基于城域网的超大型校园网的虚拟网构建

随着我国教育体制的改革，越来越多的高校走向合并办学的道路。在此背景下组建的高校往往规模较大，校舍分布也较为分散，为实现高校合并后的统一管理、资源共享，如何对原有的人、财、物、教学、科研和管理等诸方面工作进行有效管理和信息集成是一个重要课题，其中校园网的建设是一项行之有效的重要举措。

城域网MAN是比局域网LAN覆盖更大区域的网络，合并高校的特殊校情决定了校园网建设在组网技术上的多样性和复杂性。很多高校的校园网已经具备了城域网的规模。高校组网目前流行3种技术：ATM技术、FDDI技术和千兆以太网技术。其中千兆以太网技术以其价格、管理方便的优势而得到越来越多的应用。横穿扬州市区的扬州大学校园网就是一种基于千兆以太网技术的大型城域网。这种基于城域网的超大型校园网如何适应新形势下的管理体制，达到完美的"并和分"的统一，VLAN的出现解决了这一问题。为此本文着重讨论以交换技术为基础的超大型校园网的VLAN构建和配置策略，从而为在多校区环境下，组建高效、先进、安全、实用，满足多种业务需求的超大型综合性校园网提供一套解决方案。

2 VLAN概述

所谓VLAN，就是网络中的站点不受地理位置限制，可以根据需要灵活地加入到不同的子网中去的一种网络技术。在交换式以太网中，利用VLAN技术，将物理网络和逻辑网络分开，可以实现在同一主干上同时传送多个逻辑网络的数据包。从而，有效地减少网络风暴，提高网络效率，也使不同的应用需求得到满足。VLAN的划分主要有以下3种方式：

(1)基于端口的VLAN就是将交换机中若干端口定义为一个VLAN。同一VLAN中的节点具有相同的网络号，不同VLAN间节点通讯需要通过路由器来进行。采用这种办法，网络管理员可以在很短的时间内根据需要完成网络的动态管理，不需要因用户位置的改变而修改配置。

(2)基于MAC地址的VLAN根据每块网卡具有惟一的MAC地址这一特点，通过设置每张网卡的VLAN来实现VLAN划分。这时，无论节点如何移动，因MAC地址的不变而无需进行网络地址的重新配置。但这种方式工作量较大，初始设置也非常繁琐。

(3)基于网络层的VLAN根据网络上应用的网络协议和网络地址划分VLAN。这种方式针对具体应用和服务来组织网络是非常方便的。

从以上讨论可以看出，无论是从校园网的规模与特点，还是从网络协议与提高网络性能出发，都必须划分子网和VLAN。

3 VLAN技术在超大型校园网中的应用策略

学校合并之后，原有的财务、总务、教学、科研和行政等方面工作应该实行统一管理，但是另一方面各个学院有其特殊的情况，各管理部门也有不同的要求。致使合并后的大学必然要实行统一建制多级管理下的运行模式。这种情况，就对校园网的规划和设计提出了更高的要求。为此，本文结合扬州大学校园网建设实践，提出以下VLAN划分策略：

(1)采用基于端口的VLAN划分方式

在学校内部，网络节点相对比较固定，移动用户相对较少。另外从安全性考虑，教育网络的管理应该尽可能定点定人，网络管理员应限度地保证网络安全、稳定和健康的运行。所以采用基于端口划分VLAN，可以确保网络管理员拥有对整个网络各项改动的权力。 (2)以区域划分VLAN为基本策略

要使大量数据的传输集中在VLAN内部，而使VLAN与外界的通信数据流量尽可能的少。这对网络的管理和改造是十分有利的。因为合并高校大部分实行统一建制分级管理的模式，这就决定了各校区除与学校本部发生流量之外，大部分集中在各校区内部，校区之间几乎不发生流量。因此，校园网应主要采用以校区为区域划分VLAN的基本策略。这样，各校区主要业务在各自校区VLAN内进行，而上连至校本部的主干信道将保留足够的带宽，以确保校区内节点访问学校或校外信息。当然，在网络运行高峰时，也可能会引起网络性能的下降。对此，可以考虑在校区内设立镜像服务器和代理来加以解决。

(3)满足应用需求，突出功能划分

学校合并后，虽然各校区具有相对的独立性，但是，教学设备、科研资源、总务后勤、财务、图书等支撑项目实行了统一管理。可是为方便工作，提高工作效率，又不可能将所有这些支撑项目集中到一个地方。因此，在划分VLAN时，要充分考虑到应用的实际需求。强调以功能划分VI．AN就成为了重要策略。实施中，我们以工作站和服务器的逻辑归属划分VI．AN，比如将财务、总务、教务、图书馆等部门的工作站和服务器限制在对应的VLAN之内。这样，尽位于各校区的站点分散于学校的各个不同位置，但因VLAN技术的利用，使得他们一下子没有了地理位置上的距离感，能确保各项业务应用的开展。而且，VLAN的相对封闭运行，也有利于各专门子网的安全。

