1、江西現代職業技術學院畢業設計（論文）題 目：基于VLAN的小型校園網設計姓 名 學 院 專 業 班 級 指導 教師 提交 時間 論文題目:基于VLAN的小型校園網設計姓名：班級：指導老師：摘要:目前校園網正處于一種高速發展之中,在校園網絡中實施VLAN技術，可以提高網絡管理效率、性能、帶寬及靈活性, 同時還能控制廣播風暴, 提高校園網安全性能。本文結合高校校園網的特點，從IP 規劃、網絡架構設計、協議選擇、網絡設備配置等方面對校園網進行了規劃和設計，并對VLAN技術在校園網中的應用作了較為詳細的描述。本文在設計中，采用了VLAN技術，通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實

2、現虛擬工作組, 在不改動網絡物理連接的情況下可以任意移動工作站組成新的邏輯工作組或虛擬子網，從而提高了系統的運作性能, 起到了均衡網絡數據流量, 合理利用網絡資源的作用。有效利用VLAN 技術，根據不同需要實施不同策略，統籌規劃，科學設計，完全可以建設穩定性好、管理性強、安全性高的校園網絡。關鍵詞：校園網 VLAN 端口目錄一、概述1（一）VLAN技術背景1（二）本課題的意義4二、VLAN技術的討論5（一）TRUNK鏈路技術5（二）VTP協議6（三）VLAN的幀標識8（四）VLAN之間的通信10（五）VLAN的劃分方式12（六）VLAN間通信16三、VLAN技術在校園網中的設計18（一）網絡設

3、備的選擇18（二）校園網絡的設計19（三）校園網IP的規劃20（四）VLAN在網絡中的劃分20四、VLAN技術在校園網中的測試23（一）基于RIP協議的測試24（二）基于OSPF協議的測試26總結28參考文獻29致謝30一、概述（一）VLAN技術背景1. VLAN技術產生背景虛擬網技術(VLAN，Virtual Local Area Network)的誕生主要源于廣播。廣播在網絡中起著非常重要的作用，如發現新設備、調整網絡路徑、IP地址租賃等等，許多網絡協議都要用到廣播，局域網通常被定義為一個單獨的廣播域，主要使用集線器或交換機等網絡設備連接同一網段內的所有節點。然而，隨著網絡內計算機數量的增

4、多，廣播包的數量也會急劇增加，網絡的傳輸效率將會明顯下降。所以當所有的網絡節點都處于同一個廣播域內，這大大增加了網絡中所有設備之間的數據流量。隨著網絡的不斷擴充，很有可能出現廣播風暴，導致整個網絡無法使用。在網絡中的數據保密要求和網絡的組織結構上的要求等這些問題都促使了虛擬局域網的誕生。2. VLAN技術的定義VLAN ( Virtual Local Area Network)即虛擬局域網， 是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段從而實現虛擬工作組的新興技術。虛擬網絡是在整個網絡中通過網絡交換設備建立的虛擬工作組。虛擬網在邏輯上等于OSI 模型的第三層的廣播域， 與具體的

5、物理網及地理位置無關， 虛擬工作組可以包含不同位置的部門和工作組， 不必在物理上重新配置任何端口， 真正實現了網絡用戶與它們的物理位置無關。它以其高速、靈活、管理簡便和擴充容易得到了廣泛應用。一方面， VLAN 建立在局域網交換機的基礎之上;另一個方面， VLAN 是局域交換網的靈魂。VLAN 用戶能方便的在網絡中移動和快捷的組建寬帶網絡， 而無需改變任何硬件和通信線路。網絡管理員能從邏輯上對用戶和網絡資源進行分配， 而無需考慮物理連接方式。它與普通局域網從原理上講沒有什么不同， 但它與普通局域網最基本的差異體現在: VLAN 并不局限于某一網絡或物理范圍， VLAN 中的用戶可以位于一個園區

6、甚至國家的任意位置。IEEE于1999年頒布了用以標準化VLAN實現方案的802. 1Q協議標準草案。 3.VLAN技術的特征VLAN的特性使局域網的通信流量控制和數據保密性方面有了很大的提高，VLAN具有以下一些特征：1 同一個VLAN中的所有成員共同擁有一個VLAN ID，在邏輯上組成一個虛擬局域網絡；2 同一個VLAN中的成員均能收到同一個VLAN中的其他成員發來的廣播包，但收不到其他VLAN中成員發來的廣播包。不同的VLAN處在不同的廣播域中；3 不同VLAN的成員之間不可相互直接通信，需要通過路由支持才能相互通信，而同一VLAN中的成員通過VLAN交換機可以直接通信，不需路由支持。4

7、.VLAN技術的發展隨著VLAN技術的逐漸發展，出現了VLAN中繼協議和動態VLAN等技術，現在寬帶網絡中實現的VLAN基本上能滿足廣大網絡用戶的需求，但其網絡中的流量控制和數據保密性仍然存在很多問題。現在已有的VTP技術、STP技術，基于三層交換的VLAN技術等在VLAN使用中存在網絡效率的問題， IEEE正在制定和完善IEEE802.1S和IEEE802.1W 來改善VLAN的各種技術。隨著各種技術的逐步完善，VLAN也將在未來的網絡中發揮出更多的功能。5.VLAN技術的應用現在VLAN主要應用在以太局域網中，也可以用在ATM網絡中。因為現在很多的局域網均采用以太網，所以它適用于現在大部分

