VLAN技术在高校校园网建设中的应用

1、007年第9期(总第45期边疆经济与文化THE BORDER ECONOMY AND CULT URE No 1912007General 1No 145B I A N J I A N G J I N G J I Y U W EN HUA 147【高校建设】VLAN 技术在高校校园网建设中的应用蒋敏a ,孔军b(江南大学a .信息工程学院;b .通信与控制工程学院,江苏无锡214122摘要:高等学校必须建设一个高质量、高速度且安全良好的校园网络以满足教学、科研、行政工作等需求。VLAN 技术是建设高校校园网的一种新颖模式,它使网络站点灵活配置,有效避免了广播风暴,增强了系统安全性,有效促进了高

2、校各项工作的高效良性发展。关键词:VLAN;高校校园网;三层交换机;安全性中图分类号:F 224133文献标志码:A 文章编号:167225409(20070920147203收稿日期:2007201230作者简介:蒋敏(1978,女,江苏无锡人,副教授,博士,从事分布式系统、实时系统研究;孔军(1974,男,合肥人,讲师,硕士,从事数字图象处理、信息融合与获取研究。目前高校的信息化建设正朝着“数字化大学”的目标迈进。但随着高校合并以及大学城的建设,使得我国高校学科纵横、规模庞大、人员众多,造成了校区分散、职能部门跨区分布等特点。为利用已有的网络资源,将不同校区有效连接,实现同一部门内部通讯,

3、部门之间数据保密,并协调好各个部门间的合作,VLAN 技术应运而生。一、VLAN 技术1.什么是VLAN 技术VLAN 即虚拟局域网,与传统网络最本质的区别就在于不受网络用户的物理位置限制,它将局域网内的设备逻辑地而不是物理地划分成一个个网段,从而实现虚拟工作组,网络用户就可以越过地域障碍,像在一个局域网中那样快速、安全地通信。因此,对于用户而言,其面对的就是一个逻辑而非物理位置上的局域网。2.VLAN 技术的特点VLAN 是为解决以太网的广播问题和安全性而提出的一种协议,这种技术的引入,最大优势如下。(1确保网络安全性。现在采用的校园网共享式局域网之所以很难保证网络的安全性,是因为其共享介质

4、,只要用户插入一个活动端口,就能访问和监听整个网段。而VLAN 能限制个别用户的访问,控制广播组的大小和位置,甚至能锁定某台设备的MAC 地址,因此确保网络安全。(2提高了网络管理效率。网络管理员能借助VLAN 技术轻松管理整个网络。例如需要为多个校区建立一个协作网络,网络管理员只需设置几条命令,就能在几分钟内建立该项目的VLAN 网络,其成员使用VLAN 网络,就像在本地使用局域网一样。(3控制网络上的广播风暴。交换机断电后内部不保存每个端口与与其连接节点的MAC 地址对应关系,因此在启动时需通过广播信息来填充表项。当网络中节点足够大时,广播包急剧增加,大大降低了网络性能,影响其他正常信息包

5、的传输,从而引起广播风暴。VLAN 技术的访问控制机制可防止交换网络的广播风暴,保证用户带宽。对于多用户的校园网来说,这个特性非常必要。二、VLAN 划分的规划1.基于端口的VLAN基于端口的VLAN 是划分虚拟局域网最简单也是最有效的方法,这实际上是某些交换端口的集合,网络管理员只需要管理和配置交换端口,而不管交换端口连接什么设备。但是这种方式的划分,VLAN 中用疆经济与文化2007年第9期The Border Economy And Culture No 19,2007148B I A N J I A N G J I N G J I Y U W EN HUA户离开原端口,到新交换机端口,

6、就必须全部重新定义。2.基于MAC 地址的VLAN由于只有网卡才分配有MAC 地址,因此按MAC 地址来划分VLAN 实际上是将某些工作站和服务器划属某个VLAN 。事实上,该VLAN 是一些MAC 地址的集合,当设备移动时,VLAN 能够自动识别,因此成员关系相对稳定,设备不需重新配置。其缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN 组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN 就必须不停

7、地配置。3.基于第3层的VLAN基于第3层的VLAN 是采用在路由器中常用的方法:I P 子网和I PX 网络号等。其中,局域网交换机允许一个子网扩展到多个局域网交换端口,甚至允许一个端口对应于多个子网。这种方式下用户可以在网络内部自由移动而不需要重新配置自己的工作站。但是检查每一数据包的网络地址是费时、费工的,显然会降低网络效率。4.基于策略的VLAN基于策略的VLAN 是一种比较灵活有效的VLAN 划分方法,其核心是采用的策略,常用的有(与厂商设备的支持有关:按MAC 地址、按I P 地址、按以太网协议类型、按网络的应用等。三、基于VLAN 技术的高校局域网设计1.整体规划针对高校运作特点

