計算機網(wǎng)絡(luò)畢業(yè)論文--基于vlan技術(shù)的校園網(wǎng)建設(shè)

1、<p><b>　　畢業(yè)設(shè)計</b></p><p>　　題 目 基于VLAN技術(shù)的校園網(wǎng)建設(shè) </p><p>　　系 部 物 流 信 息 系 </p><p>　　專 業(yè) 計 算 機 網(wǎng) 絡(luò)

2、 </p><p>　　班 級 </p><p>　　姓 名 </p><p>　　指導(dǎo)教師 </p

3、><p>　　二0一一年十二月八日</p><p><b>　　摘要</b></p><p>　　隨著計算機網(wǎng)絡(luò)的高速發(fā)展，大大加快了校園網(wǎng)建設(shè)和應(yīng)用的步伐，在校園網(wǎng)中，網(wǎng)絡(luò)應(yīng)用不斷增長，網(wǎng)絡(luò)變得越來越擁擠，沖突不斷產(chǎn)生，網(wǎng)絡(luò)受到的威脅也不斷增加，管理難度日益加大。因此，學(xué)校對于校園網(wǎng)的組建要求越來越高，客觀上要求LAN本身的結(jié)構(gòu)可以實現(xiàn)動態(tài)組建、

4、調(diào)整和管理，從而加快了虛擬子網(wǎng)技術(shù)的應(yīng)用速度。本文通過對校園網(wǎng)進行VLAN規(guī)劃，詳細(xì)的介紹VLAN的相關(guān)知識。在校園網(wǎng)建設(shè)中使用思科交換機3560、2950和路由器2811配置校園VLAN。在校園網(wǎng)中合理的劃分VLAN，可通過端口隔離充分防止沖突的產(chǎn)生，并且可以簡化校園網(wǎng)的管理及提高網(wǎng)絡(luò)的安全性。</p><p>　　關(guān)鍵詞：VLAN 校園網(wǎng) 沖突 網(wǎng)絡(luò)安全</p><p><

5、b>　　目　錄</b></p><p>　　第一章VLAN技術(shù)概述1</p><p>　　1．1 VLAN的基本概念1</p><p>　　1．2 VLAN實現(xiàn)原理1</p><p>　　1．3 VLAN技術(shù)在校園網(wǎng)的應(yīng)用中的意義2</p><p>　　第二章 VLAN的劃分4<

6、/p><p>　　第三章 基于VLAN交換機的互聯(lián)方式6</p><p><b>　　3.1接入鏈路6</b></p><p><b>　　3.2中繼鏈路6</b></p><p>　　第四章 VLAN間的路由7</p><p>　　4．1 路由器實現(xiàn)VLAN間的通信

7、7</p><p>　　4．2 用三層交換機代替路由器實現(xiàn)VLAN間的通信7</p><p>　　第五章 校園網(wǎng)VLAN及IP地址規(guī)劃9</p><p>　　第六章 VLAN技術(shù)在校園網(wǎng)中的實現(xiàn)10</p><p>　　第七章 VLAN的配置過程及驗證12</p><p>　　7．1 VLAN的配置過程1

8、2</p><p>　　7．2 實驗結(jié)果驗證14</p><p><b>　　總結(jié)17</b></p><p><b>　　致謝18</b></p><p><b>　　參考文獻：19</b></p><p>　　第一章VLAN技術(shù)概述<

9、/p><p>　　校園網(wǎng)是給學(xué)校師生提供教學(xué)、信息查詢和校園管理的一種寬帶網(wǎng)絡(luò)；是學(xué)校信息化教學(xué)和實現(xiàn)各項智能管理的基礎(chǔ)；是建立遠程教育體系的基本保障。隨著校園網(wǎng)中計算機，交換機等網(wǎng)絡(luò)設(shè)備數(shù)量的不斷增加，網(wǎng)絡(luò)流量也隨之增大，使得網(wǎng)絡(luò)出現(xiàn)了各種問題和故障。最主要的問題是廣播風(fēng)暴和IP和沖突，這兩個問題會導(dǎo)致校園網(wǎng)絡(luò)癱瘓，極大的影響了校園網(wǎng)的使用。對于網(wǎng)絡(luò)管理者而言，急需一種技術(shù)來解決這些問題，這就是現(xiàn)在在交換式網(wǎng)絡(luò)中廣

10、泛應(yīng)用的虛擬局域網(wǎng)(VLAN)技術(shù)。VLAN作為一種新型網(wǎng)絡(luò)技術(shù)，能夠為解決網(wǎng)絡(luò)終端節(jié)點的靈活配置和網(wǎng)絡(luò)安全性等問題提供良好手段。因此，VLAN技術(shù)被廣泛應(yīng)用于網(wǎng)絡(luò)建設(shè)中，從而為提高網(wǎng)絡(luò)的工作效率發(fā)揮更大作用。隨著校園網(wǎng)絡(luò)的規(guī)模不斷擴大和發(fā)展，也使得VLAN技術(shù)在校園網(wǎng)得更廣泛應(yīng)用。</p><p>　　1．1 VLAN的基本概念</p><p>　　虛擬局域網(wǎng)(VLAN)，是英文Vir

