基于三層交換虛擬局域網(wǎng)技術(shù)在校園網(wǎng)中應(yīng)用

1、基于三層交換虛擬局域網(wǎng)技術(shù)在校園網(wǎng)中應(yīng)用摘要：文章主要分析了校園網(wǎng)中使用vlan技術(shù)進(jìn)行網(wǎng)段的劃分，使網(wǎng)絡(luò)結(jié)構(gòu)變得更具靈活性和適應(yīng)性，各 部門處在不同的網(wǎng)段中，從而信息得到了隔離，并解決了校 園網(wǎng)中沖突域和廣播域等問(wèn)題。文章詳細(xì)介紹了虛擬局域網(wǎng) 技術(shù)，三層交換技術(shù)，vlan的劃分。最后，在實(shí)際應(yīng)用中， 給出了三層交換的虛擬局域網(wǎng)技術(shù)在校園網(wǎng)中的應(yīng)用。關(guān)鍵詞：虛擬局域網(wǎng)；三層交換技術(shù)；vlan劃分；校網(wǎng)中圖分類號(hào)：tp393. 18文獻(xiàn)標(biāo)識(shí)碼：a文章編號(hào):1006-8937 (2013) 05-0065-03當(dāng)前互聯(lián)網(wǎng)技術(shù)迅速發(fā)展，各種網(wǎng)絡(luò)應(yīng)用越來(lái)越廣泛,人們對(duì)網(wǎng)絡(luò)安全使用性能的要求也越來(lái)越高。

2、但在早期的網(wǎng) 絡(luò)中，當(dāng)計(jì)算機(jī)的規(guī)模不斷地?cái)U(kuò)大，就會(huì)經(jīng)常引起信道沖突以及廣播風(fēng)暴的產(chǎn)生等危害,這勢(shì)必會(huì)影響這個(gè)網(wǎng)絡(luò)的性能。為了解決局域網(wǎng)互聯(lián)時(shí)無(wú)法限制廣播等問(wèn)題，vlan技術(shù) 就隨之產(chǎn)生。它的出現(xiàn)打破了傳統(tǒng)網(wǎng)絡(luò)的許多固有觀念，使 網(wǎng)絡(luò)的結(jié)構(gòu)變得靈活、方便、隨心所欲。vlan技術(shù)是把一個(gè)物理局域網(wǎng)劃分成多個(gè)虛擬局域網(wǎng)vlan,每個(gè)vlan就是一個(gè)廣播域，可以隔離廣播，vlan內(nèi)的主機(jī)之間的通信就和在一個(gè)局域網(wǎng)內(nèi)一樣不會(huì)受到影響，而不同vlan之間的主機(jī)則不能直接通信。在校網(wǎng)中應(yīng)用這種技術(shù)不僅可以使網(wǎng)絡(luò)結(jié)構(gòu)變得更具靈活性和適應(yīng) 性，也大大減少網(wǎng)絡(luò)管理員的工作量。1 vlan與三層交換技術(shù) 1. 1

3、vlan技術(shù)原理及優(yōu)點(diǎn) 1. 1. 1 vlan技術(shù)的原理在交換式以太網(wǎng)中，交換機(jī)中的各個(gè)端口都同屬于一個(gè) 廣播域內(nèi)，如果一臺(tái)主機(jī)發(fā)出一個(gè)廣播幀，那么整個(gè)局域網(wǎng) 中所有的主機(jī)都能夠接受得到，這樣就使局域網(wǎng)中有限的帶 寬被這臺(tái)主機(jī)所發(fā)出的廣播幀所占用，無(wú)形地浪費(fèi)了網(wǎng)絡(luò)資 源。為了能減小廣播域的范圍，提高網(wǎng)絡(luò)的性能，降低網(wǎng)絡(luò) 運(yùn)行的費(fèi)用，雖然路由器可以解決這個(gè)問(wèn)題，但是，其成本 要比交換機(jī)高；另外，大部分傳統(tǒng)路由器采用軟件轉(zhuǎn)發(fā)，其 自身低速、復(fù)雜等局限性，很容易成為網(wǎng)絡(luò)的瓶頸使以太網(wǎng) 的優(yōu)勢(shì)難以發(fā)揮，第三層交換技術(shù)克服了傳統(tǒng)路由的缺點(diǎn)。 為此提出了虛擬局域網(wǎng)。vlan技術(shù)的原理，是把不同物理位置的

