當前交換技術的迅速發展，也加快了虛擬子網技術(VLAN—Virtual Local Area Network)的應用速度，非凡是在當前校園網上的應用更廣泛。通過將校園網絡劃分為虛擬子網（VLAN），可以強化網絡治理和網絡安全，控制不必要的數據廣播。數據廣播在網絡中起著非常重要的作用，隨著校園網內的計算機數量的增加，VOD視頻點播在課堂教學上的大量應用，廣播包的數量也會急劇增加，當廣播包的數量占到總量的30%時，網絡的傳輸效率將會明顯下降。非凡是當某網絡設備出現故障后，會不停地向網絡發送廣播，從而導致網絡風暴，使網絡通信陷于癱瘓。當校園網絡內計算機數超過200臺后，就必須采取措施將網絡分隔開來，將一個大的廣播域劃分成若干個小的廣播域。

分隔廣播域的方式有兩種，一是物理分隔，即將一個完整網絡物理地一分為二或一分為多，然后通過一個能夠隔離廣播的網絡設備將彼此連接起來。二是邏輯分隔，即將一個大的網絡劃分為若干個小的虛擬子網，也就是VLAN，各虛擬子網間通過路由設備連接實現通訊。

一、VLAN技術的優點

1、降低移動和變更的治理成本

在學校里，由于教學人員的變更比較頻繁，當把一臺計算機從一個子網轉移到另一個子網，假如使用了VLAN，遷移的工作只是在交換機上重新定義VLAN即可，尤其是采用網卡的MAC地址來劃分VLAN時，交換機能夠自動跟蹤該終端的MAC地址，并自動將其納如定義的VLAN中，對于網絡治理而言，可以輕松完成變更。假若使用物理手段劃分子網，這種遷移所耗費的精力和時間相當可觀的。

2、控制廣播

由于不同的VLAN都是一個獨立的廣播域，而廣播只能在本地VLAN內進行，從而大大減少了廣播對網絡帶寬的占用，提高了帶寬傳輸效率，并可以有效地避免廣播風暴的產生。

3、增強網絡的安全性

由于交換機只能在同一VLAN內的端口之間交換數據，不同VLAN的端口不能直接訪問，因此，通過劃分VLAN可以提高網絡的安全性。

4、網絡監督和治理的自動化

網絡治理員可以通過網管軟件可以查詢VLAN間和VLAN內通信的數據包的分類信息，以及應用數據包的分類信息，這些信息可以確定路由系統和經常訪問的服務器的最佳配置十分有用。通過劃分VLAN可以使網絡治理變的更加簡單、有效。

二、VLAN實現的途徑

1、基于端口的VLAN，就是將交換機中的若干個端口定義為一個VLAN，同一個VLAN中的計算機具有相同的網絡地址，不同VLAN之間進行通訊需要通過三層路由協議。采用這種方式的VLAN在工作過程中，把一個網絡節點遷移時，假如新舊端口不在一個VLAN內，則用戶必須對該端口重新設置。對于不同年級、科室互相訪問時，可以通過路由器轉發，并配合MAC地址的端口過濾，就可以防止非法入侵和ip地址的盜用問題。

2、基于MAC地址的VLAN，這種VLAN一旦劃分完成，無論節點在網絡上怎樣移動，由于MAC地址保持不變，因此不需要重新配置。但是假如新增加節點的話，需要對交換機進行復雜的配置，以確定該節點屬于哪一個VLAN。

3、基于IP地址的VLAN，新增加節點時，無須進行太多配置，交換機根據IP地址會自動將其劃分到不同的VLAN。這中VLAN智能化最高，實現最復雜。一旦離開該VLAN，原IP地址將不可用，從而防止了非法用戶通過修改IP地址來越權使用資源。

三、VLAN的配置

因為對于不同的交換機，VLAN配置都有差異，并不是所有的交換機都支持VLAN和VLAN的三個實現途徑，有的交換機只支持基于端口的VLAN，而不支持基于MAC地址的VLAN等。現結合我校的校園網絡設備，介紹一下VLAN的配置。

我校的校園網共有節點650個，中心交換機采用Avaya Cajun P580，樓層交換機全部采用Avaya Cajun P334T 48口交換機，電信寬帶經CISCO 2621路由器接入校園網。學校按年級、科室共劃分7個VLAN，從而有效地控制了網絡風暴的產生，提高了網絡傳輸的有效率和網絡的安全性。

對于Avaya Cajun P580 三層中心交換機和P334T交換機的采用基于端口的VLAN劃分是一個很輕松的事情，該交換機支持WEB和命令行（CLI）界面的治理，非凡是WEB界面治理，直觀方便，但是不如命令行（CLI）功能強大。由于P580為中心交換機，各樓層間的P334T交換機經千兆光纖與P580相連，因此VLAN的劃分一是在P580上直接端口劃分，對與P334T交換機連接的光纖端口設置成主干線路，這樣在Cajun P334T交換機上可以同時定義多個VLAN，最后通過在P580上設置三層路由協議實現各VLAN之間的通訊。

登陸到P580，進入配置模式設置VLAN：

1、新建VLAN：set vlan vlan_id name vlan_name

2、選擇欲配置的接口：interface vlan vlan_id

3、配置該VLAN的IP地址和子網掩碼：ip address ip_address subsnet_mask

4、設置三層路由關聯，實現VLAN間的通訊：ip vlan vlan_id

5、保存設置：copy run config

P580與P334T相連接的千兆光纖接口設置trunk，以實現交換機之間的互連，P580設置：

1、綁定ieee-802.1q VLAN間通訊協議：set port trunking-format 模塊號/端口號 ieee-802.1q

2、設置主干：set port vlan-binding-mothod 模塊號/端口號 bingd-to-all

同樣對P334T相應的與P580互連端口作Trunk，進入配置模式設置：

1、set port trunking-fromat 模塊號/端口號 ieee-802.1q

2、set port vlan-binding-method模塊號/端口號 bind-to-all

這樣，交換機互連通訊后，就可以在P334T上劃分VLAN了。進入P334T的配置模式，用命令行：set port vlan vlan_id 模塊號/端口號，就可以把端口分到相應的VLAN內。

四、結束語

VLAN技術的應用，使網絡工作組的劃分突破了地理位置的限制，而完全根據治理功能來劃分，這種基于工作流的分組模式很適合校園網的教學部門的劃分。隨著校園網絡的規模不斷擴大和發展，使VLAN技術在校園網上得到更廣泛的應用。