VLAN技術(shù)在高校校園網(wǎng)建設(shè)中的應(yīng)用

1、007年第9期(總第45期邊疆經(jīng)濟(jì)與文化THE BORDER ECONOMY AND CULT URE No 1912007General 1No 145B I A N J I A N G J I N G J I Y U W EN HUA 147【高校建設(shè)】VLAN 技術(shù)在高校校園網(wǎng)建設(shè)中的應(yīng)用蔣敏a ,孔軍b(江南大學(xué)a .信息工程學(xué)院;b .通信與控制工程學(xué)院,江蘇無(wú)錫214122摘要:高等學(xué)校必須建設(shè)一個(gè)高質(zhì)量、高速度且安全良好的校園網(wǎng)絡(luò)以滿足教學(xué)、科研、行政工作等需求。VLAN 技術(shù)是建設(shè)高校校園網(wǎng)的一種新穎模式,它使網(wǎng)絡(luò)站點(diǎn)靈活配置,有效避免了廣播風(fēng)暴,增強(qiáng)了系統(tǒng)安全性,有效促進(jìn)了高

2、校各項(xiàng)工作的高效良性發(fā)展。關(guān)鍵詞:VLAN;高校校園網(wǎng);三層交換機(jī);安全性中圖分類(lèi)號(hào):F 224133文獻(xiàn)標(biāo)志碼:A 文章編號(hào):167225409(20070920147203收稿日期:2007201230作者簡(jiǎn)介:蔣敏(1978,女,江蘇無(wú)錫人,副教授,博士,從事分布式系統(tǒng)、實(shí)時(shí)系統(tǒng)研究;孔軍(1974,男,合肥人,講師,碩士,從事數(shù)字圖象處理、信息融合與獲取研究。目前高校的信息化建設(shè)正朝著“數(shù)字化大學(xué)”的目標(biāo)邁進(jìn)。但隨著高校合并以及大學(xué)城的建設(shè),使得我國(guó)高校學(xué)科縱橫、規(guī)模龐大、人員眾多,造成了校區(qū)分散、職能部門(mén)跨區(qū)分布等特點(diǎn)。為利用已有的網(wǎng)絡(luò)資源,將不同校區(qū)有效連接,實(shí)現(xiàn)同一部門(mén)內(nèi)部通訊,

3、部門(mén)之間數(shù)據(jù)保密,并協(xié)調(diào)好各個(gè)部門(mén)間的合作,VLAN 技術(shù)應(yīng)運(yùn)而生。一、VLAN 技術(shù)1.什么是VLAN 技術(shù)VLAN 即虛擬局域網(wǎng),與傳統(tǒng)網(wǎng)絡(luò)最本質(zhì)的區(qū)別就在于不受網(wǎng)絡(luò)用戶的物理位置限制,它將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段,從而實(shí)現(xiàn)虛擬工作組,網(wǎng)絡(luò)用戶就可以越過(guò)地域障礙,像在一個(gè)局域網(wǎng)中那樣快速、安全地通信。因此,對(duì)于用戶而言,其面對(duì)的就是一個(gè)邏輯而非物理位置上的局域網(wǎng)。2.VLAN 技術(shù)的特點(diǎn)VLAN 是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的一種協(xié)議,這種技術(shù)的引入,最大優(yōu)勢(shì)如下。(1確保網(wǎng)絡(luò)安全性。現(xiàn)在采用的校園網(wǎng)共享式局域網(wǎng)之所以很難保證網(wǎng)絡(luò)的安全性,是因?yàn)槠涔蚕斫橘|(zhì)

4、,只要用戶插入一個(gè)活動(dòng)端口,就能訪問(wèn)和監(jiān)聽(tīng)整個(gè)網(wǎng)段。而VLAN 能限制個(gè)別用戶的訪問(wèn),控制廣播組的大小和位置,甚至能鎖定某臺(tái)設(shè)備的MAC 地址,因此確保網(wǎng)絡(luò)安全。(2提高了網(wǎng)絡(luò)管理效率。網(wǎng)絡(luò)管理員能借助VLAN 技術(shù)輕松管理整個(gè)網(wǎng)絡(luò)。例如需要為多個(gè)校區(qū)建立一個(gè)協(xié)作網(wǎng)絡(luò),網(wǎng)絡(luò)管理員只需設(shè)置幾條命令,就能在幾分鐘內(nèi)建立該項(xiàng)目的VLAN 網(wǎng)絡(luò),其成員使用VLAN 網(wǎng)絡(luò),就像在本地使用局域網(wǎng)一樣。(3控制網(wǎng)絡(luò)上的廣播風(fēng)暴。交換機(jī)斷電后內(nèi)部不保存每個(gè)端口與與其連接節(jié)點(diǎn)的MAC 地址對(duì)應(yīng)關(guān)系,因此在啟動(dòng)時(shí)需通過(guò)廣播信息來(lái)填充表項(xiàng)。當(dāng)網(wǎng)絡(luò)中節(jié)點(diǎn)足夠大時(shí),廣播包急劇增加,大大降低了網(wǎng)絡(luò)性能,影響其他正常信息包

