毕业论文(设计)校园网络中VLAN技术的应用

普通本科毕业论文(设计)题 目: 校园网络中VLAN技术的应用院 别 信息管理学院 摘 要以太网以其低成本、高速率和功能强大的优势成为未来宽带接入的主流，而交换机对于构建高性能网络起着至关重要的作用，它使网络各站点之间可独享带宽，从而提高了传输速率。但是传统以太网不能有效解决广播风暴和安全性控制等问题。虚拟局域网技术（VLAN）的引入，可以有效地分割网络，在一定程度上解决了局域网中的广播风暴问题。而且，VLAN技术使管理更为方便，提高了网络的安全性。如何有效地划分虚拟局域网，以及如何在交换机之间交换虚拟局域网成员信息，成为了虚拟局域网实施中的关键问题。论文中简要介绍了虚拟局域网技术的特点和关键技术，及其在校园网的管理、维护和安全方面的作用。重点讨论了交换技术的选择，并以一所学校的虚拟局域网应用实践为例阐述了该技术在校园网中的应用。【关键字】 虚拟局域网；校园网；交换技术Application of VLAN Technology in Campus NetworkAbstract：The future of the last-mile belongs to Ethernet because of its low cost, high-speed and powerful functions, while switch plays a very important role in constructing high performance networks. It makes the workstations attached to the network need not to share the bandwidth with one another. It can improve the efficiency of data transmission.However the traditional ethernet switch has its disadoantages: inability to restrain broadcasting storm and security control. VLAN technology is put forward to devide broadcast domain effctively, which can alleviate the broadcasting storm, facilitate the network management and improve the security. How to assign VLAN and how to exchange VLAN information between switches are the two key problems in VLAN implementation. This thesis briefly introduces the features and key technology of VLAN, and its function in the management, maintenance and security in university campus network; explains how to select switch technology; and presents are example of a university campus network with the practice and application of a university VLAN.Keywords： Virtual Local Area Network ; Campus network ; Switch technology目 录1 VLAN技术1.1 引言 1.1.1 课题研究背景1.1.2 VLAN的现状与发展趋势1.1.3 本论文的研究思路1.2 VLAN的概念1.3 VLAN的特点1.4 VLAN的分类2 交换技术简介2.1 两层交换技术2.2 三层交换技术2.2.1 选用三层交换机的必要性2.2.2 第三层交换的应用特征3网络总体需求分析与详细设计3.1 网络总体方案详细设计3.2.1 VLAN应用3.2.2 VLAN的具体划分4VLAN的配置4.1 VLAN的工作模式4.2 802.1Q Tag VLAN4.3 VLAN链路类型4.4 VLAN干道协议VTP4.5 VLAN的应用配置说明5图书馆安全性策略6总结参考文献1 VLAN技术虚拟局域网（Virtnal local Alea Network,VLAN）是当前构建园区网普遍采用的技术1。以交换机为主要连网设备的传统组网方式是基于物理网络布局搭建网络平台的，而虚拟局域网是从逻辑上搭建网络的一种方式。可以把同一台交换机上的用户主机划分到不同的VLAN中，逻辑上看它们如同连接在几台互不相连的交换机上一样；也可以把位于不同交换机上的用户主机划分到同一个VLAN中，逻辑上看它们如同与一台交换机相连一样。1.1 引言校园网的普及和发展促进了学校各类信息技术和远程教学的迅猛发展，大大加快了学校信息化建设的步伐。同时，随着校园网中计算机、交换机等网络设备的大量增加，网络数据流量也骤然增大，各种问题和故障层出不穷。