基于VLAN技术的校园局域网建设

毕 业 论 文（设计）论文（设计）题目： 基于VLAN技术的校园局域网建设 系 别： 专 业： 学 号： 姓 名： 指导教师： 时 间： 毕 业 论 文（设 计） 开 题 报 告 系别:计算机与信息科学系 专业:网络工程学 号姓 名伍 珺论文（设计）题目基于VLAN技术的校园局域网建设命题来源教师命题 学生自主命题 教师课题选题意义:本选题的目的是把一个宠大的校园网划分成多个逻辑上独立子网，便于网络管理者的管理和维护,增强网络安全性。计算机网络影响了现代生活的很多方面，各大高校内部都建立起了局域网，随着校园网络规模的不断膨胀,网络负荷不断增大,当信道中广播包的数量占到总量的30%时,网络的传输效率将会明显下降甚至形成广播风暴,引起网络堵塞。同时,网络受到更多的安全威胁,管理也变得越来越复杂,网络可用性大大降低。在局域网中应用VLAN技术可以把互相通信比较频繁的用户划分到同一个VLAN中，这样在同一个工作组中的信息传输只在同一个组内广播，从而有效地减小了广播风暴对局域网网络的影响，也减轻了因广播包被截获而引起的信息泄露，增强了网络的安全性。一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。研究综述:目前，广域网和局域网技术得到广泛推广和应用。尤更其是局域网技术发展快，从传统LAN到交换LAN，再发展到虚拟LAN即VLAN。VLAN技术较传统LAN技术前进了一大步，让我们在辽阔的信息领域中拥有属于自己的空间。VLAN建立在局域网交换机的基础之上，是局域交换网的灵魂。这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。VLAN作为一种新型网络技术，能够为解决网络站点的灵活配置和网络安全性等问题提供良好手段。虽然VLAN技术目前还存在诸如技术标准的统一、VLAN管理的开销和VALN配置自动化等问题，然而随着技术的进步，这些问题将逐步得到解决。VLAN技术广泛应用于网络建设，从而为提高网络的工作效率发挥更大作用。随着校园网络的规模不断扩大和发展，也使得VLAN技术在校园网得更广泛应用。从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法： 基于端口的VLAN划分这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。 基于MAC地址的VLAN划分MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。这种VLAN一旦划分完成，无论节点在网络上怎样移动，由于MAC地址保持不变，因此适合有较多移动设备的LAN。 基于路由的VLAN划分路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。研究的目标和主要内容为了简化交换网络设计、提高交换网络的可扩展性，在校园网内部数据交换模块的部署是分层进行的。所以本选题拟采用分层设计的网络，一般分为访问接入层、汇聚层、核心层三层设计模型。接入层连接不同的VLAN，服务器群直接与汇聚层相连，核心层主要为汇聚层的网络提供高速分组转发，为整个校园网提供一个高速、安全与具有QoS保障能力的数据传输环境。从而构建安全校园网络，抵制广播风暴。本选题研究内容如下：(1)对校园网结构及模块进行分析设计，其主要核心内容是抑制广播风暴和构建安全校园网络，因此，该校园网采用了接入层、汇聚层、核心层三层架构，由交换模块、广域网接入模块和服务器群三大部分组成。(2)各模块的主要功能如下：交换模块：在接入层交换机上按要求划分VLAN。把服务器群直接接入汇聚层交换机，各VLAN间的路由在汇聚层交换机上实现。核心层交换机主要为汇聚层提供高速分组转发，为整个网络入提供一个高速、安全的数据传输环境。广域网接入模块：广域网接入模块的功能是由Internet接入路由器Route来完成的。其主要是在Internet和校园网内网间路由数据包。除了完成主要的路由任务之外，还可用ACL来完成以自身为中心的流量控制和过滤功能，并实现一定的安全功能。服务器模块：服务器模块用来对校园网的接入用户提供各种服务。拟采用的研究方法a）查找并阅读相关资料，了解基本的内容,利用需求分析文档，对整个校园网有个初步的架构。b）搜寻实验用的文件文档集和研究过程中用到的各种工具软件、测试命令。c）根据已有的资料并借助网络信息对校园网各模块进行分析、设计。d）采用Cisco Packet Tracer软件完成整个校园局域网的组建、配置与测试。研究工作的进度安排2010年11月24号11月29号 与指导老师沟通交流，完成毕业论文选题。2010年12月12号12月19号 搜集资料，查阅文献，完成开题报告。