毕业论文设计,51CTO下载-校园网中VLAN划分与配置

校园网中VLAN划分与配置
摘要：随着校园网的不断发展，规模在不断扩大，用户在不断增加，网络应用也在不断增长，网络变得越来越拥挤，冲突不断产生，管理难度日益加大。学校内部对于灵活、动态地组建LAN网段的要求也越来越多，客观上要求LAN本身的结构可以实现动态组建、调整和管理。为了有效地提高网络管理的灵活性，提高网络效率和网络安全性，充分合理地进行VLAN划分，是必需的。本文通过对校园网进行VLAN规划，详细的介绍了VLAN的相关知识。在校园网中使用的是华为Quidway S8016、Quidway S3026和港湾µHammer24E交换机配置VLAN。在校园网中进行合理VLAN划分，可通过解决端口隔离充分防止冲突的产生，并且可以简化校园网的管理及提高网络的安全性。

关键词： IP VLAN 冲突 规划 三层交换技术

VLAN is divided and disposed in campus network



Summary: With the constant development of campus network, the scale is expanding constantly, users are increasing constantly, network application is increasing constantly too, the network becomes more and more crowded, the conflict is being produced constantly, the difficulty in management is strengthened day by day. To setting up demand of section of LAN network more and more too flexibly and dynamically inside the school, Require the structure of LAN itself to realize that set up, adjust and manage dynamically objectively. In order to improve the flexibility of network management effectively, improve the efficiency of the network and network security, it is essential to divide VLAN abundantly and rationally. This text is through planning VLAN to campus network, the relevant knowledge of detailed introduction VLAN. It is China that uses to dispose VLAN for Quidway S8016, Quidway S3026 and harbour Hammer24E exchanger in campus network.. Divide rational VLAN in campus network, can isolate the production that fully prevented the conflict through solving ports, and can simplify the management of campus network and security of improving the network .

Keyword: IP VLAN conflict Plan Swapper of three layers
目录
TOC \o "1-3" \u 引言 102663496 4

1. VLAN 技术简介 102663497 5

1.1 什么是三层交换技术 102663498 5

1.2 什么是VLAN 102663499 6

1.3 VLAN的优点 102663500 6

1.3.1 提高网络性能 102663501 7

1.3.2 组建虚拟组织 102663502 7

1.3.3 简化网络管理 102663503 7

1.3.4 提高网络安全 102663504 7

1.3.5 减少设备投资 102663507 8

2. VLAN 的划分方式 102663508 8

2.1. 基于端口划分的VLAN 102663509 8

2.2 基于MAC地址划分VLAN 102663510 8

2.3 基于网络层协议类型划分VLAN 102663511 9

2.4 基于网络层子网地址划分VLAN 102663512 9

2.5 基于网络层组播地址划分VLAN 102663513 9

2.6 基于网络层以上协议乃至应用程序的类型划分VLAN 102663514 9

3 VLAN的实现与配置 102663515 10

3.1 VLAN实现过程 102663516 10

3.2 校园网的IP地址分配与VLAN的规划 102663517 11

3.3 VLAN 的配置实例 102663518 12

3.3.1基于华为S3026的VLAN的配置 102663519 12

3.3.2基于华为Quidway S8016的VLAN配置 102663520 16

4. VLAN 之间的通信 102663521 17

4.1 通过路由器实现VLAN间的通信 102663522 17

4.1.1通过路由器的不同物理接口与交换机上的每个VLAN分别连接 102663523 18

4.1.2通过路由器的逻辑子接口与交换机的各个VLAN连接 102663524 18

4.2 用交换机代替路由器实现VLAN间的通信 102663525 18

5 VALN的新用途 102663526 18

结论 102663527 22

参考文献 102663528 22

致谢 102663529 22

引言

从传统的以太网（10Mb/s）发展到快速以太网（100Mb/s）和千兆以太网（1000Mb/s）也不过几年的时间，其迅猛的势头实在令人吃惊。而现在中大型规模网络建设中，以千兆三层交换机为核心的所谓“千兆主干、百兆桌面”的主流网络模型已不胜枚举。现在，网络业界对“三层交换”和VLAN这两词已经不感到陌生了。

在一个传统的LAN中，计算机之间通过集线器（Hub）或中继器（Repeater）相连接。如果有两台乃至两台以上计算机同时通过LAN的通信总线发送数据时，它们将不可避免地发生冲突，已发送的数据也将丢失。更主要的是，一旦有冲突发生，冲突将通过集线器或中继器被传送到整个网络中，使得暂时谁也无法再发送数据。于是发送者们只好停下来，等到这次冲突平息之后再试着去发送已丢失的数据——这是对时间和资源的很大浪费。

为了防止冲突被发送给LAN中的每一台计算机，人们使用了网桥（Bridge）或局域网交换机（LAN switch，以下简称交换机）来隔离冲突---网桥和交换机都不会转发冲突，但它们会让广播报文（发给LAN中的所有计算机）或多播报文（发给LAN中预先定义好的一组计算机）通过。这样，原来的一个LAN就被网桥和交换机分隔成了多个LAN网段。隔离开来的一个个LAN网段被称为冲突域，意即每个冲突域内发生的冲突都将被限制在该域内。另一方面，人们使用路由器来隔离广播，防止广播或多播报文被转发到另一个网络中去。路由器隔离开来的一个个网络称为广播域，意即每个广播域内的广播或多播报文也都将被限制在该域内。广播域，指的是广播帧（目标MAC地址全部为1）所能传递到的范围，亦即能够直接通信的范围。严格地说，并不仅仅是广播帧，多播帧（Multicast Frame）和目标不明的单播帧（Unknown Unicast Frame）也能在同一个广播域中畅行无阻。

