中小型校园网虚拟局域网构建论文

浅谈中小型校园网的虚拟局域网构建[摘要] 本文先介绍了虚拟局域网的特点和作用，然后结合中小型学校的特点提出虚拟局域网在中小型校园网中的应用策略和具体实现。

从而为组建高效、安全、实用的中小型校园网提供一套很好的借鉴方案。

[关键词] 校园网虚拟局域网千兆以太网
1、引言
随着我国经济的快速发展，为了适应新时期下我国教育信息化建设的要求，越来越多的中职学校建成了学校校园网络。

校园网为实现学校的信息化统一管理、资源共享，对人、财、物、教学、科研和管理等诸方面工作都可以进行有效的管理。

目前，组建局域网流行三种技术：atm技术、fddi技术和千兆以太网技术。

其中千兆以太网技术以其价格、管理方便的优势而得到越来越多的应用。

中职学校在构建校园网时面临很多问题，像资金、人力和以后拓网等。

如何兴建一个低成本、高效而简洁、高拓展性的校园网也是一个令人深思的问题。

vlan（虚拟局域网）的出现解决了这一难题。

为此本文着重讨论以交换技术为基础的中小型校园网的vlan构建和配置策略，从而为组建高效、先进、安全、实用的校园网提供一套解决方案。

2、vlan概述
所谓vlan，虚拟局域网,是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段的端到端的逻辑网络。

一个vlan
组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。

在交换式以太网中，利用vlan技术，将物理网络和逻辑网络分开，可以实现在同一主干上同时传送多个逻辑网络的数据包。

从而，有效地减少网络风暴，提高网络的整体效率，也使不同的应用需求得到满足。

vlan的划分主要有以下三种方式：
(1)基于端口的vlan划分：是将交换机中若干端口定义为一个vlan。

同一vlan中的节点具有相同的网络号，不同vlan间节点通讯需要通过路由器来进行。

采用这种办法，网络管理员可以在很短的时间内根据需要完成网络的动态管理，不需要因用户位置的改变而修改配置，因此操作起来较为方便、快捷。

(2)基于mac地址的vlan划分：是根据每块网卡具有全球惟一的mac地址这一特点，通过设置每张网卡的vlan来实现vlan划分。

这样无论节点如何移动，因mac地址的不变而无需进行网络地址的重新配置。

但这种方式工作量较大，初始设置也非常繁琐，所以一般很少采用此种划分方式。

(3)基于网络层的vlan划分：是根据网络上应用的网络协议和网络地址划分vlan。

这种方式针对具体应用和服务来组织网络是非常方便的。

但技术需求较高，实际操作起来有一定的难度。

从以上讨论可以看出，无论是从校园网的规模与特点，还是从网络协议与提高网络性能出发，都必须划分子网和vlan。

3、vlan在中小型校园网中的应用策略
我校现有信息点数为520个左右，其中机房有250个左右、电子阅览室20个、各教学楼、办公楼和宿舍楼共250个左右。

各信息点分布较散，由于整个网络包含了不同的网络用途部分，并且各部分是相互独立的。

根据客观情况的分析，结合我校的实际情况，提出以下vlan划分策略：；
(1)采用基于端口的vlan划分方式
在学校内部，网络节点相对比较固定，移动用户相对较少。

另外从安全性考虑，教育网络的管理应该尽可能定点定人，网络管理员应最大限度地保证网络安全、稳定和健康的运行。

所以采用基于端口划分vlan，可以确保网络管理员拥有对整个网络各项改动的最高权力。

再加上基于端口来划分vlan的技术要求较低，易操作，对于网管人员来说是一项很简易的工作。

(2)以区域划分vlan为基本策略
要使大量数据的传输集中在vlan内部，而使vlan与外界的通信数据流量尽可能的少，这对网络的管理和改造是十分有利的。

我校整个网络根据各区域不同划分了不同用途的子网，逻辑上分为：核心服务网、办公网、宿舍网、图书电子阅览网、教学网。

每个子网运用不同的网络地址，保证各网段的逻辑分离。

由于各vlan内部数据流量较大，不同vlan间数据流量较小。

因此，校园网应主要采用以区域划分vlan的基本策略。

这样，各区域间就保留足够的带宽，确保了不同区域内节点访问学校或校外信息的畅顺性。

(3)满足应用需求，突出功能划分
学校校园网建成后，学校不同的部门有其相对的联系性，但也有它的独立性，可是为方便工作，提高工作效率，又不可能将所有部门的不同职能集中到一个地方。