2010年12月20号2011年1月1日 完成文献综述2011年1月2号1月15号 定出基于VLAN技术的校园局域网建设的需求分析文档2011年1月16号1月30号 整理相关资料并完成概要和详细设计2011年2月1号3月30号 进行校园局域网的相关配置和必要性测试2011年4月1号4月15号 后期的调试和测试2011年4月16号5月10号 总结毕业设计的整个过程，完成毕业设计论文初稿2011年5月10号5月30号 修改毕业论文定稿，打印装订，参加答辩参考文献目录1 郭春柱.网络工程师考试案例动手实验营M.北京：清华大学出版社,2008.12. 2 刘勇.基于VLAN技术的校园局域网建设J.商洛学院学报,2010.8,24(4)：25-27.3 斯桃枝,李战国，王泽成.计算机网络系统集成M. 北京: 北京大学出版社,2006.1. 4 王巍.交换机在划分校园VLAN中的应用J.北京工业职业技术学院学报,2007.7,4(3):4-6. 5 张青,刘忠耿.VLAN技术应用于校园网的优势及其配置J.基础教育,2004(1)：6266.指导教师意见 该生的选题基于VLAN技术的校园局域网建设, 用思科交换机3560、2950和路由器2811配置校园VLAN，技术上比较新颖，难度适中，也有实用价值，工作量符合要求，同意开题。 签名： 年 月 日教研室主任意见同意指导教师意见，同意开题。 签名： 年 月 日目录摘要1关键词1引言11 VLAN技术简介111 什么是VLAN112 VLAN的实现原理213 校园网中应用VLAN技术的意义22 VLAN的划分33 VLAN交换机的互联方式54 VLAN间的路由541 路由器实现VLAN间的通信542 用三层交换机代替路由器实现VLAN间的通信65 校园网VLAN及IP地址规划66 VLAN技术在校园网中的实现67 VLAN的配置过程及验证871 VLAN的配置过程872 实验结果验证108 总结12参考文献：12Abstract13Keywords13致谢13基于VLAN技术的校园局域网建设 网络工程专业 指导教师 摘要随着计算机网络的高速发展，大大加快了校园网建设和应用的步伐，在校园网中，网络应用不断增长，网络变得越来越拥挤，冲突不断产生，网络受到的威胁也不断增加，管理难度日益加大。因此，学校对于校园网的组建要求越来越高，客观上要求LAN本身的结构可以实现动态组建、调整和管理，从而加快了虚拟子网技术的应用速度。本文通过对校园网进行VLAN规划，详细的介绍VLAN的相关知识。在校园网建设中使用思科交换机3560、2950和路由器2811配置校园VLAN。在校园网中合理的划分VLAN，可通过端口隔离充分防止冲突的产生，并且可以简化校园网的管理及提高网络的安全性。关键词VLAN；冲突；网络安全；校园网引言 校园网是给学校师生提供教学、信息查询和校园管理的一种宽带网络；是学校信息化教学和实现各项智能管理的基础；是建立远程教育体系的基本保障。随着校园网中计算机，交换机等网络设备数量的不断增加，网络流量也随之增大，使得网络出现了各种问题和故障。最主要的问题是广播风暴和IP和冲突，这两个问题会导致校园网络瘫痪，极大的影响了校园网的使用。对于网络管理者而言，急需一种技术来解决这些问题，这就是现在在交换式网络中广泛应用的虚拟局域网(VLAN)技术。VLAN作为一种新型网络技术，能够为解决网络终端节点的灵活配置和网络安全性等问题提供良好手段。因此，VLAN技术被广泛应用于网络建设中，从而为提高网络的工作效率发挥更大作用。随着校园网络的规模不断扩大和发展，也使得VLAN技术在校园网得更广泛应用。1 VLAN技术简介11 什么是VLAN虚拟局域网(VLAN)，是英文Virtual Local Area Network的缩写，是指在交换式网络中，把物理局域网划分成多个独立的逻辑子网，使网络中的站点不受物理位置的限制，可以根据需要灵活地加入、删除不同的逻辑子网的一种新兴网络技术。 一个VLAN中的站点所发送的广播数据包将仅转发至属于同一VLAN的站点。因此在大型网络中使用VLAN，可以缩小广播域，提高网络的传输效率，从而大致提高网络性能的目的。12 VLAN的实现原理VLAN交换机在接收到一个数据包后，首先会对这个数据包进行检查，将该数据包的目的地址与VLAN配置数据库中的MAC地址（这些MAC地址可以是静态配置的也可以是动态学习而得到的）比较，如果数据包的目的地址在同一VLAN中，那么交换机把一个 VLAN标识加到这个数据包上，再将该数据包转发到相应的目的地；如果数据包的目的地址不在同一VLAN中，VLAN交换机则不更改数据包直接转发。