基于VLAN技术多校区网络架构研究.docVIP

基于VLAN技术多校区网络架构研究 　　摘 要：文章以VLAN和VPN技术的实现为基础，研究高校同地多校区的网络架构，通过PACKET TRACER环境下模拟构建多校区网络，利用思科（CCNA）语言进行路由器和交换机配置、VLAN、VPN的建立连接来实现高校网络构建，从而实现了不同校区之间的同一VLAN之间的通信。 　　关键词：Packet tracer；VPN；VLAN；多校区通信 　　随着网络、科技、教育的快速发展，各地高校的教育规模逐步扩大，很多高校会选择同地多校区的模式，从而也给各学校带来了新的挑战。为此，大多数院校使用了VPN，VLAN技术来解决同地不同校区之间的限制，使同一高校中的同学、教师、行政人员、科研人员等能够不受地理位置的限制，方便、快捷、安全的办公和教学。 　　本文从解决多校区之间的同一校园网问题出发，以VPN，VLAN作为基础技术，构建统一的、安全的校园网，并给出了解决方案和路由器、交换机等的配置代码。 　　1 VLAN技术 　　VLAN技术是指在局域网内不考虑设备的地理位置，通过逻辑分区以设备或用户的属性为主将设备划分到虚拟的同一网络下，实现同一网络下支持通信、不同网络之间无法通信的一种崭新技术。这种技术更加稳定、安全、便捷，不同区域之间避免了因管理、工作等效率低下而产生的问题。 　　VLAN技术实现了同一区域内多台交换机之间的资源共享，其划分原理有3种：（1）基于交换机端口的划分，以端口为主，不同端口之间可以实现不同VLAN的划分，不同端口之间可以实现同一VLAN划分。（2）基于MAC地址的划分，通过连接设备的唯一物理地址来区分设备属于哪一个VLAN。（3）基于IP地址的划分，每一个设备连接三层交换机都有一个属于自己的网络地址，以地址来区分VLAN。 　　2 VPN技术 　　VPN也叫虚拟专用网，它是在正常网络线路中建立一个虚拟的专用隧道，保证数据在隧道中传输安全，并提供一个专享的网络，使高校能够透明地通信。VPN能够让数据在低成本Internet上保持完整的传输，大大解决了网络的成本。同时，方便了操作和管理，精简了网络的设计和构造。 　　VPN的工作原理是在现有的网络基础上，建立一个对数据传输进行加密的安全通道，以此通道为通信基准，在登录VPN之前都需要进行本地的连接，并输入用户名和密码来登录VPN，这种服务目前很多服务商都能够提供。 　　3 网络架构 　　某高校有2个校区，分别分布在某市的东西两边，2个校区之间分别租用服务商提供的光纤专线相连。在连接网络时，学校采用的是二层交换机。并通过DHCP获取网络地址进行互联，学校在东校区分别有财务部、机房、人事处。在西校区有财务部、机房、学生处。2个校区都有财务部，并划分到一个VLAN下，具体的架构如图1所示。 　　4 详细配置 　　（1）东校区以路由器分别和西校区和ISP连接，在三层交换机的连接下，分别连接了3个二层交换机，分别创建VLAN10，VLAN20，VLAN30，财务部归属VLAN10，机房归属VLAN20，人事处归属VLAN30。 　　（2）西校区跟东校区相似，也分别创建了3个VLAN，财务部属于VLAN10，学生处属VLAN40，机房属于VLAN20。具体IP地址如下： 　　东校区：R0：F0/0：192.168.1.1 　　F0/1：192.168.1.2 S0/1/0：192.168.2.1 　　S0/1/1：192.168.2.2 S1：F0/1：192.168.1.3 　　F0/2：192.168.1.4 　　西校区：R2：F0/0：192.168.2.1F0/1：192.168.2.2 　　S0/1/0：192.16 8.3.1S0/1/1：192.16 8.3.2 S0：F0/1：192.168.2.3 　　F0/2：192.168.2.4 　　东校区部分具体设备配置如下： 　　Routeren 　　Router#configure terminal 　　Router（config）#eee new-model 　　Router（config）#eee authorization network login tt local group radius local 　　Router（config）#eee authorization network yy local group radius local 　　Router（config）#crypto isakmp policy 10 　　Router（config-isakmp）#authentication pre-share 　　Router（config-isakmp）#group 2 　　Router（c