从上面的介绍可以看出，在一个网络中如何定义冲突域和广播域取决于其中的各个计算机、集线器（或中继器）、网桥（或交换机）和路由器在物理空间上是如何分布、如何连接在一起的——这意味着同一个LAN中的所有设备必须位于同一物理空间范围内，比如说同一层楼、同一个办公区域等。

另外，LAN的一个主要用户是企业。随着现代企业中跨部门跨职能开发团队出现得越来越多，企业内部对于灵活、动态地组建LAN网段的要求也越来越多，客观上要求LAN本身的结构可以实现动态组建、调整和管理。这时，虚拟局域网（Virtual LAN）技术就适时地出现了。

VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于它是逻辑地址而不是物理地址划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段（如图1-1）。另外，在划分VLAN时，也不需要使用路由器来分隔它们，VLAN技术使用桥接软件来决定哪台计算机工作站在哪个VLAN里，路由器只被用于在不同的VLAN间承担通信任务。

HYPERLINK "http://www.supinfo-projects.com/cn/2004/vlan/1" 1. VLAN 技术简介

1.1 什么是三层交换技术

要回答这个问题还是先看看以太网的工作原理。以太网的工作原理是利用二进制位形成的一个个字节组合成一帧帧的数据（其实是一些电脉冲）在导线中进行传播。首先，以太网网段上需要进行数据传送的节点对导线进行监听，这个过程称为CSMA/CD（Carrier Sense Multiple Access with Collision Detection带有冲突监测的载波侦听多址访问）的载波侦听。如果，这时有另外的节点正在传送数据，监听节点将不得不等待，直到传送节点的传送任务结束。如果某时恰好有两个工作站同时准备传送数据，以太网网段将发出“冲突”信号。这时，节点上所有的工作站都将检测到冲突信号，因为这时导线上的电压超出了标准电压。这时以太网网段上的任何节点都要等冲突结束后才能够传送数据。也就是说在CSMA/CD方式下，在一个时间段，只有一个节点能够在导线上传送数据。而转发以太网数据帧的联网设备是集线器,它是一层设备，传输效率比较低。

冲突的产生降低了以太网的带宽，而且这种情况又是不可避免的。所以，当导线上的节点越来越多后，冲突的数量将会增加。显而易见的解决方法是限制以太网导线上的节点，需要对网络进行物理分段。将网络进行物理分段的网络设备用到了网桥与交换机。网桥和交换机的基本作用是只发送去往其他物理网段的信息。所以，如果所有的信息都只发往本地的物理网段，那么网桥和交换机上就没有信息通过。这样可以有效减少网络上的冲突。网桥和交换机是基于目标MAC（介质访问控制）地址做出转发决定的，它们是二层设备。现在已经知道了以太网的缺点及物理网段中冲突的影响，现在，大家来看看另外一种导致网络降低运行速度的原因：广播。广播存在于所有的网络上，如果不对它们进行适当的控制，它们便会充斥于整个网络，产生大量的网络通信。广播不仅消耗了带宽，而且也降低了用户工作站的处理效率。由于各种各样的原因，网络操作系统（NOS）使用了广播，TCP/IP使用广播从IP地址中解析MAC地址，还使用广播通过RIP和IGRP协议进行宣告，所以，广播也是不可避免的。网桥和交换机将对所有的广播信息进行转发，而路由器不会。所以，为了对广播进行控制，就必须使用路由器。路由器是基于第3层报头、目标IP寻址、目标IPX寻址或目标Appletalk寻址做出转发决定。路由器是3层设备。

在这里，我们就容易理解三层交换技术了，通俗地讲，就是将路由与交换合二为一的技术。路由器在对第一个数据流进行路由后，将会产生一个MAC地址与IP地址的映射表，当同样的数据流再次通过时，将根据此映射表直接从二层进行交换而不是再次路由，提供线速性能，从而消除了路由器进行路由选择而造成网络的延迟，提高了数据包转发的效率。采用此技术的交换机我们常称为三层交换机。

1.2 什么是VLAN

VLAN（Virtual Local Area Network）又称虚拟局域网，一方面，VLAN建立在局域网交换机的基础之上， 采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中，在功能和操作上与传统LAN基本相同，可以提供一定范围内终端系统的互联。另一方面，VLAN是局域交换网的灵魂。这是因为通过VLAN用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路。这样，网络管理员就能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。

INCLUDEPICTURE "E:\\交换机\\8016\\trshome\\outfiles\\31160906-操作手册_第一分册(v5.02)\\04-VLAN.files\\image002.gif" \* MERGEFORMATINET

图1-1 VLAN的组网方式示意图

1.3 VLAN的优点

应用VLAN技术可以获得的益处是巨大的，主要有以下几个方面：

1.3.1 提高网络性能

应用VLAN技术可以提高网络性能：

其一，VLAN技术允许网络管理者将交换机上的端口作逻辑分组，使得从某个VLAN中产生的字节流只能在从属于该VLAN的交换机端口之间流动。在一个有大量广播和多播报文的网络中，应用VLAN技术可以把这些报文限制在各个VLAN里，从而可以大大减少整个网络中不必要的信息流量，提高网络性能。

其二，相比较网桥和交换机而言，路由器在处理接收到的数据时要慢一些。使用了VLAN技术后，人们可以用交换机来代替路由器隔离广播域。由于减少了路由器的使用量，网络性能也相应地得到了提高。

1.3.2 组建虚拟组织

如前所述，VLAN技术是随着人们生产活动中越来越多的跨部门跨职能开发团队的出现而提出的。组建虚拟组织、特别是虚拟工作组，是提出VLAN技术的初衷和目标之一。在实际应用时，对于同一个工作组内的成员，在该工作组存在的短时期内，可以把他们的计算机工作站划分在一个VLAN里以便于其进行通信。这样，每个组内成员的计算机工作站既无需搬移到一起、也无需改变各自的设置，只需在网络管理者那里作一些改变就可以了。

