张 华,王 炅
VLAN技术在高校图书馆网络中的应用
张 华,王 炅
(闽江学院 计算机科学系,福建 福州 350121)
VLAN技术是交换网络中一个非常重要的技术,合理地利用VLAN技术可以解决广播风暴和网络安全等问题,同时可以简化网络管理员的工作程序.介绍了2种VLAN中继的关键技术,以及VLAN的划分方式.结合闽江学院图书馆的网络规划实例,提出了一个低成本、可复制的图书馆网络规划方案,对其他院校图书馆网络部署具有一定的推广性.
虚拟局域网;虚拟局域网管理策略服务器;局域网;广播风暴
在科学技术日新月异的今天,随着计算机技术和网络技术的飞速发展,计算机网络作为信息社会的基础设施已渗透社会的各个领域.而高校图书馆作为高校的重要组成部分,如何架构和优化高校图书馆网络体系,如何利用计算机网络技术来提高网络管理效率,保证网络信息安全,已成为人们关注的热点问题.而在网络中合理利用VLAN技术,是目前大中型局域网建设、管理和应用不可缺少的重要组成部分.
VLAN(Virtual Local Area Network)也称“虚拟局域网”.VLAN是一个逻辑广播域,可跨越多个物理网 段.在交换型网络中,VLAN提供了分段和组织方面的灵活性.通过使用VLAN,可以按照部门、工作组和应用将工作站进行逻辑划分,而不需要考虑用户的物理位置.每个交换机端口只能属于一个VLAN,VLAN中的用户是通过局域网交换机来通信的.一个VLAN中的成员看不到另一个VLAN中的成员,同一个VLAN中的端口共享广播,但位于不同VLAN中的端口不共享.通过将广播限制在VLAN内,这进一步提高了安全性,同时也提高了网络的整体性能.
2.1 提高网络安全性
通过应用VLAN 技术可以将相对独立的部门归入到同一个VLAN中,例如可以将图书馆采编部的设备划分在一个VLAN中,这样在同一个部门之间的信息传输只能在同一部门内进行,从而减少了因广播泛洪而引起的信息泄露的几率,进而增强了网络的安全性.另外,在高校校园网中各个部门所要求的安全等级是不一样的,例如,高校图书馆和高校财务处的网络就有着不同的访问者,因此,我们可以应用VLAN 技术把财务处和图书馆网络分到不同的工作组中.再通过使用ACL(访问控制列表)技术对访问者的流量进行适当过滤,进而防止个别网段中的非授权用户访问这些信息,从而提高安全性.
2.2 控制网络广播风暴
如果没有应用VLAN技术,使用二层设备构建的局域网是一个大的广播域,局域网的内的任何一台工作站发送广播,根据CAM表的转发原则,该数据帧会向交换机除接收端口之外的其它所有端口泛洪.因此,随着网络设备的不断增多,网络上的广播域也随之增大,最终会造成传输延时、网络拥塞,进而影响网络的正常运行.而通过VLAN技术可以从逻辑上隔离广播域,缩小广播范围,控制广播风暴的产生.
2.3 提高网络管理效率
应用VLAN技术之前,网络管理员需要管理一个非常大的网络,网络中的任何位置出现故障,网络管理员的工作实施起来非常困难.而应用VLAN技术后,网络管理员通过配置一些简单的命令,将网络划分为若干独立的子网,网络管理员更容易找到有问题的组件,从而提高了网络管理和故障排除的效率.
2.4 隔离故障域
应用VLAN技术还有一个最重要原因就是可以减少网络故障的影响.在没有划分VLAN的网络中,一台产生故障的设备、网间环路,或者广播密集型应用都有可能潜在地影响整个网络,直至网络功能完全失效.为了解决这种网络失效,最有效的措施就是合理地将网络根据部门划分为若干VLAN,并在VLAN间设置三层设备(路由器或者三层交换机)实现路由.通过三层设备和VLAN,可以有效地防止故障问题从一个VLAN扩散到其它VLAN,同时又保持了VLAN之间路由流量的能力.
