VLAN技术在校园网中的设计与应用.doc

资源描述

1、VLAN技术在校园网中的设计与应用作者：日期：2 个人收集整理勿做商业用途江西现代职业技术学院毕业设计（论文）题目：基于VLAN的小型校园网设计姓名学院专业班级指导教师提交时间论文题目：基于VLAN的小型校园网设计姓名：班级:指导老师：摘要:目前校园网正处于一种高速发展之中，在校园网络中实施VLAN技术，可以提高网络管理效率、性能、带宽及灵活性，同时还能控制广播风暴, 提高校园网安全性能.本文结合高校校园网的特点，从IP 规划、网络架构设计、协议选择、网络设备配置等方面对校园网进行了规划和设计，并对VLAN技术在校园网中的应用作了较为详细的描述。本文在设计中，

2、采用了VLAN技术，通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组, 在不改动网络物理连接的情况下可以任意移动工作站组成新的逻辑工作组或虚拟子网，从而提高了系统的运作性能, 起到了均衡网络数据流量, 合理利用网络资源的作用。有效利用VLAN 技术，根据不同需要实施不同策略,统筹规划,科学设计，完全可以建设稳定性好、管理性强、安全性高的校园网络。关键词：校园网 VLAN 端口目录一、概述1（一)VLAN技术背景1（二）本课题的意义4二、VLAN技术的讨论5（一）TRUNK链路技术5（二）VTP协议6(三）VLAN的帧标识8(四）VLAN之间的通信10（五)VLAN的划分

3、方式12（六）VLAN间通信16三、VLAN技术在校园网中的设计18（一）网络设备的选择18（二）校园网络的设计19（三）校园网IP的规划20(四)VLAN在网络中的划分20四、VLAN技术在校园网中的测试23（一）基于RIP协议的测试24（二）基于OSPF协议的测试26总结28参考文献29致谢30一、概述(一）VLAN技术背景1。 VLAN技术产生背景虚拟网技术(VLAN，Virtual Local Area Network)的诞生主要源于广播。广播在网络中起着非常重要的作用，如发现新设备、调整网络路径、IP地址租赁等等,许多网络协议都要用到广播,局域网通常被定义为一个单独的广播域，主要使用

4、集线器或交换机等网络设备连接同一网段内的所有节点。然而，随着网络内计算机数量的增多,广播包的数量也会急剧增加，网络的传输效率将会明显下降。所以当所有的网络节点都处于同一个广播域内,这大大增加了网络中所有设备之间的数据流量。随着网络的不断扩充,很有可能出现广播风暴，导致整个网络无法使用。在网络中的数据保密要求和网络的组织结构上的要求等这些问题都促使了虚拟局域网的诞生。2。 VLAN技术的定义VLAN ( Virtual Local Area Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。虚拟网络是在整个网络中通过网络交换

5、设备建立的虚拟工作组。虚拟网在逻辑上等于OSI 模型的第三层的广播域, 与具体的物理网及地理位置无关，虚拟工作组可以包含不同位置的部门和工作组，不必在物理上重新配置任何端口，真正实现了网络用户与它们的物理位置无关。它以其高速、灵活、管理简便和扩充容易得到了广泛应用。一方面, VLAN 建立在局域网交换机的基础之上;另一个方面， VLAN 是局域交换网的灵魂。VLAN 用户能方便的在网络中移动和快捷的组建宽带网络, 而无需改变任何硬件和通信线路.网络管理员能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。它与普通局域网从原理上讲没有什么不同，但它与普通局域网最基本的差异体现在

6、: VLAN 并不局限于某一网络或物理范围， VLAN 中的用户可以位于一个园区甚至国家的任意位置。IEEE于1999年颁布了用以标准化VLAN实现方案的802。 1Q协议标准草案。 3.VLAN技术的特征VLAN的特性使局域网的通信流量控制和数据保密性方面有了很大的提高,VLAN具有以下一些特征：同一个VLAN中的所有成员共同拥有一个VLAN ID,在逻辑上组成一个虚拟局域网络；同一个VLAN中的成员均能收到同一个VLAN中的其他成员发来的广播包，但收不到其他VLAN中成员发来的广播包。不同的VLAN处在不同的广播域中; 不同VLAN的成员之间不可相互直接通信，需要通过路由支持才能相互通

