隨著我國教育體制的改革，越來越多的高校走向合并辦學的道路。在此背景下組建的高校往往規(guī)模較大，校舍分布也較為分散，為實現(xiàn)高校合并后的統(tǒng)一管理、資源共享，如何對原有的人、財、物、教學、科研和管理等諸方面工作進行有效管理和信息集成是一個重要課題，其中校園網(wǎng)的建設是一項行之有效的重要舉措。

城域網(wǎng)MAN是比局域網(wǎng)LAN覆蓋更大區(qū)域的網(wǎng)絡，合并高校的特殊校情決定了校園網(wǎng)建設在組網(wǎng)技術上的多樣性和復雜性。很多高校的校園網(wǎng)已經(jīng)具備了城域網(wǎng)的規(guī)模。高校組網(wǎng)目前流行3種技術：ATM技術、FDDI技術和千兆以太網(wǎng)技術。其中千兆以太網(wǎng)技術以其價格、管理方便的優(yōu)勢而得到越來越多的應用。橫穿揚州市區(qū)的揚州大學校園網(wǎng)就是一種基于千兆以太網(wǎng)技術的大型城域網(wǎng)。這種基于城域網(wǎng)的超大型校園網(wǎng)如何適應新形勢下的管理體制，達到完美的"并和分"的統(tǒng)一，VLAN的出現(xiàn)解決了這一問題。為此本文著重討論以交換技術為基礎的超大型校園網(wǎng)的VLAN構建和配置策略，從而為在多校區(qū)環(huán)境下，組建高效、先進、安全、實用，滿足多種業(yè)務需求的超大型綜合性校園網(wǎng)提供一套解決方案。

2 VLAN概述

所謂VLAN，就是網(wǎng)絡中的站點不受地理位置限制，可以根據(jù)需要靈活地加入到不同的子網(wǎng)中去的一種網(wǎng)絡技術。在交換式以太網(wǎng)中，利用VLAN技術，將物理網(wǎng)絡和邏輯網(wǎng)絡分開，可以實現(xiàn)在同一主干上同時傳送多個邏輯網(wǎng)絡的數(shù)據(jù)包。從而，有效地減少網(wǎng)絡風暴，提高網(wǎng)絡效率，也使不同的應用需求得到滿足。VLAN的劃分主要有以下3種方式：

(1)基于端口的VLAN就是將交換機中若干端口定義為一個VLAN。同一VLAN中的節(jié)點具有相同的網(wǎng)絡號，不同VLAN間節(jié)點通訊需要通過路由器來進行。采用這種辦法，網(wǎng)絡管理員可以在很短的時間內(nèi)根據(jù)需要完成網(wǎng)絡的動態(tài)管理，不需要因用戶位置的改變而修改配置。

(2)基于MAC地址的VLAN根據(jù)每塊網(wǎng)卡具有惟一的MAC地址這一特點，通過設置每張網(wǎng)卡的VLAN來實現(xiàn)VLAN劃分。這時，無論節(jié)點如何移動，因MAC地址的不變而無需進行網(wǎng)絡地址的重新配置。但這種方式工作量較大，初始設置也非常繁瑣。

(3)基于網(wǎng)絡層的VLAN根據(jù)網(wǎng)絡上應用的網(wǎng)絡協(xié)議和網(wǎng)絡地址劃分VLAN。這種方式針對具體應用和服務來組織網(wǎng)絡是非常方便的。

從以上討論可以看出，無論是從校園網(wǎng)的規(guī)模與特點，還是從網(wǎng)絡協(xié)議與提高網(wǎng)絡性能出發(fā)，都必須劃分子網(wǎng)和VLAN。

3 VLAN技術在超大型校園網(wǎng)中的應用策略

學校合并之后，原有的財務、總務、教學、科研和行政等方面工作應該實行統(tǒng)一管理，但是另一方面各個學院有其特殊的情況，各管理部門也有不同的要求。致使合并后的大學必然要實行統(tǒng)一建制多級管理下的運行模式。這種情況，就對校園網(wǎng)的規(guī)劃和設計提出了更高的要求。為此，本文結合揚州大學校園網(wǎng)建設實踐，提出以下VLAN劃分策略：