特别是大量“网络风暴”导致校园网络瘫痪，极大地影响了校园网的运行。对于网络管理者来说，希望有一种特别的技术能解决这些问题，它就是现在应用比较广泛的VLAN技术。 课题研究背景21世纪是一个全球信息化的时代，信息产业将和各个行业相互融合，共同繁荣。在社会、市场的强烈需求和现代科技的有力支持下，网络技术得到了突飞猛进的发展。交换网络以其自身的优势取代了传统的共享网络。交换机将网络分为多个网段，隔离了冲突域。端口间通信互不干扰，从而增加了网络带宽，提高了网络吞吐能力，减小了时延，使网络总体性能得到提升。传统以太网系用CSMA/CD技术避免冲突，同一网段各站点发送数据包前要通过广播查询目的地的MAC地址。如果没有使用VLAN技术进行隔离，这些数据包会占用大量网络资源，从而严重影响网络性能。VLAN依靠用户的逻辑设定将原来物理上互联的一个局域网络划分为多个虚拟网段，即在两层交换机的逻辑上划分若干LAN，将广播信息、组播信息等限制在一组特定的端口上，从而为限制全网范围的广播和多点广播提供有效的控制手段。在网络设计中，应选择切实可行的技术进行VLAN的灵活划分。划分可依据设备所连的端口、用户节点的MAC地址等。VLAN的作用是使得同一VLAN 中的成员间能够互相通信，而不同VLAN之间相互隔离，如果需要通信则必须通过路由设备。校园网通常采用三层交换机实现路由功能，这样可以提高VLAN之间的路由效率，提高带宽利用率和网络性能，并增强网络应用的灵活性和安全性。 VLAN的现状与发展趋势随着网络交换技术日新月异的发展，局域网已进入高速、交换时间网络交换机，特别是第三层交换机已成为目前各大高校网络建设或网络改造的热门产品，与网络交换机密切相关的VLAN技术在网络中得到越来越广泛的应用。从某种角度讲，VLAN已成为建立包括交换机、路由器及相关网络管理应用在内的大规模、可扩展、交换式互连网络的技术和系统解决方案。由于网络朝着服务器集中化的趋势发展，因此企业范围内的电子邮件应用软件，以及其他各种各样的网络资源对于所有用户都是可用的，无论他们的虚拟局域网成员资格如何。实施虚拟局域网的组织机构认识到对某种逻辑端工作站（例如集中化的服务器）的需要，以便与多个虚拟局域网在经常基础上通讯，既可通过重叠的虚拟局域网（其中与网络相连的端工作站同时又属于一个以上的虚拟局域网），也可通过可以线速处理虚拟局域网间数据包的集成路由功能。从战略的观点出发，这些组织机构可用两种方式部署虚拟局域网：(1)作为基础设施的虚拟局域网实施；(2)基于服务的虚拟局域网实施。方式的选择将对整个网络结构有实质性影响，甚至可能影响到组织机构的管理结构和商业模型。 本论文的研究思路本设计的主要目标是在充分理解IEEE 802.1Q标准和对VLAN技术进行研究的基础上，根据整个江财校园网的状况，并以图书馆的应用作为切入点，通过详细的需求分析和相关的应用阐述VLAN技术的应用，主要实现IEEE 802.1Q标准中基于端口的VLAN以及一些安全性的访问控制。通过自己对VLAN的特点、工作原理和实现机制的深入分析，以图书馆网络来进行VLAN的划分，各部门、各楼层间同时有几套系统并存，如集成管理系统、光盘检索系统、VOD 点播系统，不同的系统有不同的用户、不同的安全性要求和不同的使用权限，因此采用VLAN 技术，将位于不同地理位置的相应的服务器、用户和其它网络对象进行分组，并设定相应的安全和访问权限，然后由计算机根据自动配置形成相应的虚拟网络工作组，涉及到的内容VLAN的分类以及根据图书馆所分布的信息点，在交换机上如何对VLAN进行有效的划分，这就涉及到如何控制好广播风暴以及安全策略，最后对前面所做的需求分析，在交换机上进行配置、调试。最后以YS-Route Sim 3.1为设计工具，在模拟器上进行演示。本文在撰写过程中，第一部分中的VLAN的概念引用了李刚，最新网络组建、布线和调试实务，(2004年：电子工业出版社)中的观点；第一部分中的VLAN的分类引用了肖帅领窦西河等，网络工程与实施，(2006年：北京希望电子出版社)中的观点；第二部分中的三层交换技术引用了李刚，最新网络组建、布线和调试实务，(2004年：电子工业出版社)中局域中技术的相关观点；第六部分中的图书馆安全性策略引用了曾巧红，用VLAN技术构建图书馆网络J，(2003年，图书馆论坛，第3期)中相关介绍内容。1.2 VLAN的概念一方面，VLAN 建立在局域网交换机的基础之上；另一方面，VLAN是局域交换网的灵魂。这是因为通过VLAN，用户能方便地在网络中移动和快捷地组建宽带网络，无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理方便和易于扩展。是否具有VLAN功能，是衡量局域网交换机的一项重要指标。网络的虚拟化则是未来网络发展的潮流。传统的局域网使用具有冲突检测的载波监听多路访问碰撞检测(CSMA/CD)技术来避免冲突。在CSMA/CD网络中，节点可以在有数据需要发送的任何时候使用网络。在节点传输数据之前，它先进行“监听”以了解网络是否繁忙。如果不忙，节点便开始传送数据。如果网络正在使用，节点便继续等待。如果两个节点同时监听，均没有听到任何信号，于是同时开始使用线路，这样便出现了冲突。如果节点在发送数据时，使用广播地址，那么在此网段上的所有主机都将收到数据包。这样如果该网段上的主机众多，便很容易引起广播风暴。冲突和广播风暴是影响网络性能的重要因素。