8、企業、學校的局域網中，它能夠隔離不同工作組的數據，因為一個VLAN內的用戶不能和其它VLAN內的用戶直接通信，所以可以保護用戶的數據安全，減少網絡的擁堵情況，提高網絡的傳輸效率。而且同一工作組的用戶也不必局限于某一固定的物理范圍，網絡的構建和維護更方便靈活，這些種種的優點都使VLAN在局域網中廣泛應用。6. VLAN技術的優點1 增加了網絡連接的靈活性網絡管理員對網絡工作站可以按業務功能, 而不必按地理位置分組。VLAN 可以降低移動或變更工作站地理位置的管理費用, 特別是一些業務情況有經常性變動的公司使用了VLAN 后, 這部分管理費用大大降低。2 有效地控制網絡上的廣播風暴VLAN 可以提

9、供建立防火墻的機制, 防止交換網絡的過量廣播風暴。使用VLAN, 可以將某個交換端口或用戶賦于某一個特定的VLAN 組。該VLAN 組可以在一個交換網中或跨接多個交換機, 在一個VLAN 中的廣播風暴不會送到VLAN 之外。同樣, 相鄰的端口不會收到其他VLAN 產生的廣播風暴。這樣, 可以減少廣播流量, 釋放帶寬給用戶應用, 減少廣播風暴的產生。3 增加網絡的安全性人們在LAN 上經常傳送一些保密的、關鍵性的數據。保密的數據應提供訪問控制等安全手段。一個有效和容易實現的方法是將網絡分段成幾個不同的廣播組, 網絡管理員限制了VLAN 中用戶的數量, 禁止未經允許而訪問VLAN 中的應用。交換端

10、口可以基于應用類型和訪問特權來進行分組, 被限制的應用程序和資源一般置于安全性VLAN 中。4 增加了集中化的管理控制通過集中化的VLAN 管理程序, 網絡管理員可以確定VLAN 組, 分配特定用戶和交換端口給這些VLAN組, 設置安全性等級, 限制廣播域的大小, 通過冗余鏈路負載分擔網絡流量, 跨越交換機配置VLAN 通信, 監控交通流量和VLAN 使用的網絡帶寬。這些能力有效地提高了網絡管理程序的可控性、靈活性和監視功能,減少了管理的費用。 7. VLAN技術的局限性隨著網絡的迅速發展，用戶對于網絡數據通信的安全性提出了更高的要求，都要求保證網絡用戶通信的相對安全性,要求能防范各種病毒和攻

11、擊等，現在一般使用的做法是給每個客戶分配一個VLAN和相關的IP子網，通過使用VLAN，每個客戶被從第二層隔離開，可以防止任何惡意的獲取資料的行為和以太網數據的信息探聽。但是，這種分配每個客戶單一VLAN和IP子網的模式造成了巨大的可擴展方面的局限。這些局限主要有以下幾個方面。1 VLAN數目的限制：交換機上固有的對VLAN數目的限制；2 復雜的STP：對于每個VLAN，每個相關的Spanning Tree的拓撲都需要管理，造成了交換機的巨大負載；3 IP地址的緊缺：IP子網的劃分一定會造成一些IP地址的浪費，造成資源浪費；4 路由的限制：每個VLAN在路由器或者三層交換機上都需要相應的默認的

12、網關的配置。（二）本課題的意義1.本課題的意義隨著高校信息化建設的不斷深入, 高校網絡建設的規模也在不斷擴大, 同時校園網多媒體教學、數據安全保障以及高速網絡交換的大量應用, 使網絡數據流量驟然增大, 各種問題和故障也層出不窮。因此,如何構建高效、穩定、易管理的校園網, 增強校園網的安全性和可控性，已經成為高等院校網絡管理人員面臨的重點課題, 也是提高學校信息化應用水平和整體投資效益的關鍵。VLAN 技術在校園網內的應用，不但使得校園網絡更加的安全，快速，并且也減輕了網絡管理員的工作，保證了各個部門不同的要求和信息的安全，因此VLAN技術在校園局域網內的應用是明智之舉。在本文中主要使用基于端口

13、的VLAN 技術對校園網進行設計,具體實現了以下幾個方面的作用:1 通過VLAN 的劃分, 控制內部各VLAN間的訪問范圍和權限, 從而保障子網通信安全。2 避免了IP 地址使用混亂的情況. 隨著校園網規模增大, 往往會出現IP 地址使用混亂和IP 地址盜用的狀況. 通過劃分VLAN, 各部門的IP 地址是固定的一個地址段, VLAN 之間不能互相盜用地址, 管理起來條理非常清楚。3 充分利用網絡帶寬, 防止了廣播風暴的產生, 提高了網絡傳輸效率。當然VLAN 在校園網的應用有利也有弊, 由于它是根據端口邏輯地址進行網絡劃分, 管理員無法很清楚地將網絡的物理布局與邏輯結構相聯系, 這就要網絡管

