当今校园网(CampusNetwork)主要是由以太网或令牌环组成。由于使用载波侦听多路访问/冲突检测(CSMA/CD)机制，故当网络主机数目不断增加时，以太网的不足之处就表现得尤为突出，如主机间通讯故障的连锁影响、网络冲突严重、网络利用率大为降低、安全性能无法保证，更有甚者，当广播报文较多的情况下，广播风暴会造成网络崩溃。

　　VLAN是为解决以太网存在的广播问题和安全性而提出来的。VLAN（Virtual Local Area Network，即虚拟局域网）是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段，从而实现虚拟工作组的新兴技术。VLAN允许处于不同地理位置的网络用户加入一个逻辑子网中，共享一个广播域。与以太网相比较而言，创建VLAN有以下优点：

　　1.控制广播风暴。一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以有效控制广播风暴的产生。

　　2.端口分隔。即便在同一个交换机上，处于不同VLAN的端口也是不能交互通信的。这样，一个物理的交换机可以当作多个逻辑的交换机来使用。

　　3.管理灵活。更改用户所属的网络不必更换端口和联线，只需要更改软件配置就可以了。

　　4.安全性能有保障。配置了VLAN后，一个VLAN的包不会发到另一个VLAN，确保了该VLAN的信息不会被其他VLAN窃听。

　　划分VLAN的方法共有四种，基于端口划分VLAN是其中一种，它是利用交换机的端口来划分VLAN成员。被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网VLAN10，同一交换机的6，7，8端口组成虚拟网VLAN20。只允许属于同一个VLAN的各端口之间的通讯，而不在一个VLAN的端口是不允许通讯的。以交换机端口来划分网络成员，其配置过程简单明了，是目前最常用的一种方式。

　　VLAN隔离了广播风暴，同时也隔离了各个不同的VLAN之间的通讯，所以不同的VLAN之间的通讯需要借助路由来完成。千兆路由器的价格是一般学校难以接受的，而三层交换机(也叫路由交换机)集传统交换机的性能和路由器的智能于一身，路由选择仍由路由器完成，但路选的结果被交换机保留在自身的路由缓存中。这样，一个数据流中的第一个数据包经过路由器，后继的所有数据包直接由交换机查表转发。得益于硬件转发，三层交换机可以做到线速路由。使用三层交换机的千兆端口或百兆端口连接不同的子网或VLAN，就可以在保持性能的前提下，较为经济实用地解决VLAN子网划分之间依赖路由器进行通信的问题，因此笔者认为三层交换机是连接子网的最理想设备。

　　下面以深圳桂园中学校园网络系统设计方案为例，具体介绍如何利用VLAN技术组建三层线速校园网。

　　本校园网约有计算机400多台，其中服务器8台,办公电脑约100台,电教平台约50台,2间电脑室共有电脑约100台，2间电子阅览室配有电脑100台。学校申请了一条百兆光纤接入互联网，同时申请了二个C的IP地址。

　　中国电信用户地址：218.17.210.58;子网掩码：255.255.255.252;路由地址：218.17.210.57;DNS:219.223.4.2;202.103.96.68;IP段地址：219.223.40.0-219.223.41.254。

　　一、校园网设计总体方案

　　1. 网络设备连接

　　校园网区由三层交换机和二层交换机有机结合构成，采用二级交换技术,主干网由一台中心交换机(Huawei3526三层交换机)连接子网，子网使用二级交换机(Dlink-1024)连接到工作站。

　　2. 划分VLAN

　　共划分为5个VLAN

　　①VLAN10:划分给中国电信VPN，IP固定，不占用学校IP，指定给Huawei3526:24口。

　　②VLAN20:综合楼(含两个电脑室、两个电子阅览室及若干电脑)约220台电脑，分配一个C地址;IP地址段：219.223.40.1-254;子网掩码：255.255.255.0;网关：219.223.40.1;指定给Huawei3526光纤1端口。

　　③VLAN30:划分给服务器群，约8台，考虑以后扩充，分配32个地址;子网IP地址段：219.223.41.1-30;子网掩码：255.255.255.224;网关：219.223.41.1;指定Huawei3526：1-12端口。

　　④VLAN40:划分给教学楼电教平台，约50台电脑，分64个地址;子网IP地址段：219.223.41.65-126;子网掩码：255.255.255.192;网关：219.223.41.65;指定Huawei3526光纤2端口。

　　⑤VLAN50:划分给办公楼电脑，约100左右台电脑，分半个C个地址;子网IP地址段：219.223.41.129-254;子网掩码：255.255.255.128;网关：219.223.41.129;指定13-16端口属于VLAN50。

