论文VLAN技术在校园网中的应用.docx

1、论文VLAN技术在校园网中的应用池州学院本科毕业设计论文题目：VLAN技术在校园网中的应用_学生：学号:系部： 数学与计算机科学系 专业：计算机科学与技术_ 入学时间： 201 年 6 月导师： _职称/学位：导师所在单位：毕业设计论文提交时间：二 一三 年 五 月VLAN技术在校园网中的应用摘 要交换技术的迅速开展，加快了虚拟局域网技术(VLAN)的应用速度。VLAN技术在很大程度上解决了网络建立上遇到的很多实际问题，其在局域网中的应用越来越广泛。作为校园网的典型，校园网的规模正在逐渐扩大，这样就决定了它的组网在技术上的多样性与复杂性，其不仅要考虑物理上各网段的连接，还要考虑建立在各种网络协

2、议上子网的互联。随着校园网的计算机数量的增加，多媒体教学、视频点播等课堂教学上的大量应用，师生查阅各类图书、文档信息等，导致播送包的数量急剧增加，网络的传输效率明显下降，甚至会导致网络风暴，使网络通信陷于瘫痪。为使校园网络正常地效劳于各教学管理部门和广阔师生，必须采取措施将网络分隔开来。通过将校园网络划分为假设干VLAN，可以强化网络管理和网络平安，控制不必要的数据播送。本文主要介绍了虚拟局域网技术VLAN，并对校园网网络平安进展了分析，结合校园网的实际情况，阐述了VLAN在校园网中的应用。关键词： VLAN，交换机，网络风暴，网络平安，校园网 Application Of Vlan Tech

3、nology In Campus NetworkAbstractThe rapid development of switching technology to speed up the application speed of the virtual LAN technology (VLAN).VLAN technology solved many practical problems of the network construction to a large extent, and its application in the local area network are more wi

4、dely. As a typical campus network, the size of the campus network is gradually expanding, so it decides the diversity and complexity in technology of its network. It is not only to consider the physical connection of each segment, but also consider the establishment at all kinds of network protocols

5、 on the subnet of the Internet. With the number of computers within the campus network increases, multimedia teaching, video on demand and other large-scale application on classroom teaching, teachers and students access toall kinds of books, documents and information, leading to sharp increase in t

6、he number of broadcast packets, the network transmission efficiency decreased significantly, even lead to network storm paralyzed the network communications. In order to make the campus network serves teachingmanagement and teachers and students properly, measures must taken to separate the network.

7、 Dividing the campus network into a number of VLANcan strengthen the network management and network security, and it can control unnecessary data broadcasting. This paper introduces virtual LAN technology (VLAN)and campus network security analysis, combining the actual situation of the campus networ

8、k, describes the application of VLAN on campus network.Keywords:VLAN, the switch，network storm, network security, campus network第1章绪 论1.1本文研究动机和选题意义随着信息化的加快，建立数字化校园，实现教育信息化，强化各项管理，提升综合实力，是各高校的一项紧迫任务。在全国各地，校园网的建立正在逐步增强，许多学校和校区都把建立校园网作为办学条件现代化的重要标志。由于教学规模的扩大，例如我校曾现由2个分校区组成，原来小围局域网已经无法满足需求。一方面是由于校园网应用出

9、现了多元化需求，另一方面更主要的原因是2个分校区在地里位置上比拟分散，给教学和管理都带来了诸多不便，教师和学生为了更好地教学和学习，奔波于各分校之间，即耽误时间又不平安。对于这种情况，构建合理的、成熟的、稳定的网络，成为了数字化校园进程中最重要的环节。1.2 实施虚拟局域网的原因校园网络及其应用系统构成整个数字化校园的神经系统，完成校的信息传递和效劳，如何建立一个可靠平安稳定性能良好的网络就成了当务之急。在交换网络模式中，划分物理网段的手段进展网络结构的划分有一定缺陷，在很大程度上限制了网络的灵活性。虚拟局域网(VLAN，virtual local area network)技术的出现解决了上