为解决这一问题，研究者引入了VLAN的概念4。虚拟网络是在整个网络中通过网络交换设备建立的虚拟工作组。虚拟网在逻辑上等于OSI模型中第二层的广播域，与具体的物理网及地理位置无关。虚拟工作组可以包含不同位置的部门和工作组，不必在物理上重新配置任何端口，真正实现了网络用户与它们的物理位置无关。虚拟网技术把传统的广播域按需要分割成各个独立的子广播域，从而将广播限制在虚拟工作组中。由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。所以，VLAN有效地分割了冲突域和广播域。1.3 VLAN的特点VLAN在逻辑上等同于广播域，网络中的站点按网络用户的性质和需要划分成若干个“逻辑工作组”，每一个“逻辑工作组”就是一个VLAN。传统路由器通过划分网段实现划分广播域，交换机使用VLAN技术划分广播域。这两种方式功能上完全相同。传统路由器主要以以太网接口为单位来划分广播域，它所能分割的广播域个数完全取决于路由器的以太网接口个数，然而在通常情况下，路由器由于其自身特点不会拥有太多的以太网接口。这使得用户无法根据实际需要自由地分割广播域。交换机所采用的VLAN技术有以下优点：(1) 工作组分隔的灵活性。组员可以处在不同的物理连接位置上，实现了动态的网络组织结构；(2) 组员变更的灵活性。变更组员所属的工作组，无需从物理连接上重新布线，只需重新定义VLAN成员即可；(3) 有效控制网络广播。VLAN自动地形成广播域，所有广播都只能在这个VLAN 中进行，大大减少了广播对网络带宽的占用，有效避免了广播风暴的产生；(4) 提供额外的安全性。VLAN之间不能直接相互访问，可以从物理上防止某些非授权用户访问敏感数据；VLAN的上述优点降低了设备成本，提高了管理效率。1.4 VLAN的分类依据建立VLAN 的具体方式，VLAN可以分为如下四种：基于端口的VLAN、基于MAC地址的VLAN、基于网络层的VLAN以及基于策略的VLAN。通过实际调研与考察，得知在校园网中应用的是基于端口的VLAN技术。(1) 基于交换机端口的VLAN：是构成VLAN最有效的方式。针对交换机端口划分VLAN，将交换机的所有端口根据需要划入不同的VLAN，不用考虑该端口所连接的设备是什么。(2) 基于MAC地址的VLAN：在这种模型里，一个虚拟网实际上是一群MAC地址的集合。这种VLAN划分的依据是每个主机的MAC地址。这种划分方法的最大优点就是当用户物理位置移动时（即从一个交换机换到其他的交换机时），不用重新配置VLAN。它的缺点是初始化时，所有的用户都必须进行配置。如果有几百个甚至上千个用户的话，配置将非常繁琐。同时，还会导致交换机执行效率的降低，因为在每一个交换机上都可能存在很多个VLAN的成员，这样就无法限制广播包了。(3) 基于网络层的VLAN：这种方法是根据每个主机的网络层地址或 协议类型(如果支持多协议)来划分的。虽然这种划分方法是根据网络地址，比如IP地址，但它不是路由，与网络层的路由毫无关系。这种方法的优点是用户的物理位置改变时，不需要重新配置所属的VLAN。而且，可以根据协议类型来划分VLAN，这对网络管理者来说很重要。此外，这种方法不需要附加的帧标签来识别VLAN，这样可以减少网络的通信量。它的缺点是效率低，因为检查每一个数据包的网络层地址是需要消耗大量处理时间的(相对于前面两种方法)。 一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查IP 帧头，则需要更高级的技术，同时也更费时7。(4) 基于策略的VLAN的划分是一种比较有效而直接的方式。这主要取决于在VLAN的划分中所采用的策略。根据上述描述，可得出VLAN的种类，如表1-1所示。表1-1 VLAN的种类种类说明静态VLAN基于交换端口的VLAN根据交换机的各端口固定指派给VLAN动态VLAN基于MAC地址的VLAN根据各端口所连计算机的MAC地址设定基于网络层的VLAN根据各端口所连计算机的IP地址设定基于策略的VLAN灵活应用上述三种策略的综合划分就目前来说，对于VLAN的划分主要采用基于端口的模式。这种技术相对成熟，组网简单、灵活实用，基于端口划分VLAN的以太网交换机是校园网和企业网组网所选用的标准网络设备。2 交换技术简介交换技术对于网络设计来说来说是至关重要，下面分别说明。2.1 两层交换技术局域网交换是对传统LAN技术的一次本质革命。在传统以太网环境中，以细缆组网为例，终端通过挂在同一条电缆上相互连接起来。这条电缆作为各工作站的一个共同的传输介质被所有连接在上面的工作站所共享。但由于它是共享介质，因此在同一个时刻只允许一个工作站发送数据。在以太网中，采用带有冲突检测的载波监听多路访问(CSMA/CD)协议来保证在任何时候只有一个工作站能够获得共享总线的控制权。图2-1描述了共享 LAN，连接域中的四个工作站共享一条传输介质，同一时刻只能有一个工作站传输数据，其他工作站必须等待。也就是说，这三个工作站在同一个冲突域中。工作站2工作站3工作站4发 送工作站1 图2-1 共享LAN在这种共享式LAN中，业务量和终端用户的大量增加，会导致较低的网络利用率和应用程序吞吐率。最好的解决方法是LAN分段，减少每个网段上工作站的数量(每个网段即为一个冲突域)，最好是每个网段只有一个工作站，从而使共享LAN的冲突域缩小。