羅和華

摘要：隨著校園局域網(wǎng)規(guī)模的擴大，大量的廣播信息的出現(xiàn)導(dǎo)致網(wǎng)絡(luò)傳輸效率低下，為了解決這個問題，產(chǎn)生了虛擬局域網(wǎng)技術(shù)（VLAN）。通過Vlan技術(shù)我們把校園網(wǎng)從邏輯上劃分為多個子網(wǎng)，每個Vlan對應(yīng)一個廣播域，處于不同Vlan 上的主機不能通信，從而避免了校園網(wǎng)廣播風(fēng)暴的出現(xiàn)，Vlan之間通信傳統(tǒng)上依賴路由器進行，而路由器路由速度較慢、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題，由此產(chǎn)生了三層交換技術(shù)。該篇論文立足于具體應(yīng)用提出了基于虛擬局域網(wǎng)技術(shù)和三層交換技術(shù)來構(gòu)建一個合理安全的校園園區(qū)網(wǎng)的實現(xiàn)方案。

關(guān)鍵詞：虛擬局域網(wǎng)；VLAN；TRUNK；路由；三層交換機

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2015）03-0038-05

Based on the Layer 3 Exchange Technology and VLAN Technology Set Up Campus Network

LUO He-hua

（Guangzhou Senior Technical School， Guangzhou 510540， China）

Abstract： With the expansion scale of the campus Local Area Network ， a large number of broadcast information leading to lower network transmission efficiency， to solve this problem， resulting in a virtual LAN technology （VLAN）. Through technology of VLAN， we divided the campus network into many subnet mask logically， each Vlan corresponding to Broadcast domain， the host computer can not communicate with others which in different Vlan， thereby can avoid the appear of broadcast storm in campus network， the communication between VLAN traditionally depends on router， because of slower and complicated of routing， leading to bottlenecks problem of network. Therefore， resulting to The Layer 3 exchange technology. This paper based on specific application propose a implement plan for virtual local area network technology and The Layer 3 exchange technology to make a reasonable and safety campus network.

Key words： virtual local area network； VLAN； TRUNK； ROUTER； three layer switches

當(dāng)今校園網(wǎng)（Campus Network）主要是由以太網(wǎng)組成。由于使用載波偵聽多路訪問/沖突檢測（CSMA/CD）機制，故當(dāng)網(wǎng)絡(luò)上的主機不斷增加時，主機間通訊故障的連鎖影響、網(wǎng)絡(luò)沖突嚴(yán)重、網(wǎng)絡(luò)利用率大為降低、安全性能無法保證，更有甚者，當(dāng)廣播報文較多的情況下，廣播風(fēng)暴會造成網(wǎng)絡(luò)崩潰。為了解決以太網(wǎng)存在的廣播問題和網(wǎng)絡(luò)安全的許多問題，我們目前常采用的組網(wǎng)技術(shù)是將園區(qū)網(wǎng)按照邏輯功能進一步劃分為多個虛擬局域網(wǎng)（VirtualLocal Area Network，VLAN），這就是虛擬局域網(wǎng)技術(shù)。

1 虛擬局域網(wǎng)（VLAN）概念

VLAN（Virtual Local Area Network，即虛擬局域網(wǎng)）是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興技術(shù)。VLAN允許處于不同地理位置的網(wǎng)絡(luò)用戶加入一個邏輯子網(wǎng)中，共享一個廣播域。

2 VLAN的劃分方法及標(biāo)準(zhǔn)

VLAN在交換機上的實現(xiàn)方法，大致可分成以下幾類：

1）基于端口劃分。這種方法是根據(jù)以太網(wǎng)交換機的交換端口來劃分的，它是將VLAN交換機上的物理端口和VLAN交換機內(nèi)部的PVC端口分成若干個組，每個組構(gòu)成一個虛擬網(wǎng)。這是一個最常應(yīng)用的方法，也是最有效的方法。

2）基于MAC地址劃分。這種方法是根據(jù)每個主機的MAC地址來劃分，即對每個MAC地址的主機都配置其屬于哪個組，實現(xiàn)的機制就是每一塊網(wǎng)卡都對應(yīng)唯一的MAC地址，VLAN交換機跟蹤VLAN的MAC地址。這種方法適應(yīng)于小型局域網(wǎng)。

3）按網(wǎng)絡(luò)協(xié)議劃分。VLAN按網(wǎng)絡(luò)層協(xié)議來劃分，可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)。這種方法用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動，但其VLAN成員身份仍然保留不變；不足之處按協(xié)義劃分的vlan可使廣播域跨越多個VLAN交換機，容易產(chǎn)生大量的廣播包，使VLAN交換機的效率降低。