10、述问题。VLAN就是一个播送域，它不受地理位置的限制，可跨多个局域网交换机。一个VLAN可根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。对于局域网交换机，其每一个端口只能标记一个VLAN，一个VLAN中的所有端口拥有一个播送域，而处于不同VLAN的端口那么共享不同的播送域，这样就防止了播送风暴的产生。因此，在一个交换网络中VLAN提供了网段和机构的弹性组合机制。VLAN充分表达了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络开展的潮流。VLAN与普通局域网从原理上讲没有什么不同，但从

11、用户使用和网络管理的角度来看，VLAN与普通局域网最根本的差异表达在：VLAN并不局限于某一网络或物理围，其用户可以位于校园网的任意位置，甚至位于物理地址不同的校园网。1.3 论文的研究容本论文分为以下几个局部:1.介绍研究的背景，包括研究的意义以及要选择虚拟局域网的原因。2.VLAN技术：为了引入VLAN技术，首先介绍了交换式以太网技术，进而介绍了VLAN的产生、工作原理、实现机制以及VLAN之间的通信。3.校园网络平安需求分析：介绍了目前网络平安存在的威胁、网络平安技术以及网络平安策略。4.VLAN在校园网中的应用:介绍了校园网的现状及存在的问题、VLAN的配置策略、校园网VLAN的管理与

12、配置、VLAN在校园网中的应用实例、VLAN之间的访问控制以及同一VLAN的主机之间的信息传递。5.总结第2章 VLAN技术VLAN即虚拟局域网(Virtual Local Area Network的缩写)，是一种通过将局域网的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴数据交换技术。2.1 以太网技术局域网是计算机网络的重要组成局部。局域网是目前以太网是使用最为广泛的，本章简要介绍以太网的工作原理、以太网的交换技术和以太网中的生成树协议，以便在下一节更好地阐述VLAN的概念。以太网是美国施乐Xerox公司的Palo AltPalo Alto研究中心开发的一种基带总线局域网，

13、最初使用同轴电缆作为传输介质，采用载波监听多点接入/碰撞检测(CSMA/CD)协议，它被设计用来满足非持续性网络数据传输的需要。但是如今“以太网一词更多的被用来指各种采用CSMA/CD技术的局域网。在以太网中采用的是播送机制，所有与网络连接的工作站都可以看到网络上传递的数据。通过查看包含在数据帧中的目标地址，确定是进展接收还是丢弃，如果证明数据确实是发给自己的，工作站将会接收数据并传递给高层协议进展处理。以太网采用CSMA/CD协议访问机制，任何工作站都可以在任何时间访问网络。每台工作站在发送数据之前，首先需要侦听网络是否空闲，如果网络上没有任何数据传送，工作站就会把所要发送的信息发送到网络当

14、中。每一个正在发送数据的工作站，一旦发现总线上出现了碰撞，就要立即停止发送，免得继续浪费网络资源，然后等待一段随机时间后再次发送。作为一种基于竞争机制的网络环境，由于没有任何集中式的管理措施，所以非常有可能出现多台工作站同时检测到网络处于空闲状态，进而同时向网络发送数据的情况。这时，发出的信息会相互碰撞而损坏。工作站必须等待一段时间之后，重新发送数据。如果网络中的计算机是通过集线器连接的，那么这种网络就被称为共享式以太网。通过集线器互连的网络环境很容易发生数据的碰撞，因为不管发送数据还是接收数据都用的是同一个数据通道。由于网络平台上业务类型的多样化，网络中的数据流量也急速地增长起来。因此共享式

15、局域网的特性严重制约着网络性能的提高，逐渐地被使用交换机构成的交换式局域网所取代。交换机具有如下特点：(1)交换机取代集线器解决了碰撞问题。交换机是工作在数据链路层的设备，可以识别数据帧中封装的MAC地址，并根据地址信息把数据交换到特定的端口，交换机这就分割碰撞域。(2)交换机解决了集线器与和它相连的主机不能全双工通信的问题。交换机使用独立的收、发通道，这样主机可以全双工地工作。(3)交换机可以为任意两个交换数据的端口建立一条独立的数据通道，很大程度上提高了数据交换的效率。2.2 VLAN技术概述VLAN(Virtual Local Area Network，虚拟局域网)是一种建立在交换技术根