7、信，而同一VLAN中的成员通过VLAN交换机可以直接通信，不需路由支持。4.VLAN技术的发展随着VLAN技术的逐渐发展，出现了VLAN中继协议和动态VLAN等技术，现在宽带网络中实现的VLAN基本上能满足广大网络用户的需求，但其网络中的流量控制和数据保密性仍然存在很多问题。现在已有的VTP技术、STP技术,基于三层交换的VLAN技术等在VLAN使用中存在网络效率的问题， IEEE正在制定和完善IEEE802.1S和IEEE802.1W 来改善VLAN的各种技术.随着各种技术的逐步完善,VLAN也将在未来的网络中发挥出更多的功能.5.VLAN技术的应用现在VLAN主要应用在以太局域网中，也可以

8、用在ATM网络中。因为现在很多的局域网均采用以太网，所以它适用于现在大部分企业、学校的局域网中，它能够隔离不同工作组的数据,因为一个VLAN内的用户不能和其它VLAN内的用户直接通信，所以可以保护用户的数据安全,减少网络的拥堵情况，提高网络的传输效率.而且同一工作组的用户也不必局限于某一固定的物理范围，网络的构建和维护更方便灵活，这些种种的优点都使VLAN在局域网中广泛应用。6。 VLAN技术的优点增加了网络连接的灵活性网络管理员对网络工作站可以按业务功能，而不必按地理位置分组。VLAN 可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN 后,

9、这部分管理费用大大降低。有效地控制网络上的广播风暴VLAN 可以提供建立防火墙的机制，防止交换网络的过量广播风暴.使用VLAN, 可以将某个交换端口或用户赋于某一个特定的VLAN 组.该VLAN 组可以在一个交换网中或跨接多个交换机，在一个VLAN 中的广播风暴不会送到VLAN 之外。同样, 相邻的端口不会收到其他VLAN 产生的广播风暴。这样，可以减少广播流量，释放带宽给用户应用, 减少广播风暴的产生. 增加网络的安全性人们在LAN 上经常传送一些保密的、关键性的数据.保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组, 网络管理员限制了V

10、LAN 中用户的数量, 禁止未经允许而访问VLAN 中的应用.交换端口可以基于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置于安全性VLAN 中。增加了集中化的管理控制通过集中化的VLAN 管理程序，网络管理员可以确定VLAN 组，分配特定用户和交换端口给这些VLAN组，设置安全性等级, 限制广播域的大小，通过冗余链路负载分担网络流量，跨越交换机配置VLAN 通信, 监控交通流量和VLAN 使用的网络带宽。这些能力有效地提高了网络管理程序的可控性、灵活性和监视功能，减少了管理的费用。 7. VLAN技术的局限性随着网络的迅速发展,用户对于网络数据通信的安全性提出了更高

11、的要求，都要求保证网络用户通信的相对安全性，要求能防范各种病毒和攻击等,现在一般使用的做法是给每个客户分配一个VLAN和相关的IP子网，通过使用VLAN，每个客户被从第二层隔离开，可以防止任何恶意的获取资料的行为和以太网数据的信息探听.但是，这种分配每个客户单一VLAN和IP子网的模式造成了巨大的可扩展方面的局限。这些局限主要有以下几个方面。 VLAN数目的限制：交换机上固有的对VLAN数目的限制；复杂的STP：对于每个VLAN，每个相关的Spanning Tree的拓扑都需要管理，造成了交换机的巨大负载; IP地址的紧缺：IP子网的划分一定会造成一些IP地址的浪费，造成资源浪费；路由的限

12、制：每个VLAN在路由器或者三层交换机上都需要相应的默认的网关的配置。（二）本课题的意义1.本课题的意义随着高校信息化建设的不断深入, 高校网络建设的规模也在不断扩大, 同时校园网多媒体教学、数据安全保障以及高速网络交换的大量应用，使网络数据流量骤然增大，各种问题和故障也层出不穷。因此，如何构建高效、稳定、易管理的校园网，增强校园网的安全性和可控性，已经成为高等院校网络管理人员面临的重点课题, 也是提高学校信息化应用水平和整体投资效益的关键.VLAN 技术在校园网内的应用,不但使得校园网络更加的安全，快速，并且也减轻了网络管理员的工作，保证了各个部门不同的要求和信息的安全，因此VLAN技

