王彬 和剛

摘 要：文章以VLAN和VPN技術(shù)的實(shí)現(xiàn)為基礎(chǔ)，研究高校同地多校區(qū)的網(wǎng)絡(luò)架構(gòu)，通過PACKET TRACER環(huán)境下模擬構(gòu)建多校區(qū)網(wǎng)絡(luò)，利用思科（CCNA）語言進(jìn)行路由器和交換機(jī)配置、VLAN、VPN的建立連接來實(shí)現(xiàn)高校網(wǎng)絡(luò)構(gòu)建，從而實(shí)現(xiàn)了不同校區(qū)之間的同一VLAN之間的通信。

關(guān)鍵詞：Packet tracer；VPN；VLAN；多校區(qū)通信

隨著網(wǎng)絡(luò)、科技、教育的快速發(fā)展，各地高校的教育規(guī)模逐步擴(kuò)大，很多高校會選擇同地多校區(qū)的模式，從而也給各學(xué)校帶來了新的挑戰(zhàn)。為此，大多數(shù)院校使用了VPN，VLAN技術(shù)來解決同地不同校區(qū)之間的限制，使同一高校中的同學(xué)、教師、行政人員、科研人員等能夠不受地理位置的限制，方便、快捷、安全的辦公和教學(xué)。

本文從解決多校區(qū)之間的同一校園網(wǎng)問題出發(fā)，以VPN，VLAN作為基礎(chǔ)技術(shù)，構(gòu)建統(tǒng)一的、安全的校園網(wǎng)，并給出了解決方案和路由器、交換機(jī)等的配置代碼。

1 VLAN技術(shù)

VLAN技術(shù)是指在局域網(wǎng)內(nèi)不考慮設(shè)備的地理位置，通過邏輯分區(qū)以設(shè)備或用戶的屬性為主將設(shè)備劃分到虛擬的同一網(wǎng)絡(luò)下，實(shí)現(xiàn)同一網(wǎng)絡(luò)下支持通信、不同網(wǎng)絡(luò)之間無法通信的一種嶄新技術(shù)。這種技術(shù)更加穩(wěn)定、安全、便捷，不同區(qū)域之間避免了因管理、工作等效率低下而產(chǎn)生的問題。

VLAN技術(shù)實(shí)現(xiàn)了同一區(qū)域內(nèi)多臺交換機(jī)之間的資源共享，其劃分原理有3種：（1）基于交換機(jī)端口的劃分，以端口為主，不同端口之間可以實(shí)現(xiàn)不同VLAN的劃分，不同端口之間可以實(shí)現(xiàn)同一VLAN劃分。（2）基于MAC地址的劃分，通過連接設(shè)備的唯一物理地址來區(qū)分設(shè)備屬于哪一個VLAN。（3）基于IP地址的劃分，每一個設(shè)備連接三層交換機(jī)都有一個屬于自己的網(wǎng)絡(luò)地址，以地址來區(qū)分VLAN。

2 VPN技術(shù)

VPN也叫虛擬專用網(wǎng)，它是在正常網(wǎng)絡(luò)線路中建立一個虛擬的專用隧道，保證數(shù)據(jù)在隧道中傳輸安全，并提供一個專享的網(wǎng)絡(luò)，使高校能夠透明地通信。VPN能夠讓數(shù)據(jù)在低成本Internet上保持完整的傳輸，大大解決了網(wǎng)絡(luò)的成本。同時，方便了操作和管理，精簡了網(wǎng)絡(luò)的設(shè)計(jì)和構(gòu)造。

VPN的工作原理是在現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)上，建立一個對數(shù)據(jù)傳輸進(jìn)行加密的安全通道，以此通道為通信基準(zhǔn)，在登錄VPN之前都需要進(jìn)行本地的連接，并輸入用戶名和密碼來登錄VPN，這種服務(wù)目前很多服務(wù)商都能夠提供。

3 網(wǎng)絡(luò)架構(gòu)

某高校有2個校區(qū)，分別分布在某市的東西兩邊，2個校區(qū)之間分別租用服務(wù)商提供的光纖專線相連。在連接網(wǎng)絡(luò)時，學(xué)校采用的是二層交換機(jī)。并通過DHCP獲取網(wǎng)絡(luò)地址進(jìn)行互聯(lián)，學(xué)校在東校區(qū)分別有財(cái)務(wù)部、機(jī)房、人事處。在西校區(qū)有財(cái)務(wù)部、機(jī)房、學(xué)生處。2個校區(qū)都有財(cái)務(wù)部，并劃分到一個VLAN下，具體的架構(gòu)如圖1所示。