(1)采用基于端口的VLAN劃分方式

在學校內(nèi)部，網(wǎng)絡節(jié)點相對比較固定，移動用戶相對較少。另外從安全性考慮，教育網(wǎng)絡的管理應該盡可能定點定人，網(wǎng)絡管理員應限度地保證網(wǎng)絡安全、穩(wěn)定和健康的運行。所以采用基于端口劃分VLAN，可以確保網(wǎng)絡管理員擁有對整個網(wǎng)絡各項改動的權力。 (2)以區(qū)域劃分VLAN為基本策略

要使大量數(shù)據(jù)的傳輸集中在VLAN內(nèi)部，而使VLAN與外界的通信數(shù)據(jù)流量盡可能的少。這對網(wǎng)絡的管理和改造是十分有利的。因為合并高校大部分實行統(tǒng)一建制分級管理的模式，這就決定了各校區(qū)除與學校本部發(fā)生流量之外，大部分集中在各校區(qū)內(nèi)部，校區(qū)之間幾乎不發(fā)生流量。因此，校園網(wǎng)應主要采用以校區(qū)為區(qū)域劃分VLAN的基本策略。這樣，各校區(qū)主要業(yè)務在各自校區(qū)VLAN內(nèi)進行，而上連至校本部的主干信道將保留足夠的帶寬，以確保校區(qū)內(nèi)節(jié)點訪問學校或校外信息。當然，在網(wǎng)絡運行高峰時，也可能會引起網(wǎng)絡性能的下降。對此，可以考慮在校區(qū)內(nèi)設立鏡像服務器和代理來加以解決。

(3)滿足應用需求，突出功能劃分

學校合并后，雖然各校區(qū)具有相對的獨立性，但是，教學設備、科研資源、總務后勤、財務、圖書等支撐項目實行了統(tǒng)一管理?？墒菫榉奖愎ぷ鳎岣吖ぷ餍?，又不可能將所有這些支撐項目集中到一個地方。因此，在劃分VLAN時，要充分考慮到應用的實際需求。強調(diào)以功能劃分VI．AN就成為了重要策略。實施中，我們以工作站和服務器的邏輯歸屬劃分VI．AN，比如將財務、總務、教務、圖書館等部門的工作站和服務器限制在對應的VLAN之內(nèi)。這樣，盡位于各校區(qū)的站點分散于學校的各個不同位置，但因VLAN技術的利用，使得他們一下子沒有了地理位置上的距離感，能確保各項業(yè)務應用的開展。而且，VLAN的相對封閉運行，也有利于各專門子網(wǎng)的安全。

(4)確保網(wǎng)絡安全

對像財務等安全性要求很高的一些專門子網(wǎng)應設置防火墻，必要時甚至可以關閉該專門子網(wǎng)的網(wǎng)關，使其處于封閉運行的狀態(tài)。另外，學生宿舍、學生機房的管理，還必須安裝訪問過濾表，以確保其訪問健康站點，并要對可能出現(xiàn)的學生黑客做出預防。校園網(wǎng)因為是收費運行，加之其他原因，盜用IP地址的現(xiàn)象比較嚴重，因此必須在三層路由上將IP地址與MAC地址對應起來，同時要管理到二層交換機的端口，以對路由和交換機設置安全訪問限制，交換機的每個端口也要鎖定MAC地址并限制接人該端口的節(jié)點個數(shù)。

(5)根據(jù)需要，靈活配置VLAN

根據(jù)實際需要可以增、刪、修改、臨時關閉VLAN網(wǎng)關，設置VLAN的訪問權限，以保證各項應用的高效率穩(wěn)定運行。

4 VLAN技術在超大型校園網(wǎng)中的具體實現(xiàn)

基于城域網(wǎng)的校園網(wǎng)是更大范圍上的網(wǎng)絡應用，其覆蓋范圍極其寬廣。因此，多種業(yè)務信息特別是多媒體信息的傳輸，會對主干網(wǎng)絡的傳輸能力提出較高的要求。其解決方案就是采用交換方式而非路由方式來實現(xiàn)數(shù)據(jù)傳輸。具體方案如下：