4、站點(diǎn)，按照其功能和應(yīng)用劃分為多個(gè)不同的邏輯子網(wǎng)，每個(gè)子網(wǎng)就是一個(gè)廣 播域，廣播信息只發(fā)給同一子網(wǎng)內(nèi)的站點(diǎn)，不同vlan間的 通信只能通過(guò)路由器等三層設(shè)備才能互相通信。它是一種實(shí) 現(xiàn)虛擬工作組的新興技術(shù)。1. 1.2 vlan技術(shù)的優(yōu)點(diǎn)vlan的劃分不受地理位置的限制，一個(gè)交換機(jī)中可以劃 分多個(gè)vlan, 個(gè)vlan可以在不同的交換機(jī)上。這就使vlan 具有以下幾個(gè)主要優(yōu)點(diǎn)： 靈活構(gòu)建虛擬工作組。使用vlan可以把不同地理位 置的用戶劃分到同一工作組；此外，還可以對(duì)處在不同地理 位置的設(shè)備進(jìn)行統(tǒng)一的管理。網(wǎng)絡(luò)構(gòu)建及維護(hù)更為靈活方 便。 增強(qiáng)網(wǎng)絡(luò)的安全性。不同vlan之間是相互隔離的， 所以，不同

5、vlan之間的用戶是不能直接通信的。這樣就可 以把用戶涉及到保密的信息與普通用戶相隔離。 有效地控制廣播域的范圍。交換機(jī)劃分vlan后，一 臺(tái)主機(jī)所發(fā)送的廣播幀僅在其所處的vlan中傳播，廣播域 就被限制在一個(gè)vlan內(nèi)。1.2三層交換技術(shù)的原理三層交換技術(shù)是根據(jù)osi參考模型中第三層網(wǎng)絡(luò)層的ip 地址完成端到端數(shù)據(jù)交換的。當(dāng)某一信息源的第一個(gè)數(shù)據(jù)流 進(jìn)行第三層交換后，其中的路由系統(tǒng)將會(huì)產(chǎn)生一個(gè)mac地址 與ip地址的映射表，并將該表存儲(chǔ)起來(lái)，當(dāng)同一信息源的 后續(xù)數(shù)據(jù)流再次進(jìn)入交換環(huán)境時(shí)，交換機(jī)將根據(jù)第一次產(chǎn)生 并保存的地址映射表，直接從第二層由源地址傳輸?shù)侥康牡?址，不再經(jīng)過(guò)第三層路由系統(tǒng)處

6、理，從而消除了路由選擇時(shí) 造成的網(wǎng)絡(luò)延遲，提高了數(shù)據(jù)包的轉(zhuǎn)發(fā)效率，解決了網(wǎng)間傳 輸信息時(shí)路由產(chǎn)生的速率瓶頸。簡(jiǎn)單的說(shuō)，第三層交換技術(shù) 就是將第二層交換技術(shù)和第三層轉(zhuǎn)發(fā)技術(shù)的有機(jī)結(jié)合，不僅 使二層與三層相互關(guān)聯(lián)起來(lái)，而且還提供流量?jī)?yōu)先化處理、 安全訪問(wèn)機(jī)制以及多種其他的靈活功能。1. 3 vlan的劃分 基于端口的劃分?；诙丝诘膙lan是最簡(jiǎn)單、最有 效的vlan劃分方法。它根據(jù)設(shè)備的端口來(lái)指定其所屬vlan, 而不用考慮端口所處位置。端口配置后，可以轉(zhuǎn)發(fā)指定vlan 的數(shù)據(jù)幀。但是所連設(shè)備更換端口后，就必須重新配置vlan 對(duì)應(yīng)的端口。 基于mac地址的劃分。這種劃分vlan的方法是根據(jù) 每

