当前交换技术的迅速发展,也加快了虚拟子网技术(VLAN—Virtual Local Area Network)的应用速度,非凡是在当前校园网上的应用更广泛。通过将校园网络划分为虚拟子网(VLAN),可以强化网络治理和网络安全,控制不必要的数据广播。数据广播在网络中起着非常重要的作用,随着校园网内的计算机数量的增加,VOD视频点播在课堂教学上的大量应用,广播包的数量也会急剧增加,当广播包的数量占到总量的30%时,网络的传输效率将会明显下降。非凡是当某网络设备出现故障后,会不停地向网络发送广播,从而导致网络风暴,使网络通信陷于瘫痪。当校园网络内计算机数超过200台后,就必须采取措施将网络分隔开来,将一个大的广播域划分成若干个小的广播域。
分隔广播域的方式有两种,一是物理分隔,即将一个完整网络物理地一分为二或一分为多,然后通过一个能够隔离广播的网络设备将彼此连接起来。二是逻辑分隔,即将一个大的网络划分为若干个小的虚拟子网,也就是VLAN,各虚拟子网间通过路由设备连接实现通讯。
一、VLAN技术的优点
1、降低移动和变更的治理成本
在学校里,由于教学人员的变更比较频繁,当把一台计算机从一个子网转移到另一个子网,假如使用了VLAN,迁移的工作只是在交换机上重新定义VLAN即可,尤其是采用网卡的MAC地址来划分VLAN时,交换机能够自动跟踪该终端的MAC地址,并自动将其纳如定义的VLAN中,对于网络治理而言,可以轻松完成变更。假若使用物理手段划分子网,这种迁移所耗费的精力和时间相当可观的。
2、控制广播
由于不同的VLAN都是一个独立的广播域,而广播只能在本地VLAN内进行,从而大大减少了广播对网络带宽的占用,提高了带宽传输效率,并可以有效地避免广播风暴的产生。
3、增强网络的安全性
由于交换机只能在同一VLAN内的端口之间交换数据,不同VLAN的端口不能直接访问,因此,通过划分VLAN可以提高网络的安全性。
4、网络监督和治理的自动化
网络治理员可以通过网管软件可以查询VLAN间和VLAN内通信的数据包的分类信息,以及应用数据包的分类信息,这些信息可以确定路由系统和经常访问的服务器的最佳配置十分有用。通过划分VLAN可以使网络治理变的更加简单、有效。
二、VLAN实现的途径
1、基于端口的VLAN,就是将交换机中的若干个端口定义为一个VLAN,同一个VLAN中的计算机具有相同的网络地址,不同VLAN之间进行通讯需要通过三层路由协议。采用这种方式的VLAN在工作过程中,把一个网络节点迁移时,假如新旧端口不在一个VLAN内,则用户必须对该端口重新设置。对于不同年级、科室互相访问时,可以通过路由器转发,并配合MAC地址的端口过滤,就可以防止非法入侵和IP地址的盗用问题。
2、基于MAC地址的VLAN,这种VLAN一旦划分完成,无论节点在网络上怎样移动,由于MAC地址保持不变,因此不需要重新配置。但是假如新增加节点的话,需要对交换机进行复杂的配置,以确定该节点属于哪一个VLAN。
3、基于IP地址的VLAN,新增加节点时,无须进行太多配置,交换机根据IP地址会自动将其划分到不同的VLAN。这中VLAN智能化最高,实现最复杂。一旦离开该VLAN,原IP地址将不可用,从而防止了非法用户通过修改IP地址来越权使用资源。
三、VLAN的配置
因为对于不同的交换机,VLAN配置都有差异,并不是所有的交换机都支持VLAN和VLAN的三个实现途径,有的交换机只支持基于端口的VLAN,而不支持基于MAC地址的VLAN等。现结合我校的校园网络设备,介绍一下VLAN的配置。
我校的校园网共有节点650个,中心交换机采用Avaya Cajun P580,楼层交换机全部采用Avaya Cajun P334T 48口交换机,电信宽带经CISCO 2621路由器接入校园网。学校按年级、科室共划分7个VLAN,从而有效地控制了网络风暴的产生,提高了网络传输的有效率和网络的安全性。
对于Avaya Cajun P580 三层中心交换机和P334T交换机的采用基于端口的VLAN划分是一个很轻松的事情,该交换机支持WEB和命令行(CLI)界面的治理,非凡是WEB界面治理,直观方便,但是不如命令行(CLI)功能强大。由于P580为中心交换机,各楼层间的P334T交换机经千兆光纤与P580相连,因此VLAN的划分一是在P580上直接端口划分,对与P334T交换机连接的光纤端口设置成主干线路,这样在Cajun P334T交换机上可以同时定义多个VLAN,最后通过在P580上设置三层路由协议实现各VLAN之间的通讯。
登陆到P580,进入配置模式设置VLAN:
1、新建VLAN:set vlan vlan_id name vlan_name
2、选择欲配置的接口:interface vlan vlan_id
3、配置该VLAN的IP地址和子网掩码:ip address ip_address subsnet_mask
4、设置三层路由关联,实现VLAN间的通讯:ip vlan vlan_id
5、保存设置:copy run config
P580与P334T相连接的千兆光纤接口设置trunk,以实现交换机之间的互连,P580设置:
1、绑定ieee-802.1q VLAN间通讯协议:set port trunking-format 模块号/端口号 ieee-802.1q
2、设置主干:set port vlan-binding-mothod 模块号/端口号 bingd-to-all
同样对P334T相应的与P580互连端口作Trunk,进入配置模式设置:
1、set port trunking-fromat 模块号/端口号 ieee-802.1q
2、set port vlan-binding-method模块号/端口号 bind-to-all
这样,交换机互连通讯后,就可以在P334T上划分VLAN了。进入P334T的配置模式,用命令行:set port vlan vlan_id 模块号/端口号,就可以把端口分到相应的VLAN内。
四、结束语
VLAN技术的应用,使网络工作组的划分突破了地理位置的限制,而完全根据治理功能来划分,这种基于工作流的分组模式很适合校园网的教学部门的划分。随着校园网络的规模不断扩大和发展,使VLAN技术在校园网上得到更广泛的应用。