因此，在划分vlan时，要充分考虑到应用的实际需求。

强调以功能来划分vlan。

实施中，我校将核心网、办公网、教学网、教务、图书馆、机房等部门的工作站和服务器限制在对应的vlan之内。

这样，尽管各职能部门分散于学校的各个不同位置，但因vlan技术的利用，使得它们没有了地理位置上的距离感，能确保各项业务应用的畅顺开展。

而且，vlan的相对封闭运行，也有利于一些特殊部门的安全和保密。

(4)确保网络安全
对像财务科和学校办公室等安全性要求很高的一些专门子网应设置防火墙，必要时甚至可关闭该子网的网关，使其处于封闭运行的状态。

另外，学生宿舍、学生机房的管理，还必须安装访问过滤表，以确保其访问健康站点，并要对可能出现的学生黑客做出预防。

校园网学生宿舍因收费运行，加之其它原因，盗用ip地址现象比较严重，因此必须在三层路由上将ip地址与mac地址对应起来，同时要管理到二层交换机的端口，它的每个端口也要锁定vlan数，对有些端口暂时没有用到的应给予屏蔽。

再有，还应对有些端口与mac地址绑定并限制接入该端口的节点个数。

(5)根据需要，灵活配置vlan
根据实际情况需要可以增、删、修改、临时关闭vlan网关，设置vlan的访问权限，以保证各项应用的高效率稳定运行。

4、vlan在中小型校园网中的具体实现
中小型校园网是一较小范围上的网络应用。

为了兴建一个低成本、高效而简洁、高拓展性的校园网。

其最佳解决方案就是采用千兆以太网交换方式技术。

具体方案如下：
我校校园网在实际建设过程中，校园网主干网采用一台nortel 的千兆多层交换机8600作为中心三层核心交换机，在各职能区域配置多台nortle baystack 420－24t二层交换机作为二级交换机，分别用六条光缆连接于二层交换机与三层交换机之间。

下属站点采用快速以太网技术，构成星型拓扑结构。

建成了一个基于多层、全交换的虚拟园区网。

由此建立的主干网具有很好的可扩展性和可管理性，同时根据我校网络的实际需求，进行了灵活的vlan划分。

将处在不同建筑但属于同一部门的网络端口划归到同一vlan之中，同时为了可管理性，还尽可能将属于同一地域的端口划归同一vlan 中。

其网络性能和安全性分析如下：
(1)利用nortel三层交换的高性能及其强劲的交换能力，对于一般中小型校园网数据的高峰期交换是足足有余的。

8600三层交换能力卓越，通过三层交换技术，在不同的网段或vlan之间访问时，可以避免因为路由的效率问题而导致网络传输瓶颈。

8600既是中心交换设备，负责内部数据交换，又是接入设备，负责边界路由。

在网络运行中，对于我校现在用户接入数将近500个，但从实际运行的情况看，即使在网络应用高峰时，8600的cpu利用率也仅在5％左右，完全可以满足各种数据流的传输需要。

以后如果进一步扩展
网络拓扑，8600也是可以完全胜任。

(2)利用nortel 8600三层交换机支持虚拟网的功能，可以实现跨交换机的不受地理位置限制的vlan划分。

通过vlan划分，能够适应各专业网络的需求，并且可以满足基于各种网络协议的网络应用，诸如tcp/ip，基于微软nt/2000 server的域登陆等。

(3)通过中心交换机高性能路由模块的管理，利用accesslist 技术，可以控制内部各vlan间的访问。

例如，vlan中的某个ip地址（某部主机）只允许访问该vlan的内部资源而不开通它的http 功能，或某个vlan只开通某些vlan的某项服务（例如http和ftp 服务）而不开通它访问内部资源等等，这样就有效地控制了vlan 间的范围和权限。

5、结束语
vlan为校园网的建设提供了高度的灵活性和可靠的网络安全管理手段，显示出独特的优点。

到迄今为止，vlan技术还是非常安全的，还没有相关事故的报道。

利用vlan技术，根据不同需要实施不同策略，统筹规划，科学设计，完全可以建设稳定性好、可管理性强、安全性高的各种校园网络，当然更包括中小型校园网络。

总之，中小型学校如果结合自己学校的特点，采用合理的vlan去构建校园网，相信定会给学校的可持续发展和建设增添一个全新的篇章。

参考文献：
[1] 方昆生，丁光生．中小学校校园网工作手册[m]．广州：广
东科技出版社，2004：156-158.
[2] 尚晚航，陈强．计算机局域网与windows nt实用教程[m].北京：清华大学出版社，2002：56.
[3] 李连，朱爱红，糜玉林．vlan有什么用[n]．中国电脑教育报，2002年10月30日.
[4] 杜松波，陈俊嵋．计算机网络基础［m］．北京：人民邮电出版社，2004：141-144.。