11、tual Local Area Network的縮寫，是指在交換式網(wǎng)絡(luò)中，把物理局域網(wǎng)劃分成多個獨立的邏輯子網(wǎng)，使網(wǎng)絡(luò)中的站點不受物理位置的限制，可以根據(jù)需要靈活地加入、刪除不同的邏輯子網(wǎng)的一種新興網(wǎng)絡(luò)技術(shù)。 </p><p>　　一個VLAN中的站點所發(fā)送的廣播數(shù)據(jù)包將僅轉(zhuǎn)發(fā)至屬于同一VLAN的站點。因此在大型網(wǎng)絡(luò)中使用VLAN，可以縮小廣播域，提高網(wǎng)絡(luò)的傳輸效率，從而大致提高網(wǎng)絡(luò)性能的目的。</p>

12、;<p>　　1．2 VLAN實現(xiàn)原理</p><p>　　VLAN交換機在接收到一個數(shù)據(jù)包后，首先會對這個數(shù)據(jù)包進行檢查，將該數(shù)據(jù)包的目的地址與VLAN配置數(shù)據(jù)庫中的MAC地址（這些MAC地址可以是靜態(tài)配置的也可以是動態(tài)學(xué)習(xí)而得到的）比較，如果數(shù)據(jù)包的目的地址在同一VLAN中，那么交換機把一個 VLAN標(biāo)識加到這個數(shù)據(jù)包上，再將該數(shù)據(jù)包轉(zhuǎn)發(fā)到相應(yīng)的目的地；如果數(shù)據(jù)包的目的地址不在同一VLAN中，

13、VLAN交換機則不更改數(shù)據(jù)包直接轉(zhuǎn)發(fā)。</p><p>　　比如交換機的1～5端口都屬于VLAN 2，那么當(dāng)端口1有一個數(shù)據(jù)包進來時，交換機自動檢測到該數(shù)據(jù)包有沒有8021Q標(biāo)簽頭時，若沒有則會自動為該數(shù)據(jù)包添加VLAN 2的標(biāo)簽頭，然后再將數(shù)據(jù)包轉(zhuǎn)交給交換機的數(shù)據(jù)庫查詢模塊，數(shù)據(jù)庫查詢模塊會根據(jù)數(shù)據(jù)包的目的地址和所屬VLAN對數(shù)據(jù)包進行路由，之后轉(zhuǎn)交給轉(zhuǎn)發(fā)模塊，因為實際上發(fā)送端口所連的以太網(wǎng)段的計算機是不能識別

14、這種數(shù)據(jù)包的，所以，當(dāng)轉(zhuǎn)發(fā)模塊看到這是一個包含VLAN標(biāo)簽頭的數(shù)據(jù)包時，會自動將數(shù)據(jù)包進來時交換機添加的VLAN標(biāo)簽頭去掉。如果發(fā)送端口所連的以太網(wǎng)段的計算機能識別VLAN標(biāo)簽頭，那么交換機就不需要添加或刪除VLAN標(biāo)簽頭了。交換機是否刪除VLAN標(biāo)簽頭這要看發(fā)送端口所連的以太網(wǎng)段的主機是否能識別這類數(shù)據(jù)包，即交換機的端口是哪種類型的端口。通常用于連接兩臺交換機的端口都是TagAware端口，這樣在交換機之間交換數(shù)據(jù)包時就無須去掉VLA

15、N標(biāo)簽頭。</p><p>　　1．3 VLAN技術(shù)在校園網(wǎng)的應(yīng)用中的意義</p><p>　　計算機網(wǎng)絡(luò)影響了現(xiàn)代生活的很多方面，各大高校內(nèi)部都建立起了局域網(wǎng)，隨著校園網(wǎng)絡(luò)規(guī)模的不斷膨脹,網(wǎng)絡(luò)負(fù)荷不斷增大,當(dāng)信道中廣播包的數(shù)量占到總量的30%時,網(wǎng)絡(luò)的傳輸效率將會明顯下降甚至形成廣播風(fēng)暴,引起網(wǎng)絡(luò)堵塞。同時,網(wǎng)絡(luò)受到更多的安全威脅,管理也變得越來越復(fù)雜,網(wǎng)絡(luò)可用性大大降低。在局域網(wǎng)中應(yīng)

16、用VLAN技術(shù)可以把互相通信比較頻繁的用戶劃分到同一個VLAN中，這樣在同一個工作組中的信息傳輸只在同一個組內(nèi)廣播，從而有效地減小了廣播風(fēng)暴對局域網(wǎng)網(wǎng)絡(luò)的影響，也減輕了因廣播包被截獲而引起的信息泄露，增強了網(wǎng)絡(luò)的安全性。</p><p>　　一個VLAN可以根據(jù)部門職能、對象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動。利用虛擬網(wǎng)絡(luò)技術(shù)

17、，大大減輕了網(wǎng)絡(luò)管理和維護工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護費用。在一個交換網(wǎng)絡(luò)中，VLAN提供了網(wǎng)段和機構(gòu)的彈性組合機制。</p><p>　　在校園網(wǎng)的建設(shè)中應(yīng)用VLAN技術(shù)，主要有以下幾方面的積極意義：</p><p>　　第一，提高網(wǎng)絡(luò)性能。</p><p>　　對于大型網(wǎng)絡(luò)，當(dāng)信道中廣播包的數(shù)量占到總量的30%時，網(wǎng)絡(luò)的傳輸效率將會下降甚至形成廣播風(fēng)暴，引起網(wǎng)絡(luò)堵