13、术在校园局域网内的应用是明智之举。在本文中主要使用基于端口的VLAN 技术对校园网进行设计，具体实现了以下几个方面的作用：通过VLAN 的划分, 控制内部各VLAN间的访问范围和权限, 从而保障子网通信安全。避免了IP 地址使用混乱的情况。随着校园网规模增大, 往往会出现IP 地址使用混乱和IP 地址盗用的状况. 通过划分VLAN, 各部门的IP 地址是固定的一个地址段, VLAN 之间不能互相盗用地址，管理起来条理非常清楚。充分利用网络带宽, 防止了广播风暴的产生，提高了网络传输效率。当然VLAN 在校园网的应用有利也有弊, 由于它是根据端口逻辑地址进行网络划分, 管理员无法很清

14、楚地将网络的物理布局与逻辑结构相联系, 这就要网络管理人员非常熟悉和了解网络设备的物理连接和逻辑连接, 只有充分发挥它的长处，扬长避短，才能使校园网畅通无阻，充分发挥作用.二、VLAN技术的讨论（一）TRUNK链路技术Trunk 技术是在两台交换机之间建立一条点到点的链路, 每台交换机的相应端口称为中继端口。一条中继链路可以传输多个VLAN 的数据流，并允许用户将VLAN 的范围从一台交换机扩展到另一台交换机。Trunk是一种封装技术,它是在两台交换机之间的一条点到点链路,主要功能就是仅通过一条链路就可以连接多个交换机,从而扩展已配置的多个VLAN,传输多个VLAN 的数据流。还可以采

15、用通过Trunk技术和上级交换机级连接的方式来扩展端口的数量,将VLAN的范围从一台交换机扩展到另一台交换机,节省了网络硬件的成本，从而扩展整个网络。TRUNK 可通过的VLAN 范围缺省下是11005, 可以修改，但必须激活Trunk协议。使用Trunk 的端口不在任何VLAN 中。在校园网建设时， Trunk绝对是必需的. 在设置Trunk后, Trunk链路不属于任何一个VLAN. Trunk链路在交换机之间起着VLAN管道的作用,交换机会将该Trunk以外及Trunk中的端口处于一个VLAN中的其他端口的负载自动分配到该Trunk中的各个端口. 因为同一个VLAN中的端口之间会相互转

16、发数据，而位于Trunk中的Trunk端口被当作一个端口来看待，因此在设置了Trunk后，该Trunk将自动加入其成员端口所属的VLAN中，而其成员端口则自动从VLAN中删除。对于Trunk端口来说，其上允许通过的VLAN范围体现的是一种能力，与系统中是否存在对应的VLAN实体没有关系。Trunk技术具有以下优点：可以在不同的交换机之间连接多个VLAN，可以将VLAN扩展到整个网络中; Trunk可以捆绑任何相关的端口，也可以随时取消设置，提供了很高的灵活性; Trunk可以提供负载均衡能力以及系统容错. 由于Trunk实时平衡各个交换机端口和服务器接口的流量，若某个端口出现故障，它会自动把

17、故障端口从Trunk组中撤消，进而重新分配各个Trunk端口的流量,从而实现系统容错。（二)VTP协议VLAN中继协议最早由思科公司提出的。作为思科VLAN技术的重要组成部分，VTP减少了跨越网络设置VLAN的管理任务，减少了配置的不连续性。VLAN干道协议是VLAN动态协议的一种，它能自动的在网络中传播VLAN的各种配置信息,因此能保持VLAN在网络中的连续性和统一性， VTP是一个交换机到交换机，交换机到路由器VLAN管理协议。VTP是一种消息协议，它通过一台工作在服务器模式下的交换机，通过使用二层中继Frame在整个网络中负责管理VLAN的添加,删除和重命名。从而保证VLAN在网络中的传

18、播和统一，VTP负责在VLAN域内同步VLAN信息，能传播到每一台工作在客户机模式下的交换机中，从而简化了网络管理员的配置量，也减少了错误率。图2。1为VTP的报文格式。图2.1 VTP报文格式VTP要从Trunk中传输，所以一般VTP报文会封装在ISL或者dot1q中。2。2.1 VTP具有如下的优点: VLAN配置在整个网络中都不变,且都保持一致；在混合介质的网络中允许一个VLAN被中继的映射机制，能跨多个交换机；能对VLAN进行精确的跟踪和控制；全网范围内增加VLAN的动态报告。为了在网络中管理和建立VLAN,所以必须建立一个VLAN管理域.在域中能有相同的VLAN信息，在交换网络

