VLAN技術在校園網中的應用.doc

VLAN技術在校園網中的應用大冷蒙古族九年制學校-李東方中文摘要VLAN(Virtual Local Area Network)的中文名為“虛擬局域網”。VLAN是一種將局域網設備從邏輯上劃分成一個個網段，從而實現虛擬工作組的新興數據交換技術。這一新興技術主要應用于交換機和路由器中，但主流應用還是在交換機之中。但又不是所有交換機都具有此功能，只有VLAN協議的第三層以上交換機才具有此功能。VLAN在邏輯上等價于廣播域。更具體的說，我們可以將VLAN類比成一組最終用戶的集合。這些用戶可以處在不同的物理LAN上，但他們之間可以象在同一個LAN上那樣自由通信而不受物理位置的限制。在這里，網絡的定義和劃分與物理位置和物理連接是沒有任何必然聯系的。網絡管理員可以根據不同的需要，通過相應的網絡軟件靈活的建立和配置虛擬網，并為每個虛擬網分配它所需要的帶寬。隨著校園網的不斷發(fā)展，規(guī)模在不斷擴大，用戶在不斷增加，網絡應用也在不斷增長，網絡變得越來越擁擠，沖突不斷產生，管理難度日益加大。學校內部對于靈活、動態(tài)地組建LAN網段的要求也越來越多，客觀上要求LAN本身的結構可以實現動態(tài)組建、調整和管理。為了有效地提高網絡管理的靈活性，提高網絡效率和網絡安全性，充分合理地進行VLAN劃分，是必需的。關鍵詞：VLAN；交換機；廣播域；配置；規(guī)劃；管理；局域網；AbstractVLAN (Virtual Local Area Network) Chinese named “virtual local area network”. VLAN is one kind divides logically the local area network equipment each one webpage, thus realizes the hypothesized work teams emerging data exchange technology. This emerging technology mainly applies in the switchboard and the router, but mainstream application in switchboard. But is not all switchboards has this function, only then the VLAN agreements third above switchboard only then has this function. VLAN is to solve one kind of agreement which fastEthernets broadcast question and the security proposed, it increased the VLAN head in the fastEthernet frames foundation, with VLAN ID the user parting for a younger work team, user two exchange visits between the limit different work teams, each work team is a virtual local area network. Virtual local area networks advantage is may limit the broadcasting area, and can form the hypothesized work team, dynamic management network. Along with the campus nets unceasing development, the scale is expanding unceasingly, the user is increasing unceasingly, the network application unceasingly is also growing, the network becomes more and more crowded, the conflict produces unceasingly, manages the difficulty to enlarge day by day. The school interior regarding nimble, dynamic sets up the LAN webpage the request to be also getting more and more, objectively requests LAN structure to be possible to realize dynamic sets up, the adjustment and the management. To enhance the network management effectively the flexibility, raises the network efficiency and the network security, carries on the VLAN division reasonably fully, is essential. Key wordsVLAN (Virtual Local Area Network)；Switch；Broadcast domain；Configuration Setting；To plan；Ascheme；LAN (the abbreviation of Local Area Network)；1緒論從傳統的以太網（10Mb/s）發(fā)展到快速以太網（100Mb/s）和千兆以太網（1000Mb/s）也不過幾年的時間，其迅猛的勢頭實在令人吃驚。