VLAN技術(shù)及其在校園網(wǎng)中的應(yīng)用

VLAN技術(shù)及其在校園網(wǎng)中的應(yīng)用

【摘要】隨著網(wǎng)絡(luò)硬件性能的不斷提高、成本的不斷降低，目前局域網(wǎng)基本上都采用了性能先進(jìn)的硬件設(shè)備。其核心交換機(jī)一般采用三層交換機(jī)，它能很好地支持虛擬局域網(wǎng)(VLAN)技術(shù)。作為一門新興的網(wǎng)絡(luò)技術(shù)，VLAN的出現(xiàn)使得組網(wǎng)更加靈活和安全，減少管理員的工作負(fù)擔(dān)，基于交換機(jī)的虛擬局域網(wǎng)技術(shù)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬等問題。本文主要討論VLAN的概念、主要功能、劃分方法和其在校園網(wǎng)的應(yīng)用。畢業(yè)論文英語論文【關(guān)鍵詞】VLAN；校園網(wǎng)；廣播域；廣播風(fēng)暴當(dāng)前計算機(jī)網(wǎng)絡(luò)技術(shù)迅速發(fā)展，其中以方便、快捷、靈活、高效的組網(wǎng)特點(diǎn)而著稱的虛擬局域網(wǎng)技術(shù)(VLAN)一經(jīng)提出就得到了人們的關(guān)注。VLAN技術(shù)在很大程度上解決了網(wǎng)絡(luò)建設(shè)上遇到的很多實(shí)際問題，其在局域網(wǎng)中的應(yīng)用越來越廣泛。校園網(wǎng)作為園區(qū)網(wǎng)的典型，其規(guī)模正逐漸地由中小型向大中型發(fā)展和過渡，這樣就決定了它的組網(wǎng)在技術(shù)上的多樣性與復(fù)雜性，其不僅要考慮物理上各網(wǎng)段的連接，還要考慮建立在各種網(wǎng)絡(luò)協(xié)議上子網(wǎng)的互聯(lián)。同時，校園網(wǎng)訪問方式多、用戶群龐大、網(wǎng)絡(luò)行為突發(fā)性高，為了保證校園網(wǎng)的正常運(yùn)行和安全，本文主要針對校園網(wǎng)的特點(diǎn)和傳統(tǒng)局域網(wǎng)局限，重點(diǎn)介紹了基于VLAN技術(shù)構(gòu)建校園網(wǎng)絡(luò)的應(yīng)用。一、傳統(tǒng)LAN的局限在傳統(tǒng)的局域網(wǎng)(LAN)中，由于各站點(diǎn)共享傳輸信道所造成的信道沖突和發(fā)生在網(wǎng)絡(luò)第三層的廣播風(fēng)暴問題成為影響網(wǎng)絡(luò)性能的重要因素。針對該問題，交換機(jī)(或網(wǎng)橋)和路由器被廣泛應(yīng)用于局域網(wǎng)中。交換機(jī)(網(wǎng)橋)連接屬于同一邏輯子網(wǎng)的網(wǎng)絡(luò)，再由路由器連接不同的邏輯子網(wǎng)。然而在同一個邏輯子網(wǎng)中，所有的用戶在同一個廣播域中，會引起網(wǎng)絡(luò)性能的下降，浪費(fèi)可貴的帶寬；并且對廣播風(fēng)暴的控制和網(wǎng)絡(luò)安全只能在第三層的路由器上實(shí)現(xiàn)；由于邏輯子網(wǎng)間的通信必須經(jīng)路由器進(jìn)行，所以這樣會產(chǎn)生延時，而且路由器也會產(chǎn)生瓶頸。在由路由器連接不同的邏輯子網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)中，由集線器、粗、細(xì)纜構(gòu)成的物理網(wǎng)絡(luò)與邏輯子網(wǎng)相對應(yīng)，通常一個m子網(wǎng)屬于一個由物理網(wǎng)絡(luò)來劃分的廣播域。