苗小勇

西華師范大學(xué) 四川南充 637000

Vlan技術(shù)在縣域教育信息網(wǎng)中的應(yīng)用與研究

苗小勇

西華師范大學(xué) 四川南充 637000

過去的幾年，學(xué)校計(jì)算機(jī)局域網(wǎng)在促進(jìn)我縣信息技術(shù)教育和信息技術(shù)教育應(yīng)用的普及方面發(fā)揮了重要作用，同時(shí)也逐漸顯露孤立的校園網(wǎng)，其力量單薄，難以適應(yīng)信息技術(shù)教育和信息技術(shù)教育應(yīng)用的深入發(fā)展。我們對(duì)其歸納如下：難以形成豐富的教育資源庫群，（實(shí)際上，許多學(xué)校無法建設(shè)自身的資源庫），必定會(huì)衰減網(wǎng)絡(luò)應(yīng)用的廣度和深度；區(qū)域內(nèi)信息共享、交流與合作困難，必然會(huì)導(dǎo)致資源重復(fù)建設(shè)，校間合作與交流得不到進(jìn)一步發(fā)展；教委部門形成的眾多資源，得不到有效查詢；區(qū)域內(nèi)難以實(shí)現(xiàn)統(tǒng)一辦公和管理，不便于工作效率的提高，區(qū)域內(nèi)也難以形成對(duì)外形象展示窗口，等等。諸多因素決定，互聯(lián)各校局域網(wǎng)，構(gòu)架縣域教育信息網(wǎng)，成立教育信息中心已成為必須。

Vlan（Virtual Local Area Network）是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。每一個(gè)Vlan都包含一組有著相同需求的計(jì)算機(jī)工作站,與物理上形成的Vlan有著相同的屬性。一個(gè)Vlan內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他Vlan中,從而有助于控制流量、提高網(wǎng)絡(luò)安全性、簡(jiǎn)化網(wǎng)絡(luò)管理。下面從幾個(gè)方面具體來談?wù)刅lan技術(shù)在校園網(wǎng)中的發(fā)揮的突出作用。

一、控制廣播風(fēng)暴

由于不同的Vlan有著各自獨(dú)立的廣播域,而廣播只能在本地Vlan內(nèi)進(jìn)行,從而大大減少了廣播對(duì)網(wǎng)絡(luò)帶寬的占用,提高了帶寬傳輸效率,并可以有效地避免廣播風(fēng)暴的產(chǎn)生。

二、增強(qiáng)網(wǎng)絡(luò)安全性

在交換機(jī)上劃分Vlan以后,不同的Vlan之間將不能直接通信,Vlan間的通信必須通過三層設(shè)備(路由設(shè)備)。可以通過路由訪問列表和MAC地址分配等Vlan劃分原則,控制用戶訪問權(quán)限和邏輯網(wǎng)段大小,將不同用戶群劃分在不同Vlan中,從而提高校園網(wǎng)的整體性能和安全。

三、網(wǎng)絡(luò)管理簡(jiǎn)單、直觀

利用Vlan技術(shù)可以根據(jù)學(xué)校的部門職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段,在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。利用Vlan技術(shù),可大大減輕網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān),降低網(wǎng)絡(luò)維護(hù)費(fèi)用。

以三層交換機(jī)為核心的千兆網(wǎng)絡(luò)中，為確保不同職能部門管理的方便性和安全性及整個(gè)網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性，可采用Vlan技術(shù)進(jìn)行虛擬網(wǎng)絡(luò)劃分。Vlan子網(wǎng)隔離了廣播風(fēng)暴，對(duì)一些重要部門實(shí)施了安全保護(hù)；且當(dāng)某一部門物理位置發(fā)生變化時(shí)，只需對(duì)交換機(jī)進(jìn)行設(shè)置，就能實(shí)現(xiàn)網(wǎng)絡(luò)的重組，非常方便、快捷，同時(shí)節(jié)約了成本。

虛擬局域網(wǎng)的組網(wǎng)方式。不同的Vlan組網(wǎng)方法的區(qū)別，主要表現(xiàn)在對(duì)虛擬局域網(wǎng)成員的定義方法上，通常有以下3種：

