【正文】 所謂 VLAN 是指處于不同物理位置的節(jié)點根據(jù)需要組成不同的邏輯子網(wǎng)，即一個VLAN 就是一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡(luò)設(shè)備。通過對 VLAN 的創(chuàng)建可以控制廣播風(fēng)暴的產(chǎn)生，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。 VLAN 在網(wǎng)絡(luò)管理中的應(yīng)用 該集團公司下屬公司多，業(yè)務(wù)種類多，根據(jù)業(yè)務(wù)發(fā)展需要，經(jīng)過認真規(guī)劃，將聯(lián)網(wǎng)后的統(tǒng)一網(wǎng)絡(luò)劃分為 30 個 VLAN。其中生產(chǎn)用機及各種服務(wù)器所在的 VLAN 具有的安全級別較高。 VLAN 劃分的有 4 種策略：基于端口的 VLAN 劃分、基于 MAC 地址的 VLAN 劃分、基于路由的 VLAN 劃分、基于策略的 VLAN 劃分。 基于端口的 VLAN 劃分是最簡單、最有效的劃分方法。在交換機投入運行前就把它的物理端口根據(jù)需要劃分給指定的 VLAN 并分配給用戶。舉例來說，集團下屬公司分布在不同城不同的地理位置，但考慮到方便管理，這些公司的 OA 服務(wù)器均使用一個 VLAN 的 IP。另一方面，對靜態(tài) VLAN 技術(shù)的應(yīng)用 (即基于端口的VLAN 劃分 )來說，交換機不能分辨出被盜用 IP 地址 的非法接人。為了解決這個問題，就利用用戶一般不會改變計算機 MA C地址的特點，采用了對大部分用戶的 IP 地址和 MA C 地址與交換機端口綁定的方法， 彌補了靜態(tài) VLAN 的這一缺陷，有效地防止了這種情況的發(fā)生。要實現(xiàn) VLAN 間的通信必須借助： 1)路由器來實現(xiàn) 。 第 頁 14大學(xué)課程設(shè)計說明書 說明書 下屬公司采用的是使用三層交換機的方式。三層交換機內(nèi)，分別設(shè)置了交換機模塊和路由器模塊 。因此，與傳統(tǒng)的路由器相比，可以實現(xiàn)高速路由。用三層交換機的路由功能來實現(xiàn) VLAN 間的通信。 VLAN 對于網(wǎng)絡(luò)使用者來說是完全透明的，用戶感覺不到使用中與交換式網(wǎng)絡(luò)有任何的差別，但對于網(wǎng)絡(luò)管理人員則 有很大的不同，因為這主要取決于 VLAN 的幾點優(yōu)勢。 VLAN 作為一種網(wǎng)絡(luò)分段技術(shù) ， 可將廣播風(fēng)暴限制在一個 VLAN 內(nèi)部，避免影響其他網(wǎng)段。在 VLAN 中，網(wǎng)絡(luò)被邏輯地分割成廣播域，由 VLAN 成員所發(fā)送的信息幀或數(shù)據(jù)包僅在 VLAN 內(nèi)的成員之間傳送，而不是向網(wǎng)上的所有工作站發(fā)送。 (2)增強網(wǎng)絡(luò)的安全性 ： 共享式 LAN 上的廣播必然會產(chǎn)生安全性問題，因 為網(wǎng)絡(luò)上的所有用戶都能監(jiān)測到流經(jīng)的業(yè)務(wù)，用戶只要插入任一活動端口就可訪問網(wǎng)段上的廣播包。 (3)增強網(wǎng)絡(luò)管理 采用 VLAN 技術(shù) ，使用 VLAN 管理程序可對整個網(wǎng)絡(luò)進行集中管理，能夠更容易地實現(xiàn)網(wǎng)絡(luò)的管理性。當(dāng)鏈路擁擠時，利用管理程序能夠重新分配業(yè)務(wù)。