在局域网交换技术产生以前，通常采用网桥或路由器进行冲突域的划分。这种方式在某种程度上能改善带宽问题，但这样做一方面会增加投资和维护费用，另一方面效果并不明显且缺乏灵活性。使用二层交换技术完全改变了共享式LAN中的最大弊病。首先，二层交换技术能够轻松将一个LAN分割成多个网段。其次，每个网段可以根据工作组性质放置有共同特点的工作站，这样提供了良好的性能和灵活性。最后，二层交换技术能够将通信能力由半双工扩展成全双工，从而使工作站能使用全部的可用带宽同时发送和接收数据。二层交换技术不仅仅能够通过把冲突域缩小，让终端独占链路段带宽的方式来提高网络的传输速率，它还能与其它网络技术相结合把网络建成能够对信息流自动分类、对不同信息流实施不同服务级别、高度容错、自动诊断、管理方便这样一个智能型的网络。也正是因为二层交换技术的诸多优点，以太网交换机得到了越来越广的应用。在第二层交换网络中可以通过建立VLAN来打破广播域的限制。然而，虚拟网中的主机默认情况下只能与相同虚拟网中的主机通信。如果要与不同虚拟网中的设备进行通信，必须通过第三层交换设备。下一节介绍三层交换技术10。2.2 三层交换技术现在的网络管理人才谈论最多的通讯设备往往是三层交换机，下面会通过两点来进行阐述，不过首先得要明白三层交换机的概念。交换技术在网络的源端口与目的端口之间提供直接、快速、准确的点到点连接，为主干网提供高速低延时通信。另一方面，交换技术的引入，使得网络不同端口之间的数据传输可并行发生且互不影响10。三层交换技术，简单说就是将路由与交换合二为一，在对第一个数据包进行路由后，将会产生一个由MAC地址、IP地址和对应端口组成的映射表。当后面数据包通过时，将根据此映射表直接从二层进行交换，而不是再次路由。这就消除了传统路由器对每个报文都进行路由选择而造成的网络延迟，提高了数据包转发速率。采用这种技术的交换机称之为三层交换机。 选用三层交换机的必要性(1) 网络骨干少不了三层交换 要说三层交换机在诸多网络设备中的作用，用“中流砥柱”形容并不为过。在校园网中，骨干网、汇聚层都有三层交换机的用武之地，尤其是核心骨干网必须使用三层交换机。否则，整个网络成千上万台计算机都在一个子网中，不仅毫无安全可言，也会因为无法分割广播域而引发严重的广播风暴。 如果采用传统的路由器，虽然可以隔离广播，但是性能得不到保障。而三层交换机的性能非常高，既有三层路由的功能，又具有二层交换的速度。二层交换是基于MAC寻址，三层交换则是转发基于第三层地址的业务流。除了必要的路由决定过程外，大部分数据转发过程由二层交换处理，从而提高了数据包转发的效率。 三层交换机通过硬件交换实现IP的路由功能，其优化的路由软件使得路由过程效率提高，解决了传统路由器的路由速度问题。因此可以说，三层交换机具有“路由器的功能、交换机的性能”。(2) 连接子网少不了三层交换 同一网络上的计算机如果超过一定数量(通常在200台左右，视通信协议而定)，就很可能会因为网络上大量的广播而导致网络传输效率低下。为了避免在大型交换机上进行广播所引起的广播风暴，可将其进一步划分为多个虚拟网。但是这样做将导致一个问题：VLAN之间的通信必须通过路由器来实现。传统路由器对每个报文都执行路由选择，效率相对较低。 使用三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN，可以在保持性能的前提下，既经济又高效地解决划分子网之后子网之间的通信问题。因此，三层交换机是连接子网的理想设备。 第三层交换的应用特征在校园网中，常用第三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN，以优化网络结构，减少控制功能和降低成本。 (1) 核心交换机在校园网络拓朴结构中，第三层交换机一般作为网络的核心交换和服务器群交换机，也可作为网络节点交换机。将三层交换机与其他第一、二层交换机配合使用，网络管理员能构造出无缝的10/100/1000M以太交换系统，为整个信息系统提供统一的网络服务，使全网具有可伸缩性和基于策略的Qos。(2) 支持Trunk协议采用Trunk干道技术能将若干条相同的源交换机与目的交换机的以太网连接线从逻辑上看作一条线，以保证局域网无环路。这种技术不仅能够连接不同的VLAN或跨越多个交换机的相同VLAN，而且能有效地加大连接宽带，增强网络设备的冗余性。(3) 实现组播和自学第三层交换机支持动态路由协议，能够实施基于标准的多点组播协议并具有自学习功能。根据学习到的信息，三层交换机建立和维护路由表中的路由信息，并自动为所有IP数据包提供路由服务。(4) 内置安全机制三层交换机可以与普通路由器一样，具有访问列表的功能，从而实现不同VLAN间的单向或双向通讯。如果在访问列表中进行设置，可以限制用户访问特定的IP地址，这样学校就可以禁止学生访问不健康的站点。访问列表不仅可以用于禁止内部用户访问某些站点，也可以用于防止校园网、城域教育网外部的非法用户访问校园网、城域教育网内部的网络资源，从而提高网络的安全性。三层交换机支持内部带有硬件的过滤器，能在不降低系统性能的前提下对所有数据包进行过滤，且能根据实际需求结合ACL用户访问控制列表对第二层到第四层的数据包进行过滤。(5) 认证计费功能在校园网中也需要进行认证和计费。