VLAN技术在校园网中的应用资料讲解

1、VLAN技术在校园网中的应用VLAN技术在校园网中的应用大冷蒙古族九年制学校东方中文摘要VLAN(Virtual Local Area Network)的中文名为“虚拟局域网”。VLAN是 一种将局域网设备从逻辑上划分成一个个网段，从而实现 虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和 路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有VLAN协议的第三层以上交换机才具有此功能。VLAN在逻辑上等价于广播域。更具体的说，我们可以将VLAN类比成一组最终用户的集合。这些用户可以处在不同的物理LAN上，但他们之间可以象在同一个LAN上那样自由通信而不受物理位

2、置的限制。 在这里，网络的定义和划分与物理位置和物理连接是没有任何必然联 系的。网络管理员可以根据不同的需要，通过相应的网络软件灵活的 建立和配置虚拟网，并为每个虚拟网分配它所需要的带宽。随着校园网的不断发展，规模在不断扩大，用户在不断增加，网 络应用也在不断增长，网络变得越来越拥挤，冲突不断产生，管理难 度日益加大。学校内部对于灵活、动态地组建LAN网段的要求也越来越多，客观上要求LAN本身的结构可以实现动态组建、调整和管理。 为了有效地提高网络管理的灵活性，提高网络效率和网络安全性，充 分合理地进行VLAN划分，是必需的。关键词：VLAN交换机；广播域；配置；规划；管理；局域网；Abstr

3、actVLAN (Virtual Local Area Network) Chi nese named“virtual localarea network ” .VLAN is one kind divides logically the local area network equipment each one webpage, thus realizes the hypothesized work team's emerg ing data excha nge tech no logy. This emergi ng tech no logy mainly applies in t

4、he switchboard and the router, but main stream applicati on in switchboard. But is not all switchboards has this fun cti on, only the n the VLAN agreeme nt's third above switchboard on ly the n has this fun cti on.VLAN is to solve one ki nd of agreeme nt which fastEthernet's broadcast questi

5、 on and the security proposed, it in creased the VLAN head in the fastEthernet frame's foundation, with VLAN ID the user parting for a youn ger work team, user two excha nge visits betwee n the limit differe nt work team's, each work team is a virtual local area n etwork. Virtual local area

6、n etwork's adva ntage is may limit the broadcast ing area, and can form the hypothesized work team, dyn amic man ageme nt n etwork.Along with the campus n et's un ceas ing developme nt, the scale is expa nding un ceas in gly, the user is in creas ing un ceas in gly, the n etwork applicati on

7、 un ceas in gly is also grow ing, the n etwork becomes more and more crowded, the con flict produces un ceas in gly, man ages the difficulty to enl arge day by day. The school in terior regard ing ni mble, dyn amic sets up the LAN webpage the request to be also getting more and more, objectively req

8、uests LAN structure to be possible to realize dyn amic sets up, the adjustme nt and the man ageme nt. To enhance the n etwork man ageme nt effectively the flexibility, raises the n etwork efficie ncy and the n etwork security, carries on the VLAN divisi on reas on ably fully, is esse ntial.Key words

9、VLAN (Virtual Local Area Network) ； Switch ； Broadcast domain；Configuration Setting； To plan； Ascheme； LAN (the abbreviation ofLocal Area Network)；1绪论从传统的以太网（10Mb/s）发展到快速以太网（100Mb/s）和千兆以太网（1000Mb/s）也不过几年的时间，其迅猛的势头实在令人吃惊。而现在中大型 规模网络建设中，以千兆三层交换机为核心的所谓“千兆主干、百兆桌面”的主 流网络模型已不胜枚举。现在，网络业界对“三层交换”和VLAN这两词已经不感

10、 到陌生了。在一个传统的LAN中，计算机之间通过集线器（Hub）或中继器（Repeater）相连接。如果有两台乃至两台以上计算机同时通过LAN的通信总线发送数据时，它们将不可避免地发生冲突，已发送的数据也将丢失。更主要 的是，一旦有冲突发生，冲突将通过集线器或中继器被传送到整个网络中，使 得暂时谁也无法再发送数据。于是发送者们只好停下来，等到这次冲突平息之 后再试着去发送已丢失的数据一一这是对时间和资源的很大浪费。从上面的介绍可以看出，在一个网络中如何定义冲突域和广播域取决于其 中的各个计算机、集线器（或中继器）、网桥（或交换机）和路由器在物理空 间上是如何分布、如何连接在一起的一一这意味着同

