vlan技术在校园网中的设计与应用(毕业论文

vlan技术在校园网中的设计与应用(毕业论文内容摘要：

数 据 包数 据 包B 回 复 M A C路 由 表A S I CB A R P 包A 端 口 M A C二 层查 路 由 表查 交 换 机M A C 表 图 三层交换原理 3. 通过设置单臂路由实现 VLAN 间的通信 路由器与交换机之间是通过外部线路连接的 , 这个外部线路只有一条 , 但是它 12 在逻辑上是分开的 , 需要路由的数据包会通过这个线路到达路由器 , 经过路由后再通过此线路返回交换机进行转发。 所以大家给这种拓扑方式起了一个形象的名字 ——单臂路由。 采用单臂路由技术可以在使用路由器时，节约物理端口的使用，通常在路由器与交换机连接的一个物理端口上定义多个逻辑子端口，一个子端口连接一个VLAN。 图 VLAN间的通信 这种基于单臂路由的 VLAN 通信模型不需要添加或更换路由器 , 交换机等网络设备。 基于原有网络拓扑结构 , 也不需要重新布线施工。 但是 , 作为中继链路的路由器端口往往成为限制 VALN 之间流量的主要瓶颈 , 单臂路由作为一种廉价的网络升级方案只适用于通信质量要求不高的情况 , 并不能完全取代路由器和三层交换机。 （五） VLAN 的划分方式 VLAN 的划分方式很重要， 在设计和建设 VLAN， 实现 VLAN 应用时， 首先要决 13 定如何划分 VLAN， 即依据什么标准来组织 VLAN 成员。 下面介绍 5 种常见的划分方式， 不同的划分方式代表不同 的 VLAN 实现类型。 VLAN 将交换机中的某些端口定义为一个单独的区域， 从而形成一个 VLAN。 同一 VLAN 中的计算机属于同一个网段， 不同 VLAN 之间进行通信需要通过路由器。 基于端口的 VLAN 的优点是配置起来非常方便， 只要在交换机上进行相关的设置就可以了，适用于网络环境比较固定的情况。 不足之处是不够灵活， 当一台计算机需要从一个端口移动到另一个新的端口， 而新端口与旧端口不属于同一个 VLAN 时， 要修改端口的 VLAN 设置， 或在用户计算机上重新配置网络地址， 这样才能加入到新的 VLAN 中。 否则， 这台计算机将无法进行网络通信。 基于端口的划分方式是最简单也是最常用的。 采用这种方式， 将属于不同交换机端口的物理网段分在一个 VLAN 中， 通过网络管理软件， 根据 VLAN__标识符将不同的端口分到相应的分组 ( VLAN )中。 例如， 一个交换机的 3 端口被定义为 VLAN 1， 同一交换机的 5 端口组成 VLAN 2， 如图 所示。 图 按端口划分 VLAN示意图 这样划分， 允许各端口之间的通信， 并允许共享型网络的升级。 遗憾的是，这种划分模式将虚拟网限制在了一 台交换机上。 14 第二代端口 VLAN 技术允许跨越多个交换机的多个不同端口划分 VLAN， 不同交换机上的若干个端口可以组成同一个 VLAN。 分配到同一个 VLAN 的各网段上的所有站点都在同一个广播域中， 可以直接通信。 不同 VLAN 地点间的通信则通过路由器或三层交换机。 按交换机端口来划分 VLAN，迄今为止， 这仍然是最常用的一种方式， 但是这种方式不允许多个 VLAN 共享一个物理网段或交换机端口。 如果某一个用户从一个端口所在的 VLAN 移动到另一个端口所在的 VLAN， 网络管理员需要重新进行配置， 这对于拥有众 多移动用户的网络来说是不可想象的。 MAC 地址划分 VLAN 每块网卡都有一个唯一的硬件物理地址， 这个地址就是 MAC 地址， 俗称为 网卡号。 MAC 地址是连接在网络中的每个设备网卡的物理地址，由 IEEE 控制。 全球找不到两块具有相同 MAC 地址的网卡。 MAC 地址属于数据链路层，以此作为划分 VLAN 的依据，能很好地独立于网络层上的各种应用。 用此种方式构成的 VLAN 就是一些 MAC地址的集合， 它解决了网络处理站点的移动问题。 对于连接于交换机端口的工作站来说， 在它们初始化时， 相应的交换机要在 VLAN 的管理信息库中检查 MAC 地址， 从而动态地匹配该端口到相应的 VLAN 中。 按 MAC 地址划分的 VLAN 允许网络用户从一个物理位置移动到另一个物理位置，并且自动保留其所属 VLAN 网段的成员身份。 同时，这种方式独立于网络的高层协议(如 TCP / IP、 IP 和 IPX 等 )。 