基于三层交换技术及VLAN技术组建校园网

罗和华

摘要：随着校园局域网规模的扩大，大量的广播信息的出现导致网络传输效率低下，为了解决这个问题，产生了虚拟局域网技术（VLAN）。通过Vlan技术我们把校园网从逻辑上划分为多个子网，每个Vlan对应一个广播域，处于不同Vlan 上的主机不能通信，从而避免了校园网广播风暴的出现，Vlan之间通信传统上依赖路由器进行，而路由器路由速度较慢、复杂所造成的网络瓶颈问题，由此产生了三层交换技术。该篇论文立足于具体应用提出了基于虚拟局域网技术和三层交换技术来构建一个合理安全的校园园区网的实现方案。

关键词：虚拟局域网；VLAN；TRUNK；路由；三层交换机

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）03-0038-05

Based on the Layer 3 Exchange Technology and VLAN Technology Set Up Campus Network

LUO He-hua

（Guangzhou Senior Technical School， Guangzhou 510540， China）

Abstract： With the expansion scale of the campus Local Area Network ， a large number of broadcast information leading to lower network transmission efficiency， to solve this problem， resulting in a virtual LAN technology （VLAN）. Through technology of VLAN， we divided the campus network into many subnet mask logically， each Vlan corresponding to Broadcast domain， the host computer can not communicate with others which in different Vlan， thereby can avoid the appear of broadcast storm in campus network， the communication between VLAN traditionally depends on router， because of slower and complicated of routing， leading to bottlenecks problem of network. Therefore， resulting to The Layer 3 exchange technology. This paper based on specific application propose a implement plan for virtual local area network technology and The Layer 3 exchange technology to make a reasonable and safety campus network.

Key words： virtual local area network； VLAN； TRUNK； ROUTER； three layer switches

当今校园网（Campus Network）主要是由以太网组成。由于使用载波侦听多路访问/冲突检测（CSMA/CD）机制，故当网络上的主机不断增加时，主机间通讯故障的连锁影响、网络冲突严重、网络利用率大为降低、安全性能无法保证，更有甚者，当广播报文较多的情况下，广播风暴会造成网络崩溃。为了解决以太网存在的广播问题和网络安全的许多问题，我们目前常采用的组网技术是将园区网按照逻辑功能进一步划分为多个虚拟局域网（VirtualLocal Area Network，VLAN），这就是虚拟局域网技术。

1 虚拟局域网（VLAN）概念

VLAN（Virtual Local Area Network，即虚拟局域网）是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段，从而实现虚拟工作组的新兴技术。VLAN允许处于不同地理位置的网络用户加入一个逻辑子网中，共享一个广播域。

2 VLAN的划分方法及标准

VLAN在交换机上的实现方法，大致可分成以下几类：

1）基于端口划分。这种方法是根据以太网交换机的交换端口来划分的，它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC端口分成若干个组，每个组构成一个虚拟网。这是一个最常应用的方法，也是最有效的方法。

2）基于MAC地址划分。这种方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置其属于哪个组，实现的机制就是每一块网卡都对应唯一的MAC地址，VLAN交换机跟踪VLAN的MAC地址。这种方法适应于小型局域网。

3）按网络协议划分。VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种方法用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变；不足之处按协义划分的vlan可使广播域跨越多个VLAN交换机，容易产生大量的广播包，使VLAN交换机的效率降低。

3 三层交换机产生的原因

不同VLAN间的通信都要经过路由器来完成转发，随着网间互访的不断增加。单纯使用路由器来实现网间访问，不但由于端口数量有限，而且路由速度较慢，从而限制了网络的规模和访问速度。基于这种情况三层交换机便应运而生，三层交换机是为IP设计的，接口类型简单，拥有很强二层包处理能力，非常适用于大型局域网内的数据路由与交换，它既可以工作在协议第三层替代或部分完成传统路由器的功能，同时又具有几乎第二层交换的速度，且价格相对便宜些。笔者认为三层交换机是连接子网的最理想设备。

以上是建设虚拟网络的理论依据，但要应用到具体网络中还需要使用很多其它相关知识。下面来介绍综合运用VLAN、三层交换技术、ACL等技术来建立一个便于管理、安全、可靠的学校园区网。

4 应用实例

下面以中等规模校园网络系统设计方案为例，具体介绍如何利用三层交换技术及VLAN技术组建校园网。

假设校园网约有计算机300多台，我们假设这个校园分为教务处、多媒体室，电脑室、电子阅览室、财务处、服务器区，其中服务器4台，教务处有20台计算机，多媒体室约100台，电脑室共有计算机约100台，电子阅览室配有计算机100台，财务处有20台计算机。学校申请了一条百兆光纤接入互联网，同时申请了3个C的IP地址：