14、理人員非常熟悉和了解網絡設備的物理連接和邏輯連接, 只有充分發揮它的長處, 揚長避短, 才能使校園網暢通無阻, 充分發揮作用。二、VLAN技術的討論（一）TRUNK鏈路技術Trunk 技術是在兩臺交換機之間建立一條點到點的鏈路, 每臺交換機的相應端口稱為中繼端口。一條中繼鏈路可以傳輸多個VLAN 的數據流, 并允許用戶將VLAN 的范圍從一臺交換機擴展到另一臺交換機。Trunk是一種封裝技術,它是在兩臺交換機之間的一條點到點鏈路,主要功能就是僅通過一條鏈路就可以連接多個交換機,從而擴展已配置的多個VLAN,傳輸多個VLAN 的數據流。還可以采用通過Trunk技術和上級交換機級連接的方式來擴展端

15、口的數量,將VLAN的范圍從一臺交換機擴展到另一臺交換機,節省了網絡硬件的成本,從而擴展整個網絡。TRUNK 可通過的VLAN 范圍缺省下是11005, 可以修改, 但必須激活Trunk協議。使用Trunk 的端口不在任何VLAN 中。在校園網建設時, Trunk絕對是必需的. 在設置Trunk后, Trunk鏈路不屬于任何一個VLAN. Trunk鏈路在交換機之間起著VLAN管道的作用,交換機會將該Trunk以外及Trunk中的端口處于一個VLAN中的其他端口的負載自動分配到該Trunk中的各個端口. 因為同一個VLAN中的端口之間會相互轉發數據,而位于Trunk中的Trunk端口被當作一個

16、端口來看待,因此在設置了Trunk后,該Trunk將自動加入其成員端口所屬的VLAN中,而其成員端口則自動從VLAN中刪除。對于Trunk端口來說,其上允許通過的VLAN范圍體現的是一種能力,與系統中是否存在對應的VLAN實體沒有關系。Trunk技術具有以下優點:1 可以在不同的交換機之間連接多個VLAN,可以將VLAN擴展到整個網絡中; 2 Trunk可以捆綁任何相關的端口,也可以隨時取消設置,提供了很高的靈活性; 3 Trunk可以提供負載均衡能力以及系統容錯. 由于Trunk實時平衡各個交換機端口和服務器接口的流量,若某個端口出現故障,它會自動把故障端口從Trunk組中撤消,進而重新分配

17、各個Trunk端口的流量,從而實現系統容錯。（二）VTP協議VLAN中繼協議最早由思科公司提出的。作為思科VLAN技術的重要組成部分，VTP減少了跨越網絡設置VLAN的管理任務，減少了配置的不連續性。VLAN干道協議是VLAN動態協議的一種，它能自動的在網絡中傳播VLAN的各種配置信息，因此能保持VLAN在網絡中的連續性和統一性， VTP是一個交換機到交換機，交換機到路由器VLAN管理協議。VTP是一種消息協議，它通過一臺工作在服務器模式下的交換機，通過使用二層中繼Frame在整個網絡中負責管理VLAN的添加，刪除和重命名。從而保證VLAN在網絡中的傳播和統一，VTP負責在VLAN域內同步VL

18、AN信息，能傳播到每一臺工作在客戶機模式下的交換機中，從而簡化了網絡管理員的配置量，也減少了錯誤率。圖2.1為VTP的報文格式。圖2.1 VTP報文格式VTP要從Trunk中傳輸，所以一般VTP報文會封裝在ISL或者dot1q中。2.2.1 VTP具有如下的優點：1 VLAN配置在整個網絡中都不變，且都保持一致；2 在混合介質的網絡中允許一個VLAN被中繼的映射機制，能跨多個交換機；3 能對VLAN進行精確的跟蹤和控制；4 全網范圍內增加VLAN的動態報告。為了在網絡中管理和建立VLAN，所以必須建立一個VLAN管理域。在域中能有相同的VLAN信息，在交換網絡中，多個交換機構成了一個域。VTP

19、管理域由一組共享VTP域名的互聯設備組成，同一VTP域中所有交換機共享它們的VLAN信息。而且信息均相同，每個設備只能工作在一個VTP域，不同域中的交換機不能共享一個域中的VTP消息。2.2.2 VTP共有三種操作模式，分為服務器模式、客戶機模式和透明模式。1 服務器模式Server當一臺未經配置的思科交換機第一次工作的時候，它的默認配置模式是服務器模式。VLAN在VTP服務器上被創建的時候，和其他VLAN配置信息一起存儲在服務器的NVRAM并且當交換機重啟的時候，配置信息還是被保留不會消失。服務器模式中維持著該VTP域中所有VLAN信息列表，可以增加、刪除或修改VLAN，VTP服務器周期性地

20、廣播VTP域名、VLAN配置，提供現行的配置修改號。修改號是VTP 域的一部分，它確保VTP 域內的所有交換機有現行的、正確的VLAN 配置信息。2 客戶機模式Client客戶交換機在NVRAM存儲VLAN配置。當客戶交換機重啟的時候，所有的VLAN 配置信息丟失。交換機啟動完成后，需要發送一條VTP 請求消息給VTP服務器，來獲取現行的VLAN 配置。客戶機只能從服務器模式下的交換機接收VLAN的各種信息，它也維護該VTP域中所有VLAN信息列表，但不能增加、刪除或修改VLAN，任何變化的信息必須從VTP Server發布的通告報文中接收。如果客戶交換機要加入一個新的VLAN，VLAN必須被

