校园网中技术论文.doc

目录摘要：1关键词： 11 VLAN技术的概述及现状31.1 VLAN技术的概述32 VLAN的基本知识32.1 VLA N基本原理32.2 VLAN 特点42.3 校园网中VLAN的分类52.3.1 基于端口的VLAN划分52.3.2 基于第3层的VLAN划分52.3.3 基于MAC地址的VLAN划分62.3.4 基于协议的VLAN划分62.3.5 基于IP组播分组的VLAN62.3.6 基于策略（Policy）的划分63 VLAN 成员间信息传送及不同VLAN 间的通信方式73.1 VLAN 成员间信息传送73.2 不同VLAN 间的通信方式74 VLAN技术与校园网的安全可靠85 总结及展望12致谢辞13参考文献14校园网中的VLAN技术计算机科学与技术 刘春希指导教师 摘要：学校的校园网,在日常网络传输中应具备较高的可靠性和安全性。校园网内部有针对各级的保密数据,校园网要接入INTERNET,还可能遭到外部黑客的恶意攻击,给教学和科研造成损失。因此,校园网应着手考虑从内、外两方面来保证网络的安全,设计可以考虑通过划分VLAN和安装防火墙方式,以提高网络的安全性和可靠性。本文主要介绍了校园网中VLAN技术的概述及现状,基本原理、特点,VLAN 标准, 校园网中VLAN的分类, VLAN 成员间信息传送及不同VLAN 间的通信方式, 校园网VLAN的安全及管理与配置等内容。关键词：校园网;安全;可靠;VLAN技术1 VLAN技术的概述及现状1.1 VLAN技术的概述在计算机网络的发展史上， 1985 年使用非屏蔽双绞线（UTP） 来连接以太（Ethernet）的技术，使PC 机入网的成本大为降低。1993 年发展起来的交换式局域网（ Switched LAN）技术，再一次使计算机入网的成本大幅度降低，开创了网络技术的又一个新阶段。在传统局域网中，各站点共享传输信道所造成的信道冲突和广播风暴是影响网络性能的重要因素。为解决发生在网络第二层的信道冲突和第三层的广播风暴问题，网桥和路由器被广泛应用于局域网中。这样的网络结构无论从效率还是安全角度考虑都有所欠缺。由于网络中的站点被束缚在所处的物理网络中，而不能够根据需要将其划分至相应的逻辑子网，因此网络结构的灵活性欠佳。为解决这一问题， 引出了虚拟局域网（ Virtual LAN） 的概念。什么是VLAN？不同的厂商以及不同的VLAN实现方案带来不同的定义和理解，从一般意义上说VLAN是指位于不同局域网段上的计算机组成一个虚拟组，组内计算机之间的通信好象是处于同一个局域网中。更进一步说，VLAN形成一个有限的广播域，VLAN内成员可以接收同一VLAN中其他所有成员发送的信息包，但无法接收其他VLAN成员发送的信息包。VLAN所有成员组成一个独立于物理地址的广播域，可通过软件的方法对VLAN中成员进行增加、删除和修改，VLAN成员间通信无须进行路由选择。2 VLAN的基本知识2.1 VLA N基本原理VLAN 是相对于常规物理上存在的LAN 而言的。通过集线器组成的LAN 是物理上存在的LAN， 一般每个节点设备（工作站或服务器）固定地连接到集线器的各个端口上。VLAN 通过LAN 交换作用，每个LAN 段由VLAN 网络管理软件作出程序安排，和其他某个LAN 段建立连接。由于这种安排又可以进行变换， 因此能够动态地组成新的VLAN。属于某个VLAN 的节点设备，不必存在于同一个集线器的各个端口上，可以分布在连接到不同交换机的多台集线器上，节点设备物理位置的变动，并不影响它所属的VLAN。所以，VLAN技术的基础是LAN 交换技术，其中主要有帧交换（Frame Switch）和信元交换（Cell Switch）两类交换技术。在帧交换中，最常见的是交换式以太网技术，它采用了与传统的网桥相类似的工作机制。与网桥所不同的是，连接至交换机的不是网段而是网络站点。当以太网交换机从一个端口收到数据帧后，并不象传统的共享式集线器那样简单地将信号转发至所有端口，而是对数据帧中所包含MAC地址进行分析，并利用交换机中的端口MAC地址映射表将数据帧转发至相应端口。因此各端口独自享有10M或100M、甚至更高的网络带宽（如果该端口采用快速以太网技术）。信元交换技术主要指ATM 技术。ATM 网络与传统的网络技术相比较，有很大的差别。ATM 是局域网和广域网的公共基础技术，它结合了线路交换和存储转发2种数据交换的优点，采用53字节信元进行面向连接的网络传输，而传统的局域网是无连接的传输。由于采用了底层的交换和光纤传输等技术，因此，ATM 网络具有几十M到数百M的网络带宽，能够充分满足用户包括数据、语音及视频等类传输的需求。同传统局域网技术相比较， 交换技术有“目的”地转发数据，为灵活地划分逻辑子网提供了可能。一般地讲，在交换式以太网中实现VLAN较容易，而在ATM网络中实现VLAN较困难。2.2 VLAN 特点VLAN 与由物理位置决定的传统LAN 有着本质区别，它不受网络物理位置的限制， 并可跨越多个物理网络和多台交换机。