19、中,多个交换机构成了一个域。VTP管理域由一组共享VTP域名的互联设备组成，同一VTP域中所有交换机共享它们的VLAN信息。而且信息均相同，每个设备只能工作在一个VTP域，不同域中的交换机不能共享一个域中的VTP消息.2。2。2 VTP共有三种操作模式，分为服务器模式、客户机模式和透明模式。服务器模式Server当一台未经配置的思科交换机第一次工作的时候，它的默认配置模式是服务器模式。VLAN在VTP服务器上被创建的时候，和其他VLAN配置信息一起存储在服务器的NVRAM并且当交换机重启的时候,配置信息还是被保留不会消失。服务器模式中维持着该VTP域中所有VLAN信息列表,可以增加、删除或修

20、改VLAN,VTP服务器周期性地广播VTP域名、VLAN配置，提供现行的配置修改号。修改号是VTP 域的一部分,它确保VTP 域内的所有交换机有现行的、正确的VLAN 配置信息。客户机模式Client客户交换机在NVRAM存储VLAN配置。当客户交换机重启的时候，所有的VLAN 配置信息丢失。交换机启动完成后，需要发送一条VTP 请求消息给VTP服务器，来获取现行的VLAN 配置。客户机只能从服务器模式下的交换机接收VLAN的各种信息，它也维护该VTP域中所有VLAN信息列表,但不能增加、删除或修改VLAN，任何变化的信息必须从VTP Server发布的通告报文中接收。如果客户交换机要加入一

21、个新的VLAN，VLAN必须被添加到VTP 服务器上面去。这样新的VLAN 才能传递到所有的客户交换机。当新的VLAN 增加后，客户交换机上的端口会关联到新的VLAN。透明模式TransparentVTP透明模式和VTP客户模式不同，可以在交换机上手工配置本地的VLAN。它如果是VTP 域的一部分，可以从VTP 服务器接收VLAN 配置信息。但是它不参与VTP工作，忽略所有接收到的VTP信息,但能够将接收到的VTP报文转发出去.它只拥有本设备上的VLAN信息,它不会通知VTP 域本地配置的VLAN.所以，客户模式下的交换机也可以与透明模式下的交换机连接，交换各种VLAN信息。(三）VLAN的

22、帧标识1。 IEEE 802。1Q帧标识IEEE802。1Q标准是由IEEE于1999年颁布的用以标准化VLAN实现方案的草案，俗称Dot One Q ，这个协议在以太网帧的基础上增加了VLAN头，从而利用VLAN ID在逻辑上把不同的用户划分为不同的工作组，把不同工作组限制在了二层,使它们之间不能相互通信。802。1Q标准定义了基于端口的VLAN模型,即在标准的以太网帧中源地址后增加一个四字节的802。1Q帧头。其中包括标签协议标识和标签控制信息。标签协议标识:TPIDTag Protocol Identifier，它的值是8100，为两个字节，它表示在帧中添加了VLAN的标记。标签控制信

23、息:TCI-Tag Control Information，为两个字节。TCI包含三个域，分别为三个比特的Priority域来表示表示帧的优先级，一个比特的CFI-Canonical Format Indicator域，称为规范格式指示符,以及12个比特的VLAN ID域表示一个VLAN的ID号。两个字节的VLAN名用132个字符表示,可以是字母和数字。VLAN ID的数值范围是1-4094。.21000用于Ethernet VLANs，1002-1005是预留给FDDI和Token Ring VLANs的，10254094是扩展的VLAN ID,其他为保留号. 图2。2 标准以太帧格式图2.

24、3 IEEE802.1Q标准帧格式802.1Q协议加入的Tag字段可以根据其携带的VLAN信息，表明该数据帧属于哪个VLAN，从而确定数据帧的属性。2。ISL帧标识ISL是Cisco设备独有的协议，只能用于Cisco网络设备之间的互联。虽然它与802。1Q协议所采用的帧格式不同,但是可实现相同的功能。ISL 干道是 Cisco 私有，即指两交换机或其它设备的一条点对点连接线路。ISL 帧标签采用一种低延迟机制为单个物理路径上的多 VLAN 流量提供复用技术。它主要用于实现交换机、路由器以及各节点之间的连接操作。每台连接设备都必须采用 ISL 配置。配置ISl的路由器支持 VLAN 内通信服务

