校园网中vlan划分与配置(doc24)-经营管理(编辑修改稿)

校园网中vlan划分与配置(doc24)-经营管理(编辑修改稿)内容摘要：

VLAN 的划分方式 VLAN 的类型根据划分 VLAN 的方式有以下几种： . 基于端口划分的 VLAN 以网络设备的哪个端口属于哪个 VLAN 的标准来划分 VLAN。 例如，在一个有 8 个端口的网桥中，端口 7 属于 VLAN1，而端口 8 属于 VLAN2。 则与这些端口相连的设备、这些设备收发的数据帧相应地也分别属于 VLAN VLAN2。 究竟如何配置，由管理员决定。 如果有多个网络 设备，例如有多个交换机，可以指定交换机 1 的 1~6 端口和交换机 2 的 1~4 端口为同一 VLAN，即同一 VLAN 可以跨越数个交换机，根据端口划分是目前定义 VLAN 的最常用的方法， IEEE 协议标准草案中对如何根据交换机的端口来划分 VLAN 给出了明确的规定。 这种划分方法的优点和缺点都很明显：优点是定义 VLAN 成员时非常简单，只要将所有的端口都指定一下就可以了；缺点是不允许用户随便移动。 如果属于某个 VLAN 的用户离开了原来的端口，到了一个新的网络设备的某个端口，那么网络管理者就必须重新定义 VLAN。 基于 MAC 地址划分 VLAN 以计算机工作站网卡的 MAC 地址来划分 VLAN。 这种划分方法的最大优点就是由于一个 MAC 地址唯一对应一块计算机网卡，故此当某个计算机工作站物理位置改变时、即从一台交换机转移到另一台交换机时，不需要重新配置 VLAN；而缺点是所有的 VLAN 成员必须事先定义，这在有数以百计乃至千计用户的网络中，这并不是一件轻松的事。 而且这种划分方法也导致了交换机执行效率的降低，因为交换机的每一个端口都可能连接许多不同 VLAN 组的成员，这样就无法限制广播报文了。 另外，对于使用笔记本电脑的用户来说，他们的 网卡可能经常更换， VLAN 就必须不停的配置。 基于网络层协议类型划分 VLAN 如果网络支持多网络层协议，那么根据数据帧头中的网络层协议类型字段也可以划分 VLAN。 这对网络管理者来说很重要，同时，这种方法不需要附加的帧标签来识别 VLAN，可以减少网络的通信量。 校园网中 VLAN 的划分与配置 8 基于网络层子网地址划分 VLAN 根据数据报文头中的网络层子网地址也可以划分 VLAN。 虽然这种划分方法根据的是第 3 层信息即网络地址（比如 IP 地址），但它与网络层的路由功能一点关系也没有。 它只是查看每个数据报文的网络层地址，并根据过滤数据库 中事先定义好的信息决定其归属于哪个 VLAN，然后再根据生成树算法进行桥交换，并不牵涉任何路由操作。 这种方法的优点是当某个计算机工作站物理位置改变时，即从一台交换机转移到其它的交换机，不需要重新配置 VLAN。 其缺点是效率低，因为相对于第 2 层 VLAN的实现技术，检查每一个数据报文的网络层地址是很费时间的。 一般的交换机芯片都优点是具有更大的灵活性，而且也很容易通过路由器进行扩展。 缺点是不适合 LAN，主要是效率不高。 基于网络层以上协议乃至应用程序的类型划分 VLAN 根据网络层以上协议的类型、可以自动检 查数据帧的帧头，但检查数据报文的报文头，则需要更高的技术（设备设计制造成本也会相应增加），同时也更费时。 当然，这跟各个厂商的实现方法有关。 基于网络层组播地址划分 VLAN 网络层组播实际上是一种 VLAN。 即认为一个组播组就是一个 VLAN，这种划分方法实际将 VLAN 扩大到了 WAN。 该方法的应用程序的类型乃至两者的综合来划分 VLAN也是有可能的。 例如，规定所有的 FTP 应用在一个 VLAN 里运行而所有的 Tel 应用在另一个 VLAN 里运行。 