《VLAN技术及其在校园网中的应用》由会员分享,可在线阅读,更多相关《VLAN技术及其在校园网中的应用(4页珍藏版)》请在金锄头文库上搜索。
1、1VLAN 技术及其在校园网中的应用【摘要】随着网络硬件性能的不断提高、成本的不断降低,目前局域网基本上都采用了性能先进的硬件设备。其核心交换机一般采用三层交换机,它能很好地支持虚拟局域网(VLAN)技术。作为一门新兴的网络技术,VLAN 的出现使得组网更加灵活和安全,减少管理员的工作负担,基于交换机的虚拟局域网技术能够为局域网解决冲突域、广播域、带宽等问题。本文主要讨论 VLAN 的概念、主要功能、划分方法和其在校园网的应用。毕业论文 英语论文【关键词】VLAN;校园网;广播域;广播风暴当前计算机网络技术迅速发展,其中以方便、快捷、灵活、高效的组网特点而著称的虚拟局域网技术(VLAN)一经
2、提出就得到了人们的关注。VLAN 技术在很大程度上解决了网络建设上遇到的很多实际问题,其在局域网中的应用越来越广泛。校园网作为园区网的典型,其规模正逐渐地由中小型向大中型发展和过渡,这样就决定了它的组网在技术上的多样性与复杂性,其不仅要考虑物理上各网段的连接,还要考虑建立在各种网络协议上子网的互联。同时,校园网访问方式多、用户群庞大、网络行为突发性高,为了保证校园网的正常运行和安全,本文主要针对校园网的特点和传统局域网局限,重点介绍了基于 VLAN 技术构建校园网络的应用。一、传统 LAN 的局限在传统的局域网(LAN)中,由于各站点共享传输信道所造成的信道冲突和发生在网络第三层的广播风暴问题
3、成为影响网络性能的重要因素。针对该问题,交换机(或网桥)和路由器被广泛应用于局域网中。交换机(网桥)连接属于同一逻辑子网的2网络,再由路由器连接不同的逻辑子网。然而在同一个逻辑子网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费可贵的带宽;并且对广播风暴的控制和网络安全只能在第三层的路由器上实现;由于逻辑子网间的通信必须经路由器进行,所以这样会产生延时,而且路由器也会产生瓶颈。在由路由器连接不同的逻辑子网的网络结构中,由集线器、粗、细缆构成的物理网络与逻辑子网相对应,通常一个 m 子网属于一个由物理网络来划分的广播域。由于站点被束缚在所处的物理网络中,不能根据需随意的划分至相应的逻辑
4、子网。当网络的物理结构发生变化时,比如网络中的工作站移动、增加、改变等会加重网络管理的负担,并导致网络的综合性能下降。同时,大通信量、低延时的要求使得网络的带宽越来越不够。综上所述,针对传统 LAN 存在的问题,提出了虚拟局域网的概念,能够很好的解决这些网络问题。二、VLAN 的概念和原理VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过逻辑而不是物理地将局域网划分成一个个的网段,从而实现虚拟工作组的一种新兴交换技术。VLAN 与普通局域网从原理上讲没有什么不同,但从用户使用和网络管理的角度来看,VLAN 与普通局域网最基本的差异体现在:VLAN 并不局限
5、于某一网络或物理范围,VLAN 中的用户可以位于一个局域网中的任何位置。IEEE 于 1999 年颁布了用以标准化 VLAN 实现方案的 8021Q 协议标准草案。三、VLAN 技术的优点VLAN 的优点主要体现在以下三个方面:3(一)控制广播风暴。网络管理必须解决因大量广播信息带来带宽消耗的问题。VLAN 作为一种网络分段技术可将广播风暴限制在一个 VLAN 内部,避免影响其他网段。与传统局域网相比,VLAN 能够更加有效地利用带宽。在 VLAN 中,网络被逻辑地分割成广播域,由 VLAN 成员所发送的信息帧或数据包仅在 VLAN 内的成员之间传送,而不是向网上的所有工作站发送。这样可减少主