5、的傳輸,從而引起廣播風(fēng)暴。VLAN 技術(shù)的訪問(wèn)控制機(jī)制可防止交換網(wǎng)絡(luò)的廣播風(fēng)暴,保證用戶帶寬。對(duì)于多用戶的校園網(wǎng)來(lái)說(shuō),這個(gè)特性非常必要。二、VLAN 劃分的規(guī)劃1.基于端口的VLAN基于端口的VLAN 是劃分虛擬局域網(wǎng)最簡(jiǎn)單也是最有效的方法,這實(shí)際上是某些交換端口的集合,網(wǎng)絡(luò)管理員只需要管理和配置交換端口,而不管交換端口連接什么設(shè)備。但是這種方式的劃分,VLAN 中用疆經(jīng)濟(jì)與文化2007年第9期The Border Economy And Culture No 19,2007148B I A N J I A N G J I N G J I Y U W EN HUA戶離開(kāi)原端口,到新交換機(jī)端口,

6、就必須全部重新定義。2.基于MAC 地址的VLAN由于只有網(wǎng)卡才分配有MAC 地址,因此按MAC 地址來(lái)劃分VLAN 實(shí)際上是將某些工作站和服務(wù)器劃屬某個(gè)VLAN 。事實(shí)上,該VLAN 是一些MAC 地址的集合,當(dāng)設(shè)備移動(dòng)時(shí),VLAN 能夠自動(dòng)識(shí)別,因此成員關(guān)系相對(duì)穩(wěn)定,設(shè)備不需重新配置。其缺點(diǎn)是初始化時(shí),所有的用戶都必須進(jìn)行配置,如果有幾百個(gè)甚至上千個(gè)用戶的話,配置是非常累的。而且這種劃分的方法也導(dǎo)致了交換機(jī)執(zhí)行效率的降低,因?yàn)樵诿恳粋€(gè)交換機(jī)的端口都可能存在很多個(gè)VLAN 組的成員,這樣就無(wú)法限制廣播包了。另外,對(duì)于使用筆記本電腦的用戶來(lái)說(shuō),他們的網(wǎng)卡可能經(jīng)常更換,這樣,VLAN 就必須不停

7、地配置。3.基于第3層的VLAN基于第3層的VLAN 是采用在路由器中常用的方法:I P 子網(wǎng)和I PX 網(wǎng)絡(luò)號(hào)等。其中,局域網(wǎng)交換機(jī)允許一個(gè)子網(wǎng)擴(kuò)展到多個(gè)局域網(wǎng)交換端口,甚至允許一個(gè)端口對(duì)應(yīng)于多個(gè)子網(wǎng)。這種方式下用戶可以在網(wǎng)絡(luò)內(nèi)部自由移動(dòng)而不需要重新配置自己的工作站。但是檢查每一數(shù)據(jù)包的網(wǎng)絡(luò)地址是費(fèi)時(shí)、費(fèi)工的,顯然會(huì)降低網(wǎng)絡(luò)效率。4.基于策略的VLAN基于策略的VLAN 是一種比較靈活有效的VLAN 劃分方法,其核心是采用的策略,常用的有(與廠商設(shè)備的支持有關(guān):按MAC 地址、按I P 地址、按以太網(wǎng)協(xié)議類(lèi)型、按網(wǎng)絡(luò)的應(yīng)用等。三、基于VLAN 技術(shù)的高校局域網(wǎng)設(shè)計(jì)1.整體規(guī)劃針對(duì)高校運(yùn)作特點(diǎn)