当前三层交换机一般都有AAA(Authentication, Authorization and Accounting)功能，使用RADIUS协议和RADIUS服务器，可以统计网络中计算机的数据流量，并按流量计费，也可以统计计算机连接在网络上的时间，从而按时间计费。3 网络总体需求分析与详细设计由于学校发展迅猛，老校区与3个新的校区迫切需要畅通无阻的信息交流，从而让老校区的决策者能对各校区的学院进行更直接和更有效的管理，进而达到多方信息共享的目的，所以将彼此相互独立的分校区的子网联成一个统一网络势在必行。又由于随着各校区计算机及局域网络应用的不断深入，特别是各种计算机应用系统被相继应用在实际工作中，各学院之间、各学院同外界信息媒体之间的相互交换和共享的要求日益增加。需要使各学院相互间真正做到高效的信息交换、资源的共享，为各学院各级领导提供准确、可靠、快捷的各种生产数据和信息，充分发挥各学院现有的计算机设备的功能。3.1 网络总体方案网络总体方案要点包括：采用统一的通信协议、路由协议；主干网从高速交换链路连接各子网；各子网内部为交换网络，形成两个层次的平面网络；主干网包括高速交换机、VLAN路由处理；实行统一集中式的网络管理。校园网工程整体示意图如图3-1所示：图3-1 整体设计示意图3.2 详细设计 如图3-1所示，校园网接入服务商有3个，带宽共800Mbps，一个是100Mbps中国教育科研网，从南昌大学接入；一个是南昌网通提供的200Mbps宽带；一个是南昌电信提供的500Mbps宽带。华为S8505路由交换机集合下游校园网内的数据，并在NE40上实现路由策略。访问中国科研网的数据，经由教育网出口；访问中国网通的数据，经由网通网出口；其他的则经由南昌电信网出口。由于校园网跨越四个校区，其他分校区通过S8505连接，所以网络结构比较庞大。为此，以学校的图书馆为例，来说明VLAN在校园网中的应用。逻辑上VLAN主要根据图书馆的业务来进行划分，实现上采用基于端口的方式进行划分，下面分别进行说明。 VLAN应用首先应熟悉整个图书馆的业务流程，并确定有多少个部门以及安全性状况，据此来划分VLAN。考虑到校园网IP地址资源有限，图书馆不可能为其局域网中的所有终端分配校园网的IP地址，因此大部分客户端都使用内部IP地址。这样在节省IP地址资源的同时，提高了网络的安全性和可管理性。通过与学校图书馆的老师沟通并参考校园网的建设规划方案，得知图书馆有500个信息点(一般按照每10平方米2个信息点来设计)。图书馆的一般业务分为以下六类：(1) 图书馆集成管理系统； (2) 图书馆数字资源系统：镜像或在线数据库检索系统，如清华全文期刊、中文科技期刊(VIP)等；电子图书镜像检索系统；全文博、硕士论文数据库；馆藏特色文献数据库检索系统等；(3) VOD点播系统；(4) 电子阅览室管理系统；(5) WWW、FTP、DNS等Internet服务系统；(6) 办公自动化及其它应用系统等。 VLAN的具体划分通过对图书馆业务的分类，可以清晰的得出对VLAN的划分：(1) 对图书馆的整个网络管理，设置网管型VLAN(即默认的vlan 1)，负责调试网络以及更好的管理以下各个接入层交换机的运行状况。同时接入一个DHCP服务器，在实验条件许可的情况下，可以动态地分配各个VLAN内部的主机地址，省去了人工输入主机地址的麻烦。(2) 图书馆办公自动化及其他部门（如咨询部、办公室等）计算机，划为一个VLAN。(3) 图书馆网络资源利用系统：提供书目信息查询、读者借阅信息查询以及图书馆数字资源利用等服务的Web、FTP、DNS以及VOD服务器，数字资源利用站点和在线查询服务器等，它们都应具有一定的安全性，故放在内部服务器中，供网络用户查询。因此将以上服务器形成一个VLAN。(4) 图书馆集成管理系统：是图书馆业务的内部专用系统。图书馆的主要业务，如采访、编目、典藏、流通、期刊管理、读者管理、系统统计和维护功能等都是通过该系统实现的。由于以上各业务站点的计算机可以直接对图书馆的书目数据库、读者数据库进行修改操作，因此对用户权限和安全性要求很高，不允许无关的客户访问。因此，将中央数据库服务器与所有业务站点形成一个VLAN，分配内部IP虚地址，与Internet隔离。其它站点一律无权访问该Server。有些特殊业务，如采访、编目等，可以通过设置代理服务器访问Internet，以便下载和上传书目数据。(5) 电子阅览室管理系统：对于提供信息检索和数字资源利用的电子阅览室的计算机，划分为一个VLAN。然后利用vlan来进行更细的划分，以减少电子阅览室计算机由于使用人员比较复杂对图书馆内部网络带来的潜在威胁。明确了图书馆业务的分类，得出如表3-1所示的各个VLAN的功能描述。VLAN IDVLAN接口IP网段IP主机网关IP描述1网管 2图书馆办公室(office) 3图书馆网络资源(fuwu) 4图书馆集成管理系统(jicheng) 5电子阅览室管理系统，通过vlsm划分为信息、软件和职院3个机房(yuelan)表3-1 VLAN功能描述遵照表3-1的描述，可通过如下命令在核心交换机”switch e”上创建4个VLAN：switch(config)#hostname henxinhenxin(config)#ip routing /激活VLAN路由henxin(config)#exithenxin#vlan database /进入创建vlan的模式henxin(vlan)#vlan 2 name office /创建vlan并可以重命名henxin(vlan)#vlan 3 name fuwuhenxin(vlan)#vlan 4 name jichenghenxin(vlan)#vlan 5 name yuelanhenxin(vlan)#exithenxin#copy run start /保存配置命令经过以上配置命令得出所划分的5个VLAN，显示结果如图3-2所示。