25、。非 ISL 配置的设备，则用于接收由 ISL 封装的以太帧。ISL作用于 OSI 模型第2层的数据链路层。但是和802.1Q所不同的是，ISL通过协议头和协议尾封装了整个第2层的以太帧.ISL 是一种能在交换机间传送第2层任何类型的帧或上层协议的独立协议.ISL 所封装的帧可以是令牌环或快速以太网或者其它,它们在发送端和接收端之间维持不变地实现传送.图2.3是ISL的帧格式。图2.4 ISL帧格式各字段含义如下：DA:40位,组播目标地址。Type:4位，描述被封装的帧类型,0000表示Ethernet,0001表示Token Ring，0010表示FDDI,0011表示ATM.User：4

26、位，此字段是Type字段的扩展定义或以太网优先级的4位描述符。SA：48位，传送此帧的源交换机MAC地址。LEN：16位，出了DA、Type、User、SA、LEN字段之外的帧长度。AAAA03：24位， IEEE802.2LLC头部.HAS：24位，组织唯一标识符OUI，即MAC地址的前三字节。VLAN：15位。VLAN号，只使用低10位来表示01023个VLAN。BPDU：1位，标识是网桥协议数据单元BPDU,还是CDP帧.INDEX：16位，传送此帧的端口ID描述符,用于诊断。RES：16位，保留字段。特征：（1）由ASIC专用集成电路执行，它不干涉客户机站,客户机也不会看到 ISL协议

27、头，它能为路由器和路由器之间、交换机与交换机之间提供很好的工作效率.(2）交换机间链路协议ISL用于实现两台交换机之间的VLAN中继.它是一个信息包标记协议，在支持ISL接口上发送的帧由一个标准以太网帧及相关的VLAN信息组成。(四）VLAN之间的通信1。通过路由器实现VLAN间的通信一个VLAN处在一个广播域中，VLAN之间在二层中是不能通信的，从而提高了网络的安全性，也解决了网络的广播控制问题。如果想VLAN能通信,必须通过路由器或者三层交换机实现VLAN的通信。可以利用路由器的多个端口实现VLAN间的路由选择。这是最简单的一种方法，但是也是最浪费资源的一种方法，在现实生活中，路由器的造

28、价往往很高，通过端口来实现VLAN路由选择的成本太高。所以这种方法在现实中应用的很少，图2。5显示的是利用多个端口实现VLAN的路由选择。图2。5 利用路由器实现VLAN通信2。通过三层交换实现VLAN通信三层交换技术使一台交换机具有路由的功能.传统的交换机工作在数据链路层，只能在第二层对数据进行转发，但是三层交换机能工作在网络层，并对数据进行高速转发，它解决了局域网中划分网段后必须通过路由器实现数据转发，和路由器造价高以及存在的网络瓶颈等问题。三层交换技术的出现为VLAN的发展提供了更好的空间.三层交换技术的原理是：假设A和B要通信，A首先向交换机发送一个ARP请求包，寻找自己的缺省路由的

29、MAC，然后将数据发送到交换机，若A和B在同一个子网中，直接通过二层转发出去，不再经过三层，若A和B不再同一个子网中，需要将数据转发到三层，在路由表中寻找匹配的条目,找到MAC地址,若存在直接在二层建立连接，使二层芯片处理数据通过二层转发可大大的节省时间，和提高效率。若在表中无法找到相关项，需三层交换机将目的ip地址和路由表项对比，发送ARP数据包到目的主机，得到该主机的MAC地址，然后再二层转发。原理如图2.6所示. 图2.6 三层交换原理3. 通过设置单臂路由实现VLAN间的通信路由器与交换机之间是通过外部线路连接的, 这个外部线路只有一条，但是它在逻辑上是分开的，需要路由的数据包会通

30、过这个线路到达路由器, 经过路由后再通过此线路返回交换机进行转发.所以大家给这种拓扑方式起了一个形象的名字-单臂路由。采用单臂路由技术可以在使用路由器时，节约物理端口的使用，通常在路由器与交换机连接的一个物理端口上定义多个逻辑子端口，一个子端口连接一个VLAN. 图2。7通过设置单臂路由实现VLAN间的通信这种基于单臂路由的VLAN 通信模型不需要添加或更换路由器，交换机等网络设备；基于原有网络拓扑结构, 也不需要重新布线施工。但是, 作为中继链路的路由器端口往往成为限制VALN 之间流量的主要瓶颈, 单臂路由作为一种廉价的网络升级方案只适用于通信质量要求不高的情况, 并不能完全取代路由器