18、塞。為了解決這一問題，可以通過對網(wǎng)絡(luò)劃分多個虛擬局域網(wǎng)，把經(jīng)常通信的站點劃分到同一VLAN下，因為同一VLAN的廣播包只在同一VLAN中進行傳播，這樣可以把廣播限制在各個VLAN內(nèi)，從而減少整個網(wǎng)絡(luò)范圍內(nèi)廣播包的傳輸。</p><p>　　第二，增強網(wǎng)絡(luò)安全性。</p><p>　　在交換機上劃分VLAN以后，VLAN與VLAN之間不能直接通信，要想實現(xiàn)VLAN間的通信，必須通過三層交換設(shè)

19、備或路由設(shè)備來完成。可以通過路由訪問列表和端口分配等VLAN劃分原則，控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同 VLAN 中，從而提高校園網(wǎng)的整體性能和安全性。如果結(jié)合相應(yīng)的網(wǎng)絡(luò)技術(shù)還可以方便地控制校園網(wǎng)用戶的登陸地點，例如開啟交換機的認(rèn)證功能 ,校園網(wǎng)用戶在登陸校園網(wǎng)前首先要進行身份認(rèn)證，可以將認(rèn)證帳號綁定到具體的VLAN中，這樣只有具備相應(yīng)VLAN認(rèn)證帳號的用戶才能在指定的VALN登陸校園網(wǎng)絡(luò)。</p>

20、<p>　　第三，網(wǎng)絡(luò)管理簡單、直觀。 </p><p>　　應(yīng)用VLAN技術(shù)組建的校園網(wǎng)，可以根據(jù)各部門職能、對象組，將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動。利用VLAN技術(shù)，大大減輕了網(wǎng)絡(luò)管理員管理和維護網(wǎng)絡(luò)的工作負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護費用。實現(xiàn)了網(wǎng)段和機構(gòu)的彈性組合機制。</p><p>　　第四，降低

21、移動和變更的管理成本。</p><p>　　在學(xué)校里，由于教學(xué)人員的變更比較頻繁，當(dāng)把一臺計算機從一個子網(wǎng)轉(zhuǎn)移到另一個子網(wǎng)，如果使用了VLAN，遷移的工作只是在交換機上重新定義VLAN即可，尤其是采用網(wǎng)卡的MAC地址來劃分VLAN時，交換機能夠自動跟蹤該終端的MAC地址，并自動將其納如定義的VLAN中，對于網(wǎng)絡(luò)管理而言，可以輕松完成變更。假若使用物理手段劃分子網(wǎng)，這種遷移所耗費的精力和時間相當(dāng)可觀的。</p

22、><p>　　第二章 VLAN的劃分</p><p>　　目前，廣域網(wǎng)和局域網(wǎng)技術(shù)得到廣泛推廣和應(yīng)用。尤更其是局域網(wǎng)技術(shù)發(fā)展快，從傳統(tǒng)LAN到交換LAN，再發(fā)展到虛擬LAN即VLAN。VLAN技術(shù)較傳統(tǒng)LAN技術(shù)前進了一大步，讓我們在遼闊的信息領(lǐng)域中擁有屬于自己的空間。</p><p>　　VLAN建立在局域網(wǎng)交換機的基礎(chǔ)之上，是局域交換網(wǎng)的靈魂。這是因為通過VLAN用

23、戶能方便地在網(wǎng)絡(luò)中移動和快捷地組建寬帶網(wǎng)絡(luò)，而無需改變?nèi)魏斡布屯ㄐ啪€路。這樣，網(wǎng)絡(luò)管理員就能從邏輯上對用戶和網(wǎng)絡(luò)資源進行分配，而無需考慮物理連接方式。VLAN充分體現(xiàn)了現(xiàn)代網(wǎng)絡(luò)技術(shù)的重要特征：高速、靈活、管理簡便和擴展容易。是否具有VLAN功能是衡量局域網(wǎng)交換機的一項重要指標(biāo)。網(wǎng)絡(luò)的虛擬化是未來網(wǎng)絡(luò)發(fā)展的潮流。</p><p>　　VLAN作為一種新型網(wǎng)絡(luò)技術(shù)，能夠為解決網(wǎng)絡(luò)站點的靈活配置和網(wǎng)絡(luò)安全性等問題提供

24、良好手段。雖然VLAN技術(shù)目前還存在諸如技術(shù)標(biāo)準(zhǔn)的統(tǒng)一、VLAN管理的開銷和VALN配置自動化等問題，然而隨著技術(shù)的進步，這些問題將逐步得到解決。VLAN技術(shù)廣泛應(yīng)用于網(wǎng)絡(luò)建設(shè)，從而為提高網(wǎng)絡(luò)的工作效率發(fā)揮更大作用。隨著校園網(wǎng)絡(luò)的規(guī)模不斷擴大和發(fā)展，也使得VLAN技術(shù)在校園網(wǎng)得更廣泛應(yīng)用。</p><p>　　劃分VLAN時，可依據(jù)不同原則進行VLAN的劃分，一般有以下幾種劃分方法：</p><

25、;p>　?。?）基于端口的VLAN劃分</p><p>　　這種劃分是現(xiàn)在比較流行也是最早的劃分方式，是根據(jù)需要把交換機上的端口劃分成若干個邏輯組。這些端口分組能夠在一臺交換機上也能夠跨越幾個交換機。</p><p>　　一個VLAN的各個端口上的所有終端節(jié)點都在一個廣播域中，不同的VLAN之間不能直接相互訪問，VLAN間的通信需要通過路由來實現(xiàn)。</p><p&

