【正文】 直接通信。眾所周知， VLAN 技術(shù)的主要作用是可將分布于不同地理位置的計算機按工作需要組合成一個邏輯網(wǎng)絡(luò)，同時 VLAN 的劃分可縮小廣 播域，以提高網(wǎng)絡(luò)傳輸速度，由于處于不同 VLAN 的計算機之間不能直接通信，從而使網(wǎng)絡(luò)的安全性能得到了很大提高。 定義基本訪問控制列表 [Quidway] acl number 20 [Quidwayaclbasic20] rule 0 permit source 0 [Quidwayaclbasic20] rule 1 permit source 0 引用訪問控制列表 [Quidway] userinterface vty 0 4 [Quidwayuivty04] acl 20 inbound (7) 配置對 HTTP 用戶的訪問控制，僅允許 IP 地址為 的主機通過 WEB方式訪問交換機 定義基本訪問控制列表。 以下是學生 宿舍 1 棟其中一臺 Quidway S3026 的 VLAN 的配置如下： 配置 isolateuservlan（ isolateuservlan 為 VLAN 5）、進行管理 VLAN 配置（配置管理 VLAN 的 IP 地址、一條路由）、配置 認證、配置訪問方式的 ACL 控制。 因為交換機之間是通過堆疊組網(wǎng)的，所以在配置的時候，只要服務(wù)器連到主交換校園網(wǎng)中 VLAN 的劃分與配置 12 機，就可以通過主交換機連到從交換機進行配置，而不需要服務(wù)器單獨連到從交換機上。 基于華為 S3026 的 VLAN 的配置 校園網(wǎng)主要是以 Quidway S8016 為核心路由交換機，而其他網(wǎng)絡(luò)部分是由多臺Quidway S3026 交換機組成的堆疊組。 為了使校園網(wǎng)的管理更加完善，校園網(wǎng)的安全性更強，則必須要對校園網(wǎng)進行VLAN 的劃分。特別是當某網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，會不停地向網(wǎng)絡(luò)發(fā)送廣播，從而導致通信陷于癱瘓。Hammer24E 交換機根據(jù)網(wǎng)絡(luò)管理的要求和網(wǎng)絡(luò)的安全需要進行VLAN 劃分。目前，我校園網(wǎng)主要是以 Quidway S8016 作為核心路由交換機。因此，應(yīng)對這個龐大的校園網(wǎng)進行 VLAN 的規(guī)劃，把它劃分為若干個虛擬子網(wǎng)，這樣可以提高校園 網(wǎng)的網(wǎng)絡(luò)性能和安全性，防止網(wǎng)絡(luò)風暴。 校園網(wǎng)的 IP 地址分配與 VLAN 的規(guī)劃 隨著校園網(wǎng)規(guī)模的不斷擴大，用戶不斷增加，網(wǎng)絡(luò)應(yīng)用也不斷增長，網(wǎng)絡(luò)變得越來越擁擠，沖突不斷產(chǎn)生，管理難度日益加大。具體實現(xiàn)包括以下三個過程： (1)接收過程：負責接收數(shù)據(jù)包，數(shù)據(jù)包可以是帶標簽頭的，也可以不帶標簽頭。對于交換機來說，如果它所連接的以太網(wǎng)段的所有主機都能識別和發(fā)送這種帶 標簽頭的數(shù)據(jù)包，該端口稱為 Tag Aware 端口，需要給數(shù)據(jù)幀加標簽。例如，如果通過基于端口的方式來加標簽，該數(shù)據(jù)庫應(yīng)該指示哪個端口屬于哪個 VLAN。 3 VLAN 的實現(xiàn)與配置 VLAN 實現(xiàn)過程 當一個網(wǎng)橋或交換機接收到來自于某個計算機工作站的數(shù)據(jù)幀，它將給這個數(shù)據(jù)幀加上一個標簽以標識這個數(shù)據(jù)幀來自于哪個 VLAN。