而現在中大型規(guī)模網絡建設中，以千兆三層交換機為核心的所謂“千兆主干、百兆桌面”的主流網絡模型已不勝枚舉?，F在，網絡業(yè)界對“三層交換”和VLAN這兩詞已經不感到陌生了。在一個傳統的LAN中，計算機之間通過集線器（Hub）或中繼器（Repeater）相連接。如果有兩臺乃至兩臺以上計算機同時通過LAN的通信總線發(fā)送數據時，它們將不可避免地發(fā)生沖突，已發(fā)送的數據也將丟失。更主要的是，一旦有沖突發(fā)生，沖突將通過集線器或中繼器被傳送到整個網絡中，使得暫時誰也無法再發(fā)送數據。于是發(fā)送者們只好停下來，等到這次沖突平息之后再試著去發(fā)送已丟失的數據這是對時間和資源的很大浪費。從上面的介紹可以看出，在一個網絡中如何定義沖突域和廣播域取決于其中的各個計算機、集線器（或中繼器）、網橋（或交換機）和路由器在物理空間上是如何分布、如何連接在一起的這意味著同一個LAN中的所有設備必須位于同一物理空間范圍內，比如說同一層樓、同一個辦公區(qū)域等。另外，LAN的一個主要用戶是企業(yè)。隨著現代企業(yè)中跨部門跨職能開發(fā)團隊出現得越來越多，企業(yè)內部對于靈活、動態(tài)地組建LAN網段的要求也越來越多，客觀上要求LAN本身的結構可以實現動態(tài)組建、調整和管理。這時，虛擬局域網（Virtual LAN）技術就適時地出現了。2. VLAN 技術簡介 局域網的發(fā)展是VLAN產生的基礎，所以在介紹VLAN之前，我們先來了解一下局域網的有關知識。 局域網（LAN）通常是一個單獨的廣播域，主要由Hub、網橋或交換機等網絡設備連接同一網段內的所有節(jié)點形成。處于同一個局域網之內的網絡節(jié)點之間可以直接通信，而處于不同局域網段的設備之間的通信則必須經過路由器才能通信。但這樣做存在兩個缺陷： 首先，隨著網絡中路由器數量的增多，網絡延時逐漸加長，從而導致網絡數據傳輸速度的下降。這主要是因為數據在從一個局域網傳遞到另一個局域網時，必須經過路由器的路由操作: 路由器根據數據包中的相應信息確定數據包的目標地址，然后再選擇合適的路徑轉發(fā)出去。 其次，用戶是按照它們的物理連接被自然地劃分到不同的用戶組（廣播域）中。這種分割方式并不是根據工作組中所有用戶的共同需要和帶寬的需求來進行的。因此，盡管不同的工作組或部門對帶寬的需求有很大的差異，但它們卻被機械地劃分到同一個廣播域中爭用相同的帶寬。2.1VLAN的優(yōu)點2.1.1 提高網絡性能應用VLAN技術可以提高網絡性能：其一，VLAN技術允許網絡管理者將交換機上的端口作邏輯分組，使得從某個VLAN中產生的字節(jié)流只能在從屬于該VLAN的交換機端口之間流動。其二，相比較網橋和交換機而言，路由器在處理接收到的數據時要慢一些。2.1.2 組建虛擬組織如前所述，VLAN技術是隨著人們生產活動中越來越多的跨部門跨職能開發(fā)團隊的出現而提出的。組建虛擬組織、特別是虛擬工作組，是提出VLAN技術的初衷和目標之一。在實際應用時，對于同一個工作組內的成員，在該工作組存在的短時期內，可以把他們的計算機工作站劃分在一個VLAN里以便于其進行通信。這樣，每個組內成員的計算機工作站既無需搬移到一起、也無需改變各自的設置，只需在網絡管理者那里作一些改變就可以了。2.1.3 簡化網絡管理根據David J. Buerger的分析計算，傳統的LAN中約有70%的網絡花銷是因為添加、刪除移動、更改網絡用戶而導致的。每當有一個用戶加入局域網，就會引發(fā)一系列的端口分配、地址分配、網絡設備重新配置等網絡管理任務。在使用VLAN技術后，這些任務都可得以簡化。舉例來說，當某臺計算機工作站從一個空間位置移動到另一個空間位置時，不需要為其重新手工配置網絡屬性，網絡自身就能夠動態(tài)地完成這項任務。這種動態(tài)管理網絡的方式給網絡管理者和使用者都帶來了極大的便利。2.1.4 提高網絡安全在傳統的局域網中，不時的會有些敏感數據被有意或無意地廣播到網絡上，從而有可能造成信息泄密。在這種情況下，確定誰可以訪問到這些數據就顯得很重要。使用VLAN技術可以將敏感數據的傳播限制在安全范圍內，只允許已定義的VLAN成員訪問相關數據。VLAN還可被用來設立防火墻、限制數據訪問以及將網絡入侵事件通知給網絡管理者等，這些都可以提高網絡的安全系數。2.1.5減少設備投資VLAN技術可被用來創(chuàng)建邏輯的廣播域，因而可以減少用于購買昂貴的路由器等廣播域隔離設備的投資。2.2VLAN 的劃分方式2.2.1. 基于端口劃分的VLAN以網絡設備的哪個端口屬于哪個VLAN的標準來劃分VLAN。例如，在一個有8個端口的網橋中，端口1、2、4、7屬于VLAN1，而端口3、5、6、8屬于VLAN2。則與這些端口相連的設備、這些設備收發(fā)的數據幀相應地也分別屬于VLAN1、VLAN2。究竟如何配置，由管理員決定。如果有多個網絡設備，例如有多個交換機，可以指定交換機1的16端口和交換機2的14端口為同一VLAN，即同一VLAN可以跨越數個交換機，根據端口劃分是目前定義VLAN的最常用的方法，IEEE 802.1Q協議標準草案中對如何根據交換機的端口來劃分VLAN給出了明確的規(guī)定。這種劃分方法的優(yōu)點和缺點都很明顯：優(yōu)點是定義VLAN成員時非常簡單，只要將所有的端口都指定一下就可以了；缺點是不允許用戶隨便移動。