主要特点如下：（1） 可将网络用户按业务功能划分成多个“ 逻辑工作组”，每一组为一个VLAN；（2） VLAN 可隔离广播信息，每个VLAN 为一个广播域，并可以通过划分VLAN的方法来限制广播域，以防止广播风暴的发生；（3） 按照用户业务功能划分VLAN 可有效提升带宽，由于日常的交流信息绝大部分被限制在一个VLAN 内部，使网络带宽得到有效利用；（4） VLAN 均由软件实现、定义与划分，使得建立与重组VLAN 十分灵活；用户的物理位置也可自由移动，而无需更改VLAN 的配置，从而节省大量开销。2.3 校园网中VLAN的分类2.3.1 基于端口的VLAN划分端口分组是早期定义VLAN成员关系的方法。在这种定义方法中，某个交换机上的端口构成VLAN,而该交换机上的其他端口构成VLAN.早期基于端口的VLAN成员只能位于一个交换机中，但基于端口的VLAN支持多个交换机.例如，某一交换机的端口1、2、3、4与5构成VLAN A，而其端口6、7与8构成VLAN B。而且在大多数早期的实现方案中，仅能在单个交换机上支持虚拟网。第二代的实现方案支持跨越多个交换机的VLAN，例如，交换机#1上的端口1、2与交换机#2上的端口4、5、6、7构成VLAN A，而交换机#1上的端口3、4、5、6、7、8与交换机#2上的端口1、2、3、8构成VLAN B 目前端口分组仍然是定义VLAN成员关系最常用的方法，所有的供应商都支持这种方式的VLAN.基于端口的VLAN是划分局域网最简单也是最有效的方法,这种划分是把一个或多个交换机上的几个端口划分一个逻辑组。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。这实际上是某些交换端口的集合,网络管理员只需要管理和配置交换端口,而不管交换端口连接什么设备.2.3.2 基于第3层的VLAN划分路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。基于路由的VLAN允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。该方式是采用在路由器中常用的方法:IP子网和IPX网络号等,其中,局域网交换机允许一个子网扩展到多个局域网交换端口,甚至允许一个端口对应于多个子网。第3层的VLAN的优点 如下：(1) 它允许以协议类型为依据对用户进行分组。这对于倾向于基于服务或应用的VLAN策略的网络管理员是有吸引力的。(2) 用户可以物理的移动工作站，而不用为每个工作站重新配置网络地址。注意，只有在纯TCP/IP网络中是这样的。(3) 消除了给帧插入标签的需要，从而减少了传输成本. (4) 网络管理员可以在VLAN管理程序中通过简单的鼠标拖动决定那个子网属于哪个VLAN,子网的用户随着子网被分配给VLAN. (5) 如果是以IP子网为单位定义的，那么新加入的用户被自动的加入VLAN中。2.3.3 基于MAC地址的VLAN划分只有网卡才有MAC地址,按MAC地址来划分VLAN是将某些工作站和服务器划属于某VLAN。MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一且固化在网卡上的。MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。事实上,该VLAN是一些MAC地址的集合,当设备移动时,VLAN能够自动识别。网络管理需要管理和配置设备的MAC地址,如果网络规模很大,设备很多时,网络管理出现困难。2.3.4 基于协议的VLAN划分以不同协议进行VLAN划分，例如，所有使用MAC地址的用户形成一个VLAN,用IP地址分组的用户形成另外一个VLAN，而使用IPX(Internet Packet Exchange,NetWare系统使用的第三层协议)地址的用户形成第3个VLAN,等等2.3.5 基于IP组播分组的VLAN组播的通信量是点到多点或多点到多点的。组播VLAN是通过侦Internet组管理协议（Internet Group Management Protocol）动态生成的，当用户打开使用组播的应用时，它们将动态的加入与应用相关的VLAN,而当应用关闭时，它们会断开与组播VLAN的连接。VLAN的目标是将组播与无组播需求的VLAN隔离。IP组播不是真正的VLAN，因为它只是在短间内自动建立和拆除。但它能够限制广播数据的网络洪泛（flooding）,这也时VLAN德 目标之一，正是在这个意义上，把上述IP组播看作是VLAN的一种。3 VLAN 成员间信息传送及不同VLAN 间的通信方式3.1 VLAN 成员间信息传送VLAN 成员间的通信有隐式和显式2 种：隐式通信，显示通信。隐式通信。是指能够在一台交换机内访问根据端口定义的VLAN。这种方法多用于较小型的网络或是每一交换网段上拥有大量用户的网络。隐式通信一般用于定义第3层VLAN，在数据包头标上可以找到确定VLAN成员的信息。 显式通信。可用3种方式完成，其中2种是业界标准。第1种标准方法是通过ATM 主干网和ATM论坛的局域网仿真标准（LANE）的实施而进行的。所有3Com公司的ATM 交换产品均支持LANE。第2 种标准方法目前正按照IEEE 802.1Q VLAN标准制订。3Com 公司已成为促进IEEE因特网工作委员会批准这种方法的主要力量。第3种方法是专有帧的标识或封装。为在用户VLAN解决方案中赋予广泛的选择范围和灵活性，3Com公司将在其许多产品中支持其虚拟局域网中继（VLT）帧标识方法。