【導(dǎo)讀】本站所有資源均來(lái)自互聯(lián)網(wǎng)，如有侵犯您的版權(quán)或其他問(wèn)題，請(qǐng)通知管理員，我們會(huì)在最短的時(shí)間回復(fù)您!不斷增長(zhǎng)，網(wǎng)絡(luò)變得越來(lái)越擁擠，沖突不斷產(chǎn)生，管理難度日益加大。動(dòng)態(tài)組建、調(diào)整和管理。為了有效地提高網(wǎng)絡(luò)管理的靈活性，提高網(wǎng)絡(luò)效率和網(wǎng)絡(luò)安。全性，充分合理地進(jìn)行VLAN劃分，是必需的。細(xì)的介紹了VLAN的相關(guān)知識(shí)。在校園網(wǎng)中使用的是華為QuidwayS8016、Quidway. S3026和港灣µHammer24E交換機(jī)配置VLAN。

　　

【正文】 。 用交換機(jī)代替路 由器實(shí)現(xiàn) VLAN間的通信 目前市場(chǎng)上有許多三層以上的交換機(jī)，在這些交換機(jī)中，廠家通過(guò)硬件或軟件的方式將路由功能集成到交換機(jī)中，交換機(jī)主要用于園區(qū)網(wǎng)中，園區(qū)網(wǎng)中的路由比較簡(jiǎn)單，但要求數(shù)據(jù)交換的速度較快，因此在大型園區(qū)網(wǎng)中用交換機(jī)代替路由器已是不爭(zhēng)西南林學(xué)院 2020 屆本科畢業(yè)論文 17 的事實(shí)。用交換機(jī)代替路由器實(shí)現(xiàn) VLAN 間通信的方式也有兩種，其一，就是啟用交換機(jī)的路由功能，這種方式的實(shí)現(xiàn)方法可采用以上介紹的路由器方式的任一種。其二，是利用某些高端交換機(jī)所支持的專用 VLAN 功能來(lái)實(shí)現(xiàn) VLAN 間的通信。 5 VALN 的新用途 雖然 VLAN 并非最好的網(wǎng) 絡(luò)技術(shù)，但這種用于網(wǎng)絡(luò)結(jié)點(diǎn)邏輯分段的方法正為許多企業(yè)所使用。 VLAN 采用多種方式配置于企業(yè)網(wǎng)絡(luò)中，包括網(wǎng)絡(luò)安全認(rèn)證、使無(wú)線用戶在 接入點(diǎn)漫游、隔離 IP 語(yǔ)音流及在不同協(xié)議的網(wǎng)絡(luò)中傳輸數(shù)據(jù)等。 六年前引進(jìn) VLAN 的時(shí)候，多數(shù) VLAN 都是基于 IEEE 和 標(biāo)準(zhǔn)的。 規(guī)范用于將 VLAN 用戶信息載入以太網(wǎng)幀，而 使二層交換機(jī)具有流量?jī)?yōu)先和實(shí)施動(dòng)態(tài)多址濾波的能力。 當(dāng)初引進(jìn) VLAN 時(shí)，它被看作是一個(gè)簡(jiǎn)化地址管理的方法，可以使 IT 人員在網(wǎng)絡(luò)的任意點(diǎn)對(duì)服務(wù)器和 PC 機(jī)進(jìn) 行物理配置，并將 PC 機(jī)加入到組中。 多數(shù)網(wǎng)絡(luò)設(shè)備的軟件可用于將媒體訪問(wèn)控制（ MAC）地址與 VLAN 相關(guān)聯(lián)，當(dāng)客戶從一個(gè)端口移動(dòng)到另一個(gè)端口時(shí)，可以使其自動(dòng)連接到網(wǎng)絡(luò)上。 （ 1） VLAN 的無(wú)線接入 隨著越來(lái)越多的公司推出其無(wú)線網(wǎng)絡(luò)，人們最關(guān)心的問(wèn)題恐怕就是如何將無(wú)線用戶接入適當(dāng)?shù)挠芯€ VLAN。有線網(wǎng)絡(luò)中的 VLAN 用戶身份通常都是由用戶的物理層二層交換機(jī)或三層路由器連接端口來(lái)定義的。但在無(wú)線網(wǎng)絡(luò)中，用戶根本沒(méi)有與任何物理端口連接。 為解決這一問(wèn)題，人們開始采用先進(jìn)的無(wú)線驗(yàn)證技術(shù)，并利用基于角色的 VLAN關(guān)聯(lián)來(lái) 進(jìn)行用戶識(shí)別。這種方法可以利用一系列標(biāo)準(zhǔn)的驗(yàn)證方法，如基于 HTTP 捕獲端口和 等可選驗(yàn)證機(jī)制來(lái)判斷出正確的 VLAN 用戶身份。 （ 2） VLAN 的應(yīng)用 最近，休斯頓在 4 棟 22 層的建筑物中建立了網(wǎng)絡(luò)及其子網(wǎng)，包括 122 個(gè)法庭、法律事務(wù)所和審判廳，這種建筑物非常適合建立 VLAN，因?yàn)閷?122 個(gè)私人子網(wǎng)合并到一個(gè) VLAN 中要比將用戶插入端口組容易得多。 