基于三層交換機(jī)的校園網(wǎng)構(gòu)建畢業(yè)論文.doc

摘要當(dāng)今社會(huì)已步入信息社會(huì)，信息成為社會(huì)經(jīng)濟(jì)發(fā)展的核心因素，信息化已成為當(dāng)今世界潮流?？梢哉f，信息化程度已成為衡量一個(gè)國家現(xiàn)代化水平和綜合國力強(qiáng)弱的重要標(biāo)志。隨著信息時(shí)代的來臨,知識(shí)的更新?lián)Q代在加快，如何更好、更快、更便捷的學(xué)習(xí)和掌握新知識(shí)，是現(xiàn)代教育正面臨的問題，利用現(xiàn)代化的電教設(shè)備，充分發(fā)揮科學(xué)教育的優(yōu)越性，是提高教學(xué)質(zhì)量的重要手段，因此校園網(wǎng)的建設(shè)越來越受到各大校園的重視。校園網(wǎng)絡(luò)的建設(shè)在全國各大校園中掀起一股熱潮，許多學(xué)校都建起了自己的校園網(wǎng)。校園網(wǎng)是利用Internet 技術(shù)把一個(gè)學(xué)校內(nèi)的信息資源全部鏈接起來，使全校師生員工能共享和傳遞校園網(wǎng)絡(luò)上的各種信息資源，同時(shí)又能通過通信線路與外部的Internet網(wǎng)絡(luò)相互連接。校園網(wǎng)是學(xué)校教育資源的重要組成部分，已成為現(xiàn)代高等學(xué)校不可或缺的重要基礎(chǔ)設(shè)施和基礎(chǔ)條件。校園網(wǎng)建設(shè)為高校利用網(wǎng)絡(luò)化、信息化手段提高教學(xué)質(zhì)量、促進(jìn)研究型自主學(xué)習(xí)提供了更為廣闊、自由的教學(xué)與科研空間，從而推動(dòng)了教育教學(xué)的整體變革1。一個(gè)學(xué)校有了自己的校園網(wǎng)，一方面學(xué)校的老師和學(xué)生足不出校就能及時(shí)的獲取外界的信息，了解到全國各地最新的動(dòng)態(tài)，方便與其他地區(qū)的聯(lián)系和信息的交流，有利于提高學(xué)校的科研教學(xué)水平，另一方面也能更好的管理學(xué)校，它能為現(xiàn)代化教學(xué)、綜合信息管理和辦公自動(dòng)化等一系列應(yīng)用提供基本操作平臺(tái)。建設(shè)校園網(wǎng)對(duì)每個(gè)學(xué)校來說都不是一件容易的事情，校園網(wǎng)不只是涉及技術(shù)方面，而是包括網(wǎng)絡(luò)設(shè)施、應(yīng)用平臺(tái)、信息資源、專業(yè)應(yīng)用、人員素質(zhì)等眾多成份的綜合化、信息化教學(xué)管理環(huán)境系統(tǒng)。本畢業(yè)設(shè)計(jì)課題主要是基于三層交換技術(shù)和局域網(wǎng)技術(shù)來構(gòu)建校園網(wǎng)。 關(guān)鍵字：校園網(wǎng)；三層交換技術(shù)；虛擬局域網(wǎng)；IPV4網(wǎng)目錄1 校園網(wǎng)的規(guī)劃31.1校園網(wǎng)規(guī)劃31.1.1.需求分析31.1.2設(shè)計(jì)目標(biāo)31.1.3設(shè)計(jì)原則41.1.4設(shè)計(jì)方案51.1.5設(shè)備選擇62 主要技術(shù)概述72.1三層交換技術(shù)72.1.1三層交換技術(shù)的概念72.1.2三層交換技術(shù)的原理72.1.3三層交換技術(shù)的功能82.1.4三層交換機(jī)的特點(diǎn)82.2虛擬局域網(wǎng)技術(shù)92.2.1虛擬局域網(wǎng)技術(shù)的概念92.2.2虛擬局域網(wǎng)技術(shù)的功能102.2.3虛擬局域網(wǎng)的特征112.2.4劃分VLAN的方法112.2.5虛擬局域網(wǎng)存在的問題123 子網(wǎng)劃分和子網(wǎng)編址133.1子網(wǎng)劃分133.1.1子網(wǎng)劃分的原則133.1.2 IP地址劃分133.1.3 Vlan 設(shè)計(jì)133.2子網(wǎng)編址144 網(wǎng)絡(luò)設(shè)計(jì)方案描述154.1網(wǎng)絡(luò)總體規(guī)劃設(shè)計(jì)154.1.1核心層設(shè)計(jì)154.1.2匯聚層設(shè)計(jì)164.1.3接入層設(shè)計(jì)164.2軟件仿真部分174.2.1 Cisco Packet Tracer仿真軟件介紹174.2.2仿真拓?fù)鋱D224.2.3主要設(shè)備介紹及配置234.2.4一些重要的配置命令255 性能測(cè)試276 總結(jié)語30參考文獻(xiàn)32致 謝331 校園網(wǎng)的規(guī)劃1.1校園網(wǎng)規(guī)劃 1.1.1.