該方法的應(yīng)用程序的類型乃至兩者的綜合來劃分 VLAN也是有可能的。 基于網(wǎng)絡(luò)層以上協(xié)議乃至應(yīng)用程序的類型劃分 VLAN 根據(jù)網(wǎng)絡(luò)層以上協(xié)議的類型、可以自動檢 查數(shù)據(jù)幀的幀頭，但檢查數(shù)據(jù)報文的報文頭，則需要更高的技術(shù)（設(shè)備設(shè)計制造成本也會相應(yīng)增加），同時也更費時。這種方法的優(yōu)點是當某個計算機工作站物理位置改變時，即從一臺交換機轉(zhuǎn)移到其它的交換機，不需要重新配置 VLAN。這對網(wǎng)絡(luò)管理者來說很重要，同時，這種方法不需要附加的幀標簽來識別 VLAN，可以減少網(wǎng)絡(luò)的通信量。這種劃分方法的最大優(yōu)點就是由于一個 MAC 地址唯一對應(yīng)一塊計算機網(wǎng)卡，故此當某個計算機工作站物理位置改變時、即從一臺交換機轉(zhuǎn)移到另一臺交換機時，不需要重新配置 VLAN；而缺點是所有的 VLAN 成員必須事先定義，這在有數(shù)以百計乃至千計用戶的網(wǎng)絡(luò)中，這并不是一件輕松的事。如果有多個網(wǎng)絡(luò) 設(shè)備，例如有多個交換機，可以指定交換機 1 的 1~6 端口和交換機 2 的 1~4 端口為同一 VLAN，即同一 VLAN 可以跨越數(shù)個交換機，根據(jù)端口劃分是目前定義 VLAN 的最常用的方法， IEEE 協(xié)議標準草案中對如何根據(jù)交換機的端口來劃分 VLAN 給出了明確的規(guī)定。 2. VLAN 的劃分方式 VLAN 的類型根據(jù)劃分 VLAN 的方式有以下幾種： . 基于端口劃分的 VLAN 以網(wǎng)絡(luò)設(shè)備的哪個端口屬于哪個 VLAN 的標準來劃分 VLAN。在這種情況下，確定誰可以訪問到這些數(shù)據(jù)就顯得很重要。在使用 VLAN 技術(shù)后，這些任務(wù)都可得以簡化。在實際應(yīng)用時，對于同一個工作組內(nèi)的成員，在該工作組存在的短時期內(nèi)，可以把他們的計算機工作站劃分在一個 VLAN 里以便于其進行通信。使 用了VLAN 技術(shù)后，人們可以用交換機來代替路由器隔離廣播域。 IEEE 于 1999 年頒布了用以標準化 VLAN 實現(xiàn)方案的 協(xié)議標準草案。這樣，網(wǎng)絡(luò)管理員就能從邏輯上對用戶和網(wǎng)絡(luò)資源進行分配，而無需考慮物理連接方式。 什么是 VLAN VLAN（ Virtual Local Area Network）又稱虛擬局域網(wǎng)，一方面， VLAN 建立在局域網(wǎng)交換機的基礎(chǔ)之上 ， 采用網(wǎng)絡(luò)管理軟件構(gòu)建的可 跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。路由器是 3 層設(shè)備。由于各種各樣的原因，網(wǎng)絡(luò)操作系統(tǒng)（ NOS）使用了廣播， TCP/IP 使用廣播從 IP 地址中解析 MAC 地址，還使用廣播通過 RIP 和 IGRP 協(xié)議進行宣告，所以，廣播也是不可避免的。網(wǎng)橋和交換機是基于目標 MAC（介質(zhì)訪問控制）地址做出轉(zhuǎn)發(fā)決定的，它們是二層設(shè)備。將網(wǎng)絡(luò)進行物理分段的網(wǎng)絡(luò)設(shè)備用到了網(wǎng)橋與交換機。