鄭州市經(jīng)濟貿(mào)易學(xué)校計算機系 王松波

隨著計算機網(wǎng)絡(luò)規(guī)模的不斷擴大和網(wǎng)上傳輸數(shù)據(jù)量的迅速增長，傳統(tǒng)的基于集線器與路由器所構(gòu)成的局域網(wǎng)已經(jīng)不能滿足規(guī)模日益擴大的網(wǎng)絡(luò)要求，主要原因有兩方面：一方面是人們對信息資源有了更高的要求，比如更大的音視頻文件和數(shù)據(jù)傳輸需求，另一方面也是是因為各站點共享信道引起信道沖突和廣播風(fēng)暴，傳統(tǒng)路由器基于軟件轉(zhuǎn)發(fā)的低效率等原因會造成網(wǎng)絡(luò)性能的嚴(yán)重降低。因此在現(xiàn)有的網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)信息需求的條件下如何合理地安排網(wǎng)絡(luò)體系結(jié)構(gòu)成為計算機網(wǎng)絡(luò)界研究的重點之一。VLAN技術(shù)正是在這一背景下成為了當(dāng)前局域網(wǎng)特別是校園網(wǎng)的一項關(guān)鍵應(yīng)用，可以說，當(dāng)前網(wǎng)絡(luò)的發(fā)展正在向以交換為中心的虛擬交換網(wǎng)絡(luò)方向發(fā)展。對于大部分學(xué)校來說，校園網(wǎng)絡(luò)的發(fā)展也非常迅速，剛開始都是學(xué)校內(nèi)部使用個局域網(wǎng)，到后來都是能夠和internet相連的國際互聯(lián)網(wǎng)絡(luò)。網(wǎng)絡(luò)從無到有，從局域網(wǎng)到廣域網(wǎng)，網(wǎng)絡(luò)的迅速發(fā)展給學(xué)校的教育教學(xué)帶來了很大的方便。如何改變傳統(tǒng)網(wǎng)絡(luò)的體系結(jié)構(gòu)弊，讓有限的資源盡可能滿足各種不同的服務(wù)需求。特別是如何滿足校園網(wǎng)中越來越多的數(shù)據(jù)傳輸傳輸和信息的安全問題？作者在實際工作中也遇到了類似的問題，針對出現(xiàn)的問題的我提出了自己的解決方法。有不當(dāng)之處請不吝賜教。

1、鄭州市經(jīng)濟貿(mào)易學(xué)校網(wǎng)絡(luò)的概況

我單位的計算機網(wǎng)絡(luò)組建的比較早。在1997年就組建了當(dāng)時比較流行的NOVELL網(wǎng)絡(luò)，后來又組建了NT網(wǎng)絡(luò)。當(dāng)時的這兩個網(wǎng)絡(luò)都是局域網(wǎng)，沒有和外部INTERNET相連。主要是利用服務(wù)器／工作站的工作方式，當(dāng)時的教學(xué)軟件都放在了服務(wù)器上，學(xué)生機配置比較低，使用的是無盤工作站，網(wǎng)絡(luò)啟動后都是使用了服務(wù)器上的數(shù)據(jù)和信息，當(dāng)時的網(wǎng)絡(luò)管理比較簡單。在2001年學(xué)校由鄭州市教育局統(tǒng)一組織接入了INTERNET網(wǎng)絡(luò)，是我校進入廣域網(wǎng)的開始。網(wǎng)絡(luò)管理的任務(wù)就變得復(fù)雜，特別是近幾年我們學(xué)校又新建了很多實驗室，現(xiàn)在共有7個網(wǎng)絡(luò)實驗室，有近500臺電腦同時上網(wǎng)。并且在每個辦公室和每個教室都有寬帶的接入點。老師和學(xué)生都可以隨時使用信息插座提供的接入點進行上網(wǎng)。尤其是在2005年學(xué)校的家屬院網(wǎng)絡(luò)接入了校園網(wǎng)，家屬院網(wǎng)絡(luò)的接入給網(wǎng)絡(luò)的管理帶來了更大的挑戰(zhàn)。因為家屬院里面的人員復(fù)雜，上網(wǎng)的時段、上網(wǎng)所需的帶寬以及訪問的網(wǎng)站都有很多不確定性。在管理的過程中也遇到了很多問題，其中最突出的問題就是信息的安全性問題。在網(wǎng)絡(luò)的使用上經(jīng)常的出現(xiàn)病毒的泛濫，用戶信息被盜用的情況。