VLAN 和靜態(tài) IP 地址也可用于安全機(jī)制。所有工作于這里的客戶都分配了一個(gè)靜態(tài) IP 地址，通過(guò) Alcatel 的 OmniSwitch 路由器和 OmniCore 5052 主干網(wǎng)交換器連接到網(wǎng)絡(luò)中。 這種配置方式使法官和律師在不同的法庭中都可以進(jìn)行工作。這種設(shè)置可控制許可用戶的訪問(wèn)權(quán)限以及限制未注冊(cè)用戶的訪問(wèn)，因而可以提供安全性。接入網(wǎng)絡(luò)的唯一方法就是必須擁有一個(gè) IP 地址，而且這些 PC 機(jī)都連接在其中的一個(gè) VLAN 上。 校園網(wǎng)中 VLAN 的劃分與配置 18 （ 3） VLAN 的漫游功能 Massachusetts 的 Bridgewater 州立學(xué)院配置了 100 多個(gè) Enterasys 公司的RoamAbout ，因而學(xué)生在整個(gè)校園中都可以訪問(wèn) Web和 Email。 如果沒(méi)有對(duì)無(wú)線流量進(jìn)入自己的 VLAN 進(jìn)行隔離，那么對(duì)于希望在校園范圍內(nèi)保持網(wǎng)絡(luò)連接的移動(dòng)用戶來(lái)說(shuō)，它將成為一場(chǎng)噩夢(mèng)。將所有的無(wú)線流量置于一個(gè) VLAN中，可以確保當(dāng)用戶從一個(gè)接入點(diǎn)移動(dòng)到另一個(gè)接入點(diǎn)時(shí)不會(huì)掉線。而實(shí)際上當(dāng)整個(gè)校園中配置的 Enterasys 接入點(diǎn)只有 150 英尺的范圍時(shí)，這種情況很容易發(fā)生。 在宿舍、教室和管理機(jī)構(gòu)中，利用 Cisco 和 Enterasys 混合的可堆疊交換器來(lái)連接到無(wú)線接入點(diǎn)?？朔艘恍┙徊鎻S商的 VLAN 配置問(wèn)題之后，現(xiàn)在可以在校園的任意地方漫游，無(wú)論是連接到 Cisco 還是 Enterasys 交換器上，都可以保持連接 在同一VLAN 上。 （ 4） VLAN 管理 VLAN 不僅可用于安全和網(wǎng)絡(luò)管理，對(duì)于混合型網(wǎng)絡(luò)的管理來(lái)說(shuō)，它同樣不失為一個(gè)有益的工具。 有人利用 Enterasys 公司的 SmartSwitch 可堆疊交換器和 SmartSwitch Router主干網(wǎng)交換器來(lái)在整個(gè)子網(wǎng)上建立 VLAN，這些子網(wǎng)是運(yùn)行多種協(xié)議的。醫(yī)療數(shù)據(jù)庫(kù)建立在 VAX 小型機(jī)上，這種應(yīng)用運(yùn)行于遺留的 DEC 協(xié)議之上。 DEC 的確使用了大量的廣播流量，可將這些流量置于其自己的 VLAN 上，因而 DEC 數(shù)據(jù)流只能夠到達(dá)一定的網(wǎng)段。 NetWare 服務(wù)器在網(wǎng)絡(luò)上運(yùn)行的情況與此類似。它只為 Novell 服務(wù)器及用戶創(chuàng)建獨(dú)立的 IPX VLAN，這使多數(shù)基于 IP 和 Windows NT/2020 服務(wù)器的網(wǎng)絡(luò)不會(huì)陷入 IPX 和 DEC 流量的海洋中。 隔離 VoIP 流量進(jìn)入 VLAN 也成為 3Com、 Cisco、 Alcatel、 Nortel 和 Avaya 等 IP電話廠商的一個(gè)標(biāo)準(zhǔn)推薦。所有這些廠商的交換器和 IP PBX設(shè)備都支持 ，這就隔離了 IP 語(yǔ)音流進(jìn)入其自己的 VLAN。 廠商和用戶都認(rèn)為，在其虛擬段保持語(yǔ)音可能是非常有用的，作為一個(gè)隔離語(yǔ)音流的方法 ，它可以達(dá)到故障診斷的目的。如果有大流量的廣播或大的文件下載，它也能確保語(yǔ)音質(zhì)量不會(huì)下降。 西南林學(xué)院 2020 屆本科畢業(yè)論文 19 我們可以假設(shè)一個(gè)情景。一位財(cái)務(wù)部的無(wú)線用戶可能要安全地連接至財(cái)務(wù) VLAN，使用的是一種安全鏈接加密方法，如 WiFi 受保護(hù)訪問(wèn)。