3 三層交換機產(chǎn)生的原因

不同VLAN間的通信都要經(jīng)過路由器來完成轉(zhuǎn)發(fā)，隨著網(wǎng)間互訪的不斷增加。單純使用路由器來實現(xiàn)網(wǎng)間訪問，不但由于端口數(shù)量有限，而且路由速度較慢，從而限制了網(wǎng)絡(luò)的規(guī)模和訪問速度?；谶@種情況三層交換機便應(yīng)運而生，三層交換機是為IP設(shè)計的，接口類型簡單，擁有很強二層包處理能力，非常適用于大型局域網(wǎng)內(nèi)的數(shù)據(jù)路由與交換，它既可以工作在協(xié)議第三層替代或部分完成傳統(tǒng)路由器的功能，同時又具有幾乎第二層交換的速度，且價格相對便宜些。筆者認(rèn)為三層交換機是連接子網(wǎng)的最理想設(shè)備。

以上是建設(shè)虛擬網(wǎng)絡(luò)的理論依據(jù)，但要應(yīng)用到具體網(wǎng)絡(luò)中還需要使用很多其它相關(guān)知識。下面來介紹綜合運用VLAN、三層交換技術(shù)、ACL等技術(shù)來建立一個便于管理、安全、可靠的學(xué)校園區(qū)網(wǎng)。

4 應(yīng)用實例

下面以中等規(guī)模校園網(wǎng)絡(luò)系統(tǒng)設(shè)計方案為例，具體介紹如何利用三層交換技術(shù)及VLAN技術(shù)組建校園網(wǎng)。

假設(shè)校園網(wǎng)約有計算機300多臺，我們假設(shè)這個校園分為教務(wù)處、多媒體室，電腦室、電子閱覽室、財務(wù)處、服務(wù)器區(qū)，其中服務(wù)器4臺，教務(wù)處有20臺計算機，多媒體室約100臺，電腦室共有計算機約100臺，電子閱覽室配有計算機100臺，財務(wù)處有20臺計算機。學(xué)校申請了一條百兆光纖接入互聯(lián)網(wǎng)，同時申請了3個C的IP地址：

其中一個IP地址：193.1.1.1被分配給了Internet接入路由器的串行接口；另外兩個IP地址：202.206.222.1—202.206.222.2用作NAT。

以下是300個節(jié)點的校園網(wǎng)vlan結(jié)構(gòu)圖：

圖1 300個節(jié)點的校園網(wǎng)vlan結(jié)構(gòu)圖

4.1 校園網(wǎng)設(shè)計總體方案

1）網(wǎng)絡(luò)設(shè)備連接

校園網(wǎng)由三層交換機、千兆交換機、二層交換機有機結(jié)合構(gòu)成，采用三級交換技術(shù)，主干網(wǎng)由一臺中心交換機（思科三層交換機3560G）和兩臺千兆交換機（思科2960）連接子網(wǎng)，子網(wǎng)使用二級交換機（思科2950）連接到工作站。

2）網(wǎng)絡(luò)硬件設(shè)備參考

網(wǎng)絡(luò)硬件設(shè)備參考如表1所示。

共劃分為6個VLAN：

①VLAN 10：劃分服務(wù)器區(qū) （WEB服務(wù)器、數(shù)據(jù)庫服務(wù)器、FTP服務(wù)器、DNS服務(wù)器）

②VLAN20：劃分給教務(wù)處，約20臺電腦，分配IP地址段：192.168.2.1-20；子網(wǎng)掩碼：255.255.255.0；網(wǎng)關(guān)：192.168.2.254；

③VLAN 30：劃分給電子閱覽室，約100臺，考慮以后擴充，分配IP地址段：192.168.3.1-150；子網(wǎng)掩碼：255.255.255.0；網(wǎng)關(guān)：192.168.3.254；

④VLAN 40：劃分給電腦室，約100臺電腦，分配IP地址段：192.168.4.1-100；子網(wǎng)掩碼：255.255.255.0；網(wǎng)關(guān)：192.168.4.254；指定3560光纖2端口。

⑤VLAN 50： 劃分給多媒體室，約100左右臺電腦，分配IP地址段：192.168.5.1-150；子網(wǎng)掩碼：255.255.255.0；網(wǎng)關(guān)：192.168.5.254；

⑥VLAN 60：劃分給財務(wù)處，約20臺電腦，分配的IP地址段：192.168.6.1-30；子網(wǎng)掩碼：255.255.255.0 網(wǎng)關(guān)：192.168.6.254.

