校园网中VLAN划分与配置

校园网中VLAN划分与配置第2页

有以下几个方面：
1.3.1提高网络性能
应用vlan技术可以提高网络性能：
其一，vlan技术允许网络管理者将交换机上的端口作逻辑分组，使得从某个vlan中产生的字节流只能在从属于该vlan的交换机端口之间流动。在一个有大量广播和多播报文的网络中，应用vlan技术可以把这些报文限制在各个vlan里，从而可以大大减少整个网络中不必要的信息流量，提高网络性能。
其二，相比较网桥和交换机而言，路由器在处理接收到的数据时要慢一些。使用了vlan技术后，人们可以用交换机来代替路由器隔离广播域。由于减少了路由器的使用量，网络性能也相应地得到了提高。
1.3.2组建虚拟组织
如前所述，vlan技术是随着人们生产活动中越来越多的跨部门跨职能开发团队的出现而提出的。组建虚拟组织、特别是虚拟工作组，是提出vlan技术的初衷和目标之一。在实际应用时，对于同一个工作组内的成员，在该工作组存在的短时期内，可以把他们的计算机工作站划分在一个vlan里以便于其进行通信。这样，每个组内成员的计算机工作站既无需搬移到一起、也无需改变各自的设置，只需在网络管理者那里作一些改变就可以了。
1.3.3简化网络管理
根据davidj.buerger的分析计算，传统的lan中约有70%的网络花销是因为添加、删除、移动、更改网络用户而导致的。每当有一个用户加入局域网，就会引发一系列的端口分配、地址分配、网络设备重新配置等网络管理任务。在使用vlan技术后，这些任务都可得以简化。举例来说，当某台计算机工作站从一个空间位置移动到另一个空间位置时，不需要为其重新手工配置网络属性，网络自身就能够动态地完成这项任务。这种动态管理网络的方式给网络管理者和使用者都带来了极大的便利。
1.3.4提高网络安全
在传统的局域网中，不时的会有些敏感数据被有意或无意地广播到网络上，从而有可能造成信息泄密。在这种情况下，确定谁可以访问到这些数据就显得很重要。使用vlan技术可以将敏感数据的传播限制在安全范围内，只允许已定义的vlan成员访问相关数据。vlan还可被用来设立防火墙、限制数据访问以及将网络入侵事件通知给网络管理者等，这些都可以提高网络的安全系数。
1.3.5减少设备投资
vlan技术可被用来创建逻辑的广播域，因而可以减少用于购买昂贵的路由器等广播域隔离设备的投资。
2.vlan的划分方式
vlan的类型根据划分vlan的方式有以下几种：
2.1.基于端口划分的vlan
以网络设备的哪个端口属于哪个vlan的标准来划分vlan。例如，在一个有8个端口的网桥中，端口1、2、4、7属于vlan1，而端口3、5、6、8属于vlan2。则与这些端口相连的设备、这些设备收发的数据帧相应地也分别属于vlan1、vlan2。究竟如何配置，由管理员决定。如果有多个网络设备，例如有多个交换机，可以指定交换机1的1~6端口和交换机2的1~4端口为同一vlan，即同一vlan可以跨越数个交换机，根据端口划分是目前定义vlan的最常用的方法，ieee802.1q协议标准草案中对如何根据交换机的端口来划分vlan给出了明确的规定。这种划分方法的优点和缺点都很明显：优点是定义vlan成员时非常简单，只要将所有的端口都指定一下就可以了；缺点是不允许用户随便移动。如果属于某个vlan的用户离开了原来的端口，到了一个新的网络设备的某个端口，那么网络管理者就必须重新定义vlan。
2.2基于mac地址划分vlan
以计算机工作站网卡的mac地址来划分vlan。这种划分方法的最大优点就是由于一个mac地址唯一对应一块计算机网卡，故此当某个计算机工作站物理位置改变时、即从一台交换机转移到另一台交换机时，不需要重新配置vlan；而缺点是所有的vlan成员必须事先定义，这在有数以百计乃至千计用户的网络中，这并不是一件轻松的事。而且这种划分方法也导致了交换机执行效率的降低，因为交换机的每一个端口都可能连接许多不同vlan组的成员，这样就无法限制广播报文了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，vlan就必须不停的配置。
2.3基于网络层协议类型划分vlan
如果网络支持多网络层协议，那么根据数据帧头中的网络层协议类型字段也可以划分vlan。这对网络管理者来说很重要，同时，这种方法不需要附加的帧标签来识别vlan，可以减少网络的通信量。
2.4基于网络层子网地址划分vlan
根据数据报文头中的网络层子网地址也可以划分vlan。虽然这种划分方法根据的是第3层信息即网络地址（比如ip地址），但它与网络层的路由功能一点关系也没有。它只是查看每个数据报文的网络层地址，并根据过滤数据库中事先定义好的信息决定其归属于哪个vlan，然后再根据生成树算法进行桥交换，并不牵涉任何路由操作。这种方法的优点是当某个计算机工作站物理位置改变时，即从一台交换机转移到其它的交换机，不需要重新配置vlan。其缺点是效率低，因为相对于第1、2层vlan的实现技术，检查每一个数据报文的网络层地址是很费时间的。一般的交换机芯片都优点是具有更大的灵活性，而且也很容易通过路由器进行扩展。缺点是不适合lan，主要是效率不高。
2.6基于网络层以上协议乃至应用程序的类型划分vlan
根据网络层以上协议的类型、可以自动检查数据帧的帧头，但检查数据报文的报文头，则需要更高的技术（设备设计制造成本也会相应增加），同时也更费时。当然，这跟各个厂商的实现方法有关。
2.5基于网络层组播地址划分vlan
网络层组播实际上是一种vlan。即认为一个组播组就是一个vlan，这种划分方法实际将vlan扩大到了wan。该方法的应用程序的类型乃至两者的综合来划分vlan也是有可能的。例如，规定所有的ftp应用在一个vlan里运行而所有的telnet应用在另一个vlan里运行。这些方法的缺点在于它们都很费时，都要求更高的处理技术和更快的处理速度，目前的实现尚无法令人们满意。
802.1q草案标准仅仅定义了基于端口和mac地址来划分vlan的标准方案，虽然它也允许基于协议类型的vlan以及3层以上vlan，但并没有给出相应的标准。
3vlan的实现与配置
3.1vlan实现过程
当一个网桥或交换机接收到来自于某个计算机工作站的数据帧，它将给这个数据帧加上一个标签以标识这个数据帧来自于哪个vlan。加标签的原则有多种：可以基于数据帧来自于网桥的哪个端口、可以基于数据帧的数据链路层协议源地址、可以基于数据帧的网络层协议源地址、也可以基于数据帧的其它字段或多个字段的综合。为了能够使用任意一种方法给数据帧加标签，网桥必须有一个不断升级更新的数据库。这个数据库叫做过滤数据库，包含了本网络中全部vlan之间的映射以及它们使用哪个字段作为标签。例如，如果通过基于端口的方式来加标签，该数据库应该指示哪个端口属于哪个vlan。网桥必须能够维护这样的一个数据库并且应保证所有在这个lan中的网桥在它们的过滤数据库中有同样的信息。
基于ieee802.1q协议时，4个字节的vlan标签加到传统的以太网帧的目的mac地址字段和协议类型字段（在符合ieee802.3协议的帧中是长度字段）之间。其中包含有一个12比特大小的vlanid号以区别各个vlan，如图1-2所示：