比如交换机的15端口都属于VLAN 2，那么当端口1有一个数据包进来时，交换机自动检测到该数据包有没有8021Q标签头时，若没有则会自动为该数据包添加VLAN 2的标签头，然后再将数据包转交给交换机的数据库查询模块，数据库查询模块会根据数据包的目的地址和所属VLAN对数据包进行路由，之后转交给转发模块，因为实际上发送端口所连的以太网段的计算机是不能识别这种数据包的，所以，当转发模块看到这是一个包含VLAN标签头的数据包时，会自动将数据包进来时交换机添加的VLAN标签头去掉。如果发送端口所连的以太网段的计算机能识别VLAN标签头，那么交换机就不需要添加或删除VLAN标签头了。交换机是否删除VLAN标签头这要看发送端口所连的以太网段的主机是否能识别这类数据包，即交换机的端口是哪种类型的端口。通常用于连接两台交换机的端口都是TagAware端口，这样在交换机之间交换数据包时就无须去掉VLAN标签头。13 校园网中应用VLAN技术的意义在校园网的建设中应用VLAN技术，主要有以下几方面的积极意义：第一，提高网络性能。对于大型网络，当信道中广播包的数量占到总量的30%时，网络的传输效率将会下降甚至形成广播风暴，引起网络堵塞。为了解决这一问题，可以通过对网络划分多个虚拟局域网，把经常通信的站点划分到同一VLAN下，因为同一VLAN的广播包只在同一VLAN中进行传播，这样可以把广播限制在各个VLAN内，从而减少整个网络范围内广播包的传输。第二，增强网络安全性。在交换机上划分VLAN以后，VLAN与VLAN之间不能直接通信，要想实现VLAN间的通信，必须通过三层交换设备或路由设备来完成。可以通过路由访问列表和端口分配等VLAN划分原则，控制用户访问权限和逻辑网段大小，将不同用户群划分在不同 VLAN 中，从而提高校园网的整体性能和安全性。如果结合相应的网络技术还可以方便地控制校园网用户的登陆地点，例如开启交换机的认证功能 ,校园网用户在登陆校园网前首先要进行身份认证，可以将认证帐号绑定到具体的VLAN中，这样只有具备相应VLAN认证帐号的用户才能在指定的VALN登陆校园网络。第三，网络管理简单、直观。 应用VLAN技术组建的校园网，可以根据各部门职能、对象组，将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用VLAN技术，大大减轻了网络管理员管理和维护网络的工作负担，降低了网络维护费用。实现了网段和机构的弹性组合机制。第四，降低移动和变更的管理成本。在学校里，由于教学人员的变更比较频繁，当把一台计算机从一个子网转移到另一个子网，如果使用了VLAN，迁移的工作只是在交换机上重新定义VLAN即可，尤其是采用网卡的MAC地址来划分VLAN时，交换机能够自动跟踪该终端的MAC地址，并自动将其纳如定义的VLAN中，对于网络管理而言，可以轻松完成变更。假若使用物理手段划分子网，这种迁移所耗费的精力和时间相当可观的。2 VLAN的划分划分VLAN时，可依据不同原则进行VLAN的划分，一般有以下几种划分方法：（1）基于端口的VLAN划分这种划分是现在比较流行也是最早的划分方式，是根据需要把交换机上的端口划分成若干个逻辑组。这些端口分组能够在一台交换机上也能够跨越几个交换机。一个VLAN的各个端口上的所有终端节点都在一个广播域中，不同的VLAN之间不能直接相互访问，VLAN间的通信需要通过路由来实现。这是划分VLAN方法中最简单、最有效的方法，这种方法只需要网络管理员手动将交换机的所有端口根据需求划入不同的VLAN中，而不需考虑端口所连接的设备。其命令的基本格式为：switchport access vlan vlan-id（2）基于MAC地址的VLAN划分MAC地址是网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。此种方式划分的VLAN，交换机对终端节点的 MAC地址和交换机端口进行跟踪，在新终端节点接入网络时根据已经定义的VLAN与MAC地址对应表将其划分到某一个VLAN中即可。这种VLAN一旦划分完成，无论节点在网络上怎样移动，由于MAC地址保持不变，仍然是所属VLAN的成员，不需重新划分。因此适合有较多移动设备的LAN。（3）基于IPIPX的VLAN划分IP地址由两部分组成：网络号和主机号。若网络中的计算机的网络号相同，那么这些计算机就属于同一网段，位于同一网段的计算机并不要求一定要在同一个物理网络中。这样，我们就可以根据IP地址来划分VLAN。这种划分VLAN方式的好处是有利于在VLAN交换机内部实现路由功能；也有利于将动态主机配置（DHCP）技术结合起来，而且，用户可以在移动终端节点后不用重新配置网络地址，便于网络管理者的管理。其主要缺点在于效率要比第二层差，因为查看三层IP地址比查看MAC地址所消耗的时间更多。互联网分组交换协议IPX（Internetwork Packet Exchange protocol)，是一个专用的协议簇；是Novell NetWare网络的网络层协议；是IPX协议簇中的第三层协议。