-.z摘要：虛擬局域網(wǎng)VLAN(VirtualLocalAreaNetwork)技術的應用使學校的網(wǎng)絡構(gòu)造可以靈活變化，為學校各信息點的職能調(diào)整與擴展提供了極大的方便；同時，使用VLAN能控制校園網(wǎng)播送風暴，防止IP地址盜用，提高校園網(wǎng)平安性能，幫助學校實現(xiàn)無線漫游功能；VLAN技術是目前實現(xiàn)城域網(wǎng)中各學?；ヂ?lián)共享的最經(jīng)濟、最簡單的方案。關鍵字：VLAN技術交換機配置虛擬局域網(wǎng)“校校通工程〞與數(shù)字化校園的浪潮使中小學校園網(wǎng)規(guī)模與需求不斷擴大，從小規(guī)模的機房開展到千兆主干的大中型網(wǎng)絡，應用日益廣泛，管理難度也日益加大，傳統(tǒng)的基于共享媒體的局域網(wǎng)固有的弱點日趨明顯。虛擬局域網(wǎng)VLAN(VirtualLocalAreaNetwork)作為新一代網(wǎng)絡技術，可以限制播送*圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡，使學校內(nèi)地理位置復雜的計算機設備的互聯(lián)和管理不再受地理環(huán)境和位置的制約，使學校的網(wǎng)絡構(gòu)造能靈活變化。VLAN技術為解決目前中小學校園網(wǎng)中平安性、可擴展性、可升級性、校園漫游、互聯(lián)互通以及管理不便等問題提供了良好的手段。一、實現(xiàn)VLAN的方法VLAN是為解決目前流行的以太網(wǎng)的播送問題和平安問題而提出的一種協(xié)議，它在以太網(wǎng)幀的根底上增加VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網(wǎng)。VLAN技術允許網(wǎng)絡管理者將一個物理的LAN邏輯地劃分成不同的播送域〔虛擬LAN，即VLAN〕，每一個VLAN都包含一組有著一樣需求的計算機工作站，與物理上形成的LAN有著一樣的屬性。但由于它是邏輯的而不是物理的劃分，所以同一個VLAN內(nèi)的各個工作站無需被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網(wǎng)段，一個VLAN內(nèi)部的播送和單播流量都不會轉(zhuǎn)發(fā)到其它VLAN中，從而有助于控制流量、減少設備投資、簡化網(wǎng)絡管理、提高網(wǎng)絡的平安性。在交換機上實現(xiàn)VLAN的方法，大致有四種：1．基于交換機端口劃分VLAN根據(jù)端口劃分VLAN是目前最簡單、最有效、最廣泛的方法，只要網(wǎng)絡管理員針對網(wǎng)絡設備的交換端口進展重新分配，組合在不同的邏輯網(wǎng)絡段中即可，而不用考慮端口所連接的設備是什么。比方QuidwayS3526的1-4端口為VLAN10，5-17為VLAN20，18-24為VLAN30。當然，這些屬于同一VLAN的端口可以不連續(xù)，如何配置，由管理員決定，如果有多個交換機，可以指定交換機1的1-6端口和交換機2的1-4端口為同一VLAN，即同一VLAN可以跨越數(shù)個以太網(wǎng)交換機，IEEE802.1Q規(guī)定了依據(jù)以太網(wǎng)交換機的端口來劃分VLAN的國際標準。這種方法大大減輕了用戶在VLAN的具體使用和維護中的工作量。目前的VLAN網(wǎng)絡大局部都采用基于端口劃分的方式。2．基于MAC地址劃分VLAN這種劃分VLAN的方法是根據(jù)每個主機的MAC地址來劃分的，即對每個MAC地址的主機都配置它屬于哪個組。這種劃分VLAN方法的最大優(yōu)點就是當用戶物理位置移動時，即從一個交換機換到其它的交換機時，VLAN不用重新配置；缺點是初始化時，所有的用戶都必須進展配置，如果有幾百個甚至上千個用戶的話，配置非常麻煩，而且這種劃分的方法也導致了交換機執(zhí)行效率的降低，因為無法限制播送包，如果網(wǎng)卡更換還要重新配置。