1.用交換機(jī)端口定義Vlan

虛擬局域網(wǎng)從邏輯上把局域網(wǎng)交換機(jī)的端口劃分為不同的虛擬子網(wǎng)，各虛擬子網(wǎng)相對(duì)獨(dú)立。虛擬局域網(wǎng)也可以跨越多個(gè)交換機(jī)。但是它不允許不同的Vlan包含相同的物理網(wǎng)段或交換端口。用端口定義Vlan的缺點(diǎn)是：當(dāng)用戶從一個(gè)端口移動(dòng)到另一人個(gè)端口時(shí)，網(wǎng)絡(luò)管理員必須對(duì)虛擬局域網(wǎng)成員重新進(jìn)行配置。

2.用MAC地址定義Vlan

此類Vlan可以視為基于用戶的虛擬局域網(wǎng)。其優(yōu)點(diǎn)是：由于結(jié)點(diǎn)的MAC地址是與硬件無關(guān)的地址，所以用結(jié)點(diǎn)的MAC地址定義的虛擬局域網(wǎng)允許結(jié)點(diǎn)移動(dòng)到網(wǎng)絡(luò)的其它物理網(wǎng)段。由于結(jié)點(diǎn)的MAC地址不變，所以該結(jié)點(diǎn)將自動(dòng)保持原來Vlan成員的地位。

3.用網(wǎng)絡(luò)層地址定義Vlan

它使用結(jié)點(diǎn)的網(wǎng)絡(luò)地址定義虛擬局域網(wǎng)。其優(yōu)點(diǎn)是：首先，它允許按照協(xié)議類型來組成虛擬局域網(wǎng)。這有利于組成基于服務(wù)或應(yīng)用的Vlan；其次，用戶可以隨意移動(dòng)工作站而無須重新配置網(wǎng)絡(luò)地址，這對(duì)于TCP/IP協(xié)議的用戶是特別有利的。

圖1 網(wǎng)絡(luò)拓?fù)鋱D

以下我們給予圖1說明：防火墻的兩個(gè)出口分別接省教育資源網(wǎng)和Internet。假設(shè)教育資源網(wǎng)服務(wù)器的IP為10.10.1O.31，公網(wǎng)IP為202.1.2.3。核心交換機(jī)采用神舟數(shù)碼DCRS-6808，防火墻是神舟數(shù)碼DCFW-1800S。我們對(duì)核心交換機(jī)和防火墻的配置予以說明。為了縣平臺(tái)網(wǎng)絡(luò)管理中心的檢測(cè)與管理，我們對(duì)不同的單位和學(xué)校采用統(tǒng)一的I P段，即10.100.XX.XX。另外由于各學(xué)校的規(guī)模不一樣，所需要的I P地址數(shù)量是不同的，我們可以對(duì)其劃分子網(wǎng)。比如，城關(guān)小學(xué)規(guī)模小，I P地址10.100.32.1/22,XX中學(xué)則為10.100.4O.1/21。其他學(xué)校根據(jù)實(shí)際情況規(guī)劃自己網(wǎng)絡(luò)的大小。

下面給出核心交換機(jī)的具體配置：

其他學(xué)校的Vlan及接口與城關(guān)小學(xué)配置類似，再些不再贅述。從以配置中我們可以看出，DCRS-6808核心交換機(jī)的Vlan采用IP地址組網(wǎng)。另外我們還需要對(duì)核心交換機(jī)進(jìn)行路由配置，具體命令為：