21、添加到VTP 服務器上面去。這樣新的VLAN 才能傳遞到所有的客戶交換機。當新的VLAN 增加后，客戶交換機上的端口會關聯到新的VLAN。3 透明模式TransparentVTP透明模式和VTP客戶模式不同，可以在交換機上手工配置本地的VLAN。它如果是VTP 域的一部分，可以從VTP 服務器接收VLAN 配置信息。但是它不參與VTP工作，忽略所有接收到的VTP信息，但能夠將接收到的VTP報文轉發出去。它只擁有本設備上的VLAN信息，它不會通知VTP 域本地配置的VLAN。所以，客戶模式下的交換機也可以與透明模式下的交換機連接，交換各種VLAN信息。（三）VLAN的幀標識1. IEEE 802

22、.1Q幀標識IEEE802.1Q標準是由IEEE于1999年頒布的用以標準化VLAN實現方案的草案,俗稱Dot One Q ， 這個協議在以太網幀的基礎上增加了VLAN頭，從而利用VLAN ID在邏輯上把不同的用戶劃分為不同的工作組，把不同工作組限制在了二層，使它們之間不能相互通信。802.1Q標準定義了基于端口的VLAN模型，即在標準的以太網幀中源地址后增加一個四字節的802.1Q幀頭。其中包括標簽協議標識和標簽控制信息。標簽協議標識：TPID-Tag Protocol Identifier，它的值是8100，為兩個字節，它表示在幀中添加了VLAN的標記。標簽控制信息：TCI-Tag Con

23、trol Information，為兩個字節。TCI包含三個域，分別為三個比特的Priority域來表示表示幀的優先級，一個比特的CFI-Canonical Format Indicator域，稱為規范格式指示符，以及12個比特的VLAN ID域表示一個VLAN的ID號。兩個字節的VLAN名用1-32個字符表示，可以是字母和數字。VLAN ID的數值范圍是1-4094。.2-1000用于Ethernet VLANs，1002-1005是預留給FDDI和Token Ring VLANs的，1025-4094是擴展的VLAN ID，其他為保留號。 圖2.2 標準以太幀格式圖2.3 IEEE802.

24、1Q標準幀格式802.1Q協議加入的Tag字段可以根據其攜帶的VLAN信息，表明該數據幀屬于哪個VLAN，從而確定數據幀的屬性。2.ISL幀標識ISL是Cisco設備獨有的協議，只能用于Cisco網絡設備之間的互聯。 雖然它與802.1Q協議所采用的幀格式不同，但是可實現相同的功能。ISL 干道是 Cisco 私有，即指兩交換機或其它設備的一條點對點連接線路。ISL 幀標簽采用一種低延遲機制為單個物理路徑上的多 VLAN 流量提供復用技術。它主要用于實現交換機、路由器以及各節點之間的連接操作。每臺連接設備都必須采用 ISL 配置。配置ISl的路由器支持 VLAN 內通信服務。非 ISL 配置的

25、設備，則用于接收由 ISL 封裝的以太幀。ISL作用于 OSI 模型第2層的數據鏈路層。但是和802.1Q所不同的是，ISL通過協議頭和協議尾封裝了整個第2層的以太幀。ISL 是一種能在交換機間傳送第2層任何類型的幀或上層協議的獨立協議。ISL 所封裝的幀可以是令牌環或快速以太網或者其它，它們在發送端和接收端之間維持不變地實現傳送。圖2.3是ISL的幀格式。圖2.4 ISL幀格式各字段含義如下：DA：40位，組播目標地址。Type：4位，描述被封裝的幀類型，0000表示Ethernet，0001表示Token Ring，0010表示FDDI，0011表示ATM。User：4位，此字段是Type

26、字段的擴展定義或以太網優先級的4位描述符。SA：48位，傳送此幀的源交換機MAC地址。LEN：16位，出了DA、Type、User、SA、LEN字段之外的幀長度。AAAA03：24位， IEEE802.2LLC頭部。HAS：24位，組織唯一標識符OUI，即MAC地址的前三字節。VLAN：15位。VLAN號，只使用低10位來表示01023個VLAN。BPDU：1位，標識是網橋協議數據單元BPDU，還是CDP幀。INDEX：16位，傳送此幀的端口ID描述符，用于診斷。RES：16位，保留字段。特征：(1)由ASIC專用集成電路執行，它不干涉客戶機站，客戶機也不會看到 ISL協議頭，它能為路由器和路

27、由器之間、交換機與交換機之間提供很好的工作效率。(2)交換機間鏈路協議ISL用于實現兩臺交換機之間的VLAN中繼。它是一個信息包標記協議，在支持ISL接口上發送的幀由一個標準以太網幀及相關的VLAN信息組成。（四）VLAN之間的通信1. 通過路由器實現VLAN間的通信一個VLAN處在一個廣播域中，VLAN之間在二層中是不能通信的，從而提高了網絡的安全性，也解決了網絡的廣播控制問題。如果想VLAN能通信，必須通過路由器或者三層交換機實現VLAN的通信。可以利用路由器的多個端口實現VLAN間的路由選擇。這是最簡單的一種方法，但是也是最浪費資源的一種方法，在現實生活中，路由器的造價往往很高，通過端口