由于站點(diǎn)被束縛在所處的物理網(wǎng)絡(luò)中，不能根據(jù)需隨意的劃分至相應(yīng)的邏輯子網(wǎng)。當(dāng)網(wǎng)絡(luò)的物理結(jié)構(gòu)發(fā)生變化時，比如網(wǎng)絡(luò)中的工作站移動、增加、改變等會加重網(wǎng)絡(luò)管理的負(fù)擔(dān)，并導(dǎo)致網(wǎng)絡(luò)的綜合性能下降。同時，大通信量、低延時的要求使得網(wǎng)絡(luò)的帶寬越來越不夠。綜上所述，針對傳統(tǒng)LAN存在的問題，提出了虛擬局域網(wǎng)的概念，能夠很好的解決這些網(wǎng)絡(luò)問題。二、VLAN的概念和原理VLAN(VirtualLocalAreaNetwork)即虛擬局域網(wǎng)，是一種通過邏輯而不是物理地將局域網(wǎng)劃分成一個個的網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的一種新興交換技術(shù)。VLAN與普通局域網(wǎng)從原理上講沒有什么不同，但從用戶使用和網(wǎng)絡(luò)管理的角度來看，VLAN與普通局域網(wǎng)最基本的差異體現(xiàn)在：VLAN并不局限于某一網(wǎng)絡(luò)或物理范圍，VLAN中的用戶可以位于一個局域網(wǎng)中的任何位置。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802．1Q協(xié)議標(biāo)準(zhǔn)草案。三、VLAN技術(shù)的優(yōu)點(diǎn)VLAN的優(yōu)點(diǎn)主要體現(xiàn)在以下三個方面：(一)控制廣播風(fēng)暴。網(wǎng)絡(luò)管理必須解決因大量廣播信息帶來帶寬消耗的問題。VLAN作為一種網(wǎng)絡(luò)分段技術(shù)可將廣播風(fēng)暴限制在一個VLAN內(nèi)部，避免影響其他網(wǎng)段。與傳統(tǒng)局域網(wǎng)相比，VLAN能夠更加有效地利用帶寬。在VLAN中，網(wǎng)絡(luò)被邏輯地分割成廣播域，由VLAN成員所發(fā)送的信息幀或數(shù)據(jù)包僅在VLAN內(nèi)的成員之間傳送，而不是向網(wǎng)上的所有工作站發(fā)送。這樣可減少主干網(wǎng)的流量，提高網(wǎng)絡(luò)速度。(二)增強(qiáng)網(wǎng)絡(luò)的安全性。共享式LAN上的廣播必然會產(chǎn)生安全性問題，因?yàn)榫W(wǎng)絡(luò)上的所有用戶都能監(jiān)測到流經(jīng)的業(yè)務(wù)，用戶只要插入任一活動端口就可訪問網(wǎng)段上的廣播包。采用VLAN提供的安全機(jī)制，可以限制特定用戶的訪問，控制廣播組的大小和位置，甚至鎖定網(wǎng)絡(luò)成員的MAC地址，這樣，就限制了未經(jīng)安全許可的用戶和網(wǎng)絡(luò)成員對網(wǎng)絡(luò)的使用。(三)增強(qiáng)網(wǎng)絡(luò)管理。采用VLAN技術(shù)，使用VLAN管理程序可對整個網(wǎng)絡(luò)進(jìn)行集中管理，能夠更容易地實(shí)現(xiàn)網(wǎng)絡(luò)的可管理性。用戶可以根據(jù)業(yè)務(wù)需要快速組建和調(diào)整VLAN。當(dāng)鏈路擁擠時，利用管理程序能夠重新分配業(yè)務(wù)。管理程序還能夠提供有關(guān)工作組的業(yè)務(wù)量、廣播行為以及統(tǒng)計特性等的詳盡報告。對于網(wǎng)絡(luò)管理員來說，所有這些網(wǎng)絡(luò)配置和管理工作都是透明的。