1.3.3 简化网络管理

根据David J. Buerger的分析计算，传统的LAN中约有70%的网络花销是因为添加、删除、移动、更改网络用户而导致的。每当有一个用户加入局域网，就会引发一系列的端口分配、地址分配、网络设备重新配置等网络管理任务。在使用VLAN技术后，这些任务都可得以简化。举例来说，当某台计算机工作站从一个空间位置移动到另一个空间位置时，不需要为其重新手工配置网络属性，网络自身就能够动态地完成这项任务。这种动态管理网络的方式给网络管理者和使用者都带来了极大的便利。

1.3.4 提高网络安全

在传统的局域网中，不时的会有些敏感数据被有意或无意地广播到网络上，从而有可能造成信息泄密。在这种情况下，确定谁可以访问到这些数据就显得很重要。使用VLAN技术可以将敏感数据的传播限制在安全范围内，只允许已定义的VLAN成员访问相关数据。VLAN还可被用来设立防火墙、限制数据访问以及将网络入侵事件通知给网络管理者等，这些都可以提高网络的安全系数。

1.3.5 减少设备投资

VLAN技术可被用来创建逻辑的广播域，因而可以减少用于购买昂贵的路由器等广播域隔离设备的投资。

HYPERLINK "http://www.supinfo-projects.com/cn/2004/vlan/2" 2. VLAN 的划分方式

VLAN的类型根据划分VLAN的方式有以下几种：

2.1. 基于端口划分的VLAN

以网络设备的哪个端口属于哪个VLAN的标准来划分VLAN。例如，在一个有8个端口的网桥中，端口1、2、4、7属于VLAN1，而端口3、5、6、8属于VLAN2。则与这些端口相连的设备、这些设备收发的数据帧相应地也分别属于VLAN1、VLAN2。究竟如何配置，由管理员决定。如果有多个网络设备，例如有多个交换机，可以指定交换机1的1~6端口和交换机2的1~4端口为同一VLAN，即同一VLAN可以跨越数个交换机，根据端口划分是目前定义VLAN的最常用的方法，IEEE 802.1Q协议标准草案中对如何根据交换机的端口来划分VLAN给出了明确的规定。这种划分方法的优点和缺点都很明显：优点是定义VLAN成员时非常简单，只要将所有的端口都指定一下就可以了；缺点是不允许用户随便移动。如果属于某个VLAN的用户离开了原来的端口，到了一个新的网络设备的某个端口，那么网络管理者就必须重新定义VLAN。

2.2 基于MAC地址划分VLAN

以计算机工作站网卡的MAC地址来划分VLAN。这种划分方法的最大优点就是由于一个MAC地址唯一对应一块计算机网卡，故此当某个计算机工作站物理位置改变时、即从一台交换机转移到另一台交换机时，不需要重新配置VLAN；而缺点是所有的VLAN成员必须事先定义，这在有数以百计乃至千计用户的网络中，这并不是一件轻松的事。而且这种划分方法也导致了交换机执行效率的降低，因为交换机的每一个端口都可能连接许多不同VLAN组的成员，这样就无法限制广播报文了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，VLAN就必须不停的配置。

2.3 基于网络层协议类型划分VLAN

如果网络支持多网络层协议，那么根据数据帧头中的网络层协议类型字段也可以划分VLAN。这对网络管理者来说很重要，同时，这种方法不需要附加的帧标签来识别VLAN，可以减少网络的通信量。

2.4 基于网络层子网地址划分VLAN

根据数据报文头中的网络层子网地址也可以划分VLAN。虽然这种划分方法根据的是第3层信息即网络地址（比如IP地址），但它与网络层的路由功能一点关系也没有。它只是查看每个数据报文的网络层地址，并根据过滤数据库中事先定义好的信息决定其归属于哪个VLAN，然后再根据生成树算法进行桥交换，并不牵涉任何路由操作。这种方法的优点是当某个计算机工作站物理位置改变时，即从一台交换机转移到其它的交换机，不需要重新配置VLAN。其缺点是效率低，因为相对于第1、2层VLAN的实现技术，检查每一个数据报文的网络层地址是很费时间的。一般的交换机芯片都优点是具有更大的灵活性，而且也很容易通过路由器进行扩展。缺点是不适合LAN，主要是效率不高。

2.6 基于网络层以上协议乃至应用程序的类型划分VLAN

根据网络层以上协议的类型、可以自动检查数据帧的帧头，但检查数据报文的报文头，则需要更高的技术（设备设计制造成本也会相应增加），同时也更费时。当然，这跟各个厂商的实现方法有关。

2.5 基于网络层组播地址划分VLAN

网络层组播实际上是一种VLAN。即认为一个组播组就是一个VLAN，这种划分方法实际将VLAN扩大到了WAN。该方法的应用程序的类型乃至两者的综合来划分VLAN也是有可能的。例如，规定所有的FTP应用在一个VLAN里运行而所有的Telnet应用在另一个VLAN里运行。这些方法的缺点在于它们都很费时，都要求更高的处理技术和更快的处理速度，目前的实现尚无法令人们满意。