需求分析校園網(wǎng)必須能覆蓋整個(gè)校園，包括教學(xué)樓、宿舍樓、圖書館、實(shí)驗(yàn)樓、辦公樓等等，具備通訊、管理、教學(xué)等一個(gè)學(xué)校所需要的功能。教師通過校園網(wǎng)不僅能及時(shí)的掌握學(xué)生的動(dòng)態(tài)，與學(xué)生及時(shí)的交流，還可以方便快捷的瀏覽與教學(xué)相關(guān)的網(wǎng)頁，查詢網(wǎng)上的資源，能夠及時(shí)的了解現(xiàn)代教育發(fā)展的現(xiàn)狀和本學(xué)科的一些前言知識(shí)，更好的進(jìn)行教學(xué)和科研工作；學(xué)生通過校園網(wǎng)不僅能夠及時(shí)的了解學(xué)校發(fā)布的信息、新推出的政策、學(xué)校最近一段時(shí)間的活動(dòng)，還可以方便的與他人進(jìn)行交流，從網(wǎng)上查詢一些學(xué)習(xí)資料，通過網(wǎng)絡(luò)進(jìn)行網(wǎng)上學(xué)習(xí)，視頻學(xué)習(xí)等，及時(shí)的了解教育方面前沿的信息，擴(kuò)充自己的知識(shí)面，開闊視野；學(xué)校的管理人員通過校園網(wǎng)可以方便地對(duì)教務(wù)、行政事務(wù)、學(xué)生學(xué)籍、財(cái)務(wù)、資產(chǎn)等進(jìn)行綜合管理，同時(shí)可以實(shí)現(xiàn)各級(jí)管理層之間的信息數(shù)據(jù)交換，實(shí)現(xiàn)網(wǎng)上信息采集和處理的自動(dòng)化，實(shí)現(xiàn)信息和設(shè)備資源的共享。校園網(wǎng)還應(yīng)實(shí)現(xiàn)虛擬局域網(wǎng)（VLAN）的功能，以保證全網(wǎng)的良好性能及網(wǎng)絡(luò)安全性。主干網(wǎng)交換機(jī)應(yīng)具有很高的包交換速度，整個(gè)網(wǎng)絡(luò)應(yīng)具有高速的三層交換功能。1.1.2設(shè)計(jì)目標(biāo) （1）最基本的目標(biāo)是：建設(shè)校園網(wǎng)絡(luò)中心，并通過一定的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)構(gòu)建連接校園網(wǎng)絡(luò)中心、計(jì)算機(jī)教室、實(shí)驗(yàn)室、教學(xué)樓、辦公樓、學(xué)生宿舍樓、圖書館等的校園網(wǎng)，使之能通過一定的應(yīng)用軟件完成行政辦公管理、教師備課授課、學(xué)生學(xué)習(xí)交流、校內(nèi)信息公告、遠(yuǎn)程電子通訊等基本功能構(gòu)建普通學(xué)校校內(nèi)Internet環(huán)境，并通過代理服務(wù)器接入Internet，實(shí)現(xiàn)與Internet 交流，實(shí)現(xiàn)廣泛的軟件、硬件資源共享，如網(wǎng)上沖浪、電子郵件、文件傳輸、遠(yuǎn)程登錄、存儲(chǔ)數(shù)據(jù)及論壇討論等。（2）校園網(wǎng)系統(tǒng)高可靠性在考慮現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上,整個(gè)業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)的拓?fù)浣Y(jié)構(gòu)盡量采用穩(wěn)定可靠的結(jié)構(gòu)形式,以保證整個(gè)網(wǎng)絡(luò)的高可靠性。網(wǎng)絡(luò)設(shè)備和整個(gè)網(wǎng)絡(luò)系統(tǒng)必須具備高可靠性特征。（3）校園網(wǎng)系統(tǒng)高穩(wěn)定性其中核心交換機(jī)采用高性能,為整個(gè)校園網(wǎng)提供真正的高速無阻塞的傳輸,保證全線速交換；不僅硬件實(shí)現(xiàn)三層路由和交換，關(guān)鍵功能均通過硬件實(shí)現(xiàn),極大程度上提高了數(shù)據(jù)處理能力；而管理交換引擎、電源等關(guān)鍵部件的冗余,實(shí)現(xiàn)了系統(tǒng)高穩(wěn)定性和可靠性2。（4）校園網(wǎng)系統(tǒng)可擴(kuò)展性網(wǎng)絡(luò)系統(tǒng)應(yīng)以開放性為基礎(chǔ),具有廣泛的適應(yīng)性和可擴(kuò)充性, 作為一個(gè)骨干網(wǎng)的核心,下面的一些新的應(yīng)用將不斷增加,系統(tǒng)的容量也將隨之?dāng)U展,因此方案應(yīng)具有良好的可擴(kuò)充性適應(yīng)系統(tǒng)不斷增長的需求3。