VLAN技术在中职校园网建设中的应用

2012-07-01 21:17吴显卫
职业教育研究 2012年1期
关键词:子网局域网校园网

吴显卫

(广东省轻工职业技术学校 广东 广州 510308)

VLAN技术在中职校园网建设中的应用

吴显卫

(广东省轻工职业技术学校 广东 广州 510308)

VLAN作为最常使用的局域网技术之一,已在中小型网络设计中得到广泛应用。校园网作为典型综合网络,VLAN技术的应用是必不可少的。充分考虑各种VLAN实现方式的特点,正确设计及配置VLAN是使整个校园网的性能、可管理性、安全性、扩充性得到充分提高的保证。

VLAN;中职;校园网建设;交换机;VTP

近几年,随着中职教育改革的深入,中职学校在招生规模及教学设备上投入的资金大幅提高。作为现代教育必不可少的教学环境,中职校园网络的建设也在不断更新发展,规模不断扩大,网络应用也不断增多,网络变得越来越拥挤,管理难度日益增大。同时,学校内部部门区域性管理也要求网络本身的结构可以实现动态组建、调整和管理。为了有效提高网络管理的灵活性,提高网络效率和网络安全性,充分合理地对校园网络进行设计与配置是必须的。作为一种有效解决手段,VLAN在当前校园网网络建设中得到了广泛应用。此种技术是将校园网络划分为几个不同的虚拟局域网(VLAN),通过这种方式强化网络管理和网络安全,控制不必要的数据广播,从而使整个校园网的性能、可管理性、安全性、扩充性得到充分保证。下面结合中职学校网络实际,探讨如何在校园网建设中合理进行VLAN划分及配置实现。

VLAN技术

VLAN(Virtual Local Area Network)又称虚拟局域网,是建立在局域网交换机的基础之上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备,允许处于不同地理位置的网络用户加入到一个逻辑子网中,在功能和操作上与传统LAN基本相同,可以提供一定范围内终端系统的互联。通过VLAN,用户能方便地在网络中移动和快捷地组建宽带网络,而无需改变任何硬件和通信线路,能从逻辑上对用户和网络资源进行分配,而无需考虑物理连接方式。采用了VLAN的校园网与普通校园网相比具有以下特点:(1)提高了网络的安全性。虚拟局域网创造虚拟边界,它只能通过路由器跨越,因此需要时,基于路由器的标准安全措施可用于限制对每个虚拟局域网的访问。(2)控制网络广播。在交换机上划分VLAN,那么一个VLAN内的广播将不会发送到其他VLAN,相应地提高了带宽的利用率。(3)方便网络管理。在整个局域网中,VLAN用户如果移动位置,不需要重新布线和调试,只要在交换机上重新分配相应端口到该VLAN就可以了。

校园网交换模块拓扑及设计

校园网主要由以下几部分构成:交换模块、广域网接入模块、远程访问模块、服务器模块。因VLAN技术主要应用在交换机层面上,属于交换模块设计内容,所以在这里以校园网交换模块配置来说明VLAN技术应用,相应拓扑结构如图1所示。

为简化交换网络设计、提高交换网络的可扩展性,校园网交换模块的部署是分层进行的,一般分为三层——接入层、汇聚层、核心层,因此数据交换设备也相应划分为对应的三个层次。

VLAN划分

在交换模块设计时,VLAN的划分是必不可少的步骤。VLAN划分要确定VLAN分组、VLAN名称、VLAN的IP地址网段、VLAN的交换机端口分配。

图1 交换模块拓扑结构图

在划分VLAN时,由于工作组将与一个VLAN对应,因此应首先确定与VLAN对应的工作组,从而确定应将网络节点分成多少个工作组。工作组的划分方法有:(1)根据人员所属部门划分。此划分方法是按职能部门将整个校园网络划分为相应的IP子网,将各部门服务器划分到相应的子网中。(2)根据人员等级划分。此法根据网络使用人员所承担的责任大小来划分VLAN组。这样做的一个益处就是同级别的人可划分在同一个VLAN组,便于给这个组赋予相同的网络使用权利。(3)根据人员使用网络的性质划分。这样划分的益处是可使工作性质相同的人员使用相同资源,避免由于相互频繁通信而导致整个网络上出现广播风暴的可能。(4)公共资源单独成网。将公共服务资源(包括各种公共网络服务、网络打印机等)都划分在同一个VLAN子网中,并赋予相应的本地VLAN访问权限,从而实现全网的互联互通和信息共享。当工作组划分完成后,应分配好各VLAN工作组的IP地址段,基于端口的VLAN划分还要为各VLAN组分配好交换机端口号。

基于端口、按职能部门划分VLAN,VLAN划分的部分情况可以表格形式给出,如表1所示。

表1 VLAN划分示意表

VLAN配置实现

为减少核心层交换机受到各个VLAN的影响、避免全网瘫痪,VLAN的配置在交换模块的接入层、汇聚层交换机实现。为便于说明配置过程,本文所涉及的交换机设备皆以Cisco公司24口网络交换机设备为例,针对jrcS1二层交换机、hjcS1三层交换机进行配置。

交换机VLAN配置分为以下几个步骤:(1)创建VLAN并配置默认网关IP地址。(2)将交换机端口划入相应VLAN。(3)配置Trunk连接,实现VLAN跨交换机通信。(4)启用三层路由功能。