28、來實現VLAN路由選擇的成本太高。所以這種方法在現實中應用的很少，圖2.5顯示的是利用多個端口實現VLAN的路由選擇。 圖2.5 利用路由器實現VLAN通信2.通過三層交換實現VLAN通信三層交換技術使一臺交換機具有路由的功能。傳統的交換機工作在數據鏈路層，只能在第二層對數據進行轉發，但是三層交換機能工作在網絡層，并對數據進行高速轉發，它解決了局域網中劃分網段后必須通過路由器實現數據轉發，和路由器造價高以及存在的網絡瓶頸等問題。三層交換技術的出現為VLAN的發展提供了更好的空間。三層交換技術的原理是：假設A和B要通信，A首先向交換機發送一個ARP請求包，尋找自己的缺省路由的MAC，然后將數據發

29、送到交換機，若A和B在同一個子網中，直接通過二層轉發出去，不再經過三層，若A和B不再同一個子網中，需要將數據轉發到三層，在路由表中尋找匹配的條目，找到MAC地址，若存在直接在二層建立連接，使二層芯片處理數據通過二層轉發可大大的節省時間，和提高效率。若在表中無法找到相關項，需三層交換機將目的ip地址和路由表項對比，發送ARP數據包到目的主機，得到該主機的MAC地址，然后再二層轉發。原理如圖2.6所示。 圖2.6 三層交換原理3. 通過設置單臂路由實現VLAN間的通信路由器與交換機之間是通過外部線路連接的, 這個外部線路只有一條, 但是它在邏輯上是分開的, 需要路由的數據包會通過這個線路到達路由器

30、, 經過路由后再通過此線路返回交換機進行轉發。所以大家給這種拓撲方式起了一個形象的名字單臂路由。采用單臂路由技術可以在使用路由器時，節約物理端口的使用，通常在路由器與交換機連接的一個物理端口上定義多個邏輯子端口，一個子端口連接一個VLAN。 圖2.7通過設置單臂路由實現VLAN間的通信這種基于單臂路由的VLAN 通信模型不需要添加或更換路由器, 交換機等網絡設備; 基于原有網絡拓撲結構, 也不需要重新布線施工。但是, 作為中繼鏈路的路由器端口往往成為限制VALN 之間流量的主要瓶頸, 單臂路由作為一種廉價的網絡升級方案只適用于通信質量要求不高的情況, 并不能完全取代路由器和三層交換機。（五）V

31、LAN的劃分方式VLAN 的劃分方式很重要， 在設計和建設VLAN， 實現VLAN 應用時， 首先要決定如何劃分VLAN， 即依據什么標準來組織VLAN 成員。下面介紹5種常見的劃分方式， 不同的劃分方式代表不同的VLAN 實現類型。1.按端口劃分VLAN將交換機中的某些端口定義為一個單獨的區域， 從而形成一個VLAN。同一VLAN 中的計算機屬于同一個網段， 不同VLAN 之間進行通信需要通過路由器。基于端口的VLAN 的優點是配置起來非常方便， 只要在交換機上進行相關的設置就可以了，適用于網絡環境比較固定的情況。不足之處是不夠靈活， 當一臺計算機需要從一個端口移動到另一個新的端口， 而新端

32、口與舊端口不屬于同一個VLAN時， 要修改端口的VLAN 設置， 或在用戶計算機上重新配置網絡地址， 這樣才能加入到新的VLAN 中。否則， 這臺計算機將無法進行網絡通信。基于端口的劃分方式是最簡單也是最常用的。采用這種方式， 將屬于不同交換機端口的物理網段分在一個VLAN 中， 通過網絡管理軟件， 根據VLAN_標識符將不同的端口分到相應的分組( VLAN )中。例如， 一個交換機的1、2、3端口被定義為VLAN 1， 同一交換機的4、5端口組成VLAN 2， 如圖2.8所示。圖2.8 按端口劃分VLAN示意圖這樣劃分， 允許各端口之間的通信， 并允許共享型網絡的升級。遺憾的是，這種劃分模式

33、將虛擬網限制在了一臺交換機上。第二代端口VLAN 技術允許跨越多個交換機的多個不同端口劃分VLAN， 不同交換機上的若干個端口可以組成同一個VLAN。分配到同一個VLAN的各網段上的所有站點都在同一個廣播域中， 可以直接通信; 不同VLAN 地點間的通信則通過路由器或三層交換機。按交換機端口來劃分VLAN，迄今為止， 這仍然是最常用的一種方式， 但是這種方式不允許多個VLAN 共享一個物理網段或交換機端口。如果某一個用戶從一個端口所在的VLAN 移動到另一個端口所在的VLAN， 網絡管理員需要重新進行配置， 這對于擁有眾多移動用戶的網絡來說是不可想象的。2.按MAC地址劃分VLAN每塊網卡都有

34、一個唯一的硬件物理地址， 這個地址就是MAC 地址， 俗稱為 網卡號。MAC地址是連接在網絡中的每個設備網卡的物理地址，由IEEE 控制。全球找不到兩塊具有相同MAC 地址的網卡。MAC 地址屬于數據鏈路層，以此作為劃分VLAN 的依據，能很好地獨立于網絡層上的各種應用。用此種方式構成的VLAN 就是一些MAC地址的集合， 它解決了網絡處理站點的移動問題。對于連接于交換機端口的工作站來說， 在它們初始化時， 相應的交換機要在VLAN 的管理信息庫中檢查MAC 地址， 從而動態地匹配該端口到相應的VLAN 中。按MAC 地址劃分的VLAN 允許網絡用戶從一個物理位置移動到另一個物理位置，并且自動