16、底之上的，通过将局域网的机器设备逻辑地而不是物理地划分成一个个不同的网段，以软件方式实现逻辑工作组的划分与管理的技术。VLAN并非一种新型的网络，是包含一组端站点的逻辑上的LAN，其中的站点好似被同一网线连接在一起，而实际上可能出于LAN的不同物理网段，是一组逻辑上的设备或用户，它们就好似处于同一个物理LAN中一样相互通信，不受物理位置的限制。 VLAN在交换机上的实现方法，可以大致划分为六类：1基于端口的VLAN划分这种划分VLAN的方法是根据以太网交换机的端口来划分，将交换机中的假设干个端口定义为一个VLAN，同一个VLAN中的计算机具有一样的网络地址，不同VLAN之间进展通讯需要通过三层

17、路由协议。这简化了VLAN成员管理的复杂性，但用户离开原端口，新旧端口不在一个VLAN，需要修改端口的VLAN设置，或在用户计算机上重新配置网络地址。对不同部门互相访问时，可以通过路由器转发，并配合MAC地址的端口过滤，就可以防止非法入侵和IP地址的盗用问题。2基于MAC地址的VLAN划分这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置它属于哪个组。允许网络用户从一个位置移动到另一个物理位置，且自动保存所属VLAN的成员身份，通过VLAN管理策略效劳器VMSP数据库中的MAC地址到VLAN的映射表来实现。这种VLAN一旦划分完成，那么无论节点在网络上怎样移

18、动，由于MAC地址保持不变，因此不需要重新配置。3 基于网络层协议的VLAN划分VLAN按网络层协议来划分,可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来划分的VLAN，可以使播送域跨越多个VLAN交换机。这对于希望针对具体应用和效劳来组织用户的网络管理员来说是非常具有吸引力的。 4基于IP组播的VLAN划分认为一个组播组就是一个VLAN，将VLAN扩大到广域网，通过路由器进展扩展，具有很大的灵活性。在新增加节点时，不需要进展太多配置，交换机根据IP地址会自动将其划分到不同的VLAN。一旦离开该VLAN，原IP地址将不可用，从而防止了非法用

19、户通过修改IP地址来越权使用资源。由于效率不高，不适合局域网，且实现复杂。5基于规那么的VLAN划分也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，能把相关的用户连成一体，在逻辑划分上称为“关系网络。当一个站点参加网络中时，只需要在网管软件中确定划分VLAN的规那么(或属性)就会被“感知，并被自动地包含进正确的VLAN中。同时，对站点的移动和改变也可以自动识别和跟踪。采用这种方式，整个网络可以非常方便地通过路由器扩展网络规模。6按用户定义、非用户授权的VLAN划分基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定

20、义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以参加一个VLAN。VLAN技术将一个物理的网络在逻辑上划分成假设干个子网，每个子网都拥有自己的独立的播送区。每一个VLAN部的播送和单播流量都不会转发到其他VLAN中，从而有助于控制流量，提高网络的平安性。划分VLAN虽然可以解决播送控制问题，但无法实现各子网间的正常通信，VLAN之间的通信必须要通过第三层设备，我们可以添加一个“边界路由器来解决问题，当使用一台外部路由器时，会出现VLAN间路由选择的一个问题：外部路由器一个物理接口传统上只支持一个子网或播送域。在使用传统技术时，路

21、由器要为其负责路由选择的交换机上的每个VLAN单独建立一条物理连接，如下列图2-1所示：图2-1 一条物理对应一个VLAN但传统路由器上的以太网接口是有限的，为了解决多条物理连接的问题，外部路由器必须要能在一条物理链路上传输不同VLAN的数据，即采用TRUNK连接方式。交换机与用户终端之间的链路称为接入链路ACCESS LINK，它只能属于一个VLAN。干道链路TRUNK LINK)可以承载多个VLAN，干道链路用来实现交换机之间，交换机和路由器之间的连接，可以由ISL协议来完成，在支持ISL的接口上可以传送来自不同VLAN的数据。图2-2 一条物理上支持多个VLAN但是采用路由器作为局域网核