各VLAN組對應(yīng)的網(wǎng)段如表2所示：

4）交換機命名

核心三層交換機命名為3SW，接入服務(wù)器區(qū)的交換機為SW1，接入網(wǎng)絡(luò)中心（多媒體室、電腦室、電子閱覽室）的交換機為SW2，財務(wù)處交換機為sw1，多媒體室交換機為sw2，電腦室交換機為sw3，電子閱覽室為sw4，教務(wù)處交換機為sw5.

4.2 交換機的配置

4.2.1 思科交換機配置界面

1）將PC計算機的串口通過標(biāo)準(zhǔn)的S232電纜和交換機的console端口連接。

2）運行超級終端程序，建立新連接（圖2）。

3）設(shè)置通訊參數(shù)：9600波特率、8位數(shù)據(jù)位、1位停止位、無校驗、無流控（圖3）。

圖2

圖3

4）進入交換機命令行提示符，系統(tǒng)默認(rèn)switch> ，這時可以對交換機進行配置了。

4.2.2 對核心交換機、千兆交換機、二層交換機進行配置工作

1）設(shè)置VTP Domain（核心、分支交換機都進行設(shè)置）

核心交換機（三層交換機）上：

Switch>enable //進入特權(quán)模式

Switch#configure terminal //進入配置模式

Switch（config）#service password-encryption //對密碼進行加密

Switch（config）#Hostname 3SW //對核心交換機進行命名

3SW（config）#enable password 123456 //設(shè)置enable password為123456

3SW（config）#enable secret 654321 //設(shè)置enable secret 為654321

3SW（config）#ip routing //啟用三層交換機上的路由模塊

3SW（config）#exit //退出

3SW#vlan database //進入Vlan的配置子模式

3SW（vlan）#vtp server //設(shè)置本交換機為Server模式

Device mode already VTP SERVER.

3SW（vlan）#vtp domain school （設(shè)置域名）

Changing VTP domain name from NULL to school

3SW（vlan）#vtp pruning //啟用修剪功能

接入服務(wù)器區(qū)的千兆交換機SW1的配置：

Switch>enable //進入特權(quán)模式

Switch#configure terminal //進入配置子模式

Enter configuration commands， one per line. End with CNTL/Z.

Switch（config）#service password-encryption //對密碼進行加密

Switch（config）#hostname SW //對千兆交換機進行命名

SW（config）#enable password 123456 //設(shè)置enable password為123456

SW（config）#enable secret 654321 //設(shè)置enable secret為123456

SW（config）#exit //退出

%SYS-5-CONFIG_I： Configured from console by console

SW#vlan database //進入vlan的配置子模式

SW（vlan）#vtp domain school //設(shè)置域名，必須和Server交換機的域名相同

Changing VTP domain name from NULL to school

SW（vlan）#vtp client //設(shè)置此交換機的模式為client

Setting device to VTP CLIENT mode.

以相同的方法配置sw1，sw2，sw3，sw4，sw5，SW2

……

2）對核心交換機、千兆交換機、二層交換機上配置中繼

核心交換機3SW上：

3SW（config）#interface gigabitEthernet 0/1 //進入0/1接口

3SW（config-if）#switchport trunk encapsulation dot1q //封裝中繼協(xié)議

3SW（config-if）#switchport mode trunk //配置trunk模式

3SW（config-if）#switchport trunk allowed vlan all //配置讓所有的vlan通過

3SW（config-if）#no shutdown //激活端口

以相同的方法進入0/2、0/3、0/4、0/5、0/6接口、封裝中繼協(xié)議、配置trunk模式、讓所有的vlan通過、激活端口。

……

其中0/3、0/4、0/5接口，要將其相對應(yīng)端口3、4、5放到以太網(wǎng)通道組1中，配置語句如下（在配置讓所有vlan通過和激活端口之間加入以下語句）：