然而，當(dāng)該 VLAN 中的用戶漫游至其他接入點(diǎn)時(shí)，他們可能會(huì)無(wú)法再訪問(wèn)財(cái)務(wù) VLAN，因而也就無(wú)法獲取需要的網(wǎng)絡(luò)資源。如果要對(duì)網(wǎng)絡(luò)進(jìn)行重新配置，并使用戶在整個(gè)公司里的每個(gè)接入點(diǎn)都能訪問(wèn) VLAN 的話，整個(gè)重新配置的過(guò)程將變得非常繁雜，當(dāng)然也不可能成為有競(jìng)爭(zhēng)力的解決方案。 然而， 基于端 口的驗(yàn)證方法則可以提供一個(gè)有效的框架，為以太網(wǎng)和無(wú)線網(wǎng)絡(luò)上的用戶提供基站訪問(wèn)授權(quán)。 使用可擴(kuò)展驗(yàn)證協(xié)議（ EAP)來(lái)中繼局域網(wǎng)基站（請(qǐng)求者）、以太網(wǎng)交換機(jī)或無(wú)線接入點(diǎn)（驗(yàn)證者）與 RADIUS 服務(wù)器（驗(yàn)證服務(wù)器）之間的端口訪問(wèn)請(qǐng)求。 用于保護(hù) WiFi 網(wǎng)絡(luò)用戶的核心機(jī)制是基于數(shù)據(jù)加密和用戶驗(yàn)證的方法，而非通常使用的基于角色的驗(yàn)證方法?；诮巧? VLAN 關(guān)聯(lián)具有很大的吸引力，因?yàn)樗梢蕴峁┖侠淼墓ぷ鹘M流量分割，并且更容易與有線網(wǎng)絡(luò)上配置的安全和流量工程策略集成在一起。 網(wǎng)絡(luò)管理員通常都希 望為所有用戶保留原有的擴(kuò)展服務(wù)集 ID（ ESSID）和加密檔案。這樣，當(dāng)用戶進(jìn)入無(wú)線局域網(wǎng)時(shí)，系統(tǒng)可根據(jù)驗(yàn)證服務(wù)器上已經(jīng)配置好的屬性，將用戶分配至不同 VLAN 內(nèi)的不同工作組中。如果不使用基于角色的 VLAN，這種方法基本上是不可能實(shí)現(xiàn)的，除非對(duì)無(wú)線局域網(wǎng)的許許多多配置逐個(gè)調(diào)整，為每個(gè)用戶組引入新的 ESSID。這種做法無(wú)疑需要巨大的資金投入和高昂的運(yùn)營(yíng)費(fèi)用。 無(wú)線局域網(wǎng)交換機(jī)可以支持各種類型的用戶角色，以及不同的訪問(wèn)權(quán)限和 VLAN關(guān)聯(lián)。它還可以支持多種類型的服務(wù)器規(guī)則，并從中引申出用戶角色，如 RADIUS 服校園網(wǎng)中 VLAN 的劃分與配置 20 務(wù)器 發(fā)出的訪問(wèn)接受信息中的 RADIUS 屬性。例如，某一條服務(wù)器規(guī)則用于提取某個(gè)特定 RADIUS 屬性中的數(shù)值，并使用該數(shù)值作為角色。在 驗(yàn)證中，客戶機(jī)通過(guò)一個(gè)無(wú)線局域網(wǎng)交換機(jī)驗(yàn)證至 RADIUS 服務(wù)器。然后，無(wú)線局域網(wǎng)根據(jù)執(zhí)行服務(wù)器規(guī)則后產(chǎn)生的角色，在 VLAN 與客戶機(jī)之間建立關(guān)聯(lián)。 一旦與接入點(diǎn)之間的關(guān)聯(lián)建立完成，無(wú)線局域網(wǎng)交換機(jī)將客戶機(jī)置于未授權(quán)狀態(tài)下。在這種狀態(tài)下，只有客戶機(jī)生成的 EAP 包才能通過(guò)無(wú)線局域網(wǎng)轉(zhuǎn)發(fā)。無(wú)線局域網(wǎng)交換機(jī)發(fā)送一條 EAP RequestID，即用戶身份請(qǐng)求信息給 客戶機(jī)。客戶機(jī)則回應(yīng)一條 EAP ResponseID 信息。此后，無(wú)線局域網(wǎng)交換機(jī)將 EAP ResponseID封包為一條 RADIUS 訪問(wèn)請(qǐng)求信息，并將其轉(zhuǎn)發(fā)給 RADIUS 服務(wù)器。 如果驗(yàn)證成功， RADIUS 服務(wù)器將訪問(wèn)接受信息發(fā)送給無(wú)線局域網(wǎng)交換機(jī)。這條信息可以識(shí)別不同的用戶屬性，如角色和訪問(wèn)權(quán)限。然后，無(wú)線局域網(wǎng)交換機(jī)會(huì)對(duì)這條回應(yīng)信息進(jìn)行解析，并確定客戶機(jī)應(yīng)當(dāng)被分配至哪一個(gè) VLAN。 