所以基于IPX划分VLAN的方法，就是按照OSI模型的第三层地址设计出来的。（4）基于策略的VLAN划分这是一种灵活性最好的组成VLAN的方法。在网络管理中制定某种策略，使用这种策略向VLAN分配节点设备，适用于所有的LAN交换机，实际上这种方法是根据网络管理模式和本单位的需求灵活使用基于交换机端口、MAC地址、IP地址、网络层协议等划分方法进行VLAN的划分。（5）基于用户定义、非用户授权的VLAN划分这种划分方式是指为了适应特殊的VLAN网络，特殊的网络用户的特别要求来定义和设计VLAN，且可让不属于VLAN群体的用户对VLAN进行访问。访问时需要提供用户名及密码，在得到了VLAN管理的认证后，方可加入一个VLAN中进行访问。（6）基于网络协议的VLAN划分基于网络层协议划分VLAN，可分为DECnet、AppleTalk、Banyan等VLAN网络。根据网络层协议划分出来的VLAN网络，可使得广播域能够跨越若干个VLAN交换机，这种划分方法有利于针对有具体应用和服务来组织用户的网络管理员来进行VLAN的规划，并且，各VLAN的用户可以在网络中自由移动终端结点，其VLAN成员身份保持不变。因为广播域可域跨越多个VLAN交换机，所以容易使得一些VLAN中的终端结点数量较多，产生大量广播包，使VLAN交换机的效率降低。因此这种划分方法只在有特殊情况时才会使用。3 VLAN交换机的互联方式（1）接入链路。接入链路（Access Link）是将非VLAN标识的结点或者非VLAN成员的VLAN设备接入一个VLAN交换机端口的一个LAN网段上。它不能承载标记数据。（2）中继链路。中继链路（Trunk Link）是承载标记数据（即具有VLAN ID的数据包）的干道链路，它可以承载多个VLAN并且只能支持那些能够识别VLAN帧格式和VLAN成员资格的VLAN设备。中继链路经常用在两个VLAN交换机的连接链路上。4 VLAN间的路由在局域网中对VLAN的合理划分可缩小网络中的广播域，提高网络的传输速度，由于属于不同VLAN中的计算机之间不能直接通信，从而使网络安全性能得到了很大提高，但在实际的很多网络中是要求处于不同VLAN中的之间能够相互通信。如果要实现不同VLAN中计算机的相互通信，必须借助网络层的路由功能来完成。路由功能即由路由器或带有路由功能的三层交换机提供。41 路由器实现VLAN间的通信通过路由器来实现VLAN间通信时，路由器与交换机有两种连接方式：第一种方式，通过路由器的各个物理接口分别与交换机上的每个VLAN相连；第二种方式，通过路由器的逻辑子接口与交换机上的每个VLAN相连。（1）通过路由器的各个物理接口分别与交换机上的每个VLAN相连此种连接方式的好处是对VLAN的管理简单，缺点则是使网络很难扩展。因为每当增加一个新的VLAN，都要消耗路由器的一个端口和交换机上的一个端口，并且还需重新布设一条网线。由于路由器通常不会带有太多LAN接口。在新建VLAN时，为了应对新增的VLAN所需的端口，就必须将路由器升级成带有多个LAN接口的高端产品，而且还要重新布线，这些无形中会增加一大部分开销，从而使得这种连接方法成为一种不实用的办法。（2）通过路由器的逻辑子接口与交换机上的每个VLAN相连这种连接方式只需要路由器一个以太网接口和交换机连接，交换机与路由器连接的这个接口设置为Trunk接口即可。接着在路由器上创建对应各个VLAN的逻辑子接口，如F0/0.1和F0/0.2。42 用三层交换机代替路由器实现VLAN间的通信目前有很多三层以上的交换机，都是厂家通过硬件或软件的方式将路由功能添加到交换机上。由于园区网中的路由比较简单，但又对数据交换的速率要求较高，所以交换机主要应用在园区网中。因此在大中型园区网中通常使用交换机来代替路由器。用交换机代替路由器实现VLAN间的相互通信也有两种方法：第一种方法，就是使用ip routing命令启用交换机的路由功能，然后配置各VLAN的管理地址和一条通信Internet的默认路由。第二种方法，是利用一些高端的交换机，这些交换机支持专用VLAN功能，管理员可使用这种功能来实现VLAN间的通信，但这种方法花销太大，不适合实际的需求。5 校园网VLAN及IP地址规划虚拟局域网(VLAN)将广播域控制在单个VLAN内，从而减少了各个VLAN间主机的广播通信对其他VLAN的影响。在各VLAN间需要相互通信时，可以使用VLAN间的路由来实现。在日益增大的校园网中，VLAN的的合理划分显得尤为重要。划分后的校园网各个部门将位于不同VLAN中，各自独立确保网络安全及网络高效运行，其中各个VLAN具体对应的机构设置及IP地址段见表5-1。