而轉(zhuǎn)發(fā)以太網(wǎng)數(shù)據(jù)幀的聯(lián)網(wǎng)設(shè)備是集線器 ,它是一層設(shè)備，傳輸效率比較低。如果某時恰好有兩個工作站同時準備傳送數(shù)據(jù)，以太網(wǎng)網(wǎng)段將發(fā)出 “ 沖突 ” 信號。 校園網(wǎng)中 VLAN 的劃分與配置 4 1. VLAN 技術(shù)簡介 什么是三層交換 技術(shù) 要回答這個問題還是先看看以太網(wǎng)的工作原理。這時，虛擬局域網(wǎng)（ Virtual LAN）技術(shù)就適時地出現(xiàn)了。嚴格地說，并不僅僅是廣播幀，多播幀（ Multicast Frame）和目標不明的單播幀（ Unknown Unicast Frame）也能在同一個廣播域中暢行無阻。隔離開來的一個個 LAN 網(wǎng)段被稱為沖突域，意即每個沖突域內(nèi)發(fā)生的沖突都將被限制在該域內(nèi)。更主要的是，一旦有沖突發(fā)生，沖突將通過集線器或中繼器被傳送到整個 網(wǎng)絡(luò)中，使得暫時誰也無法再發(fā)送數(shù)據(jù)。而現(xiàn)在中大型規(guī)模網(wǎng)絡(luò)建設(shè)中，以西南林學院 2020 屆本科畢業(yè)論文 3 千兆三層交換機為核心的所謂 “ 千兆主干、百兆桌面 ” 的主流網(wǎng)絡(luò)模型已不勝枚舉。在校園網(wǎng)中進行合理 VLAN 劃分，可通過解決端口隔離充分防止沖突的產(chǎn)生，并且可以簡化校園網(wǎng)的管理及提高網(wǎng)絡(luò)的安全性。為了有效地提高網(wǎng)絡(luò)管理的靈活性，提高網(wǎng)絡(luò)效率和網(wǎng)絡(luò)安全性，充分合理地進行 VLAN 劃分，是必需的。學校內(nèi)部對于靈活、動態(tài)地組建 LAN 網(wǎng)段的要求也越來越多，客觀上要求 LAN 本身的結(jié)構(gòu)可以實現(xiàn)動態(tài)組建、調(diào)整和管理。Hammer24E 交換機配置 VLAN。 引言 從傳統(tǒng)的以太網(wǎng)（ 10Mb/s）發(fā)展到快速以太網(wǎng)（ 100Mb/s）和千兆以太網(wǎng)（ 1000Mb/s）也不過幾年的時間，其迅猛 的勢頭實在令人 吃驚。如果 有兩臺乃至兩臺以上計算機同時通過 LAN 的通信總線發(fā)送數(shù)據(jù)時，它們將不可避免地發(fā)生沖突，已發(fā)送的數(shù)據(jù)也將丟失。這樣，原來的一個 LAN 就被網(wǎng)橋和交換機分隔成了多個 LAN 網(wǎng)段。 廣播域，指的是廣播幀（目標MAC 地址全部為 1）所能傳遞到的范圍，亦即能夠直接通信的范圍。隨著現(xiàn)代企業(yè)中跨部門跨職能開發(fā)團隊出現(xiàn)得越來越多，企業(yè)內(nèi)部對于靈活、動態(tài)地組建 LAN 網(wǎng)段的要求也越來越多，客觀上要求LAN 本身的結(jié)構(gòu)可以實現(xiàn)動態(tài)組建、調(diào)整和管理。另外，在劃分 VLAN 時，也不需要使用路由器來分隔它們， VLAN 技術(shù)使用橋接軟件來決定哪臺計算機工作站在哪個 VLAN 里，路由器只被用于在不同的 VLAN 間承擔通信任務(wù)。如果，這時有另外的節(jié)點正在傳送數(shù)據(jù)，監(jiān)聽節(jié) 點將不得不等待，直到傳送節(jié)點的傳送任務(wù)結(jié)束。也就是說在 CSMA/CD 方式下，在一個時間段，只有一個節(jié)點能夠在導線上傳送數(shù)據(jù)。