如何进行vlan的划分

目前，在网络工程中使用最多的vlan 划分方法是第一种和第四种的混合型: 根据端口来划分vlan， 利用IP 三层交换技术来实现路由。下面的讨论也主要是针对这种方式。

广东女子职业技术学院今年开始网络改造建设，新的网络拓朴如下：综合楼、教学楼和六栋学生宿舍由光纤联到网络中心的核心交换机上。各栋楼层内部分别由层间汇聚和楼层汇聚组成，由Extreme 的200和400系列交换机连接。本文主要针对综合的vlan划分进行阐述。综合楼主要由两台Extreme 400交换机组成，下面连接了7个系部和学院的各个办公室。由于各个办公室由多间房间组成，又分布在不同楼层，所以必须通过交换机的vlan的划分来进行管理。

vlan的划分 通过规划，我们把学院的综合楼划分为计算机系、管理系、院办等19个vlan。并指定了vlan的对照表。这个表由vlan名称、部门、IP地址范围等组成。大体的划分如图2（其IP地址用内部IP替代演示）。

通过这样对照表，就可以在交换机上进行设置了。

vlan的配置

Extreme 400 是千兆端口的三层交换机，通过console端口，可以对它进行配置，它支持的vlan标准是802.1q 。我们通过之前指定的vlan对照表，在交换机中建立对应的vlan ，并划分IP地址，最后把划分的vlan 应用的对应的端口上。

特点

通过设置vlan，我们把网络中的众多的广播报文阻隔在各个vlan中，主干线路上效率提高了。除了有效地控制广播风暴的发生，以及使网络的拓朴结构变得非常灵活的优点外，还可以用于控制网络中不同部门、不同站点之间的互相访问，提高了安全性。

如何实现不同系统的资源共享

因Linux 和Windows分属不同的文件系统，在局域网络中要实现两者交互集成主要有3种机制。

简单的通信机制是利用TELNET、FTP、HTTP等命令和协议实现网络间通信；网络文件系统NFS可以在Linux主机之间、Linux和Windows主机之间实现资源共享；SMB协议机制是通过在Linux主机上安装支持SMB协议的服务器和客户端软件，可以方便地实现网络集成。

网络文件系统NFS是其中的一种便捷而透明的服务机制。网络文件系统（Net File System，NFS）是在网络中共享文件和目录的一种便捷方式，所有linux和非linux系统都支持NFS。使用NFS的最大好处是可以象使用本地文件系统一样，访问网络中的任何共享的文件资源。从用户角度来看，在这些远程的文件系统操作和本地的文件系统上操作并没有什么不同。

NFS基于客户/服务器结构，通过RPC（远过程调用）实现，所有的NFS操作都由RPC过程来进行。NFS 服务器导出本地的目录给远程的NFS客户，NFS客户把对文件操作系统调用重定向到远程的系统。在Linux里，通常用knfsd来实现NFS服务。XDR(外部数据表示)，负责在异构机组成的网络上交换数据；rpciod、statd为NFS的I/O和状态监控程序；mountd处理客户的mount请求；portmap将RPC程序号与运行服务的实际端口下对应。

一个包含共享常叫作“导出”给其它系统的文件和目录的系统就叫NFS服务器，一个从NFS服务器来输入、加载资源常叫作“挂载”、“导入”的系统就称为客户机。在局域网络连通正常的情况下，还需注意NFS是基于rpc机制的，所以portmap服务一定要打开；有时客户端也需启动nfs服务；客户端内核必须编译为支持NFS功能，需要是可以手工装入该模块如用命令insmod nfs；卸载防火墙等。

NFS只基于IP地址和用户名进行简单的身份验证。因此，如果要选择使用NFS，安全问题也是首先应该考虑的，除了在导出的目录后添加合适的权限选项外，还应采取必要的验证措施。

怎样实现网络地址使用安全

对网络地址的管理一直是网络管理中的一个非常繁杂的问题，虽然有DHCP这样的动态分配网络地址的解决方案，但由于高校内的很多限制，这些方案常不能使用。我们一直被网络用户私改IP地址造成的网络冲突问题困扰着。

哈尔滨理工大学校园网的网络用户有6000多个，为了区分各类不同用户，我们采用了计算机固定IP设置的方法。

目前我们采用802.1X认证，可将用户名、IP、MAC、VLAN ID、交换机IP、交换机端口的任意绑定的技术对用户接入进行控制。解决了由网络用户私改IP地址造成的网络冲突问题。该方案具有如下特点：

第一，最大程度地进行分布式认证。采用接入层交换机做802.1X认证，把认证者（设备）最大程度地靠近用户，哈尔滨理工大学有近300台接入交换机，每台交换机的每个端口都相当于一个认证者。因此这种方式可以做到最快速地响应每个用户认证请求，高速地进行认证报文的封装、转换和转发。

第二，最大程度上对用户进行接入控制。用户是直接接在接入交换机的端口之上，接入交换机做802.1X认证，可以最大程度上对用户进行接入控制，如网络安全、设置代理。

第三，最大程度的扩展性。接入层支持802.1X并作认证，具有灵活有效的扩展性，为大规模认证计费提供了基础和技术保障