VLAN變動時，用戶無需了解網(wǎng)絡(luò)的接線情況和協(xié)議是如何重新設(shè)置的。VLAN還能減少因網(wǎng)絡(luò)成員變化所帶來的開銷，在添加、刪除和移動網(wǎng)絡(luò)成員時，不用重新布線，也不用直接對成員進(jìn)行配置。若采用傳統(tǒng)局域網(wǎng)技術(shù)，那么當(dāng)網(wǎng)絡(luò)達(dá)到一定規(guī)模時，此類開銷往往會成為管理員的沉重負(fù)擔(dān)。四、VLAN劃分方式的類型及特點(diǎn)VLAN的劃分方式很重要，在設(shè)計和建設(shè)VLAN，實(shí)現(xiàn)VLAN應(yīng)用時，首先要決定如何劃分VLAN，即依據(jù)什么標(biāo)準(zhǔn)來組織VLAN成員。如圖1所示，VLAN的劃分示例。下面介紹4種常見的劃分方式，不同的劃分方式代表不同的VLAN實(shí)現(xiàn)類型：(一)按端口劃分VLAN。這是構(gòu)成VLAN的最簡單的方式。在此方式中，可以將分屬不同交換機(jī)端口的物理網(wǎng)段劃分為同一個VLAN，這樣一個VLAN對應(yīng)交換機(jī)端口的一個子集合。借助網(wǎng)絡(luò)管理軟件，根據(jù)交換機(jī)端口的標(biāo)識符，將不同的端口劃分為相應(yīng)組。這種VLAN的優(yōu)點(diǎn)是實(shí)現(xiàn)簡單、容易監(jiān)控，且一個端口發(fā)出廣播，VLAN內(nèi)的其他端口都能收到，但這種方式缺乏智能及靈活性。比如，不能在給定的端口上支持一個以上的VLAN。(二)按MAC地址劃分VLAN。這種方式的VLAN就是一些MAC地址的集合，當(dāng)網(wǎng)絡(luò)站點(diǎn)移動時它解決了這樣的問題，要求交換機(jī)對站點(diǎn)的MAC地址和交換機(jī)端口進(jìn)行跟蹤。初始化時，對連接于交換機(jī)端口的工作站，交換機(jī)在VLAN的管理信息庫的MIB中檢查MAC地址，動態(tài)的匹配該端口到相應(yīng)的VLAN中，實(shí)現(xiàn)VLAN對站點(diǎn)的識別和跟蹤，但所有的站點(diǎn)必須明確的分配給一個VLAN，只有這種配置工作完成以后，對站點(diǎn)的自動識別才成為可能。一個大型網(wǎng)絡(luò)，要求人工配置VLAN的工作量大而煩瑣。(三)基于網(wǎng)絡(luò)層劃分VLAN?？梢曰诰W(wǎng)絡(luò)層來劃分VLAN，有兩種方案，一種按協(xié)議(如果網(wǎng)絡(luò)中存在多種協(xié)議)來劃分；另一種是按網(wǎng)絡(luò)層地址(最常見的是TCP／IP中的子網(wǎng)段地址)來劃分。建立VLAN也可使用與管理路由相同的策，根據(jù)IP子網(wǎng)、IPX網(wǎng)絡(luò)號及其他協(xié)議劃分VLAN。同一協(xié)議的工作站劃分為一個VLAN，交換機(jī)檢查廣播幀的以太幀標(biāo)題域，查看其協(xié)議類型，若已存在該協(xié)議的VLAN，則加入源端口，否則，創(chuàng)建一個新的VLAN。這種方式構(gòu)成的ⅥAN，不但大大減少了人工配置VLAN的工作量，同時保證了用戶自由地增加、移動和修改。不同VLAN網(wǎng)段上的站點(diǎn)可屬于同一VLAN，在不同VLAN上的站點(diǎn)也可在同一物理網(wǎng)段上。利用網(wǎng)絡(luò)層定義VLAN缺點(diǎn)也是有的，與利用MAC地址的形式相比，基于網(wǎng)絡(luò)層的VLAN需要分析各種協(xié)議的地址格式并進(jìn)行相應(yīng)的轉(zhuǎn)換。