胡元闖 盧利莉 朱漢武

摘 要：本文基于Cisco Packet Tracer仿真模擬軟件，以賀州學(xué)院為例，主要采用分層網(wǎng)絡(luò)設(shè)計和VLAN技術(shù)相結(jié)合對校園網(wǎng)進(jìn)行設(shè)計，并在Cisco Packet Tracer上進(jìn)行模擬仿真驗證。主要實現(xiàn)的功能有：采用分層網(wǎng)絡(luò)設(shè)計的方法來設(shè)計校園網(wǎng)的拓?fù)浣Y(jié)構(gòu)，同時在相應(yīng)的層次進(jìn)行冗余設(shè)計對鏈路和設(shè)備進(jìn)行冗余；利用VLAN技術(shù)對校園網(wǎng)的廣播域進(jìn)行分割以防止廣播風(fēng)暴，采用三層交換技術(shù)實現(xiàn)VLAN間的通信。仿真測試結(jié)果表明，采用分層網(wǎng)絡(luò)設(shè)計和VLAN技術(shù)相結(jié)合的方法對校園網(wǎng)進(jìn)行設(shè)計，可以實現(xiàn)網(wǎng)絡(luò)的冗余設(shè)計和網(wǎng)絡(luò)廣播域的分割，能滿足校園網(wǎng)高性能、高可靠、高安全的需求。

關(guān)鍵詞：校園網(wǎng)；虛擬局域網(wǎng)（VLAN）；分層網(wǎng)絡(luò)；安全性

傳統(tǒng)的共享式網(wǎng)絡(luò)被交換式網(wǎng)絡(luò)取代后，網(wǎng)絡(luò)性能得到了很大提高，但是隨著網(wǎng)絡(luò)的規(guī)模不斷擴(kuò)大和交換機(jī)的大量應(yīng)用，也導(dǎo)致了新的難題出現(xiàn)。因為交換機(jī)不能隔離廣播域，且它對廣播幀的處理方式是泛洪即交換機(jī)接收到廣播幀時，會將該廣播幀轉(zhuǎn)發(fā)到除了接收端口之外的所有端口。所以隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和交換機(jī)的廣泛使用將會導(dǎo)致廣播域的范圍不斷增大，廣播幀的數(shù)量不斷增加，帶寬被大量的占據(jù)，延時增長，嚴(yán)重時會造成全網(wǎng)堵塞甚至網(wǎng)絡(luò)停運癱瘓，這種情況被人們稱為廣播風(fēng)暴[1]。要解決廣播風(fēng)暴帶來的問題就必須想辦法隔離廣播域。

VALN技術(shù)[2]是一種允許一組有共同需求但物理位置不同的網(wǎng)絡(luò)用戶共享一個獨立的廣播域的技術(shù)。VLAN技術(shù)可以根據(jù)網(wǎng)絡(luò)用戶的位置、功能、職能或者網(wǎng)絡(luò)用戶所使用的應(yīng)用程序或協(xié)議將其劃分到不同的VLAN中，同一VLAN中的網(wǎng)絡(luò)用戶通過VLAN協(xié)議可以直接進(jìn)行通信，不同VLAN的網(wǎng)絡(luò)用戶則需要經(jīng)通過路由器或者第三層交換機(jī)進(jìn)行通信。使用VLAN技術(shù)主要有以下優(yōu)點[3]：1、安全：含有敏感數(shù)據(jù)或者信息需要保密的用戶組可以和網(wǎng)絡(luò)的其他部分隔離開，從而降低泄露重要信息的風(fēng)險；2、降低成本：成本昂貴的網(wǎng)絡(luò)更新或者升級需求減少，原有的上行鏈路和帶寬的利用率增加，因此可節(jié)約網(wǎng)絡(luò)建設(shè)所需的投資成本；3、提高網(wǎng)絡(luò)性能：將第二層平面網(wǎng)絡(luò)分割成多個廣播域來減少網(wǎng)絡(luò)上多余的流量，有利于網(wǎng)絡(luò)性能的提高；4、廣播風(fēng)暴的防范：將整個網(wǎng)絡(luò)劃分為多個VALN可以減少參與廣播風(fēng)暴的設(shè)備數(shù)量，而局域網(wǎng)（LAN）分段能有效防止廣播風(fēng)暴殃及整個網(wǎng)絡(luò)；5、簡化網(wǎng)絡(luò)管理和維護(hù)：由于將有相同需求的網(wǎng)絡(luò)用戶劃分到同一個VLAN中，所以當(dāng)管理員要給某一個VALN添加一臺新的交換機(jī)時，之前給該VLAN配置的所有規(guī)程和策略基本上都可以應(yīng)用在新交換機(jī)指定了該VLAN的端口上。另外，還可以根據(jù)VLAN實現(xiàn)的功能，給其設(shè)定一個適當(dāng)?shù)拿Q，讓管理員一看便知該VLAN實現(xiàn)的功能。