3.1 静态VLAN
静态VLAN也称为基于端口的VLAN,它要求使用VLAN管理应用或者命令行将交换机上面的指定端口分配到特定VLAN中,因为用户的主机属于哪个VLAN是根据交换机的端口属于哪个VLAN而定的.网络管理员首先把端口分配到不同的VLAN中,根据规划把用户的工作站与对应的端口相连,这样就把用户分配到了对应的VLAN中.尽管静态VLAN配置需要通过网络管理员手工输入变更,但是它们是非常安全和易于配置的,而且对网络管理员来说非常直观.如果网络中很少发生增加、移动或变更的情况,建议采用静态VLAN的分配方法.静态VLAN也是目前定义VLAN的最常用、简单有效的方法.
3.2 动态VLAN
目前最普遍的动态VLAN实现方法是基于MAC地址的,它是通过使用VMPS(VLAN Management Policy Server,VLAN管理策略服务器)来完成配置的.VMPS可以是一台具有此功能的高端交换机或是一台服务器,交换机或者服务器为主机端口分配VLAN的依据是VMPS中的源MAC地址到VLAN的映射关系.当启用VMPS的时候,交换机将从TFTP(Trivial File Transfer Protocol,简单文件传输协议)服务器下载MAC地址与VLAN的映射数据库,然后开始为客户端请求提供服务.当交换机支持动态VLAN的端口收到数据帧时,通过使用该数据帧的源MAC地址查询VMPS,从而建立起端口与VLAN的对应关系.动态端口在某个时刻只能属于单个VLAN.但是,由于VMPS需要维护终端工作站MAC地址和VLAN的映射关系,会产生非常高的管理开销,因此在实际网络部署中很少使用动态VLAN技术.
端口通常只能传输单个VLAN的数据流,当VLAN跨越多台交换机时,必须使用中继线将这些交换机连接起来,只有中继线才可以承载多个VLAN的数据流.目前有两种方式能够为二层数据帧标记各自的VLAN,进而能够让VLAN跨越整个网络.
4.1 IEEE 802.1Q
IEEE 802.1Q属于互联网IEEE 802.1下的标准规范,也称DOT.1Q,为多个网络设备厂家所遵循,为了能够承载多个VLAN的数据帧,802.1Q使用标记的方法.在原始的以太网帧的源地址字段和类型字段之间插入一个4字节的TAG(标记)字段,每个帧都被标记,进而识别帧所属的VLAN,由于802.1Q对帧进行了修改,所以每台中继设备都将根据修改后的帧重新计算FCS(帧校验序列).802.1Q帧格式如图1所示:
图1 802.1Q帧格式
802.1Q以太网报头Tag主要字段如下:
EtherType:类型标记字段,占2Bit,在802.1Q中,此值为0x8100;
PRI:优先级字段,占3Bit;
CFI:规范格式标示符字段,占1Bit,以太网中设置为0,令牌环网中设置为1;
VLAN ID:VLAN字段,占12Bit,用于标识不同VLAN的数据帧.
4.2 Cisco ISL(Inter-Switch Link)
与802.1Q标准不同,ISL是一种Cisco(思科)专有协议,它也能够互连多台用于承载VLAN流量的二层设备,ISL使用一种封装技术.在原始数据帧的前面封装26字节的头部,在数据帧的末尾增加4字节的FCS(帧校验序列).ISL数据帧包含两个FCS,其中一个FCS字段是原始发送设备产生,另外一个FCS是ISL干道端口产生,也称CRC校验.ISL只是对帧进行封装,而没有修改原始帧的任何内容.ISL帧格式如图2所示:
图2 ISL帧格式
ISL以太网报头Encapsulation主要字段如下(只描述了几个重要字段):
DA:目的地址字段,占40Bit,是一个组播地址,用来标识数据帧是ISL;
Type:封装数据帧的类型字段,占4Bit;
SA:源地址字段,占48Bit,发送数据的交换机传送帧的端口MAC地址;
VLAN:VLAN字段,占15Bit,用于标识不同VLAN的数据帧;
BPDU:桥协议数据单元字段,占1Bit,生成树算法决定网络拓扑的信息.