揚州大學校園網(wǎng)在實際建設過程中，校園網(wǎng)主干網(wǎng)采用一臺CISCO的千兆多層交換機Catalyst 6509作為中心三層交換機，在各校區(qū)配置多臺Catalyst3550二層交換機作為二級交換機，下屬站點采用快速以太網(wǎng)技術，構成星型拓撲結構。建成了一個基于多層、全交換的虛擬園區(qū)網(wǎng)。由此建立的主干網(wǎng)具有很好的可擴展性和可管理性，同時能夠根據(jù)網(wǎng)絡的實際需求，進行了靈活的VLAN劃分。將處在不同校區(qū)、不同建筑但屬于同一部門的網(wǎng)絡結點劃歸到同一VLAN之中，同時為了可管理性，還盡可能將屬于同一校區(qū)的結點劃歸同一VI．AN中。其網(wǎng)絡性能和安全性分析如下：

(1)利用6509三層交換的高性能及其高達256G的背板交換能力，可以實現(xiàn)各個校區(qū)間的高速互連。6509的三層和二層交換能力卓越，通過三層交換技術，特別是基于硬件的第三層交換，在不同的網(wǎng)段或VLAN之間訪問時，可以避免因為路由的效率問題而導致網(wǎng)絡傳輸瓶頸。而對于一項應用，則當個數(shù)據(jù)包發(fā)送到交換機時，通過路由設備進行轉發(fā)，同時在專用芯片中存入相關的信息，使得后來的所有數(shù)據(jù)包均無需通過路由設備再次處理，而直接由交換機轉發(fā)。6509既是中心交換設備，負責內(nèi)部數(shù)據(jù)交換，又是接人設備，負責邊界路由。在網(wǎng)絡運行中，只有對外部的訪問才需要通過路由器來實現(xiàn)，6509對這種路由需求能夠完全勝任。盡管用戶的接人數(shù)將近5 000個，但從實際運行的情況看，即使在網(wǎng)絡應用高峰時，6509的CPU利用率也僅在40％左右，完全可以滿足各種數(shù)據(jù)流的傳輸需要。

(2)利用6509，3550支持虛擬網(wǎng)的功能，通過8021Q協(xié)議，可以實現(xiàn)跨交換機的不受地理位置限制的VLAN劃分。采用全交換方式，可以方便地實現(xiàn)各個校區(qū)的自治VLAN與全校范圍的跨校區(qū)VLAN相結合，而無需采用復雜的TUNNEL或VPN等管理成本很高的方式來完成VLAN的劃分。通過VLAN劃分，能夠適應各網(wǎng)絡的需求，并且可以滿足基于各種網(wǎng)絡協(xié)議的網(wǎng)絡應用，諸如TCP／IP，Novell以及基于微軟NT／2000Server的域登陸、基于SMB協(xié)議的網(wǎng)絡共享等。

(3)通過中心交換機高性能路由模塊的管理，利用ACCESSLIST技術，可以控制內(nèi)部各VLAN間的訪問。例如，VLAN中的某個IP地址只允許訪問該VLAN的內(nèi)部資源，或某個VLAN只允許其他VLAN的用戶以HTTP或FTP方式對其進行訪問，這樣就有效地控制了VLA間的范圍和權限。實踐證明，通過對VLAN有效的訪問控制，使財務等安全性要求極高的一些子網(wǎng)，幾年來一直運行良好，安全穩(wěn)定。

5 結 語

VLAN技術為校園網(wǎng)的建設提供了高度的靈活性和可靠的網(wǎng)絡安全管理手段，顯示出獨特的優(yōu)點。利用VLAN技術，根據(jù)不同需要實施不同策略，統(tǒng)籌規(guī)劃，科學設計，完全可以建設穩(wěn)定性好、可管理性強、安全性高的超大型校園網(wǎng)絡。揚州大學校園網(wǎng)的良好運行和穩(wěn)定工作就是的例證。因此，本文提出的以交換技術為基礎的超大型校園網(wǎng)的VLAN構建和配置策略，為在多校區(qū)環(huán)境下，組建實用、高效、先進、安全，能滿足多種業(yè)務需求的超大型綜合性校園網(wǎng)提供了一套可行的解決方案。