3．基于網(wǎng)絡層劃分VLAN這種劃分VLAN的方法是根據(jù)每個主機的網(wǎng)絡層地址或協(xié)議類型(如果支持多協(xié)議)劃分的。這種方法的優(yōu)點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡管理者來說很重要，而且這種方法不需要附加幀標簽來識別VLAN，這樣可以減少網(wǎng)絡的通信量；這種方法的缺點是效率低，一般的交換機芯片都可以自動檢查網(wǎng)絡上數(shù)據(jù)包的以太網(wǎng)幀頭，但要讓芯片能檢查IP幀頭，需要更高的技術，同時也更費時。4．根據(jù)IP組播劃分VLANIP組播實際上也是一種VLAN的定義，即認為一個組播組就是一個VLAN，這種劃分的方法將VLAN擴大到了廣域網(wǎng)，因此這種方法具有更大的靈活性，而且也很容易通過路由器進展擴展。這種方法不適合局域網(wǎng)，主要是效率不高。二、VLAN技術應用于中小學校園網(wǎng)的五大優(yōu)勢校園網(wǎng)正在向高速、寬帶、無線漫游以及校際互聯(lián)共享方向開展，學校辦公自動化、教務管理系統(tǒng)化、基于網(wǎng)絡的教學與科研、校園數(shù)字圖書館、圖書情報資料在線檢索、視頻點播等多媒體通信應用都對網(wǎng)絡的帶寬、傳輸效率、網(wǎng)絡管理提出了更高的要求?；赩LAN的校園網(wǎng)與普通校園網(wǎng)相比具有五大優(yōu)勢：1．VLAN與隧道技術是目前最經(jīng)濟的實現(xiàn)城域網(wǎng)中各學校網(wǎng)絡互聯(lián)共享的方案目前“校校通工程〞的第二步工作：城市內(nèi)各中小學校園網(wǎng)互聯(lián)互通，以實現(xiàn)在城域網(wǎng)內(nèi)的資源共享，并且各學校有Internet出口或統(tǒng)一教育局信息中心出口。這種互聯(lián)方案要求教育局組建的城域網(wǎng)會聚機房網(wǎng)絡設備支持VLAN與隧道技術，這種技術是將接入一個城域網(wǎng)會聚機房的所有學校接入端口劃分在一個VLAN內(nèi)，每一個VLAN的上連接口為隧道接口，隧道建立在每一個城域網(wǎng)會聚機房與教育局信息中心之間。通過VLAN與隧道技術實現(xiàn)的城域網(wǎng)中，在同一個VLAN內(nèi)的學校用戶通過本地網(wǎng)絡設備直接進展交換，一個VLAN用戶如果需要另一個VLAN中的資源或用戶，必須通過一個上連隧道接口跨越進入教育局信息中心，經(jīng)過路由交換進入另一個VLAN。這樣不用新增設備投資，又可以節(jié)省城域主干光纖資源，資費廉價，能滿足學校各項要求，是目前最節(jié)省投資又最簡單方便的互聯(lián)互通方案，很適合我國各城市當前的“校校通〞方案。2．VLAN技術幫助中小學校園實現(xiàn)漫游功能當我們的手提電腦在校園中漫游時，要將所有的無線流量置于一個VLAN中，才可以確保用戶從一個接入點移動到另一個接入點時不會掉線。3．VLAN技術為學校各部門的職能調(diào)整與擴展提供了極大的方便在校園網(wǎng)中使用VLAN技術可以使校園網(wǎng)內(nèi)子網(wǎng)的劃分很容易和校內(nèi)各部門的功能劃分統(tǒng)一，盡管校內(nèi)*一局部站點可能分布在校園的不同物理位置，但VLAN基于IP地址劃分子網(wǎng)，能使有一樣功能且有不同物理網(wǎng)段的節(jié)點被設為同一邏輯子網(wǎng)，從而在中小學校園網(wǎng)中實現(xiàn)與物理位置的無關性。借助VLAN技術，就能非常方便地將不同地點、不同網(wǎng)絡的用戶組合在一起，形成一個虛擬的網(wǎng)絡環(huán)境，就像使用本地LAN一樣方便、有效即用。