论文VLAN技术在校园网中的应用.docx

1、论文VLAN技术在校园网中的应用 This model paper was revised by the Standardization Office on December 10, 2020论文VLAN技术在校园网中的应用池州学院本科毕业设计（论文）题目：VLAN技术在校园网中的应用_学生姓名： 学号: 系（部）： 数学与计算机科学系 专业：计算机科学与技术_ 入学时间： 201 年 6 月导师姓名： _职称/学位： 导师所在单位： 毕业设计（论文）提交时间：二 一三 年 五 月VLAN技术在校园网中的应用摘 要交换技术的迅速发展，加快了虚拟局域网技术(VLAN)的应用速度。VLAN技术在很

2、大程度上解决了网络建设上遇到的很多实际问题，其在局域网中的应用越来越广泛。作为校园网的典型，校园网的规模正在逐渐扩大，这样就决定了它的组网在技术上的多样性与复杂性，其不仅要考虑物理上各网段的连接，还要考虑建立在各种网络协议上子网的互联。随着校园网内的计算机数量的增加，多媒体教学、视频点播等课堂教学上的大量应用，师生查阅各类图书、文档信息等，导致广播包的数量急剧增加，网络的传输效率明显下降，甚至会导致网络风暴，使网络通信陷于瘫痪。为使校园网络正常地服务于各教学管理部门和广大师生，必须采取措施将网络分隔开来。通过将校园网络划分为若干VLAN，可以强化网络管理和网络安全，控制不必要的数据广播。本文主

3、要介绍了虚拟局域网技术（VLAN），并对校园网网络安全进行了分析，结合校园网的实际情况，阐述了VLAN在校园网中的应用。关键词： VLAN，交换机，网络风暴，网络安全，校园网 Application Of Vlan Technology In Campus NetworkAbstractThe rapid development of switching technology to speed up the application speed of the virtual LAN technology (VLAN).VLAN technology solved many practical p

4、roblems of the network construction to a large extent, and its application in the local area network are more widely. As a typical campus network, the size of the campus network is gradually expanding, so it decides the diversity and complexity in technology of its network. It is not only to conside

5、r the physical connection of each segment, but also consider the establishment at all kinds of network protocols on the subnet of the Internet. With the number of computers within the campus network increases, multimedia teaching, video on demand and other large-scale application on classroom teachi

6、ng, teachers and students access to all kinds of books, documents and information, leading to sharp increase in the number of broadcast packets, the network transmission efficiency decreased significantly, even lead to network storm paralyzed the network communications. In order to make the campus n

7、etwork serves teaching management and teachers and students properly, measures must taken to separate the network. Dividing the campus network into a number of VLAN can strengthen the network management and network security, and it can control unnecessary data broadcasting. This paper introduces vir

8、tual LAN technology (VLAN)and campus network security analysis, combining the actual situation of the campus network, describes the application of VLAN on campus network.Keywords: VLAN, the switch，network storm, network security, campus network第1章绪 论本文研究动机和选题意义随着信息化的加快，建设数字化校园，实现教育信息化，强化各项管理，提升综合实力，

9、是各高校的一项紧迫任务。在全国各地，校园网的建设正在逐步增强，许多学校和校区都把建设校园网作为办学条件现代化的重要标志。由于教学规模的扩大，例如我校曾现由2个分校区组成，原来小范围局域网已经无法满足需求。一方面是由于校园网应用出现了多元化需求，另一方面更主要的原因是2个分校区在地里位置上比较分散，给教学和管理都带来了诸多不便，教师和学生为了更好地教学和学习，奔波于各分校之间，即耽误时间又不安全。对于这种情况，构建合理的、成熟的、稳定的网络，成为了数字化校园进程中最重要的环节。 实施虚拟局域网的原因校园网络及其应用系统构成整个数字化校园的神经系统，完成校内的信息传递和服务，如何建立一个可靠安全稳

10、定性能良好的网络就成了当务之急。在交换网络模式中，划分物理网段的手段进行网络结构的划分有一定缺陷，在很大程度上限制了网络的灵活性。虚拟局域网(VLAN，virtual local area network)技术的出现解决了上述问题。VLAN就是一个广播域，它不受地理位置的限制，可跨多个局域网交换机。一个VLAN可根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。对于局域网交换机，其每一个端口只能标记一个VLAN，一个VLAN中的所有端口拥有一个广播域，而处于不同VLAN的端口则共享不同的广播域，这样就避免了广播风暴的产生。因此，在一个交换网络中VLAN提供了网段和机构的弹