从某种意义上讲， 利用 MAC 地址定义 VLAN 可以看成是一种基于用户的网络划分手段。 这种方法的一个缺点是所有的用户必须被明确地分配给一个 VLAN。 在一个拥有大量节点的大型网络中， 如果要求管理员将每个用户都一一划分到某一个VLAN， 实在是太困难了。 VLAN 可以基于网络层来划分 VLAN， 有 2 种方案， 一种按协议来划分， 如图 15 图 按网络协议划分 VLAN 示意图 另一种是按网络层地址 (最常见的是 TCP / IP 中的子网段地址 )来划分， 如图 所示。 图 按网络层地址划分 VLAN示意图 建立 VLAN 也可使用与管理路由相同的策略。 根据 IP 子网、 IPX 网络号及其他协议划分 VLAN。 同一协议的工作站划分为一个 VLAN， 交换机检查广播帧的以太帧标题域， 查看其协议类 型， 若已存在该协议的 VLAN， 则加入源端口， 否则， 创建一个新的 VLAN。 这种方式构成的 VLAN， 不但大大减少了人工配置 VLAN 的工作量， 同时保证了用户自由地增加、移动和修改。 不同 VLAN 网段上的站点可属于同一 VLAN， 在不同 VLAN 上的站点也可在同一物理网段上。 利用网络层定义 VLAN 缺点也是有的。 与利用 MAC 地址的形式相比， 基于网络层的 VLAN 需要分析各种协议的地址格式并进行相应的转换。 因此，使用网络层信息 16 来定义 VLAN 的交换机要比使用数据链路层信息的交换机在速度上处于劣势。 IP 广播组划分 可将任何属于同一 IP 广播组的计算机划分到同一 VLAN。 当 IP 包广播到网络上时 , 它将被传送到一组 IP 地址的受托者那里。 该组被明确定义了的广播组是在网络运行中动态生成的。 任何一个工作站都有机会成为某一个广播组的成员 , 只要它对该广播组的广播确认信息给予肯定的回答。 所有加入同一个广播组的工作站被视为同一个 VLAN 的成员 , 他们的这种成员身份可根据实际需求保留一定的时间。 因此 , 利用IP 广播域来划分 VLAN 的方法给用户带来了巨大的灵活性和可延展性。 在这种方式下 , 整个网络可以方便地通 过路由器扩展网络规模。 VLAN 基于规则的 VLAN 也称为基于策略的 VLAN。 这是最灵活的 VLAN 划分方法 , 具有自动配置的能力 , 能够把相关的用户连成一体 , 在逻辑划分上称为 关系网络。 网络管理员只需在网管软件中确定划分 VLAN 的规则 (或属性 ) , 那么当一个站点加入网络中时 , 将会被感知 , 并被自动地包含进正确的 VLAN 中。 同时 , 对站点的移动和改变也可自动识别和跟踪。 采用这种方式 , 整个网络可以非常方便地通过路由器扩展网络规模。 有的产品还支持一个端口上的主机分别属于不同的 VLAN, 这在交换机与共享式 Hub 共存的环境中显得尤为重要。 自动配置 VLAN 时 , 交换机中软件自动检查进入交换机端口的广播信息的 IP 源地址 , 然后软件自动将这个端口分配给一个由 IP子网映射成的 VLAN。 （六） VLAN 间通信 间通信介绍 局域网内的通信，是通过数据帧头中指定通信目标的来完成的。 而为了获取 MAC地址，使用地址协议解析通过广播报文的方法来实现获取 MAC 地址的，如果广播报文无法到达目的地，那么就无从解析 MAC 地址，亦即无法直接通信。 当计算机分属不同的 VLAN 时，就意味着分属不同的广播域，自 然收不到彼此的广播报文。 因此，属于不同 VLAN 的计算机之间无法直接互相通信。 为了能够在 VLAN 间通信，需要利用 OSI参照模型中更高一层 —— 网络层来进行路由。 在目前的网络互连设备中能完成的设备 17 主要有路由器和三层以上的交换机。 VLAN 间通信 使用路由器实现 VLAN 间通信时，路由器与交换机的连接方式有两种。 第一种通过路由器的不同物理接口与交换机上的每个 VLAN 分别连接。 第二种通过路由器的逻辑子接口与交换机的各个 VLAN 连接。 ① 通过路由器的不同物理接口与交换机上的每个 VLAN 分别连接。 这种方式 的优点是管理简单，缺点是网络扩展难度大。 每增加一个新的 VLAN，都需要消耗路由器的端口和交换机上的访问链接，而且还需要重新布设一条网线。 而路由器，通常不会带有太多 LAN 接口的。 