（5）校園網(wǎng)系統(tǒng)可維護(hù)性整個(gè)業(yè)務(wù)網(wǎng)必須具備良好的可管理性,網(wǎng)管系統(tǒng)應(yīng)具有監(jiān)測(cè)、故障診斷、故障隔離、過濾設(shè)置等功能,以便于系統(tǒng)的管理和維護(hù)。同時(shí)應(yīng)盡可能選取集成度高、模塊化、可通用的產(chǎn)品,以便于管理和維護(hù)。1.1.3設(shè)計(jì)原則（1）先進(jìn)性技術(shù)上的先進(jìn)性將保證處理數(shù)據(jù)的高效率、系統(tǒng)工作的靈活性、網(wǎng)絡(luò)的可靠性，技術(shù)上的先進(jìn)性也使系統(tǒng)的擴(kuò)充和維護(hù)變得十分簡單。（2）實(shí)用性課題的設(shè)計(jì)既要在相當(dāng)長的時(shí)間內(nèi)保證其先進(jìn)性，還應(yīng)本著實(shí)用的原則，在實(shí)用的基礎(chǔ)上追求先進(jìn)性，使系統(tǒng)便于聯(lián)網(wǎng)，實(shí)現(xiàn)信息資源共享。易于維護(hù)管理，具有廣泛兼容性，同時(shí)為適應(yīng)我國實(shí)際情況，設(shè)備應(yīng)具有使用靈活、操作方便的漢字、圖形處理功能。（3）經(jīng)濟(jì)性在完成系統(tǒng)目標(biāo)的基礎(chǔ)上，力爭用最少的錢辦最多的事，創(chuàng)造出最大的使用效益（4）安全性目前，計(jì)算機(jī)網(wǎng)絡(luò)都與外部網(wǎng)絡(luò)互連互通日益增加，都直接或間接與國際互連網(wǎng)連接。因此，在系統(tǒng)方案設(shè)計(jì)需考慮到系統(tǒng)的可靠性、信息安全性和保密性的要求。（5）易于擴(kuò)展性由于信息技術(shù)和人們對(duì)于新技術(shù)的需求發(fā)展都非常迅速，為了避免不必要的重復(fù)投資，應(yīng)選擇具有一定擴(kuò)展能力的設(shè)備，能夠保證在網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大的時(shí)候，不需要增加的設(shè)備，而只需要增加一定數(shù)量的模塊就行。（6）安全、穩(wěn)定、可靠作為整個(gè)校園網(wǎng)絡(luò)系統(tǒng)的硬件基礎(chǔ)，網(wǎng)絡(luò)設(shè)備必須是具備安全性、穩(wěn)定性和可靠性的特點(diǎn)。這是網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行的最基本條件。最好是經(jīng)過相當(dāng)長時(shí)間，在世界范圍內(nèi)被廣泛應(yīng)用的網(wǎng)絡(luò)產(chǎn)品，所以在選擇產(chǎn)品時(shí)選用國際知名廠商的產(chǎn)品。（7）管理和維護(hù)方便先進(jìn)的設(shè)備必須配合先進(jìn)的管理和維護(hù)的方法，才能夠發(fā)揮最大的作用。所以，在選擇設(shè)備時(shí)必須支持現(xiàn)有的、常用的網(wǎng)絡(luò)管理協(xié)議和多種網(wǎng)絡(luò)管理軟件，便于管理人員的維護(hù)。1.1.4設(shè)計(jì)方案整個(gè)校園網(wǎng)的信息點(diǎn)都可接入Internet，Internet通過校園外部的路由器進(jìn)入到整個(gè)校園的核心交換機(jī)上，再經(jīng)核心交換機(jī)分別接入到每棟樓的交換機(jī)，校園網(wǎng)能夠提供WWW服務(wù)器、域名服務(wù)器、FTP服務(wù)器、代理服務(wù)器、數(shù)據(jù)庫服務(wù)器等，其中數(shù)據(jù)庫服務(wù)器主要是內(nèi)部管理、教學(xué)數(shù)據(jù)庫，學(xué)生和教師資料數(shù)據(jù)庫。對(duì)校園網(wǎng)內(nèi)部提供視頻點(diǎn)播服務(wù)，使用教務(wù)教學(xué)管理系統(tǒng)對(duì)學(xué)校教務(wù)教學(xué)進(jìn)行管理，因此有一個(gè)專門的服務(wù)區(qū)連接核心交換機(jī)來為整個(gè)校園網(wǎng)提供服務(wù)。各大樓之間可互聯(lián)互通，每棟樓有一個(gè)總交換機(jī)連接每一層的交換機(jī)，層交換機(jī)再經(jīng)連接到每個(gè)房間的交換機(jī)，每個(gè)房間的所有信息點(diǎn)連接到這個(gè)房間的交換機(jī)上。這樣整個(gè)校園的網(wǎng)絡(luò)結(jié)構(gòu)基本完成。