3SW（config-if）#channel-group 1 mode on //把這個端口3、4、5放到以太網(wǎng)通道組1中

分支交換機上：

服務(wù)器區(qū)接入千兆交換機SW1：

SW1（config）#interface gigabitEthernet 1/1

SW1（config-if）#switchport mode trunk

SW1（config-if）#switchport trunk allowed vlan all

SW1（config-if）#no shutdown //激活端口

多媒體室、電腦室、電子閱覽室接入千兆交換機SW2：

SW2（config）#interface gigabitEthernet 1/1

SW2（config-if）#switchport mode trunk

SW2（config-if）#switchport trunk allowed vlan all

SW2（config-if）#channel-group 1 mode on //把千兆口1放入以太通道組1中

SW2（config-if）#no shutdown //激活端口

SW2（config）#interface gigabitEthernet 1/2

SW2（config-if）#switchport mode trunk

SW2（config-if）#switchport trunk allowed vlan all

SW2（config-if）#channel-group 1 mode on //把千兆口2放入以太通道組1中

SW2（config-if）#no shutdown //激活端口

教務(wù)處二層交換機：

sw5（config）#interface fastEthernet 0/1

sw5（config-if）#switchport mode trunk

sw5（config-if）#switchport trunk allowed vlan all

sw5（config-if）#no shutdown //激活端口

財務(wù)處、多媒體室、電腦室、電子閱覽室分支二層交換機配置方法如教務(wù)處。

……

3）創(chuàng)建VLAN：

在核心交換機上設(shè)置

3SW#vlan database //進入vlan配置模式

3SW（vlan）#vlan 10 name vlan10 //定義vlan并取名為vlan10

VLAN 10 added：

Name： vlan10

并以相同的方法創(chuàng)建vlan20、vlan30、vlan40、vlan50、vlan60

……

4）將分支交換機端口劃分至具體的vlan中：

服務(wù)器區(qū)接入交換機SW1：

SW1（config）#interface range FastEthernet 0/1 - 24 //選擇F0/1至F0/24口

SW1（config-if-range）#switchport mode access //配置F0/1至F0/24為訪問模式

SW1（config-if-range）#switchport access vlan 10 //將F0/1至F0/24劃分至vlan 10中

SW1（config-if-range）#no shutdown //激活端口

SW1（config）#interface gigabitEthernet 1/2 //選擇G1/2口

SW1（config-if）#switchport access vlan 10 //將G1/2劃分至vlan10中

SW1（config-if）#no shutdown

SW1（config-if）#end

%SYS-5-CONFIG_I： Configured from console by console

SW1#copy running-config startup-config //保存配置

多媒體室、電腦室、電子閱覽室接入千兆交換機SW2配置方法與服務(wù)器區(qū)接入交換機SW1相同。

……

5）核心交換機的其他配置：

3SW（config）#interface vlan 10

3SW（config-if）#ip address 192.168.1.254 255.255.255.0 //vlan 10接口

3SW（config-if）#no shutdown //激活端口

以相同的方法進入相應(yīng)的vlan20、vlan30、vlan40、vlan50、vlan60接口，激活相應(yīng)的端口。

3SW（config-if）#interface gigabitEthernet 0/1 //進入端口1配置模式

3SW（config-if）#spanning-tree vlan 10 port-priority 10 //將vlan10的端口權(quán)值設(shè)為10，則vlan10走核心交換機端口的g0/1通過

以相同的方法配置端口2、3、4、5，將vlan20、vlan30、vlan40、vlan50、vlan60走相應(yīng)核心交換機端口g0/2、g0/3、g0/4、g0/5、通過。

……

3SW（config）#interface vlan 60 //進入財務(wù)部vlan60的邏輯接口

3SW（config-if）#ip access-group 101 in //在入方向上使用擴展的訪問控制列表101

3SW（config-if）#access-list 101 deny ip any 192.168.2.0 0.0.0.255 //禁止教務(wù)處訪問規(guī)則加入訪問控制列表101

相同的方法禁止電子閱覽室、電腦室、多媒體室訪問規(guī)則加入訪問控制列表101

……

3SW（config-if）#access-list 101 permit ip any any //允許其他

3SW（config-if）#exit

3SW（config）#line con 0 //控制臺端口設(shè)置

3SW（config-line）#line vty 0 4 //telnet線路0-4

3SW（config-line）#password 12345678 //telnet密碼

3SW（config-line）#login

3SW（config-line）#end //返回全局模式

3SW#copy running-config startup-config //保存配置

6）連接互聯(lián)網(wǎng)路由：

i：在核心交換機上配置相關(guān)路由（rip協(xié)議）

3SW（config）#interface gigabitEthernet 0/24 //F0/24與路由器相連

3SW（config-if）#no switchport //把此端口設(shè)置成路由口

3SW（config-if）#exit

3SW（config）#interface gigabitEthernet 0/24 //F0/24與路由器相連

3SW（config-if）#ip address 192.168.100.1 255.255.255.0 //設(shè)端口IP

3SW（config-if）#no shutdown //激活端口

3SW（config-if）#exit

3SW（config）#router rip //啟用路由協(xié)議rip

3SW（config）#network 192.168.1.0 //與核心交換機直連的網(wǎng)段

類似方法192.168.2.0/3.0/4.0/5.0/6.0

……

3SW（config）#ip route 0.0.0.0 0.0.0.0 192.168.100.2 //缺省路由，所有在路由表中無法匹配的數(shù)據(jù)包，都發(fā)向下一跳地址為192.168.100.2 這個路由器

3SW（config）#exit

3SW#copy running-config startup-config //保存配置

ii.設(shè)置路由器至核心交換機的回程路由

Router>enable //進入特權(quán)模式

Router#configure terminal //進入全局配置模式

Enter configuration commands， one per line. End with CNTL/Z.