一、VLAN技術(shù)原理

（一）VLAN的劃分方法。VLAN的劃分方法有：1、基于端口劃分的VLAN：是指將交換機(jī)的端口劃分到不同的VLAN，它的實現(xiàn)建立在物理層；2、基于MAC地址劃分的VLAN：是指根據(jù)每個接入網(wǎng)絡(luò)的主機(jī)的MAC地址進(jìn)行劃分的，它的實現(xiàn)建立在數(shù)據(jù)鏈路層；3、基于協(xié)議劃分的VLAN：是指根據(jù)每個主機(jī)的網(wǎng)絡(luò)層地址或協(xié)議類型進(jìn)行劃分的，它的實現(xiàn)建立在第三層；4、基于IP組播劃分的VLAN：是指一個組播組就是一個VLAN，它的實現(xiàn)建立在第三層[4]。

（二）VLAN的實現(xiàn)原理。為實現(xiàn)VLAN在局域網(wǎng)中的應(yīng)用，就必須使用VLAN中繼，VLAN中繼的作用是指定VLAN內(nèi)網(wǎng)絡(luò)的不同部分之間傳送流量，簡單的說，就是在單個鏈路上負(fù)責(zé)多個VLAN流量的傳輸。而且VLAN中繼不屬于具體某個VLAN，而是作為VLAN在交換機(jī)上的管道 它存在讓VLAN的應(yīng)用擴(kuò)展到整個網(wǎng)絡(luò)上。

VLAN中繼是在普通以太網(wǎng)幀中用801.2Q對幀頭進(jìn)行封裝，以指出被封裝的幀屬于哪個VLAN。

封裝后的VLAN幀格式如圖1所示。

（三）VLAN的標(biāo)簽交換。由于VLAN重新劃分了物理局域網(wǎng)成員的邏輯連接關(guān)系，所以，原本處于同一個IP子網(wǎng)或者連接在同一個交換機(jī)的主機(jī)間的通信受到了限制。VLAN成員之間的尋址方式不再簡單地按照橋接方式的MAC地址或是路由方式的IP地址進(jìn)行。VLAN幀在網(wǎng)絡(luò)互連設(shè)備中的轉(zhuǎn)發(fā)是根據(jù)VLAN標(biāo)簽中的尋址結(jié)構(gòu)VID進(jìn)行，這就是VLAN標(biāo)簽交換的含義。

VLAN標(biāo)簽交換包含以下三個方面的基本工作：1、網(wǎng)絡(luò)互聯(lián)設(shè)備要給物理局域網(wǎng)普通幀貼上VLAN標(biāo)簽。該VLAN標(biāo)簽由IEEE 802.1Q標(biāo)準(zhǔn)規(guī)定；2、網(wǎng)絡(luò)互連設(shè)備要建立好VID與端口間的關(guān)聯(lián)。VID與端口間的關(guān)聯(lián)由GARP（組地址解析協(xié)議）或者VRMP（VLAN成員關(guān)系解析協(xié)議） 協(xié)議實現(xiàn)；3、網(wǎng)絡(luò)互連設(shè)備根據(jù)VID與端口間的關(guān)聯(lián)，把攜帶某個VID的VLAN幀 從與該VID關(guān)聯(lián)的端口轉(zhuǎn)發(fā)出去。

圖2所示的是目的主機(jī)與源主機(jī)在同一交換機(jī)上時VLAN標(biāo)簽的交換過程，即當(dāng)數(shù)據(jù)到達(dá)進(jìn)入端口時，根據(jù)進(jìn)入端口的入口規(guī)則決定是否接收此數(shù)據(jù)；如果接收，則再根據(jù)出口規(guī)則決定是否應(yīng)該轉(zhuǎn)發(fā)此數(shù)據(jù)。如果決定轉(zhuǎn)發(fā)，就查閱VMIB信息來把數(shù)據(jù)轉(zhuǎn)發(fā)到目的VLAN相對應(yīng)的端口。在其他情況下，則把數(shù)據(jù)丟棄。

