孔素真,張慶莉

（鄭州牧業(yè)工程高等?？茖W(xué)校,河南鄭州,450011）

隨著Internet技術(shù)、網(wǎng)絡(luò)技術(shù)、信息技術(shù)、多媒體技術(shù)的迅猛發(fā)展,校園網(wǎng)已成為學(xué)校教學(xué)、科研、管理、信息獲取的重要手段.校園網(wǎng)在給我們帶來(lái)方便快捷的同時(shí),也給管理和維護(hù)帶來(lái)許多的問(wèn)題.虛擬局域網(wǎng)作為新一代網(wǎng)絡(luò)技術(shù),可以限制廣播范圍,并能夠形成虛擬工作組,動(dòng)態(tài)管理網(wǎng)絡(luò),使校園網(wǎng)絡(luò)內(nèi)地理位置復(fù)雜的計(jì)算機(jī)設(shè)備的互聯(lián)和管理不再受地理環(huán)境和位置的制約,可以有效地管理和限制虛擬局域網(wǎng)之間的訪問(wèn),使學(xué)校各個(gè)部門之間的信息得到有效保護(hù),防止非法入侵,增強(qiáng)了網(wǎng)絡(luò)的安全性.

1 VLAN技術(shù)

VLAN即虛擬局域網(wǎng),是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段,從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù).與傳統(tǒng)網(wǎng)絡(luò)最本質(zhì)的區(qū)別就在于不受網(wǎng)絡(luò)用戶的物理位置限制,它將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段,從而實(shí)現(xiàn)虛擬工作組,網(wǎng)絡(luò)用戶就可以越過(guò)地域障礙,像在一個(gè)局域網(wǎng)中那樣快速、安全地通信.因此,對(duì)于用戶而言,其面對(duì)的就是一個(gè)邏輯而非物理位置上的局域網(wǎng).

VLAN具有以下優(yōu)點(diǎn)：

（1）控制網(wǎng)絡(luò)的廣播風(fēng)暴.采用VLAN技術(shù),可將某個(gè)交換端口劃到某個(gè)VLAN中,而一個(gè)VLAN的廣播風(fēng)暴不會(huì)影響其它VLAN的性能.

（2）確保網(wǎng)絡(luò)安全.VLAN能限制個(gè)別用戶的訪問(wèn),控制廣播組的大小和位置,甚至能鎖定某臺(tái)設(shè)備的MAC地址,因此VLAN能確保網(wǎng)絡(luò)的安全性.

（3）降低環(huán)路造成的危害.劃分VLAN之后,環(huán)路造成影響的范圍會(huì)縮小到VLAN之內(nèi).某一VLAN內(nèi)部形成環(huán)路只會(huì)造成該VLAN內(nèi)部設(shè)備間的通信出現(xiàn)問(wèn)題而不會(huì)影響到其余VLAN.

（4）簡(jiǎn)化網(wǎng)絡(luò)管理.通過(guò)劃分VLAN可以使網(wǎng)絡(luò)管理變的更加簡(jiǎn)單、有效.

2 VLAN劃分

VLAV在交換機(jī)上的實(shí)現(xiàn),大致可劃分為四類：

（1）基于端口劃分VLAN.這是劃分VLAN一種最簡(jiǎn)單最有效的方法,其特點(diǎn)是將交換機(jī)按照端口進(jìn)行分組,每一組定義為一個(gè)虛網(wǎng),這些交換機(jī)端口分組可以在一臺(tái)交換機(jī)上也可以跨越幾個(gè)交換機(jī).一個(gè)VLAN的各個(gè)端口上的所有終端都在一個(gè)廣播域中,它們相互可以通信,不同的VLAN之間進(jìn)行通信需經(jīng)過(guò)路由來(lái)進(jìn)行.這種劃分方式易于實(shí)現(xiàn),從一個(gè)端口發(fā)出的廣播,直接發(fā)送到VLAN內(nèi)的其他端口,也便于直接監(jiān)控.

（2）基于MAC地址劃分VLAN.這種劃分VLAN的方法是根據(jù)每個(gè)主機(jī)的MAC地址來(lái)劃分,即對(duì)每個(gè)MAC地址的主機(jī)都配置它屬于哪個(gè)組.這種劃分VLAN方法的最大優(yōu)點(diǎn)就是當(dāng)用戶物理位置移動(dòng)時(shí),即從一個(gè)交換機(jī)換到其他的交換機(jī)時(shí),VLAN不用重新配置.