4．使用VLAN能控制播送風暴，提高校園網(wǎng)性能對于處在一個IP網(wǎng)段或IP*網(wǎng)段的網(wǎng)絡設備來說，同在一個播送域中，當工作站數(shù)量增多和信息流量增大時，容易形成“播送風暴〞，嚴重影響了網(wǎng)絡運行速度，甚至造成網(wǎng)絡癱瘓。虛擬局域網(wǎng)能解決這個問題，VLAN可以提供建立防火墻的機制，防止交換網(wǎng)絡的過量播送。使用VLAN，可以將*個交換端口或用戶賦予*一個特定的VLAN組，該VLAN組可以在一個交換網(wǎng)中連接多個交換機，在一個VLAN中的播送不會送到VLAN之外。同樣，相鄰的端口不會收到其它VLAN產(chǎn)生的播送，這樣可以縮小播送域，控制“播送風暴〞，提高帶寬的使用率。通過限制整個網(wǎng)絡的節(jié)點對節(jié)點通信和播送通信，虛擬子網(wǎng)可以節(jié)約帶寬，從而降低本錢。5．使用VLAN技術為校園網(wǎng)平安問題提供了很好的解決方法當中小學校園網(wǎng)組建好后，面臨的最大問題就是網(wǎng)絡中各種資源數(shù)據(jù)的平安問題。VLAN方式的網(wǎng)絡平安性相對較高，一方面VLAN的防火墻機制使校園網(wǎng)和校外的網(wǎng)絡間多了一層保護網(wǎng)，校園網(wǎng)和因特網(wǎng)之間的都可以在網(wǎng)絡管理員的控制下進展，尤其對校外的計算機校內(nèi)的資源作了嚴格的限制，這樣能有效地抵抗黑客對學校計算機的攻擊，并一定程度上降低了感染計算機病毒的可能性，保證了學校師生能暢通、平安地使用校園網(wǎng)；另外，校園網(wǎng)內(nèi)每個VLAN是一個單獨的播送域，VLAN之間相互隔離，大大提高了網(wǎng)絡的利用率，確保了網(wǎng)絡的平安和**性。三、在中小學校園網(wǎng)的交換機上配置與實現(xiàn)VLAN技術1．基于VLAN技術的中小學校園網(wǎng)設計案例學校要接入校園網(wǎng)的電腦有500臺，其中機房6個共300臺。機房全部設立在實驗樓〔簡稱E〕，普通教師機器分布在4幢教學樓里〔A、B、C、D〕，其中領導集中于行政樓〔F〕?！睞幢機器70臺，B幢70臺、C幢30臺、D幢10臺

E幢300臺、F幢50臺〕在本方案的校園網(wǎng)中，由于各個大樓相互獨立，但是C幢和D幢存在的機器不多，故可以把C幢和D幢劃分為一個VLAN〔名稱vlan22〕里。A、B幢本來也可以合為一個VLAN，考慮到今后學校規(guī)模的擴大，機器的增多。所以把A、B幢各劃分為一個VLAN(vlan23和vlan24)。那F幢由于是行政部門，防止有些數(shù)據(jù)資源不被盜用或破壞，把F幢劃分成為一個VLAN〔vlan25〕。最后一個實驗樓，電腦臺數(shù)多，數(shù)據(jù)流量大，把E幢也劃分一個VLAN〔vlan26〕。每個VLAN中人們可傳送具有**性的資源，網(wǎng)絡管理員可以控制每個VLAN中用戶的數(shù)量并綁定其IP地址，需要特權(quán)才能進入VLAN對其用戶進展。效勞器作為需要共享的資源，將放置在校園網(wǎng)主干上，并同時屬于所有的VLAN以及非VLAN用戶，從而在4個VLAN子網(wǎng)共享資源的同時，又保證了其相互間的平安性。但是VLAN過多的劃分會影響上層設備的使用效率。2．對交換機進展VLAN配置的具體過程本校園網(wǎng)方案中的5個VLAN子網(wǎng)vlan22、vlan23、vlan24、vlan25、vlan26分別對應5臺CiscoCatalyst3500網(wǎng)管型交換機，分別命名為Switch_Vlan22、Switch_Vlan23、Switch_Vlan24、Switch_Vlan25和Switch_Vlan26，該方案采用基于交換機端口劃分的VLAN方式，具體配置過程如下：第一步：利用Windows自帶的“超級終端〞程序進展交換機的超級終端設置。