3.2 不同VLAN 间的通信方式信息在不同VLAN 间传输，是通过第3 层路由。不同VLAN 是各个独立的逻辑网段， 其广播域仅限制在本VLAN 内部。最简单的办法是通过外部路由器，但每个VLAN 占路由器一个端口，显然开销很大。目前，许多厂商都已提出各自的VLAN 互连策略和路由解决方案。如Cisco（思科）公司发展的“子接口”技术，3COM公司的Switch内部路由功能等。然而，各公司的解决方案相距甚远，每种方案都各有优劣。但路由器并非VLAN 间通信的唯一方法，也应视该机构的特定需要和整体网络的环境而定。现阶段的路由模式主要有4 种：边界路由模式、“单臂”式路由器模式、路由服务器/ 路由客户机模式和桌面启动式零跳步路由模式。这些模式也成为各主要局域网厂商之间的重要区别所在。4 VLAN技术与校园网的安全可靠VLAN (Virtual Local Area Network)又称虚拟局域网,它建立在局域网交换机的基础之上,它是局域交换网的灵魂。在此基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中。通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络,而无需改变任何硬件和通信线路。校园网的网络管理员可以从逻辑上对用户和网络资源进行分配,而无需考虑物理连接方式。VLAN充分体现了现代网络技术的重要特征:高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。VLAN与普通局域网从原理上讲没有什么不同,但从用户使用和网络管理的角度来看,VLAN与普通局域网最基本的差异体现在:VLAN并不局限于某一网络或物理范围,VLAN中的用户可以位于校园网的任意位置,甚至位于不同的校园网。VLAN应用于校园网中具有以下优点:(1)控制广播风暴的产生.一个VLAN就是一个逻辑广播域,通过对VLAN的创建,可将某个交换端口划到某个VLAN中,而一个VLAN的广播风暴不会影响其它VLAN的性能。(2)提高网络整体安全性.普通的校园网共享式局域网是很难保证网络安全的,因为只要用户插入一个活动端口,就能访问网络,而VLAN能通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同中,限制个别用户的访问权限,严格控制广播组的大小和位置,甚至能锁定某台设备的MAC地址,因此VLAN能提高整个校园网的性能,确保网络的安全性。5、总结及展望综上所述，VLAN技术是目前网络界最为热门的技术之一，它的出现是和LAN 交换技术分不开的。LAN交换技术使用户可以较方便地取代传统的共享式介质局域网。而及时有效地对网络实VLAN技术，不但可以充分满足用户对网络灵活性和扩展性方面的要求， 而且对隔离网络故障、高效率地分配网络骨干带宽和降低网络成本也提供了一种切实有效的技术手段。在消除因保留网络基础结构的繁重负担和提高传送网络应用与服务的功能方面，VLAN 技术迈出了卓越的一步。但是，由于VLAN 的全面实施对企业网络结构和管理机构方面的影响，拥有一个平滑的、结构良好的迁移路径至关重要。即便是朝着VLAN 全面实施这个目标所制订的最初迁移措施发展，如果部署得当，也能产生大量的好处，而且没有额外的开销， 也不会使网络性能或可管理性方面受到损害。所以，虚拟局域网（VLAN） 技术是保障大型网络安全稳定运行的一项重要技术措施，随着众多厂商积极参与和最终用户的普遍认可，它在实际建网中将得到越来越广泛的运用。校园网是交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,网络管理员能借助于VLAN技术轻松管理整个网络。一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段,在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。例如:需要为完成某个项目建立一个工作组网络,其成员可能遍及校园网,此时,网络管理员只需设置几条命令,就能在几分钟内建立该项目的VLAN网络,其成员使用VLAN网络,就像在本地使用局域网一样。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。致谢辞时光飞逝，流年似水，毕业论文即将结束，现在回头想想这两个月，我对自己的论文有了更深更新的体会。在本次毕业论文的全过程中，我对四年所学的知识有了一个比较系统的认识和理解。涉及了各方面的知识，大大扩展了我的知识面，同时我学会了如何使用所学的知识去解决一些实际的问题。在写论文过程中我深知自己掌握的知识还远远不够，掌握的一些理论知识还没应用到实践中去，光知道书本上的知识是远远不够的，一定要把理论知识和实践结合起来。把学到的知识应用到时间中去，多做多练，才可以把理论的精华发挥出来。知识不是知道，了解就好，一定要去应用它，发展它，让它在现实生活中得到充分的应用，这才是学习的根本目的。而且知识又不是单一的，它是互相联系的，学科与学科之间都有着内在的联系。计算机是一门非常复杂又学科一