11、性组合机制。VLAN充分体现了现代网络技术的重要特征：高速、灵活、管理简便和扩展容易。是否具有VLAN功能是衡量局域网交换机的一项重要指标。网络的虚拟化是未来网络发展的潮流。VLAN与普通局域网从原理上讲没有什么不同，但从用户使用和网络管理的角度来看，VLAN与普通局域网最基本的差异体现在：VLAN并不局限于某一网络或物理范围，其用户可以位于校园网的任意位置，甚至位于物理地址不同的校园网。 论文的研究内容本论文分为以下几个部分:1.介绍研究的背景，包括研究的意义以及要选择虚拟局域网的原因。技术：为了引入VLAN技术，首先介绍了交换式以太网技术，进而介绍了VLAN的产生、工作原理、实现机制以及V

12、LAN之间的通信。3.校园网络安全需求分析：介绍了目前网络安全存在的威胁、网络安全技术以及网络安全策略。在校园网中的应用:介绍了校园网的现状及存在的问题、VLAN的配置策略、校园网VLAN的管理与配置、VLAN在校园网中的应用实例、VLAN之间的访问控制以及同一VLAN内的主机之间的信息传递。5.总结第2章 VLAN技术VLAN即虚拟局域网(Virtual Local Area Network的缩写)，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴数据交换技术。 以太网技术局域网是计算机网络的重要组成部分。局域网是目前以太网是使用最为广泛的，本章简要介绍以

13、太网的工作原理、以太网的交换技术和以太网中的生成树协议，以便在下一节更好地阐述VLAN的概念。 以太网工作原理以太网是美国施乐（Xerox）公司的Palo AltPalo Alto研究中心开发的一种基带总线局域网，最初使用同轴电缆作为传输介质，采用载波监听多点接入/碰撞检测(CSMA/CD)协议，它被设计用来满足非持续性网络数据传输的需要。但是如今“以太网”一词更多的被用来指各种采用CSMA/CD技术的局域网。在以太网中采用的是广播机制，所有与网络连接的工作站都可以看到网络上传递的数据。通过查看包含在数据帧中的目标地址，确定是进行接收还是丢弃，如果证明数据确实是发给自己的，工作站将会接收数据并

14、传递给高层协议进行处理。以太网采用CSMA/CD协议访问机制，任何工作站都可以在任何时间访问网络。每台工作站在发送数据之前，首先需要侦听网络是否空闲，如果网络上没有任何数据传送，工作站就会把所要发送的信息发送到网络当中。每一个正在发送数据的工作站，一旦发现总线上出现了碰撞，就要立即停止发送，免得继续浪费网络资源，然后等待一段随机时间后再次发送。作为一种基于竞争机制的网络环境，由于没有任何集中式的管理措施，所以非常有可能出现多台工作站同时检测到网络处于空闲状态，进而同时向网络发送数据的情况。这时，发出的信息会相互碰撞而损坏。工作站必须等待一段时间之后，重新发送数据。 以太网交换技术如果网络中的计

15、算机是通过集线器连接的，那么这种网络就被称为共享式以太网。通过集线器互连的网络环境很容易发生数据的碰撞，因为不管发送数据还是接收数据都用的是同一个数据通道。由于网络平台上业务类型的多样化，网络中的数据流量也急速地增长起来。因此共享式局域网的特性严重制约着网络性能的提高，逐渐地被使用交换机构成的交换式局域网所取代。交换机具有如下特点：(1)交换机取代集线器解决了碰撞问题。交换机是工作在数据链路层的设备，可以识别数据帧中封装的MAC地址，并根据地址信息把数据交换到特定的端口，交换机这就分割碰撞域。(2)交换机解决了集线器与和它相连的主机不能全双工通信的问题。交换机使用独立的收、发通道，这样主机可以