表5-1 校园网内部VLAN和IP地址Vlan号Vlan名IP段默认网关备注VLAN 1192.168.1.0/24192.168.1.254管理VLANVLAN 11xzbg192.168.11.0/24192.168.11.254行政办公VLAN 22tsg192.168.22.0/24192.168.22.254图 书 馆VLAN 33wljs192.168.33.0/24192.168.33.254网络教室VLAN 44xsgy192.168.44.0/24192.168.44.254学生公寓VLAN 55jsgy192.168.55.0/24192.168.55.254教师公寓VLAN 66hqgl192.168.66.0/24192.168.66.254后勤管理VLAN 100zxjf192.168.100.0/24192.168.100.254中心机房6 VLAN技术在校园网中的实现VLAN划分在路由器和三层交换机中都可实现，但路由器是基于软件的路由选择操作，效率较低，随着需要路由的数据量增大，传统的路由器将不堪重负，容易成为网络通信瓶颈。三层交换技术是指在二层以太网交换设备基础上，增加了基于第三层地址的包交换后，形成的一种以太网交换技术。应用此技术的交换机我们通常称其为三层交换机。因此在大中型局域网中，以采用三层交换机为主。以某高校校园网为例，采用三层交换技术和VLAN技术相结合对校园网进行组网划分。为了简化校园网的设计、增加校园网的可扩展性，本校园网的组建拟采用分层的试设计的网络，一般分为接入层、汇聚层及核心层三层模型。接入层连接不同的VLAN，服务器群直接与汇聚层相连，核心层主要为汇聚层的网络提供高速分组转发，为整个校园网提供一个高速、安全与具有QoS保障能力的数据传输环境。从而构建安全校园网络，抵制广播风暴。核心层交换机采用Cisco 3560三层交换机，具备路由转发功能。汇聚层交换机也采用Cisco 3650，接入层交换机采用Cisco 2950，由Cisco 2811路由器与Internet连接。结合网络功能模块和网络规模，可将学校按需要划分为7个VLAN。划分后的校园网络拓扑图如图6-1所示。图6-1 网络拓扑图7 VLAN的配置过程及验证71 VLAN的配置过程本方案采用端口划分方式配置VLAN。首先要在汇聚层交换机上设置一个VTP管理域（VLAN Trunking Protocol Domain），并将局域网内所有的交换机都加入该域，这样管理域里所有的交换机就能够了解彼此的VLAN列表。当校园网不断的扩大，网络中的交换机会增多，从而交换机之间链路也会随之增加，交换网络的复杂性也随之增大，这样很可能会造成交换环路问题，这时就需要通过在各交换机上运行生成树协议（STP）来解决这些问题。本网络将核心交换机命名为Core；汇聚层交换机命名为S3560_1、S3560_2，并设置为Server模式，以便在该交换机上创建、修改、删除VLAN及其他一些对整个VTP域的配置参数；分支交换机分别命名为AccessS_1、AccessS_2、AccessS_3、AccessS_N。汇聚层交换机的配置过程如下：S3560_1(config) #vtp mode serverS3560_1(config) #vtp domain school /配置vtp 管理域名分支交换机的配置过程如下：AccessS_1(config) #vtp mode clientAccessS_1(config) #vtp domain school /将AccessS_1加入管理域为了保证管理域能够覆盖所有的分支交换机，要为交换机的接口配置中继链路。配置中继有两种常见的帧标记技术：ISL和802.1Q。ISL是CISCO特有的技术，不能在CISCO交换机和非CISCO交换之间使用，而802.1Q技术在原有帧的源MAC地址字段后插入标记字段，同时用新的FCS字段代替了原有的FCS字段，该技术是国际标准，得到所有大家的支持。为了方便校园网以后扩充网络设备时可能会用到其他厂商的网络设备，本设计中中继协议采用802.1Q封装协议。汇聚层交换机S3560_1配置过程如下：S3560_1 (config) #int g0/1S3560_1 (config - if) #switchport trunk encapsulation dot1q /配置802.1Q封装协议S3560_1 (config - if) #switchport mode trunk交换机AccessS_1配置过程如下：AccessS_1 (config) #int f0/23AccessS_1 (config - if) #switchport mode trunk注：本设计的接入层交换机采用的是2950交换机。因为2950只能封装dot1q,因此接入层换机和汇聚层交换机相连的端口都无需执行命令switchport trunk encapsulation dot1q。