校園網(wǎng)改造之前在地理分布上有兩個(gè)網(wǎng)絡(luò)，即網(wǎng)絡(luò)中心所在的教學(xué)樓網(wǎng)絡(luò)和教師的辦公樓網(wǎng)絡(luò)。教學(xué)樓每個(gè)樓層的樓層交換機(jī)先直連到本樓的匯聚交換機(jī)，然后再接到網(wǎng)絡(luò)中心的核心千兆二層交換機(jī)上，辦公樓的樓層交換機(jī)先匯聚到辦公樓匯聚交換機(jī)上，然后通過光纖接到教學(xué)樓的核心交換機(jī)上（如圖1）。

存在問題

原來的校園網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)存在以下幾個(gè)明顯問題：

1.教學(xué)樓和辦公樓的兩個(gè)物理網(wǎng)絡(luò)并沒有在邏輯上分開，雖然上級(jí)分配了兩個(gè)網(wǎng)段，但因?yàn)闆]有路由器或三層交換機(jī)，所以在校內(nèi)不可能嚴(yán)格分開兩個(gè)網(wǎng)段，這直接導(dǎo)致了校內(nèi)IP地址沖突問題嚴(yán)重。

2.學(xué)校的網(wǎng)絡(luò)設(shè)備較低級(jí)，最好的核心千兆以太網(wǎng)交換機(jī)僅為非網(wǎng)管的Netcore NSD 1324D二層交換機(jī)，不支持VLAN劃分，這就形成了所有的校內(nèi)設(shè)備都位于一個(gè)廣播域內(nèi)，一旦產(chǎn)生廣播風(fēng)暴，對(duì)整個(gè)網(wǎng)絡(luò)的性能影響極大。

圖1 原網(wǎng)絡(luò)拓?fù)鋱D

3.網(wǎng)絡(luò)擴(kuò)展困難，因?yàn)闆]法細(xì)化網(wǎng)段，隨著學(xué)校上網(wǎng)節(jié)點(diǎn)的增加，進(jìn)一步增大了IP地址沖突和網(wǎng)絡(luò)風(fēng)暴問題。

4.機(jī)房的控制問題，兩個(gè)機(jī)房均是教師機(jī)和其他學(xué)生機(jī)都連到機(jī)房交換機(jī)上，但實(shí)際使用中往往會(huì)產(chǎn)生兩種需求：一是教師機(jī)需要和學(xué)生機(jī)連到同一個(gè)網(wǎng)絡(luò)，因?yàn)橐褂闷聊粡V播軟件進(jìn)行演示教學(xué)；二是教師機(jī)需要隨時(shí)連接因特網(wǎng)，但學(xué)生機(jī)只有需要的時(shí)候才能連接上網(wǎng)。原始的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)導(dǎo)致了要么教師和學(xué)生都能上網(wǎng)，要么都不能上，無法進(jìn)行按需控制。

改造后情況

后來，學(xué)校購置了高性能多層交換機(jī)RG-S5750-24GT作為核心交換機(jī)，一臺(tái)DELL服務(wù)器提供WWW和FTP等服務(wù)，兩臺(tái)流媒體服務(wù)器作監(jiān)控用，另外，新翻修了老辦公樓改為實(shí)訓(xùn)樓，需要接入校園網(wǎng)（如圖2）。

圖2 改造后的網(wǎng)絡(luò)拓?fù)鋱D

改進(jìn)的地方與解決方案

1.由于升級(jí)了交換機(jī)，教育局進(jìn)一步下放了兩個(gè)網(wǎng)段的劃分權(quán)限。原本設(shè)置在教育局的兩個(gè)網(wǎng)段的網(wǎng)關(guān)，現(xiàn)在轉(zhuǎn)移到我校自己的核心交換機(jī)上，網(wǎng)絡(luò)結(jié)構(gòu)更加靈活、便利。

2.利用三層交換機(jī)的VLAN劃分及路由功能，根據(jù)實(shí)際需要，在核心交換機(jī)上，我們主要?jiǎng)澐至似邆€(gè)VLAN。

3.對(duì)機(jī)房網(wǎng)絡(luò)的改進(jìn)。為實(shí)現(xiàn)對(duì)學(xué)生上網(wǎng)的有效控制，機(jī)房1里的教師機(jī)改為直接連到匯聚交換機(jī)上，而機(jī)房1交換機(jī)負(fù)責(zé)學(xué)生機(jī)的網(wǎng)絡(luò)連接，實(shí)際使用中，若將機(jī)房1交換機(jī)與匯聚交換機(jī)相連（連接圖2中①處，斷開③處），則實(shí)現(xiàn)了局域網(wǎng)的廣播教學(xué)，但學(xué)生機(jī)無法連上因特網(wǎng)，而若將機(jī)房1交換機(jī)直接與核心交換機(jī)相連（連接圖2中③處，斷開①處），則可實(shí)現(xiàn)學(xué)生機(jī)的上網(wǎng)。此方案的配置要點(diǎn)：

1）教師機(jī)只有一個(gè)網(wǎng)卡，因此要給教師機(jī)的網(wǎng)卡配置雙 網(wǎng) 段 地 址（VLAN 10和VLAN 20），就可實(shí)現(xiàn)教師機(jī)總是可以通過VLAN 10的IP地址上網(wǎng)，同時(shí)，當(dāng)與機(jī)房1的交換機(jī)連接時(shí)，又可通過教師機(jī)端程序控制學(xué)生機(jī)（VLAN 20的IP地址）。

2）此設(shè)計(jì)要防止網(wǎng)絡(luò)環(huán)路問題，要確保機(jī)房1交換機(jī)同一時(shí)刻只能連接匯聚交換機(jī)或者核心交換機(jī)，而不能同時(shí)相連，即圖2中①和③不能同時(shí)相連。