16、全双工地工作。(3)交换机可以为任意两个交换数据的端口建立一条独立的数据通道，很大程度上提高了数据交换的效率。 VLAN技术概述VLAN(Virtual Local Area Network，虚拟局域网)是一种建立在交换技术基础之上的，通过将局域网内的机器设备逻辑地而不是物理地划分成一个个不同的网段，以软件方式实现逻辑工作组的划分与管理的技术。VLAN并非一种新型的网络，是包含一组端站点的逻辑上的LAN，其中的站点好像被同一网线连接在一起，而实际上可能出于LAN的不同物理网段，是一组逻辑上的设备或用户，它们就好像处于同一个物理LAN中一样相互通信，不受物理位置的限制。 VLAN的划分方法VLA

17、N在交换机上的实现方法，可以大致划分为六类：（1）基于端口的VLAN划分这种划分VLAN的方法是根据以太网交换机的端口来划分，将交换机中的若干个端口定义为一个VLAN，同一个VLAN中的计算机具有相同的网络地址，不同VLAN之间进行通讯需要通过三层路由协议。这简化了VLAN成员管理的复杂性，但用户离开原端口，新旧端口不在一个VLAN内，需要修改端口的VLAN设置，或在用户计算机上重新配置网络地址。对不同部门互相访问时，可以通过路由器转发，并配合MAC地址的端口过滤，就可以防止非法入侵和IP地址的盗用问题。（2）基于MAC地址的VLAN划分这种划分VLAN的方法是根据每个主机的MAC地址来划分，

18、即对每个MAC地址的主机都配置它属于哪个组。允许网络用户从一个位置移动到另一个物理位置，且自动保留所属VLAN的成员身份，通过VLAN管理策略服务器（VMSP）数据库中的MAC地址到VLAN的映射表来实现。这种VLAN一旦划分完成，那么无论节点在网络上怎样移动，由于MAC地址保持不变，因此不需要重新配置。（3） 基于网络层协议的VLAN划分VLAN按网络层协议来划分,可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。这种按网络层协议来划分的VLAN，可以使广播域跨越多个VLAN交换机。这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的。 （

19、4）基于IP组播的VLAN划分认为一个组播组就是一个VLAN，将VLAN扩大到广域网，通过路由器进行扩展，具有很大的灵活性。在新增加节点时，不需要进行太多配置，交换机根据IP地址会自动将其划分到不同的VLAN。一旦离开该VLAN，原IP地址将不可用，从而防止了非法用户通过修改IP地址来越权使用资源。由于效率不高，不适合局域网，且实现复杂。（5）基于规则的VLAN划分也称为基于策略的VLAN。这是最灵活的VLAN划分方法，具有自动配置的能力，能把相关的用户连成一体，在逻辑划分上称为“关系网络”。当一个站点加入网络中时，只需要在网管软件中确定划分VLAN的规则(或属性)就会被“感知”，并被自动地包

20、含进正确的VLAN中。同时，对站点的移动和改变也可以自动识别和跟踪。采用这种方式，整个网络可以非常方便地通过路由器扩展网络规模。（6）按用户定义、非用户授权的VLAN划分基于用户定义、非用户授权来划分VLAN，是指为了适应特别的VLAN网络，根据具体的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，在得到VLAN管理的认证后才可以加入一个VLAN。 路由器实现VLAN间的通信VLAN技术将一个物理的网络在逻辑上划分成若干个子网，每个子网都拥有自己的独立的广播区。每一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流

21、量，提高网络的安全性。划分VLAN虽然可以解决广播控制问题，但无法实现各子网间的正常通信，VLAN之间的通信必须要通过第三层设备，我们可以添加一个“边界路由器”来解决问题，当使用一台外部路由器时，会出现VLAN间路由选择的一个问题：外部路由器一个物理接口传统上只支持一个子网或广播域。在使用传统技术时，路由器要为其负责路由选择的交换机上的每个VLAN单独建立一条物理连接，（如下图2-1所示：）图2-1 一条物理链接对应一个VLAN但传统路由器上的以太网接口是有限的，为了解决多条物理连接的问题，外部路由器必须要能在一条物理链路上传输不同VLAN的数据，即采用TRUNK连接方式。交换机与用户终端之间