802.1Q草案标准仅仅定义了基于端口和MAC地址来划分VLAN的标准方案，虽然它也允许基于协议类型的VLAN以及3层以上VLAN，但并没有给出相应的标准。

3 VLAN的实现与配置

3.1 VLAN实现过程

当一个网桥或交换机接收到来自于某个计算机工作站的数据帧，它将给这个数据帧加上一个标签以标识这个数据帧来自于哪个VLAN。加标签的原则有多种：可以基于数据帧来自于网桥的哪个端口、可以基于数据帧的数据链路层协议源地址、可以基于数据帧的网络层协议源地址、也可以基于数据帧的其它字段或多个字段的综合。为了能够使用任意一种方法给数据帧加标签，网桥必须有一个不断升级更新的数据库。这个数据库叫做过滤数据库，包含了本网络中全部VLAN之间的映射以及它们使用哪个字段作为标签。例如，如果通过基于端口的方式来加标签，该数据库应该指示哪个端口属于哪个VLAN。网桥必须能够维护这样的一个数据库并且应保证所有在这个LAN中的网桥在它们的过滤数据库中有同样的信息。

基于IEEE 802.1Q协议时，4个字节的VLAN标签加到传统的以太网帧的目的MAC地址字段和协议类型字段（在符合IEEE 802.3协议的帧中是长度字段）之间。其中包含有一个12比特大小的VLAN ID号以区别各个VLAN，如图1-2所示：

INCLUDEPICTURE "E:\\交换机\\8016\\trshome\\outfiles\\31160906-操作手册_第一分册(v5.02)\\04-VLAN.files\\image004.gif" \* MERGEFORMATINET

图1 基于802.1Q协议的VLAN帧格式封装类型

由于802.1Q协议的标签头的4个字节是新增加的，故目前使用的计算机并不支持802.1Q，即计算机发送出去的数据包的以太网帧头还不包含这4个字节，同时也无法识别这4个字节。对于交换机来说，如果它所连接的以太网段的所有主机都能识别和发送这种带802.1Q标签头的数据包，该端口称为Tag Aware端口，需要给数据帧加标签。反之，如果该交换机端口所连接的以太网段里只要有一台主机不支持这种带802.1Q标签头的数据包，该端口称为Access端口，则不能给数据帧加标签。对于每一个到来的VLAN帧，网桥或交换机将根据查找过滤数据库的结果决定该帧归属于哪一个VLAN、将从哪个接口被转发出去。一旦网桥或交换机决定了某个数据帧的下一步去向，它就得决定是否需要给这个数据帧加标签。具体实现包括以下三个过程：

(1)接收过程：负责接收数据包，数据包可以是带标签头的，也可以不带标签头。如果不带，交换机会根据该端口所属的VLAN添加上相应的标签头。

(2)查找/路由过程：根据数据包的目的MAC地址、VLAN标识，查找过滤数据库中注册的信息，以决定把数据包发送到哪个端口。

(3)发送过程：将数据包发送到以太网段上，如果该网段的主机不能识别802.1Q标签头，则在出端口前将该标签头去掉；如果是发送到互连的其它交换机的端口，则标签头一般不去掉。

3.2 校园网的IP地址分配与VLAN的规划

随着校园网规模的不断扩大，用户不断增加，网络应用也不断增长，网络变得越来越拥挤，冲突不断产生，管理难度日益加大。为了有效地提高网络管理的灵活性，提高网络效率和网络安全性，一个合理的VLAN规划给网络的管理更加有效。校园网目前的电脑数目已经上千台了。如果把这个庞大的网络作为一个VLAN，那么校园网的网络性能和安全性就会大大的降低，而且能产生网络风暴使网络瘫痪。因此，应对这个庞大的校园网进行VLAN的规划，把它划分为若干个虚拟子网，这样可以提高校园网的网络性能和安全性，防止网络风暴。

EMBED Word.Picture.8

图2 西南林学院校园网的网络结构拓扑图

如上图所示，网络根据地理区域分为3个部分：教学办公室﹑学生宿舍区﹑科技培训中心及生活区。每一个部分建设一个网络中心，三个中心之间采用GE骨干互联。网络设计充分利用了堆叠技术，简化了网络结构。目前，我校园网主要是以Quidway S8016作为核心路由交换机。其它的网络部分采用堆叠组网的方式，主要是由几台Quidway S3026或µHammer24E交换机组成堆叠组。

校园网的VLAN规划主要是根据西南林学院的网络拓扑图，首先基于核心路由交换机Quidway S8016上根据每分配一个C类的IP地址划分为一个VLAN；然后再基于Quidway S3026或µHammer24E交换机根据网络管理的要求和网络的安全需要进行VLAN划分。如为了使有些部门之间在网络中不能进行访问，确保本部门的信息不会被本部门以外的人窃听，而把各个部门划分为各个单独的VLAN，从而提高各个部门的网络安全性。

3.3 VLAN 的配置实例

随着校园网的建成，对于校园网的管理的要求也越来越高了。目前，由于数据广播在网络中起着非常重要的作用，随着校园网内的计算机数量的增加，VOD视频的大量应用，广播的数量在积聚增加，当广播的数量占到总量的30%时，网络的传输效率将会明显下降。特别是当某网络设备出现故障后，会不停地向网络发送广播，从而导致通信陷于瘫痪。当校园网络内的计算机数超过200台后，就需要采取措施将网络分隔开来，将一个大的广播域划分成若干个小的广播域。目前，校园网的计算机已经有上千台，因此更应将这个大的广播域划分成若干个小的广播域，划分广播域的方式主要是将校园网划分为若干个虚拟子网，也就是VLAN。对校园网进行VLAN划分，可以强化网络管理和网络的安全，控制不必要的广播的数量。

为了使校园网的管理更加完善，校园网的安全性更强，则必须要对校园网进行VLAN的划分。对校园网的VLAN的划分，主要是根据西南林学院的网络拓扑图，首先是基于核心路由交换机Quidway S8016上根据为每个分配一个C类的IP地址划分为一个VLAN；然后再基于Quidway S3026或µHammer24E交换机根据网络管理的要求和网络的安全需要进行VLAN划分。如下分别是以学生宿舍1栋为例关于基于Quidway S8016、Quidway S3026的VLAN配置。