2、網(wǎng)絡(luò)管理中出現(xiàn)的問題

我們學(xué)校的網(wǎng)絡(luò)由辦公樓子網(wǎng)，實驗樓子網(wǎng)和家屬院子網(wǎng)構(gòu)成。辦公樓子網(wǎng)主要是老師辦公時使用的網(wǎng)絡(luò)，每個辦公室都有網(wǎng)絡(luò)的接入點若干，有的辦公室使用8口的小交換機進行擴展。辦公室子網(wǎng)主要特點是帶寬要求不是很高，大部分的工作時段都是在上班的時間，信息的安全性比較高，由于各個辦公室要相互的傳送資料，要求有比較好的資源共享功能。實驗樓子網(wǎng)是學(xué)校里面使用帶寬最高的部分，里面有非常多機器同時上網(wǎng)，并且對網(wǎng)絡(luò)的需求比較豐富，不同的課程對網(wǎng)絡(luò)有不同的需求，他的帶寬主要集中在上課的時段，由于機房里面的USB端口沒有禁用，學(xué)生可以隨意的使用USB接口來接入外部設(shè)備。特別是在晚自習(xí)的時候?qū)W(xué)生自由開放，學(xué)生可以在機房中實習(xí)他們白天學(xué)習(xí)的任意課程，有同學(xué)就帶著U盤來來回的拷貝東西，這樣就容易造成各種各樣病毒的侵入。家屬院的網(wǎng)絡(luò)要求帶寬較高，它要求的時段不太固定，白天黑夜都有上網(wǎng)的，他訪問信息的安全性處于上述兩者的中間。但是它一旦出現(xiàn)病毒等故障時比較難以排查。不像學(xué)校機房里面可以將某個機房單獨斷掉網(wǎng)絡(luò)來隔離故障。

有一段時間，網(wǎng)絡(luò)中ARP病毒盛行。特別是在學(xué)校的機房中，在上一次課的時候會多次的被病毒侵?jǐn)_，只要一個網(wǎng)絡(luò)中的某一臺機器中了ARP病毒，那么整個校園網(wǎng)都無法上網(wǎng)。對于學(xué)校實驗室的機器可以安裝還原卡進行系統(tǒng)復(fù)原，并且在病毒出現(xiàn)的時候可以很準(zhǔn)確地對機房甚至某臺機器進行定位。但是對家屬院里的機器卻很難控制。首先無法在時間的準(zhǔn)確把握，家屬院中的機器首先沒有一個上網(wǎng)的固定時間，有可能在上班時間，也有可能在半夜，所以你不可能去跟蹤誰家的機器中毒了。其次很難發(fā)現(xiàn)到底是誰家的機器中毒了，并且即便是好不容易定位到某一戶中，你也很難去把這個病毒給清除。

3、使用虛擬網(wǎng)絡(luò)來解決面臨的問題

為了解決這個問題，我想到了虛擬網(wǎng)技術(shù)。我們單位使用的是銳捷產(chǎn)品，核心交換機是銳捷RG-S3760-24，二層交換機使用的是銳捷RGS2328G。我在三層交換機上進行了如下的配置：