如果屬于某個VLAN的用戶離開了原來的端口，到了一個新的網絡設備的某個端口，那么網絡管理者就必須重新定義VLAN。2.2.2 基于MAC地址劃分VLAN以計算機工作站網卡的MAC地址來劃分VLAN。這種劃分方法的最大優(yōu)點就是由于一個MAC地址唯一對應一塊計算機網卡，故此當某個計算機工作站物理位置改變時、即從一臺交換機轉移到另一臺交換機時，不需要重新配置VLAN；而缺點是所有的VLAN成員必須事先定義，這在有數以百計乃至千計用戶的網絡中，這并不是一件輕松的事。而且這種劃分方法也導致了交換機執(zhí)行效率的降低，因為交換機的每一個端口都可能連接許多不同VLAN組的成員，這樣就無法限制廣播報文了。另外，對于使用筆記本電腦的用戶來說，他們的網卡可能經常更換，VLAN就必須不停的配置。2.2.3.基于網絡層協議類型劃分VLAN如果網絡支持多網絡層協議，那么根據數據幀頭中的網絡層協議類型字段也可以劃分VLAN。這對網絡管理者來說很重要，同時，這種方法不需要附加的幀標簽來識別VLAN，可以減少網絡的通信量。2.2.4 基于網絡層子網地址劃分VLAN根據數據報文頭中的網絡層子網地址也可以劃分VLAN。雖然這種劃分方法根據的是第3層信息即網絡地址（比如IP地址），但它與網絡層的路由功能一點關系也沒有。它只是查看每個數據報文的網絡層地址，并根據過濾數據庫中事先定義好的信息決定其歸屬于哪個VLAN，然后再根據生成樹算法進行橋交換，并不牽涉任何路由操作22.2.5 基于網絡層組播地址劃分VLAN網絡層組播實際上是一種VLAN。即認為一個組播組就是一個VLAN，這種劃分方法實際將VLAN擴大到了WAN。該方法的應用程序的類型乃至兩者的綜合來劃分VLAN也是有可能的。例如，規(guī)定所有的FTP應用在一個VLAN里運行而所有的Telnet應用在另一個VLAN里運行。這些方法的缺點在于它們都很費時，都要求更高的處理技術和更快的處理速度，目前的實現尚無法令人們滿意。2.2.6 基于網絡層以上協議乃至應用程序的類型劃分VLAN根據網絡層以上協議的類型、可以自動檢查數據幀的幀頭，但檢查數據報文的報文頭，則需要更高的技術（設備設計制造成本也會相應增加），同時也更費時。當然，這跟各個廠商的實現方法有關。2.4VLAN的標準2.4.1IEEE802.1QIEEE802.1Q，俗稱“Dot One Q”，是經過IEEE認證的對數據幀附加VLAN識別信息的協議。在此，請大家先回憶一下以太網數據幀的標準格式。IEEE802.1Q所附加的VLAN識別信息，位于數據幀中“發(fā)送源MAC地址”與“類別域（Type Field）”之間。具體內容為2字節(jié)的TPID和2字節(jié)的TCI，共計4字節(jié)。2.4.2 Cisco ISLISL，是Cisco產品支持的一種與IEEE802.1Q類似的、用于在匯聚鏈路上附加VLAN信息的協議。使用ISL后，每個數據幀頭部都會被附加26字節(jié)的“ISL包頭（ISL Header）”，并且在幀尾帶上通過對包括ISL包頭在內的整個數據幀進行計算后得到的4字節(jié)CRC值。換而言之，就是總共增加了30字節(jié)的信息。在使用ISL的環(huán)境下，當數據幀離開匯聚鏈路時，只要簡單地去除ISL包頭和新CRC就可以了。由于原先的數據幀及其CRC都被完整保留，因此無需重新計算CRC。3VLAN在校園網中的應用實例3.1校園網絡特點分析就網絡整體結構而言，校園網是一個千兆和百兆以太網鏈路連接的園區(qū)網絡。整個網絡根據范圍的限制可分為兩個大的部分：內網和外網。從網絡安全級別的角度考慮又可將內網分為兩大部分：第一部分為重點信息安全保護區(qū)，即校園網的重要應用服務器群和重要部門的網絡設備和用戶；第二部分為普通信息安全區(qū)，即校園網中普通應用的網絡設備和用戶。外網即為校園外部網絡區(qū)域，也就是與校園網相連的教育網和INTERNET。校園網重點考慮網絡內部安全：包括信息訪問安全和物理安全。信息訪問安全即為內部網絡各部門和用戶之間要能相互進行信息交換，又要保護重要部門數據的保密性，同時應禁止外部用戶非法訪問內部數據 。3.2某校園網VLAN劃分3.2.1規(guī)劃VLAN某校有8個班級，4個專業(yè)，三個辦公室和一個機房。把同一專業(yè)劃分為一個VLAN，4個專業(yè)劃分為4個VLAN三個辦公室劃分為一個VLAN。機房為一個單獨的VLAN。所以劃分為6個VLAN。VLAN號VLAN名端口號1VLAN1switch0/12zhongwenswitch0/23yingyuswitch0/34shuxueswitch0/45bangongshiswitch0/5VLAN1的中名字為VLAN1它的名字不能被改變。任何沒有專有的靜態(tài)端口被認為是VLAN1中。3.2.2配置VLAN1連接交換機連接交換機可以有兩種方式：通過控制端口連接和遠程登陸。（1）控制端口（CONSOLE）連接 （2）Telnet登陸在“運行”窗口直接輸入：telnet 34(交換機地址)，回車。如果連接正確就會出現如下圖所示的登陸窗口，鍵入正確的用戶名和密碼。2、配置中繼單擊K按鍵，選擇主界面菜單中K Command Line選項 ，進入如下命令行配置界面：CLI session with the switch is open.To end the CLI session,enter Exit .此時我們進入了交換機的普通用戶模式，就象路由器一樣，這種模式只能查看現在的配置，不能更改配置，并且能夠使用的命令很有限。所以我們必須進入“特權模式”。因為只有中心交換機需要創(chuàng)建和修改VLAN所以將中心交換機設置VTP為服務器模式，其它交換機設置為客戶端模式。