当网络中交换机数量很多时,需要分别在每台交换机上创建很多重复的VLAN。工作量很大、过程很繁琐,并容易出错。为了简化配置操作,在实际工作中常采用VLAN中继协议(VLAN Trunking Protocol,VTP)来解决这个问题。VTP允许在一台交换机上创建所有的VLAN,然后,利用交换机之间的相互学习功能,将创建好的VLAN定义传播到整个网络中需要此VLAN定义的所有交换机上,同时,有关VLAN的删除、参数更改操作均可传播到其他交换机,从而可大大减轻网络管理人员配置交换机的负担。以下配置将汇聚层的三层交换机hjcS1设置成VTP服务器,其他交换机设置成VTP客户机。

1.交换机hjcS1简要配置命令如下:

配置VTP管理域的域名为“sxq1”:

hjcS1(config)#vtp domain sqx1

配置交换机hjcS1为VTP服务器:

hjcS1(config)#vtp mode server

激活VTP剪裁功能,使交换机自动删除没定义的VLAN数据:

hjcS1(config)#vtp pruning

定义各VLAN并起名:

hjcS1(config)#vlan 10

hjcS1(config-vlan)#name JWK

hjcS1(config)#vlan 20

hjcS1(config-vlan)#name XSK

hjcS1(config)#vlan 30

hjcS1(config-vlan)#name CWK

hjcS1(config)#vlan 40

hjcS1(config-vlan)#name ZWK

配置Trunk:

hjcS1(config)#interface range fa0/23-24

hjcS1(config-if-range)#switchport mode trunk

启用路由功能:

hjcS1(config)#ip routing

为各VLAN配置默认网关IP地址:

hjcS1(config-if)#interface vlan 10

hjcS1(config-if)#ip address 192.168.1.254 255.255.255.0

hjcS1(config-if)#interface vlan 20

hjcS1(config-if)#ip address 192.168.2.254 255.255.255.0

hjcS1(config-if)#interface vlan 30

hjcS1(config-if)#ip address 192.168.3.254 255.255.255.0

hjcS1(config-if)#interface vlan 40

hjcS1(config-if)#ip address 192.168.4.254 255.255.255.0

2.接入层二层交换机jrcS1简要配置如下:

配置管理IP并激活:

jrcS1(config)#interface vlan 1

jrcS1(config-if)#ip address 192.168.1.1 255.255.255.0

jrcS1(config-if)#no shutdown

设置默认网关地址:

jrcS1(config)#ip default-gateway 192.168.0.254

设置交换机成为VTP客户机:

jrcS1(config)#VTP mode client

将交换机1-10端口划入VLAN10:

jrcS1(config)#interface range fa0/1-10

jrcS1(config-if-range)#switchport mode access

jrcS1(config-if-range)#switchport access vlan 10

将交换机11-20端口划入VLAN20:

jrcS1(config)#interface range fa0/11-20

jrcS1(config-if-range)#switchport mode access

jrcS1(config-if-range)#switchport access vlan 20

配置23、24端口为Trunk端口:

jrcS1(config)#interface range fa0/23-24

jrcS1(config-if-range)#switchport mode trunk

通过以上在交换机的VLAN技术配置,在二层交换机jrcS1上可实现VLAN组之间的隔离。在汇聚层交换机hjcS1上启用路由功能可实现VLAN组之间通信,但如要限制某些VLAN组能通讯,同时使某些VLAN组不能通讯时,可以应用访问控制列表技术(ALC)进行控制实现。比如要求VLAN10、VLAN20间不能相互访问,但他们都能访问VLAN30这种情况,可以通过在汇聚层交换机hjcS1上建立ALC访问策略,并将策略应用到相应的VLAN端口来实现VLAN间的灵活访问控制,具体配置如下:

jrcS1 (config)#access-list101 permitip 192.168.1.0 0.0.0.255

192.168.3.0 0.0.255

jrcS1 (config)#access-list102 permitip 192.168.2.0 0.0.0.255

192.168.3.0 0.0.255

jrcS1(config)#int vlan 10

jrcS1(config-if)ip access-group 101 in

jrcS1(config)#int vlan 20

jrcS1(config-if)ip access-group 102 in

总之,VLAN技术充分体现了现代网络技术的重要特征:高速、灵活、管理简便和扩展容易,能有效解决校园网络设计中的各类功能需求。网络的虚拟化是未来网络发展的潮流,VLAN的技术应用值得我们继续探索与实践。

[1]谢希仁.计算机网络(第5版)[M].北京:电子工业出版社,2008.

[2]何文生.企业网搭建及应用[M].北京:电子工业出版社,2010.

[3](美)Vito Amato.思科网络技术学院教程[M].北京:人民邮电出版社,2000.

[4]甘刚.网络设备配置与管理[M].北京:清华大学出版社,2007.

[5]汪双项,韩立凡.中小型网络构建与管理(第1册)[M].北京:高等教育出版社,2006.

(本栏责任编辑:谢良才)

□有话职说

快乐是一个方向,不是一个地方。

—— 哈利斯

G712

A

1672-5727(2012)01-0172-02

吴显卫(1975—),男,广东阳江人,广东省轻工职业技术学校讲师,研究方向为中职专业教学模式及教学资源共享、经验积累与分享应用。

猜你喜欢
子网局域网校园网
考虑荷电状态的交直流微电网多模式协调控制策略
数字化校园网建设及运行的几点思考
轨道交通车-地通信无线局域网技术应用
基于VPN的机房局域网远程控制系统
试论最大匹配算法在校园网信息提取中的应用
子网划分问题研究及应用
基于VRRP和MSTP协议实现校园网高可靠性
航天器多子网时间同步系统设计与验证
基于802.1Q协议的虚拟局域网技术研究与实现
局域网性能的优化