【正文】 轉(zhuǎn)發(fā)的效率。因此可以說，三層交換機具有“ 路由器的功能、交換機的性能 ” 。為了避免在大型交換機上進行廣播所引起的廣播風暴，可將其進一步劃分為多個虛擬網(wǎng)。傳統(tǒng)路由器 對每個報文都執(zhí)行路由選擇，效率相對較低。 因此 ， 三層交換機是連接子網(wǎng)的理想設備。 (1) 核心交換機 在校園網(wǎng)絡拓樸結(jié)構(gòu)中，第三層交換機一般作為網(wǎng)絡的核心交換和服務器群交換機，也可作為網(wǎng)絡節(jié)點交換機。 (2) 支持 Trunk協(xié)議 采用 Trunk干道技術(shù)能將若干條相同的源交換機與目的交換機的以太網(wǎng)連接線從邏輯上看作一條線，以保證局域網(wǎng)無環(huán)路。 (3) 實現(xiàn)組播和自學 第三層交換機支持動態(tài)路由協(xié)議，能夠?qū)嵤┗跇藴实亩帱c組播協(xié)議并具有自學習功能。 (4) 內(nèi)置安全 機制 三層交換機可以與普通路由器一樣，具有訪問列表的功能， 從而 實現(xiàn)不同VLAN間的單向或雙向通訊。 訪問列表不僅可以用于禁止內(nèi)部用戶訪問某些站點，也可以用于防止校園網(wǎng)、城域教育網(wǎng)外部的非法用戶訪問校園網(wǎng)、城域教育網(wǎng)內(nèi)部的網(wǎng)絡資源，從而提高網(wǎng)絡的安全 性 。 (5) 認證 計費功能 在校園網(wǎng) 中也需要 進行認 證和 計費 。 3 網(wǎng)絡總體需求分析與詳細設計 由于 學校 發(fā)展迅猛， 老校區(qū) 與 3個 新的校區(qū) 迫切需要暢通無阻的信息交流，從而讓 老校區(qū)的決策者 能對 各校區(qū)的學院 進行更直接 和更有效的管理，進而達到多 方信息共享的目的，所以將彼此相互獨立的 分校區(qū)的 子網(wǎng)聯(lián)成一個統(tǒng)一網(wǎng)絡勢在必行 。需要使各 學院 相互間真正做到高效的信息交換、資源的共享，為各 學院 各級領導提供準確、可靠、快捷的各種生產(chǎn)數(shù)據(jù)和信息，充分發(fā)揮各 學院 現(xiàn)有的計算機設備的功能。校園網(wǎng)工程整江西財經(jīng)大學本科畢業(yè)設計 １０ 體示意圖如圖 31所示： 圖 31 整體設計示意圖 詳細設計 如圖 31所示，校園網(wǎng)接入服務商有 3個，帶寬共 800Mbps，一個是 100Mbps中國教育科研網(wǎng)，從南昌大學接入；一個是南昌網(wǎng)通提供的 200Mbps寬帶；一個是南昌電信提供的 500Mbps寬帶。訪問中國科研網(wǎng)的數(shù)據(jù)，經(jīng)由教育網(wǎng)出 口；訪問中國網(wǎng)通的數(shù)據(jù)，經(jīng)由網(wǎng)通網(wǎng)出口；其他的則經(jīng)由南昌電信網(wǎng)出口。為此，以學校的圖書館為例，來說明 VLAN在校園網(wǎng)中的應用。 VLAN 應用 首先應熟悉整個圖書館的業(yè)務流程，并確定有多少個部門以及安全性狀況，據(jù)此來劃分 VLAN。這樣在江西財經(jīng)大學本科畢業(yè)設計 １１ 節(jié)省 IP地址資源的同時，提高了網(wǎng)絡的安全性和可管理性。圖書館的一般業(yè)務分為以下六類： (1) 圖書館集成管理系統(tǒng)； (2) 圖書館數(shù)字資源系統(tǒng)：鏡像或在線數(shù)據(jù)庫檢索系統(tǒng)，如清華全文期刊、中文科技期刊 (VIP)等；電子圖書鏡像檢索系統(tǒng)；全文博、碩士論文數(shù)據(jù)庫；館藏特色文獻數(shù)據(jù)庫檢索系統(tǒng)等； (3) VOD 點播系統(tǒng)； (4) 電子閱覽室管理系統(tǒng)； (5) WWW、 FTP、 DNS 等 Inter 服務系統(tǒng)； (6) 辦公自動化及其它應用系統(tǒng)等。 同時接入一個 DHCP服務器，在實驗條件許可的情況下，可以動態(tài) 地 分配各個 VLAN 內(nèi)部的主機地址，省去了人工輸入主機地址的麻煩。 (3) 圖書館網(wǎng)絡資源利用系統(tǒng)：提供書目信息查詢、讀者借閱信息查詢以及圖書館數(shù)字資源利用等服務的 Web、 FTP、 DNS 以及 VOD 服務器，數(shù)字資源利用站點和在線查詢服務器等，它們都應具有一定的安全性，故放在內(nèi)部服務器中，供網(wǎng)絡用戶查詢。 (4) 圖書館集成管理系統(tǒng)：是圖書館業(yè)務的內(nèi)部專用系統(tǒng)。由于以上各業(yè)務站點的計算機可以直接對圖書館的書目數(shù)據(jù)庫、讀者數(shù)據(jù)庫 進行修改操作，因此對用戶權(quán)限和安全性要求很高，不允許無關(guān)的客戶訪問。 其它站點一律無權(quán)訪問該 Server。 (5) 電子閱覽室管理系統(tǒng)：對于提供信息檢索和數(shù)字資源利用的電子閱覽室的計算機，劃分為一個 VLAN。 明確了圖書館業(yè)務的分類，得出如表 31 所示的各個 VLAN 的功能描述。 圖書館的 VLAN 劃分示意圖如圖 33 所示。 VLAN 的工作模式 靜態(tài) VLAN是基于端口的 VLAN，指事先由管理員通過 VLAN管理軟件或直接對交換機設定而使交換機的端口指定為 VLAN的網(wǎng)段。 動態(tài) VLAN是指在智能管理軟件的幫助下，交換機端口的 VLAN網(wǎng)段是增多設定的；動態(tài) VLAN是基于對終端站點的 MAC地址、邏輯地址或協(xié)議類型的識別這一功能的。 Tag VLAN 基于 Tag VLAN用 VID來劃分不同的 VLAN，當數(shù)據(jù)幀通過交換機的時候，交換機根據(jù)幀中 Tag頭的 VID信息來識別他們所在的 VLAN(若幀中無 tag頭，則使用幀所通過端口的 缺省 VID信息來識別他們所在的 VLAN)。于是，組中主機之間能夠相互通信，而不受其他組的主機的影響，就像它們存在于單獨的 VLAN當中一樣。 (2) VLAN廣播域 用于界定該 VLAN中幀的轉(zhuǎn)發(fā)范圍，不在 VLAN廣播域內(nèi)的端口將不能收到任何來自該 VLAN的幀。 (4) 缺省 VID 當交換機不能從一個幀的 tag頭中獲得該幀屬于哪一個 VLAN時，則應用接收端口的缺省 VID來判斷該幀在哪個 VLAN中轉(zhuǎn)發(fā) [2]。否則，發(fā)送出去的幀將有可能無法被對面的交換機 (或 Hub)上所連的計算機識別，而且對面 的交換機 (或Hub)上無法實現(xiàn) VLAN，連接在對面交換機 (或 Hub)上面的設備都將被認為是屬于這個端口的缺省 VLAN。 (1) 聚合鏈路 (Trunk Link) 將 VLAN信息在交換機之間傳送是通過在傳輸?shù)拿總€幀上加上一個 VLAN標記信息來完成的，這種加上了 VLAN標記信息的幀叫做 VLAN標記幀，交換機之間的只傳輸 VLAN標記幀的這種連接叫做聚合鏈路 (Trunk Link)。所有聚合鏈路上的設備必須是能夠識別 VLAN的。 (2) 訪問鏈路 (Access Link) 鏈路上傳輸?shù)膱笪亩际欠菢擞泿逆溌贩Q為訪問鏈路。訪問鏈路一般在 VLAN網(wǎng)絡的邊緣 。 VTP在整個網(wǎng)絡上維持 VLAN配置的一致性。 VTP也能對全網(wǎng)的 VLAN進行統(tǒng)一的管理，一個 VTP Server 上的配置將會傳遞給網(wǎng)絡中的所有交換機，從而使一個 VTP域內(nèi)交換機共享 VLAN信息。 Catalyst系列交換機可配置為以下三種 VTP工作模式： (1) Server 模式：允許創(chuàng)建、修改、刪除 VLAN及其他一些針對整個 VTP域的配置參數(shù)，同步本 VTP域中其他交換機傳遞來的最新 VLAN信息 (交換機在默認情況下為 Server模式 )。 (3) Transparent 模式：可以創(chuàng)建、修改、刪除 VLAN配置，也可以傳遞本 VTP域中其他交換 機送來的 VTP廣播信息，但不參與本 VTP域的同步和分配，也不將江西財經(jīng)大學本科畢業(yè)設計 １６ 自己的 VLAN配置傳遞給本 VTP域中的其他交換機，它的 VLAN配置只影響到它自己 [7]。