管理域设置完成后，开始创建VLAN，先在汇聚层交换机上进行配置：S3560_1 (config) #vlan 11S3560_1(config-vlan) #name xzbg.S3560_1 (config-vlan) #vlan 100S3560_1 (config-vlan) #name xzjfVLAN创建完成后，分别配置分支交换机的访问链接（Access Link）端口，将交换机端口划入相应vlan中，并把各端口设置成快速端口（PortFast）。以交换机AccessS_1为例，将端口110划入vlan 11。配置命令如下：AccessS_1(config) #int range f0/1-11AccessS_1(config - if) #switchport mode access /把交换机端口设置为access模式，说明该端口是用于连接计算机的，而不是用于trunk。AccessS_1(config - if) #switchport access vlan 11AccessS_1(config - if) #spanning-tree portfast /将端口f0/1到f0/22设置成快速端口由于处于不同VLAN的计算机之间要相互通信，需要通过三层路由交换机来实现，所以需要给各VLAN分配IP地址。给VLAN分配IP地址有两种方法：一种方法是给VLAN所有的节点分配静态IP地址；另一种是给VLAN所有的节点分配动态IP地址。本设计中VLAN间的路由功能由汇聚层的三层交换机S3560_1、S3560_2来完成，采用静态分配IP地址的方法。配置时首先使用ip routing命令启用3层交换机的路由功能，然后为每个VLAN配置默认网关；最后还需要配置内网用户通往外网的默认路由，该默认路由的下一跳地址为路由器R2811的f0/0的IP地址。具体配置如下所示：S3560_1(config) #ip routing S3560_1(config - if) #int vlan 11S3560_1(config - if) #no shutS3560_1(config - if) #ip add 192.168.11.254 255.255.255.0.S3560_1(config) #ip route 0.0.0.0 0.0.0.0 192.168.1.254最后把各个接入VLAN计算机的IP地址设置成所属VLAN的网络地址的子网地址，并且把所属VLAN的管理地址设置为自己的默认网关。这样，VLAN划分就完成了。为了使网络管理员可以在不同的子网中远程登录到交换机并且对交换机进行配置，我们还必须为交换机设置一个管理用IP地址和设置默认网关地址。给交换机设置管理用IP地址只能在交换机的VLAN 1，即本征VLAN中进行设置。按照表1所示，管理VLAN所在的子网是192.168.1.0/24。以接入层交换机AccessS_1为例，AccessS_1的管理IP地址设置为192.168.1.4，默认网关地址为192.168.1.254，则激活本征VLAN的配置过程如下：AccessS_1(config) #int vlan 1AccessS_1(config - if) #ip add 192.168.1.4 255.255.255.0AccessS_1(config - if) #no shutAccessS_1(config - i f) #ip default-gateway 192.168.1.254其他交换机的配置命令相似，这里就不再赘述。为了保证网络中交换机和路由器的安全及正常使用，只有VLAN 100中的计算机能够远程登录到各交换上对其进行相关操作。具体配置为在各交换机及路由器上设置ACL访问控制列表，并把ACL应用到远程登录接口VTY上，对各VLAN远程登录交换机进行限制。ACL命令为：access-list 10 permit 192.168.100.0 0.0.0.25572 实验结果验证实验配置完成后，可以在各交换机上使用show vlan命令查看VLAN的划分情况（如图7-1所示），在PC机上使用ping、telnet命令查看网络中vlan间的通信是否正常和查看是否只有VLAN 100内的PC机可以远程登录到交换机和路由器（如图7-2，图7-3，图7-4所示）。图7-1 在交换机AccessS_1上查看VLAN的划分情况图7-2 在pc1上测试与pc2和pc3的通信是否正常图7-3 在pc1上telnet交换机S3560_1图7-4 在pc9上telnet交换机S3560_18 总结本设计通过使用三层交换技术和VLAN技术的结合来进行基于VLAN技术的校园局域网的设计和配置。