31、和三层交换机.(五）VLAN的划分方式VLAN 的划分方式很重要，在设计和建设VLAN，实现VLAN 应用时，首先要决定如何划分VLAN，即依据什么标准来组织VLAN 成员.下面介绍5种常见的划分方式, 不同的划分方式代表不同的VLAN 实现类型.1。按端口划分VLAN将交换机中的某些端口定义为一个单独的区域，从而形成一个VLAN。同一VLAN 中的计算机属于同一个网段, 不同VLAN 之间进行通信需要通过路由器。基于端口的VLAN 的优点是配置起来非常方便，只要在交换机上进行相关的设置就可以了，适用于网络环境比较固定的情况。不足之处是不够灵活, 当一台计算机需要从一个端口移动到另

32、一个新的端口，而新端口与旧端口不属于同一个VLAN时，要修改端口的VLAN 设置, 或在用户计算机上重新配置网络地址，这样才能加入到新的VLAN 中。否则，这台计算机将无法进行网络通信。基于端口的划分方式是最简单也是最常用的.采用这种方式，将属于不同交换机端口的物理网段分在一个VLAN 中, 通过网络管理软件，根据VLAN_标识符将不同的端口分到相应的分组（ VLAN )中。例如，一个交换机的1、2、3端口被定义为VLAN 1，同一交换机的4、5端口组成VLAN 2，如图2.8所示。图2。8 按端口划分VLAN示意图这样划分，允许各端口之间的通信，并允许共享型网络的升级.

33、遗憾的是，这种划分模式将虚拟网限制在了一台交换机上.第二代端口VLAN 技术允许跨越多个交换机的多个不同端口划分VLAN, 不同交换机上的若干个端口可以组成同一个VLAN。分配到同一个VLAN的各网段上的所有站点都在同一个广播域中，可以直接通信; 不同VLAN 地点间的通信则通过路由器或三层交换机。按交换机端口来划分VLAN，迄今为止，这仍然是最常用的一种方式, 但是这种方式不允许多个VLAN 共享一个物理网段或交换机端口。如果某一个用户从一个端口所在的VLAN 移动到另一个端口所在的VLAN，网络管理员需要重新进行配置，这对于拥有众多移动用户的网络来说是不可想象的。2.按MAC地址划

34、分VLAN每块网卡都有一个唯一的硬件物理地址，这个地址就是MAC 地址，俗称为网卡号。MAC地址是连接在网络中的每个设备网卡的物理地址，由IEEE 控制。全球找不到两块具有相同MAC 地址的网卡。MAC 地址属于数据链路层，以此作为划分VLAN 的依据，能很好地独立于网络层上的各种应用。用此种方式构成的VLAN 就是一些MAC地址的集合，它解决了网络处理站点的移动问题。对于连接于交换机端口的工作站来说，在它们初始化时，相应的交换机要在VLAN 的管理信息库中检查MAC 地址，从而动态地匹配该端口到相应的VLAN 中。按MAC 地址划分的VLAN 允许网络用户从一个物理位置移动到另

35、一个物理位置，并且自动保留其所属VLAN 网段的成员身份。同时,这种方式独立于网络的高层协议(如TCP / IP、IP 和IPX 等）。从某种意义上讲, 利用MAC 地址定义VLAN 可以看成是一种基于用户的网络划分手段。这种方法的一个缺点是所有的用户必须被明确地分配给一个VLAN.在一个拥有大量节点的大型网络中，如果要求管理员将每个用户都一一划分到某一个VLAN，实在是太困难了。3。基于网络层划分VLAN可以基于网络层来划分VLAN，有2种方案，一种按协议来划分，如图2。9 图2。9 按网络协议划分VLAN 示意图另一种是按网络层地址（最常见的是TCP / IP中的子网段地址）来划