闽江学院图书馆是属于校园网的一个分支,图书馆内部主要有数图部、采编部、期刊部、流通部、办公室、多媒体电子阅览室等,考虑图书馆的实际业务需求,主要划分了8个VLAN,各VLAN的IP地址使用RFC1918定义的地址块,VLAN以及IP地址划分如表1所示:
表1 图书馆VLAN及IP地址规划表
图书馆总体采用星型网络拓扑结构,分为核心、汇聚和接入3层,但是由于图书馆网络规模不是很大,流量负载也不多,综合考虑设备利用率以及经济成本,最后在设计规划中,将核心层和汇聚层合二为一,核心层采用一台思科C3750-48PS-S三层交换机,接入层使用若干H3C S1626二层交换机.
传统网络规划中,一般会将接入层交换机按所属部门划入相应的VLAN中,例如数图部与核心交换机的F0/1端口相连,会将核心交换机的F0/1端口划入VLAN10中,但是这样设计的扩展性会比较差,如果数图部的接入交换机还有剩余端口就无法给其它部门使用了,所以本馆在规划网络时充分考虑这一点,将接入层交换机与核心交换机统一设置为Trunk模式,这样可以充分利用交换机的端口资源,具体的网络拓扑如图3所示:
主要配置如下:
Core(config)#vlan 10 //创建VLAN 10
Core(config-vlan)#name Tech //命名为Tech数图部
Core(config-vlan)#vlan 20 //创建VLAN 20
Core(config-vlan)#name Cata //命名为Cata采编部
……
Core(config)#interface range fastEthernet 0/1-10 //对1-10端口批量配置
Core(config-if-range)#switchport trunk encapsulation dot1q //选择中继为802.1Q
Core(config-if-range)#switchport mode trunk //选择模式为Trunk
……
Tech(config)#interface range f0/1-22 //对1-22端口批量配置
Tech(config-if-range)#switchport mode access //选择模式为Access
Tech(config-if-range)#switchport access vlan 10 //将端口划分到VLAN 10中
图3 图书馆网络拓扑图
在高校图书馆中合理地利用VLAN技术,将图书馆内各个部门从逻辑上进行划分,不仅能使网络更加安全、快速,而且也大大减轻了网络管理员的工作负担,保证各部门不同的业务要求和信息安全.闽江学院基于三层交换的VLAN图书馆网络方案可以满足全院师生的网络需求,为师生提供信息查询、书刊借阅、馆际互借与文献传递、多媒体资源等服务,师生反映良好.同时在设计规划中引入接入层与核心层的Trunk连接模式,极大的提高了接入交换机的端口利用率,实践证明它是图书馆网络体系的一个理想选择,而且,随着闽江学院图书馆二期建设的开展,大学城资源共享平台建设的步伐不断推进,VLAN技术将会得到更加广泛的应用和发展.
[1] McQuerry S.Cisco网络设备互连(ICND2) [M].李祥瑞,译.北京:人民邮电出版社,2008:11-19.
[2] 程光,李代强,强士卿.网络工程与组网技术[M].北京:清华大学出版社,2008:168-171.
[3] 李杰,王桃,杨文保.基于三层交换与VLAN的拓扑发现算法[J].计算机工程,2010,36(19):139-141.
The Application of VLAN in Campus Library Networks
ZHANG Hua, WANG Jiong
(Computer Science Department, Minjiang University, Fuzhou, Fujian 350121, China)
VLAN is a key technology in a switched network. It functions as a solution to broadcast storm and network security, which makes it an effective way to simplify Administrator’s work procedure. The paper introduces in detail the key technology in VLAN trunks and the two approaches to assigning VLAN membership. Then the paper illustrates the library network of Minjiang University. At the end of the paper, a less expensive and duplicable library network solution based on VLAN application is presented, which can promote the library network deployment in other universities.
Virtual Local Area Network; VLAN Management Policy Server; LAN; Broadcast Storm
(责任编校:李建明 英文校对:李玉玲)
TP393
A
1673-2065(2013)04-0027-04
2013-03-20
闽江学院科研项目(YSY12015); 福建省教育厅科技项目(JB12159)
张 华(1981-),女,江西吉安人,闽江学院计算机科学系馆员,工学硕士.