6、干网的流量,提高网络速度。(二)增强网络的安全性。共享式 LAN 上的广播必然会产生安全性问题,因为网络上的所有用户都能监测到流经的业务,用户只要插入任一活动端口就可访问网段上的广播包。采用 VLAN 提供的安全机制,可以限制特定用户的访问,控制广播组的大小和位置,甚至锁定网络成员的 MAC 地址,这样,就限制了未经安全许可的用户和网络成员对网络的使用。(三)增强网络管理。采用 VLAN 技术,使用 VLAN 管理程序可对整个网络进行集中管理,能够更容易地实现网络的可管理性。用户可以根据业务需要快速组建和调整 VLAN。当链路拥挤时,利用管理程序能够重新分配业务。管理程序还能够提供有关工作组的
7、业务量、广播行为以及统计特性等的详尽报告。对于网络管理员来说,所有这些网络配置和管理工作都是透明的。VLAN 变动时,用户无需了解网络的接线情况和协议是如何重新设置的。VLAN 还能减少因网络成员变化所带来的开销,在添加、删除和移动网络成员时,不用重新布线,也不用直接对成员进行配置。若采用传统局域网技术,那么当网络达到一定规模时,此类开销往往会成为管理员的沉重负担。四、VLAN 划分方式的类型及特点4VLAN 的划分方式很重要,在设计和建设 VLAN,实现 VLAN 应用时,首先要决定如何划分 VLAN,即依据什么标准来组织 VLAN 成员。如图 1 所示,VLAN 的划分示例。下面介绍 4
8、种常见的划分方式,不同的划分方式代表不同的 VLAN 实现类型:(一)按端口划分 VLAN。这是构成 VLAN 的最简单的方式。在此方式中,可以将分属不同交换机端口的物理网段划分为同一个 VLAN,这样一个 VLAN 对应交换机端口的一个子集合。借助网络管理软件,根据交换机端口的标识符,将不同的端口划分为相应组。这种 VLAN 的优点是实现简单、容易监控,且一个端口发出广播,VLAN 内的其他端口都能收到,但这种方式缺乏智能及灵活性。比如,不能在给定的端口上支持一个以上的 VLAN。(二)按 MAC 地址划分 VLAN。这种方式的 VLAN 就是一些 MAC 地址的集合,当网络站点移动时它解决
9、了这样的问题,要求交换机对站点的 MAC 地址和交换机端口进行跟踪。初始化时,对连接于交换机端口的工作站,交换机在 VLAN 的管理信息库的 MIB 中检查 MAC 地址,动态的匹配该端口到相应的 VLAN 中,实现 VLAN 对站点的识别和跟踪,但所有的站点必须明确的分配给一个 VLAN,只有这种配置工作完成以后,对站点的自动识别才成为可能。一个大型网络,要求人工配置 VLAN 的工作量大而烦琐。(三)基于网络层划分 VLAN。可以基于网络层来划分 VLAN,有两种方案,一种按协议(如果网络中存在多种协议)来划分;另一种是按网络层地址(最常见的是TCPIP 中的子网段地址)来划分。建立 VL
10、AN 也可使用与管理路由相同的策,根据 IP 子网、IPX 网络号及其他协议划分 VLAN。同一协议的工作站划分为一个VLAN,交换机检查广播帧的以太帧标题域,查看其协议类型,若已存在该协议5的 VLAN,则加入源端口,否则,创建一个新的 VLAN。这种方式构成的AN,不但大大减少了人工配置 VLAN 的工作量,同时保证了用户自由地增加、移动和修改。不同 VLAN 网段上的站点可属于同一 VLAN,在不同 VLAN 上的站点也可在 同一物理网段上。利用网络层定义 VLAN 缺点也是有的,与利用 MAC 地址的形式相比,基于网络层的VLAN 需要分析各种协议的地址格式并进行相应的转换。因此,使用
11、网络层信息来定义 VLAN 的交换机要比使用数据链路层信息的交换机在速度上占劣势。(四)基于规则的 VLAN。也称为基于策略的 VLAN。这是最灵活的 VLAN 划分方法,具有自动配置的能力,能把相关的用户连成一体,在逻辑划分上称为“关系网络”。网络管理员只需在网管软件中确定划分 VLAN 的规则(或属性),那么当一个站点加入网络中时,将会被“感知”,并被自动地包含进正确的 VLAN 中。同时,对站点的移动和改变也可自动识别和跟踪。采用这种方式,整个网络可以非常方便地通过路由器扩展网络规模。五、校园网特点及 VLAN 划分(一)校园网的现状及其存在的问题。笔者结合自己所在的学校,说明一些目前校