二、校園網(wǎng)中的VLAN設(shè)計

（一）校園網(wǎng)中VLAN的設(shè)計原則

校園網(wǎng)是一個較大的局域網(wǎng)，而校園網(wǎng)中的各職能部門和實體（如用于教學(xué)的樓宇、宿舍）需要建立二級局域網(wǎng)。對多個二級局域網(wǎng)互連時，出于對實體和各職能部門的安全、管理和整體網(wǎng)絡(luò)性能的考慮，需要對各二級局域網(wǎng)進(jìn)行即獨立又統(tǒng)一的管理，那么就需要用到VLAN技術(shù)，所以VLAN技術(shù)非常適合應(yīng)用在校園網(wǎng)的建設(shè)中。

（二）校園網(wǎng)中VLAN的IP規(guī)劃

結(jié)合賀州學(xué)院的實際情況，根據(jù)學(xué)校中的各職能部門和不同實體實現(xiàn)的功能將整個校園網(wǎng)劃分為多干個VLAN，每個VLAN都有屬于自己的VID和VLAN名稱，每個VLAN都有自己的對應(yīng)的IP地址范圍、子網(wǎng)掩碼和網(wǎng)管地址。且每個VLAN的前10個IP地址保留下來供路由器接口、服務(wù)器、本地打印機(jī)、交換機(jī)管理和默認(rèn)網(wǎng)關(guān)使用除服務(wù)器所在的VLAN的IP地址是管理員手動配置外，其他VLAN中主機(jī)的IP地址都是通過DHCP（動態(tài)主機(jī)配置協(xié)議）來獲取。

根據(jù)賀州學(xué)院當(dāng)前各部門的情況，劃分的vlan涉及36個部門，網(wǎng)絡(luò)地址采用172.16的私有地址，采用變長子網(wǎng)掩碼，掩碼從22位到30位不等，各個vlang根據(jù)實際需要劃分。并配置好相應(yīng)網(wǎng)關(guān)。

（三）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計

賀州學(xué)院采用的是分層網(wǎng)絡(luò)設(shè)計即核心層、匯聚層、接入層，核心層到匯聚層是第一個星型，匯聚層到接入層是第二個星型，因此校園網(wǎng)的拓?fù)浣Y(jié)構(gòu)為樹形結(jié)構(gòu)。如下圖3所示是根據(jù)賀州學(xué)院的地理分布所設(shè)計的拓?fù)浣Y(jié)構(gòu)，核心層交換設(shè)備樹形結(jié)構(gòu)的第一層，匯聚層交換設(shè)備為樹形結(jié)構(gòu)的第二層，接入層交換設(shè)備則是樹形結(jié)構(gòu)的第三層。

三、網(wǎng)絡(luò)配置與測試

（一）網(wǎng)絡(luò)設(shè)備配置

在進(jìn)行交換機(jī)和路由器的配置后，對服務(wù)器進(jìn)行配置，過程如下：

1、DNS服務(wù)器配置如圖4所示。

2、對WEB服務(wù)器、FTP服務(wù)器及Email服務(wù)器進(jìn)行配置。

（二）網(wǎng)絡(luò)測試

1、網(wǎng)絡(luò)測試的目的和原則

網(wǎng)絡(luò)測試指的是在基礎(chǔ)設(shè)施部署完成后，根據(jù)設(shè)計方案對網(wǎng)絡(luò)設(shè)備進(jìn)行配置，配置完成后對網(wǎng)絡(luò)的功能和性能進(jìn)行測試的過程。本文使用Cisc Packet Tracer仿真模擬軟件進(jìn)行模擬仿真測試，以檢驗所建設(shè)的校園網(wǎng)是否滿足用戶需求和技術(shù)目標(biāo)，以及時發(fā)現(xiàn)問題，排除隱患，保證網(wǎng)絡(luò)的正常運行。

2、網(wǎng)絡(luò)測試的內(nèi)容

網(wǎng)絡(luò)測試的主要內(nèi)容包括：

（1）自動獲取IP測試：除個別VLAN手動設(shè)置外，其他VLAN中的主機(jī)自動獲取IP；

（2）連通性測試：利用ping對同一VLAN內(nèi)的主機(jī)進(jìn)行連通性測試；對不同VLAN內(nèi)的主機(jī)的連通性進(jìn)行測試；對安全有特殊要求的主機(jī)進(jìn)行連通性測試（財務(wù)部所在VLAN的主機(jī)不允許其他VLAN的主機(jī)進(jìn)行訪問）；