11、一个LAN中的所有设备必须位于同一物理空间范围内，比如说同一层楼、同一个办公区域等。另外，LAN的一个主要用户是企业。随着现代企业中跨部门跨职能开发团 队出现得越来越多，企业内部对于灵活、动态地组建LAN网段的要求也越来越多，客观上要求LAN本身的结构可以实现动态组建、调整和管理。这时，虚拟 局域网（Virtual LAN ）技术就适时地出现了。2. VLAN技术简介局域网的发展是VLAN产生的基础，所以在介绍 VLAN之前，我们先来了解 一下局域网的有关知识。局域网（LAN通常是一个单独的广播域，主要由 Hub网桥或交换机等网 络设备连接同一网段内的所有节点形成。处于同一个局域网之内的网络节

12、点之 间可以直接通信，而处于不同局域网段的设备之间的通信则必须经过路由器才 能通信。但这样做存在两个缺陷：首先，随着网络中路由器数量的增多，网络延时逐渐加长，从而导致网络 数据传输速度的下降。这主要是因为数据在从一个局域网传递到另一个局域网 时，必须经过路由器的路由操作：路由器根据数据包中的相应信息确定数据包 的目标地址，然后再选择合适的路径转发出去。其次，用户是按照它们的物理连接被自然地划分到不同的用户组（广播 域）中。这种分割方式并不是根据工作组中所有用户的共同需要和带宽的需求 来进行的。因此，尽管不同的工作组或部门对带宽的需求有很大的差异，但它 们却被机械地划分到同一个广播域中争用相同的

13、带宽。2.1VLAN的优点提高网络性能应用VLAN技术可以提高网络性能：其一，VLANft术允许网络管理者将交换机上的端口作逻辑分组，使得从某 个VLAN中产生的字节流只能在从属于该 VLAN的交换机端口之间流动。其二， 相比较网桥和交换机而言，路由器在处理接收到的数据时要慢一些。2.1.2 组建虚拟组织如前所述，VLAN技术是随着人们生产活动中越来越多的跨部门跨职能开发 团队的出现而提出的。组建虚拟组织、特别是虚拟工作组，是提出VLAN技术的初衷和目标之一。在实际应用时，对于同一个工作组内的成员，在该工作组存 在的短时期内，可以把他们的计算机工作站划分在一个VLAN里以便于其进行通信。这样，

14、每个组内成员的计算机工作站既无需搬移到一起、也无需改变各自 的设置，只需在网络管理者那里作一些改变就可以了。简化网络管理根据David J. Buerger 的分析计算，传统的LAN中约有70%勺网络花销是因为添加、删除移动、更改网络用户而导致的。每当有一个用户加入局域网， 就会引发一系列的端口分配、地址分配、网络设备重新配置等网络管理任务。 在使用VLAN技术后，这些任务都可得以简化。举例来说，当某台计算机工作站 从一个空间位置移动到另一个空间位置时，不需要为其重新手工配置网络属 性，网络自身就能够动态地完成这项任务。这种动态管理网络的方式给网络管 理者和使用者都带来了极大的便利。提高网络安

15、全在传统的局域网中，不时的会有些敏感数据被有意或无意地广播到网络上，从而有可能造成信息泄密。在这种情况下，确定谁可以访问到这些数据就 显得很重要。使用VLAN技术可以将敏感数据的传播限制在安全范围内，只允许 已定义的VLAN成员访问相关数据。VLAN还可被用来设立防火墙、限制数据访 问以及将网络入侵事件通知给网络管理者等，这些都可以提高网络的安全系 数。减少设备投资VLAN技术可被用来创建逻辑的广播域，因而可以减少用于购买昂贵的路由 器等广播域隔离设备的投资。2.2VLAN的划分方式2.2.1. 基于端口划分的 VLAN以网络设备的哪个端口属于哪个 VLAN的标准来划分VLAN例如，在一个 有

16、8个端口的网桥中，端口 1、2、4、7属于VLAN1而端口 3、5、6、8属于 VLAN2则与这些端口相连的设备、这些设备收发的数据帧相应地也分别属于 VLAN1 VLAN2究竟如何配置，由管理员决定。如果有多个网络设备，例如有 多个交换机，可以指定交换机1的16端口和交换机2的14端口为同一 VLAN即同一 VLAN可以跨越数个交换机，根据端口划分是目前定义VLAN的最常用的方法，IEEE 802.1Q协议标准草案中对如何根据交换机的端口来划分 VLAN合出了明确的规定。这种划分方法的优点和缺点都很明显：优点是定义 VLAN成员时非常简单，只要将所有的端口都指定一下就可以了；缺点是不允许 用