这些方法的缺点在于它们都很费时，都要求更高的处理技术和更快的处理速 度，目前的实现尚无法令人们满意。 草案标准仅仅定义了基于端口和 MAC 地址来划分 VLAN 的标准方案，虽然它也允许基于协议类型的 VLAN 以及 3 层以上 VLAN，但并没有给出相应的标准。 3 VLAN 的实现与配置 VLAN 实现过程 当一个网桥或交换机接收到来自于某个计算机工作站的数据帧，它将给这个数据帧加上一个标签以标识这个数据帧来自于哪个 VLAN。 加标签的原则有多种：可以基于数据帧来自于网桥的哪个端口、可以基于数据帧的数据链路层协议源地址、可以基于数据帧的网络层协议源地址、也可以基于数据帧的其 它字段或多个字段的综合。 为了能够使用任意一种方法给数据帧加标签，网桥必须有一个不断升级更新的数据库。 西南林学院 2020 届本科毕业论文 9 这个数据库叫做过滤数据库，包含了本网络中全部 VLAN 之间的映射以及它们使用哪个字段作为标签。 例如，如果通过基于端口的方式来加标签，该数据库应该指示哪个端口属于哪个 VLAN。 网桥必须能够维护这样的一个数据库并且应保证所有在这个 LAN中的网桥在它们的过滤数据库中有同样的信息。 基于 IEEE 协议时， 4 个字节的 VLAN 标签加到传统的以太网帧的目的 MAC地址字段和协议类型字段（在符合 IEEE 协 议的帧中是长度字段）之间。 其中包含有一个 12 比特大小的 VLAN ID 号以区别各个 VLAN，如图 12 所示： 图 1 基于 VLAN帧格式封装类型 由于 协议的标签头的 4 个字节是新增加的，故目前使用的计算机并不支持， 即计算机发送出去的数据包的以太网帧头还不包含这 4 个字节，同时也无法识别这 4 个字节。 对于交换机来说，如果它所连接的以太网段的所有主机都能识别和发送这种带 标签头的数据包，该端口称为 Tag Aware 端口，需要给数据帧加标签。 反之，如果该交换机端口所连接的以太网段里只要有一台主机不支持这种带 标签头的数据包，该端口称为 Access 端口，则不能给数据帧加标签。 对于每一个到来的 VLAN 帧，网桥或交换机将根据查找过滤数据库的结果决定该帧归属于哪一个 VLAN、将从哪个接口被转发出去。 一旦网桥或交换机 决定了某个数据帧的下一步去向，它就得决定是否需要给这个数据帧加标签。 具体实现包括以下三个过程： (1)接收过程：负责接收数据包，数据包可以是带标签头的，也可以不带标签头。 如果不带，交换机会根据该端口所属的 VLAN 添加上相应的标签头。 (2)查找 /路由过程：根据数据包的目的 MAC 地址、 VLAN 标识，查找过滤数据库中注册的信息，以决定把数据包发送到哪个端口。 (3)发送过程：将数据包发送到以太网段上，如果该网段的主机不能识别 标签头，则在出端口前将该标签头去掉；如果是发送到互连的其它交换机的端口，则标 签头一般不去掉。 校园网的 IP 地址分配与 VLAN 的规划 随着校园网规模的不断扩大，用户不断增加，网络应用也不断增长，网络变得越来越拥挤，冲突不断产生，管理难度日益加大。 为了有效地提高网络管理的灵活性，提高网络效率和网络安全性，一个合理的 VLAN 规划给网络的管理更加有效。 校园网目前的电脑数目已经上千台了。 如果把这个庞大的网络作为一个 VLAN，那么校园网校园网中 VLAN 的划分与配置 10 的网络性能和安全性就会大大的降低，而且能产生网络风暴使网络瘫痪。 因此，应对这个庞大的校园网进行 VLAN 的规划，把它划分为若干个虚拟子网，这样可以提高校园 网的网络性能和安全性，防止网络风暴。 图 2 西南林学院校园网的网络结构拓扑图 如上图所示，网络根据地理区域分为 3 个部分：教学办公室﹑学生宿舍区﹑科技培训中心及生活区。 