對于網(wǎng)絡(luò)管理員來說，所有這些網(wǎng)絡(luò)配置和管理工作都是透明的。另外在使用 VLAN 劃分后，也較好的解決了客戶機隨意使用 IP 地址的問題，因為某臺計算機是屬于某個特定的 VLAN 的，如果設(shè)置其他 VLAN 的 IP 地址，則是不能接人局域網(wǎng)的。任何一臺在局域網(wǎng)中 “活動 ”的工作站，它都是通過 IP 地址這個 “身份 ”與其他工作站進行溝通交流的，只要我們能安全妥善地管理好局域網(wǎng)中的所有 IP 地址，就能確保局域網(wǎng)始終處于高效運行狀態(tài)之中。所有網(wǎng)絡(luò)用戶入網(wǎng)前需要事先從網(wǎng)絡(luò)中心申請獲取靜態(tài) IP 地址。學(xué)校統(tǒng)一規(guī)劃分配 IP 地址給每個終端機器，并建立 IP 地址分配登記 表，統(tǒng)計每個終端機器網(wǎng)卡的 MAC 地址，建立 IP 地址與 MAC 地址對照表。我們學(xué)校劃分 VLAN 的方式是基于接口來劃分 VLAN。 IP 地址的綁定技術(shù) 基于交換機的 IP 地址、 MAC 地址、端口的綁定 ① MAC 地址及 MAC 地址的作用。 MAC 地址在計算機里都是以二進制表示的， MAC 地址通常表示為 12 個 16 進制數(shù)，每 2 個 16 進制數(shù)之間用冒號隔開，如：0011D8290978 就是一個 MAC 地址，其中前 6 位 16 進制數(shù) 0011D8 代表網(wǎng)絡(luò)硬件制造商的編號，它由 IEEE（電氣與電子工程師協(xié)會）分配，而后 3 位 16 進制數(shù) 290978代表該制造商所制造的某個網(wǎng)絡(luò)產(chǎn)品（如網(wǎng)卡）的系列號。 無論是局域網(wǎng)，還是廣域網(wǎng)中的計算機之間的通信，最終都 表現(xiàn)為將數(shù)據(jù)包從某種形式的鏈路上的初始節(jié)點出發(fā)，從一個節(jié)點傳遞到另一個節(jié)點，最終傳送到目的節(jié)點。數(shù)據(jù)包在傳送過程中會不斷詢問相鄰節(jié)點的 MAC 地址。為了防止 IP 地址被盜用，就通過簡單的交換機端口綁定（端口的 MAC 表使用靜態(tài)表項），可以在每個交換機端口只連接一臺主機的情況下防止修改 MAC 地址的盜用。 第 頁 16大學(xué)課程設(shè)計說明書 說明書 通過 設(shè)置，可以將局域網(wǎng)中的 IP 地址和 MAC 地址綁定，任何人在終端上任意更改 IP 地址，都不能使其登陸互連網(wǎng)，這樣就便于網(wǎng)絡(luò)管理員更好的維護整個網(wǎng)絡(luò)的正常、安全的運行。我們知道，當(dāng)我們在瀏覽器里面輸入網(wǎng)址時， DNS服務(wù)器會自動把它解析為 IP 地址，瀏覽器實際上查找的是 IP 地址而不是網(wǎng)址。 ARP（ Address Resolution Protocol）即地址解析協(xié)議， ARP 協(xié)議為 IP地址到對應(yīng)的 MAC 地址之間提供動態(tài)映射。 ARP 協(xié)議的基本功能就是通過目標設(shè)備的IP 地址，查詢目標設(shè)備的 MAC 地址，以保證通信的順利進行。通過偽造 IP 地址和 MAC 地址可實現(xiàn) ARP 欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP 通信量使 網(wǎng)絡(luò)阻塞。在每臺安裝有 TCP/IP 協(xié)議的電腦里都有一個ARP 緩存表，表里的 IP 地址與 MAC 地址是一一對應(yīng)的。