基于VLAN技术的校园网应用管理

◆马 煜

基于VLAN技术的校园网应用管理

◆马 煜

（陕西中医药大学信息化建设管理处 陕西 712046）

校园网已经成为高校教学、科研、办公等工作的重要工具，针对校园网的结构特点，网络安全与用户管理是校园网络部门的工作重点，本文阐释了基于VLAN技术规划与实现校园网的管理可以极大提高网络运行的灵活性与安全性。

校园网；VLAN技术；网络安全

0 前言

计算机网络已经逐步影响着现代人的生活方式，而校园网的建设是高校科研、教学、人才培养的稳固支柱。为了完善网络稳定性与提供新的服务，在长期的校园网络改造升级中网络连接设备越来越多，加上用户网络行为的多样性，使得网络结构愈发复杂，从而导致校园网内部安全性降低。因此，如何使用VLAN技术构造一种针对校园网络特点的安全管理体系，对于有效提升网络运行安全并极大提高工作效率起到关键作用。

1 校园网结构特点

随着校园网络基础设施不断完善，在网络传输、网络承载等方面有了极大提高，从而基于校园网的业务数量增多，教务、人事、财务等管理系统的正常运行也是依靠校园网络稳定保障。正因为校园网络结构如此复杂，同时连接用户基数庞大，出现网络故障的定位工作也变得复杂多样。

网络安全问题不容忽视，如果连接在校园网中的某个用户受木马、病毒侵入，有可能蔓延至全网用户的上网设备，严重影响了整个校园网的安全。此外，由于教学、生活需要，校园网全面覆盖教学、办公、生活区域，所以网络内部环境管理相对宽松，这也为校园网内部用户可能造成的不良行为留下了安全隐患。校园网络安全高效地运行是高校办公教学、获取信息的重要保障，采取一定的网络安全技术来管理校园网内用户的网络行为也成为了迫在眉睫的任务。

2 VLAN技术

VLAN（Virtual Local Area Network）即虚拟局域网，是一种利用工作组来逻辑划分局域网的技术，核心是网络分段[1]。在VLAN中的用户无法直接联系，需要通过交换机互相通信，根据安全策略可以将网络分段及隔离，从技术上实现相互访问控制，这样可以设置用户访问权限以便增强内部管理。目前VLAN技术可以分为基于端口的VLAN划分、基于MAC地址的VLAN划分、基于路由的VLAN划分以及基于策略的VLAN划分[2]。其中基于端口的VLAN划分是最为方便有效的VLAN划分方法，管理员只需要对以太网交换机所有端口进行定义，就可将不同地理位置的交换机端口上的不同网段设置在一个VLAN中。另外一种基于MAC地址的VLAN划分也是较为常用的方法，通过以太网交换机将添加过某VLAN的接入设备MAC地址进行保存并跟踪，若该接入设备在新物理地址登录，只要MAC地址不变就不用再次配置。

在具体的工作中，VLAN可以把广播域控制在本VLAN内部，只有在相同VLAN的内部设备才能接收到广播，因广播占用资源过多造成瘫痪形成的广播风暴会影响正常网络使用，而VLAN技术通过网络分段缩小了广播的广播域，一个VLAN中发生的风暴不会对其他VLAN造成影响，有效地降低了广播风暴对全网的影响；其次，利用VLAN技术将相互通信较频繁的用户划分在同一个VLAN中，这些通信传输只在该VLAN下广播，因此可以减少广播包被截获而引起信息泄露的可能性，从而增加了网络安全；此外，VLAN技术的应用大大增加了网络连接的灵活性，它能将不同物理位置的不同网段用户划分在一个VLAN中，形成的虚拟局域网避免了组建局域网的资源浪费。

3 VLAN在校园网中的应用

3.1 校园网VLAN应用分析

为保障校园网通信的安全性，通过对校园各区域以太网交换机物理端口的VLAN划分，将教学楼区、行政办公区、学生公寓区、教职工家属区的网络从逻辑上划分到各自的VLAN中，由于不同VLAN间的用户不能直接通信，大大降低了因广播风暴造成网络瘫痪的可能。

教务处、人事处、科技处等部门拥有不对外公开的管理系统，在设置VLAN时需要独立划分，杜绝内网的其他用户非法访问，可以有效地保证重要数据的安全。对于安全性要求高的财务部门需要设置防火墙或者关闭所处网段网关，使工作站与服务器处于封闭运行状态。一些需要跨VLAN访问的管理部门，在支持三层网络的交换机上配置相应的访问控制列表，可以有效控制来源地是某个IP段的用户进入目的VLAN，通过功能上的技术支持可以保障各个部门在使用本组内资源的同时，又可以安全地跨VLAN访问目的主机。

3.2 校园网VLAN实现

陕中医在校园物理网络建设中在主干上采用两台H3C万兆交换机作为核心交换机，通过连接实现两台并行、逻辑统一的管理方式，在校园各主要区域配置多台二层交换机作为汇聚层交换机，具体到用户接入设备时采用多台交换机作为接入交换机，通过星状拓扑构建一个三层全交换的网络结构。

利用VLAN技术将各层交换机的端口划分，通过802.1Q协议实现了跨交换机的全交换方式，这样可以方便地实现全校范围的跨区域VLAN相结合，能够满足各类型的网络需要。通过H3C核心交换机的高性能路由功能，采用访问列表技术可以有效地设置内部各VLAN的互相访问，从而控制了不同VLAN间的访问范围与用户权限。

4 结束语

VLAN技术目前被广泛应用在校园网络管理中，能够为用户网络行为管理、网络安全防护、接入设备维护等日常工作提供可靠保障，尤其在网络工作组的划分突破了地理位置的限制，实现了管理功能划分[3]。校园网络的规模不断扩大，通过网络管理部门合理进行VLAN划分，保障了网络运行的稳定性与有效性，极大地提高了高校基于校园网的各项教学、科研、办公等工作的顺利进行。

[1]李维峰.基于VLAN技术的局域网络建设[J].计算机与网络，2014.

[2]盛剑.VLAN技术在校园网建设中的应用[J].电子技术与软件工程，2014.

[3]楚书来，刘若华.VLAN技术在校园网建设中的应用研究[J].电脑知识与技术，2011.