35、保留其所屬VLAN 網段的成員身份。同時，這種方式獨立于網絡的高層協議(如TCP / IP、IP 和IPX 等)。從某種意義上講， 利用MAC 地址定義VLAN 可以看成是一種基于用戶的網絡劃分手段。這種方法的一個缺點是所有的用戶必須被明確地分配給一個VLAN。在一個擁有大量節點的大型網絡中， 如果要求管理員將每個用戶都一一劃分到某一個VLAN， 實在是太困難了。3.基于網絡層劃分VLAN可以基于網絡層來劃分VLAN， 有2種方案， 一種按協議來劃分， 如圖2.9 圖2.9 按網絡協議劃分VLAN 示意圖另一種是按網絡層地址(最常見的是TCP / IP中的子網段地址)來劃分， 如圖2.10所示

36、。 圖2.10 按網絡層地址劃分VLAN示意圖建立VLAN 也可使用與管理路由相同的策略。根據IP 子網、IPX 網絡號及其他協議劃分VLAN。同一協議的工作站劃分為一個VLAN， 交換機檢查廣播幀的以太幀標題域， 查看其協議類型， 若已存在該協議的VLAN， 則加入源端口， 否則， 創建一個新的VLAN。這種方式構成的VLAN， 不但大大減少了人工配置VLAN 的工作量， 同時保證了用戶自由地增加、移動和修改。不同VLAN 網段上的站點可屬于同一VLAN， 在不同VLAN 上的站點也可在同一物理網段上。利用網絡層定義VLAN 缺點也是有的。與利用MAC地址的形式相比， 基于網絡層的VLAN

37、需要分析各種協議的地址格式并進行相應的轉換。因此，使用網絡層信息來定義VLAN 的交換機要比使用數據鏈路層信息的交換機在速度上處于劣勢。4.基于IP廣播組劃分可將任何屬于同一IP 廣播組的計算機劃分到同一VLAN。當IP包廣播到網絡上時, 它將被傳送到一組IP地址的受托者那里。該組被明確定義了的廣播組是在網絡運行中動態生成的。任何一個工作站都有機會成為某一個廣播組的成員, 只要它對該廣播組的廣播確認信息給予肯定的回答。所有加入同一個廣播組的工作站被視為同一個VLAN 的成員, 他們的這種成員身份可根據實際需求保留一定的時間。因此, 利用IP廣播域來劃分VLAN 的方法給用戶帶來了巨大的靈活性和

38、可延展性。在這種方式下, 整個網絡可以方便地通過路由器擴展網絡規模。5.基于規則的VLAN基于規則的VLAN也稱為基于策略的VLAN。這是最靈活的VLAN 劃分方法, 具有自動配置的能力, 能夠把相關的用戶連成一體, 在邏輯劃分上稱為 關系網絡。網絡管理員只需在網管軟件中確定劃分VLAN 的規則(或屬性) , 那么當一個站點加入網絡中時, 將會被感知, 并被自動地包含進正確的VLAN 中。同時, 對站點的移動和改變也可自動識別和跟蹤。采用這種方式, 整個網絡可以非常方便地通過路由器擴展網絡規模。有的產品還支持一個端口上的主機分別屬于不同的VLAN, 這在交換機與共享式Hub 共存的環境中顯得尤

39、為重要。自動配置VLAN 時, 交換機中軟件自動檢查進入交換機端口的廣播信息的IP源地址, 然后軟件自動將這個端口分配給一個由IP子網映射成的VLAN。（六）VLAN間通信1.VLAN間通信介紹局域網內的通信，是通過數據幀頭中指定通信目標的來完成的。而為了獲取MAC地址，使用地址協議解析通過廣播報文的方法來實現獲取MAC地址的，如果廣播報文無法到達目的地，那么就無從解析MAC地址，亦即無法直接通信。當計算機分屬不同的VLAN時，就意味著分屬不同的廣播域，自然收不到彼此的廣播報文。因此，屬于不同VLAN的計算機之間無法直接互相通信。為了能夠在VLAN間通信，需要利用OSI參照模型中更高一層網絡層

40、來進行路由。在目前的網絡互連設備中能完成的設備主要有路由器和三層以上的交換機。2.利用路由器實現VLAN間通信使用路由器實現VLAN間通信時，路由器與交換機的連接方式有兩種。第一種通過路由器的不同物理接口與交換機上的每個VLAN分別連接。第二種通過路由器的邏輯子接口與交換機的各個VLAN連接。1 通過路由器的不同物理接口與交換機上的每個VLAN分別連接。這種方式的優點是管理簡單，缺點是網絡擴展難度大。每增加一個新的VLAN，都需要消耗路由器的端口和交換機上的訪問鏈接，而且還需要重新布設一條網線。而路由器，通常不會帶有太多LAN接口的。新建VLAN時，為了對應增加的VLAN所需的端口，就必須將成

41、帶有多個LAN接口的高端產品，這部分成本、還有重新布線所帶來的開銷，都使得這種接線法成為一種不受歡迎的辦法。2 通過路由器的邏輯子接口與交換機的各個VLAN連接。這種連接方式要求路由器和交換機的端口都支持匯聚鏈接，且雙方用于匯聚鏈路的協議自然也必須相同。接著在路由器上定義對應各個VLAN的邏輯子接口E1.1和E1.2。由于這種方式是靠在一個物理端口上設置多個邏輯子接口的方式實現網絡擴展，因此網絡擴展比較容易且成本較低，只是對要復雜一些。3 路由器實現VLAN間通信的局限性路由器實現VLAN間通信的局限性是路由器的技術特性決定的，使其無法具有很高的信息吞吐量。對此分析如下：路由器在OSI七層網絡