其中一个IP地址：193.1.1.1被分配给了Internet接入路由器的串行接口；另外两个IP地址：202.206.222.1—202.206.222.2用作NAT。

以下是300个节点的校园网vlan结构图：

图1 300个节点的校园网vlan结构图

4.1 校园网设计总体方案

1）网络设备连接

校园网由三层交换机、千兆交换机、二层交换机有机结合构成，采用三级交换技术，主干网由一台中心交换机（思科三层交换机3560G）和两台千兆交换机（思科2960）连接子网，子网使用二级交换机（思科2950）连接到工作站。

2）网络硬件设备参考

网络硬件设备参考如表1所示。

共划分为6个VLAN：

①VLAN 10：划分服务器区 （WEB服务器、数据库服务器、FTP服务器、DNS服务器）

②VLAN20：划分给教务处，约20台电脑，分配IP地址段：192.168.2.1-20；子网掩码：255.255.255.0；网关：192.168.2.254；

③VLAN 30：划分给电子阅览室，约100台，考虑以后扩充，分配IP地址段：192.168.3.1-150；子网掩码：255.255.255.0；网关：192.168.3.254；

④VLAN 40：划分给电脑室，约100台电脑，分配IP地址段：192.168.4.1-100；子网掩码：255.255.255.0；网关：192.168.4.254；指定3560光纤2端口。

⑤VLAN 50： 划分给多媒体室，约100左右台电脑，分配IP地址段：192.168.5.1-150；子网掩码：255.255.255.0；网关：192.168.5.254；

⑥VLAN 60：划分给财务处，约20台电脑，分配的IP地址段：192.168.6.1-30；子网掩码：255.255.255.0 网关：192.168.6.254.

各VLAN组对应的网段如表2所示：

4）交换机命名

核心三层交换机命名为3SW，接入服务器区的交换机为SW1，接入网络中心（多媒体室、电脑室、电子阅览室）的交换机为SW2，财务处交换机为sw1，多媒体室交换机为sw2，电脑室交换机为sw3，电子阅览室为sw4，教务处交换机为sw5.

4.2 交换机的配置

4.2.1 思科交换机配置界面

1）将PC计算机的串口通过标准的S232电缆和交换机的console端口连接。

2）运行超级终端程序，建立新连接（图2）。

3）设置通讯参数：9600波特率、8位数据位、1位停止位、无校验、无流控（图3）。

图2

图3

4）进入交换机命令行提示符，系统默认switch> ，这时可以对交换机进行配置了。

4.2.2 对核心交换机、千兆交换机、二层交换机进行配置工作

1）设置VTP Domain（核心、分支交换机都进行设置）

核心交换机（三层交换机）上：

Switch>enable //进入特权模式

Switch#configure terminal //进入配置模式

Switch（config）#service password-encryption //对密码进行加密

Switch（config）#Hostname 3SW //对核心交换机进行命名

3SW（config）#enable password 123456 //设置enable password为123456

3SW（config）#enable secret 654321 //设置enable secret 为654321

3SW（config）#ip routing //启用三层交换机上的路由模块

3SW（config）#exit //退出

3SW#vlan database //进入Vlan的配置子模式

3SW（vlan）#vtp server //设置本交换机为Server模式

Device mode already VTP SERVER.

3SW（vlan）#vtp domain school （设置域名）

Changing VTP domain name from NULL to school

3SW（vlan）#vtp pruning //启用修剪功能

接入服务器区的千兆交换机SW1的配置：

Switch>enable //进入特权模式

Switch#configure terminal //进入配置子模式

Enter configuration commands， one per line. End with CNTL/Z.

Switch（config）#service password-encryption //对密码进行加密

Switch（config）#hostname SW //对千兆交换机进行命名

SW（config）#enable password 123456 //设置enable password为123456

SW（config）#enable secret 654321 //设置enable secret为123456

SW（config）#exit //退出

%SYS-5-CONFIG_I： Configured from console by console

SW#vlan database //进入vlan的配置子模式

SW（vlan）#vtp domain school //设置域名，必须和Server交换机的域名相同

Changing VTP domain name from NULL to school

SW（vlan）#vtp client //设置此交换机的模式为client

Setting device to VTP CLIENT mode.