图书馆的VLAN划分示意图如图3-3所示。图3-2 VLAN划分的结果显示图3-3 图书馆VLAN划分示意图4 VLAN的配置为了更好说明VLAN的配置，下面就分别介绍与VLAN的配置相关知识。4.1 VLAN的工作模式静态VLAN是基于端口的VLAN，指事先由管理员通过VLAN管理软件或直接对交换机设定而使交换机的端口指定为VLAN的网段。这种配置方式的优点在于安全、简洁、便于监控，适用于变动不频繁，且变动一直受管理中心控制的网络。动态VLAN是指在智能管理软件的帮助下，交换机端口的VLAN网段是增多设定的；动态VLAN是基于对终端站点的MAC地址、逻辑地址或协议类型的识别这一功能的。该功能通过一个中心网络管理软件查询一管理数据库来实现的，这样在用户增加或移动时就显得非常方便5。4.2 802.1Q Tag VLAN基于的Tag VLAN用VID来划分不同的VLAN，当数据帧通过交换机的时候，交换机根据帧中Tag头的VID信息来识别他们所在的VLAN(若帧中无tag头，则使用帧所通过端口的缺省VID信息来识别他们所在的VLAN)。这样使得所有属于该VLAN的数据帧，不管是单址帧、多址帧还是广播帧，都将限制在该逻辑VLAN中传播。于是，组中主机之间能够相互通信，而不受其他组的主机的影响，就像它们存在于单独的VLAN当中一样。设置Tag VLAN时，有4项配置需要考虑：(1) VLAN ID 设置VLAN的标识符，用于标识某个VLAN。(2) VLAN广播域 用于界定该VLAN中帧的转发范围，不在VLAN广播域内的端口将不能收到任何来自该VLAN的帧。(3) 端口的输出规则(TagUntag)Tag表示该端口转发的帧带有tag头，即使帧在收到时不带tag；Untag表示该端口发出的帧不带tag，即使帧在收到时带tag。(4) 缺省VID当交换机不能从一个帧的tag头中获得该帧属于哪一个VLAN时，则应用接收端口的缺省VID来判断该帧在哪个VLAN中转发2。设置Tag VLAN时应注意：如果端口连接的是不能支持802.1Q VLAN的交换机，或者是一台Hub，则只能将该端口设置为Untag。否则，发送出去的帧将有可能无法被对面的交换机(或Hub)上所连的计算机识别，而且对面的交换机(或Hub)上无法实现VLAN，连接在对面交换机(或Hub)上面的设备都将被认为是属于这个端口的缺省VLAN。4.3 VLAN链路类型处理VLAN时，交换机支持两种类型的链路：聚合链路和访问链路。(1) 聚合链路(Trunk Link)将VLAN信息在交换机之间传送是通过在传输的每个帧上加上一个VLAN标记信息来完成的，这种加上了VLAN标记信息的帧叫做VLAN标记帧，交换机之间的只传输VLAN标记帧的这种连接叫做聚合链路(Trunk Link)。聚合链路是一个LAN网段，用在VLAN桥间的连接，通常会传输多个VLAN的报文流量。所有聚合链路上的设备必须是能够识别VLAN的。在聚合链路上传送的所有帧都必须是VLAN标记帧，连接到聚合链路上的工作站也必须要能够识别VLAN，并且这些工作站发送出的帧都必须是VLAN标记帧。(2) 访问链路(Access Link)链路上传输的报文都是非标记帧的链路称为访问链路。一个访问链路是将一个或多个不能识别VLAN的设备连接到一个VLAN桥端口的LAN段，所有在访问链路上的帧都没有带VLAN标志信息。访问链路一般在VLAN网络的边缘。4.4 VLAN干道协议VTP为了管理园区网中的所有VLAN，Cisco创建了VLAN干道协议(VTP)。VTP在整个网络上维持VLAN配置的一致性。VTP是一种消息协议，它使用第2层干道帧在全网基础上管理VLAN的添加、删除和重命名。VTP也能对全网的VLAN进行统一的管理，一个VTP Server 上的配置将会传递给网络中的所有交换机，从而使一个VTP域内交换机共享VLAN信息。VTP的优点包括：整个网络VLAN配置的一致性；对VLAN的准确跟踪和监管；动态报告网络中增加的VLAN；当添加新VLAN时的“即插即用”配置。Catalyst系列交换机可配置为以下三种VTP工作模式：(1) Server 模式：允许创建、修改、删除VLAN及其他一些针对整个VTP域的配置参数，同步本VTP域中其他交换机传递来的最新VLAN信息(交换机在默认情况下为Server模式)。(2) Client 模式：不能创建、修改、删除VLAN配置，也不能在NVRAM中存储VLAN配置，但可以同步由本VTP域中其他交换机传递来的VLAN信息。(3) Transparent 模式：可以创建、修改、删除VLAN配置，也可以传递本VTP域中其他交换机送来的VTP广播信息，但不参与本VTP域的同步和分配，也不将自己的VLAN配置传递给本VTP域中的其他交换机，它的VLAN配置只影响到它自己7。