　　⑥预留17-23端口、IP地址段：219.223.41.33-62，用于以后网络扩展使用。

　　图1为桂园中学校园网络拓朴结构图。

　　

    图1

　　二、交换机的配置

　　1.华为Huawei3526交换机配置界面

　　将配置线一端连接Huawei3526的CONSOLE口，另一端连接计算机的COM1口，打开超级终端程序，新建一个连接，选择连接的COM1口，端口设置速率为9600(图2、3)。

　　

　　图2

　　

　　图3

　　进入交换机命令行下，系统默认：Quidway>输入命令，注意交换机配置命令有上百条命令，而且这些命令分布在不同模式下使用，不同的命令要在不同的模式下才能使用。

　　2.对交换机进行接口配置

　　Quidway>enable//进入特权配置模式

　　Quidway#configureterminal//进入全局配置模式

　　Enterconfigurationcommands,oneperline.EndwithCtrl+Z.

　　Quidway(config)#hostnamegyzx3526//更改交换机名

　　GYZX3526(config)#enablepasswordlevel157gyzx3526//设置进入特权配置模式密码

　　GYZX3526(config)#linevty04//设置telnet远程登录

　　GYZX3526(config-line-vty0-4)#password7telnetgyzx3526//telnet密码

　　GYZX3526(config-line-vty0-4)#login//telnet登录起效

　　GYZX3526(config-line-vty0-4)#&#101xec-timeout10//telnet超时(分)

　　GYZX3526(config-line-vty0-4)#exit//退回到全局配置模式

　　GYZX3526(config)#VLAN10//创建VLAN10

　　GYZX3526(config-VLAN10)#descriptionTo-VPN//描述VLAN

　　GYZX3526(config-VLAN10)#switchportethernet0/24//24口加入VLAN10

　　GYZX3526(config-VLAN10)#exit//退回到全局配置模式

　　GYZX3526(config)#interfaceVLAN-interface10//进入VLAN接口模式

　　GYZX3526(config-VLAN-interface10)#ipaddress218.17.210.58255.255.255.252//配置VLAN10的路由接口IP地址

　　GYZX3526(config-VLAN-interface10)#exit//退回到全局配置模式

　　GYZX3526(config)#iproute0.0.0.00.0.0.0218.17.210.57//配置缺省路由

　　GYZX3526(config)#VLAN20//创建VLAN20

　　GYZX3526(config-VLAN20)#descriptionmultirreeb-building

　　GYZX3526(config-VLAN20)#switchportgigabitethernet1/1//光纤1口加入valn20

　　GYZX3526(config-VLAN20)#exit//退回到全局配置模式

　　GYZX3526(config)#interfaceVLAN-interface20//进入VLAN接口模式

　　GYZX3526(config-VLAN-interface20)#ipaddress219.223.41.1255.255.255.0//配置VLAN20的路由接口IP地址，即网关地址，为子网段的第一个地址。

　　GYZX3526(config)#VLAN30//创建VLAN30

　　GYZX3526(config-VLAN30)#descriptionserver-pool

　　GYZX3526(config-VLAN30)#switchportethernet0/1toethernet0/12//1-12口加入valn30

　　GYZX3526(config-VLAN30)#exit//退回到全局配置模式

　　GYZX3526(config)#interfaceVLAN-interface30//进入VLAN接口模式

　　GYZX3526(config-VLAN-interface30)#ipaddress219.223.41.1255.255.255.224//配置VLAN30的路由接口IP地址

　　GYZX3526(config)#VLAN40//创建VLAN40

　　GYZX3526(config-VLAN40)#descriptioneducation1

　　GYZX3526(config-VLAN40)#switchportgigabitethernet2/1//光纤2口加入valn40

　　GYZX3526(config-VLAN40)#exit//退回到全局配置模式

　　GYZX3526(config)#interfaceVLAN-interface40//进入VLAN接口模式

　　GYZX3526(config-VLAN-interface40)#ipaddress219.223.41.65255.255.255.192//配置VLAN40的路由接口IP地址

　　GYZX3526(config-VLAN-interface40)#exit

　　GYZX3526(config)#VLAN50//创建VLAN50

　　GYZX3526(config-VLAN50)#descriptionoffice

　　GYZX3526(config-VLAN50)#switchportethernet0/13toethernet0/16//13-16口加入VLAN50

　　GYZX3526(config-VLAN50)#exit

　　GYZX3526(config)#interfaceVLAN-interface50//进入VLAN接口模式

　　GYZX3526(config-VLAN-interface50)#ipaddress219.223.41.129255.255.255.128//配置VLAN50的路由接口IP地址

　　GYZX3526(config)#exit

　　GYZX3526#write//保存配置

　　Thiswillwritetheconfigurationintheflashmemory.