如圖1.1所示。圖1.1 校園網(wǎng)整體結(jié)構(gòu)拓?fù)鋱D1.1.5設(shè)備選擇設(shè)備選擇的原則4：(1) 安全、穩(wěn)定、可靠：作為整個(gè)校園網(wǎng)絡(luò)系統(tǒng)的硬件基礎(chǔ)，網(wǎng)絡(luò)設(shè)備必須是具備安全性、穩(wěn)定性和可靠性的特點(diǎn)。這是網(wǎng)絡(luò)系統(tǒng)穩(wěn)定運(yùn)行的最基本條件。 (2) 技術(shù)先進(jìn)性：在選擇網(wǎng)絡(luò)設(shè)備應(yīng)該采用當(dāng)今較先進(jìn)的技術(shù)，能夠保持該設(shè)備在相當(dāng)長的一段時(shí)間內(nèi)不會(huì)因?yàn)榧夹g(shù)落后而被淘汰。同時(shí)，在網(wǎng)絡(luò)規(guī)模進(jìn)一步擴(kuò)大，該設(shè)備不能承擔(dān)繁重的負(fù)荷時(shí)，能夠降級(jí)使用。(3) 易于擴(kuò)展性：由于信息技術(shù)和人們對(duì)于新技術(shù)的需求發(fā)展都非常迅速，為了避免不必要的重復(fù)投資，應(yīng)選擇具有一定擴(kuò)展能力的設(shè)備，能夠保證在網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大的時(shí)候，不需要增加的設(shè)備，而只需要增加一定數(shù)量的模塊就行。(4) 管理和維護(hù)方便：先進(jìn)的設(shè)備必須配合先進(jìn)的管理和維護(hù)的方法，才能夠發(fā)揮最大的作用。所以，在選擇設(shè)備時(shí)必須支持現(xiàn)有的、常用的網(wǎng)絡(luò)管理協(xié)議和多種網(wǎng)絡(luò)管理軟件，便于管理人員的維護(hù)。2 主要技術(shù)概述2.1三層交換技術(shù)2.1.1三層交換技術(shù)的概念在計(jì)算機(jī)數(shù)量眾多的局域網(wǎng)絡(luò)中，為了提高網(wǎng)絡(luò)安全性和通信效率必須劃分VLAN,而不同VLAN間的通信只有通過路由設(shè)備才能實(shí)現(xiàn)。如果使用傳統(tǒng)路由器作為VLAN間的路由設(shè)備，將由于其吞吐量太小而很難適應(yīng)大規(guī)模、高速率網(wǎng)絡(luò)傳輸?shù)男枰?，這無疑將成為快速以太網(wǎng)或千兆以太網(wǎng)網(wǎng)絡(luò)傳輸?shù)钠款i。于是，專門用于解決VLAN間通信的、集第三層轉(zhuǎn)發(fā)與第二層交換于一身的第三層交換技術(shù)產(chǎn)生了。第三層交換技術(shù)實(shí)際上是使用了集成電路的路由器，但比傳統(tǒng)的路由器提供了更高的速度和更低的成本，也比傳統(tǒng)的路由器更易于管理。正因?yàn)榈谌龑咏粨Q技術(shù)集成了路由器的功能，所以第三層交換機(jī)也被成為路由交換機(jī)。2.1.2三層交換技術(shù)的原理第三層交換機(jī)根據(jù)OSI模型網(wǎng)絡(luò)層（即第三層）的IP地址完成端到端的數(shù)據(jù)交換，主要應(yīng)用于不同VLAN子網(wǎng)間的路由。當(dāng)某一信息源的第一個(gè)數(shù)據(jù)流進(jìn)行第三層交換（路由）后，交換機(jī)會(huì)產(chǎn)生一個(gè)MAC地址與IP地址的映射表，并將該表存儲(chǔ)起來，如同一信息源的后續(xù)數(shù)據(jù)流再次進(jìn)入交換機(jī)，交換機(jī)將根據(jù)第一次產(chǎn)生并保存的地址映射表，直接從第二次有源地址傳輸?shù)侥康牡刂罚辉俳?jīng)過第三路由系統(tǒng)處理，提高了數(shù)據(jù)包的轉(zhuǎn)發(fā)效率，解決了VLAN子網(wǎng)間傳輸信息時(shí)傳統(tǒng)路由器產(chǎn)生的速率瓶頸。2.1.3三層交換技術(shù)的功能根據(jù)第三層協(xié)議對(duì)路由進(jìn)行計(jì)算，其支持的路由協(xié)議包括RIP（路由信息選擇協(xié)議）和OSPF（開放最短路徑優(yōu)先）等。支持IGMP（Internet組管理協(xié)議）、DVMRP（距離矢量組播路由選擇協(xié)議）等各種常用的IP組播協(xié)議，當(dāng)交換式路由器收到組播報(bào)文后，首先將報(bào)文轉(zhuǎn)發(fā)到包含組播組成員的VLAN上，繼而再把報(bào)文轉(zhuǎn)發(fā)到組播組成員的端口上。支持服務(wù)質(zhì)量（QoS），將報(bào)文賦予特定的優(yōu)先級(jí)，不同優(yōu)先級(jí)的報(bào)文送到不同的隊(duì)列按先后轉(zhuǎn)發(fā)。