浅议基于VLAN技术的校园网规划

戚柏江

摘 要：在Internet/intranet飞速发展的今天，校园网在学校日常工作中发挥着很大的作用。但随着校园网规模的扩大，也出现了各种问题，比如广播风暴、IP地址冲突、网络安全等等。本文通过探讨VLAN技术，论述了如何在校园规划建设中运用VLAN技术，简化校园网的管理及提高网络的安全性。

关键词：VLAN 校园网 网络安全 IP地址

在Internet/intranet飞速发展的今天，网络已经成为人们快速获取、发布和传递信息的重要渠道，成为人们生活中不可或缺的一个部分，更在一定程度上改变了学校的管理模式、教学模式、学习方式和师生的生活方式。面对信息化校园建设的大趋势，很多学校都把校园网作为重点建设项目。而随着校园网中计算机、交换机等网络设备数量的大量增加，给网络流量带来压力的同时，使得互联网出现了诸如广播风暴、IP地址的冲突等问题和故障，影响了正常使用。VLAN作为校园网中最常使用的一种技术，能有效规避上述风险，保护不同部门之间的信息，提高网络性能，增强网络安全性。

一、VLAN技术简介

1. VLAN的概念

VLAN（Virtual Local Area Network），即“虚拟局域网”，是指在交换局域网的基础上，采用网络治理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。VLAN 与传统网络最本质的区别就在于它可以在一个物理网络中，根据工作组、应用等因素从逻辑上将用户进行划分的局域性网络。网络用户就可以打破地域限制，像在一个空间中那样快速、安全地通信。

2.VLAN的技术优势

（1）提升网络性能。身处局域网络时，当信道中广播包的数量占到总量的30%时，网络的传输效率将会下降甚至形成广播风暴，引起网络堵塞而如果使用VLAN，把经常通信的站点划分到同一VLAN下，那么就可以把广播限制在一个VLAN内，从而提高宽带的使用率。

（2）提高网络整体安全性。在一所学校内，我们常常需要对财务室和其他部室的计算机网络进行不同的安全评估，同时要求将财务室的网络进行相应隔离，避免数据泄露。VLAN 能很好地解决这个问题。如根据用户访问权限的大小和使用时段的分配，将其划分在不同VLAN 中，不同VLAN之间就不能直接通信，从而确保网络的安全性。

（3）方便网络管理。在整个局域网中，VLAN用户假如移动位置，就不需要重新布线和调试，只要在交换机上重新分配相应端口到该VLAN就可以了。

3.VLAN的划分方式

（1）基于端口。这就意味着是以局域网交换机的端口来作为VLAN的划分因素。VLAN的管理员必须熟知各个端口的ID，将不同的端口分到对应的分组中。这种VLAN方式简单，容易实现，也便于直接监控，但使用者不能自由移动。

（2）基于MAC 地址。MAC地址是指网卡的“身份证”， 并且是唯一的、固定在网卡上。一般情况下，MAC地址由48位二进制数构成，前24位为厂商标识，后24位为网卡标识。在应用中，交换机可以随机读取MAC地址，把相关的主机分配到一个VLAN中。与基于端口不同的是，一旦划分，用户可移动使用而不受影响。

（3）基于网络层的VLAN划分。通过每个主机的网络层协议或IP地址来确定VLAN，这种VLAN定义方式比上述两种更加灵活。以IP为例，可以设置192.168.1.X，掩码255.255.255.0为VLAN1，设置192.168.2.X，掩码255.255.255.0为VLAN2。这种方法，同样拥有用户物理位置改变而不需重新配置的优点。但是相对的，这种方式效率就较低，需要管理耗费较多的时间检查每一个数据包的网络层地址。

就目前来说，第（1）、（3）种方式是划分VLAN的主要方式，第（2）种方式为辅助性的方案。

二、校园网实例分析

1.校园网原状

笔者学校现校舍为1999年新建，在施工时，已将校园网硬件线路铺设在内。限于当时网络技术发展的状况，设计比较简单，采用双绞线加普通的交换机和HUB来联通整个网络，再用光纤接入到慈溪教育城域网。在当时接入节点少、网络应用少、网络流量小的情况下，一些简单应用基本也能应付。但随着网络技术的不断发展，网络流量和应用大增，网络负荷不断加大，教师和学生的网络应用水平也在不断地提升，出现了各种问题。如学生上网时会通过网络邻居，查看或者修改教师电脑里的内容；部分学生会因为上网查看不健康的信息，导致病毒的入侵，影响网络运作；教师会利用大量的空余时间上网冲浪，在一定程度上影响了教师备课的进度。

在这种形势下，学校的原校园网明显已经不能适应新的时代，而基于VLAN技术规划的网络则能比较好地解决前面这些困扰。所以在原网的基础上，学校重新规划整理并建设了基于VLAN技术的校园网。