4 詳細(xì)配置

（1）東校區(qū)以路由器分別和西校區(qū)和ISP連接，在三層交換機(jī)的連接下，分別連接了3個二層交換機(jī)，分別創(chuàng)建VLAN10，VLAN20，VLAN30，財(cái)務(wù)部歸屬VLAN10，機(jī)房歸屬VLAN20，人事處歸屬VLAN30。

（2）西校區(qū)跟東校區(qū)相似，也分別創(chuàng)建了3個VLAN，財(cái)務(wù)部屬于VLAN10，學(xué)生處屬VLAN40，機(jī)房屬于VLAN20。具體IP地址如下：

東校區(qū)：R0：F0/0：192.168.1.1

F0/1：192.168.1.2 S0/1/0：192.168.2.1

S0/1/1：192.168.2.2 S1：F0/1：192.168.1.3

F0/2：192.168.1.4

西校區(qū)：R2：F0/0：192.168.2.1F0/1：192.168.2.2

S0/1/0：192.16 8.3.1S0/1/1：192.16 8.3.2 S0：F0/1：192.168.2.3

F0/2：192.168.2.4

東校區(qū)部分具體設(shè)備配置如下：

Router>en

Router#configure terminal

Router（config）#eee new-model

Router（config）#eee authorization network login tt local group radius local

Router（config）#eee authorization network yy local group radius local

Router（config）#crypto isakmp policy 10

Router（config-isakmp）#authentication pre-share

Router（config-isakmp）#group 2

Router（config-isakmp）#exit

Router（config）#crypto isak mp client configuration group cisco

Router（config-isakmp-group）#key 270

Router（config-isakmp-group）#pool vpn

Router（config）#crypto map bohai client authentication list tt

Router（config）#crypto map bohai client authorization list yy

Router（config）#crypto map bohai client configuration address respond

Router（config）#radius-server host 192.168.1.20 auth-port 1645 key 270

Router（config）#ip local pool vpn 192.168.1.30 192.168.1.100

Router（config）#inter s0/1/1

Router（config-if）#crypto map bohai

以上是東校區(qū)部分重要設(shè)備的配置命令，其他設(shè)備命令均省略。通過這樣的規(guī)劃可以實(shí)現(xiàn)東校區(qū)和西校區(qū)達(dá)到共處一個校園網(wǎng)的效果，東校區(qū)的財(cái)務(wù)室和西校區(qū)的財(cái)務(wù)室之間可以安全地通信，其他部門之間不屬于同一個區(qū)域，不能直接進(jìn)行通信，保證了各個部門之間的安全性。

5 結(jié)語

隨著目前技術(shù)的快速發(fā)展，網(wǎng)絡(luò)的技術(shù)給各大高校以及企業(yè)的通信提供了基礎(chǔ)，一般核心技術(shù)都在服務(wù)器上，像各大高校內(nèi)的財(cái)務(wù)室，數(shù)據(jù)特別重要，需要安全穩(wěn)定的網(wǎng)絡(luò)，所以會建立VPN技術(shù)以保證安全、可靠，并通過VLAN技術(shù)區(qū)分不同區(qū)域，使不同區(qū)域之間不能直接通信。

本文給出了高校同地多校區(qū)之間不同通信的網(wǎng)絡(luò)架構(gòu)和命令的配置，所有的內(nèi)容都是基于Packet tracer軟件進(jìn)行的模擬，基本涉及網(wǎng)絡(luò)架構(gòu)、路由器和交換機(jī)的配置、服務(wù)器的配置以及遠(yuǎn)程登錄等配置。

[參考文獻(xiàn)]

[1]張梁斌，高昆，梁世斌，等.基于Packet Tracer5.3的集團(tuán)公司異地網(wǎng)絡(luò)架構(gòu)的仿真實(shí)驗(yàn)教學(xué)[J].浙江萬里學(xué)院學(xué)報(bào)，2012（5）：104-110.

[2]王彬，高昆.基于VPN技術(shù)的小型企業(yè)網(wǎng)絡(luò)構(gòu)建[J].浙江萬里學(xué)院學(xué)報(bào)，2015（4）：85-90.

Study on Multi-campus Network Architecture Based on the VLAN Technology

Wang Bin，He Gang

（Bohai Polytechnic Vocational College， Huanghua 061199， China）

Abstract：Based on the VLAN and the realization of VPN technology， research university with multi-campus network architecture， through the PACKET TRACER environment to simulate the construction of multi-campus network， use the cisco configure routers and switches （CCNA） language， VLAN， VPN connection is established to realize the network construction. Between different campus so as to achieve the communication between the same VLAN.

Key words：Packet tracer； VPN； VLAN； multi-campus communication