42、模型的第三層網絡層操作，其對于任何一個運行的數據包均須進行“拆包”和“打包”的操作，同時路由器還要完成數據包過濾和壓縮、協議轉換、計算路由、甚至防火墻等許多工作，這占用于大量的CPU資源。且當流經路由器的流量超過其吞吐能力時，會引起路由器內部擁塞，持續擁塞會使轉發的數據包延誤，甚至丟失。以上的原因限制了其吞吐量，且其價格昂貴，使其成為網絡瓶頸。因此，路由器存在：數據傳輸效率低；節點操作的復雜性無法降低；價格昂貴、結構復雜等局限性。3.利用三層交換機實現VLAN間通信三層交換機實現VLAN 互相訪問的原理是，利用三層交換機的路由功能，通過識別數據包的IP地址，查找路由表進行轉發。三層交換機利用直

43、連路可以實現不同的VLAN 之間的訪問。三層交換機給接口配置IP地址采用SVI（交換虛擬接口）的方式實現VLAN 間互連。只需要為交換機中的VLAN 創建虛擬接口，并且配置IP地址。然后開啟三層交換機的IP route功能就可以容易的實現VLAN間的通信。這種方面有效地解決了利用路由器來實現VLAN間通信的一系列不足之處，而且配置和管理也十分的便捷。目前市場上有許多三層以上的交換機，在這些交換機中，廠家通過硬件或軟件的方式將路由功能集成到交換機中，交換機主要用于園區網中，園區網中的路由比較簡單，但要求數據交換的速度較快，因此在大型園區網中用交換機代替路由器已是不爭的事實。用交換機代替路由器實現

44、VLAN間通信的方式也有兩種，其一，就是啟用交換機的路由功能，這種方式的實現方法可采用以上介紹的路由器方式的任一種。其二，是利用多層交換機所支持的VLAN功能來實現VLAN間的通信。29三、VLAN技術在校園網中的設計目前校園網正處于一種高速發展之中,在校園網絡中實施VLAN技術，可以提高網絡管理效率、性能、帶寬及靈活性, 同時還能控制廣播風暴, 提高校園網安全性能。本章結合高校校園網的特點，從IP 規劃、網絡架構設計、協議選擇、網絡設備配置等方面對校園網進行了規劃和設計。（一）網絡設備的選擇本次設計采用cisco2960、3560交換機和2811路由器。在出口的路由器選用Cisco Cata

45、lyst 2811，它是一款高端企業級路由器擁有強悍的性能，能很好的為網絡提供可靠的服務，并提供了安全、可擴展的網絡連接，容納了多種流量類型，如VPN、動態多點 VPN (DMVPN)等，以及安全話音，滿足用戶的使用需求。本次設計的網絡核心層主要應用Cisco Catalyst 3560系列的交換機，它是三層交換機，Cisco Catalyst 3560系列交換機是一個固定配置、企業級、IEEE 802.3af和思科預標準以太網供電(PoE)交換機系列，性能完全能滿足校園網核心層的工作需要。在匯聚層和接入層主要用Cisco Catalyst 2960系列智能以太網交換機，它是一個全新、獨立的固

46、定配置設備系列，主要為小型企業和網絡分支而生產的，它也能提供很好的服務，能進行桌面10/100快速以太網和10/100/1000千兆以太網連接，有助于實現增強LAN服務。（二）校園網絡的設計由于本次設計VLAN主要在局域網中，為便于進行實驗且網絡的規模要適中，所以選擇了規模適中的校園網作為基礎，在這個網絡中大量采用cisco交換機作為二層交換設備，由于在網絡中大量使用交換設備會出現廣播風暴以及存在的數據安全性問題，所以要進行合適的VLAN劃分，減少網絡流量的擁堵次數和數據泄漏的問題，保障網絡的正常運行，保護數據的安全。如圖3.1所示。 圖3.1 校園網拓撲圖（三）校園網IP的規劃本次設計共有圖

47、書館、辦公樓、理工大樓、教學樓和宿舍樓組成，由于存在大量的主機，所以采用10.0.0.010.255.255.255網段，其地址能夠滿足校園環境對ip地址的需求。宿舍樓：10.2.0.0/16其中宿舍樓一為：10.2.8.0/21，即10.2.8.110.2.15.254子網掩碼為255.255.255.0宿舍樓二為：10.2.24.0/21，即10.2.24.110.2.31.254子網掩碼為255.255.255.0圖書館：10.4.0.0/16服務器：10.5.0.0/16教學樓：10.7.0.0/16（四）VLAN在網絡中的劃分1. VLAN ID的規劃表格3.1顯示的是基于端口的對網