交換機的平臺不同，具體設置命令也有所不同，但各種配置的基本原理及設置思路都是一樣的 [3]。 綜上所述，對 VLAN的劃分及其配置步驟已進行了相應的說明，下面對 VLAN之間該怎樣實現(xiàn)三層 (網(wǎng)絡 )交換，即給各個 VLAN分配網(wǎng)絡地址做相應的說明。然后通過下面的命令分別設置 5個 VLAN的接口 IP地址： henxin(config)int vlan 1 //進入 vlan 1的配置模式 henxin(configif)ip add //配置 vlan的接口地址 henxin(config)int vlan 2 henxin(configif)ip add henxin(config)int vlan 3 henxin(configif)ip add henxin(config)int vlan 4 henxin(configif)ip add henxin(config)int vlan 5 henxin(configif)ip add 接著，在各個接入 VLAN的計算機上設置與所屬 VLAN的網(wǎng)絡地址一致的 IP地址，并把默認網(wǎng)關(guān)設置為該 VLAN的接口地址。 以下對各交換機的配置進行說明 (在把交換機接入網(wǎng)絡之前一定要先配置。電子閱覽室中的 3個網(wǎng)段，用 3臺 PC機來進行模擬 (其分別是 host E、 host F和 host C)，結(jié)果可對照圖 33； (3) switch A 為圖書館辦公室所屬 VLAN接入的交換機； (4) switch B 為圖書館內(nèi)部服務器組 (Web、 FTP、 E_mail、 DNS)所屬 VLAN接入的交換機 ； (5) switch C 為圖書館集成管理系統(tǒng)所屬 VLAN接入的交換機。 經(jīng)過上面的分析，對交換機進行配置的命令如下 (除了對 switch e配置命令全部列出外，對其他交換機已配置的命令在文中列出，默認的配置命令沒有列出 )： 對核心交換機 switch e 所做的配置如下： henxinsh run Building configuration... Current configuration: ! version service timestamps debug uptime service timestamps log uptime no service passwordencryption ! hostname henxin //把 switch e 命名為 henxin ! enable secret $1$3Wsamp。以下為驗證過程。因此， host B可以訪問其他 VLAN內(nèi)部的主機 (在對訪問沒有限制的情況下 )。 5 圖書館安全性策略 圖書館的網(wǎng)絡也需要重視安全。這就與其他行業(yè)一樣具有許多不安全因素。圖書館的書目數(shù)據(jù)庫是館藏的代表、是讀者查閱藏書的通道、是工作人員進行內(nèi)部管理和開展各項服務的工具。同時，圖書館的借閱數(shù)據(jù)是讀者借還文獻的記錄，如遭破壞，將造成財產(chǎn)損失。為了更好地保證圖書館數(shù)江西財經(jīng)大學本科畢業(yè)設計 ２２ 據(jù)的安全，必須科學地管理圖書館網(wǎng)絡，合理地劃分各個 VLAN，并在此基礎上進一步采取一些安全策略。把館外 IP、電子閱覽室VLAN定義為外部網(wǎng)，把圖書館辦公室 VLAN、圖書館集成管理系統(tǒng) VLAN、網(wǎng)管 VLAN定義為內(nèi)部網(wǎng)。 其次，必須最大限度地控制服務器端口的開放。如通過 8080端口進行訪問的服務器，就必須關(guān)閉所有其他端口。網(wǎng)絡設備的設置對整個網(wǎng)絡的運作起到關(guān)鍵性的作用。 6 總結(jié) 綜上所述， VLAN在校園網(wǎng)中的應用，主要采用了基于端口的 VLAN技術(shù)。隨著交換式網(wǎng)絡在校園網(wǎng)中日益廣泛的應用， VLAN技術(shù)必將發(fā)揮出更加誘人的