7、臺(tái)主機(jī)的mac地址來(lái)劃分的。mac地址是網(wǎng)卡的一個(gè)唯一 標(biāo)識(shí)，一個(gè)mac地址對(duì)應(yīng)一臺(tái)主機(jī)。在交換機(jī)上有一張vlan 映射表，該表記錄了 mac地址和vlan的對(duì)應(yīng)關(guān)系。這種劃 分方式最大的優(yōu)點(diǎn)就是，當(dāng)主機(jī)物理位置移動(dòng)時(shí)，vlan不用 重新配置。但是，當(dāng)新的主機(jī)加入時(shí)，就要收集該主機(jī)的mac 地址，對(duì)它進(jìn)行配置。如果新加入的主機(jī)量大時(shí)，配置的工 作量也就很大。 基于協(xié)議的劃分?；趨f(xié)議的vlan是根據(jù)端口接收 到的報(bào)文所屬的協(xié)議類型來(lái)劃分不同的vlan。該方式主要應(yīng) 用于將網(wǎng)絡(luò)中提供的協(xié)議類型與vlan相綁定，方便網(wǎng)絡(luò)管 理員維護(hù)和管理。 基于子網(wǎng)的劃分。基于ip子網(wǎng)的vlan是根據(jù)報(bào)文的 源i

8、p地址和子網(wǎng)掩碼作為依據(jù)來(lái)進(jìn)行劃分的。當(dāng)設(shè)備的端 口接收到報(bào)文后，根據(jù)報(bào)文的源ip地址，找到與現(xiàn)有vlan 的對(duì)應(yīng)關(guān)系，然后自動(dòng)劃分到指定的vlan中進(jìn)行轉(zhuǎn)發(fā)。2 vlan技術(shù)在校園網(wǎng)中的應(yīng)用2.1校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)當(dāng)今世界已經(jīng)進(jìn)入了信息時(shí)代，學(xué)校原來(lái)分散的局域網(wǎng) 及多媒體教學(xué)已遠(yuǎn)遠(yuǎn)不能滿足教學(xué)與科研的需求。為了提高 學(xué)校辦公自動(dòng)化與教育現(xiàn)代化的水平，根據(jù)學(xué)校各樓宇的位 置及信息點(diǎn)的分布，把校園網(wǎng)絡(luò)建設(shè)成一個(gè)具有較高標(biāo)準(zhǔn)、 經(jīng)濟(jì)適用的網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)硬件性能不斷提高，成本不斷降低，目前的校 園網(wǎng)基本上都采用了性能先進(jìn)的千兆網(wǎng)技術(shù)，核心交換機(jī)采 用三層交換機(jī)，它能很好地支持虛擬局域網(wǎng)(vlan)

9、技術(shù)， 這對(duì)方便校園網(wǎng)的高速可靠運(yùn)行起到了非常重要的作用。現(xiàn) 在，我校校園網(wǎng)絡(luò)的核心層采用的是具有三層交換的核心交 換機(jī)(華為s8505),它采用具有高速路由查找功能的asic 芯片，并通過(guò)crossbar技術(shù)進(jìn)行高速報(bào)文交換，從而大大 地提升了路由交換機(jī)的轉(zhuǎn)發(fā)性能。它能夠滿足各類數(shù)據(jù)高速 傳輸和安全性的要求，并且提供可擴(kuò)充性端口，能適應(yīng)今后 網(wǎng)絡(luò)規(guī)模擴(kuò)大的需要。通過(guò)核心交換機(jī)連接到教學(xué)樓、實(shí)驗(yàn)樓、圖書館、培訓(xùn)中心、教師宿舍、學(xué)生公寓等樓宇的匯聚 層交換機(jī)，在匯聚層交換機(jī)中下連教師宿舍和計(jì)算機(jī)機(jī)房的 接入層交換機(jī)（如圖1）。2.2 vlan的劃分在此網(wǎng)絡(luò)中，用戶分布在不同的樓宇和辦公室中，有些