RG-S3760(CONFIG)# VLAN 10

RG-S3760(CONFIG-VLAN)# NAME BANGONG

RG-S3760(CONFIG-VLAN)#EXIT

RG-S3760(CONFIG)# VLAN 20

RG-S3760(CONFIG-VLAN)# NAME SHIYAN

RG-S3760(CONFIG-VLAN)#EXIT

RG-S3760(CONFIG)# VLAN 30

RG-S3760(CONFIG-VLAN)# NAME JIASHU

RG-S3760(CONFIG-VLAN)# EXIT

RG-S3760(CONFIG)# INTERFACE RANGE FASTETHERNET 0/1-6

RG-S3760(CONFIG)# SWITCHPORT MODE ACCESS

RG-S3760(CONFIG)# SWITCHPORT ACCESS VLAN 10

以此類推將交換機的端口分別的分配給三個不同的子網(wǎng)。

這樣我們就在三層交換機上為辦公室、實驗樓和家屬院分別建立了BANGONG、 SHIYAN和JIASHU三個虛擬網(wǎng)，并且將三層交換機的1-6端口分給了BANGONG虛擬網(wǎng)，類似的將7-14端口分給SHIYAN虛擬網(wǎng)，將15-21端口分給JIASHU虛擬網(wǎng)。同時在二層交換機上也做上類似的虛擬網(wǎng)設(shè)置。從辦公室、實驗樓和家屬院的網(wǎng)線都按照要求接入自己的虛擬網(wǎng)絡(luò)。這樣就把我們學(xué)校的網(wǎng)絡(luò)分成了三個虛擬網(wǎng)。三個虛擬網(wǎng)絡(luò)相對獨立，在功能上都很完備，在信息的傳輸都比較安全。每個子網(wǎng)都只能在自己的網(wǎng)絡(luò)內(nèi)傳輸數(shù)據(jù)，有效的隔離了廣播信息和病毒的泛濫。

4、使用虛擬網(wǎng)絡(luò)管理的后果

使用虛擬網(wǎng)絡(luò)極大的方便了管理。 劃分的三個虛擬網(wǎng)有效的分離了各個局域網(wǎng)之間的廣播風(fēng)暴，特別在我們學(xué)校的家屬院中再出現(xiàn)的ARP病毒將會被限制在家屬院子網(wǎng)的范圍內(nèi)，對教學(xué)和辦公都不會產(chǎn)生影響。在學(xué)生機房里面出現(xiàn)的病毒事件也不會影響到老師的辦公室和家屬院的網(wǎng)絡(luò)使用。虛擬網(wǎng)的使用同時也提高了網(wǎng)絡(luò)資源的安全性，通過設(shè)置我設(shè)定家屬院的機器不能訪問學(xué)校的FTP和WWW服務(wù)器，這樣就保證了學(xué)校信息的安全性，而辦公子網(wǎng)和實驗室子網(wǎng)在訪問時卻不受任何的影響。這對于有效的利用網(wǎng)絡(luò)資源非常有利。

同時通過將校園網(wǎng)絡(luò)劃分為虛擬子網(wǎng)，可以強化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。數(shù)據(jù)廣播在網(wǎng)絡(luò)中起著非常重要的作用，隨著校園網(wǎng)內(nèi)的計算機數(shù)量的增加，VOD視頻點播在課堂教學(xué)上的大量應(yīng)用，廣播包的數(shù)量也會急劇增加，當(dāng)廣播包的數(shù)量占到總量的30%時，網(wǎng)絡(luò)的傳輸效率將會明顯下降。特別是當(dāng)某網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，會不停地向網(wǎng)絡(luò)發(fā)送廣播，從而導(dǎo)致網(wǎng)絡(luò)風(fēng)暴，使網(wǎng)絡(luò)通信陷于癱瘓。當(dāng)校園網(wǎng)絡(luò)內(nèi)計算機數(shù)超過200臺后，就需要采取措施將網(wǎng)絡(luò)分隔開來，將一個大的廣播域劃分成若干個小的廣播域。

我們學(xué)校的校園網(wǎng)具有用戶多、通信量大、通信種類多樣化的特點。在傳統(tǒng)結(jié)構(gòu)的校園網(wǎng)設(shè)計中由于學(xué)校內(nèi)部建筑較多，教學(xué)科研、行政管理、實驗室和家屬院的信息點相對分散，不利于校園內(nèi)部IP地址的分配。使用VLAN后就保證系統(tǒng)的安全性，同時也方便了網(wǎng)絡(luò)的管理和使用。

[1]謝希仁.計算機網(wǎng)絡(luò)(第二版)[M].北京:電子工業(yè)出版社,2001.

[2]陳應(yīng)明.計算機網(wǎng)絡(luò)與應(yīng)用[M].冶金工業(yè)出版社,2005.

[3]林全新,周圍.計算機網(wǎng)絡(luò)工程[M].人民郵電出版社,2003.

[4]雷震甲.網(wǎng)絡(luò)工程師教程[M].北京:清華大學(xué)出版社,2006.

[5]張恒杰,曹雋.計算機網(wǎng)絡(luò)工程[M].大連理工大學(xué)出版社,2006.