(4)确保网络安全

对像财务等安全性要求很高的一些专门子网应设置防火墙，必要时甚至可以关闭该专门子网的网关，使其处于封闭运行的状态。另外，学生宿舍、学生机房的管理，还必须安装访问过滤表，以确保其访问健康站点，并要对可能出现的学生黑客做出预防。校园网因为是收费运行，加之其他原因，盗用IP地址的现象比较严重，因此必须在三层路由上将IP地址与MAC地址对应起来，同时要管理到二层交换机的端口，以对路由和交换机设置安全访问限制，交换机的每个端口也要锁定MAC地址并限制接人该端口的节点个数。

(5)根据需要，灵活配置VLAN

根据实际需要可以增、删、修改、临时关闭VLAN网关，设置VLAN的访问权限，以保证各项应用的高效率稳定运行。

4 VLAN技术在超大型校园网中的具体实现

基于城域网的校园网是更大范围上的网络应用，其覆盖范围极其宽广。因此，多种业务信息特别是多媒体信息的传输，会对主干网络的传输能力提出较高的要求。其解决方案就是采用交换方式而非路由方式来实现数据传输。具体方案如下：

扬州大学校园网在实际建设过程中，校园网主干网采用一台CISCO的千兆多层交换机Catalyst 6509作为中心三层交换机，在各校区配置多台Catalyst3550二层交换机作为二级交换机，下属站点采用快速以太网技术，构成星型拓扑结构。建成了一个基于多层、全交换的虚拟园区网。由此建立的主干网具有很好的可扩展性和可管理性，同时能够根据网络的实际需求，进行了灵活的VLAN划分。将处在不同校区、不同建筑但属于同一部门的网络结点划归到同一VLAN之中，同时为了可管理性，还尽可能将属于同一校区的结点划归同一VI．AN中。其网络性能和安全性分析如下：

(1)利用6509三层交换的高性能及其高达256G的背板交换能力，可以实现各个校区间的高速互连。6509的三层和二层交换能力卓越，通过三层交换技术，特别是基于硬件的第三层交换，在不同的网段或VLAN之间访问时，可以避免因为路由的效率问题而导致网络传输瓶颈。而对于一项应用，则当个数据包发送到交换机时，通过路由设备进行转发，同时在专用芯片中存入相关的信息，使得后来的所有数据包均无需通过路由设备再次处理，而直接由交换机转发。6509既是中心交换设备，负责内部数据交换，又是接人设备，负责边界路由。在网络运行中，只有对外部的访问才需要通过路由器来实现，6509对这种路由需求能够完全胜任。尽管用户的接人数将近5 000个，但从实际运行的情况看，即使在网络应用高峰时，6509的CPU利用率也仅在40％左右，完全可以满足各种数据流的传输需要。

(2)利用6509，3550支持虚拟网的功能，通过8021Q协议，可以实现跨交换机的不受地理位置限制的VLAN划分。采用全交换方式，可以方便地实现各个校区的自治VLAN与全校范围的跨校区VLAN相结合，而无需采用复杂的TUNNEL或VPN等管理成本很高的方式来完成VLAN的划分。通过VLAN划分，能够适应各网络的需求，并且可以满足基于各种网络协议的网络应用，诸如TCP／IP，Novell以及基于微软NT／2000Server的域登陆、基于SMB协议的网络共享等。

(3)通过中心交换机高性能路由模块的管理，利用ACCESSLIST技术，可以控制内部各VLAN间的访问。例如，VLAN中的某个IP地址只允许访问该VLAN的内部资源，或某个VLAN只允许其他VLAN的用户以HTTP或FTP方式对其进行访问，这样就有效地控制了VLA间的范围和权限。实践证明，通过对VLAN有效的访问控制，使财务等安全性要求极高的一些子网，几年来一直运行良好，安全稳定。

5 结 语

VLAN技术为校园网的建设提供了高度的灵活性和可靠的网络安全管理手段，显示出独特的优点。利用VLAN技术，根据不同需要实施不同策略，统筹规划，科学设计，完全可以建设稳定性好、可管理性强、安全性高的超大型校园网络。扬州大学校园网的良好运行和稳定工作就是的例证。因此，本文提出的以交换技术为基础的超大型校园网的VLAN构建和配置策略，为在多校区环境下，组建实用、高效、先进、安全，能满足多种业务需求的超大型综合性校园网提供了一套可行的解决方案。