當(dāng)前交換技術(shù)的迅速發(fā)展，也加快了虛擬子網(wǎng)技術(shù)(VLAN—Virtual Local Area Network)的應(yīng)用速度，特別是在當(dāng)前校園網(wǎng)上的應(yīng)用更廣泛。通過(guò)將校園網(wǎng)絡(luò)劃分為虛擬子網(wǎng)（VLAN），可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。數(shù)據(jù)廣播在網(wǎng)絡(luò)中起著非常重要的作用，隨著校園網(wǎng)內(nèi)的計(jì)算機(jī)數(shù)量的增加，VOD視頻點(diǎn)播在課堂教學(xué)上的大量應(yīng)用，廣播包的數(shù)量也會(huì)急劇增加，當(dāng)廣播包的數(shù)量占到總量的30%時(shí)，網(wǎng)絡(luò)的傳輸效率將會(huì)明顯下降。特別是當(dāng)某網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，會(huì)不停地向網(wǎng)絡(luò)發(fā)送廣播，從而導(dǎo)致網(wǎng)絡(luò)風(fēng)暴，使網(wǎng)絡(luò)通信陷于癱瘓。當(dāng)校園網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)數(shù)超過(guò)200臺(tái)后，就必須采取措施將網(wǎng)絡(luò)分隔開(kāi)來(lái)，將一個(gè)大的廣播域劃分成若干個(gè)小的廣播域。

　　分隔廣播域的方式有兩種，一是物理分隔，即將一個(gè)完整網(wǎng)絡(luò)物理地一分為二或一分為多，然后通過(guò)一個(gè)能夠隔離廣播的網(wǎng)絡(luò)設(shè)備將彼此連接起來(lái)。二是邏輯分隔，即將一個(gè)大的網(wǎng)絡(luò)劃分為若干個(gè)小的虛擬子網(wǎng)，也就是VLAN，各虛擬子網(wǎng)間通過(guò)路由設(shè)備連接實(shí)現(xiàn)通訊。

　　一、VLAN技術(shù)的優(yōu)點(diǎn)

　　1、降低移動(dòng)和變更的管理成本

　　在學(xué)校里，由于教學(xué)人員的變更比較頻繁，當(dāng)把一臺(tái)計(jì)算機(jī)從一個(gè)子網(wǎng)轉(zhuǎn)移到另一個(gè)子網(wǎng)，如果使用了VLAN，遷移的工作只是在交換機(jī)上重新定義VLAN即可，尤其是采用網(wǎng)卡的MAC地址來(lái)劃分VLAN時(shí)，交換機(jī)能夠自動(dòng)跟蹤該終端的MAC地址，并自動(dòng)將其納如定義的VLAN中，對(duì)于網(wǎng)絡(luò)管理而言，可以輕松完成變更。假若使用物理手段劃分子網(wǎng)，這種遷移所耗費(fèi)的精力和時(shí)間相當(dāng)可觀的。

　　2、控制廣播

　　由于不同的VLAN都是一個(gè)獨(dú)立的廣播域，而廣播只能在本地VLAN內(nèi)進(jìn)行，從而大大減少了廣播對(duì)網(wǎng)絡(luò)帶寬的占用，提高了帶寬傳輸效率，并可以有效地避免廣播風(fēng)暴的產(chǎn)生。

　　3、增強(qiáng)網(wǎng)絡(luò)的安全性

　　由于交換機(jī)只能在同一VLAN內(nèi)的端口之間交換數(shù)據(jù)，不同VLAN的端口不能直接訪問(wèn)，因此，通過(guò)劃分VLAN可以提高網(wǎng)絡(luò)的安全性。

　　4、網(wǎng)絡(luò)監(jiān)督和管理的自動(dòng)化

　　網(wǎng)絡(luò)管理員可以通過(guò)網(wǎng)管軟件可以查詢VLAN間和VLAN內(nèi)通信的數(shù)據(jù)包的分類信息，以及應(yīng)用數(shù)據(jù)包的分類信息，這些信息可以確定路由系統(tǒng)和經(jīng)常訪問(wèn)的服務(wù)器的配置十分有用。通過(guò)劃分VLAN可以使網(wǎng)絡(luò)管理變的更加簡(jiǎn)單、有效。

　　二、VLAN實(shí)現(xiàn)的途徑

　　1、基于端口的VLAN，就是將交換機(jī)中的若干個(gè)端口定義為一個(gè)VLAN，同一個(gè)VLAN中的計(jì)算機(jī)具有相同的網(wǎng)絡(luò)地址，不同VLAN之間進(jìn)行通訊需要通過(guò)三層路由協(xié)議。采用這種方式的VLAN在工作過(guò)程中，把一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)遷移時(shí)，如果新舊端口不在一個(gè)VLAN內(nèi)，則用戶必須對(duì)該端口重新設(shè)置。對(duì)于不同年級(jí)、科室互相訪問(wèn)時(shí)，可以通過(guò)路由器轉(zhuǎn)發(fā)，并配合MAC地址的端口過(guò)濾，就可以防止非法入侵和IP地址的盜用問(wèn)題。