使用該信息，無(wú)線局域網(wǎng)交換機(jī)便將客戶機(jī)分置于授權(quán)狀態(tài)下，并發(fā)送一條 EAP Success 信息。此后，交換機(jī)才將來(lái)自 客戶機(jī)的所有數(shù)據(jù)流量轉(zhuǎn)發(fā)給合適的 VLAN。在收到 EAP Success 信息后，客戶機(jī)將啟動(dòng)動(dòng)態(tài)主機(jī)配置協(xié)議，并從基于角色的 VLAN上獲得一個(gè) IP 地址。 結(jié)論 經(jīng)過(guò)在畢業(yè)實(shí)習(xí)中的學(xué)習(xí)和實(shí)踐，使我對(duì)四年大學(xué)的理論知識(shí)有了更系統(tǒng)更全面的掌握，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)知識(shí)有了更進(jìn)一步的認(rèn)識(shí)，特別是在實(shí)際網(wǎng)絡(luò)設(shè)備的操作方面有很大的提高。對(duì)于網(wǎng)絡(luò)建設(shè)中 VLAN 規(guī)劃有著進(jìn)一步的認(rèn)識(shí)，讓我了解到理論聯(lián)系實(shí)際的重要性。 通過(guò)對(duì)校園網(wǎng)的 IP 地址的分配和 VLAN 規(guī)劃，使我深刻的認(rèn)識(shí)到。在計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)中，一定要依據(jù)地址分配和 VLAN 劃分原理 來(lái)進(jìn)行網(wǎng)絡(luò)規(guī)劃，還需要認(rèn)真研究實(shí)際情況，考慮網(wǎng)絡(luò)設(shè)備性能、網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)運(yùn)行、管理、安全和升級(jí)等諸方面因素，形成一套合理、適當(dāng)?shù)牡刂贩峙浜?VLAN 規(guī)劃方案，這將會(huì)大大提高網(wǎng)絡(luò)的整體性能，給網(wǎng)絡(luò)管理帶來(lái)許多方便。 參考文獻(xiàn) [1] 王小虎，熊桂喜 .計(jì)算機(jī)網(wǎng)絡(luò) [M].北京 ： 清華大學(xué)出版社 ， 1998. [2] 肖德寶 .計(jì)算機(jī)網(wǎng)絡(luò) [M].武漢：華中理工大學(xué)出版社， 2020. [3] 謝希仁 .計(jì)算機(jī)網(wǎng)絡(luò) (第二版 )[M].北京：電子工業(yè)出版社， 2020. 西南林學(xué)院 2020 屆本科畢業(yè)論文 21 [4] 王寶智 .計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)及應(yīng)用 [M].長(zhǎng)沙：國(guó)防科技大學(xué) 出版社， 1999. [5] 郭詮水，王寶智 .全新計(jì)算機(jī)網(wǎng)絡(luò)工程教程 [M].北京：北京希望電子出版社， 2020 [6] 張大陸， 宋金剛 .VLAN技術(shù)分析 . 計(jì)算機(jī)應(yīng)用研究 ， 1998年 03期 . [7] 梁亞聲 ， 汪永益 ， 劉京菊 ， 汪生 ， 計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)教程 [M].機(jī)械工業(yè)出版社 ， 2020 [8] 陳應(yīng)明 ， 《計(jì)算機(jī)網(wǎng)絡(luò)與應(yīng)用》 [M].冶金工業(yè)出版社 ， 2020 [9] 劉韻潔 ， 張智江 ， 《下一代網(wǎng)絡(luò)》 [M]. 人民郵電出版社 ,2020 [10] 孫衛(wèi)佳 /周連喆 /胡明 , 《網(wǎng)絡(luò)系統(tǒng)集成技術(shù)與實(shí)訓(xùn)》 [M].電子工業(yè)出版社 ,2020 [11] D. McPherson, B. Dykes. RFC3069VLAN Aggregation for Efficient IP Address Allocation. February, 2020. [12] Comer, Computer work and Inter,PHEI/Prentice Hall,2020 [13] Stallings, The land work of LAN and city (the sixth edition) (English edition), PHEI/Prentice Hall,2020