支持標(biāo)準(zhǔn)的SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）協(xié)議，支持傳統(tǒng)的命令行接口（CLI）。對(duì)虛擬網(wǎng)的多種劃分策略，尤其是它不僅支持傳統(tǒng)的機(jī)遇端口的VLAN劃分，而且還支持基于IP地址，子網(wǎng)號(hào)和協(xié)議類型的VLAN劃分，這給園區(qū)網(wǎng)的管理帶來極大的方便。具有自動(dòng)發(fā)現(xiàn)功能，該功能可以減少配置的復(fù)雜性。第三層交換機(jī)可以通過監(jiān)視數(shù)據(jù)流來學(xué)習(xí)路由信息，通過對(duì)端口入站數(shù)據(jù)包的分析，第三層交換機(jī)能自動(dòng)的發(fā)現(xiàn)和產(chǎn)生一個(gè)廣播域、VLAN 、IP 子網(wǎng)和更新他們的成員。自動(dòng)發(fā)現(xiàn)功能在不改變?nèi)魏闻渲玫那闆r下，提高網(wǎng)絡(luò)的性能5。2.1.4三層交換機(jī)的特點(diǎn)除了優(yōu)秀的性能之外，三層交換機(jī)還具有一些傳統(tǒng)的二層交換機(jī)沒有的特性，這些特性可以給校園和城域教育網(wǎng)的建設(shè)帶來許多好處，列舉如下：（1）高可擴(kuò)充性三層交換機(jī)在連接多個(gè)子網(wǎng)時(shí)，子網(wǎng)只是與第三層交換模塊建立邏輯連接，不像傳統(tǒng)外接路由器那樣需要增加端口，從而保護(hù)了用戶對(duì)校園網(wǎng)、城域教育網(wǎng)的投資。并滿足學(xué)校35年網(wǎng)絡(luò)應(yīng)用快速增長的需要。（2）高性價(jià)比三層交換機(jī)具有連接大型網(wǎng)絡(luò)的能力，功能基本上可以取代某些傳統(tǒng)路由器，但是價(jià)格卻接近二層交換機(jī)。現(xiàn)在一臺(tái)百兆三層交換機(jī)的價(jià)格只有幾萬元，與高端的二層交換機(jī)的價(jià)格差不多。（3）內(nèi)置安全機(jī)制三層交換機(jī)可以與普通路由器一樣，具有訪問列表的功能，可以實(shí)現(xiàn)不同VLAN間的單向或雙向通訊。如果在訪問列表中進(jìn)行設(shè)置，可以限制用戶訪問特定的IP地址，這樣學(xué)校就可以禁止學(xué)生訪問不健康的站點(diǎn)。訪問列表不僅可以用于禁止內(nèi)部用戶訪問某些站點(diǎn)，也可以用于防止校園網(wǎng)、城域教育網(wǎng)外部的非法用戶訪問校園網(wǎng)、城域教育網(wǎng)內(nèi)部的網(wǎng)絡(luò)資源，從而提高網(wǎng)絡(luò)的安全。（4）適合多媒體傳輸教育網(wǎng)經(jīng)常需要傳輸多媒體信息，這是教育網(wǎng)的一個(gè)特色。三層交換機(jī)具有QoS（服務(wù)質(zhì)量）的控制功能，可以給不同的應(yīng)用程序分配不同的帶寬。2.2虛擬局域網(wǎng)技術(shù)2.2.1虛擬局域網(wǎng)技術(shù)的概念虛擬局域網(wǎng)（VLAN）技術(shù)用于在不更改網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)的前提下對(duì)局域網(wǎng)進(jìn)行重組。在以前的局域網(wǎng)應(yīng)用中，當(dāng)站與站之間的通信關(guān)系改變后，需要對(duì)網(wǎng)絡(luò)的的物理結(jié)構(gòu)進(jìn)行調(diào)整，而采用虛擬局域網(wǎng)技術(shù)后，網(wǎng)管人員只需在交換機(jī)上對(duì)網(wǎng)絡(luò)進(jìn)行邏輯重構(gòu)，即可使網(wǎng)絡(luò)結(jié)構(gòu)適應(yīng)新的通信要求，并維持通信的高效率。具體的講，虛擬局域網(wǎng)技術(shù)是通過路由和交換設(shè)備，在網(wǎng)絡(luò)物理拓?fù)涞幕A(chǔ)上建立一個(gè)邏輯網(wǎng)絡(luò)。每個(gè)VLAN都構(gòu)成一個(gè)獨(dú)立的廣播域，處于同一VLAN中的網(wǎng)絡(luò)用戶可以不受地理位置的限制而像處于同一個(gè)VLAN上那樣互相交換信息。VLAN必須在交換網(wǎng)絡(luò)中實(shí)現(xiàn)，每個(gè)交換設(shè)備均可根據(jù)網(wǎng)絡(luò)管理人員所定義的VLAN劃分方法對(duì)報(bào)文進(jìn)行過濾和轉(zhuǎn)發(fā)，并能將這種劃分信息傳遞到網(wǎng)絡(luò)中其他交換設(shè)備和路由器中。