3.3.1基于华为S3026的VLAN的配置

校园网主要是以Quidway S8016为核心路由交换机，而其他网络部分是由多台Quidway S3026交换机组成的堆叠组。以学生宿舍1栋为例，学生宿舍1栋网络组成，是从核心路由交换机拉了一根光纤，光纤下面接8台Quidway S3026交换机组成的堆叠组，交换机下再接计算机或一般交换机（看具体宿舍）。

下面是学生宿舍1栋的组网图:
图3 学生宿舍1栋的组网图

如果有很多台电脑同时相互之间传送文件或下载东西，那样就会影响上网和玩游戏的速度，从而有可能产生广播风暴。因此，可以基于Quidway S3026交换机每个端口划一个的VLAN来控制广播，有效地避免广播风暴的产生，并且网络管理更加有效，可以保障DHCP服务器正常的给用户分配IP地址，而不被其它的DHCP服务器所影响。

因为交换机之间是通过堆叠组网的，所以在配置的时候，只要服务器连到主交换机，就可以通过主交换机连到从交换机进行配置，而不需要服务器单独连到从交换机上。

整个网络采用VLAN10作为管理VLAN，所有交换机上VLAN10接口的IP地址在同一个网段192.168.6.0/24，网管工作站的IP地址为192.168.7.1。路由器的IP地址为192.168.8.1，二/三层交换机通过VLAN2接口与路由器相连，VLAN2接口的IP地址为192.168.8.2。

在S3026上作如下配置：isolate-user-vlan配置，将小区每个用户之间进行二层隔离，每个用户分配在一个Secondary VLAN内；802.1x认证配置，认证方式为基于MAC地址；管理VLAN配置、网管路由配置、SNMP配置、各种访问方式的ACL控制配置；hybrid端口配置。

以下是学生宿舍1栋其中一台Quidway S3026的VLAN的配置如下：

配置isolate-user-vlan（isolate-user-vlan为VLAN 5）、进行管理VLAN配置（配置管理VLAN的IP地址、一条路由）、配置802.1x认证、配置访问方式的ACL控制。管理VLAN10的IP地址为192.168.6.0，网管站的IP地址为192.168.7.1，向网管站发送数据的下一跳为192.168.6.1。

(1) 配置isolate-user-vlan

# 配置isolate-user-vlan。

[Quidway] vlan 5

[Quidway-vlan5]isolate-user-vlan enable

[Quidway-vlan5]port ethernet 1/1

# 配置Secondary VLAN

[Quidway] vlan 2

[Quidway-vlan2]port ethernet 0/1

[Quidway-vlan2] quit

[Quidway] vlan 3

[Quidway-vlan3]port ethernet 0/2

[Quidway-vlan3] quit

依此类推

[Quidway] vlan 25

[Quidway-vlan25]port ethernet 0/24

[Quidway-vlan25] quit

# 配置isolate-user-vlan和Secondary VLAN间的映射关系

[Quidway]isolate-user-vlan 5 secondary 2 to 25

(2) 配置管理VLAN及路由

# 管理VLAN为VLAN 10，配置其接口IP地址

[Quidway] vlan 10

[Quidway-vlan10] quit

[Quidway] interface vlan 10

[Quidway-Vlan-interface10]ip address 192.168.6.0 255.255.255.0

# 配置路由，下一跳为192.168.6.1

[Quidway] ip route 192.168.7.1 255.255.255.0 192.168.6.1

(3) 配置802.1x认证

# 端口和设备上启动802.1x认证

[Quidway] dot1x

[Quidway] dot1x interface ethernet 0/1 to ethernet 0/24

# 配置802.1x认证基于MAC地址

[Quidway] dot1x port-method macbased interface ethernet 0/1 to ethernet 0/24

[Quidway] dot1x dhcp-launch

(4) 配置上行端口Ethernet1/1为hybrid端口

# 配置该端口为hybrid端口，允许VLAN5和VLAN10的报文通过

[Quidway] interface Ethernet1/1

[Quidway-Ethernet1/1] port link-type hybrid

[Quidway-Ethernet1/1] port hybrid pvid vlan 5

[Quidway-Ethernet1/1] port hybrid vlan 10 tagged

(5) 配置SNMP

# 进入全局配置模式

system-view

# 设置团体名和访问权限

[Quidway] snmp-agent community read huawei

[Quidway] snmp-agent community write beiyan

# 设置管理员标识、联系方法以及以太网交换机的物理位置

[Quidway] snmp-agent sys-infocontact Mr.Wang-Tel:3306

[Quidway] snmp-agent sys-info location telephone-closet,3rd-floor

# 允许发送Trap

[Quidway] snmp-agent trap enable

# 定义访问控制列表

[Quidway] acl number 1

[Quidway-acl-basic-1] rule 0 permit source 192.168.7..1 0

# 创建SNMP组，并定义访问控制

[Quidway] snmp-agent group v3 huaweigroup acl 1

# 为SNMP组添加一个用户huaweimanager，设置认证密码为hello，并配置访问控制，只允许网管工作站访问交换机

[Quidway]snmp-agent usm-user v3 huaweimanager huaweigroup auth md5 huawei acl 1

(6) 配置对TELNET用户的访问控制，仅允许IP为192.168.6.46和192.168.6.52的用户通过TELNET访问交换机。

# 定义基本访问控制列表

[Quidway] acl number 20

[Quidway-acl-basic-20] rule 0 permit source 192.168.6.46 0

[Quidway-acl-basic-20] rule 1 permit source 192.168.6.52 0

# 引用访问控制列表

[Quidway] user-interface vty 0 4

[Quidway-ui-vty0-4] acl 20 inbound

(7) 配置对HTTP用户的访问控制，仅允许IP地址为192.168.6.46的主机通过WEB方式访问交换机

# 定义基本访问控制列表。

[Quidway] acl number 30

[Quidway-acl-basic-30] rule 0 permit source 192.168.6.46 0

# 引用访问控制列表

[Quidway]ip http acl 30

通过以上对1栋宿舍基于Quidway S3026的VLAN配置，可以使Quidway S3026交换机每个端口的用户之间不能进行互通，而且把1栋宿舍楼的广播域控制为交换机每个端口下面的用户为一个广播域。

