所在的VLAN的IP地址是管理员手动配置外，其他VLAN中主机的IP地址都是通过DHCP（动态主机配置协议）来获取。

根据贺州学院当前各部门的情况，划分的vlan涉及36个部门，网络地址采用172.16的私有地址，采用变长子网掩码，掩码从22位到30位不等，各个vlang根据实际需要划分。并配置好相应网关。

（三）网络拓扑结构设计

贺州学院采用的是分层网络设计即核心层、汇聚层、接入层，核心层到汇聚层是第一个星型，汇聚层到接入层是第二个星型，因此校园网的拓扑结构为树形结构。如下图3所示是根据贺州学院的地理分布所设计的拓扑结构，核心层交换设备树形结构的第一层，汇聚层交换设备为树形结构的第二层，接入层交换设备则是树形结构的第三层。

三、网络配置与测试

（一）网络设备配置

在进行交换机和路由器的配置后，对服务器进行配置，过程如下：

1、DNS服务器配置如图4所示。

2、对WEB服务器、FTP服务器及Email服务器进行配置。

（二）网络测试

1、网络测试的目的和原则

网络测试指的是在基础设施部署完成后，根据设计方案对网络设备进行配置，配置完成后对网络的功能和性能进行测试的过程。本文使用Cisc Packet Tracer仿真模拟软件进行模拟仿真测试，以检验所建设的校园网是否满足用户需求和技术目标，以及时发现问题，排除隐患，保证网络的正常运行。

2、网络测试的内容

网络测试的主要内容包括：

（1）自动获取IP测试：除个别VLAN手动设置外，其他VLAN中的主机自动获取IP；

（2）连通性测试：利用ping对同一VLAN内的主机进行连通性测试；对不同VLAN内的主机的连通性进行测试；对安全有特殊要求的主机进行连通性测试（财务部所在VLAN的主机不允许其他VLAN的主机进行访问）；

（3）访问服务器测试：各VLAN内的主机对服务器的访问测试，但个别有特殊要求的VLAN不能访问某些服务器。

3、网络测试工具

（1）查看网络接口的工具ipconfig；

（2）测试网络连通状态工具ping；

（3）用户访问FTP服务器工具ftp。

4、网络测试过程

（1）图5显示为教学楼主机PC1或设备自动从内部DHCP服务器获取IP相关信息。

（2）测试教学楼主机教PC1对教学楼主机教PC2进行ping测试ping成功；图10显示为教学楼主机PC1对艺术楼主机PC3进行ping测试ping成功；图11显示为教学楼主机PC1对财务部主机进行ping测试ping失败。

（3）测试教学楼PC1能够通过DNS服务器解析域名之后正常访问内部WEB服务器；教PC1直接在浏览器打上WEB服务器地址后能够正常访问WEB页面。

（4）测试FTP服务器、Email服务器可以正常访问。

四、结论

本文以贺州学院校园网建设为背景，采用分层网络和VLAN相结合的方法对校园网进行设计，使用Cisco Packet Tracer仿真模拟器对贺州学院校园网进行仿真模拟，最终实现以下主要功能：

1、VLAN的划分：根据职能部门的功能对校园网进行了VLAN的划分，不仅突破了地理位置的局限，还实现了广播域的切割，防止广播风暴的产生。

2、VLAN的通信：同一VLAN内的主机通过第二层交换实现通信，不同VLAN内的主机通过第三层路由功能实现通信。

3、VLAN的管理：通过VTP对VLAN进行管理，同一VTP域内的交换机，通过服务器模式的交换机对域进行管理和配置，客户端的交换机只能更新VTP配置，而透明模式的交换机只管理本地VLAN的配置且不与VTP网络共享。实现整个网络的VLAN配置保持一致。

4、PVST+防止二层环路：网络要实现二层冗余，就要使用相应的办法避免二层环路的产生。PVST+利用每个VLAN运行一个STP实例，来选择性的阻塞流量，实现二层环路的避免和负载均衡。

通过测试验证，结果表明，以贺州学院为研究背景所设计的校园网基本能够满足用户是需求。

参考文献：

[1]沈海娟.路由与交换[M].浙江：浙江大学出版社，2012.1：38

[2]乔辉，刘曉辉，张新明.网络硬件搭建与配置实践（第三版）[M].北京：电子工业出版社，2012.5：135.

[3]韩茂玲.VLAN技术及其在校园网中的应用研究[D].中国知网，2007.11：33

[4]李永忠.计算机网络测试与维护[M].西安：西安电子科技大学出版社，2011.9：150-153.

基金项目：2014年国家级大学生创新创业训练计划项目“VLAN技术在高校校园网中的应用研究”，项目编号：（201411838005）；贺州学院2014年度大学生科研项目“高校机房网络安全性研究”，项目编号：（2014DXSZK10）。