因此，使用網(wǎng)絡(luò)層信息來定義VLAN的交換機(jī)要比使用數(shù)據(jù)鏈路層信息的交換機(jī)在速度上占劣勢。(四)基于規(guī)則的VLAN。也稱為基于策略的VLAN。這是最靈活的VLAN劃分方法，具有自動配置的能力，能把相關(guān)的用戶連成一體，在邏輯劃分上稱為“關(guān)系網(wǎng)絡(luò)”。網(wǎng)絡(luò)管理員只需在網(wǎng)管軟件中確定劃分VLAN的規(guī)則(或?qū)傩?，那么當(dāng)一個站點(diǎn)加入網(wǎng)絡(luò)中時，將會被“感知”，并被自動地包含進(jìn)正確的VLAN中。同時，對站點(diǎn)的移動和改變也可自動識別和跟蹤。采用這種方式，整個網(wǎng)絡(luò)可以非常方便地通過路由器擴(kuò)展網(wǎng)絡(luò)規(guī)模。五、校園網(wǎng)特點(diǎn)及VLAN劃分(一)校園網(wǎng)的現(xiàn)狀及其存在的問題。筆者結(jié)合自己所在的學(xué)校，說明一些目前校園網(wǎng)的發(fā)展現(xiàn)狀及其特點(diǎn)：隨著學(xué)校自身的發(fā)展及規(guī)模的擴(kuò)大，作為園區(qū)網(wǎng)的典型，校園網(wǎng)正逐漸地由中小型向大中型發(fā)展和過渡，這樣就決定了它的組網(wǎng)在技術(shù)上的多樣性與復(fù)雜性，其不僅要考慮物理上各網(wǎng)段的連接，還要考慮建立在各種網(wǎng)絡(luò)協(xié)議上子網(wǎng)的互聯(lián)。另外，隨著校園網(wǎng)內(nèi)的計算機(jī)數(shù)量的增加，VOD視頻點(diǎn)播在多媒體課堂教學(xué)上的大量應(yīng)用，網(wǎng)絡(luò)中廣播包的數(shù)量也會急劇增加，當(dāng)廣播包的數(shù)量占到總量的30％時，網(wǎng)絡(luò)的傳輸效率將會明顯下降。特別是當(dāng)某網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，會不停地向網(wǎng)絡(luò)發(fā)送廣播，從而導(dǎo)致網(wǎng)絡(luò)風(fēng)暴，使網(wǎng)絡(luò)通信陷于癱瘓。當(dāng)校園網(wǎng)絡(luò)內(nèi)計算機(jī)數(shù)超過200臺后，就必須采取措施將網(wǎng)絡(luò)分隔開來，將一個大的廣播域劃分成若干個小的廣播域。最后是校園網(wǎng)的安全性問題，特別是蠕蟲病毒大規(guī)模的爆發(fā)，會使整個校園網(wǎng)處于嚴(yán)重負(fù)荷狀態(tài)，導(dǎo)致整個網(wǎng)絡(luò)不可用，嚴(yán)重影響校園網(wǎng)的性能。此外，大學(xué)生在校園網(wǎng)中存在兩種攻擊行為：無意識的和有意的。他們的好奇心比較強(qiáng)，也有一定的理論知識，喜歡在網(wǎng)上嘗試一些攻擊軟件的使用，很可能造成整個校園網(wǎng)的癱瘓。如圖2是部分網(wǎng)絡(luò)拓?fù)鋱D：(二)配置策略。由于VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個物理的局域網(wǎng)邏輯地劃分成不同的廣播域(或稱虛擬局域網(wǎng)，即VLAN)，所以每一個VLAN可以都是按照校園的一個職能部門來劃分，包含著一組具有相同工作特點(diǎn)的計算機(jī)。由于它是按功能劃分而不是按物理地劃分，所以同一個VLAN內(nèi)的各個工作站無須被放置在同一個物理空間里，這些工作站不一定屬于同一個物理局域網(wǎng)網(wǎng)段。