3.3.2基于华为Quidway S8016的VLAN配置

(1) VLAN配置

# 创建VLAN5、VLAN6

[S8016] vlan 5

[S8016-vlan5] vlan 6

# 配置g3/0/1端口允许VLAN5通过

[S8016] interface gigabitethernet 3/0/1

[S8106-GigabitEthernet4/0/0] port trunk permit vlan 5

# 配置g3/0/2端口允许VLAN6通过

[S8016] interface gigabitethernet 3/0/2

[S8106-GigabitEthernet4/0/0] port trunk permit vlan 6

(2) VLAN接口配置

# VLAN5接口IP地址192.168.9.1，掩码24位；VLAN6接口IP地址192.168.10.1，掩码24位

[S8016] interface vlanif 5

[S8106-Vlanif5] ip address 192.168.9.1 255.255.255.0

[S8016] interface vlanif 6

[S8106-Vlanif6] ip address 192.168.10.1 255.255.255.0

(3) Dhcp relay配置

# 增加一个DHCP server组，IP地址是192.168.11.45和192.168.12.34

[S8016C] dhcp relay server-group 1 server 192.168.11.45 192.168.12.34

# 把VLAN5、VLAN6加入DHCP server组1。

[S8016C] dhcp relay server-group 1 vlan 5 6

HYPERLINK "http://www.supinfo-projects.com/cn/2004/vlan/3" 4. VLAN 之间的通信

随着交换机应用的普及，VLAN技术的应用也越来越广泛。众所周知，VLAN技术的主要作用是可将分布于不同地理位置的计算机按工作需要组合成一个逻辑网络，同时VLAN的划分可缩小广播域，以提高网络传输速度，由于处于不同VLAN的计算机之间不能直接通信，从而使网络的安全性能得到了很大提高。但事实上在很多网络中要求处于不同VLAN中的计算机间能够相互通信，如何解决VLAN间的通信问题是我们在规划VLAN时必须认真考虑的问题。在校园网络发展的初期，网络中只有10%~20%的信息在VLAN之间传播，但随着多媒体技术在校园网络中应用的迅速普及，VLAN之间信息的传输量增加了许多倍，如果VLAN之间的通信问题解决得不好，将严重影响网络的使用和安全。

在LAN内的通信，是通过数据帧头中指定通信目标的MAC地址来完成的。而为了获取MAC地址，TCP/IP协议下使用ARP地址协议解析MAC地址的方法是通过广播报文来实现的，如果广播报文无法到达目的地，那么就无从解析MAC地址，亦即无法直接通信。当计算机分属不同的VLAN时，就意味着分属不同的广播域，自然收不到彼此的广播报文。因此，属于不同VLAN的计算机之间无法直接互相通信。为了能够在VLAN间通信，需要利用OSI参照模型中更高一层——网络层的信息（IP地址）来进行路由。在目前的网络互连设备中能完成路由功能的设备主要有路由器和三层以上的交换机。

4.1 通过路由器实现VLAN间的通信

使用路由器实现VLAN间通信时，路由器与交换机的连接方式有两种。第一种通过路由器的不同物理接口与交换机上的每个VLAN分别连接。第二种通过路由器的逻辑子接口与交换机的各个VLAN连接。

4.1.1通过路由器的不同物理接口与交换机上的每个VLAN分别连接

这种方式的优点是管理简单，缺点是网络扩展难度大。每增加一个新的VLAN，都需要消耗路由器的端口和交换机上的访问链接，而且还需要重新布设一条网线。而路由器，通常不会带有太多LAN接口的。新建VLAN时，为了对应增加的VLAN所需的端口，就必须将路由器升级成带有多个LAN接口的高端产品，这部分成本、还有重新布线所带来的开销，都使得这种接线法成为一种不受欢迎的办法。

4.1.2通过路由器的逻辑子接口与交换机的各个VLAN连接

这种连接方式要求路由器和交换机的端口都支持汇聚链接，且双方用于汇聚链路的协议自然也必须相同。接着在路由器上定义对应各个VLAN的逻辑子接口E1.1和E1.2。由于这种方式是靠在一个物理端口上设置多个逻辑子接口的方式实现网络扩展，因此网络扩展比较容易且成本较低，只是对路由器的配置要复杂一些。

4.2 用交换机代替路由器实现VLAN间的通信

目前市场上有许多三层以上的交换机，在这些交换机中，厂家通过硬件或软件的方式将路由功能集成到交换机中，交换机主要用于园区网中，园区网中的路由比较简单，但要求数据交换的速度较快，因此在大型园区网中用交换机代替路由器已是不争的事实。用交换机代替路由器实现VLAN间通信的方式也有两种，其一，就是启用交换机的路由功能，这种方式的实现方法可采用以上介绍的路由器方式的任一种。其二，是利用某些高端交换机所支持的专用VLAN功能来实现VLAN间的通信。