26、gt;　　這是劃分VLAN方法中最簡單、最有效的方法，這種方法只需要網(wǎng)絡(luò)管理員手動將交換機的所有端口根據(jù)需求劃入不同的VLAN中，而不需考慮端口所連接的設(shè)備。</p><p>　　其命令的基本格式為：switchport access vlan vlan-id</p><p>　?。?）基于MAC地址的VLAN劃分</p><p>　　MAC地址是網(wǎng)卡的標(biāo)識符，每一

27、塊網(wǎng)卡的MAC地址都是惟一且固化在網(wǎng)卡上的。此種方式劃分的VLAN，交換機對終端節(jié)點的 MAC地址和交換機端口進行跟蹤，在新終端節(jié)點接入網(wǎng)絡(luò)時根據(jù)已經(jīng)定義的VLAN與MAC地址對應(yīng)表將其劃分到某一個VLAN中即可。</p><p>　　這種VLAN一旦劃分完成，無論節(jié)點在網(wǎng)絡(luò)上怎樣移動，由于MAC地址保持不變，仍然是所屬VLAN的成員，不需重新劃分。因此適合有較多移動設(shè)備的LAN。</p><

28、p>　?。?）基于路由的VLAN劃分</p><p>　　路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機（即三層交換機）。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。</p><p>　　（4）基于IP／IPX的VLAN劃分</p><p>　　IP地址由兩部分組成：網(wǎng)絡(luò)號和主機號。若網(wǎng)絡(luò)中的計算機的網(wǎng)絡(luò)號相同，那么這些計算機

29、就屬于同一網(wǎng)段，位于同一網(wǎng)段的計算機并不要求一定要在同一個物理網(wǎng)絡(luò)中。這樣，我們就可以根據(jù)IP地址來劃分VLAN。這種劃分VLAN方式的好處是有利于在VLAN交換機內(nèi)部實現(xiàn)路由功能；也有利于將動態(tài)主機配置（DHCP）技術(shù)結(jié)合起來，而且，用戶可以在移動終端節(jié)點后不用重新配置網(wǎng)絡(luò)地址，便于網(wǎng)絡(luò)管理者的管理。其主要缺點在于效率要比第二層差，因為查看三層IP地址比查看MAC地址所消耗的時間更多。</p><p>　　互聯(lián)

30、網(wǎng)分組交換協(xié)議IPX（Internetwork Packet Exchange protocol)，是一個專用的協(xié)議簇；是Novell NetWare網(wǎng)絡(luò)的網(wǎng)絡(luò)層協(xié)議；是IPX協(xié)議簇中的第三層協(xié)議。所以基于IPX劃分VLAN的方法，就是按照OSI模型的第三層地址設(shè)計出來的。</p><p>　　（5）基于策略的VLAN劃分</p><p>　　這是一種靈活性最好的組成VLAN的方法。在網(wǎng)絡(luò)

31、管理中制定某種策略，使用這種策略向VLAN分配節(jié)點設(shè)備，適用于所有的LAN交換機，實際上這種方法是根據(jù)網(wǎng)絡(luò)管理模式和本單位的需求靈活使用基于交換機端口、MAC地址、IP地址、網(wǎng)絡(luò)層協(xié)議等劃分方法進行VLAN的劃分。</p><p>　?。?）基于用戶定義、非用戶授權(quán)的VLAN劃分</p><p>　　這種劃分方式是指為了適應(yīng)特殊的VLAN網(wǎng)絡(luò)，特殊的網(wǎng)絡(luò)用戶的特別要求來定義和設(shè)計VLAN，

32、且可讓不屬于VLAN群體的用戶對VLAN進行訪問。訪問時需要提供用戶名及密碼，在得到了VLAN管理的認(rèn)證后，方可加入一個VLAN中進行訪問。</p><p>　　（7）基于網(wǎng)絡(luò)協(xié)議的VLAN劃分</p><p>　　基于網(wǎng)絡(luò)層協(xié)議劃分VLAN，可分為DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)。根據(jù)網(wǎng)絡(luò)層協(xié)議劃分出來的VLAN網(wǎng)絡(luò)，可使得廣播域能夠跨越若干個VLAN交換機，

33、這種劃分方法有利于針對有具體應(yīng)用和服務(wù)來組織用戶的網(wǎng)絡(luò)管理員來進行VLAN的規(guī)劃，并且，各VLAN的用戶可以在網(wǎng)絡(luò)中自由移動終端結(jié)點，其VLAN成員身份保持不變。因為廣播域可域跨越多個VLAN交換機，所以容易使得一些VLAN中的終端結(jié)點數(shù)量較多，產(chǎn)生大量廣播包，使VLAN交換機的效率降低。因此這種劃分方法只在有特殊情況時才會使用。</p><p>　　第三章 基于VLAN交換機的互聯(lián)方式</p>&

34、lt;p><b>　　3.1接入鏈路</b></p><p>　　接入鏈路（Access Link）是將非VLAN標(biāo)識的結(jié)點或者非VLAN成員的VLAN設(shè)備接入一個VLAN交換機端口的一個LAN網(wǎng)段上。它不能承載標(biāo)記數(shù)據(jù)。</p><p>　　Access類型的端口只能屬于1個VLAN，一般用于連接計算機的端口。當(dāng)端口配置為Access模式時，則只允許配置一個v

