浅谈VLAN技术在校园网建设中的应用

摘 要：现今是计算机网络大发展时期，校园网建设也进入普及阶段。利用校园网可以实现网络办公、学生管理、学校教学等综合信息服务。VLAN技术是校园网建设中不可或缺的内容。VLAN技术最主要的功能就是减少广播、优化链路。本文将讨论在校园网建设中VLAN的具体实施方案。

关键词：校园网；VLAN技术；虚拟局域网

中圖分类号：TP393.18 文献标识码：A 文章编号：2096-4706（2018）11-0110-03

Analysis of the Application of VLAN Technology in Campus Network Construction

MA Rongping

（Bohai Shipbuilding Vocational College，Huludao 125105，China）

Abstract：Nowadays is the period of great development of computer network，campus construction also entered and stage. The campus network can be used to achieve comprehensive information services such as network office，student management and school teaching. VLAN technology is an indispensable content in campus network construction. The most important function of VLAN technology is to reduce broadcasting and optimize links. This paper will discuss the concrete implementation plan of VLAN in campus network construction.

Keywords：campus network；VLAN technology；virtual LAN

1 VLAN的功能及分类

VLAN又称为虚拟局域网，其功能是对连接到二层交换设备上的用户进行逻辑分段，它可以不受用户地理位置的限制，根据用户具体的网络需要进行逻辑分段。同一个VLAN的用户可以是连在同一台交换机上的用户，也可以是连接在不同交换机上的用户。基于交换机的VLAN技术主要功能就是减少广播、优化链路。一方面，在同一个VLAN中的用户即使物理位置不在一起也可以进行数据通信；另一方面，不在同一个VLAN上的用户即使被连接在同一交换机上也不能进行数据通信。两台主机想要进行数据通信，发送方必须知道接收方的IP地址和MAC地址，可目地MAC地址是通过发送方广播ARP请示帧来获取的。在教学楼中的所有用户设置VLAN及彼此通信之前，ARP请求帧将在整个教学楼内广播泛洪。在划分了VLAN之后，ARP请示帧将只在自身VLAN范围内进行广播，从而实现减少广播的目的。

同时，VLAN有很多类型，比如说数据VLAN、语音VLAN、无线AP VLAN、无线用户VLAN等。VLAN用在不同的位置会有不同的属性。例如，超级VLAN、私用VLAN、本地VLAN等主要用于VLAN的流量控制，而无线AP VLAN、无线用户VLAN、数据VLAN等主要用于分离广播和区分流量。在华为设备上进行VLAN流量控制的是主次VLAN，在锐捷设备上就叫超级VLAN，它们功能是一样的，只是名字不相同。

2 虚拟局域网的划分方法

从技术方面来讲，划分虚拟局域网的方法有六种：基于交换机端口进行的VLAN划分；基于主机MAC地址进行的VLAN划分；基于IP地址进行的VLAN划分；基于策略进行的VLAN划分；基于用户定义进行的VLAN划分；基于非用户授权进行的VLAN划分；基于网络协议进行的VLAN划分等。每种方法都有其优点和缺点。从企业应用方面来讲，基本都会使用基于交换机端口进行的VLAN划分。如果只是想隔离网段，也可以通过划分不同IP网段来实现网段隔离。基于IP地址的网段隔离，虽然也能实现这个功能，但是因为主机是连接在二层交换机上，交换机根本不能识别IP地址，所以在二层交换机上的ARP请求依然会进行广播泛洪。所以基于IP地址的网段隔离根本不能减少广播的产生。

3 局域网的拓扑结构及特点

局域网的主要拓扑结构有五种：总线型、环型、星型、树型和网状。总线型网络拓扑结构是最常见的一种。总线型网络又称以太网，顾名思义，连接在总线型网络拓扑结构中的结点都是通过链接同一电缆线进行数据通信。这种拓扑结构的最大缺点就是故障的诊断和隔离存在困难，总线上的任意一处故障都有可能导致网络瘫痪；星型网络拓扑结构中的所有结点都要连接到一个中央控制结点上，特点是结构简单、易于故障的诊断和隔离、方便管理和扩充。所以，多数的校园网多采用星型拓扑，而内部网络多采用树型结构。

4 校园网VLAN设计方案分析

根据网络的结构和校园网络的特点，可以把整个校园网分为内部局域网和外部资源共享网。内部局域网主要为校园内的老师和学生提供资源共享服务。外部资源共享网主要为内部局域网提供与Internet连接的接口。[1]为了使教学楼、办公楼、实验室、机房能够更好地进行通信，最好的方法就是划分VLAN。VLAN的划分不但可以隔离通信，而且能更有效地隔离病毒和防范外来侵犯。VLAN的设计方案会在一定程度上影响校园网的整体功能。下面我们利用图1所示的校园网拓扑结构图来说明VLAN设计的思路。

在设计校园网时，一定要减少二层广播、优化链路。二层广播有很多，但在网络中主要是指ARP请求。因为交换机对ARP请求没有抑制能力，只能全网泛洪，那么网络中的主机越多，广播的影响越大。因为ARP请求对于主机来说不是一次性的，而是周期性发送。