22、的链路称为接入链路（ACCESS LINK），它只能属于一个VLAN。干道链路（TRUNK LINK)可以承载多个VLAN，干道链路用来实现交换机之间，交换机和路由器之间的连接，可以由ISL协议来完成，在支持ISL的接口上可以传送来自不同VLAN的数据。图2-2 一条物理链接上支持多个VLAN但是采用路由器作为局域网核心会产生以下问题：（1)路由器增加了3层路由选择的时间，数据的传输效率低：（2)增加、移动和改变节点变得更加复杂：（3)路由器价格昂贵，并且结构复杂：（4)增加VLAN的互连意味着要增加路由器端口，投资也增大。提高路由器的硬件性能(采用更高速CPU，更大容量的内存)并不足以改善它

23、的性能。因为路由器除了硬件支撑外，其“复杂的处理与强大的功能”主要是通过软件来实现的，这必然使得它成为网络瓶颈。当流经路由器的流量超过其吞吐能力时，将引起路由器内部的拥塞。路由器持续拥塞不仅会使转发的数据包被延误，更有可能使流经路由器的数据包丢失。这些都给网络应用带来极大的麻烦。路由器的复杂性还对网络的维护工作造成了沉重的负担。例如，要对网络上的用户进行增加、移动或改变时，配置路由器的工作将显得十分复杂。 三层交换三层交换(也称多层交换技术，或IP交换技术)是相对于传统交换概念提出的。传统的交换技术是在OSI网络标准模型中的第二层即数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现

24、了数据包的高速转发。三层交换技术简单地说就是：二层交换技术+三层转发技术。三层交换技术解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。三层交换原理(参看下图)。假如A跟B以前曾通过交换机通信，中间的交换机如支持第三层交换的话，它便会把A和B的IP地址及它们的MAC地址记录下来。当其他主机如C要和A或B通信时，针对C所发出的寻址封包，第三层交换机会不假思索地送C一个回覆封包告诉它A或B的MAC地址，以后C当然就会用A或B的MAC地址“直接”和它通信。因为通信双方完全没有通过路由器，所以即使A、B和C属不同的子网，它们间均可直接知

25、道对方的MAC地址来通信。更重要的是，因为第三层交换机能看懂三层信息，如IP地址、ARP等，因此，三层交换机能知道广播封包目的何在，而不是把它扩散出去。图2-3 三层交换原理第三层交换机就是在基于协议的VLAN划分时，增加了路由功能。人们想把二层交换和三层路由功能结合在一台设备上，以减少设备数量，但是早期的第三层交换是基于软件的，转发速度慢，后来才发展为以硬件来实现三层交换。三层交换机实质就是一种特殊的路由器，是一种在性能上侧重于交换(二层和三层)，有很强交换能力并且价格低廉的路由器。它可以将第二层交换机和第三层路由器两者的优势结合成一个灵活的解决方案，在各个层次提供线速性能。这种集成化的结构

26、还引进了策略管理属性，它不仅使第二层与第三层相互关联起来，而且还提供流量优先化处理、安全以及多种其它的灵活功能，如链路汇聚、VLAN和Intranet的动态部署，甚至有的具有防火墙的功能。第三层交换机可以分为接口层、交换层和路由层三部分。接口层包含所有重要的局域网接口：10100M以太网、千兆以太网、FDDI和ATM。交换层集成了多种局域网接口并具有策略管理功能，同时还提供链路汇聚、VLAN机制。路由层主要提供LAN路由协议：IP、IPX和AppleTalk，并通过策略管理，提供传统路由或直通的第三层转发技术。策略管理和行政管理使网络管理员能根据特定需求调整网络。 本章小结本章对VLAN技术进

27、行了详细的阐述，为了更好的阐述VLAN引入了以太网技术，包括其工作原理、交换技术和生成树协议，然后详细讨论了VLAN技术，介绍了其产生的背景和工作原理，重点介绍了VLAN的划分方法和使用VLAN技术的好处，以及VLAN之间是如何进行通信的，三层交换技术的出现才使VLAN得到更加广泛的应用。第3章 校园网络安全需求分析随着网络技术的迅速发展，越来越多的单位建成了自己的内部局域网，并且接入了Internet。但是，由于网络系统具有开放性，以及网络协议和计算机系统固有的安全缺陷，再加上Internet饿呢他网络管理的无政府状态，因此，网络在提供开放和共享资源的同时，也不可避免的存在着安全隐患。 网络

