基于三层交换的虚拟局域网技术在校园网中的应用

摘 要：文章主要分析了校园网中使用VLAN技术进行网段的划分，使网络结构变得更具灵活性和适应性，各部门处在不同的网段中，从而信息得到了隔离，并解决了校园网中冲突域和广播域等问题。文章详细介绍了虚拟局域网技术，三层交换技术，VLAN的划分。最后，在实际应用中，给出了三层交换的虚拟局域网技术在校园网中的应用。

关键词：虚拟局域网；三层交换技术；VLAN划分；校园网

中图分类号：TP393.18 文献标识码：A 文章编号：1006-8937（2013）05-0065-03

当前互联网技术迅速发展，各种网络应用越来越广泛，人们对网络安全使用性能的要求也越来越高。但在早期的网络中，当计算机的规模不断地扩大，就会经常引起信道冲突以及广播风暴的产生等危害，这势必会影响这个网络的性能。为了解决局域网互联时无法限制广播等问题，VLAN技术就随之产生。它的出现打破了传统网络的许多固有观念，使网络的结构变得灵活、方便、随心所欲。

VLAN技术是把一个物理局域网划分成多个虚拟局域网——VLAN，每个VLAN就是一个广播域，可以隔离广播，VLAN内的主机之间的通信就和在一个局域网内一样不会受到影响，而不同VLAN之间的主机则不能直接通信。在校园网中应用这种技术不仅可以使网络结构变得更具灵活性和适应性，也大大减少网络管理员的工作量。

1 VLAN与三层交换技术

1.1 VLAN技术原理及优点

1.1.1 VLAN技术的原理

在交换式以太网中，交换机中的各个端口都同属于一个广播域内，如果一台主机发出一个广播帧，那么整个局域网中所有的主机都能够接受得到，这样就使局域网中有限的带宽被这台主机所发出的广播帧所占用，无形地浪费了网络资源。为了能减小广播域的范围，提高网络的性能，降低网络运行的费用，虽然路由器可以解决这个问题，但是，其成本要比交换机高；另外，大部分传统路由器采用软件转发，其自身低速、复杂等局限性，很容易成为网络的瓶颈使以太网的优势难以发挥，第三层交换技术克服了传统路由的缺点。为此提出了虚拟局域网。

VLAN技术的原理，是把不同物理位置的站点，按照其功能和应用划分为多个不同的逻辑子网，每个子网就是一个广播域，广播信息只发给同一子网内的站点，不同VLAN间的通信只能通过路由器等三层设备才能互相通信。它是一种实现虚拟工作组的新兴技术。

1.1.2 VLAN技术的优点

VLAN的划分不受地理位置的限制，一个交换机中可以划分多个VLAN，一个VLAN可以在不同的交换机上。这就使VLAN具有以下几个主要优点：

①灵活构建虚拟工作组。使用VLAN可以把不同地理位置的用户划分到同一工作组；此外，还可以对处在不同地理位置的设备进行统一的管理。网络构建及维护更为灵活方便。

②增强网络的安全性。不同VLAN之间是相互隔离的，所以，不同VLAN之间的用户是不能直接通信的。这样就可以把用户涉及到保密的信息与普通用户相隔离。

③有效地控制广播域的范围。交换机划分VLAN后，一台主机所发送的广播帧仅在其所处的VLAN中传播，广播域就被限制在一个VLAN内。

1.2 三层交换技术的原理

三层交换技术是根据OSI参考模型中第三层网络层的IP地址完成端到端数据交换的。当某一信息源的第一个数据流进行第三层交换后，其中的路由系统将会产生一个MAC地址与IP地址的映射表，并将该表存储起来，当同一信息源的后续数据流再次进入交换环境时，交换机将根据第一次产生并保存的地址映射表，直接从第二层由源地址传输到目的地址，不再经过第三层路由系统处理，从而消除了路由选择时造成的网络延迟，提高了数据包的转发效率，解决了网间传输信息时路由产生的速率瓶颈。简单的说，第三层交换技术就是将第二层交换技术和第三层转发技术的有机结合，不仅使二层与三层相互关联起来，而且还提供流量优先化处理、安全访问机制以及多种其他的灵活功能。

1.3 VLAN的划分

①基于端口的划分。基于端口的VLAN是最简单、最有效的VLAN划分方法。它根据设备的端口来指定其所属VLAN，而不用考虑端口所处位置。端口配置后，可以转发指定VLAN的数据帧。但是所连设备更换端口后，就必须重新配置VLAN对应的端口。

②基于MAC地址的划分。这种划分VLAN的方法是根据每台主机的MAC地址来划分的。MAC地址是网卡的一个唯一标识，一个MAC地址对应一台主机。在交换机上有一张VLAN映射表，该表记录了MAC地址和VLAN的对应关系。这种划分方式最大的优点就是，当主机物理位置移动时，VLAN不用重新配置。但是，当新的主机加入时，就要收集该主机的MAC地址，对它进行配置。如果新加入的主机量大时，配置的工作量也就很大。

③基于协议的划分。基于协议的VLAN是根据端口接收到的报文所属的协议类型来划分不同的VLAN。该方式主要应用于将网络中提供的协议类型与VLAN相绑定，方便网络管理员维护和管理。