LAN交換設(shè)備在VLAN的劃分及實(shí)現(xiàn)低延遲的報(bào)文轉(zhuǎn)發(fā)方面起著重要的作用。事實(shí)上，在網(wǎng)絡(luò)層對(duì)網(wǎng)絡(luò)進(jìn)行互聯(lián)的路由器，能夠在網(wǎng)絡(luò)層對(duì)網(wǎng)絡(luò)進(jìn)行隔離，并抑制廣播數(shù)據(jù)。而VLAN則是一種不采用路由器對(duì)廣播數(shù)據(jù)進(jìn)行抑制的解決方案。在VLAN中，對(duì)廣播數(shù)據(jù)的抑制由交換機(jī)完成。2.2.2虛擬局域網(wǎng)技術(shù)的功能采用VLAN技術(shù)后，可使當(dāng)網(wǎng)絡(luò)中的站點(diǎn)發(fā)生移動(dòng)，增強(qiáng)和移出時(shí)的管理開銷大為減少，可以抑制廣播數(shù)據(jù)的泛濫、提高網(wǎng)的安全性。這些優(yōu)點(diǎn)都源于交換機(jī)具有可根據(jù)管理員的要求生成VLAN的功能，即交換機(jī)能夠?qū)⒕W(wǎng)絡(luò)工作站組織為若干虛擬局域網(wǎng)并實(shí)現(xiàn)虛擬網(wǎng)間的隔離，虛擬網(wǎng)的結(jié)構(gòu)可以獨(dú)立于網(wǎng)絡(luò)的物理結(jié)構(gòu)。VALN的主要功能如下：（1） 提高管理效率。當(dāng)網(wǎng)絡(luò)中站點(diǎn)出現(xiàn)了移動(dòng)、增加和移出時(shí)，網(wǎng)絡(luò)管理員可以十分方便的對(duì)VLAN進(jìn)行重組。（2） 抑制廣播數(shù)據(jù)。當(dāng)集線器或一般交換機(jī)組建局域網(wǎng)時(shí)，第二層廣播數(shù)據(jù)將被傳送到集線器或一般交換機(jī)的所有接口，進(jìn)而傳到所有用戶，這樣勢(shì)必耗費(fèi)大量的網(wǎng)絡(luò)資源。雖然用路由器對(duì)網(wǎng)絡(luò)進(jìn)行分段可以減少廣播數(shù)據(jù)（路由器一般不在接口間轉(zhuǎn)發(fā)廣播數(shù)據(jù)），但傳輸會(huì)延遲會(huì)增加。而VLAN可以有效的抑制廣播數(shù)據(jù)，某個(gè)VLAN中的廣播數(shù)據(jù)只是被復(fù)制到其成員所連接的端口。這實(shí)際上是為在交換型網(wǎng)絡(luò)中建立起同路由器功能類似的防火墻提供了一種有效的手段。在VLAN中，大部分?jǐn)?shù)據(jù)都是通過交換機(jī)轉(zhuǎn)發(fā)的，只有VLAN間的數(shù)據(jù)才需經(jīng)過路由器轉(zhuǎn)發(fā)，可有效地提高VLAN中大部分?jǐn)?shù)據(jù)的傳輸速度。（3） 增強(qiáng)網(wǎng)絡(luò)安全性。將整個(gè)網(wǎng)絡(luò)劃分成若干互相獨(dú)立的廣播組是一種有效的增強(qiáng)網(wǎng)絡(luò)安全性的方法?？梢韵拗颇硞€(gè)VLAN中的用戶數(shù)量，可以禁止那些沒有得到許可的用戶加入到某個(gè)VLAN中。這樣,VLAN就可以提供一道防火墻，以控制用戶對(duì)網(wǎng)絡(luò)資源的訪問，控制廣播組的大小和構(gòu)成，并借助于網(wǎng)管軟件在非法入侵發(fā)生時(shí)通知網(wǎng)管人員。（4） 實(shí)現(xiàn)虛擬工作組。在整個(gè)園區(qū)網(wǎng)絡(luò)環(huán)境下實(shí)現(xiàn)VLAN后，同一個(gè)部門的所有成員將可以像處于同一個(gè)LAN上那樣進(jìn)行通信。當(dāng)某人從一個(gè)場(chǎng)地遷移到另一個(gè)場(chǎng)地時(shí)，只要其工作部門不變，就用不著對(duì)其機(jī)器進(jìn)行重新配置。與此類似，如果某人改變了工作部門，可以不改變工作地點(diǎn)，只需網(wǎng)管人員修改其VLAN成員身份即可5。2.2.3虛擬局域網(wǎng)的特征（1）VLAN與由物理位置決定的傳統(tǒng)VLAN有著本質(zhì)不同，它不受網(wǎng)絡(luò)物理位置的限制，可跨越多個(gè)物理網(wǎng)絡(luò)、多臺(tái)交換機(jī)。我們可將網(wǎng)絡(luò)用戶按功能分成多個(gè)邏輯工作組，每一個(gè)組為一個(gè)VLAN。（2）每一個(gè)VLAN中的廣播只有VLAN中的成員才能聽到，而不會(huì)傳輸?shù)狡渌鸙LAN中去，因此，VLAN可隔離廣播信息，每個(gè)VLAN為一個(gè)廣播域，用戶可以通過劃分VLAN的方法來限制廣播域，以防止廣播風(fēng)暴的發(fā)生。