　　Theswitchconfigurationswillbewrittentoflash.

　　Areyousure?[Y/N]y//确认

　　Nowwritingrunningconfigurationtoflashmemory.

　　Pleasewaitforawhile…

　　Writerunningconfigurationtoflashmemorysuccessfully.

　　GYZX3526#

　　3.对交换机进行DHCP服务器配置

　　由于DHCP是通过广播发送请求，而客户机又不能直接跨VLAN获得IP，因此可以在交换机中设允许DHCP报文跨VLAN请求。设DHCP服务器IP为219.223.41.10(位于VLAN30server-pool)。首先，在全局模式下,利用配置命令：dhcp-server1ipA.B.C.D。然后，在VLAN接口下应用dhcp-server1.

　　GYZX3526(config)#dhcp-server1ip219.223.41.10//将DHCP服务器的IP配置给DHCP服务器变量

　　GYZX3526(config)#interfaceVLAN20

　　GYZX3526(config-VLAN-interface20)#dhcp-server1

　　用同样方法，将dhcp-server1配置给VLAN40、VLAN50。

　　三、安装DHCP服务器并进行VLAN下的DHCP设置

　　随着校园网机器的不断增加，给每台客户机指定固定IP的工作量是巨大的。设想一下，假如你需要改变子网，那么每台计算机的IP地址都需要重新设置一次，工作非常烦琐。利用DHCP服务器，这些琐事都将迎刃而解。

　　1.安装DHCP服务器

　　如果你的网络中还没有安装DHCP服务，需要安装。依次点击进入”我的电脑→控制面版→添加/删除程序→添加/删除windows组件→网络服务→勾选上DHCP服务组件”，即安装完成。

　　2.设置DHCP服务器的TCP/IP地址属性

　　TCP/IP属性设置：IP地址：219.223.41.10;子网掩码：255.255.255.224;默认网关：219.223.41.1;DNS:219.223.4.2;202.103.96.68。

　　3.VLAN下的DHCP设置

　　根据Huawei3526交换机的VLAN配置，创建多个作用域(这些作用域的设置与交换机VLAN子网的设置必须一致)。这里以创建VLAN20的DHCP作用域为例加以说明：

　　①运行DHCP：开始→程序→管理工具→DHCP;

　　②建立DHCP作用域;

　　③作用在DHCP对话框中，选择”操作”菜单→”新建作用域”,出现欢迎画面，再输入称名：VLAN20;说明：综合楼;按”下一步”;进入作用域设置界面，分别在”起始IP”、”结束IP”和”子网掩码”中，填写VLAN20中子网自动获取IP的范围(一般留出本子网的部分地址做的固定地址)如填上219.223.40.20-254;子网掩码：255.255.255.0(图4)。填完后，按”下一步”进入下一对话框，出现输入需要排除的IP地址，(这些IP将用于特殊用途，比如网关、服务器等)。也可以不填写，直接点击”下一步”。

　　

　　图4

　　④进入图5设置路由默认网关对话框，在IP地址框中输入219.223.40.1。点击”下一步”。

　　

图5

　　⑤进入域名称和DNS设置界面。在IP地址栏中填入DNS：219.223.4.2;202.103.96.68。点击”下一步”，进入wins配置，可以不填写，并点击”下一步”。在下面界面中，选择”是，我想现在激活此作用域”。设置完作用域。用同样的方法创建VLAN40、VLAN50作用域。

　　在创建新的作用域过程中，VLAN30子网是服务器群组，使用固定地址，不创建作用域;

　　VLAN40的子网掩码为：255.255.255.192;VLAN50的子网掩码为：255.255.255.128。

　　四、测试

　　1.将二级交换机连接到中心交换机Huawei3526相应接口上。

　　2.启动DHCP服务器，查看工作站能否正确获取IP地址、DNS、网关。每个VLAN下面的工作站应该能到指定的DHCP服务器去取得该子网范围内的IP。通过在DOS下输入IPCONFIG来查看。例如：VLAN20下的工作站，IP地址应该是在219.223.40.20-254.;默认网关：219.223.40.1;DNS:219.223.4.2;202.103.96.68。

　　3.在工作站和服务器上分别用IE浏览器访问internet网站。

　　4.更高级的测试方法：对相关地址用ping、tracert进行命令测试。