當(dāng)有人盜用 IP 地址時，盡管盜用者修改了 IP地址，但由于網(wǎng)卡的 MAC 地址和 ARP 表中對應(yīng)的 MAC 地址不一致，那么也不能訪問網(wǎng)絡(luò)。而 IP地址作為網(wǎng)絡(luò)中的主要尋址方式，也已經(jīng)被各種操作系統(tǒng)廣泛采用，因此 IP 地址在網(wǎng)絡(luò)管理中顯得尤為重要。 室內(nèi)指原先沒有安裝有線網(wǎng)絡(luò)的教室、行政辦公樓、體育場館、學(xué)生公寓、會展中心、臨時移動辦公室等場所。所有 AP 通過雙絞線與有線骨干網(wǎng)絡(luò)相連，形成以有線網(wǎng)絡(luò)為基礎(chǔ)，無線覆蓋為延伸的大面積服務(wù)區(qū)域。通常情況下，一個 AP 最多可以支持多達 80 臺計算機的接入，當(dāng)然，數(shù)量為 20～ 30 臺時工作站的工作狀態(tài)最佳， AP 的典型室內(nèi)覆蓋范圍是 30～ 100m。 室外指學(xué)校各樓宇之間、校園操場及其他公共場所等。全向天線：在所有水平方位上信號的發(fā)射和接收都相等，適合于區(qū)域性的應(yīng)用。 2）室外考慮因素與室內(nèi)不同的是，在校園區(qū)室外配置無線 接入點要復(fù)雜一些，要把各自成一個局域網(wǎng)而又有一定距離的各棟樓房連接起來。 由于 AP 多半安裝在不易維護的地點（如屋頂），遠程管理變得非常重要。 第 頁 18大學(xué)課程設(shè)計說明書 說明書 圖 71 無線校園網(wǎng)方案組網(wǎng)示意圖 第 頁 19大學(xué)課程設(shè)計說明書 說明書 校園網(wǎng)業(yè)務(wù)流程 校園網(wǎng)業(yè)務(wù)流程如 下 圖所示（以 Portal 認證為例）： 圖 72 校園網(wǎng)業(yè)務(wù)流程圖 ? 用戶首先通過校園網(wǎng)業(yè)務(wù)的 SSID 接入無線網(wǎng)絡(luò) ? 客戶端發(fā)起 DHCP 請求 ? DHCP 認證請求在 AP 上直接標記 VLAN，帶 TAG 上傳到接入交換機 ? 接入交換機與匯聚交換機 L2 轉(zhuǎn)發(fā) DHCP 請求到校園網(wǎng)中 ? 校園網(wǎng)對用戶分配 IP 地址，網(wǎng)關(guān)指向校園網(wǎng)絡(luò)認證網(wǎng)關(guān) ? 用戶訪問校園網(wǎng)絡(luò)，觸發(fā) portal 認證 ? 認證通過后用戶可以訪問校園網(wǎng)資源 要注意的是， Inter 業(yè)務(wù)與校園網(wǎng) 業(yè)務(wù)采用不同 SSID，因此在應(yīng)用中用戶無法同時訪問校內(nèi)資源和 Inter 資源。 這次課程設(shè)計，因為有在以前的學(xué)習(xí)中已經(jīng)有了做課程設(shè)計積累下來的一些經(jīng)驗，所以這次設(shè)計做起來感 第 頁 21大學(xué)課程設(shè)計說明書 說明書 覺還是比較輕松的。當(dāng)然在這次的設(shè)計中我也收獲了不少。自中國教育科研網(wǎng)（ CERNET） 94 年接入 Inter 以來，全國高校目前已經(jīng)基本都建成了校園網(wǎng)絡(luò)。這樣做起來也就有了針對性和極大地興趣。本設(shè)計側(cè) 重實際應(yīng)用，覆蓋校園內(nèi)大部分區(qū)域，為教學(xué)和學(xué)習(xí)生活提供切實可用的無線網(wǎng)絡(luò)環(huán)境；特別是學(xué)生宿舍這類沒有有線網(wǎng)絡(luò)資源或有線資源不充足的區(qū)域。