8、,可按职能部门划分,以图1为例,将整个校园网划分为5个VLAN ,根据需要可 以修改或进一步划分,但要注意合理规划,划分过粗或过细都会给管理带来问题。图1校园网VLAN 规划2.网络核心设计图中的路由器、防火墙和中心交换机构成整个校园网的核心,其性能将直接影响校园网的性能。(1路由器的选择。路由器处于最顶层,直接与I nternet 和网内防火墙相连,因此,路由器的选择首先要考虑稳定性,同时路由器要具备接入实际校园网专线的能力,与校园网规模相符合。(2防火墙的选择。防火墙不仅要防“外”黑客攻击,还要防“内”学生恶作剧和非法访问。防外比较复杂,要求网络管理员有较专业的知识,并对防火墙进行正确配置

9、。防内采用MAC 地址绑定、I P 过滤、URL 过滤等功能就可以实现。作为所有流量的唯一通道,在选择防火墙时要注意与校园网络规模相适应,否则防火墙会成为网络性能正常发挥的瓶颈。(3核心交换机的选择。不同VLAN 间须通过路由才能通信,实现路由功能的方法很多,可以是路由器、三层交换机等硬件设备,也可将计算机安装路由协议软件来实现。一般采用支持VLAN 的三层路由交换机,既包括交换功能又具备路由寻址功能,且可定义VLAN 而不附加其他路由设备。3.VLAN 配置对于不同类型的交换机,VLAN 配置有差异,这里以ALC ATER OmniStack 6124为例,采用第二代端口VLAN 技术,对V

10、LAN 网络进行划分。第二代端口VLAN 技术允许跨越多个交换机的不同端口划分VLAN ,不同交换机上的若干个端口可以组成同一个虚拟网。敏,孔军:VLAN 技术在高校校园网建设中的应用B I A N J I A N G J I N G J I Y U W EN HUA 149(1I P 地址配置。根据本设计,5个VLAN 网络的I P 地址分配如表1所示。表1I P 地址分配VLAN I P 地址段(3建立Trunk 。在组建各VLAN 时,如果某工作站所在的局域网划分了多个VLAN (一个交换机覆盖了多个VLAN 时,本级交换机与中心交换机间的连接必须采用Trunk (端口汇聚方式,即通过配

11、置软件的设置,将两个或多个物理端口组合成一条逻辑路径从而增加在交换机和网络节点间的带宽,这种合并提供一个几倍于独立端口的独享的高带宽。(4R I P 路由设置。路由是不同VLAN 间寻址的依据,它增加了校园网络中不同部门之间的安全性。网络管理员可以通过配置VLAN 之间的路由来全面管理校园网络内部不同管理单元之间的信息互访。(5访问控制列表设置。如果在两个VLAN 之间建立了路由,那么在默认情况下,交换机允许所有流量通过。如果我们希望建立一些访问控制条件,如财务VLAN 可以访问图书馆VLAN ,而图书馆VLAN 不能访问财务VLAN ,那么通过访问控制列表就可以建立这种关系。四、高校建设VL

12、AN 网络的优点第一,管理的灵活性。对于非VLAN 的以太网,如果网络中心要对某些用户重新进行网段分配,就要对网络系统的物理结构重新进行调整,甚至需要追加网络设备,这是一个费时费力的事情,同时也增加了高校的投资成本。相反,对于那些采用VLAN 技术的网络来说,在不改动网络物理连接的情况下就可以任意地将工作站在工作组或子网之间移动。第二,工作的高效性。对于那些规模庞大、人员众多、校区分散、部门繁杂的高校,通过灵活的VLAN 策略对校园网按照应用和部门的不同进行灵活划分,根据需求动态调整,既满足了校园网上的各种应用,又避免了无用信息消耗占用网络带宽,从而实现了大范围、跨部门、跨交换机,甚至跨校区的

13、网络虚拟接入,大大地便利了高校职能部门的管理,提高了工作效率。第三,网络的安全性。通过对高校校园网的VLAN 规划,使得校园内不同部门可以设定不同的访问权限,让重要信息得到有效保护,防止非法入侵,增加了网络的安全性,提高了网络的可管理性、稳定性和部门内部网络的使用效率,从而提高交换式网络的整体性能和安全性。第四,需要的特殊性。高等学校作为一个为社会承担科研与教学重担的单位,其内部也存在一些特殊的部门,例如财务部门。由于财务部门的特殊性,它既要承担教职工收入的发放重任,又要担负其校内外的资金往来。从其自身安全和保密性出发,可以对财务部门单独规划出一个VLAN 划分,这样既可实现内部资料对外不可见

14、性,又满足这个特殊部门的内部通信畅通无阻的特殊需要。第五,系统的可发展性。VLAN 作为校园网的一个单元,灵活而紧凑。通过三层交换技术,各VLAN 有机联系起来,既体现了网络的整体性,又体现了部分性;既可为用户开辟新的VLAN 组,又可将用户依据其特点在逻辑上归属到特定的VLAN 中。这些有助于系统的扩容和降低建设成本。校园网建设及应用是一个复杂的系统工程,VLAN 作为一种新的局域网技术,使得网络站点能够灵活配置,有效避免了广播风暴,增强了系统的安全性。该技术在校园网建设中的推广和应用,将对高校校园网的高效、有序运行起到极其重要的作用,提高高校网络管理的可扩展性、互操作性以及整体安全性,从而有效促进高校教学和科研的良性发展。参考文献:1ANDRE