17、户随便移动。如果属于某个 VLAN的用户离开了原来的端口，至厅一个新的网 络设备的某个端口，那么网络管理者就必须重新定义VLAN2.2.2 基于MAC地址划分VLAN以计算机工作站网卡的MAC地址来划分VLAN这种划分方法的最大优点就 是由于一个MAC地址唯一对应一块计算机网卡，故此当某个计算机工作站物理 位置改变时、即从一台交换机转移到另一台交换机时，不需要重新配置VLAN而缺点是所有的VLAN成员必须事先定义，这在有数以百计乃至千计用户的网络 中，这并不是一件轻松的事。而且这种划分方法也导致了交换机执行效率的降低，因为交换机的每一个端口都可能连接许多不同VLAN组的成员，这样就无法限制广播

18、报文了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经 常更换，VLAN就必须不停的配置。2.2.3.基于网络层协议类型划分 VLAN如果网络支持多网络层协议，那么根据数据帧头中的网络层协议类型字段 也可以划分VLAN这对网络管理者来说很重要，同时，这种方法不需要附加的 帧标签来识别VLAN可以减少网络的通信量。2.2.4 基于网络层子网地址划分 VLAN根据数据报文头中的网络层子网地址也可以划分VLAN虽然这种划分方法根据的是第3层信息即网络地址（比如IP地址），但它与网络层的路由功能一 点关系也没有。它只是查看每个数据报文的网络层地址，并根据过滤数据库中 事先定义好的信息决定其归属于

19、哪个 VLAN然后再根据生成树算法进行桥交 换，并不牵涉任何路由操作22.2.5 基于网络层组播地址划分 VLAN网络层组播实际上是一种VLAN即认为一个组播组就是一个 VLAN这种划 分方法实际将VLAN扩大到了 WAN该方法的应用程序的类型乃至两者的综合来 划分VLAN也是有可能的。例如，规定所有的 FTP应用在一个VLAN里运行而所 有的Telnet应用在另一个VLAN里运行。这些方法的缺点在于它们都很费时， 都要求更高的处理技术和更快的处理速度，目前的实现尚无法令人们满意。226 基于网络层以上协议乃至应用程序的类型划分VLAN根据网络层以上协议的类型、可以自动检查数据帧的帧头，但检查

20、数据报文的报文头，贝嚅要更高的技术(设备设计制造成本也会相应增加)，同时也更 费时。当然，这跟各个厂商的实现方法有关。2.4VLAN的标准IEEE802.1Q,俗称“Dot One Q”，是经过IEEE认证的对数据帧附加 VLAN 识别信息的协议。在此，请大家先回忆一下以太网数据帧的标准格式。IEEE802.1Q所附加的VLAN识别信息，位于数据帧中“发送源MAC地址” 与“类别域(Type Field )”之间。具体内容为2字节的TPID和2字节的 TCI，共计4字节。2.4.2 Cisco ISLISL，是Cisco产品支持的一种与IEEE802.1Q类似的、用于在汇聚链路上 附加VLAN

21、信息的协议。使用ISL后，每个数据帧头部都会被附加 26字节的“ISL包头(ISL Header)”，并且在帧尾带上通过对包括ISL包头在内的整个数据帧进行计算 后得到的4字节CRCS。换而言之，就是总共增加了 30字节的信息。在使用ISL的环境下，当数据帧离开汇聚链路时，只要简单地去除ISL包头和新CRC就可以了。由于原先的数据帧及其 CRC都被完整保留，因此无需重 新计算CRC3. VLAN在校园网中的应用实例3.1校园网络特点分析就网络整体结构而言，校园网是一个千兆和百兆以太网链路连接的园区网 络。整个网络根据范围的限制可分为两个大的部分：内网和外网。从网络安全 级别的角度考虑又可将内网

22、分为两大部分：第一部分为重点信息安全保护区， 即校园网的重要应用服务器群和重要部门的网络设备和用户；第二部分为普通 信息安全区，即校园网中普通应用的网络设备和用户。外网即为校园外部网络 区域，也就是与校园网相连的教育网和INTERNET校园网重点考虑网络内部安全：包括信息访问安全和物理安全。信息访问安全即为内部网络各部门和用户 之间要能相互进行信息交换，又要保护重要部门数据的保密性，同时应禁止外 部用户非法访问内部数据。3.2某校园网 VLAN划分3.2.1 规划 VLAN某校有8个班级，4个专业，三个办公室和一个机房。把同一专业划分为一 个VLAN 4个专业划分为4个VLAN三个办公室划分为

23、一个 VLAN机房为一个 单独的VLAN所以划分为6个VLANVLAN号VLAN名端口号1VLAN1switchO/12zhon gwe nswitchO/23yin gyuswitch0/34shuxueswitch0/45bangon gshiswitch0/5VLAN1的中名字为VLAN1它的名字不能被改变。任何没有专有的静态端口 被认为是VLAN1中。322 配置 VLAN1连接交换机连接交换机可以有两种方式：通过控制端口连接和远程登陆。(1) 控制端口( CONSOLE连接(2) Tel net 登陆在“运行”窗口直接输入:telnet 34(交换机地址)，回车