以相同的方法配置sw1，sw2，sw3，sw4，sw5，SW2

……

2）对核心交换机、千兆交换机、二层交换机上配置中继

核心交换机3SW上：

3SW（config）#interface gigabitEthernet 0/1 //进入0/1接口

3SW（config-if）#switchport trunk encapsulation dot1q //封装中继协议

3SW（config-if）#switchport mode trunk //配置trunk模式

3SW（config-if）#switchport trunk allowed vlan all //配置让所有的vlan通过

3SW（config-if）#no shutdown //激活端口

以相同的方法进入0/2、0/3、0/4、0/5、0/6接口、封装中继协议、配置trunk模式、让所有的vlan通过、激活端口。

……

其中0/3、0/4、0/5接口，要将其相对应端口3、4、5放到以太网通道组1中，配置语句如下（在配置让所有vlan通过和激活端口之间加入以下语句）：

3SW（config-if）#channel-group 1 mode on //把这个端口3、4、5放到以太网通道组1中

分支交换机上：

服务器区接入千兆交换机SW1：

SW1（config）#interface gigabitEthernet 1/1

SW1（config-if）#switchport mode trunk

SW1（config-if）#switchport trunk allowed vlan all

SW1（config-if）#no shutdown //激活端口

多媒体室、电脑室、电子阅览室接入千兆交换机SW2：

SW2（config）#interface gigabitEthernet 1/1

SW2（config-if）#switchport mode trunk

SW2（config-if）#switchport trunk allowed vlan all

SW2（config-if）#channel-group 1 mode on //把千兆口1放入以太通道组1中

SW2（config-if）#no shutdown //激活端口

SW2（config）#interface gigabitEthernet 1/2

SW2（config-if）#switchport mode trunk

SW2（config-if）#switchport trunk allowed vlan all

SW2（config-if）#channel-group 1 mode on //把千兆口2放入以太通道组1中

SW2（config-if）#no shutdown //激活端口

教务处二层交换机：

sw5（config）#interface fastEthernet 0/1

sw5（config-if）#switchport mode trunk

sw5（config-if）#switchport trunk allowed vlan all

sw5（config-if）#no shutdown //激活端口

财务处、多媒体室、电脑室、电子阅览室分支二层交换机配置方法如教务处。

……

3）创建VLAN：

在核心交换机上设置

3SW#vlan database //进入vlan配置模式

3SW（vlan）#vlan 10 name vlan10 //定义vlan并取名为vlan10

VLAN 10 added：

Name： vlan10

并以相同的方法创建vlan20、vlan30、vlan40、vlan50、vlan60

……

4）将分支交换机端口划分至具体的vlan中：

服务器区接入交换机SW1：

SW1（config）#interface range FastEthernet 0/1 - 24 //选择F0/1至F0/24口

SW1（config-if-range）#switchport mode access //配置F0/1至F0/24为访问模式

SW1（config-if-range）#switchport access vlan 10 //将F0/1至F0/24划分至vlan 10中

SW1（config-if-range）#no shutdown //激活端口

SW1（config）#interface gigabitEthernet 1/2 //选择G1/2口

SW1（config-if）#switchport access vlan 10 //将G1/2划分至vlan10中

SW1（config-if）#no shutdown

SW1（config-if）#end

%SYS-5-CONFIG_I： Configured from console by console

SW1#copy running-config startup-config //保存配置

多媒体室、电脑室、电子阅览室接入千兆交换机SW2配置方法与服务器区接入交换机SW1相同。

……

5）核心交换机的其他配置：

3SW（config）#interface vlan 10

3SW（config-if）#ip address 192.168.1.254 255.255.255.0 //vlan 10接口

3SW（config-if）#no shutdown //激活端口

以相同的方法进入相应的vlan20、vlan30、vlan40、vlan50、vlan60接口，激活相应的端口。

3SW（config-if）#interface gigabitEthernet 0/1 //进入端口1配置模式

3SW（config-if）#spanning-tree vlan 10 port-priority 10 //将vlan10的端口权值设为10，则vlan10走核心交换机端口的g0/1通过

以相同的方法配置端口2、3、4、5，将vlan20、vlan30、vlan40、vlan50、vlan60走相应核心交换机端口g0/2、g0/3、g0/4、g0/5、通过。

……

3SW（config）#interface vlan 60 //进入财务部vlan60的逻辑接口

3SW（config-if）#ip access-group 101 in //在入方向上使用扩展的访问控制列表101

3SW（config-if）#access-list 101 deny ip any 192.168.2.0 0.0.0.255 //禁止教务处访问规则加入访问控制列表101