35、lan----這個端口只能承載這個vlan的流量。</p><p>　　發(fā)送數(shù)據(jù)時，Access端口只屬于1個VLAN，如果缺省標(biāo)簽VLAN，那么它的缺省VLAN就是它所在的VLAN，不用重復(fù)設(shè)置。</p><p>　　它是交換機的默認(rèn)鏈路狀態(tài)，其配置命令為：</p><p>　　Switchport mode access</p><p>

36、　　Switchport access vlan 11</p><p><b>　　3.2中繼鏈路</b></p><p>　　中繼鏈路（Trunk Link）是承載標(biāo)記數(shù)據(jù)（即具有VLAN ID的數(shù)據(jù)包）的干道鏈路，它可以承載多個VLAN并且只能支持那些能夠識別VLAN幀格式和VLAN成員資格的VLAN設(shè)備。中繼鏈路經(jīng)常用在兩個VLAN交換機的連接鏈路上。</

37、p><p>　　trunk并非是端口匯聚，而是當(dāng)一個VLAN跨過不同的交換機時，在同一VLAN上但是卻是在不同的交換機上的計算機進行通過時需要使用Trunk。Trunk技術(shù)使得一條物理線路可以傳送多個VLAN的數(shù)據(jù)。交換機從屬于某一VLAN（例如VLAN 11）的端口接收到數(shù)據(jù)，在Trunk鏈路上進行傳輸前，會加上一個標(biāo)記，表明該數(shù)據(jù)是VLAN 11的；到了對方交換機，交換機會把該標(biāo)記去掉，只發(fā)送到屬于VLAN 11

38、的端口上。</p><p><b>　　其配置命令為：</b></p><p>　　Switchport mode trunk</p><p>　　第四章 VLAN間的路由</p><p>　　在局域網(wǎng)中對VLAN的合理劃分可縮小網(wǎng)絡(luò)中的廣播域，提高網(wǎng)絡(luò)的傳輸速度，由于屬于不同VLAN中的計算機之間不能直接通信，從而使網(wǎng)

39、絡(luò)安全性能得到了很大提高，但在實際的很多網(wǎng)絡(luò)中是要求處于不同VLAN中的之間能夠相互通信。如果要實現(xiàn)不同VLAN中計算機的相互通信，必須借助網(wǎng)絡(luò)層的路由功能來完成。路由功能即由路由器或帶有路由功能的三層交換機提供。</p><p>　　4．1 路由器實現(xiàn)VLAN間的通信</p><p>　　通過路由器來實現(xiàn)VLAN間通信時，路由器與交換機有兩種連接方式：第一種方式，通過路由器的各個物理接

40、口分別與交換機上的每個VLAN相連；第二種方式，通過路由器的邏輯子接口與交換機上的每個VLAN相連。</p><p>　　（1）通過路由器的各個物理接口分別與交換機上的每個VLAN相連</p><p>　　此方式為直接為每個VLAN在與路由器相連的物理接口上設(shè)置網(wǎng)關(guān)。這種連接方式的好處是對VLAN的管理簡單，缺點則是使網(wǎng)絡(luò)很難擴展。因為每當(dāng)增加一個新的VLAN，都要消耗路由器的一個端口和交

41、換機上的一個端口，并且還需重新布設(shè)一條網(wǎng)線。由于路由器通常不會帶有太多LAN接口。在新建VLAN時，為了應(yīng)對新增的VLAN所需的端口，就必須將路由器升級成帶有多個LAN接口的高端產(chǎn)品，而且還要重新布線，會增加經(jīng)費的開銷，從而使得這種連接方法成為一種不實用的辦法。</p><p>　　（2）通過路由器的邏輯子接口與交換機上的每個VLAN相連</p><p>　　此方式即是配置一個單臂路由。這

42、種連接方式只需要路由器一個以太網(wǎng)接口和交換機連接，交換機與路由器連接的這個接口設(shè)置為Trunk接口即可。接著在路由器上創(chuàng)建對應(yīng)各個VLAN的邏輯子接口，如F0/0.1和F0/0.2。</p><p>　　4．2 用三層交換機代替路由器實現(xiàn)VLAN間的通信</p><p>　　目前有很多三層以上的交換機，都是廠家通過硬件或軟件的方式將路由功能添加到交換機上。由于園區(qū)網(wǎng)中的路由比較簡單，但又

43、對數(shù)據(jù)交換的速率要求較高，所以交換機主要應(yīng)用在園區(qū)網(wǎng)中。因此在大中型園區(qū)網(wǎng)中通常使用交換機來代替路由器。用交換機代替路由器實現(xiàn)VLAN間的相互通信也有兩種方法：第一種方法，就是使用ip routing命令啟用交換機的路由功能，然后配置各VLAN的管理地址和一條通信Internet的默認(rèn)路由。第二種方法，是利用一些高端的交換機，這些交換機支持專用VLAN功能，實現(xiàn)VLAN間的通信，但這種方法花銷太大，不適合實際的需求。</p>