連接上3500交換機后會出現(xiàn)如下的主配置界面(交換機在此之前必須完成根本信息的配置)：1user(s)nowactiveonManagementConsole.UserInterfaceMenu[M]Menus[K]mandLine[I]IPConfiguration注釋與說明：以上程序中[M]Menus是主菜單，主要是交換機的初始配置和監(jiān)控交換機的運行狀況；[K]mandLine是命令行，很像路由器里面用命令來配置和監(jiān)控路由器一樣，主要是通過命令來操作；[I]IPConfiguration是配置IP地址、子網(wǎng)掩碼和默認網(wǎng)管的一個選項。這是第一次連上交換機顯示的界面，如果你已經(jīng)配置好[I]IPConfiguration，則下次登陸的時候?qū)]有這個選項。第二步：通過[K]mandLjne命令來實現(xiàn)VLAN配置。單擊“K〞按鍵，選擇主界面菜單中“[K]mandLjne〞選項，進入如下命令行配置界面:EnterSelection：K回車CLIsessionwiththeswithisopen.ToendtheCLIsession，enter[e*it].此時我們進入了交換機的普通用戶模式。就像路由器一樣，這種模式只能查看現(xiàn)在的配置，不能更改配置，且能使用的命令很有限，所以必須進入“特權(quán)模式〞。第三步：在上一步后輸入特權(quán)模式命令“>enable〞，此時就進入了交換機VLAN配置的特權(quán)模式提示符*configtEnterconfigurationmands,oneperline.EndwithTL/Z(config)*第四步：為了平安和方便起見，我們分別給這5個Catalyst3500交換機起個名字，并且設置特權(quán)模式的登陸密碼。下面僅以交換機Switch_Vlan22為例：(config)*hostnameSwitch_Vlan22Switch_Vlan22(config)*enablepasswordlevel15*****Switch_Vlan22(config)*特權(quán)模式密碼必須是4-8位字符。要注意，這里所輸入的密碼是以明文形式直接顯示的，要注意**。交換機用level級別的大小來決定密碼的權(quán)限。Level1是進入命令行界面的密碼，也就是說，設置了level1的密碼后，下次上交換機并輸入K后，就會讓你輸入密碼，這個密碼就是level1設置的密碼，而level15是你輸入了“enable〞命令后讓你輸入的特權(quán)模式密碼。第五步：對各交換機配置VLAN組，并為各VLAN組命名。因4個VLAN分屬于不同的交換機，VLAN命名的命令為“vlan‘vlan號’name‘vlan名稱’〞，在Switch_Vlan22、Switch_Vlan23、Switch_Vlan24、Switch_Vlan25和Switch_Vlan26交換機上配置22、23、24、25、26號vlan的代碼為：Switch_Vlan22(config)*vlan22nameSwitch_Vlan22Switch_Vlan23(config)*vlan23nameSwitch_Vlan23Switch_Vlan24(config)*vlan24nameSwitch_Vlan24Switch_Vlan25(config)*vlan25nameSwitch_Vlan25Switch_Vlan26(config)*vlan26nameSwitch_Vlan26第六步：把上述已經(jīng)命名的VLAN對應到相應交換機的每一個端口上?，F(xiàn)在要把這些VLAN對應于CiscoCatalyst3500所規(guī)定的交換機端口號，對應端口號的命令是“vlan-membershipstatic/dynamic`VLAN號`〞。