（3）基于網(wǎng)絡(luò)層劃分VLAN.VLAN按網(wǎng)絡(luò)層協(xié)議來(lái)劃分,可分為IP、IPX、DECNET、APPLETALK等VLAN網(wǎng)絡(luò).這種按網(wǎng)絡(luò)層協(xié)議來(lái)組成的VLAN,可使廣播域跨越多個(gè)VLAN交換機(jī),用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動(dòng),但其VLAN成員身份仍然保留不變.

（4）基于策略劃分VLAN.這是實(shí)施VLAN的最有力的方法,它允許網(wǎng)絡(luò)管理員使用任何VLAN策略的組合創(chuàng)建滿足其需求的VLAN.通過(guò)多種VLAN劃分策略將設(shè)備指定給VLAN,從設(shè)備發(fā)出的數(shù)據(jù)幀總是經(jīng)過(guò)重新計(jì)算,以使得VLAN成員身份能隨著設(shè)備產(chǎn)生的流量類型而改變.

3 VLAN配置

3.1 VLAN的設(shè)計(jì)與目標(biāo)

在校園網(wǎng)中,VIAN的設(shè)計(jì)是以實(shí)用性、靈活性、安全性、效率性與業(yè)務(wù)應(yīng)用需要為原則.既要符合當(dāng)前的需要,又要考慮到今后業(yè)務(wù)的發(fā)展.解決這一問(wèn)題的方法是將各職能部門以單位、建筑樓群、上網(wǎng)群體等為團(tuán)體,劃分不同的VIAN,并進(jìn)行相應(yīng)的配置.只是針對(duì)學(xué)校的教學(xué)、辦公、實(shí)驗(yàn)這三個(gè)方面進(jìn)行子網(wǎng)的劃分.

這時(shí)候，他正在致力于唐詩(shī)，長(zhǎng)方大本子一個(gè)又一個(gè)，每一個(gè)上，寫得密密行行，看了叫人吃驚。關(guān)于杜甫的一大本，連他的朋友也特別列成了目錄，題目:《杜甫交游錄》。還有一個(gè)抄本，是唐詩(shī)摘句，至今還記得上面的一個(gè)句子:“蠅鼻落燈花?！保?］489

3.2 VLAN的配置過(guò)程

以目前最常用的按端口劃分VLAN的配置方法為例來(lái)介紹VLAN的配置.現(xiàn)學(xué)校主要使用網(wǎng)絡(luò)的部門：教學(xué)樓、辦公樓、實(shí)驗(yàn)樓,所對(duì)應(yīng)的VLAN見表1.

表1 VLAN對(duì)應(yīng)分配

（1）登錄到交換機(jī),進(jìn)入全局模式

bookinfomationcenter#con t

（2）創(chuàng)建新 VLAN,命名

bookinfomationcenter（config）#vlan 111

bookinfomationcenter（config-vlan）#name jiaoxue

bookinfomationcenter（config）#vlan 112

bookinfomationcenter（config）#vlan 113

bookinfomationcenter（config-vlan）#name shiyan

（3）各個(gè)交換機(jī)的VLAN配置端口號(hào)如下

bookinfomationcenter（config）#int range fa 0/2-10

bookinfomationcenter（config-if-range）#switchport access vlan 111 bookinfomationcenter（config）#int range fa 0/11-16

bookinfomationcenter（config-if-range）#switchport access vlan 112 bookinfomationcenter（config）#int range fa 0/17-22

bookinfomationcenter（config-if-range）#switchport access vlan 113

以上是銳捷交換機(jī)的VLAN配置,為了驗(yàn)證我們的配置,可以在特權(quán)模式使用"showvlan"命令顯示出剛才所做的配置,檢查一下是否正確.

4 結(jié)束語(yǔ)

隨著VLAN技術(shù)的日益完善,VLAN技術(shù)已成為網(wǎng)絡(luò)靈活分段和提高網(wǎng)絡(luò)安全的方法.在校園網(wǎng)的構(gòu)建中,通過(guò)VLAN技術(shù),減少了數(shù)據(jù)被竊聽的可能,極大地增強(qiáng)了網(wǎng)絡(luò)的安全性；通過(guò)把網(wǎng)絡(luò)分成邏輯上的不同廣播域,限制了某個(gè)局域網(wǎng)只與同一個(gè)VLAN的其它局域網(wǎng)互相連,避免浪費(fèi)帶寬.