每一个部分建设一个网络中心，三个中心之间采用 GE 骨干互联。 网络设计充分利用了堆叠技术，简化了网络结构。 目前，我校园网主要是以 Quidway S8016 作为核心路由交换机。 其它的网络部分采用堆叠组网的方式，主要是由几台Quidway S3026 或 181。 Hammer24E 交换机组成堆叠组。 校园 网的 VLAN 规划主要是根据西南林学院的网络拓扑图，首先基于核心路由交换机 Quidway S8016 上根据每分配一个 C 类的 IP 地址划分为一个 VLAN；然后再基于Quidway S3026 或 181。 Hammer24E 交换机根据网络管理的要求和网络的安全需要进行VLAN 划分。 如为了使有些部门之间在网络中不能进行访问，确保本部门的信息不会被本部门以外的人窃听，而把各个部门划分为各个单独的 VLAN，从而提高各个部门的网络安全性。 VLAN 的配置实例 随着校园网的建成，对于校园网的管理的要求也越来越高了。 目前，由 于数据广播在网络中起着非常重要的作用，随着校园网内的计算机数量的增加， VOD 视频的大量应用，广播的数量在积聚增加，当广播的数量占到总量的 30%时，网络的传输效率西南林学院 2020 届本科毕业论文 11 将会明显下降。 特别是当某网络设备出现故障后，会不停地向网络发送广播，从而导致通信陷于瘫痪。 当校园网络内的计算机数超过 200 台后，就需要采取措施将网络分隔开来，将一个大的广播域划分成若干个小的广播域。 目前，校园网的计算机已经有上千台，因此更应将这个大的广播域划分成若干个小的广播域，划分广播域的方式主要是将校园网划分为若干个虚拟子网，也就是 VLAN。 对校 园网进行 VLAN 划分，可以强化网络管理和网络的安全，控制不必要的广播的数量。 为了使校园网的管理更加完善，校园网的安全性更强，则必须要对校园网进行VLAN 的划分。 对校园网的 VLAN 的划分，主要是根据西南林学院的网络拓扑图，首先是基于核心路由交换机 Quidway S8016 上根据为每个分配一个 C 类的 IP 地址划分为一个 VLAN；然后再基于 Quidway S3026 或 181。 Hammer24E 交换机根据网络管理的要求和网络的安全需要进行 VLAN 划分。 如下分别是以学生宿舍 1 栋为例关于基于 Quidway S801 Quidway S3026 的 VLAN 配置。 基于华为 S3026 的 VLAN 的配置 校园网主要是以 Quidway S8016 为核心路由交换机，而其他网络部分是由多台Quidway S3026 交换机组成的堆叠组。 以学生宿舍 1 栋为例，学生宿舍 1 栋网络组成，是从核心路由交换机拉了一根光纤，光纤下面接 8 台 Quidway S3026 交换机组成的堆叠组，交换机下再接计算机或一般交换机（看具体宿舍）。 下面是学生宿舍 1 栋的组网图 : 图 3 学生宿舍 1栋的组网图 如果有很多台电脑同时相互之间传送文件或下载东西，那样就会影 响上网和玩游戏的速度，从而有可能产生广播风暴。 因此，可以基于 Quidway S3026 交换机每个端口划一个的 VLAN 来控制广播，有效地避免广播风暴的产生，并且网络管理更加有效，可以保障 DHCP 服务器正常的给用户分配 IP 地址，而不被其它的 DHCP 服务器所影响。 因为交换机之间是通过堆叠组网的，所以在配置的时候，只要服务器连到主交换校园网中 VLAN 的划分与配置 12 机，就可以通过主交换机连到从交换机进行配置，而不需要服务器单独连到从交换机上。 整个网络采用 VLAN10 作为管理 VLAN，所有交换机上 VLAN10 接口的 IP 地址在同一个网段 ，网管工作站的 IP 地。