随着Internet 技术、网络技术、信息技术、多媒体技术的迅猛发展，校园网已经成为学校教学、科研、管理、信息获取的重要手段。但是，校园网访问方式多、用户群庞大、网络行为突发性高，为了保证校园网的正常运行和安全，本文主要针对校园网的特点和传统局域网的缺陷，重点介绍了基于VLAN技术构建安全校园网络的应用。

 

      传统LAN通常由HUB、网桥、交换机等网络设备将同一网段的所有节点连接在一起而形成，各节点通常按照它们的物理连接被自然地划分到各个广播域。处于同一LAN内的网络节点间可以直接通信，而处于不同局域网之间的通信则必须通过路由器才能通信。典型的局域网环境如图1所示

图 1  传统LAN环境

 

      当LAN中出现机器网卡损坏、网络环路或由于病毒等现象引起广播风暴时，由于LAN的连接设备大多采用集线器、网桥或交换机，而它们都不具备隔离广播风暴的功能，因此整个网络的通信就会陷入瘫痪。

      为了隔离广播风暴，往往采用将一个大的网络划分为若干个小的广播域，用能隔离广播风暴的设备路由器将各个小广播域连接起来。

      随着网络应用的不断加强，网络结构越来越复杂，各LAN之间、各小广播域之间的通信需要更多的路由器。通信信息经过路由器后，路由器根据数据包中的信息确定数据包的目标地址，然后通过路由表选择最佳的路径将信息传递到目的地，随着路由器数目的增多，网络时延逐渐加长，最终导致网络数据传输速度下降。

      而且在LAN环境中，每次人员的变动都必须从物理上对其进行变更，须耗费很多的时间和精力。

 

      在发达国家中，校园网的发展已经有20多年的历史，已成为学校发展的重要基础设施。麻省理工大学是美国最早建立校园网的学校之一[1 ]，目前主干网采用FDDI，子网选用以太网。我国校园网建设起步较晚，1987年清华大学创建的校园网是我国最早的，采用100M的FDDI主干，子网选用以太网。

      校园网对于提高教学和科研质量、加快学校信息化建设、开展多媒体教学与研究、改善教学和科研条件有着十分重要的意义。

      校园网网络大，故障定位复杂，维护难度大。由于教学逐步走向网络化、多媒体计算机教学越来越普及、学生在线学习、娱乐时间增加，不仅要保证校园网的稳定可靠，还必须提供7*24小时正常和高效运行，因此网络的维护只能利用比较空闲、相对流量较小的时间段。

      校园网用户群密集，网络安全问题蔓延快、对网络影响严重。某台计算机由于各种原因出现故障，反过来又会影响整个网络。而且应用网络的年轻群体占大部分，好奇心大、敢于尝试，不考虑网络的运行环境，在网上大胆尝试随意下载的、学到的或自己创新的技术，不顾及是否有后门或其他风险，对网络产生破坏和影响。

      校园网业务多，开放性强。校园网是教学、科研的特定场所，也是新技术、新知识最先应用的场所，业务项目多，网络环境相对比较宽松。不能像企业中一样，采取哪一部分影响网络的运行安全就停止该服务或关闭该端口的措施，因此安全隐患比较大。

      校园网管理难度大。计算机购置和配置情况复杂，部分是统一购置，部分是个人购买，其配置程度不一，不可能统一进行管理；没有相应的安全管理措施，一旦出现安全问题，责任难于到位；还有的学校由于人手不够或其他原因，甚至出现无人管理校园网络的情况。

      随着每个端口以太网和令牌环网的交换机价格下降，为了获得更高的带宽，越来越多的学校和组织倾向于给每个用户分配一个单独的交换端口。

      校园网的使用引起了教学方法、教学手段、教学工具的重大革新，为学校管理者和老师提供了获取资源、协同工作的有效途径，是教育信息化发展不可或缺的工具。校园网安全、高效运行是每个校园网信息获取和教学的保障，在校园网中采用新兴技术迫在眉睫。

      VLAN技术是在局域网内将工作站逻辑的划分成一个个网段从而实现虚拟工作组的技术。IEEE于1999年颁布了802.1Q关于VLAN的协议草案。是为了解决以太网广播问题和安全性而提出的协议。

       VLAN并非一种新型的网络，是包含一组端站点的逻辑上的LAN，其中的站点好像被同一网线连接在一起，而实际上可能出于LAN的不同物理网段。是一组逻辑上的设备或用户，它们就好像处于同一个物理LAN中一样相互通信，不受物理位置的限制。

      基于交换网络的VLAN目前大致可分为4类：基于端口的VLAN（见图2、图3）、基于MAC地址的VLAN、基于路由的VLAN和基于策略的VLAN。基于端口的VLAN划分是最简单、最有效的划分方法，是基于交换机端口的划分方法，只需网络管理员对网络设备的交换端口进行重新分配，不需考虑该端口所连接的设备，就可将属于不同交换机端口的不同网段划分在一个VLAN中；基于MAC地址的VLAN是MAC地址的集合，允许网络用户从一个位置移动到另一个物理位置，且自动保留起所属VLAN的成员身份，是基于网络用户的，但由于MAC地址的唯一性，初始化困难，且网卡更换就必须重新配置，另外它不能防止MAC欺骗攻击，有可能受到假冒MAC地址攻击的危险。

图 2  同一交换机的端口划分到不同的VLAN

图 3  不同交换机的端口划分到同一VLAN