44、<p>　　第五章 校園網(wǎng)VLAN及IP地址規(guī)劃</p><p>　　在IP地址規(guī)劃時，我們已經(jīng)知道IP地址包括公網(wǎng)和專用（私有）兩種類型，公網(wǎng)IP地址又稱為可全局路由的IP地址，是在Internet中使用的IP地址，目前對企業(yè)來說主要是ISP提供的一個或幾個C類地址；而專用（私有）IP地址則包括A、B和C類三種，另外就是Microsoft Windows的APIPA預(yù)留的（169.254.0.0

45、-- 169.254.255.255）網(wǎng)段地址；我們使用專(私)有地址的分配方式來劃分子網(wǎng)，由學(xué)校申請一個公用網(wǎng)絡(luò)號，然后在學(xué)校區(qū)域內(nèi)使用私有地址，當(dāng)校園網(wǎng)訪問外網(wǎng)時通過動（靜）態(tài)印射將私有地址轉(zhuǎn)換為公網(wǎng)地址，而外網(wǎng)請求過來也是通過公網(wǎng)地址然后通過一系列的轉(zhuǎn)換，轉(zhuǎn)換成私有地址。</p><p>　　虛擬局域網(wǎng)(VLAN)將廣播域控制在單個VLAN內(nèi)，從而減少了各個VLAN間主機的廣播通信對其他VLAN的影響。在各

46、VLAN間需要相互通信時，可以使用VLAN間的路由來實現(xiàn)。在日益增大的校園網(wǎng)中，VLAN的的合理劃分顯得尤為重要。</p><p>　　劃分后的校園網(wǎng)各個部門將位于不同VLAN中，各自獨立確保網(wǎng)絡(luò)安全及網(wǎng)絡(luò)高效運行，其中各個VLAN具體對應(yīng)的機構(gòu)設(shè)置及IP地址段分配見表5-1。</p><p>　　表5-1 校園網(wǎng)內(nèi)部VLAN和IP地址</p><p>　　第六章

47、VLAN技術(shù)在校園網(wǎng)中的實現(xiàn)</p><p>　　VLAN劃分在路由器和三層交換機中都可實現(xiàn)，但路由器是基于軟件的路由選擇操作，效率較低，隨著需要路由的數(shù)據(jù)量增大，傳統(tǒng)的路由器將不堪重負(fù)，容易成為網(wǎng)絡(luò)通信瓶頸。</p><p>　　三層交換技術(shù)是指在二層以太網(wǎng)交換設(shè)備基礎(chǔ)上，增加了基于第三層地址的包交換后，形成的一種以太網(wǎng)交換技術(shù)。應(yīng)用此技術(shù)的交換機我們通常稱其為三層交換機。因此在大中型局

48、域網(wǎng)中，以采用三層交換機為主。</p><p>　　以某高校校園網(wǎng)為例，采用三層交換技術(shù)和VLAN技術(shù)相結(jié)合對校園網(wǎng)進行組網(wǎng)劃分。為了簡化校園網(wǎng)的設(shè)計、增加校園網(wǎng)的可擴展性，本校園網(wǎng)的組建擬采用分層的試設(shè)計的網(wǎng)絡(luò)，一般分為接入層、匯聚層及核心層三層模型。接入層連接不同的VLAN，服務(wù)器群直接與匯聚層相連，核心層主要為匯聚層的網(wǎng)絡(luò)提供高速分組轉(zhuǎn)發(fā)，為整個校園網(wǎng)提供一個高速、安全與具有QoS保障能力的數(shù)據(jù)傳輸環(huán)境。從

49、而構(gòu)建安全校園網(wǎng)絡(luò)，抵制廣播風(fēng)暴。</p><p>　　核心層交換機采用Cisco 3560三層交換機，具備路由轉(zhuǎn)發(fā)功能。匯聚層交換機也采用Cisco 3650，接入層交換機采用Cisco 2950，由Cisco 2811路由器與Internet連接。</p><p>　　結(jié)合網(wǎng)絡(luò)功能模塊和網(wǎng)絡(luò)規(guī)模，將學(xué)校劃分7個VLAN。劃分后的校園網(wǎng)絡(luò)拓?fù)鋱D如圖6-1所示。</p>&l

50、t;p>　　圖6-1 網(wǎng)絡(luò)拓?fù)鋱D</p><p>　　第七章 VLAN的配置過程及驗證</p><p>　　7．1 VLAN的配置過程</p><p>　　本方案采用端口劃分方式配置VLAN。首先要在匯聚層交換機上設(shè)置一個VTP管理域（VLAN Trunking Protocol Domain），并將局域網(wǎng)內(nèi)所有的交換機都加入該域，這樣管理域里所有的交換機就

51、能夠了解彼此的VLAN列表。</p><p>　　當(dāng)校園網(wǎng)不斷的擴大，網(wǎng)絡(luò)中的交換機會增多，從而交換機之間鏈路也會隨之增加，交換網(wǎng)絡(luò)的復(fù)雜性也隨之增大，這樣很可能會造成交換環(huán)路問題，這時就需要通過在各交換機上運行生成樹協(xié)議（STP）來解決這些問題。本網(wǎng)絡(luò)將核心交換機命名為Core；匯聚層交換機命名為S3560_1、S3560_2，并設(shè)置為Server模式，以便在該交換機上創(chuàng)建、修改、刪除VLAN及其他一些對整個V