中心交換機配置為Switch(config)#vtp domain ciscoSwitch(config)#vtp server其它交換機配置為Switch1(config)#vtp domain ciscoSwitch1(config#vtp clintSwitch2(config)#vtp domain ciscoSwitch2(config#vtp clintSwitch3(config)#vtp domain ciscoSwitch3(config#vtp clintSwitch4(config)#vtp domain ciscoSwitch4(config#vtp clintSwitch5(config)#vtp domain ciscoSwitch5(config#vtp clintSwitch6(config)#vtp domain ciscoSwitch6(config#vtp clint為了保證管理域能夠覆蓋所有的分支交換機，必須配置中繼。Cisco交換機能夠支持任何介質作為中繼線，為了實現中繼可使用其特有的ISL標簽。ISL（InterSwitchLink）是一個在交換機之間、交換機與路由器之間及交換機與服務器之間傳遞多個VLAN信息及VLAN數據流的協議，通過在交換機直接相連的端口配置ISL封裝，即可跨越交換機進行整個網絡的VLAN分配和進行配置。Switch(config)interfacc fastEthernet 0/1Switch(config-if)switchportSwitch(config-if)#switchport trunk encapsulation islSwitch(config-if)#switchport mode trunkSwitch(config)interfacc fastEthernet 0/2Switch(config-if)switchportSwitch(config-if)#switchport trunk encapsulation islSwitch(config-if)#switchport mode trunkSwitch(config)interfacc fastEthernet 0/3Switch(config-if)switchportSwitch(config-if)#switchport trunk encapsulation islSwitch(config-if)#switchport mode trunkSwitch(config)interfacc fastEthernet 0/4Switch(config-if)switchportSwitch(config-if)#switchport trunk encapsulation islSwitch(config-if)#switchport mode trunkSwitch(config)interfacc fastEthernet 0/5Switch(config-if)switchportSwitch(config-if)#switchport trunk encapsulation islSwitch(config-if)#switchport mode trunk在分支交換機端配置如下Switch1(config)#interface fastEthernet 0/1Switch1(config-if)Switchport mode trunkSwitch2(config)#interface fastEthernet 0/1Switch2(config-if)Switchport mode trunkSwitch3(config)#interface fastEthernet 0/1Switch3(config-if)Switchport mode trunkSwitch4(config)#interface fastEthernet 0/1Switch4(config-if)Switchport mode trunkSwitch5(config)#interface fastEthernet 0/1Switch5(config-if)Switchport mode trunkSwitch6上的端口1、2、3設置為trunk口。Switch6(config)interfacc fastEthernet 0/1Switch6(config-if)#switchport mode trunkSwitch6(config)interfacc fastEthernet 0/2Switch6(config-if)#switchport mode trunkSwitch6(config)interfacc fastEthernet 0/3Switch6(config-if)#switchport mode trunk3、添加VLANVLAN可以在需要時進行添加。添加VLAN之后，可以使用“show vlan”再次查看交換機上的VLAN配置，確認新的VLAN已經添加成功。SwitchSeitch#vlan databaseSwitch(vlan)#vlan 2 name zhongwenSwitch(vlan)#vlan 3 name yingyuSwitch(vlan)#vlan 4 name shuxueSwitch(vlan)#vlan 5 name bangongshi4、為VLAN分配端口以太網交換機通過把某些端口分配給一個特定的VLAN來建立靜態(tài)虛擬網。將一個或一組端口分配給某一個VLAN要使用vlan-membership static/d