新建 VLAN 时，为了对应增加的 VLAN 所需的端口，就必须将成带有多个 LAN 接口的高端产品，这部分成本、还有重新布线所带来的开销，都使得这种接线法成为一种不受欢迎的办法。 ② 通过路由器的逻辑子接口与交换机的各个 VLAN 连接。 这种连接方式要求路由器和交换机的端口都支持汇聚链接，且双方用于汇聚链路的协议自然也必须相同。 接着在路由器上定义对应 各个 VLAN 的逻辑子接口 和。 由于这种方式是靠在一个物理端口上设置多个逻辑子接口的方式实现网络扩展，因此网络扩展比较容易且成本较低，只是对要复杂一些。 ③ 路由器实现 VLAN 间通信的局限性 路由器实现 VLAN 间通信的局限性是路由器的技术特性决定的，使其无法具有很高的信息吞吐量。 对此分析如下：路由器在 OSI 七层网络模型的第三层 —— 网络层操作，其对于任何一个运行的数据包均须进行“拆包”和“打包”的操作，同时路由器还要完成数据包过滤和压缩、协议转换、计算路由、甚至防火墙等许多工作，这占用于大量的 CPU 资 源。 且当流经路由器的流量超过其吞吐能力时，会引起路由器内部拥塞，持续拥塞会使转发的数据包延误，甚至丢失。 以上的原因限制了其吞吐量，且其价格昂贵，使其成为网络瓶颈。 因此，路由器存在：数据传输效率低；节点操作的复杂性无法降低；价格昂贵、结构复杂等局限性。 VLAN 间通信 三层交换机实现 VLAN 互相访问的原理是，利用三层交换机的路由功能，通过识别数据包的 IP 地址，查找路由表进行转发。 三层交换机利用直连路可以实现不同的 18 VLAN 之间的访问。 三层交换机给接口配置 IP 地址采用 SVI（交换虚拟接口 ）的方式实现 VLAN 间互连。 只需要为交换机中的 VLAN 创建虚拟接口，并且配置 IP 地址。 然后开启三层交换机的 IP route 功能就可以容易的实现 VLAN 间的通信。 这种方面有效地解决了利用路由器来实现 VLAN 间通信的一系列不足之处，而且配置和管理也十分的便捷。 目前市场上有许多三层以上的交换机，在这些交换机中，厂家通过硬件或软件的方式将路由功能集成到交换机中，交换机主要用于园区网中，园区网中的路由比较简单，但要求数据交换的速度较快，因此在大型园区网中用交换机代替路由器已是不争的事实。 用交换机代替路由器实现 VLAN 间通信的方式也有两种，其一，就是启用交换机的路由功能，这种方式的实现方法可采用以上介绍的路由器方式的任一种。 其二，是利用多层交换机所支持的 VLAN 功能来实现 VLAN 间的通信。 三、 VLAN 技术在校园网中的设计 目前校园网正处于一种高速发展之中 ,在校园网络中实施 VLAN 技术，可以提高网络管理效率、性能、带宽及灵活性 , 同时还能控制广播风暴 , 提高校园网安全性能。 本章结合高校校园网的特点，从 IP 规划、网络架构设计、协议选择、网络设备配置等方面对校园网进行了规划和设计。 （一） 网络设备的选择 本次设计采 用 cisco2960、 3560 交换机和 2811 路由器。 在出口的路由器选用 Cisco Catalyst 2811，它是一款高端企业级路由器拥有强悍的性能，能很好的为网络提供可靠的服务，并提供了安全、可扩展的网络连接，容纳了多种流量类型，如 VPN、动态多点 VPN (DMVPN)等，以及安全话音，满足用户的使用需求。 本次设计的网络核心层主要应用 Cisco Catalyst 3560 系列的交换机，它是三层交换机， Cisco Catalyst 3560 系列交换机是一个固定配置、企业级、 IEEE 和思科预标准以太网供电 (PoE)交换机系列，性能完全能满足校园网核心层的工作需要。 19 在汇聚层和接入层主要用 Cisco Catalyst 2960 系列智能以太网交换机，它是一个全新、独立的固定配置设备系列，主要为小型企业和网络分支而生产的，它也能提供很好的服务，能进行桌面 10/100 快速以太网和 10/100/1000 千兆以太网连接，有助于实现增强 LAN 服务。 （二） 校园网络的设计 由于本次设计 VLAN 主要在局域网中，为便于进行实验且网络的规模要适中，所以选择了规模适中的校园网作为基础，在这个网络中大量采用 cisco 交换机作为二层交换设备，由于在网络中大量使用交换设备会出现广播风暴以及存在的数据安全性问题，所以要进行合适的 VLAN 划分，减少网络流量的拥堵次数和数据泄漏的问题，保障网络的正常运行，保护数。