48、絡的VLAN劃分。在每個VLAN中，都要進行合適的規劃，適應網絡中各種變化的需要。表3.1 VLAN 配置表位置VLAN ID網絡地址子網掩碼VLAN接口地址宿舍樓1VLAN 1010.2.8.0255.255.255.010.2.8.1宿舍樓2VLAN 3010.2.24.0255.255.255.010.2.24.1辦公樓VLAN 2010.3.0.0255.255.0.010.3.0.1圖書館VLAN 4010.4.0.0255.255.0.010.4.0.1服務器VLAN 5010.5.0.0255.255.0.010.5.0.1理工大樓VLAN 6010.6.0.0255.255.0

49、.010.6.0.1教學樓VLAN 7010.7.0.0255.255.0.010.7.0.12. 基于端口的劃分1 在匯聚層交換機上配置VLAN1)創建VLAN進入全局模式Switch#config terminal創建VLAN 10Switch(config)#vlan 10Switch(config-vlan)#exit2)將端口加入到vlan 10中Switch(config-if)#switchport access vlan 10或者將一組連續的端口加入到vlan中Switch(config)# interface range f0/1 5 Switch(config-if-ran

50、ge)#switchport mode access Switch(config-if-range)#switchport access vlan 10Switch(config-if-range)#exit3) 指定端口成為trunkSwitch(config)#interface f0/24Switch(config-if)#switchport mode trunk4）檢查VLAN端口分配情況Switch#show vlan brief 圖3.2 VLAN端口分配情況通過命令顯示可以看出 f0/1 5已經在VLAN10中了，其它的端口全默認在VLAN1 中。以此類推，逐步創建VLAN 2

51、0、VLAN 30、VLAN 40、VLAN 50、VLAN 60、VLAN 70。并逐步把端口劃分到各個VLAN中,配置trunk口。2 在核心交換機Cisco Catalyst 3650上配置VLAN虛擬接口實現通信在Cisco Catalyst 3650上創建各個VLAN的虛擬接口，并配置IP地址。1)配置vlan 10的虛擬接口ip地址。Switch(config)#vlan 10 Switch(config-vlan)#exitSwitch(config)#interface vlan 10 Switch(config-if)#%LINK-5-CHANGED: Interface V

52、lan10, changed state to upSwitch(config-if)#ip address 10.2.8.1 255.255.255.0Switch(config-if)#2)配置vlan 20虛擬接口ip地址Switch(config)#vlan 20Switch(config-vlan)#exitSwitch(config)#interface vlan 20Switch(config-if)#%LINK-5-CHANGED: Interface Vlan20, changed state to upSwitch(config-if)#ip address 10.3.0.

53、1 255.255.0.0Switch(config-if)#然后按照表1依次配置valn 30 、vlan 40、 vlan 50、vlan 60、 vlan 70。3 在三層交換機上啟用路由功能Switch(config)#ip routing或者配置RIP動態路由 Switch(config)#router ripSwitch(config-router)# version 2Switch(config-router)# network 10.0.0.0 如上命令即可實現VLAN通信。4 配置訪問控制表在核心交換機上配置訪問控制列表可以控制各個VLAN之間的通信。 1)創建10列表，只同

54、意10.1.0.0和10.2.0.0網段的數據，拒絕其他的網段的Switch(config)#ip access-list standard 10 Switch(config-std-nacl)#permit ip 10.1.0.0 0.0.255.255 Switch(config-std-nacl)#permit ip 10.2.0.0 0.0.255.255Switch(config-std-nacl)#deny ip any any Switch(config-std-nacl)#exit2)在VLAN 10中引用列表10.Switch(config)#interface vlan 1

55、0 Switch(config-if)#ip access-group 10 in 四、VLAN技術在校園網中的測試Cisco Packet Trace是由思科公司發布的一款模擬思科系列的各種交換機和路由器的軟件，它能很好模擬現實的各種環境，通過它可以進行各種網絡知識的學習，并了解路由器和交換機的工作原理，也能對思科的命令和設備進行了解，是初步學習路由交換的很好的工具。本章是在Cisco Packet Trace中進行測試，由于軟件本身的限制，以及其他方法的實現有不同的復雜性，因此此次測試主要針對利用端口進行劃分的方法進行，并分為利用RIP和OSPF的路由協議的兩種方法，基于端口的劃分方法有易

56、于實現、成本很低的優點，所以在很多網絡中都有使用，而且其技術已經成熟，在不同廠家的設備中實現的原理都一樣，所以在測試中可以很好的利用Cisco Packet Trace進行測試。根據以上設計的網絡，和不同部分之間的功能，所以制定了一下的訪問規則，其中在測試中的要求如表格4.1。表格4.1 訪問要求在下面得測試中的網絡只是簡單的模擬了校園網，每個樓層的主機也只用一臺或兩臺主機進行代替。通過測試可以查看網絡的各種狀況，所以挑出一些代表性的主機進行測試。（一）基于RIP協議的測試根據以上表格，在Cisco Packet Trace模擬器中進行模擬，模擬圖如圖4.1所示的是根據RIP動態路由協議的一種方式。 圖4.1 測試圖4.1 VLAN 20 與VLAN 50、VLAN 10之間的連通性測試 圖4.1VLAN 20 pingVLAN 50和VLAN 104.2 VLAN 10 與VLAN 70、VLAN 40之間的連通性測試 圖4.2 VLAN 10 ping VLAN 70和VLAN 404.3 VLAN 60 與VLAN 61之間的連通性測試 圖4.3 VLAN 60內部與VLAN 61 ping（二）基于OSPF協議的測試通過RIP路由協議所進行的測試較好