24、。如果连接正确就会出现如下图所示的登陆窗口，键入正确的用户名和密码。2、配置中继单击"K"按键，选择主界面菜单中"K Comma nd Li ne"选项，进入如下命令 行配置界面：CLI sessi on with the switch is ope n.To end the CLI sessi on,en ter Exit .>此时我们进入了交换机的普通用户模式，就象路由器一样，这种模式只能查 看现在的配置，不能更改配置，并且能够使用的命令很有限。所以我们必须进 入“特权模式”。因为只有中心交换机需要创建和修改VLAN所以将中心交换机设置 VTP

25、为服务器模式，其它交换机设置为客户端模式。中心交换机配置为Switch(co nfig)#vtp domai n ciscoSwitch(co nfig)#vtp server其它交换机配置为Switch1(config)#vtp domain ciscoSwitch1(c on fig#vtp cli ntSwitch2(config)#vtp domain ciscoSwitch2(c on fig#vtp cli ntSwitch3(config)#vtp domain ciscoSwitch3(config#vtp clintSwitch4(config)#vtp domain cis

26、coSwitch4(con fig#vtp cli ntSwitch5(config)#vtp domain ciscoSwitch5(con fig#vtp cli ntSwitch6(config)#vtp domain ciscoSwitch6(con fig#vtp cli nt为了保证管理域能够覆盖所有的分支交换机，必须配置中继。Cisco交换机能够支持任何介质作为中继线，为了实现中继可使用其特有的ISL标签。ISL(Inter Switch Link )是一个在交换机之间、交换机与路由器之间及交换机 与服务器之间传递多个VLANB息及VLAN数据流的协议，通过在交换机直接相 连的端

27、口配置ISL封装，即可跨越交换机进行整个网络的 VLAN分配和进行配Switch(con fig)i nterfacc fastEthernet 0/1Switch(co nfig-if)switchportSwitch(config-if)#switchport trunk encapsulation islSwitch(config-if)#switchport mode trunkSwitch(c on fig)i nterfacc fastEthernet 0/2Switch(co nfig-if)switchportSwitch(config-if)#switchport trunk

28、 encapsulation islSwitch(config-if)#switchport mode trunkSwitch(c on fig)i nterfacc fastEthernet 0/3Switch(co nfig-if)switchportSwitch(config-if)#switchport trunk encapsulation islSwitch(config-if)#switchport mode trunkSwitch(c on fig)i nterfacc fastEthernet 0/4Switch(co nfig-if)switchportSwitch(con

29、fig-if)#switchport trunk encapsulation islSwitch(config-if)#switchport mode trunkSwitch(c on fig)i nterfacc fastEthernet 0/5Switch(co nfig-if)switchportSwitch(config-if)#switchport trunk encapsulation islSwitch(config-if)#switchport mode trunk在分支交换机端配置如下Switch1(config)#interface fastEthernet 0/1Swit

30、ch1(c on fig-if)Switchport mode trunkSwitch2(config)#interface fastEthernet 0/1Switch2(c on fig-if)Switchport mode trunkSwitch3(config)#interface fastEthernet 0/1Switch3(c on fig-if)Switchport mode trunkSwitch4(config)#interface fastEthernet 0/1Switch4(c on fig-if)Switchport mode trunkSwitch5(c on f

31、ig)# in terface fastEthernet 0/1Switch5(c on fig-if)Switchport mode trunkSwitch6 上的端口 1、2、3设置为 trunk 口。Switch6(co nfig)i nterface fastEthernet 0/1Switch6(c on fig-if)#switchport mode trunkSwitch6(c on fig)i nterface fastEthernet 0/2Switch6(c on fig-if)#switchport mode trunkSwitch6(c on fig)i nterfac

32、e fastEthernet 0/3Switch6(c on fig-if)#switchport mode trunk3、添加VLANVLAN可以在需要时进行添加。添加 VLAN之后，可以使用“show vian”再 次查看交换机上的VLAN配置，确认新的VLAN已经添加成功。Switch>Seitch#vla n databaseSwitch(vla n)#vla n 2 n ame zhon gwe nSwitch(vla n)#vla n 3 n ame yin gyuSwitch(vla n)#vla n 4 n ame shuxueSwitch(vla n)#vla n 5 n ame bangon gshi4、为VLAN分配端口以太网交换机通过把某些端口分配给一个特定的VLAN来建立静态虚拟网。将一个或一组端口分配给某一个VLAN要使用"vlan-membershipsta