12、园网的发展现状及其特点:随着学校自身的发展及规模的扩大,作为园区网的典型,校园网正逐渐地由中小型向大中型发展和过渡,这样就决定了它的组网在技术上的多样性与复杂性,其不仅要考虑物理上各网段的连接,还要考虑建立在各种网络协议上子网的互联。另外,随着校园网内的计算机数量的增加,VOD 视频点播在多媒体课堂教学上的大量应用,网络中广播包的数量也会急剧增加,当广播包的数量占到总量的 30时,网络的传输效率将会明显下降。特别是当某网络设备出现故障后,会不停地向网络发送广播,从而导致网络风暴,使网络通信陷于瘫痪。当校园网络内计算机数超过 200 台后,就必须采取措施将网络分隔开来,将一个大的广播域划分成若干
13、个小的广播域。最后是校园网的安全性问题,特别是蠕虫6病毒大规模的爆发,会使整个校园网处于严重负荷状态,导致整个网络不可用,严重影响校园网的性能。此外,大学生在校园网中存在两种攻击行为:无意识的和有意的。他们的好奇心比较强,也有一定的理论知识,喜欢在网上尝试一些攻击软件的使用,很可能造成整个校园网的瘫痪。如图 2 是部分网络拓扑图:(二)配置策略。由于 VLAN 技术允许网络管理者将一个物理的局域网逻辑地划分成不同的广播域(或称虚拟局域网,即 VLAN),所以每一个 VLAN 可以都是按照校园的一个职能部门来划分,包含着一组具有相同工作特点的计算机。由于它是按功能划分而不是按物理地划分,所以同一
14、个 VLAN 内的各个工作站无须被放置在同一个物理空间里,这些工作站不一定属于同一个物理局域网网段。一个 VLAN 内部的广播和单播流量都不会转发到其他 VLAN 中,因此可以控制流量、减少设备投资、简化网络管理、提高网络的安全性。根据具体应用,提出如下校园网 VLAN 的配置策略:一是以工作站和服务器的逻辑归属划分 VLAN。如按部门、系、处等,尽可能地将同一工作性质的用户集中在一个 VALN 中,以减少跨 VLAN 的访问,提高网络的效率。二是按某项应用的覆盖范围配置所要求的 VLAN。如学校的选课应用,不同地点选课可以将进行选课的数个机房所对应的交换机端口设为一个VLAN。选课活动在物理
15、上可跨几个网段,但在逻辑上属于一个子网。根据校园网的具体情况,为了达到信息流量的控制,并提供良好的安全性,通过对网络逻辑结构进行分析和合理划分,在高校校园网中应用比较广泛的是基于端口的 VLAN,采用基于端口 VLAN 技术对校园内部网络不同部门之间进行逻辑隔离,同时抑制广播风暴。在接入层交换机采用基于端口的 VLAN 划分和隔离用户,在汇聚层或核心层通过三层交换机采用 VLAN 路由进行通讯,达到灵活通讯和管理控制各网段机器的目的。本校的校园网采用基于物理端口进行 VLAN 的划分,来7提高校园网络的工作效率。如图 3 所示:六、VLAN 技术在校园网中的局限性随着计算机网络技术的迅速发展,
16、多种技术之间的竞争非常激烈,没有种技术的发展是一帆风顺的,VLAN 技术也不例外,其发展中也存在着一些局限:比如采用交换结构的局域网通常采用一个主路由器负责 VLAN 之间的数据通信。在大型局域网中,当有较大的数据流通过各 VLAN时,主路由器的负荷很重,长此以往,网络整体的性能,如稳定性会下降。如果发生主路由器崩溃或故障时,各 VLAN 之间将无法正常通信。另外,校园网用户的日益增加,用户对于网络数据通信的安全性提出了更高的要求,诸如防范黑客攻击、控制病毒传播等,都要求保证网络用户通信的相对安全性;传统的解决方法是给每个用户分配一个 VLAN 和相关的 IP 子网,通过使用VLAN,每个客户被从第 2 层隔离开,可以防止任何恶意的行为和 Etllemet 的信息探听。然而,这种分配每个客户单一 VLAN 和 IP 子网的模型造成了巨大的可扩展方面的局限。这些局限主要有下述几方面:(1)VLAN 的限制:目前 IEEE8021Q 标准中所支持的 VLAN 数目最多为 4,094 个,用户数量受到限制,且不利于网络的扩展。(2)复杂的 STP:对于每个