如果要實(shí)現(xiàn)不同VLAN之間的主機(jī)通信，則必須通過一個(gè)路由器或者三層交換機(jī)。（3）劃分VLAN可以有效提升寬帶，我們可以將網(wǎng)絡(luò)上的用戶按業(yè)務(wù)功能劃分成多個(gè)邏輯工作組，每一個(gè)為一個(gè)VLAN,這樣，日常的通信交流信息絕大部分被限制在一個(gè)VLAN內(nèi)部，使帶寬得到有效利用。（4）VLAN均由軟件實(shí)現(xiàn)定義與劃分，使得建立與重組VLAN十分靈活，當(dāng)一個(gè)VLAN中增加、刪除和修改用戶時(shí)不必從物理位置上調(diào)整網(wǎng)絡(luò)6。2.2.4劃分VLAN的方法劃分VLAN的方法主要有以下幾種：（1） 按交換機(jī)端口進(jìn)行劃分。這種方法最常用，也最簡單和有效。其缺點(diǎn)是，當(dāng)用戶從一個(gè)端口移至另一個(gè)端口時(shí)，必須對(duì)VLAN成員重新配置。（2） 按MAC地址劃分。由網(wǎng)管人員指定屬于同一個(gè)VLAN中的各用戶站的MAC地址。這種劃分的優(yōu)點(diǎn)是：由于MAC地址是固化在網(wǎng)卡中的，當(dāng)用戶站移至其他位置后，其仍將屬于原VLAN，這樣定義的VLAN可以看成是基于用戶的VLAN。采用這種方法劃分VLAN的缺點(diǎn)是：在大型網(wǎng)絡(luò)中初始配置工作量很大。（3） 按第三層協(xié)議劃分。這種劃分方法在決定VLAN成員的身份時(shí)，主要考慮網(wǎng)絡(luò)層地址（如TCP/IP網(wǎng)絡(luò)的子網(wǎng)地址）。當(dāng)按網(wǎng)絡(luò)層地址劃分VLAN時(shí)，要將子網(wǎng)地址映射到VLAN，交換機(jī)則根據(jù)子網(wǎng)地址將各機(jī)器的MAC地址同VLAN聯(lián)系起來。這種劃分方法的優(yōu)點(diǎn)是：根據(jù)第三層協(xié)議劃分VLAN，當(dāng)用戶的機(jī)器移動(dòng)位置后，不必重新配置網(wǎng)絡(luò)地址。這種劃分方法的缺點(diǎn)是：對(duì)報(bào)文中的網(wǎng)絡(luò)地址（IP）進(jìn)行檢查比對(duì)幀中MAC地址檢查所需要的開銷大，使交換設(shè)備轉(zhuǎn)發(fā)速率下降。（4） IP組播VLAN。IP組播是用一個(gè)D類地址表示的，當(dāng)向一個(gè)IP組播發(fā)送一個(gè)IP報(bào)文時(shí)，這個(gè)報(bào)文會(huì)傳到該組中每一個(gè)站點(diǎn)。即可以把一個(gè)IP組播看成一個(gè)VLAN。（5） 基于策略的VLAN。允許網(wǎng)絡(luò)管理員使用前述的任何一種劃分VLAN的方法，也可以把不同方法組合成一種新的策略來劃分VLAN，當(dāng)一個(gè)策略被指定到一個(gè)交換機(jī)時(shí)，該策略就可以在整個(gè)網(wǎng)絡(luò)上應(yīng)用6。2.2.5虛擬局域網(wǎng)存在的問題VLAN技術(shù)存在的主要問題有三個(gè)。首先是標(biāo)準(zhǔn)不一致的問題。目前，不同廠商生產(chǎn)的交換機(jī)不能在VLAN層面上互相操作。這意味著，如果需要使用VLAN技術(shù)，就必須購買同一廠商生產(chǎn)的交換機(jī)。不過，對(duì)VLAN技術(shù)進(jìn)行標(biāo)準(zhǔn)化的工作已經(jīng)取得了一些進(jìn)展。其中一個(gè)重要進(jìn)展是IEEE開發(fā)了802.3Q標(biāo)準(zhǔn)。第二個(gè)問題是站點(diǎn)地址的管理。VLAN的設(shè)計(jì)初衷主要是通過第2層地址實(shí)現(xiàn)網(wǎng)段劃分，即當(dāng)計(jì)算機(jī)自一個(gè)位置移至另一個(gè)位置后，VLAN交換機(jī)可自動(dòng)檢測(cè)第2層地址并將其加入其原來所在的網(wǎng)段。不幸的是利用DHCP可完成同樣的工作并且更加簡單，因此大多數(shù)網(wǎng)絡(luò)管理者在配置網(wǎng)絡(luò)時(shí)都選擇利用DHCP實(shí)現(xiàn)網(wǎng)段劃分，因此，實(shí)際運(yùn)行的虛擬網(wǎng)往往是基于端口的。而對(duì)大學(xué)網(wǎng)絡(luò)而言，按端口劃分的虛擬網(wǎng)是十分繁瑣的。第三個(gè)問題隨著第3層交換機(jī)的問世幾乎使虛擬網(wǎng)失去了存在的價(jià)值。