2.新网整体规划

如下图所示是笔者学校校园网拓扑结构图。校园网采用千兆级骨干，百兆到桌面的交换式网络架构。设计上采用3层结构方式。核心层采用神州数码的DCRS-6808准电信级的核心路由交换机，提供了强大的数据交换处理的能力，保障网络系统的稳定无故障的工作；骨干汇聚层采用神州数码DCS-3900S，可网管的L2交换机，具有强大的包过滤功能，能够很好地保护核心设备，同时能够千兆上联核心交换机；用户接入层采用神州数码的DCS-3600系列网管交换机，实现100M到桌面，具有强大的稳定性和良好性价比。Internet接入则采用教育网专线方式，在接入时采用神州数码DCFW-1800E，具有良好的保护内部网络，减少非法入侵的作用。同时采用上网行为管理设备——深信服（SINFOR M5400），实现内部用户对互联网访问行为和认证的全面管理。

图 慈溪职业高级中学校园网拓扑图

3.VLAN划分endprint

学校划分VLAN的做法如下。首先，在网络规划与网络配置时确定校园网各VLAN中计算机的IP地址取值范围，由于要考虑校园网与慈溪教育城域网之间的无缝连接和学校的具体计算机信息点数，以便今后能在慈溪教育城域网范围内开展一些特殊应用，故学校一开始就向慈溪教育城域网中心申请了10.55.2.0/24和10.55.224.0/20两个IP地址段。

其次考虑到学校具体情况，把10.55.2.0/24网段划分为一个VLAN，专用于网络管理中心的具体几台服务器，又在应用中为224、225、226、……239等网段划分了若干个VLAN，如一个VLAN用于教师办公室区域的，一个VLAN用于行政组，其他如图书馆管理系统、教学楼一区、教学楼二区、机房、教师宿舍区、财务室、实训楼等也分别划分了VLAN。

4.VLAN访问控制与IP地址分配

在校园网的核心层和汇聚层交换机的接口上建立访问控制列表（ACL）来实现VLAN之间的访问控制，决定哪些用户数据流可以在VLAN之间进行交换，以及最终到达核心层。比如行政组屏蔽其他VLAN的访问，财务区等一些比较重要的部门，拒绝机房VLAN访问，以确保整个网络的安全。

同时，结合学校的实际情况，由于老师们现在都具有一定的网络基础知识，比如修改IP地址等。学校将一个办公室作为一个控制组，在接入层交换机上配置基本访问控制列表，ACL表中被允许的IP地址段可以访问网络，被禁止的IP地址段不可以访问网络。将ACL访问规则运用到连接办公室的端口上。并将分配的IP地址段下发给各办公室，让办公室用户根据办公室IP地址段手动配置IP地址，从而让IP地址冲突的可能性降到最低。

三、结束语

作为最常用的局域网技术之一，兼具灵活性和可靠性的VLAN技术为校园网的建设提供了有效的助益。不仅为整个校园网的使用和配置带来了快速、安全，也降低了校园网的维护和管理成本。但是，校园网VLAN技术的使用，还需要结合本校实际，考虑到校园网络的多样性、复杂性、效率性、业务性等特殊原则。目前VLAN的使用基本上能满足校园网络的需求，相信随着校园网用户数量的不断增多，VLAN技术将会得到更加广泛的应用和发展。

参考文献：

[1]张水平.计算机网络原理[M].北京：清华大学出版社，2005.

[2]王保顺.校园网设计与远程教学系统开发[M].北京：人民邮电出版社，2003.

[3]李晔.VLAN的产生及发展[J].科学之友，2011（10）.

[4]魏麟.VLAN技术在校园网中的应用[J].计算机应用工程技术，2008（2）.

[5]江克宇.浅析划分VLAN的技巧及应用[J].福建电脑，2010（12）.

（作者单位：慈溪职业高级中学）endprint

学校划分VLAN的做法如下。首先，在网络规划与网络配置时确定校园网各VLAN中计算机的IP地址取值范围，由于要考虑校园网与慈溪教育城域网之间的无缝连接和学校的具体计算机信息点数，以便今后能在慈溪教育城域网范围内开展一些特殊应用，故学校一开始就向慈溪教育城域网中心申请了10.55.2.0/24和10.55.224.0/20两个IP地址段。

其次考虑到学校具体情况，把10.55.2.0/24网段划分为一个VLAN，专用于网络管理中心的具体几台服务器，又在应用中为224、225、226、……239等网段划分了若干个VLAN，如一个VLAN用于教师办公室区域的，一个VLAN用于行政组，其他如图书馆管理系统、教学楼一区、教学楼二区、机房、教师宿舍区、财务室、实训楼等也分别划分了VLAN。