相同的方法禁止电子阅览室、电脑室、多媒体室访问规则加入访问控制列表101

……

3SW（config-if）#access-list 101 permit ip any any //允许其他

3SW（config-if）#exit

3SW（config）#line con 0 //控制台端口设置

3SW（config-line）#line vty 0 4 //telnet线路0-4

3SW（config-line）#password 12345678 //telnet密码

3SW（config-line）#login

3SW（config-line）#end //返回全局模式

3SW#copy running-config startup-config //保存配置

6）连接互联网路由：

i：在核心交换机上配置相关路由（rip协议）

3SW（config）#interface gigabitEthernet 0/24 //F0/24与路由器相连

3SW（config-if）#no switchport //把此端口设置成路由口

3SW（config-if）#exit

3SW（config）#interface gigabitEthernet 0/24 //F0/24与路由器相连

3SW（config-if）#ip address 192.168.100.1 255.255.255.0 //设端口IP

3SW（config-if）#no shutdown //激活端口

3SW（config-if）#exit

3SW（config）#router rip //启用路由协议rip

3SW（config）#network 192.168.1.0 //与核心交换机直连的网段

类似方法192.168.2.0/3.0/4.0/5.0/6.0

……

3SW（config）#ip route 0.0.0.0 0.0.0.0 192.168.100.2 //缺省路由，所有在路由表中无法匹配的数据包，都发向下一跳地址为192.168.100.2 这个路由器

3SW（config）#exit

3SW#copy running-config startup-config //保存配置

ii.设置路由器至核心交换机的回程路由

Router>enable //进入特权模式

Router#configure terminal //进入全局配置模式

Enter configuration commands， one per line. End with CNTL/Z.

Router（config）#interface fa 0/0 //进入F0/0端口

Router（config-if）#ip address 192.168.100.2 255.255.255.0 //设置路由器内网IP

Router（config-if）#no shutdown //激活端口

Router（config-if）#exit //返回配置模式

Router（config）#ip route 192.168.1.0 255.255.255.0 192.168.100.1 //内网的路由

相同的方法配置192.168.2.0/3.0/4.0/5.0/6.0

……

Router（config）#exit

Router#copy running-config startup-config //保存配置

7）配置各计算机：

在各接入vlan的计算机上设置与所属vlan的同一网段的IP地址，并把默认网关设置为该vlan的接口IP地址。通过这样设置所有的vlan也都可以互访，但设置了访问控制的财务处与教务处、多媒体室、电脑室、电子阅览室是不可以互访的。

8）服务器区：

服务器区主要用来对校园网的接入用户提供各种服务。在校园网络设计中，我们将所有的服务器被集中到VLAN 10 构成服务器群并通过分别千兆交换机的端口fastethernet 1～24 接入校园网。

常见的校园网服务（服务器）包括：WEB 服务器：提供www学校网站服务；DNS服务器：提供域名解析服务；FTP文件服务器：提供教学资源、共享服务；数据库服务器：提供各种数据库服务。

对于各种服务器的安装、配置步骤以及运行维护方法，请有兴趣的可以参看有关参考书进行配置。

5 总结

在校园网的建设中，我们应该依据实际情况对VLAN进行划分，例如对于移动用户，我们可采用基于用户来划分VLAN，注意当交换机之间有冗余连接时，我们应该在交换机上配置生成树STP协议来避免网络环路，同时注意交换机哪些端口应该配置为Trunk模式/access模式，哪些端口要端口聚合，哪些网络要配置访问控制规则（ACL）等，在这个过程中我们还要考虑设备的性能、网络的用途、网络的规模、网络安全、管理等因素以及形成一套合理的、安全、可靠的校园网方案。有条件的学校，可以考虑主干网采用双星结构，同时采用最新的链路聚合技术，这样可以大大提高校园网的整体性能以及稳定性。充分体现现代网络技术的重要特征：高速、安全、便于管理和可扩充性。

参考文献：

[1] 林维忠-虚拟局域网（VLAN）技术[J].西部广播电视，2003（4）.

[2] 柴争义.VLAN技术及其在校园网中的应用[J].郑州工业高等专科学校学报，2003（6）.

[3] 张文虹.VLAN问路由的配置实现[J].中国金融电脑，2003（5）.

[4] 田均.企业网络中VLAN设计与管理[J].电脑与电信，2004（6）.

[5] VitoAmato.思科网络技术学院教程（下册）[M].北京：人民邮电出版社，2000.