原因是，第3層交換機(jī)同時(shí)實(shí)現(xiàn)了網(wǎng)橋和路由器的功能，當(dāng)使用第2層交換機(jī)時(shí)，可通過建立虛擬網(wǎng)絡(luò)縮小廣播域，而用第3層交換機(jī)可以完成同樣的任務(wù)，并且避免了創(chuàng)建虛擬局域網(wǎng)的麻煩7。3 子網(wǎng)劃分和子網(wǎng)編址3.1子網(wǎng)劃分3.1.1子網(wǎng)劃分的原則子網(wǎng)網(wǎng)段劃分一般依據(jù)以下幾條原則進(jìn)行：（1）將需要對(duì)外開放的服務(wù)器劃分到同網(wǎng)段，并分配給合法的IP地址；（2）將各網(wǎng)絡(luò)設(shè)備劃分到專業(yè)的網(wǎng)段，并分配個(gè)合法的IP地址；（3）將不對(duì)外開放的服務(wù)器劃分到不同的網(wǎng)段，其地址對(duì)外隱蔽；（4）盡量將分屬于不同部門的機(jī)器劃分到不同的網(wǎng)段，便于管理；（5）子網(wǎng)的劃分應(yīng)使IP地址管理較為簡單。使用可變長子網(wǎng)掩碼，合理分配IP地址8。3.1.2 IP地址劃分對(duì)校園網(wǎng)IP 地址分配建議采用如下規(guī)劃原則：（1）網(wǎng)絡(luò)系統(tǒng)的編址方案利用CIDR （無類型域間選路）和可變長子網(wǎng)掩碼技術(shù),并支持Ipv6；（2）在整個(gè)網(wǎng)絡(luò)環(huán)境中必須保持IP 地址的唯一性；（3）為提高路由處理效率,實(shí)現(xiàn)理想的路由匯總，縮減路由表項(xiàng)數(shù)，盡量為同一網(wǎng)絡(luò)分配連續(xù)地址；（4）地址分配具有層次性,便于管理,局部的變動(dòng)不影響網(wǎng)絡(luò)的其他部分；（5）為了滿足不斷增長的 IP 地址需求，并實(shí)現(xiàn)與其他網(wǎng)絡(luò)互聯(lián)和內(nèi)部子網(wǎng)互聯(lián)的有效控制和管理，建議校園網(wǎng)采用內(nèi)部保留地址,給將來的網(wǎng)絡(luò)發(fā)展留下充分的余地；3.1.3 Vlan 設(shè)計(jì)校園網(wǎng)VLAN的劃分應(yīng)從網(wǎng)絡(luò)的高效性、安全性和靈活性等多方面綜合考慮。一些部門由于安全性和信息實(shí)時(shí)處理的需要，強(qiáng)調(diào)網(wǎng)絡(luò)的高效性和安全性；另一些部門，由于物理端口可能會(huì)經(jīng)常變動(dòng)，要求網(wǎng)絡(luò)配置具有較高的靈活性，而不同的VLAN劃分機(jī)制又各有其優(yōu)缺點(diǎn)，因此，應(yīng)該根據(jù)實(shí)際情況考慮多種VLAN劃分機(jī)制及安全策略配合使用，使整個(gè)網(wǎng)絡(luò)性能及安全達(dá)到最優(yōu)。針對(duì)內(nèi)部VLAN之間的路由瓶頸造成的網(wǎng)絡(luò)性能問題。采用第三層交換機(jī)做為校園網(wǎng)核心交換機(jī)，取代傳統(tǒng)路由器進(jìn)行內(nèi)部VLAN之間的路由。同時(shí)通過對(duì)核心交換機(jī)和二級(jí)交換機(jī)之間直接相連的端口配置標(biāo)記(Tag)封裝，實(shí)現(xiàn)了對(duì)整個(gè)校園網(wǎng)跨交換機(jī)的VLAN劃分和配置。虛擬局域網(wǎng)規(guī)劃中采用基于端口和基于IP子網(wǎng)兩種方式相結(jié)合的VLAN劃分方案。在設(shè)計(jì)VLAN時(shí)，盡可能地將同一工作性質(zhì)的節(jié)點(diǎn)劃分在同一VLAN內(nèi)，以減少跨VLAN訪問，提高網(wǎng)絡(luò)的效率。通過給每個(gè)VLAN分配相對(duì)固定的靜態(tài)端口，來防止非授權(quán)節(jié)點(diǎn)在該虛擬子網(wǎng)中出現(xiàn)。提高了重要網(wǎng)絡(luò)資源及撥號(hào)上網(wǎng)用戶的安全性。定義VLAN后，還需在核心交換機(jī)上進(jìn)行VLAN之間通信的路由配置。首先給各個(gè)VLAN配置一個(gè)相應(yīng)的網(wǎng)關(guān)地址，然后在交換機(jī)上創(chuàng)建VLAN之間的靜態(tài)路由表。也可以通過核心交換機(jī)支持的RIP(V2)和OSPF等標(biāo)準(zhǔn)的路由協(xié)議來配置動(dòng)態(tài)路由。核心交換機(jī)支持VLAN間的線速路由。從而可保證子網(wǎng)間信息交換的效率9。3.2子網(wǎng)編址子網(wǎng)也就是某一個(gè)機(jī)構(gòu)擁有的地址大于它實(shí)際需求的，