10、 用戶擁有自己的服務(wù)器和應(yīng)用系統(tǒng)，而這一切都由同一個(gè)數(shù) 據(jù)通信網(wǎng)絡(luò)提供服務(wù)。如何將屬于同一個(gè)辦公室的用戶群所 組成的邏輯組與他們所在的物理位置關(guān)系上區(qū)分開來(lái)，從而 能夠達(dá)到限定不同邏輯組之間的通信流量以提高安全性和 系統(tǒng)的系能。為了能合理地解決這個(gè)問(wèn)題，就必須采用vlan 技術(shù)，對(duì)各組用戶進(jìn)行相互隔離。該網(wǎng)絡(luò)中vlan的劃分采用基于端口和子網(wǎng)相結(jié)合的方 式來(lái)劃分，它把具有相同職能的用戶劃分到同一個(gè)vlan中。 在辦公大樓中，領(lǐng)導(dǎo)辦公室、各處室、財(cái)務(wù)科、圖書館分別 劃分到vlan2、vlan3、vlan4、vlan5；對(duì)實(shí)驗(yàn)樓、教學(xué)樓、 教師生活區(qū)、培訓(xùn)中心分別劃分到vlan6、vlan7、vl

11、an8、 vlan9 （其中培訓(xùn)中心設(shè)置為自動(dòng)獲取ip）;把服務(wù)器組劃分 到vlan 100中，把網(wǎng)管機(jī)劃分到vlan200中。其中在辦公大 樓中還有兩個(gè)會(huì)議室，它們也采用自動(dòng)獲取ip的形式上網(wǎng)， 所以把它們劃分到vlan9中。2.3 ip地址的分配ip地址用來(lái)識(shí)別網(wǎng)絡(luò)或主機(jī)。ip地址的合理分配可避 免各主機(jī)之間地址相互沖突。由于學(xué)校網(wǎng)絡(luò)是一個(gè)內(nèi)部網(wǎng)， 主機(jī)數(shù)量達(dá)300臺(tái)左右，ip地址資源較為豐富，所以ip地 址的分配我們采用以能識(shí)別主機(jī)及避免主機(jī)之間地址沖突 為原則進(jìn)行的。ip地址的分配與網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)組織有著密切的關(guān) 系，對(duì)網(wǎng)絡(luò)的可用性、可靠性與有效性有顯著的影響。因此, ip地址的分

12、配應(yīng)滿足各種用戶接入方式的要求，根據(jù)網(wǎng)絡(luò)組 織的大小分配地址段。所以，我們根據(jù)vlan中id標(biāo)記來(lái)確 定某個(gè)網(wǎng)絡(luò)組織屬于哪個(gè)地址段，比如：領(lǐng)導(dǎo)辦公室屬于 vlan2中，我們就把領(lǐng)導(dǎo)辦公室的主機(jī)ip地址設(shè)在 192. 168.2.*子網(wǎng)段中。2.4 vlan的配置2.4. 1 創(chuàng)建 vlan2. 4.2為vlan指定以太網(wǎng)端口2.4.3創(chuàng)建vlan接口，并指定ip地址及掩碼2. 4.4配置端口允許vlan通過(guò)連接在核心交換機(jī)中的網(wǎng)管機(jī)，它對(duì)整個(gè)校園網(wǎng)進(jìn)行內(nèi) 網(wǎng)安全監(jiān)視、內(nèi)網(wǎng)安全管理、遠(yuǎn)程管理控制等操作，實(shí)現(xiàn)了 網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)維護(hù)三位一體的立體化管理，使 網(wǎng)絡(luò)管理人員對(duì)每一臺(tái)網(wǎng)絡(luò)設(shè)備及主

13、機(jī)的運(yùn)行狀況都了如 指掌。所以經(jīng)過(guò)連接網(wǎng)管機(jī)的交換機(jī)端口的數(shù)據(jù)包允許所有 vlan通過(guò)，即對(duì)它進(jìn)行port access vlan all配置。辦公 大樓中的交換機(jī)連接著領(lǐng)導(dǎo)辦公室、各處室、財(cái)務(wù)科和圖書館的交換機(jī)，核心交換機(jī)連接到辦公大樓中的交換機(jī)的端口 允許 vlan2、vlan3. vlan4、vlan5、vlan9 和 vlan200,所 以，對(duì)該端 口進(jìn)行 port trunk permit vlan 2 to 5 9 200 配置。對(duì)核心交換機(jī)中的其它端口，配置成只允許自身所屬vlan及vlan200的通過(guò)。2.5為主機(jī)設(shè)置默認(rèn)網(wǎng)關(guān)根據(jù)主機(jī)連接的核心交換機(jī)端口號(hào)以及該端口號(hào)配置 的vlan接