36、分, 如图2.10所示。图2.10 按网络层地址划分VLAN示意图建立VLAN 也可使用与管理路由相同的策略.根据IP 子网、IPX 网络号及其他协议划分VLAN。同一协议的工作站划分为一个VLAN，交换机检查广播帧的以太帧标题域，查看其协议类型，若已存在该协议的VLAN，则加入源端口，否则，创建一个新的VLAN.这种方式构成的VLAN, 不但大大减少了人工配置VLAN 的工作量，同时保证了用户自由地增加、移动和修改。不同VLAN 网段上的站点可属于同一VLAN，在不同VLAN 上的站点也可在同一物理网段上。利用网络层定义VLAN 缺点也是有的.与利用MAC地址的形式相比，

37、基于网络层的VLAN 需要分析各种协议的地址格式并进行相应的转换。因此,使用网络层信息来定义VLAN 的交换机要比使用数据链路层信息的交换机在速度上处于劣势。4.基于IP广播组划分可将任何属于同一IP 广播组的计算机划分到同一VLAN。当IP包广播到网络上时，它将被传送到一组IP地址的受托者那里.该组被明确定义了的广播组是在网络运行中动态生成的.任何一个工作站都有机会成为某一个广播组的成员, 只要它对该广播组的广播确认信息给予肯定的回答。所有加入同一个广播组的工作站被视为同一个VLAN 的成员，他们的这种成员身份可根据实际需求保留一定的时间。因此, 利用IP广播域来划分VLAN 的方法给用

38、户带来了巨大的灵活性和可延展性。在这种方式下，整个网络可以方便地通过路由器扩展网络规模.5。基于规则的VLAN基于规则的VLAN也称为基于策略的VLAN。这是最灵活的VLAN 划分方法, 具有自动配置的能力, 能够把相关的用户连成一体，在逻辑划分上称为关系网络。网络管理员只需在网管软件中确定划分VLAN 的规则（或属性），那么当一个站点加入网络中时，将会被感知，并被自动地包含进正确的VLAN 中。同时, 对站点的移动和改变也可自动识别和跟踪。采用这种方式，整个网络可以非常方便地通过路由器扩展网络规模.有的产品还支持一个端口上的主机分别属于不同的VLAN, 这在交换机与共享式Hu

39、b 共存的环境中显得尤为重要.自动配置VLAN 时, 交换机中软件自动检查进入交换机端口的广播信息的IP源地址, 然后软件自动将这个端口分配给一个由IP子网映射成的VLAN.(六）VLAN间通信1.VLAN间通信介绍局域网内的通信,是通过数据帧头中指定通信目标的来完成的。而为了获取MAC地址，使用地址协议解析通过广播报文的方法来实现获取MAC地址的，如果广播报文无法到达目的地，那么就无从解析MAC地址,亦即无法直接通信.当计算机分属不同的VLAN时，就意味着分属不同的广播域，自然收不到彼此的广播报文。因此，属于不同VLAN的计算机之间无法直接互相通信。为了能够在VLAN间通信，需要利用OSI参

40、照模型中更高一层-网络层来进行路由。在目前的网络互连设备中能完成的设备主要有路由器和三层以上的交换机.2.利用路由器实现VLAN间通信使用路由器实现VLAN间通信时，路由器与交换机的连接方式有两种。第一种通过路由器的不同物理接口与交换机上的每个VLAN分别连接。第二种通过路由器的逻辑子接口与交换机的各个VLAN连接。通过路由器的不同物理接口与交换机上的每个VLAN分别连接.这种方式的优点是管理简单，缺点是网络扩展难度大.每增加一个新的VLAN，都需要消耗路由器的端口和交换机上的访问链接，而且还需要重新布设一条网线.而路由器,通常不会带有太多LAN接口的.新建VLAN时，为了对应增加的VLAN

41、所需的端口,就必须将成带有多个LAN接口的高端产品，这部分成本、还有重新布线所带来的开销，都使得这种接线法成为一种不受欢迎的办法。通过路由器的逻辑子接口与交换机的各个VLAN连接。这种连接方式要求路由器和交换机的端口都支持汇聚链接，且双方用于汇聚链路的协议自然也必须相同。接着在路由器上定义对应各个VLAN的逻辑子接口E1。1和E1。2。由于这种方式是靠在一个物理端口上设置多个逻辑子接口的方式实现网络扩展,因此网络扩展比较容易且成本较低，只是对要复杂一些。路由器实现VLAN间通信的局限性路由器实现VLAN间通信的局限性是路由器的技术特性决定的，使其无法具有很高的信息吞吐量。对此分析如下:路由