22、心会产生以下问题：1)路由器增加了3层路由选择的时间，数据的传输效率低：2)增加、移动和改变节点变得更加复杂：3)路由器价格昂贵，并且结构复杂：4)增加VLAN的互连意味着要增加路由器端口，投资也增大。提高路由器的硬件性能(采用更高速CPU，更大容量的存)并缺乏以改善它的性能。因为路由器除了硬件支撑外，其“复杂的处理与强大的功能主要是通过软件来实现的，这必然使得它成为网络瓶颈。当流经路由器的流量超过其吞吐能力时，将引起路由器部的拥塞。路由器持续拥塞不仅会使转发的数据包被延误，更有可能使流经路由器的数据包丧失。这些都给网络应用带来极大的麻烦。路由器的复杂性还对网络的维护工作造成了沉重的负担。例如

23、，要对网络上的用户进展增加、移动或改变时，配置路由器的工作将显得十分复杂。三层交换(也称多层交换技术，或IP交换技术)是相对于传统交换概念提出的。传统的交换技术是在OSI网络标准模型中的第二层即数据链路层进展操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。三层交换技术简单地说就是：二层交换技术+三层转发技术。三层交换技术解决了局域网中网段划分之后，网段中子网必须依赖路由器进展管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。三层交换原理(参看下列图)。假设A跟B以前曾通过交换机通信，中间的交换机如支持第三层交换的话，它便会把A和B的IP地址及它们的MAC地址记录下

24、来。当其他主机如C要和A或B通信时，针对C所发出的寻址封包，第三层交换时机不假思索地送C一个回覆封包告诉它A或B的MAC地址，以后C当然就会用A或B的MAC地址“直接和它通信。因为通信双方完全没有通过路由器，所以即使A、B和C属不同的子网，它们间均可直接知道对方的MAC地址来通信。更重要的是，因为第三层交换机能看懂三层信息，如IP地址、ARP等，因此，三层交换机能知道播送封包目的何在，而不是把它扩散出去。图2-3 三层交换原理第三层交换机就是在基于协议的VLAN划分时，增加了路由功能。人们想把二层交换和三层路由功能结合在一台设备上，以减少设备数量，但是早期的第三层交换是基于软件的，转发速度慢，

25、后来才开展为以硬件来实现三层交换。三层交换机实质就是一种特殊的路由器，是一种在性能上侧重于交换(二层和三层)，有很强交换能力并且价格低廉的路由器。它可以将第二层交换机和第三层路由器两者的优势结合成一个灵活的解决方案，在各个层次提供线速性能。这种集成化的结构还引进了策略管理属性，它不仅使第二层与第三层相互关联起来，而且还提供流量优先化处理、平安以及多种其它的灵活功能，如链路会聚、VLAN和Intranet的动态部署，甚至有的具有防火墙的功能。第三层交换机可以分为接口层、交换层和路由层三局部。接口层包含所有重要的局域网接口：10100M以太网、千兆以太网、FDDI和ATM。交换层集成了多种局域网接

26、口并具有策略管理功能，同时还提供链路会聚、VLAN机制。路由层主要提供LAN路由协议：IP、IPX和AppleTalk，并通过策略管理，提供传统路由或直通的第三层转发技术。策略管理和行政管理使网络管理员能根据特定需求调整网络。2.3 本章小结本章对VLAN技术进展了详细的阐述，为了更好的阐述VLAN引入了以太网技术，包括其工作原理、交换技术和生成树协议，然后详细讨论了VLAN技术，介绍了其产生的背景和工作原理，重点介绍了VLAN的划分方法和使用VLAN技术的好处，以及VLAN之间是如何进展通信的，三层交换技术的出现才使VLAN得到更加广泛的应用。第3章 校园网络平安需求分析随着网络技术的迅速开

27、展，越来越多的单位建成了自己的部局域网，并且接入了Internet。但是，由于网络系统具有开放性，以及网络协议和计算机系统固有的平安缺陷，再加上Internet饿呢他网络管理的无政府状态，因此，网络在提供开放和共享资源的同时，也不可防止的存在着平安隐患。3.1 网络平安存在的威胁学校有自己独特的体系结构，包括办公部门、教学部门、实验部门等多个部门，由于各部门职责不一样，存在的平安性质也可能不一样。在实际运行中，由于没有划分VLAN，各个子网可以不受控制的互相访问导致以下严重的平安问题：(1)非授权访问：在没有经过信息拥有者同意的情况下，擅自使用他人计算机或网络资源。(2)信息的泄漏或丧失：重要