在這個命令中，“static〞(靜態(tài))和“dynamic〞(動態(tài))分配方式兩者必須選擇一個，不過通常都是選擇“Static〞方式。我們以其中兩個交換機為例：〔1〕如果要把名為“Switch_Vlan22〞的交換機0號模塊2-39號端口配置到VLAN22上，40-41號端口配置到VLAN23上，端口號配置命令如下：Switch_Vlan22(config)*inte0/2Switch_Vlan22(config-if)*vlan-membershipstatic22…………Switch_Vlan22(config-if)*inte0/39Switch_Vlan22(config-if)*vlan-membershipstatic22Switch_Vlan22(config-if)*inte0/40Switch_Vlan22(config-if)*vlan-membershipstatic23Switch_Vlan22(config-if)*inte0/41Switch_Vlan22(config-if)*vlan-membershipstatic23Switch_Vlan22(config-if)*“int〞是“interface〞命令縮寫，是接口的意思，“eo/39〞是“etherneto/39〞的縮寫，代表交換機的O號模塊39號端口。3．四個交換機的VLAN端口配置與上面的命令相似。按要求把VLAN都定義到了相應交換機的端口上以后，為了驗證我們的配置，可以在特權(quán)模式使用中“showvlan〞命令顯示出剛剛所做的配置，檢查一下是否正確。以上是就以CiscoCatalyst3500交換機為例進展的VLAN配置，其它交換機的VLAN配置方法根本類似。四、利用VLAN技術對中小學校園網(wǎng)進展平安管理一個完善的VLAN建立好了之后應當具有如下特征：VLAN之間能夠跨越多個交換機和不同LAN技術進展通信；VLAN之間能夠進入第三層路由；能夠根據(jù)成員策略自動為*一VLAN增加新用戶；能夠監(jiān)測和理解每一VLAN中的流量；能夠集中控制和管理VLAN；能夠按VLAN對網(wǎng)絡利用率進展規(guī)劃和優(yōu)先級設計。可以根據(jù)VLAN的這些最根本的特征對整個網(wǎng)絡進展方便而有效的管理，主要表達在以下兩個方面：1．利用VLAN在交換機上設立ARP表，防止IP地址盜用在VLAN以前，傳統(tǒng)校園網(wǎng)內(nèi)的計算機在同一個網(wǎng)關下IP地址是自己隨意設定的，這樣當網(wǎng)絡中的計算機增多時，上網(wǎng)的學生經(jīng)常更改IP地址，導致IP地址經(jīng)常出現(xiàn)沖突，造成網(wǎng)絡管理的極其不便。VLAN技術可以在交換機中建立一*靜態(tài)ARP表，將所有Vlan子網(wǎng)內(nèi)的IP地址與相應網(wǎng)卡MAC地址實行綁定，對留給子網(wǎng)將來擴大而暫時未用的IP也進展綁定，計算機用戶IP如果要從交換機的一個端口轉(zhuǎn)到另一個端口時必須經(jīng)過網(wǎng)絡管理人員的同意，這有利于整個校園網(wǎng)絡的管理，有效防止IP地址盜用。如：ARP10.102.24.20007.8526.5a21ARPA〔對分配IP有網(wǎng)卡地址綁定〕ARP10.102.22.10000.0000.0000ARPA〔對未分配IP地址綁定〕2．設置子網(wǎng)權(quán)限在中小學校園網(wǎng)中，有些部門的信息是非常敏感和**的，在這種情況下需要對部門之間的信息進展有效的保護，基于端口的VLAN可以有效地管理和限制虛擬局域網(wǎng)之間的，讓重要信息得到有效保護，防止非法入侵，增強了網(wǎng)絡的平安性。(config)*InterfaceFastEthernet0.2〔選取2號子網(wǎng)進展管理〕(config-fo.2)*