校园网中三层交换和VLAN技术的应用

摘 要 校园网设计使用虚拟局域网（VLAN）的功能，可以保证全网的良好性能及网络安全性。VLAN间的路由，用三层交换机来代替路由器，可以加快局域网内部的数据交换，做到一次路由，多次转发。使用虚拟局域网（VLAN）技术和三层交换技术能较好的满足校园网的需求。

关键词 三层交换技术 虚拟局域网技术 QoS

中图分类号：F 224 文献标识码：A

一、引言

在校园网的建设中引入虚拟局域网（VLAN）技术可以大大减轻网络管理员的工作负担，使地理位置复杂的计算机设备的互联和管理不再受地理环境和位置的制约，使网络结构变得灵活、方便，同时又能使网络资源得到充分的利用。处于同一个局域网中的各个子网的互联以及局域网中VLAN间的路由，用三层交换机来代替路由器，而只有局域网与公网互联之间要实现跨地域的网络访问时，才通过专业路由器。

二、三层交换技术

（一）三层交换技术的概念。

在局域网中，为了提高网络安全性和通信效率必须划分VLAN，而不同VLAN间的通信只有通过路由设备才能实现。如果使用传统路由器作为VLAN间的路由设备，将由于其吞吐量太小而很难适应大规模、高速率网络传输的需要，这无疑将成为快速以太网或千兆以太网网络传输的瓶颈。于是，专门用于解决VLAN间通信的、集第三层转发与第二层交换于一身的第三层交换技术产生了。第三层交换技术实际上是使用了集成电路的路由器，但比传统的路由器提供了更高的速度和更低的成本，也比传统的路由器更易于管理。

（二）三层交换技术的原理。

传统的交换技术是在OSI网络模型中的第二层即数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。应用第三层交换技术即可实现网络路由的功能，三层交换机就是具有路由功能的交换机，三层交换机的最重要目的是加快大型局域网内部的数据交换，所具有的路由功能也是为这目的服务的，能够做到一次路由，多次转发。

三、虚拟局域网技术

（一）虚拟局域网技术的概念。

虚拟局域网（VLAN）技术是通过路由和交换设备，在网络物理拓扑的基础上建立一个逻辑网络。每个VLAN都构成一个独立的广播域，处于同一VLAN中的网络用户可以不受地理位置的限制互相交换信息。

VLAN必须在交换网络中实现，每个交换设备均可根据网络管理人员所定义的VLAN划分方法对报文进行过滤和转发，并能将这种划分信息传递到网络中其他交换设备和路由器中。LAN交换设备在VLAN的划分及实现低延迟的报文转发方面起着重要的作用。

在网络层对网络进行互联的路由器，能够在网络层对网络进行隔离，并抑制广播数据。而VLAN则是一种不采用路由器对广播数据进行抑制的解决方案。在VLAN中，对广播数据的抑制由交换机完成。

（二）虚拟局域网技术的功能。

采用VLAN技术后，可使网络管理开销大为减少、可以抑制广播数据的泛滥、提高网络的安全性。

1、提高管理效率。当网络中站点出现了移动、增加和移出时，网络管理员可以十分方便的对VLAN进行重组。

2、抑制广播数据。VLAN可以有效的抑制广播数据，某个VLAN中的广播数据只是被复制到其成员所连接的端口。这实际上是为在交换型网络中建立起同路由器功能类似的防火墙提供了一种有效的手段。在VLAN中，大部分数据都是通过交换机转发的，只有VLAN间的数据才需经过路由器转发，可有效地提高VLAN中大部分数据的传输速度。

3、增强网络安全性。将整个网络划分成若干互相独立的广播组是一种有效的增强网络安全性的方法。可以限制某个VLAN中的用户数量，可以禁止那些没有得到许可的用户加入到某个VLAN中。

4、实现虚拟工作组。在整个校园网络环境下实现VLAN后，同一个部门的所有成员将可以像处于同一个LAN上那样进行通信。当某人从一个场地迁移到另一个场地时，只要其工作部门不变，就用不着对其机器进行重新配置。

（三）划分VLAN的方法。

按交换机端口进行划分。这是最常用，也最简单和有效的方法。其缺点是，当用户从一个端口移至另一个端口时，必须对VLAN成员重新配置。

1、按MAC地址划分。由网管人员指定属于同一个VLAN中的各用户站的MAC地址。其优点是：由于MAC地址是固化在网卡中的，当用户站移至其他位置后，其仍将属于原VLAN，这样定义的VLAN可以看成是基于用户的VLAN。其缺点是：在大型网络中初始配置工作量很大。