Router（config）#interface fa 0/0 //進入F0/0端口

Router（config-if）#ip address 192.168.100.2 255.255.255.0 //設(shè)置路由器內(nèi)網(wǎng)IP

Router（config-if）#no shutdown //激活端口

Router（config-if）#exit //返回配置模式

Router（config）#ip route 192.168.1.0 255.255.255.0 192.168.100.1 //內(nèi)網(wǎng)的路由

相同的方法配置192.168.2.0/3.0/4.0/5.0/6.0

……

Router（config）#exit

Router#copy running-config startup-config //保存配置

7）配置各計算機：

在各接入vlan的計算機上設(shè)置與所屬vlan的同一網(wǎng)段的IP地址，并把默認(rèn)網(wǎng)關(guān)設(shè)置為該vlan的接口IP地址。通過這樣設(shè)置所有的vlan也都可以互訪，但設(shè)置了訪問控制的財務(wù)處與教務(wù)處、多媒體室、電腦室、電子閱覽室是不可以互訪的。

8）服務(wù)器區(qū)：

服務(wù)器區(qū)主要用來對校園網(wǎng)的接入用戶提供各種服務(wù)。在校園網(wǎng)絡(luò)設(shè)計中，我們將所有的服務(wù)器被集中到VLAN 10 構(gòu)成服務(wù)器群并通過分別千兆交換機的端口fastethernet 1～24 接入校園網(wǎng)。

常見的校園網(wǎng)服務(wù)（服務(wù)器）包括：WEB 服務(wù)器：提供www學(xué)校網(wǎng)站服務(wù)；DNS服務(wù)器：提供域名解析服務(wù)；FTP文件服務(wù)器：提供教學(xué)資源、共享服務(wù)；數(shù)據(jù)庫服務(wù)器：提供各種數(shù)據(jù)庫服務(wù)。

對于各種服務(wù)器的安裝、配置步驟以及運行維護方法，請有興趣的可以參看有關(guān)參考書進行配置。

5 總結(jié)

在校園網(wǎng)的建設(shè)中，我們應(yīng)該依據(jù)實際情況對VLAN進行劃分，例如對于移動用戶，我們可采用基于用戶來劃分VLAN，注意當(dāng)交換機之間有冗余連接時，我們應(yīng)該在交換機上配置生成樹STP協(xié)議來避免網(wǎng)絡(luò)環(huán)路，同時注意交換機哪些端口應(yīng)該配置為Trunk模式/access模式，哪些端口要端口聚合，哪些網(wǎng)絡(luò)要配置訪問控制規(guī)則（ACL）等，在這個過程中我們還要考慮設(shè)備的性能、網(wǎng)絡(luò)的用途、網(wǎng)絡(luò)的規(guī)模、網(wǎng)絡(luò)安全、管理等因素以及形成一套合理的、安全、可靠的校園網(wǎng)方案。有條件的學(xué)校，可以考慮主干網(wǎng)采用雙星結(jié)構(gòu)，同時采用最新的鏈路聚合技術(shù)，這樣可以大大提高校園網(wǎng)的整體性能以及穩(wěn)定性。充分體現(xiàn)現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征：高速、安全、便于管理和可擴充性。

參考文獻：

[1] 林維忠-虛擬局域網(wǎng)（VLAN）技術(shù)[J].西部廣播電視，2003（4）.

[2] 柴爭義.VLAN技術(shù)及其在校園網(wǎng)中的應(yīng)用[J].鄭州工業(yè)高等?？茖W(xué)校學(xué)報，2003（6）.

[3] 張文虹.VLAN問路由的配置實現(xiàn)[J].中國金融電腦，2003（5）.

[4] 田均.企業(yè)網(wǎng)絡(luò)中VLAN設(shè)計與管理[J].電腦與電信，2004（6）.

[5] VitoAmato.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程（下冊）[M].北京：人民郵電出版社，2000.