8、,可按職能部門(mén)劃分,以圖1為例,將整個(gè)校園網(wǎng)劃分為5個(gè)VLAN ,根據(jù)需要可 以修改或進(jìn)一步劃分,但要注意合理規(guī)劃,劃分過(guò)粗或過(guò)細(xì)都會(huì)給管理帶來(lái)問(wèn)題。圖1校園網(wǎng)VLAN 規(guī)劃2.網(wǎng)絡(luò)核心設(shè)計(jì)圖中的路由器、防火墻和中心交換機(jī)構(gòu)成整個(gè)校園網(wǎng)的核心,其性能將直接影響校園網(wǎng)的性能。(1路由器的選擇。路由器處于最頂層,直接與I nternet 和網(wǎng)內(nèi)防火墻相連,因此,路由器的選擇首先要考慮穩(wěn)定性,同時(shí)路由器要具備接入實(shí)際校園網(wǎng)專(zhuān)線的能力,與校園網(wǎng)規(guī)模相符合。(2防火墻的選擇。防火墻不僅要防“外”黑客攻擊,還要防“內(nèi)”學(xué)生惡作劇和非法訪問(wèn)。防外比較復(fù)雜,要求網(wǎng)絡(luò)管理員有較專(zhuān)業(yè)的知識(shí),并對(duì)防火墻進(jìn)行正確配置

9、。防內(nèi)采用MAC 地址綁定、I P 過(guò)濾、URL 過(guò)濾等功能就可以實(shí)現(xiàn)。作為所有流量的唯一通道,在選擇防火墻時(shí)要注意與校園網(wǎng)絡(luò)規(guī)模相適應(yīng),否則防火墻會(huì)成為網(wǎng)絡(luò)性能正常發(fā)揮的瓶頸。(3核心交換機(jī)的選擇。不同VLAN 間須通過(guò)路由才能通信,實(shí)現(xiàn)路由功能的方法很多,可以是路由器、三層交換機(jī)等硬件設(shè)備,也可將計(jì)算機(jī)安裝路由協(xié)議軟件來(lái)實(shí)現(xiàn)。一般采用支持VLAN 的三層路由交換機(jī),既包括交換功能又具備路由尋址功能,且可定義VLAN 而不附加其他路由設(shè)備。3.VLAN 配置對(duì)于不同類(lèi)型的交換機(jī),VLAN 配置有差異,這里以ALC ATER OmniStack 6124為例,采用第二代端口VLAN 技術(shù),對(duì)V

10、LAN 網(wǎng)絡(luò)進(jìn)行劃分。第二代端口VLAN 技術(shù)允許跨越多個(gè)交換機(jī)的不同端口劃分VLAN ,不同交換機(jī)上的若干個(gè)端口可以組成同一個(gè)虛擬網(wǎng)。敏,孔軍:VLAN 技術(shù)在高校校園網(wǎng)建設(shè)中的應(yīng)用B I A N J I A N G J I N G J I Y U W EN HUA 149(1I P 地址配置。根據(jù)本設(shè)計(jì),5個(gè)VLAN 網(wǎng)絡(luò)的I P 地址分配如表1所示。表1I P 地址分配VLAN I P 地址段(3建立Trunk 。在組建各VLAN 時(shí),如果某工作站所在的局域網(wǎng)劃分了多個(gè)VLAN (一個(gè)交換機(jī)覆蓋了多個(gè)VLAN 時(shí),本級(jí)交換機(jī)與中心交換機(jī)間的連接必須采用Trunk (端口匯聚方式,即通過(guò)配

11、置軟件的設(shè)置,將兩個(gè)或多個(gè)物理端口組合成一條邏輯路徑從而增加在交換機(jī)和網(wǎng)絡(luò)節(jié)點(diǎn)間的帶寬,這種合并提供一個(gè)幾倍于獨(dú)立端口的獨(dú)享的高帶寬。(4R I P 路由設(shè)置。路由是不同VLAN 間尋址的依據(jù),它增加了校園網(wǎng)絡(luò)中不同部門(mén)之間的安全性。網(wǎng)絡(luò)管理員可以通過(guò)配置VLAN 之間的路由來(lái)全面管理校園網(wǎng)絡(luò)內(nèi)部不同管理單元之間的信息互訪。(5訪問(wèn)控制列表設(shè)置。如果在兩個(gè)VLAN 之間建立了路由,那么在默認(rèn)情況下,交換機(jī)允許所有流量通過(guò)。如果我們希望建立一些訪問(wèn)控制條件,如財(cái)務(wù)VLAN 可以訪問(wèn)圖書(shū)館VLAN ,而圖書(shū)館VLAN 不能訪問(wèn)財(cái)務(wù)VLAN ,那么通過(guò)訪問(wèn)控制列表就可以建立這種關(guān)系。四、高校建設(shè)VL