42、器在OSI七层网络模型的第三层网络层操作，其对于任何一个运行的数据包均须进行“拆包”和“打包”的操作,同时路由器还要完成数据包过滤和压缩、协议转换、计算路由、甚至防火墙等许多工作，这占用于大量的CPU资源.且当流经路由器的流量超过其吞吐能力时，会引起路由器内部拥塞，持续拥塞会使转发的数据包延误，甚至丢失。以上的原因限制了其吞吐量，且其价格昂贵，使其成为网络瓶颈.因此，路由器存在：数据传输效率低；节点操作的复杂性无法降低；价格昂贵、结构复杂等局限性。3.利用三层交换机实现VLAN间通信三层交换机实现VLAN 互相访问的原理是，利用三层交换机的路由功能，通过识别数据包的IP地址，查找路由表进行转发

43、。三层交换机利用直连路可以实现不同的VLAN 之间的访问。三层交换机给接口配置IP地址采用SVI（交换虚拟接口）的方式实现VLAN 间互连。只需要为交换机中的VLAN 创建虚拟接口，并且配置IP地址。然后开启三层交换机的IP route功能就可以容易的实现VLAN间的通信。这种方面有效地解决了利用路由器来实现VLAN间通信的一系列不足之处,而且配置和管理也十分的便捷.目前市场上有许多三层以上的交换机，在这些交换机中,厂家通过硬件或软件的方式将路由功能集成到交换机中，交换机主要用于园区网中,园区网中的路由比较简单，但要求数据交换的速度较快，因此在大型园区网中用交换机代替路由器已是不争的事实。用交

44、换机代替路由器实现VLAN间通信的方式也有两种，其一，就是启用交换机的路由功能,这种方式的实现方法可采用以上介绍的路由器方式的任一种.其二,是利用多层交换机所支持的VLAN功能来实现VLAN间的通信。29三、VLAN技术在校园网中的设计目前校园网正处于一种高速发展之中,在校园网络中实施VLAN技术,可以提高网络管理效率、性能、带宽及灵活性，同时还能控制广播风暴，提高校园网安全性能。本章结合高校校园网的特点，从IP 规划、网络架构设计、协议选择、网络设备配置等方面对校园网进行了规划和设计。(一）网络设备的选择本次设计采用cisco2960、3560交换机和2811路由器。在出口的路由器选用C

45、isco Catalyst 2811,它是一款高端企业级路由器拥有强悍的性能，能很好的为网络提供可靠的服务，并提供了安全、可扩展的网络连接，容纳了多种流量类型,如VPN、动态多点 VPN （DMVPN）等，以及安全话音，满足用户的使用需求。本次设计的网络核心层主要应用Cisco Catalyst 3560系列的交换机，它是三层交换机，Cisco Catalyst 3560系列交换机是一个固定配置、企业级、IEEE 802。3af和思科预标准以太网供电(PoE）交换机系列，性能完全能满足校园网核心层的工作需要。在汇聚层和接入层主要用Cisco Catalyst 2960系列智能以太网交换机，它是

46、一个全新、独立的固定配置设备系列，主要为小型企业和网络分支而生产的,它也能提供很好的服务,能进行桌面10/100快速以太网和10/100/1000千兆以太网连接，有助于实现增强LAN服务。（二）校园网络的设计由于本次设计VLAN主要在局域网中，为便于进行实验且网络的规模要适中，所以选择了规模适中的校园网作为基础，在这个网络中大量采用cisco交换机作为二层交换设备,由于在网络中大量使用交换设备会出现广播风暴以及存在的数据安全性问题，所以要进行合适的VLAN划分，减少网络流量的拥堵次数和数据泄漏的问题,保障网络的正常运行,保护数据的安全。如图3。1所示。图3。1 校园网拓扑图（三）校园网IP的规划本次设计共有图书馆、办公楼、理工大楼、教学楼和宿舍楼组成，由于存在大量的主机，所以采用10。0。0.010.255.255。255网段，其地址能够满足校园环境对ip地址的需求。宿舍楼：10。2。0。0/16其中宿舍楼一为：10。2.8.0/21，即10.2。8。110.2.15。254子网掩码为255。255。255。0宿舍楼二为：10.2.24。0/21，即10。2。24.110.2。31。254子网掩码为255。255。255.0图书馆：10.4。0。0/16服务器:10.5。0。0/16教学楼：10.7.0。0/16（四）VLAN在网络中的划分1。 VLAN

展开阅读全文