校园网络中vlan技术的应用(编辑修改稿)

校园网络中vlan技术的应用(编辑修改稿)内容摘要：

(3) 基于网络层的 VLAN：这种方法是根据每个主机的网络层地址或 协议类型 (如果支持多协议 )来划分的。 虽然这种划分方法是根据网络地址，比如 IP地址，但它不是路由，与网络层的路由毫无关系。 这种方法的优点是用户的物理位置改变时，不需要重新配置所属的 VLAN。 而且，可以根据协议类型来划分VLAN，这对网络管理者来说很重要。 此外，这种方法不需要附加的帧标签来识别 VLAN，这样可以减少网络的通信量。 它的缺点是效率低，因为检查每一个数据包的网 络层地址是需要消耗大量处理时间的 (相对于前面两种方法 )。 一般的交换机芯片都可以自动检查网络上数据包的以太网帧头，但要让芯片能检查 IP 帧头，则需要更高级的技术，同时也更费时 [7]。 (4) 基于策略的 VLAN 的划分是一种比较有效而直接的方式。 这主要取决于在 VLAN 的划分中所采用的策略。 根据上述描述，可得出 VLAN 的种类，如表 11 所示。 表 11 VLAN 的种类 种类 说明 静态 VLAN 基于交换端口的 VLAN 根据交换机的各端口固定指派给 VLAN 动态 VLAN 基于 MAC 地址的 VLAN 根据各 端口所连计算机的 MAC 地址设定 基于网络层的 VLAN 根据各端口所连计算机的 IP 地址设定 基于策略的 VLAN 灵活应用上述三种策略的综合划分 就目前来说，对于 VLAN的划分主要采用基于端口的模式。 这种技术相对成熟，组网简单、灵活实用，基于端口划分 VLAN的以太网交换机是校园网和企业网组网所选用的标准网络设备。 ６ 工作站 2 工作站 3 工作站 4 2 交换技术简介 交换技术对于网络设计来说来说是至关重要，下面分别说明。 两层交换技术 局域网交换是对传统 LAN技术的一次本质革命。 在传统以太网环境中，以细缆组网为例，终端通过挂在 同一条电缆上相互连接起来。 这条电缆作为各工作站的一个共同的传输介质被所有连接在上面的工作站所共享。 但由于它是共享介质，因此在同一个时刻只允许一个工作站发送数据。 在以太网中，采用带有冲突检测的载波监听多路访问 (CSMA/CD)协议来保证在任何时候只有一个工作站能够获得共享总线的控制权。 图 21描述了共享 LAN，连接域中的四个工作站共享一条传输介质，同一时刻只能有一个工作站传输数据，其他工作站必须等待。 也就是说，这三个工作站在同一个冲突域中。 图 21 共享 LAN 在这种共享式 LAN中，业务量和终端用户的大量增加，会导致较低的网络利用率和应用程序吞吐率。 最好的解决方法是 LAN分段，减少每个网段上工作站的数量 (每个网段即为一个冲突域 )，最好是每个网段只有一个工作站，从而使共享LAN的冲突域缩小。 在局域网交换技术产生以前，通常采用网桥或路由器进行冲突域的划分。 这种方式在某种程度上能改善带宽问题，但这样做一方面会增加投资和维护费用，另一方面效果并不明显且缺乏灵活性。 使用二层交换技术完全改变了共享式 LAN中的最大弊病。 首先，二层交换技工作站 1 发 送 ７ 术能够轻松将一个 LAN分割成多个网段。 其次，每个网段可以根据工作组性质放置有共同特点的工作站，这样提供了良好的性能和灵活性。 最后，二层交换技术能够将通信能力由半双工扩展成全双工，从而使工作站能使用全部的可用带宽同时发送和接收数据。 二层交换技术不仅仅能够通过把冲突域缩小，让终端独占链路段带宽的方式来提高网络的传输速率，它还能与其它网络技术相结合把网络建成能够对信息流自动分类、对不同信息流实施不同服务级别、高度容错、自动诊断、管理方便这样一个智能型的网络。 也正是因为二层交换技术的诸多优点，以 太网交换机得到了越来越广的应用。 在第二层交换网络中可以通过建立 VLAN来打破广播域的限制。 然而，虚拟网中的主机默认情况下只能与相同虚拟网中的主机通信。 如果要与不同虚拟网中的设备进行通信，必须通过第三层交换设备。 下一节介绍三层交换技术 [10]。 三层交换技术 现在的网络管理人才谈论最多的通讯设备往往是三层交换机，下面会通过两点来进行阐述，不过首先得要明白三层交换机的概念。 交换技术在网络的源端口与目的端口之间提供直接、快速、准确的点到点连接，为主干网提供高速低延时通信。 另一方面，交换技术的引入，使得 网络不同端口之间的数据传输可并行发生且互不影响 [10]。 三层交换技术，简单说就是将路由与交换合二为一，在对第一个数据包进行路由后，将会产生一个由 MAC地址、 IP地址和对应端口组成的映射表。 当后面数据包通过时，将根据此映射表直接从二层进行交换，而不是再次路由。 这就消除了传统路由器对每个报文都进行路由选择而造成的网络延迟，提高了数据包转发速率。 采用这种技术的交换机称之为三层交换机。 选用三层交换机的必要性 (1) 网络骨干少不了三层交换 要说三层交换机在诸多网络设备中的作用，用 “ 中流砥柱 ” 形容并 不为过。 在校园网中，骨干网、汇聚层都有三层交换机的用武之地，尤其是核心骨干网 必须使 用三层交换机。 否则 ， 整个网络成千上万台计算机都在一个子网中，不仅毫无安全可言，也会因为无法分割广播域而 引发严重的 广播风暴。 如果采用传统的路由器，虽然可以隔离广播，但是性能得不到保障。 