　　2、基于MAC地址的VLAN，這種VLAN一旦劃分完成，無(wú)論節(jié)點(diǎn)在網(wǎng)絡(luò)上怎樣移動(dòng)，由于MAC地址保持不變，因此不需要重新配置。但是如果新增加節(jié)點(diǎn)的話，需要對(duì)交換機(jī)進(jìn)行復(fù)雜的配置，以確定該節(jié)點(diǎn)屬于哪一個(gè)VLAN。

　　3、基于IP地址的VLAN，新增加節(jié)點(diǎn)時(shí)，無(wú)須進(jìn)行太多配置，交換機(jī)根據(jù)IP地址會(huì)自動(dòng)將其劃分到不同的VLAN。這中VLAN智能化，實(shí)現(xiàn)復(fù)雜。一旦離開(kāi)該VLAN，原IP地址將不可用，從而防止了非法用戶通過(guò)修改IP地址來(lái)越權(quán)使用資源。

　　三、VLAN的配置

　　因?yàn)閷?duì)于不同的交換機(jī)，VLAN配置都有差異，并不是所有的交換機(jī)都支持VLAN和VLAN的三個(gè)實(shí)現(xiàn)途徑，有的交換機(jī)只支持基于端口的VLAN，而不支持基于MAC地址的VLAN等。現(xiàn)結(jié)合我校的校園網(wǎng)絡(luò)設(shè)備，介紹一下VLAN的配置。

　　我校的校園網(wǎng)共有節(jié)點(diǎn)650個(gè)，中心交換機(jī)采用Avaya Cajun P580，樓層交換機(jī)全部采用Avaya Cajun P334T 48口交換機(jī)，電信寬帶經(jīng)CISCO 2621路由器接入校園網(wǎng)。學(xué)校按年級(jí)、科室共劃分7個(gè)VLAN，從而有效地控制了網(wǎng)絡(luò)風(fēng)暴的產(chǎn)生，提高了網(wǎng)絡(luò)傳輸?shù)挠行屎途W(wǎng)絡(luò)的安全性。
對(duì)于Avaya Cajun P580 三層中心交換機(jī)和P334T交換機(jī)的采用基于端口的VLAN劃分是一個(gè)很輕松的事情，該交換機(jī)支持WEB和命令行（CLI）界面的管理，特別是WEB界面管理，直觀方便，但是不如命令行（CLI）功能強(qiáng)大。由于P580為中心交換機(jī)，各樓層間的P334T交換機(jī)經(jīng)千兆光纖與P580相連，因此VLAN的劃分一是在P580上直接端口劃分，對(duì)與P334T交換機(jī)連接的光纖端口設(shè)置成主干線路，這樣在Cajun P334T交換機(jī)上可以同時(shí)定義多個(gè)VLAN，通過(guò)在P580上設(shè)置三層路由協(xié)議實(shí)現(xiàn)各VLAN之間的通訊。

　　登陸到P580，進(jìn)入配置模式設(shè)置VLAN：

　　1、新建VLAN：set vlan vlan_id name vlan_name

　　2、選擇欲配置的接口：interface vlan vlan_id

　　3、配置該VLAN的IP地址和子網(wǎng)掩碼：ip address ip_address subsnet_mask

　　4、設(shè)置三層路由關(guān)聯(lián)，實(shí)現(xiàn)VLAN間的通訊：ip vlan vlan_id

　　5、保存設(shè)置：copy run config

　　P580與P334T相連接的千兆光纖接口設(shè)置trunk，以實(shí)現(xiàn)交換機(jī)之間的互連，P580設(shè)置：　

　　1、綁定ieee-802.1q VLAN間通訊協(xié)議：set port trunking-format 模塊號(hào)/端口號(hào) ieee-802.1q　

　　2、設(shè)置主干：set port vlan-binding-mothod 模塊號(hào)/端口號(hào) bingd-to-all　

　　同樣對(duì)P334T相應(yīng)的與P580互連端口作Trunk，進(jìn)入配置模式設(shè)置：　

　　1、set port trunking-fromat 模塊號(hào)/端口號(hào) ieee-802.1q　

　　2、set port vlan-binding-method模塊號(hào)/端口號(hào) bind-to-all　

　　這樣，交換機(jī)互連通訊后，就可以在P334T上劃分VLAN了。進(jìn)入P334T的配置模式，用命令行：set port vlan vlan_id 模塊號(hào)/端口號(hào)，就可以把端口分到相應(yīng)的VLAN內(nèi)?！?

　　四、結(jié)束語(yǔ)　

　　VLAN技術(shù)的應(yīng)用，使網(wǎng)絡(luò)工作組的劃分突破了地理位置的限制，而完全根據(jù)管理功能來(lái)劃分，這種基于工作流的分組模式很適合校園網(wǎng)的教學(xué)部門(mén)的劃分。隨著校園網(wǎng)絡(luò)的規(guī)模不斷擴(kuò)大和發(fā)展，使VLAN技術(shù)在校園網(wǎng)上得到更廣泛的應(yīng)用。