假设如上图，一个园区内有三栋楼，每个楼内都有相同的部门，如教学部、办公室、实验室、教室等。接下来我们要把它们连在一起，最常见的方法是采用交换机来实现园区网络框架的连接。园区网连接时，每个楼层都有一个接入层交换机，最后都要连接到每个楼的汇聚交换机上，通过汇聚交换机来控制和转发该楼层之间的流量，最终达到统一管理的目的。三个楼的汇聚交换机最终都要连到园区的核心交换机上，最终实现园区通信。

其中有一个最重要的问题是链路资源的占用，也就是我们常说的垃圾流，而垃圾流中最常见的就是广播。就像项目描述中介绍的，每个楼都有相同的部门，那么此时，我们不划分VLAN。假设教学楼A中一层的两台主机A和B想进行通信，则主机A需要知道主机B的IP地址，如果主机A不知道主机B的MAC地址，则主机A将发出ARP请求。而这个请求通过端口进入交换机会泛洪，不仅会泛洪给主机B，而且会泛洪给交换机上的所有成员。而且交换机也会把请求泛洪给汇聚交换机，而汇聚交换机接收之后会继续泛洪，最终泛洪到全园区范围。一个主机这样，所有主机都会这样。在有正常的业务之前，全网上已经充斥了这样的垃圾流。所以在这种情况下，我们必须减少广播。这就需要划分VLAN。VLAN在交换机上能真正的隔离二层广播。

VLAN划分的设计方案有很多且不固定。根据项目中的描述，假设我们按部门来进行VLAN的划分。教学部设为VLAN2、办公室设为VLAN3、实验室设为VLAN4、教室设为VLAN5。如果每个楼层都有这些部门，那么每层都要划分VLAN2、VLAN3、VLAN4、VLAN5。这种VLAN的划分方案简单、直观、便于管理。下面我们分析一下这种划分方案是否能做到广播抑制。在这种划分方案中，每台交换机之间都是trunk连接，从二层到汇聚到核心。因为相同VLAN之间进行通信，所有交换机上都是两层数据，在汇聚和核心交换机上的trunk端口属于本地所有VLAN成员。当教学楼A中同层VLAN的两台教学部主机1和2进行通信时，ARP请求在VLAN2中进行泛洪。同时，二层交换机也会通过trunk端口泛洪给汇聚交换机，而汇聚交换机通过trunk端口广播泛洪给全部园区内的VLAN成员，这种VLAN划分方案可以隔离VLAN2、VLAN3、VLAN4、VLAN5之间的广播泛洪，但VLAN广播依然可以泛洪到全部园区，这种VLAN划分没有达到隔离广播、优化链路的目标。

下面我们来讨论另一种VLAN划分设计方案——按楼层划分VLAN。例如一个楼层划分一个VLAN。教学楼A为VLAN2、VLAN3、VLAN4；教学楼B为VLAN5、VLAN6、VLAN7；教学楼C为VLAN8、VLAN9、VLAN 10。以教学楼A为例讨论广播泛洪。假设一层楼中的两台主机通信，广播泛洪整个楼层。同时通过trunk端口广播到教学楼A的汇聚交换机上，汇聚交换机通过trunk端口广播到各楼层二层交换机上。因为VLAN不同，广播到此为止。为了使其不在汇聚交换机上广播，我们要在trunk端口上做VLAN修剪，让广播局限于本地，让一台主机的ARP请求只在同一层进行广播，而不会泛洪到其它楼层。

在这种VLAN划分方案中，每个楼层划分成一个VLAN。这里还存在一个问题。因为每个楼层都有教学部、办公室、实验室、教室等。为了能让不同楼层的相同部门进行通信，我們需要在每栋楼的汇聚端口上做VLAN间通信。而VLAN间通信就是单播而不是广播了。如果之后做访问控制列表，则还可以控制哪些楼层可以相互通信。汇聚交换机连接核心交换机的端口选择使用路由，通过路由完全隔离广播，避免二层环路。通过这种方式构建的网络框架，能真正达到减少广播、优化链路的目的。

5 结 论

总之，在校园网中如果不划分VLAN，则会产生广播泛洪。如果想减少泛洪，则可以通过划分VLAN和IP地址段来实现。可后一种方法不能解决二层泛洪的问题。为了减少广播，在对VLAN进行划分后，还要做适当的VLAN修剪。在VLAN安全方面可以采用ACL来实现，例如让在同一个VLAN，相同IP地址段中的主机之间也不能进行通信。综上所述，适当的IP地址规划和VLAN划分方案，可以在一定程度上提高网络的整体性能，给网络管理带来诸多便利。

参考文献：

[1] 段红凯.VLAN在校园网安全体系构建中的应用研究 [J].计算机光盘软件与应用，2011（15）：13.

[2] 周灵，伍晓平.刍议校园计算机常见网络安全问题及其解决方法 [J].现代信息科技，2018，2（3）：150-151.

作者简介：马蓉平（1976-），女，汉族，云南昆明人，副教授，本科。研究方向：计算机网络。