图1基于802.1q协议的vlan帧格式封装类型
由于802.1q协议的标签头的4个字节是新增加的，故目前使用的计算机并不支持802.1q，即计算机发送出去的数据包的以太网帧头还不包含这4个字节，同时也无法识别这4个字节。对于交换机来说，如果它所连接的以太网段的所有主机都能识别和发送这种带802.1q标签头的数据包，该端口称为tagaware端口，需要给数据帧加标签。反之，如果该交换机端口所连接的以太网段里只要有一台主机不支持这种带802.1q标签头的数据包，该端口称为access端口，则不能给数据帧加标签。对于每一个到来的vlan帧，网桥或交换机将根据查找过滤数据库的结果决定该帧归属于哪一个vlan、将从哪个接口被转发出去。一旦网桥或交换机决定了某个数据帧的下一步去向，它就得决定是否需要给这个数据帧加标签。具体实现包括以下三个过程：
(1)接收过程：负责接收数据包，数据包可以是带标签头的，也可以不带标签头。如果不带，交换机会根据该端口所属的vlan添加上相应的标签头。
(2)查找/路由过程：根据数据包的目的mac地址、vlan标识，查找过滤数据库中注册的信息，以决定把数据包发送到哪个端口。
(3)发送过程：将数据包发送到以太网段上，如果该网段的主机不能识别802.1q标签头，则在出端口前将该标签头去掉；如果是发送到互连的其它交换机的端口，则标签头一般不去掉。
3.2校园网的ip地址分配与vlan的规划
随着校园网规模的不断扩大，用户不断增加，网络应用也不断增长，网络变得越来越拥挤，冲突不断产生，管理难度日益加大。为了有效地提高网络管理的灵活性，提高网络效率和网络安全性，一个合理的vlan规划给网络的管理更加有效。校园网目前的电脑数目已经上千台了。如果把这个庞大的网络作为一个vlan，那么校园网的网络性能和安全性就会大大的降低，而且能产生网络风暴使网络瘫痪。因此，应对这个庞大的校园网进行vlan的规划，把它划分为若干个虚拟子网，这样可以提高校园网的网络性能和安全性，防止网络风暴。

图2 西南林学院校园网的网络结构拓扑图
如上图所示，网络根据地理区域分为3个部分：教学办公室﹑学生宿舍区﹑科技培训中心及生活区。每一个部分建设一个网络中心，三个中心之间采用ge骨干互联。网络设计充分利用了堆叠技术，简化了网络结构。目前，我校园网主要是以quidways8016作为核心路由交换机。其它的网络部分采用堆叠组网的方式，主要是由几台quidways3026或%26micro;hammer24e交换机组成堆叠组。
校园网的vlan规划主要是根据西南林学院的网络拓扑图，首先基于核心路由交换机quidways8016上根据每分配一个c类的ip地址划分为一个vlan；然后再基于quidways3026或%26micro;hammer24e交换机根据网络管理的要求和网络的安全需要进行vlan划分。如为了使有些部门之间在网络中不能进行访问，确保本部门的信息不会被本部门以外的人窃听，而把各个部门划分为各个单独的vlan，从而提高各个部门的网络安全性。
3.3 vlan的配置实例
随着校园网的建成，对于校园网的管理的要求也越来越高了。目前，由于数据广播在网络中起着非常重要的作用，随着校园网内的计算机数量的增加，vod视频的