4.VLAN访问控制与IP地址分配

在校园网的核心层和汇聚层交换机的接口上建立访问控制列表（ACL）来实现VLAN之间的访问控制，决定哪些用户数据流可以在VLAN之间进行交换，以及最终到达核心层。比如行政组屏蔽其他VLAN的访问，财务区等一些比较重要的部门，拒绝机房VLAN访问，以确保整个网络的安全。

同时，结合学校的实际情况，由于老师们现在都具有一定的网络基础知识，比如修改IP地址等。学校将一个办公室作为一个控制组，在接入层交换机上配置基本访问控制列表，ACL表中被允许的IP地址段可以访问网络，被禁止的IP地址段不可以访问网络。将ACL访问规则运用到连接办公室的端口上。并将分配的IP地址段下发给各办公室，让办公室用户根据办公室IP地址段手动配置IP地址，从而让IP地址冲突的可能性降到最低。

三、结束语

作为最常用的局域网技术之一，兼具灵活性和可靠性的VLAN技术为校园网的建设提供了有效的助益。不仅为整个校园网的使用和配置带来了快速、安全，也降低了校园网的维护和管理成本。但是，校园网VLAN技术的使用，还需要结合本校实际，考虑到校园网络的多样性、复杂性、效率性、业务性等特殊原则。目前VLAN的使用基本上能满足校园网络的需求，相信随着校园网用户数量的不断增多，VLAN技术将会得到更加广泛的应用和发展。

参考文献：

[1]张水平.计算机网络原理[M].北京：清华大学出版社，2005.

[2]王保顺.校园网设计与远程教学系统开发[M].北京：人民邮电出版社，2003.

[3]李晔.VLAN的产生及发展[J].科学之友，2011（10）.

[4]魏麟.VLAN技术在校园网中的应用[J].计算机应用工程技术，2008（2）.

[5]江克宇.浅析划分VLAN的技巧及应用[J].福建电脑，2010（12）.

（作者单位：慈溪职业高级中学）endprint

学校划分VLAN的做法如下。首先，在网络规划与网络配置时确定校园网各VLAN中计算机的IP地址取值范围，由于要考虑校园网与慈溪教育城域网之间的无缝连接和学校的具体计算机信息点数，以便今后能在慈溪教育城域网范围内开展一些特殊应用，故学校一开始就向慈溪教育城域网中心申请了10.55.2.0/24和10.55.224.0/20两个IP地址段。

其次考虑到学校具体情况，把10.55.2.0/24网段划分为一个VLAN，专用于网络管理中心的具体几台服务器，又在应用中为224、225、226、……239等网段划分了若干个VLAN，如一个VLAN用于教师办公室区域的，一个VLAN用于行政组，其他如图书馆管理系统、教学楼一区、教学楼二区、机房、教师宿舍区、财务室、实训楼等也分别划分了VLAN。

4.VLAN访问控制与IP地址分配

在校园网的核心层和汇聚层交换机的接口上建立访问控制列表（ACL）来实现VLAN之间的访问控制，决定哪些用户数据流可以在VLAN之间进行交换，以及最终到达核心层。比如行政组屏蔽其他VLAN的访问，财务区等一些比较重要的部门，拒绝机房VLAN访问，以确保整个网络的安全。

同时，结合学校的实际情况，由于老师们现在都具有一定的网络基础知识，比如修改IP地址等。学校将一个办公室作为一个控制组，在接入层交换机上配置基本访问控制列表，ACL表中被允许的IP地址段可以访问网络，被禁止的IP地址段不可以访问网络。将ACL访问规则运用到连接办公室的端口上。并将分配的IP地址段下发给各办公室，让办公室用户根据办公室IP地址段手动配置IP地址，从而让IP地址冲突的可能性降到最低。

三、结束语

作为最常用的局域网技术之一，兼具灵活性和可靠性的VLAN技术为校园网的建设提供了有效的助益。不仅为整个校园网的使用和配置带来了快速、安全，也降低了校园网的维护和管理成本。但是，校园网VLAN技术的使用，还需要结合本校实际，考虑到校园网络的多样性、复杂性、效率性、业务性等特殊原则。目前VLAN的使用基本上能满足校园网络的需求，相信随着校园网用户数量的不断增多，VLAN技术将会得到更加广泛的应用和发展。

参考文献：

[1]张水平.计算机网络原理[M].北京：清华大学出版社，2005.

[2]王保顺.校园网设计与远程教学系统开发[M].北京：人民邮电出版社，2003.

[3]李晔.VLAN的产生及发展[J].科学之友，2011（10）.

[4]魏麟.VLAN技术在校园网中的应用[J].计算机应用工程技术，2008（2）.

[5]江克宇.浅析划分VLAN的技巧及应用[J].福建电脑，2010（12）.

（作者单位：慈溪职业高级中学）endprint