5 VALN的新用途

虽然VLAN并非最好的网络技术，但这种用于网络结点逻辑分段的方法正为许多企业所使用。VLAN采用多种方式配置于企业网络中，包括网络安全认证、使无线用户在802.11b接入点漫游、隔离IP语音流及在不同协议的网络中传输数据等。

六年前引进VLAN的时候，多数VLAN都是基于IEEE 802.1Q和802.1p标准的。802.1Q规范用于将VLAN用户信息载入以太网帧，而802.1p使二层交换机具有流量优先和实施动态多址滤波的能力。

当初引进VLAN时，它被看作是一个简化地址管理的方法，可以使IT人员在网络的任意点对服务器和PC机进行物理配置，并将PC机加入到组中。

多数网络设备的软件可用于将媒体访问控制（MAC）地址与VLAN相关联，当客户从一个端口移动到另一个端口时，可以使其自动连接到网络上。

（1）VLAN的无线接入

随着越来越多的公司推出其无线网络，人们最关心的问题恐怕就是如何将无线用户接入适当的有线VLAN。有线网络中的VLAN用户身份通常都是由用户的物理层二层交换机或三层路由器连接端口来定义的。但在无线网络中，用户根本没有与任何物理端口连接。

为解决这一问题，人们开始采用先进的无线验证技术，并利用基于角色的VLAN关联来进行用户识别。这种方法可以利用一系列标准的验证方法，如基于HTTP捕获端口和802.1x等可选验证机制来判断出正确的VLAN用户身份。

（2）VLAN的应用

最近，休斯顿在4栋22层的建筑物中建立了网络及其子网，包括122个法庭、法律事务所和审判厅，这种建筑物非常适合建立VLAN，因为将122个私人子网合并到一个VLAN中要比将用户插入端口组容易得多。

VLAN和静态IP地址也可用于安全机制。所有工作于这里的客户都分配了一个静态IP地址，通过Alcatel的OmniSwitch路由器和OmniCore 5052主干网交换器连接到网络中。

这种配置方式使法官和律师在不同的法庭中都可以进行工作。这种设置可控制许可用户的访问权限以及限制未注册用户的访问，因而可以提供安全性。接入网络的唯一方法就是必须拥有一个IP地址，而且这些PC机都连接在其中的一个VLAN上。

（3）VLAN的漫游功能

Massachusetts的Bridgewater州立学院配置了100多个Enterasys公司的RoamAbout 802.11b/a无线接入点，因而学生在整个校园中都可以访问Web和E-mail。

如果没有对无线流量进入自己的VLAN进行隔离，那么对于希望在校园范围内保持网络连接的移动用户来说，它将成为一场噩梦。将所有的无线流量置于一个VLAN中，可以确保当用户从一个接入点移动到另一个接入点时不会掉线。而实际上当整个校园中配置的Enterasys接入点只有150英尺的范围时，这种情况很容易发生。

在宿舍、教室和管理机构中，利用Cisco和Enterasys混合的可堆叠交换器来连接到无线接入点。克服了一些交叉厂商的VLAN配置问题之后，现在可以在校园的任意地方漫游，无论是连接到Cisco还是Enterasys交换器上，都可以保持连接在同一VLAN上。

（4）VLAN管理

VLAN不仅可用于安全和网络管理，对于混合型网络的管理来说，它同样不失为一个有益的工具。

有人利用Enterasys公司的SmartSwitch可堆叠交换器和SmartSwitch Router主干网交换器来在整个子网上建立VLAN，这些子网是运行多种协议的。医疗数据库建立在VAX小型机上，这种应用运行于遗留的DECnet协议之上。DECnet的确使用了大量的广播流量，可将这些流量置于其自己的VLAN上，因而DECnet数据流只能够到达一定的网段。

NetWare 4.11服务器在网络上运行的情况与此类似。它只为Novell服务器及用户创建独立的IPX VLAN，这使多数基于IP和Windows NT/2000服务器的网络不会陷入IPX和DECnet流量的海洋中。

隔离VoIP流量进入VLAN也成为3Com、Cisco、Alcatel、Nortel和Avaya等IP电话厂商的一个标准推荐。所有这些厂商的交换器和IP PBX设备都支持802.1Q技术，这就隔离了IP语音流进入其自己的VLAN。

厂商和用户都认为，在其虚拟段保持语音可能是非常有用的，作为一个隔离语音流的方法，它可以达到故障诊断的目的。如果有大流量的广播或大的文件下载，它也能确保语音质量不会下降。
我们可以假设一个情景。一位财务部的无线用户可能要安全地连接至财务VLAN，使用的是一种安全链接加密方法，如Wi-Fi受保护访问。然而，当该VLAN中的用户漫游至其他接入点时，他们可能会无法再访问财务VLAN，因而也就无法获取需要的网络资源。如果要对网络进行重新配置，并使用户在整个公司里的每个接入点都能访问VLAN的话，整个重新配置的过程将变得非常繁杂，当然也不可能成为有竞争力的解决方案。

然而，802.1x基于端口的验证方法则可以提供一个有效的框架，为以太网和无线网络上的用户提供基站访问授权。802.1x使用可扩展验证协议（EAP)来中继局域网基站（请求者）、以太网交换机或无线接入点（验证者）与RADIUS服务器（验证服务器）之间的端口访问请求。

用于保护Wi-Fi网络用户的核心机制是基于数据加密和用户验证的方法，而非通常使用的基于角色的验证方法。基于角色的802.1x VLAN关联具有很大的吸引力，因为它可以提供合理的工作组流量分割，并且更容易与有线网络上配置的安全和流量工程策略集成在一起。

网络管理员通常都希望为所有用户保留原有的扩展服务集ID（ESSID）和加密档案。这样，当用户进入无线局域网时，系统可根据验证服务器上已经配置好的属性，将用户分配至不同VLAN内的不同工作组中。如果不使用基于角色的VLAN，这种方法基本上是不可能实现的，除非对无线局域网的许许多多配置逐个调整，为每个用户组引入新的ESSID。这种做法无疑需要巨大的资金投入和高昂的运营费用。