52、TP域的配置參數(shù)；分支交換機分別命名為AccessS_1、AccessS_2、AccessS_3、AccessS_N。</p><p>　　匯聚層交換機的配置過程如下：</p><p>　　S3560_1(config) #vtp mode server</p><p>　　S3560_1(config) #vtp domain school //配置vtp 管理

53、域名</p><p>　　分支交換機的配置過程如下：</p><p>　　AccessS_1(config) #vtp mode client</p><p>　　AccessS_1(config) #vtp domain school //將AccessS_1加入管理域</p><p>　　為了保證管理域能夠覆蓋所有的分支交換機，要為交換

54、機的接口配置中繼鏈路。配置中繼有兩種常見的幀標(biāo)記技術(shù)：ISL和802.1Q。ISL是CISCO特有的技術(shù)，不能在CISCO交換機和非CISCO交換之間使用，而802.1Q技術(shù)在原有幀的源MAC地址字段后插入標(biāo)記字段，同時用新的FCS字段代替了原有的FCS字段，該技術(shù)是國際標(biāo)準(zhǔn)，得到所有大家的支持。</p><p>　　為了方便校園網(wǎng)以后擴充網(wǎng)絡(luò)設(shè)備時可能會用到其他廠商的網(wǎng)絡(luò)設(shè)備，本設(shè)計中中繼協(xié)議采用802.1Q封

55、裝協(xié)議。</p><p>　　匯聚層交換機S3560_1配置過程如下：</p><p>　　S3560_1 (config) #int g0/1</p><p>　　S3560_1 (config - if) #switchport trunk encapsulation dot1q //配置802.1Q封裝協(xié)議</p><p>　　S3

56、560_1 (config - if) #switchport mode trunk</p><p>　　交換機AccessS_1配置過程如下：</p><p>　　AccessS_1 (config) #int f0/23</p><p>　　AccessS_1 (config - if) #switchport mode trunk</p><

57、;p>　　注：本設(shè)計的接入層交換機采用的是2950交換機。因為2950只能封裝dot1q,因此接入層換機和匯聚層交換機相連的端口都無需執(zhí)行命令switchport trunk encapsulation dot1q。</p><p>　　管理域設(shè)置完成后，開始創(chuàng)建VLAN，先在匯聚層交換機上進行配置：</p><p>　　S3560_1 (config) #vlan 11</p

58、><p>　　S3560_1(config-vlan) #name L1D</p><p><b>　　......</b></p><p>　　S3560_1 (config-vlan) #vlan 100</p><p>　　S3560_1 (config-vlan) #name L2D</p><p

59、>　　VLAN創(chuàng)建完成后，分別配置分支交換機的訪問鏈接（Access Link）端口，將交換機端口劃入相應(yīng)vlan中，并把各端口設(shè)置成快速端口（PortFast）。以交換機AccessS_1為例，將端口1~10劃入vlan 11。</p><p><b>　　配置命令如下：</b></p><p>　　AccessS_1(config) #int range f

60、0/1-11</p><p>　　AccessS_1(config - if) #switchport mode access </p><p>　　//把交換機端口設(shè)置為access模式，說明該端口是用于連接計算機的，而不是用于trunk。</p><p>　　AccessS_1(config - if) #switchport access vlan 11&l

61、t;/p><p>　　AccessS_1(config - if) #spanning-tree portfast //將端口f0/1到f0/22設(shè)置成快速端口</p><p>　　由于處于不同VLAN的計算機之間要相互通信，需要通過三層路由交換機來實現(xiàn)，所以需要給各VLAN分配IP地址。給VLAN分配IP地址有兩種方法：一種方法是給VLAN所有的節(jié)點分配靜態(tài)IP地址；另一種是給VLAN所有

62、的節(jié)點分配動態(tài)IP地址。</p><p>　　本設(shè)計中VLAN間的路由功能由匯聚層的三層交換機S3560_1、S3560_2來完成，采用靜態(tài)分配IP地址的方法。配置時首先使用ip routing命令啟用3層交換機的路由功能，然后為每個VLAN配置默認(rèn)網(wǎng)關(guān)；最后還需要配置內(nèi)網(wǎng)用戶通往外網(wǎng)的默認(rèn)路由，該默認(rèn)路由的下一跳地址為路由器R2811的f0/0的IP地址。</p><p><b&g

63、t;　　具體配置如下所示：</b></p><p>　　S3560_1(config) #ip routing </p><p>　　S3560_1(config - if) #int vlan 11</p><p>　　S3560_1(config - if) #no shut</p><p>　　S3560_1(config

64、 - if) #ip add 192.168.11.254 255.255.255.0</p><p><b>　　......</b></p><p>　　S3560_1(config) #ip route 0.0.0.0 0.0.0.0 192.168.1.254</p><p>　　最后把各個接入VLAN計算機的IP地址設(shè)置成所屬VLAN

65、的網(wǎng)絡(luò)地址的子網(wǎng)地址，并且把所屬VLAN的管理地址設(shè)置為自己的默認(rèn)網(wǎng)關(guān)。這樣，VLAN劃分就完成了。</p><p>　　為了使網(wǎng)絡(luò)管理員可以在不同的子網(wǎng)中遠程登錄到交換機并且對交換機進行配置，我們還必須為交換機設(shè)置一個管理用IP地址和設(shè)置默認(rèn)網(wǎng)關(guān)地址。給交換機設(shè)置管理用IP地址只能在交換機的VLAN 1，即本征VLAN中進行設(shè)置。</p><p>　　按照表1所示，管理VLAN所在的子網(wǎng)

66、是192.168.1.0/24。以接入層交換機AccessS_1為例，AccessS_1的管理IP地址設(shè)置為192.168.1.4，默認(rèn)網(wǎng)關(guān)地址為192.168.1.254，則激活本征VLAN的配置過程如下：</p><p>　　AccessS_1(config) #int vlan 1</p><p>　　AccessS_1(config - if) #ip add 192.168.1.