4.5 VLAN的应用配置说明交换机可以分为基于Set命令的交换机和基于IOS的交换机两类。交换机的平台不同，具体设置命令也有所不同，但各种配置的基本原理及设置思路都是一样的3。就VLAN的设置来讲，其基本步骤包括：(1) 配置VTP域；(2) 建立新的VLAN；(3) 将端口分配到目标VLAN之中。综上所述，对VLAN的划分及其配置步骤已进行了相应的说明，下面对VLAN之间该怎样实现三层(网络)交换，即给各个VLAN分配网络地址做相应的说明。给VLAN所有的节点分配静态IP地址：根据表4-1所列出的VLAN接口IP地址以及网段IP来进行实验操作，首先在核心交换机上划分5个VLAN，结果可参看图4-2。然后通过下面的命令分别设置5个VLAN的接口IP地址： henxin(config)#int vlan 1 /进入vlan 1的配置模式 /配置vlan的接口地址henxin(config)#int vlan 2 henxin(config-if)#ip add 192.168.1henxin(config)#int vlan 3henxin(config-if)#ip add 192.168.2henxin(config)#int vlan 4henxin(config-if)#ip add 192.168.3henxin(config)#int vlan 5 henxin(config-if)#ip add 192.168.4接着，在各个接入VLAN的计算机上设置与所属VLAN的网络地址一致的IP地址，并把默认网关设置为该VLAN的接口地址。在没有任何访问控制的情况下，这些VLAN之间可以互相访问3。以下对各交换机的配置进行说明(在把交换机接入网络之前一定要先配置。最好先用erase config命令或clear config all命令或delete nvram命令删除原先的配置)6：(1) 最上面的交换机switch E为核心交换机(hostname henxin)；(2) switch F为电子阅览室的接入交换机(因为在这里要划分3个网段，分别为信息、软件以及职院)，它接入到switch E。电子阅览室中的3个网段，用3台PC机来进行模拟(其分别是host E、host F和host C)，结果可对照图3-3；(3) switch A 为图书馆办公室所属VLAN接入的交换机；(4) switch B 为图书馆内部服务器组(Web、FTP、E_mail、DNS)所属VLAN接入的交换机；(5) switch C 为图书馆集成管理系统所属VLAN接入的交换机。在这上面要对访问控制列表进行设定，因为这个部门涉及到整个图书馆内部书籍流程的整体运行8。经过上面的分析，对交换机进行配置的命令如下(除了对switch e配置命令全部列出外，对其他交换机已配置的命令在文中列出，默认的配置命令没有列出)：对核心交换机switch e所做的配置如下：henxin#sh runBuilding configuration.Current configuration:!service timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname henxin /把switch e命名为henxin!enable secret $1$3Ws&fenable password ! ip routing!ip subnet-zero!interface FastEthernet0/1!interface FastEthernet0/2trunk on allowed:all dot1q:yes /配置f0/2口为trunk,并允许所有vlan通过interface FastEthernet0/3trunk on allowed:all dot1q:yesinterface FastEthernet0/4trunk on allowed:all dot1q:yesinterface FastEthernet0/5!interface FastEthernet0/6trunk on allowed:all dot1q:yesinterface FastEthernet0/7!interface FastEthernet0/8!interface VLAN1ip address interface VLAN 2!ip default gateway interface VLAN 3interface VLAN 4interface VLAN 5password line vty 0 4password VTP operating mode : server VTP domain name : wenlinEnd对switch a交换机的配置如下：switch#sh runinterface FastEthernet0/2trunk on allowed:all dot1q:yesinterface FastEthernet0/3VLAN :2interface FastEthernet0/5VLAN :5 VTP operating mode : clientVTP domain name : wenlinend对switch b所做的交换机配置：switch#sh runinterface FastEthernet0/3trunk on allowed:all