28、安全存在的威胁学校有自己独特的体系结构，包括办公部门、教学部门、实验部门等多个部门，由于各部门职责不一样，存在的安全性质也可能不一样。在实际运行中，由于没有划分VLAN，各个子网可以不受控制的互相访问导致以下严重的安全问题：(1)非授权访问：在没有经过信息拥有者同意的情况下，擅自使用他人计算机或网络资源。(2)信息的泄漏或丢失：重要数据或保密信息在有意或无意中被泄漏或丢失。例如“黑客”们可以利用电磁泄漏或搭线窃听等方式截获机密信息，或者通过对信息流向、流量、通信频度和长度等参数的分析，推测出有用的信息，或对在网络中传输的数据包进行侦探，以获取用户口令、帐号等重要信息。(3)破坏数据完整性：以非

29、法手段获得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的效果。(4)拒绝服务攻击：不断对网络系统和服务器进行攻击，改变其正常的作业流程，执行无关程序使系统响应变慢甚至瘫痪，影响用户的正常使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。(5)IP欺骗攻击：攻击者利用TCP/IP和操作系统中的某些缺陷来实施IP欺骗攻击，进而达到获得一个主机系统的控制权的目的，窃取系统中的重要信息或数据，或对系统进行破坏。(6)利用网络传播病毒：通过网络传播计算机病毒，病毒一旦进入他人联网的计算机，造成的危害大大高于单机. (7)高校校园网还存在一个经常被忽视但是越

30、来越严重的现象:现在有相当数量的学生的计算机相关技术水平非常高，甚至超乎管理人员的想象,有的利用校园网内无人管理的服务器作为中转，传播垃圾邮件、不良信息，严重影响学校的声誉。 网络安全技术为了确保网络数据及信息的安全，人们一直不断地研究有效的安全措施，网络安全技术涉及到两大方面：信息交换安全技术和网络系统安全技术。信息交换安全技术是为了保证在网络环境中信息交换的安全，防止在信息传输过程中被非法窃取，篡改、重放和假冒等。信息交换安全技术是通过数据机密性、数据完整性和用户身份真实性等安全机制来实现的，其关键技术是密码技术和安全协议。主要技术方法有各种加密机、虚拟专用网(VPN)、安全服务器、CA认

31、证系统等。网络系统安全技术主要用于保证网络环境中各种应用系统和信息资源的安全，防止XX的非法登录系统，非法访问网络资源窃取信息或实施破坏。网络系统安全技术主要侧重于攻击行为和特征、攻击行为检测和阻断、系统防护和灾难恢复等方面研究，主要技术方法有防火墙、访问控制、入侵检测、漏洞扫描、身份认证、灾难恢复和安全管理等。对于网络安全来说，所有的解决方案都依赖于许多因素，并没有简单的答案。概括起来，包括以下三个方面：(1)定义要实施哪些保护的安全策略和标准；(2)具体描述如何实施策略的操作集合；(3)实施保护时需要依托的技术集合。 网络安全策略从根本意义上讲，绝对安全的网络是不可能有的。只要使用，就或多

32、或少地存在安全问题。在探讨安全问题的时候，实际上是指一定程度的网络安全。上述网络安全问题，主要是忽视了内部网络的安全保障，在对外防火墙上执行了较严格的安全策略，没有认识到交换机和其他网络连接设备处于不安全状态的危险性。针对目前校园中网络问题主要来自校园内部，制定以下策略实现校园网络的安全：（1）物理安全策略制定该策略的目的在于保护校园网中的计算机系统、网络服务器、物理链路等基础设施免受自然灾害、人为破坏和搭线攻击，并建立完善的安全管理制度，验证用户身份和使用权限，防止非法人员进入计算机控制室和各种偷窃、破坏活动的发生，同时要确保计算机系统有一个良好的电磁兼容工作环境。（2)访问控制策略访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和非法访问。它是维护网络系统安全、保护网络资源的重要手段。根据上述网络安全策略，首先要保证对交换机的管理访问的安全，因为交换机对网络和流量导向有着牢固的控制权，因此必须确