3）為加強(qiáng)對(duì)學(xué)生機(jī)上網(wǎng)的集中控制，可采用在三層交換機(jī)上進(jìn)行MAC地址綁定，從而實(shí)現(xiàn)機(jī)房1的學(xué)生機(jī)只能通過VLAN 20接口（即連接圖2的③處）上網(wǎng)，即使學(xué)生私自改動(dòng)IP地址為教師機(jī)所在的VLAN 10地址段也不能通過接入VLAN 10網(wǎng)絡(luò)上網(wǎng)（圖2的①處）。

4）這種拓?fù)浣Y(jié)構(gòu)最終控制權(quán)回到了網(wǎng)絡(luò)中心的核心交換機(jī)上（學(xué)生機(jī)若要上網(wǎng)，只能直連核心交換機(jī)），因?yàn)閷W(xué)生機(jī)并不需要總是連接因特網(wǎng)，實(shí)際操作中，可以要求教師在上機(jī)前到網(wǎng)絡(luò)中心申請(qǐng)學(xué)生機(jī)連接公網(wǎng)，下課后斷開學(xué)生網(wǎng)絡(luò)的方式來加強(qiáng)管理與控制，同時(shí)也能有效防止環(huán)路。

5）對(duì)于機(jī)房2的改進(jìn)（如圖2），與機(jī)房1類同，但也要確保圖2中的②和④兩處線路不能同時(shí)連接，以防環(huán)路。

4.單獨(dú)劃分一個(gè)VLAN 40給監(jiān)控網(wǎng)絡(luò)，VLAN 50給辦公網(wǎng)絡(luò)，VLAN 60給web服務(wù)器（配置雙網(wǎng)卡、雙網(wǎng)線連接、雙網(wǎng)段IP，分別對(duì)應(yīng)內(nèi)網(wǎng)網(wǎng)段和外網(wǎng)網(wǎng)段，如圖2），VLAN 70用于向上連接教育局網(wǎng)絡(luò)。這樣就實(shí)現(xiàn)了幾個(gè)相對(duì)獨(dú)立網(wǎng)絡(luò)之間的隔離。

5.由于當(dāng)初老辦公樓建設(shè)時(shí)對(duì)網(wǎng)絡(luò)布線方面考慮不足，各個(gè)房間都沒有網(wǎng)絡(luò)信息模塊插座，為了美觀與方便，決定采用無線網(wǎng)絡(luò)的方式連到校園網(wǎng)中，而新老辦公樓之間的距離較近（100米以內(nèi)），因此直接用雙絞線從新辦公樓的信息插座通過地下線纜敷設(shè)連接到了老辦公樓的主無線路由器上，然后在每個(gè)樓層放置2臺(tái)無線路由器，并進(jìn)行無線路由器之間的橋接，同時(shí)給樓內(nèi)的臺(tái)式機(jī)配備了USB無線網(wǎng)卡，從而實(shí)現(xiàn)了實(shí)訓(xùn)樓低成本、美觀地接入校園網(wǎng)。

核心三層交換機(jī)的典型配置

校園網(wǎng)升級(jí)后的優(yōu)勢(shì)

1.通過VLAN的劃分隔離了廣播域，有效地控制了廣播風(fēng)暴的發(fā)生，強(qiáng)化了網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，減少了不必要的數(shù)據(jù)廣播，顯著增強(qiáng)了校園網(wǎng)的穩(wěn)定性、安全性與健壯性。

2.使用MAC地址綁定技術(shù)，在VLAN中綁定已用IP地址為實(shí)際主機(jī)MAC地址，同時(shí)綁定未用IP地址為MAC地址全0，杜絕了IP地址沖突問題，防止了IP地址盜用和私改IP問題，同時(shí)也加強(qiáng)了對(duì)上網(wǎng)機(jī)器的監(jiān)控。

3.通過劃分子網(wǎng)，更有效地利用了地址空間，減少了浪費(fèi)，故障定位與隔離更加方便。后期還可通過VLSM (可變長子網(wǎng)掩碼)，靈活分割剩余地址空間，減小網(wǎng)絡(luò)規(guī)模，進(jìn)一步提高利用率。

4.對(duì)兩個(gè)機(jī)房的改造上，通過分別將其劃分到一個(gè)單獨(dú)的VLAN中，采用內(nèi)外網(wǎng)隔離的方式，結(jié)合網(wǎng)絡(luò)中心的控制，實(shí)現(xiàn)了教師機(jī)的全天候上網(wǎng)和對(duì)學(xué)生機(jī)上網(wǎng)的完全控制，避免了網(wǎng)絡(luò)環(huán)路問題，加強(qiáng)了學(xué)校機(jī)房的上網(wǎng)管理。

結(jié)語

多層交換機(jī)的VLAN技術(shù)中，VLAN的劃分與隔離、VLAN間的通信（主要采用SVI接口配置）等是VLAN應(yīng)用的基礎(chǔ)，由于其配置簡單靈活，現(xiàn)已廣泛應(yīng)用到了企業(yè)網(wǎng)和單位的局域網(wǎng)建設(shè)中，再結(jié)合子網(wǎng)的劃分與靈活配置，能盡可能地發(fā)揮網(wǎng)絡(luò)的性能，同時(shí)可最大程度地減少廣播風(fēng)暴等不利因素的影響。

因此，如何根據(jù)本單位網(wǎng)絡(luò)實(shí)際情況，科學(xué)合理地規(guī)劃與配置網(wǎng)絡(luò)，是每個(gè)網(wǎng)絡(luò)管理者都應(yīng)該認(rèn)真考慮與研究的問題。