ip route 0.0.0.0/0 10.10.0.1 ! 10.10.0.1為接防火墻的核心交換機(jī)E1/1接口地址

下面給出防火墻的具體配置：

從以上配置中可以看出，在防火墻設(shè)備上增加專網(wǎng)出口，并單獨(dú)接一根專網(wǎng)線路，在出口防火墻設(shè)備上做路由和雙NAT轉(zhuǎn)換。由區(qū)縣統(tǒng)一互聯(lián)網(wǎng)出口和專網(wǎng)出口，學(xué)?？梢酝瑫r(shí)訪問互聯(lián)網(wǎng)和專網(wǎng)資源。同時(shí)，對(duì)于一些偏遠(yuǎn)地區(qū)的學(xué)校，可以通過電信線路接入互聯(lián)網(wǎng)，在此基礎(chǔ)上再接入基礎(chǔ)教育專網(wǎng)。具體方法是：學(xué)校局域網(wǎng)內(nèi)需要接入專網(wǎng)的電腦發(fā)起專網(wǎng)撥號(hào)認(rèn)證，建立到基礎(chǔ)教育專網(wǎng)VPN隧道，自動(dòng)獲取專網(wǎng)IP地址。采用這種方式接入專網(wǎng)的電腦可實(shí)現(xiàn)專網(wǎng)和互聯(lián)網(wǎng)的同時(shí)訪問。需要注意的是：用個(gè)人名義申請(qǐng)的學(xué)校使用的撥號(hào)ADSL線路必須更換為以單位名義申請(qǐng)的ADSL專線。在接入電信互聯(lián)網(wǎng)基礎(chǔ)上，學(xué)校根據(jù)需要訪問基礎(chǔ)教育專網(wǎng)的主機(jī)數(shù)量，向當(dāng)?shù)仉娦殴旧暾?qǐng)基礎(chǔ)教育專網(wǎng)的撥號(hào)認(rèn)證帳號(hào)，需要訪問基礎(chǔ)教育專網(wǎng)的主機(jī)在接通互聯(lián)網(wǎng)的情況下在自己的操作系統(tǒng)上設(shè)置L2TP協(xié)議的VPN撥號(hào)軟件。

我們只給出一個(gè)學(xué)校的網(wǎng)絡(luò)拓?fù)鋱D予以說明，如圖2所示。下面我們給出其核心交換機(jī)DCRS-6804的主要配置，在些只給出了部分結(jié)果。其配置操作步驟與DCRS-6808類似。

圖2 城關(guān)小學(xué)網(wǎng)絡(luò)拓?fù)鋱D

從以上我們可以，學(xué)校的計(jì)算機(jī)只要輸入I P：10.100.32.2-10.100.32.254，10.100.33.2-10.100.33.254中的任意一個(gè)地址，網(wǎng)關(guān)分別為：10.100.32.1和10.100.33.1;子網(wǎng)掩碼為：255.255.255.0,這樣就可以接通網(wǎng)絡(luò)了。

防火墻的主要配置為：

以上我們主要對(duì)縣平臺(tái)防火墻和核心交換機(jī)進(jìn)行了配置，并以城關(guān)小學(xué)為例，采用Vlan技術(shù)來組建校園網(wǎng)。Vlan技術(shù)為校園網(wǎng)的建設(shè)提供了高度的靈活性和可靠的網(wǎng)絡(luò)安全管理手段,顯示出獨(dú)特的優(yōu)點(diǎn)。特別是基于第三層交換的Vlan技術(shù)的出現(xiàn),解決了局域網(wǎng)中網(wǎng)段劃分之后,網(wǎng)絡(luò)中子網(wǎng)間的通訊必須依賴路由器的局面,從而有效的解決了傳統(tǒng)路由器數(shù)據(jù)傳輸?shù)退僭斐傻木W(wǎng)絡(luò)瓶頸問題,實(shí)現(xiàn)了一次路由多次交換,同時(shí)第三層交換技術(shù)的出現(xiàn)給校園網(wǎng)的建設(shè)提供了良好的擴(kuò)展性。隨著Vlan技術(shù)和三層交換技術(shù)的發(fā)展,必將把校園網(wǎng)的發(fā)展帶入一個(gè)新的階段。新的問題也將隨之出現(xiàn),這就需要我們更多的網(wǎng)絡(luò)研究和管理等人員投入更多的精力,使Vlan技術(shù)為我們的網(wǎng)絡(luò)建設(shè)和管理帶來更多的方便。

[1]余明輝,安淑梅.計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)建技術(shù)[M].北京：人民郵電出版社,2005

[2]張大陸,宋金剛.虛擬局域網(wǎng)技術(shù)探討及實(shí)現(xiàn)[J].計(jì)算機(jī)工程，1997，12

2010-09-30

苗小勇，在讀碩士研究生。