无线局域网交换机可以支持各种类型的用户角色，以及不同的访问权限和VLAN关联。它还可以支持多种类型的服务器规则，并从中引申出用户角色，如RADIUS服务器发出的访问接受信息中的RADIUS属性。例如，某一条服务器规则用于提取某个特定RADIUS属性中的数值，并使用该数值作为角色。在802.1x验证中，客户机通过一个无线局域网交换机验证至RADIUS服务器。然后，无线局域网根据执行服务器规则后产生的角色，在VLAN与客户机之间建立关联。

一旦与接入点之间的关联建立完成，无线局域网交换机将客户机置于未授权状态下。在这种状态下，只有客户机生成的802.1x EAP包才能通过无线局域网转发。无线局域网交换机发送一条EAP Request-ID，即用户身份请求信息给客户机。客户机则回应一条EAP Response-ID信息。此后，无线局域网交换机将EAP Response-ID封包为一条RADIUS访问请求信息，并将其转发给RADIUS服务器。

如果验证成功，RADIUS服务器将访问接受信息发送给无线局域网交换机。这条信息可以识别不同的用户属性，如角色和访问权限。然后，无线局域网交换机会对这条回应信息进行解析，并确定客户机应当被分配至哪一个VLAN。

使用该信息，无线局域网交换机便将客户机分置于授权状态下，并发送一条EAP Success信息。此后，交换机才将来自客户机的所有数据流量转发给合适的VLAN。在收到EAP Success信息后，客户机将启动动态主机配置协议，并从基于角色的VLAN上获得一个IP地址。

结论

经过在毕业实习中的学习和实践，使我对四年大学的理论知识有了更系统更全面的掌握，对计算机网络知识有了更进一步的认识，特别是在实际网络设备的操作方面有很大的提高。对于网络建设中VLAN规划有着进一步的认识，让我了解到理论联系实际的重要性。

通过对校园网的IP地址的分配和VLAN规划，使我深刻的认识到。在计算机网络建设中，一定要依据地址分配和VLAN划分原理来进行网络规划，还需要认真研究实际情况，考虑网络设备性能、网络规模、网络运行、管理、安全和升级等诸方面因素，形成一套合理、适当的地址分配和VLAN 规划方案，这将会大大提高网络的整体性能，给网络管理带来许多方便。

参考文献

[1] 王小虎，熊桂喜.计算机网络[M].北京：清华大学出版社，1998.

[2] 肖德宝.计算机网络[M].武汉：华中理工大学出版社，2000.

[3] 谢希仁.计算机网络(第二版)[M].北京：电子工业出版社，2001.

[4] 王宝智.计算机网络技术及应用[M].长沙：国防科技大学出版社，1999.

[5] 郭诠水，王宝智.全新计算机网络工程教程[M].北京：北京希望电子出版社，2001

[6] 张大陆，宋金刚.VLAN技术分析. 计算机应用研究，1998年03期.

[7] HYPERLINK "http://www.huachu.com.cn/itbook/booklist.asp?zuoz=%C1%BA%D1%C7%C9%F9" \t "_blank" 梁亚声， HYPERLINK "http://www.huachu.com.cn/itbook/booklist.asp?zuoz=%CD%F4%D3%C0%D2%E6" \t "_blank" 汪永益， HYPERLINK "http://www.huachu.com.cn/itbook/booklist.asp?zuoz=%C1%F5%BE%A9%BE%D5" \t "_blank" 刘京菊， HYPERLINK "http://www.huachu.com.cn/itbook/booklist.asp?zuoz=%CD%F4%C9%FA" \t "_blank" 汪生，计算机网络安全技术教程[M]. HYPERLINK "http://www.huachu.com.cn/itbook/publisher_jx.asp" \t "_blank" 机械工业出版社，2004

[8] 陈应明， HYPERLINK "http://www.huachu.com.cn/itbook/itbookinfo.asp?lbbh=BD--954839" 《计算机网络与应用》[M]. HYPERLINK "http://www.huachu.com.cn/itbook/booklist.asp?cbs=冶金工业出版社" 冶金工业出版社，2005

[9] 刘韵洁，张智江， HYPERLINK "http://www.huachu.com.cn/itbook/itbookinfo.asp?lbbh=BD--943893" 《下一代网络》[M]. HYPERLINK "http://www.huachu.com.cn/itbook/booklist.asp?cbs=人民邮电出版社" 人民邮电出版社,2005

[10] 孙卫佳/周连喆/胡明, HYPERLINK "http://www.huachu.com.cn/itbook/itbookinfo.asp?lbbh=BD--936051" 《网络系统集成技术与实训》[M]. HYPERLINK "http://www.huachu.com.cn/itbook/booklist.asp?cbs=电子工业出版社" 电子工业出版社,2005

[11] D. McPherson, B. Dykes. RFC3069--VLAN Aggregation for Efficient IP Address Allocation. February, 2001.

[12] Comer, Computer network and Internet,PHEI/Prentice Hall,2002

[13] Stallings, The land network of LAN and city (the sixth edition) (English edition), PHEI/Prentice Hall,2002

校园网中VLAN的划分与配置
西南林学院2005届本科毕业论文
PAGE 20
PAGE 1
西南林学院2005届本科毕业论文
文档下载站 http://www.800abc.cn 更多资源下载
本站所有资源均来自互联网，如有侵犯您的版权或其他问题，请通知管理员，我们会在最短的时间回复您!8016
1栋VLAN 5
2栋 VLAN 6