12、AN 網(wǎng)絡(luò)的優(yōu)點(diǎn)第一,管理的靈活性。對(duì)于非VLAN 的以太網(wǎng),如果網(wǎng)絡(luò)中心要對(duì)某些用戶重新進(jìn)行網(wǎng)段分配,就要對(duì)網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進(jìn)行調(diào)整,甚至需要追加網(wǎng)絡(luò)設(shè)備,這是一個(gè)費(fèi)時(shí)費(fèi)力的事情,同時(shí)也增加了高校的投資成本。相反,對(duì)于那些采用VLAN 技術(shù)的網(wǎng)絡(luò)來(lái)說(shuō),在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下就可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。第二,工作的高效性。對(duì)于那些規(guī)模龐大、人員眾多、校區(qū)分散、部門(mén)繁雜的高校,通過(guò)靈活的VLAN 策略對(duì)校園網(wǎng)按照應(yīng)用和部門(mén)的不同進(jìn)行靈活劃分,根據(jù)需求動(dòng)態(tài)調(diào)整,既滿足了校園網(wǎng)上的各種應(yīng)用,又避免了無(wú)用信息消耗占用網(wǎng)絡(luò)帶寬,從而實(shí)現(xiàn)了大范圍、跨部門(mén)、跨交換機(jī),甚至跨校區(qū)的

13、網(wǎng)絡(luò)虛擬接入,大大地便利了高校職能部門(mén)的管理,提高了工作效率。第三,網(wǎng)絡(luò)的安全性。通過(guò)對(duì)高校校園網(wǎng)的VLAN 規(guī)劃,使得校園內(nèi)不同部門(mén)可以設(shè)定不同的訪問(wèn)權(quán)限,讓重要信息得到有效保護(hù),防止非法入侵,增加了網(wǎng)絡(luò)的安全性,提高了網(wǎng)絡(luò)的可管理性、穩(wěn)定性和部門(mén)內(nèi)部網(wǎng)絡(luò)的使用效率,從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。第四,需要的特殊性。高等學(xué)校作為一個(gè)為社會(huì)承擔(dān)科研與教學(xué)重?fù)?dān)的單位,其內(nèi)部也存在一些特殊的部門(mén),例如財(cái)務(wù)部門(mén)。由于財(cái)務(wù)部門(mén)的特殊性,它既要承擔(dān)教職工收入的發(fā)放重任,又要擔(dān)負(fù)其校內(nèi)外的資金往來(lái)。從其自身安全和保密性出發(fā),可以對(duì)財(cái)務(wù)部門(mén)單獨(dú)規(guī)劃出一個(gè)VLAN 劃分,這樣既可實(shí)現(xiàn)內(nèi)部資料對(duì)外不可見(jiàn)

14、性,又滿足這個(gè)特殊部門(mén)的內(nèi)部通信暢通無(wú)阻的特殊需要。第五,系統(tǒng)的可發(fā)展性。VLAN 作為校園網(wǎng)的一個(gè)單元,靈活而緊湊。通過(guò)三層交換技術(shù),各VLAN 有機(jī)聯(lián)系起來(lái),既體現(xiàn)了網(wǎng)絡(luò)的整體性,又體現(xiàn)了部分性;既可為用戶開(kāi)辟新的VLAN 組,又可將用戶依據(jù)其特點(diǎn)在邏輯上歸屬到特定的VLAN 中。這些有助于系統(tǒng)的擴(kuò)容和降低建設(shè)成本。校園網(wǎng)建設(shè)及應(yīng)用是一個(gè)復(fù)雜的系統(tǒng)工程,VLAN 作為一種新的局域網(wǎng)技術(shù),使得網(wǎng)絡(luò)站點(diǎn)能夠靈活配置,有效避免了廣播風(fēng)暴,增強(qiáng)了系統(tǒng)的安全性。該技術(shù)在校園網(wǎng)建設(shè)中的推廣和應(yīng)用,將對(duì)高校校園網(wǎng)的高效、有序運(yùn)行起到極其重要的作用,提高高校網(wǎng)絡(luò)管理的可擴(kuò)展性、互操作性以及整體安全性,從而有效促進(jìn)高校教學(xué)和科研的良性發(fā)展。參考文獻(xiàn):1ANDRE