2、按第三层协议划分。当按网络层地址划分VLAN时，要将子网地址映射到VLAN，交换机则根据子网地址将各机器的MAC地址同VLAN联系起来。其优点是：根据第三层协议划分VLAN，当用户的机器移动位置后，不必重新配置网络地址。其缺点是：对报文中的网络地址进行检查比对帧中MAC地址检查所需要的开销大，使交换设备转发速率下降。

3、基于策略的VLAN。允许网络管理员使用前述的任何一种划分VLAN的方法，也可以把不同方法组合成一种新的策略来划分VLAN，当一个策略被指定到一个交换机时，该策略就可以在整个网络上应用。

四、校园网中三层交换和VLAN技术的应用

在构建校园网时，如果采用分层设计，网络更容易管理和扩展，排除故障也更迅速。分层网络设计的每层提供特定的功能，这些功能界定了该层在整个网络中扮演的角色。典型的分层设计模型可分为三层：接入层、汇聚层和核心层。

接入层负责连接终端设备，其主要目的是将设备连接到网络并控制允许网络上的哪些设备进行通信。汇聚层先汇聚接入层交换机发送的数据，再将其传输到核心层，最后发送到最终目的地。汇聚层控制网络的通信流并实现VLAN之间的路由。核心层是网络的高速主干，是汇聚层设备之间互联的关键，汇聚所有汇聚层设备发送的流量，因此核心层需要保持高可用性、高冗余性，并且能够快速转发大量的数据。

（一）核心层设计。

核心层是网络的高速主干，需要转发庞大的流量。核心层交换机需要支持链路聚合功能，以确保为汇聚层交换机发送到核心层交换机的流量提供足够的带宽。核心层的可用性也很关键，应尽可能提供较多的冗余，冗余功能在硬件出现故障时的收敛速度更快。核心层交换机应该提供QoS服务，在核心层和网络层边缘，任务关键型和时间敏感型流量应优先获得更高的 QoS 保证。

（二）汇聚层设计。

汇聚层交换机收集所有接入层交换机发来的数据并将其转发到核心层交换机。VLAN 间路由通常在汇聚层交换机上执行。汇聚层交换机可以分担核心层交换机处理庞大流量转发的工作压力。由于 VLAN 间路由在汇聚层执行，该层的交换机需要支持第 3 层功能。汇聚层交换机还需要支持 QoS 来维护来自实施了 QoS 的接入层交换机的流量优先级。优先级策略确保有足够的带宽保证语音和视频通信使之保持可接受的服务质量。汇聚层交换机支持冗余功能，为确保可用性，汇聚层交换机通常成对使用。汇聚层交换机需要支持链路聚合功能。通常，接入层交换机使用多条链路连接到汇聚层交换机来确保为接入层上产生的流量提供足够的带宽，同时在某条链路断开时提供容错功能。由于汇聚层交换机要接受多个接入层交换机发送的流量，并且需要尽快将所有流量转发到核心层交换机上，因此，汇聚层交换机还需要回连核心层交换机的高带宽聚合链路。

（三）接入层设计。

接入层交换机支持将终端节点设备连接到网络。因此需要支持端口安全功能、VLAN、快速以太网/千兆以太网、PoE 和链路聚合等功能。端口安全功能允许交换机决定允许多少设备或哪些设备连接到交换机，端口安全功能是保护网络的第一道重要防线。接入层交换机为网络上的终端设备设置 VLAN。在选择接入层交换机时还需考虑的一个因素是端口速度。根据网络的性能需求，必须在快速以太网和千兆以太网交换机端口之间作出选择。某些接入层交换机需要具备是 PoE功能。一般在需要语音或使用无线接入点时并且要在需要的位置供电有困难或成本过高时才应考虑 PoE。链路聚合是大多数接入层交换机所共有的功能。链路聚合允许交换机同时使用多条链路。接入层交换机通过链路聚合至多可获得与汇聚层交换机相同的带宽。

五、结束语

本文介绍了三层交换技术和虚拟局域网技术的原理、功能和实现。给出了校园网的层次设计方法，以及在设计中应该选用的技术及其相应的设备。

（作者：1994年毕业于武汉理工大学计算机方向专业，现就职于武汉职业技术学院计算机技术与软件工程学院，研究方向：计算机网络）

参考文献：

[1]马立新.局域网组建、管理与维护.北京：机械工业出版社，2010年.

[2]赵海峰.局域网组网实训.北京：电子工业出版社，2007年

[3]（美）Michael Salvagno、任峥、丁青等译. Cisco网络设计手册[M]，北京：北京电子工业出版社，2000年.