在设计过程中使我对大学四年的理论知识有了更系统更全面的掌握；对计算机网络知识有了更进一步的认识和了解，特别是在实际网络设备的配置方面有很大的提高。在网络建设中，对VLAN的规划有了进一步的认识，让我了解到理论联系实际的重要性。通过对校园网的IP地址的分配和VLAN规划，使我深刻的认识到，在计算机网络建设中，一定要根据IP地址分配和VLAN划分原理来进行网络规划。并且，还需考虑到实际情况，如网络设备性能、网络规模、网络运行管理、网络安全和网络升级等方面的因素，形成一套合理的、适当的IP地址分配方案和VLAN规划方案。这将大大提高网络的整体性能，给网络管理带来许多便利。参考文献：1 梁广民,王隆杰.思科网络实验室路由、交换实验指南M.2 甘刚.网络设备配置与管理M.北京:清华大学出版社,2007.43 魏大新,李育龙.CISCO网络技术教程M.2版.北京:电子工业出版社，2009.34 魏大新,李育龙,强振海.CISCO网络工程案例精粹M.北京:电子工业出版社，2007.45 郭春柱.网络工程师考试案例动手实验营M.北京:清华大学出版社，2008.126 张青,刘忠耿.VLAN技术应用于校园网的优势及其配置J.基础教育,2004(1)：6266.7 刘勇.基于VLAN技术的校园局域网建设J.商洛学院学报,2010.8,24(4)：25-27.8 王巍.交换机在划分校园VLAN中的应用J.北京工业职业技术学院学报,2007.7,4(3):4-6.9 谢希仁.计算机网络(第二版)M.北京:电子工业出版社,2001.10 周生炳主编;李少甫,舒畅,任邵东副主编.计算机英语教程M.北京:清华大学出版社;北京交通大学出版社,2005.2（2009.7重印）.The Construction of Campus LAN Based on VLAN TechnologyMajor：network engineering Supervisor Abstract With the rapid development of computer networks, greatly speeding up the campus network construction and application of the pace,network application is increasing constantly,the network becomes more and more crowded,the conflict is being produced constantly,the network receives the threat increases unceasingly,the difficulty in management is strengthened day by day.hence,to setting up demand of section of LAN network more and more too flexibly and dynamically inside the school, Require the structure of LAN itself to realize that set up, adjust and manage dynamically objectively.Thereby accelerating the speed of virtual subnet technology.This text is through planning VLAN to campus network,the relevant knowledge of detailed introduction VLAN.Construction of the campus network to use Cisco Switch 3560、2950 and Router 2811 configured campus VLAN.Reasonable in the campus network by VLAN,Port isolation can be sufficient to prevent the emergence of conflict,And can simplify the management of the campus network and improve network security.Keywords VLAN；Conflict；Network Security；Campus Network致谢在本论文的写作过程中，我的指导老师老师倾注了大量的心血，从选题到开题报告，从写作提纲，到一遍又一遍地指出每稿中的具体问题，严格把关，循循善诱，在此我表示衷心感谢。同时我还要感谢在我学习期间给我极大关心和支持的各位老师以及关心我的同学和朋友。