一個VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，因此可以控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。根據(jù)具體應(yīng)用，提出如下校園網(wǎng)VLAN的配置策略：一是以工作站和服務(wù)器的邏輯歸屬劃分VLAN。如按部門、系、處等，盡可能地將同一工作性質(zhì)的用戶集中在一個VALN中，以減少跨VLAN的訪問，提高網(wǎng)絡(luò)的效率。二是按某項(xiàng)應(yīng)用的覆蓋范圍配置所要求的VLAN。如學(xué)校的選課應(yīng)用，不同地點(diǎn)選課可以將進(jìn)行選課的數(shù)個機(jī)房所對應(yīng)的交換機(jī)端口設(shè)為一個VLAN。選課活動在物理上可跨幾個網(wǎng)段，但在邏輯上屬于一個子網(wǎng)。根據(jù)校園網(wǎng)的具體情況，為了達(dá)到信息流量的控制，并提供良好的安全性，通過對網(wǎng)絡(luò)邏輯結(jié)構(gòu)進(jìn)行分析和合理劃分，在高校校園網(wǎng)中應(yīng)用比較廣泛的是基于端口的VLAN，采用基于端口VLAN技術(shù)對校園內(nèi)部網(wǎng)絡(luò)不同部門之間進(jìn)行邏輯隔離，同時抑制廣播風(fēng)暴。在接入層交換機(jī)采用基于端口的VLAN劃分和隔離用戶，在匯聚層或核心層通過三層交換機(jī)采用VLAN路由進(jìn)行通訊，達(dá)到靈活通訊和管理控制各網(wǎng)段機(jī)器的目的。本校的校園網(wǎng)采用基于物理端口進(jìn)行VLAN的劃分，來提高校園網(wǎng)絡(luò)的工作效率。如圖3所示：六、VLAN技術(shù)在校園網(wǎng)中的局限性隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，多種技術(shù)之間的競爭非常激烈，沒有～種技術(shù)的發(fā)展是一帆風(fēng)順的，VLAN技術(shù)也不例外，其發(fā)展中也存在著一些局限：比如采用交換結(jié)構(gòu)的局域網(wǎng)通常采用一個主路由器負(fù)責(zé)VLAN之間的數(shù)據(jù)通信。在大型局域網(wǎng)中，當(dāng)有較大的數(shù)據(jù)流通過各VLAN時，主路由器的負(fù)荷很重，長此以往，網(wǎng)絡(luò)整體的性能，如穩(wěn)定性會下降。如果發(fā)生主路由器崩潰或故障時，各VLAN之間將無法正常通信。另外，校園網(wǎng)用戶的日益增加，用戶對于網(wǎng)絡(luò)數(shù)據(jù)通信的安全性提出了更高的要求，諸如防范黑客攻擊、控制病毒傳播等，都要求保證網(wǎng)絡(luò)用戶通信的相對安全性；傳統(tǒng)的解決方法是給每個用戶分配一個VLAN和相關(guān)的IP子網(wǎng)，通過使用VLAN，每個客戶被從第2層隔離開，可以防止任何惡意的行為和Etllemet的信息探聽。然而，這種分配每個客戶單一VLAN和IP子網(wǎng)的模型造成了巨大的可擴(kuò)展方面的局限。這些局限主要有下述幾方面：(1)VLAN的限制：目前IEEE802．1Q標(biāo)準(zhǔn)中所支持的VLAN數(shù)目最多為4，094個，用戶數(shù)量受到限制，且不利于網(wǎng)絡(luò)的擴(kuò)展。(2)復(fù)雜的STP：對于每個VLAN，每個相關(guān)的SpanningTree的拓?fù)涠夹枰芾恚?3)IP地址的緊缺：IP子