67、4 255.255.255.0</p><p>　　AccessS_1(config - if) #no shut</p><p>　　AccessS_1(config - i f) #ip default-gateway 192.168.1.254</p><p>　　其他交換機的配置命令相似，這里就不再贅述。</p><p>　　為了保證

68、網(wǎng)絡(luò)中交換機和路由器的安全及正常使用，只有VLAN 100中的計算機能夠遠程登錄到各交換上對其進行相關(guān)操作。具體配置為在各交換機及路由器上設(shè)置ACL訪問控制列表，并把ACL應(yīng)用到遠程登錄接口VTY上，對各VLAN遠程登錄交換機進行限制。</p><p>　　ACL命令為：access-list 10 permit 192.168.100.0 0.0.0.255</p><p>　　7．2

69、 實驗結(jié)果驗證</p><p>　　實驗配置完成后，可以在各交換機上使用show vlan命令查看VLAN的劃分情況（如圖7-1所示），在PC機上使用ping、telnet命令查看網(wǎng)絡(luò)中vlan間的通信是否正常和查看是否只有VLAN 100內(nèi)的PC機可以遠程登錄到交換機和路由器（如圖7-2，圖7-3，圖7-4所示）。</p><p>　　圖7-1 在交換機AccessS_1上查看VLAN的

70、劃分情況</p><p>　　圖7-2 在pc1上測試與pc2和pc3的通信是否正常</p><p>　　圖7-3 在pc1上telnet交換機S3560_1</p><p>　　圖7-4 在pc9上telnet交換機S3560_1</p><p><b>　　總結(jié)</b></p><p>　　本

71、設(shè)計通過使用三層交換技術(shù)和VLAN技術(shù)的結(jié)合來進行基于VLAN技術(shù)的校園局域網(wǎng)的設(shè)計和配置。在設(shè)計過程中使我對大學(xué)三年的理論知識有了更系統(tǒng)更全面的掌握；對計算機網(wǎng)絡(luò)知識有了更進一步的認(rèn)識和了解，特別是在實際網(wǎng)絡(luò)設(shè)備的配置方面有很大的提高。在網(wǎng)絡(luò)建設(shè)中，對VLAN的規(guī)劃有了進一步的認(rèn)識，讓我了解到理論聯(lián)系實際的重要性。</p><p>　　通過對校園網(wǎng)的IP地址的分配和VLAN規(guī)劃，使我深刻的認(rèn)識到，在計算機網(wǎng)絡(luò)建

72、設(shè)中，一定要根據(jù)IP地址分配和VLAN劃分原理來進行網(wǎng)絡(luò)規(guī)劃。并且，還需考慮到實際情況，如網(wǎng)絡(luò)設(shè)備性能、網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)運行管理、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)升級等方面的因素，形成一套合理的、適當(dāng)?shù)腎P地址分配方案和VLAN規(guī)劃方案。這將大大提高網(wǎng)絡(luò)的整體性能，給網(wǎng)絡(luò)管理帶來許多便利。</p><p><b>　　致謝</b></p><p>　　在本論文的寫作過程中，我的指導(dǎo)老師x

73、x老師傾注了大量的心血，從選題到開題報告，從寫作提綱，到一遍又一遍地指出每稿中的具體問題，嚴(yán)格把關(guān)，循循善誘，在此我表示衷心感謝。同時我還要感謝在我學(xué)習(xí)期間給我極大關(guān)心和支持的各位老師以及關(guān)心我的同學(xué)和朋友。</p><p><b>　　參考文獻：</b></p><p>　　[1] 梁廣民,王隆杰.思科網(wǎng)絡(luò)實驗室路由、交換實驗指南[M].</p>&l

74、t;p>　　[2] 甘剛.網(wǎng)絡(luò)設(shè)備配置與管理[M].北京:清華大學(xué)出版社,2007.4</p><p>　　[3] 魏大新,李育龍.CISCO網(wǎng)絡(luò)技術(shù)教程[M].2版.北京:電子工業(yè)出版社，2009.3</p><p>　　[4] 魏大新,李育龍,強振海.CISCO網(wǎng)絡(luò)工程案例精粹[M].北京:電子工業(yè)出版社，2007.4</p><p>　　[5] 郭春柱.

75、網(wǎng)絡(luò)工程師考試案例動手實驗營[M].北京:清華大學(xué)出版社，2008.12</p><p>　　[6] 張青,劉忠耿.VLAN技術(shù)應(yīng)用于校園網(wǎng)的優(yōu)勢及其配置[J].基礎(chǔ)教育,2004(1)：62－66.</p><p>　　[7] 劉勇.基于VLAN技術(shù)的校園局域網(wǎng)建設(shè)[J].商洛學(xué)院學(xué)報,2010.8,24(4)：25-27.</p><p>　　[8] 王巍.交換