而三层交换机的性能非常高，既有三层路由的功能，又具有二层交换的速度。 二层交换 ８ 是基于 MAC寻址，三层交换则是转发基于第三层地址的业务流。 除了必要的路由决定过程外，大部分数据转发过程由二层交换处理， 从而 提高了数据包转发的效率。 三层交换机通过硬件 交换实现 IP的路由功能，其优化的路由软件使得路由过程效率提高，解决了传统路由器的路由速度问题。 因此可以说，三层交换机具有“ 路由器的功能、交换机的性能 ”。 (2) 连接子网少不了三层交换 同一网络上的计算机如果超过一定数量 (通常在 200台左右，视通信协议而定 )，就很可能会因为网络上大量的广播而导致网络传输效率低下。 为了避免在大型交换机上进行广播所引起的广播风暴，可将其进一步划分为多个虚拟网。 但是这样做将导致一个问题： VLAN之间的通信必须通过路由器来实现。 传统路由器 对每个报文都执行路由选择，效率相对较低。 使用三层交换机上的千兆端口或百兆端口连接不同的子网或 VLAN， 可以 在保持性能的前提下， 既 经济 又高效地 解决划分子网之后子网之间的通信问题。 因此 ， 三层交换机是连接子网的理想设备。 第三层交换的应用特征 在校园网中，常用第三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN，以优化网络结构，减少控制功能和降低成本。 (1) 核心交换机 在校园网络拓朴结构中，第三层交换机一般作为网络的核心交换和服务器群交换机，也可作为网络节点交换机。 将三层交换机与其他第一、二层交换机配合使用，网络管理员能构造出无缝的 10/100/1000M以太交换系统，为整个信息系统提供统一的网络服务，使全网具有可伸缩性和基于策略的 Qos。 (2) 支持 Trunk协议 采用 Trunk干道技术能将若干条相同的源交换机与目的交换机的以太网连接线从逻辑上看作一条线，以保证局域网无环路。 这种技术不仅能够连接不同的VLAN或跨越多个交换机的相同 VLAN，而且能有效地加大连接宽带，增强网络设备的冗余性。 (3) 实现组播和自学 第三层交换机支持动态路由协议，能够实施基于标准的多点组播协议并具有自学习功能。 根据学习到的信息，三层交换机建立和维护路由表中的路由信息， ９ 并自动为所有 IP数据包提供路由服务。 (4) 内置安全机制 三层交换机可以与普通路由器一样，具有访问列表的功能， 从而 实现不同VLAN间的单向或双向通讯。 如果在访问列表中进行设置，可以限制用户访问特定的 IP地址，这样学校就可以禁止学生访问不健康的站点。 访问列表不仅可以用于禁止内部用户访问某些站点，也可以用于防止校园网、城域教育网外部的非法用户访问校园网、城域教育网内部的网络资源，从而提高网络的安全 性。 三层交换机支持内部带有硬件的过滤器，能在不降低系统性能的前提下对所有数据包进行过滤，且能根据实际需求结合 ACL用户访问控制列表对第二层到第四层的数据包进行过滤。 (5) 认证 计费功能 在校园网 中也需要 进行认 证和 计费。 当前 三层交 换机 一 般都有AAA(Authentication, Authorization and Accounting)功能，使用 RADIUS协议和RADIUS服务器 ，可以统计网络中计算机的数据流量 ，并 按流量计费，也可以统计计算机连接在网络上的时间， 从而 按时间计费。 3 网络总体需求分析与详细设计 由于 学校 发展迅猛， 老校区 与 3个 新的校区 迫切需要畅通无阻的信息交流，从而让 老校区的决策者 能对 各校区的学院 进行更直接 和更有效的管理，进而达到多 方信息共享的目的，所以将彼此相互独立的 分校区的 子网联成一个统一网络势在必行。 又由于 随着各 校区 计算机及局域网络应用的不断深入，特别是各种计算机应用系统被相继应用在实际工作中，各 学院 之间、各 学院 同外界信息媒体之间的相互交换和共享的要求日益增加。 需要使各 学院 相互间真正做到高效的信息交换、资源的共享，为各 学院 各级领导提供准确、可靠、快捷的各种生产数据和信息，充分发挥各 学院 现有的计算机设备的功能。 网络总体方案 网络总体方案要点包括：采用统一的通信协议、路由协议；主干网从高速交换链 路连接各子网；各子网内部为交换网络，形成两个层次的平面网络；主干网包括高速交换机、 VLAN路由处理；实行统一集中式的网络管理。 校园网工程整 １０ 体示意图如图 31所示： 图 31 整体设计示意图 详细设计 如图 31所示，校园网接入服务商有 3个，带宽共 800Mbps，一个是 100Mbps中国教育科研网，从南昌大学接入；一个是南昌网通提供的 200Mbps宽带；一个是南昌电信提供的 500Mbps宽带。 华为 S8505路由交换机集合下游校园网内的数据，并在 NE40上实现路由策略。 访问中国科研网的数据，经由教育网出 口；访问中国网通的数据，经由网通网出口；其他的则经由南昌电信网出口。 由于校园网跨越四个校区，其他分校区通过 S8505连接，所以网络结构比较庞大。 为此，以学校的图书馆为例，来说明 VLAN在校园网中的应用。 逻辑上 VLAN主要根据图书馆的业务来进行划分，实现上采用基于端口的方式进行划分，下面分别进行说明。 VLAN 应用 首先应熟悉整个图书馆的业务流程，并确定有多少个部门以及安全性状况，据此来划分 VLAN。 考虑到校园网 I。