（3）訪問服務(wù)器測試：各VLAN內(nèi)的主機(jī)對服務(wù)器的訪問測試，但個別有特殊要求的VLAN不能訪問某些服務(wù)器。

3、網(wǎng)絡(luò)測試工具

（1）查看網(wǎng)絡(luò)接口的工具ipconfig；

（2）測試網(wǎng)絡(luò)連通狀態(tài)工具ping；

（3）用戶訪問FTP服務(wù)器工具ftp。

4、網(wǎng)絡(luò)測試過程

（1）圖5顯示為教學(xué)樓主機(jī)PC1或設(shè)備自動從內(nèi)部DHCP服務(wù)器獲取IP相關(guān)信息。

（2）測試教學(xué)樓主機(jī)教PC1對教學(xué)樓主機(jī)教PC2進(jìn)行ping測試ping成功；圖10顯示為教學(xué)樓主機(jī)PC1對藝術(shù)樓主機(jī)PC3進(jìn)行ping測試ping成功；圖11顯示為教學(xué)樓主機(jī)PC1對財務(wù)部主機(jī)進(jìn)行ping測試ping失敗。

（3）測試教學(xué)樓PC1能夠通過DNS服務(wù)器解析域名之后正常訪問內(nèi)部WEB服務(wù)器；教PC1直接在瀏覽器打上WEB服務(wù)器地址后能夠正常訪問WEB頁面。

（4）測試FTP服務(wù)器、Email服務(wù)器可以正常訪問。

四、結(jié)論

本文以賀州學(xué)院校園網(wǎng)建設(shè)為背景，采用分層網(wǎng)絡(luò)和VLAN相結(jié)合的方法對校園網(wǎng)進(jìn)行設(shè)計，使用Cisco Packet Tracer仿真模擬器對賀州學(xué)院校園網(wǎng)進(jìn)行仿真模擬，最終實現(xiàn)以下主要功能：

1、VLAN的劃分：根據(jù)職能部門的功能對校園網(wǎng)進(jìn)行了VLAN的劃分，不僅突破了地理位置的局限，還實現(xiàn)了廣播域的切割，防止廣播風(fēng)暴的產(chǎn)生。

2、VLAN的通信：同一VLAN內(nèi)的主機(jī)通過第二層交換實現(xiàn)通信，不同VLAN內(nèi)的主機(jī)通過第三層路由功能實現(xiàn)通信。

3、VLAN的管理：通過VTP對VLAN進(jìn)行管理，同一VTP域內(nèi)的交換機(jī)，通過服務(wù)器模式的交換機(jī)對域進(jìn)行管理和配置，客戶端的交換機(jī)只能更新VTP配置，而透明模式的交換機(jī)只管理本地VLAN的配置且不與VTP網(wǎng)絡(luò)共享。實現(xiàn)整個網(wǎng)絡(luò)的VLAN配置保持一致。

4、PVST+防止二層環(huán)路：網(wǎng)絡(luò)要實現(xiàn)二層冗余，就要使用相應(yīng)的辦法避免二層環(huán)路的產(chǎn)生。PVST+利用每個VLAN運行一個STP實例，來選擇性的阻塞流量，實現(xiàn)二層環(huán)路的避免和負(fù)載均衡。

通過測試驗證，結(jié)果表明，以賀州學(xué)院為研究背景所設(shè)計的校園網(wǎng)基本能夠滿足用戶是需求。

參考文獻(xiàn)：

[1]沈海娟.路由與交換[M].浙江：浙江大學(xué)出版社，2012.1：38

[2]喬輝，劉曉輝，張新明.網(wǎng)絡(luò)硬件搭建與配置實踐（第三版）[M].北京：電子工業(yè)出版社，2012.5：135.

[3]韓茂玲.VLAN技術(shù)及其在校園網(wǎng)中的應(yīng)用研究[D].中國知網(wǎng)，2007.11：33

[4]李永忠.計算機(jī)網(wǎng)絡(luò)測試與維護(hù)[M].西安：西安電子科技大學(xué)出版社，2011.9：150-153.

基金項目：2014年國家級大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計劃項目“VLAN技術(shù)在高校校園網(wǎng)中的應(yīng)用研究”，項目編號：（201411838005）；賀州學(xué)院2014年度大學(xué)生科研項目“高校機(jī)房網(wǎng)絡(luò)安全性研究”，項目編號：（2014DXSZK10）。