④基于子网的划分。基于IP子网的VLAN是根据报文的源IP地址和子网掩码作为依据来进行划分的。当设备的端口接收到报文后，根据报文的源IP地址，找到与现有VLAN的对应关系，然后自动划分到指定的VLAN中进行转发。

2 VLAN技术在校园网中的应用

2.1 校园网络拓扑结构设计

当今世界已经进入了信息时代，学校原来分散的局域网及多媒体教学已远远不能满足教学与科研的需求。为了提高学校办公自动化与教育现代化的水平，根据学校各楼宇的位置及信息点的分布，把校园网络建设成一个具有较高标准、经济适用的网络。

随着网络硬件性能不断提高，成本不断降低，目前的校园网基本上都采用了性能先进的千兆网技术，核心交换机采用三层交换机，它能很好地支持虚拟局域网（VLAN）技术，这对方便校园网的高速可靠运行起到了非常重要的作用。现在，我校校园网络的核心层采用的是具有三层交换的核心交换机（华为S8505），它采用具有高速路由查找功能的ASIC芯片，并通过Crossbar技术进行高速报文交换，从而大大地提升了路由交换机的转发性能。它能够满足各类数据高速传输和安全性的要求，并且提供可扩充性端口，能适应今后网络规模扩大的需要。通过核心交换机连接到教学楼、实验楼、图书馆、培训中心、教师宿舍、学生公寓等楼宇的汇聚层交换机，在汇聚层交换机中下连教师宿舍和计算机机房的接入层交换机（如图1）。

2.2 VLAN的划分

在此网络中，用户分布在不同的楼宇和办公室中，有些用户拥有自己的服务器和应用系统，而这一切都由同一个数据通信网络提供服务。如何将属于同一个办公室的用户群所组成的逻辑组与他们所在的物理位置关系上区分开来，从而能够达到限定不同逻辑组之间的通信流量以提高安全性和系统的系能。为了能合理地解决这个问题，就必须采用VLAN技术，对各组用户进行相互隔离。

该网络中VLAN的划分采用基于端口和子网相结合的方式来划分，它把具有相同职能的用户划分到同一个VLAN中。在办公大楼中，领导办公室、各处室、财务科、图书馆分别划分到VLAN2、VLAN3、VLAN4、VLAN5；对实验楼、教学楼、教师生活区、培训中心分别划分到VLAN6、VLAN7、VLAN8、VLAN9（其中培训中心设置为自动获取IP）；把服务器组划分到VLAN100中，把网管机划分到VLAN200中。其中在办公大楼中还有两个会议室，它们也采用自动获取IP的形式上网，所以把它们划分到VLAN9中。

2.3 IP地址的分配

IP地址用来识别网络或主机。IP地址的合理分配可避免各主机之间地址相互冲突。由于学校网络是一个内部网，主机数量达300台左右，IP地址资源较为丰富，所以IP地址的分配我们采用以能识别主机及避免主机之间地址冲突为原则进行的。

IP地址的分配与网络拓扑结构、网络组织有着密切的关系，对网络的可用性、可靠性与有效性有显著的影响。因此，IP地址的分配应满足各种用户接入方式的要求，根据网络组织的大小分配地址段。所以，我们根据VLAN中ID标记来确定某个网络组织属于哪个地址段，比如：领导办公室属于VLAN2中，我们就把领导办公室的主机IP地址设在192.168.2.*子网段中。

2.4 VLAN的配置

2.4.1 创建VLAN

2.4.2 为VLAN指定以太网端口

2.4.3 创建VLAN接口，并指定IP地址及掩码

2.4.4 配置端口允许VLAN通过

连接在核心交换机中的网管机，它对整个校园网进行内网安全监视、内网安全管理、远程管理控制等操作，实现了网络安全、网络管理、网络维护三位一体的立体化管理，使网络管理人员对每一台网络设备及主机的运行状况都了如指掌。所以经过连接网管机的交换机端口的数据包允许所有VLAN通过，即对它进行port access vlan all配置。办公大楼中的交换机连接着领导办公室、各处室、财务科和图书馆的交换机，核心交换机连接到办公大楼中的交换机的端口允许VLAN2、VLAN3、VLAN4、VLAN5、VLAN9和VLAN200，所以，对该端口进行port trunk permit vlan 2 to 5 9 200配置。对核心交换机中的其它端口，配置成只允许自身所属VLAN及VLAN200的通过。

2.5 为主机设置默认网关

根据主机连接的核心交换机端口号以及该端口号配置的VLAN接口的IP地址，将该主机的默认网关设置为所连接的VLAN接口的地址，并且将该主机的IP地址设置成在该网段内。

3 结 语

本文讨论了虚拟局域网技术及其配置，并结合实际，将虚拟局域网技术与三层交换技术应用到校园网中，从而提高校园网的安全性和可靠性。

参考文献：

[1] 肖颖，佘影.VLAN技术在三层交换机中的应用[J].微处理机，2009，（6）.

[2] 冯萍，孙伟.VLAN技术在校园网中的应用[J].长春大学学报，2006，（2）.