dot1q:yesinterface FastEthernet0/6VLAN :3VTP operating mode : clientVTP domain name : wenlinend对switch c交换机所做的配置：switch#sh runinterface FastEthernet0/2VLAN :4interface FastEthernet0/4trunk on allowed:all dot1q:yesVTP operating mode : clientVTP domain name : wenlinend对switch f交换机所做的配置：switch#sh runinterface FastEthernet0/2VLAN :5interface FastEthernet0/3VLAN :5interface FastEthernet0/6trunk on allowed:all dot1q:yesinterface FastEthernet0/7VLAN :5VTP operating mode : clientVTP domain name : wenlin对上述VLAN配置完毕之后，就可以使用ping命令来测试，测试结果为：处于同一VLAN内的计算机之间可以直接通信，而处于不同VLAN的计算机之间的通信必须经过三层交换设备才能完成。以下为验证过程。所接VLAN内部的主机设置情况(以switch a上接入的host B为例)如图4-1所示：图4-1 对host B设置switch a接入的host B对其他不同VLAN内的主机访问情况如图4-2所示：图4-2 在host B上ping其他VLAN内部主机由于VLAN 4是图书馆集成管理系统所隶属的VLAN，有很强的安全性，所以在VLAN 4上所接入的主机没加上route add default gw VLAN接口地址，这样就可以阻止不是VLAN内部的主机对其进行访问。因此，host B可以访问其他VLAN内部的主机(在对访问没有限制的情况下)。其他VLAN上接入的主机访问不同VLAN内主机的情况类似，在此不再赘述。5 图书馆安全性策略图书馆的网络也需要重视安全。在网络环境下，图书馆的一切数据都要对读者开放，在网上传输和查询。这就与其他行业一样具有许多不安全因素。况且， 图书馆的各种数据一旦被损坏，损失就相当惨重。图书馆的书目数据库是馆藏的代表、是读者查阅藏书的通道、是工作人员进行内部管理和开展各项服务的工具。建库的工作量大，任务重，投入了大量的人力和物力，若遭破坏，恢复困难较大。同时，图书馆的借阅数据是读者借还文献的记录，如遭破坏，将造成财产损失。由此可知，在网络环境下图书馆数据的安全不能忽视。为了更好地保证图书馆数据的安全，必须科学地管理图书馆网络，合理地划分各个VLAN，并在此基础上进一步采取一些安全策略。首先，将图书馆的局域网划分成内部网和外部网。把馆外IP、电子阅览室VLAN定义为外部网，把图书馆办公室VLAN、图书馆集成管理系统VLAN、网管VLAN定义为内部网。对外部网做一些特别的限制，如：限制外部网的机器直接ping内部网的机器，这样对黑客的攻击会起到一定的保护作用11。其次，必须最大限度地控制服务器端口的开放。在主交换机上添加策略以使各个服务器端口开放最小化。如通过8080端口进行访问的服务器，就必须关闭所有其他端口。最后，网络设备和服务器是图书馆自动化系统的心脏部分。网络设备的设置对整个网络的运作起到关键性的作用。因此，设置了网管VLAN和图书馆集成管理系统VLAN，并对这两个VLAN进行了严格的访问控制，从而更好地保证了图书馆网络的安全9。6 总结综上所述，VLAN在校园网中的应用，主要采用了基于端口的VLAN技术。从实践的情况来看，VLAN技术的应用对于优化校园网的管理是非常有好处的。随着交换式网络在校园网中日益广泛的应用，VLAN技术必将发挥出更加诱人的魅力。最后，向在此次设计过程中给与我帮助的同学表示感谢，同时感谢彭老师给予的机会和悉心指导，谢谢！参考文献1迪尔. CCNA学习指南, 中译本, 北京: 人民邮电出版社, 2004.2冯萍, 孙伟, 等. VLAN技术在校园网中的应用, 长春大学学报, 2006,(1). 3郭斌. VLAN技术在网络中的应用J. 计算机与现代化, 2002, (12).4李刚. 最新网络组建、布线和调试实务, 电子工业出版社, 2004.5 Steve McQuerry. cisco网络设备互连, 第2版, 人民邮电出版社, 2004. 6VLAN实用技术专题-中国IT实验室. .chinaitlab /www/techspecial/vlan/ 7肖帅领, 窦西河, 等. 网络工程与实施, 北京希望电子出版社, 2006, 180-187.8张晓哲, 王在方, 等. 交换机和路由器一体化的设计与实现J, 计算机工程与应用, 2004,40(34): 141-143, 147.9曾巧红. 用VLAN技术构建图书馆网络J, 图书馆论坛, 2003, 23(3).10Erica Roberts. Virtual LANs Data Communication, 1996,25(14). 11L ipp is N. L ayer 3 Switching. Data Communication,1997, (3) :25-26