28、数据或信息在有意或无意中被泄漏或丧失。例如“黑客们可以利用电磁泄漏或搭线窃听等方式截获信息，或者通过对信息流向、流量、通信频度和长度等参数的分析，推测出有用的信息，或对在网络中传输的数据包进展侦探，以获取用户口令、等重要信息。(3)破坏数据完整性：以非法手段获得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的效果。(4)拒绝效劳攻击：不断对网络系统和效劳器进展攻击，改变其正常的作业流程，执行无关程序使系统响应变慢甚至瘫痪，影响用户的正常使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的效劳。(5)IP欺骗攻击：攻击者利用TCP/IP和操作系统中的某些缺陷

29、来实施IP欺骗攻击，进而到达获得一个主机系统的控制权的目的，窃取系统中的重要信息或数据，或对系统进展破坏。(6)利用网络传播病毒：通过网络传播计算机病毒，病毒一旦进入他人联网的计算机，造成的危害大大高于单机. (7)高校校园网还存在一个经常被无视但是越来越严重的现象:现在有相当数量的学生的计算机相关技术水平非常高，甚至超乎管理人员的想象,有的利用校园网无人管理的效劳器作为中转，传播垃圾、不良信息，严重影响学校的声誉。3.2 网络平安技术为了确保网络数据及信息的平安，人们一直不断地研究有效的平安措施，网络平安技术涉及到两大方面：信息交换平安技术和网络系统平安技术。信息交换平安技术是为了保证在网络

30、环境息交换的平安，防止在信息传输过程中被非法窃取，篡改、重放和假冒等。信息交换平安技术是通过数据性、数据完整性和用户身份真实性等平安机制来实现的，其关键技术是密码技术和平安协议。主要技术方法有各种加密机、虚拟专用网(VPN)、平安效劳器、CA认证系统等。网络系统平安技术主要用于保证网络环境中各种应用系统和信息资源的平安，防止XX的非法登录系统，非法访问网络资源窃取信息或实施破坏。网络系统平安技术主要侧重于攻击行为和特征、攻击行为检测和阻断、系统防护和灾难恢复等方面研究，主要技术方法有防火墙、访问控制、入侵检测、漏洞扫描、身份认证、灾难恢复和平安管理等。对于网络平安来说，所有的解决方案都依赖于许

31、多因素，并没有简单的答案。概括起来，包括以下三个方面：(1)定义要实施哪些保护的平安策略和标准；(2)具体描述如何实施策略的操作集合；(3)实施保护时需要依托的技术集合。3.3 网络平安策略从根本意义上讲，绝对平安的网络是不可能有的。只要使用，就或多或少地存在平安问题。在探讨平安问题的时候，实际上是指一定程度的网络平安。上述网络平安问题，主要是无视了部网络的平安保障，在对外防火墙上执行了较严格的平安策略，没有认识到交换机和其他网络连接设备处于不平安状态的危险性。针对目前校园中网络问题主要来自校园部，制定以下策略实现校园网络的平安：1物理平安策略制定该策略的目的在于保护校园网中的计算机系统、网络

32、效劳器、物理链路等根底设施免受自然灾害、人为破坏和搭线攻击，并建立完善的平安管理制度，验证用户身份和使用权限，防止非法人员进入计算机控制室和各种偷窃、破坏活动的发生，同时要确保计算机系统有一个良好的电磁兼容工作环境。2)访问控制策略访问控制是网络平安防和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问。它是维护网络系统平安、保护网络资源的重要手段。根据上述网络平安策略，首先要保证对交换机的管理访问的平安，因为交换机对网络和流量导向有着结实的控制权，因此必须确保它是平安的，保证了交换机的平安之后，就可以将它置于网络中，并为连接设备实现平安特性。最后，对网络访问的流量进展控制，不允许有XX的数据在网络上传递，通过VLAN和三层交换技术，可以较好地实现上述网络平安策略目标。3.4本章小结由于网络系统的开放性，网络平安问题已成为全社会关注的焦