顯而易見的解決方法是限制以太網(wǎng)導線上的節(jié)點，需要對網(wǎng)絡(luò)進行物理分段。這樣可以有效減少網(wǎng)絡(luò)上的沖突。廣播不僅消耗了帶寬，而且也降低了用戶工作站的處理效率。路由器是基于第 3 層報頭、目標 IP 尋址、目標 IPX 尋址或目標Appletalk 尋址做出轉(zhuǎn)發(fā)決定。采用此技術(shù)的交換機我們常稱為三層交換機。這是因為通過 VLAN 用戶能方便地在網(wǎng)絡(luò)中移動和快捷地組建寬帶網(wǎng)絡(luò)，而無需改變?nèi)魏斡布屯ㄐ啪€路。網(wǎng)絡(luò)的虛擬化是未來網(wǎng)絡(luò)發(fā)展的潮流。 其二，相比較網(wǎng)橋和交換機而言，路由器在處理接收到的數(shù)據(jù)時要慢一些。組建虛擬組織、特別是虛擬工作組，是提出 VLAN 技術(shù)的初衷和目標之一。每當有一個用戶加入局域網(wǎng)，就會引發(fā)一系列的端口分配、地址分配、網(wǎng)絡(luò)設(shè)備重新配置等網(wǎng)絡(luò)管理任務(wù)。 提高網(wǎng)絡(luò)安全 在傳統(tǒng)的局域網(wǎng)中，不時的會有些敏感數(shù)據(jù)被有意或無意地廣播到網(wǎng)絡(luò)上，從而有可能造成信息泄密。 西南林學院 2020 屆本科畢業(yè)論文 7 減少設(shè)備投資 VLAN 技術(shù)可被用來創(chuàng)建邏輯的廣播域，因而可以減少用于購買昂貴的路由器等廣播域隔離設(shè)備的投資。究竟如何配置，由管理員決定。 基于 MAC 地址劃分 VLAN 以計算機工作站網(wǎng)卡的 MAC 地址來劃分 VLAN。 基于網(wǎng)絡(luò)層協(xié)議類型劃分 VLAN 如果網(wǎng)絡(luò)支持多網(wǎng)絡(luò)層協(xié)議，那么根據(jù)數(shù)據(jù)幀頭中的網(wǎng)絡(luò)層協(xié)議類型字段也可以劃分 VLAN。它只是查看每個數(shù)據(jù)報文的網(wǎng)絡(luò)層地址，并根據(jù)過濾數(shù)據(jù)庫 中事先定義好的信息決定其歸屬于哪個 VLAN，然后再根據(jù)生成樹算法進行橋交換，并不牽涉任何路由操作。缺點是不適合 LAN，主要是效率不高。即認為一個組播組就是一個 VLAN，這種劃分方法實際將 VLAN 擴大到了 WAN。 草案標準僅僅定義了基于端口和 MAC 地址來劃分 VLAN 的標準方案，雖然它也允許基于協(xié)議類型的 VLAN 以及 3 層以上 VLAN，但并沒有給出相應(yīng)的標準。西南林學院 2020 屆本科畢業(yè)論文 9 這個數(shù)據(jù)庫叫做過濾數(shù)據(jù)庫，包含了本網(wǎng)絡(luò)中全部 VLAN 之間的映射以及它們使用哪個字段作為標簽。其中包含有一個 12 比特大小的 VLAN ID 號以區(qū)別各個 VLAN，如圖 12 所示： 圖 1 基于 VLAN幀格式封裝類型 由于 協(xié)議的標簽頭的 4 個字節(jié)是新增加的，故目前使用的計算機并不支持， 即計算機發(fā)送出去的數(shù)據(jù)包的以太網(wǎng)幀頭還不包含這 4 個字節(jié)，同時也無法識別這 4 個字節(jié)。一旦網(wǎng)橋或交換機 決定了某個數(shù)據(jù)幀的下一步去向，它就得決定是否需要給這個數(shù)據(jù)幀加標簽。 (3)發(fā)送過程：將數(shù)據(jù)包發(fā)送到以太網(wǎng)段上，如果該網(wǎng)段的主機不能識別 標簽頭，則在出端口前將該標簽頭去掉；如果是發(fā)送到互連的其它交換